Влияние ipv6 на безопасность локальной сети

Question

У меня есть стандартная установка с компьютерами за маршрутизатором netgear, у которого включена опция "auto config" ipv6. Насколько я понимаю, это означает, что он назначает локальные адреса ipv6 в локальной сети, а когда ipv6 доступен в глобальной сети, он назначает адреса ipv6 всем компьютерам в локальной сети, так что все они доступны в глобальной сети ("Интернет"). , Интернет-провайдер в настоящее время не поддерживает ipv6, но включит его в будущем.

Также в настоящее время существуют потребительские устройства, подключенные к сети (принтер, файловый сервер, компьютеры с открытыми сетевыми ресурсами). Это "хорошо", потому что к локальной сети подключено ~ 10 устройств, и все они доверяют друг другу (вы можете обращаться к файлам на других компьютерах и / или печатать, пока вы подключены к локальной сети).

Меня интересует то, что теоретически, когда интернет-провайдер включает ipv6, все устройства, подключенные к локальной сети, будут доступны в глобальной сети (с настройками маршрутизатора NetGear по умолчанию). Означает ли это, что любой, подключенный к Интернету, теперь может печатать и / или получать доступ к файлам на компьютерах, подключенных к локальной сети? Я не знаком с сетевыми протоколами, поэтому теоретически это представляется возможным.

Если это так, то это может противоречить модели "подключи и работай", когда компьютеры могут автоматически обнаруживать принтеры в локальной сети. И, честно говоря, сделать ЛВС "недоверенным" довольно страшно.

Этот вопрос действительно касается рассмотрения этого вопроса в контексте типичной настройки модема + беспроводного маршрутизатора. Все предположили, что они безопасны благодаря NAT + ipv4, но я больше не уверен в этом предположении.

Примечание: это единственный "брандмауэр", указанный в руководстве. На самом деле кажется, что потребительские маршрутизаторы не предоставляют брандмауэр за пределами NAT.

Answer 1

когда ipv6 доступен в глобальной сети, он назначит адреса ipv6 всем компьютерам в локальной сети, чтобы все они были доступны в глобальной сети ("Интернет").

Глобально адресуемый не означает глобально достижимый.

Любой маршрутизатор вдоль пути (а также сам хост) может реализовать брандмауэр и заблокировать определенные пакеты, например те, которые пытаются установить новое входящее соединение. Это уже сделано большинство ISP выпущенных маршрутизаторов (NAT не всегда будет защищать вас от ваших соседей, но брандмауэр делает).

Это не ново для IPv6 ни в каком виде, ни в форме, ни в форме. Например, раньше MIT имел 18.0.0.0/8 и предоставлял глобальные IPv4-адреса каждому компьютеру. Местный провайдер предоставляет публичные адреса каждому устройству по всему городу Wi-Fi. Раньше было по умолчанию, прежде чем пулы адресов закончились.

На самом деле кажется, что потребительские маршрутизаторы не предоставляют брандмауэр за пределами NAT.

Нет, они обычно делают. (Иногда брандмауэр всегда включен, его конфигурация скрыта, и единственный способ добавить входящие исключения - добавить правило переадресации портов.) Ищите что-то вроде "входящие правила".

Ну, конечно же , есть маршрутизаторы , которые утверждают , что для поддержки IPv6 , но только иметь брандмауэр IPv4 , а не IPv6. Но я бы не ожидал, что популярные бренды (такие как Asus или Mikrotik) с последней прошивкой будут иметь такие проблемы больше.