28

Живя за маршрутизатором потребительского уровня для незабываемого прошлого, я полагаю, что я воспринял побочный эффект NAT как должное в том, что у меня было бремя перенаправления портов, когда мне было нужно, вместо того, чтобы управлять ими с помощью программного брандмауэра.

Если проблема с преобразованием адресов не решается с помощью IPv6, и если он по-прежнему использует порты, то теперь я отвечаю за это? Что автоматически отклоняет зондирующий трафик в мире IPv6?

Должен ли я активно пытаться защищаться в таких вещах, как блокирование запросов RPD или SSH, или я должен быть уверен в том, что обновленная современная ОС избавит меня от размышлений об этих вещах?

Если провайдер предоставляет IPv6, нужно ли его понимать среднему пользователю сети, прежде чем он будет включен?

4 ответа4

32

Пользуясь IPv6 в течение большей части десятилетия и наблюдая за происходящими изменениями, у меня есть немного перспективы на этот счет.

Наиболее важный момент здесь заключается в следующем: NAT не является брандмауэром. Это две совершенно разные вещи. В Linux это происходит как часть кода брандмауэра, но это всего лишь деталь реализации, и это не обязательно так в других операционных системах.

Как только вы полностью поймете, что в маршрутизаторе, защищающем вашу домашнюю сеть, находится межсетевой экран, а не NAT, все остальное встает на свои места.

Чтобы ответить на остальную часть вашего вопроса, давайте взглянем на реальную прошивку маршрутизатора IPv6, версия OpenWrt 14.07 Barrier Breaker. В этом маршрутизаторе IPv6 включен по умолчанию и работает из коробки с использованием DHCPv6 с делегированием префикса, наиболее распространенным способом, которым интернет-провайдеры назначают адресное пространство клиентам.

Конфигурация брандмауэра OpenWrt, как и любой разумный брандмауэр, по умолчанию блокирует весь входящий трафик. Он содержит способ настройки правил переадресации портов для подключений IPv4 с протоколом NAT, как и большинство других маршрутизаторов в течение многих лет. В нем также есть раздел правил дорожного движения, позволяющий пересылать определенный трафик; это то, что вы используете вместо этого, чтобы разрешить входящий трафик IPv6.

Большинство домашних маршрутизаторов, которые я видел с поддержкой IPv6, по умолчанию также поддерживают входящий трафик IPv6 брандмауэра, хотя они могут не обеспечивать простой способ пересылки входящего трафика, или это может сбивать с толку. Но поскольку я никогда не использую заводскую прошивку на любом домашнем маршрутизаторе (OpenWrt намного лучше), это никогда не затрагивало меня.

Действительно, многие люди используют IPv6 прямо сейчас и абсолютно не подозревают, что это так. Когда их провайдеры включили его, их домашние маршрутизаторы приняли ответы DHCPv6 и предоставили адреса и все, что только что работало. Если бы мне не нужно больше, чем /64, я мог бы просто подключить его с нулевой конфигурацией. Мне пришлось внести одно изменение, чтобы получить большее делегирование префикса, хотя это достаточно просто.

Наконец, есть еще одна вещь: если у вас сегодня есть система в Интернете IPv4, она получает всевозможные попытки входящего соединения на различных портах, пытаясь использовать известные уязвимости или пароли с использованием грубой силы. Диапазон адресов IPv4 достаточно мал, чтобы его можно было сканировать полностью менее чем за день. Но на IPv6 почти десять лет я никогда не видел такой попытки подключения ни на одном порту. Гораздо больший размер хост-части адреса делает сканирование диапазона практически невозможным. Но вам все еще нужен брандмауэр; тот факт, что вы не можете быть найдены при сканировании IP-адреса, не означает, что вы не можете быть целью кого-то, кто уже знает ваш адрес, потому что он получил его где-то еще.


Короче говоря, как правило, нет, вам не нужно слишком беспокоиться о входящем трафике IPv6, потому что по умолчанию он будет защищен брандмауэром, а диапазоны адресов IPv6 не могут быть легко просканированы. И для многих IPv6 включится автоматически, и они никогда не заметят.

13

NAT действительно очень мало сделал для безопасности. Для реализации NAT вы должны иметь фильтр пакетов с отслеживанием состояния.

Наличие фильтра пакетов с сохранением состояния все еще является строгим требованием для обеспечения безопасности с IPv6; вам просто больше не нужна трансляция адресов, так как у нас много адресного пространства.

Фильтр пакетов с состоянием - это то, что разрешает исходящий трафик без разрешения входящего трафика. Таким образом, на вашем брандмауэре / маршрутизаторе вы будете устанавливать правила, которые определяют, какова ваша внутренняя сеть, а затем вы можете разрешить внутренней сети устанавливать исходящие соединения, но не разрешать другим сетям подключаться к вашим внутренним хостам, кроме как в ответ на ваши запросы. , Если вы используете службы внутри компании, вы можете установить правила, разрешающие трафик для этой конкретной службы.

Я ожидаю, что потребительские маршрутизаторы IPv6 либо уже сделают это, либо начнут реализовывать это в будущем. Если вы используете какой-то пользовательский маршрутизатор, вам, возможно, придется управлять этим самостоятельно.

8

NAT на самом деле не безопасен, за исключением некоторой неясности.Интернет и большинство инструментов предназначены для использования в любом случае от начала до конца. Я бы относился к любой отдельной системе за нат так же, как к системе в открытом Интернете.

Стоит рассмотреть различные механизмы получения доступа к ipv6, от наименее нативного (Teredo), Tunnels (и есть разные протоколы, которые хорошо работают в разных ситуациях), ipv6rd (по сути, туннель запуска ISP, это хороший способ быстро подключить ipv6). существующая сеть ipv4), к нативному (я полагаю, мы используем SLAAC и NDP).

Если вы работаете с не очень древней коробкой Windows (XP или лучше - но у меня нет ничего хуже коробки с SP3, и это под принуждением), у вас, вероятно, есть опция поддержки не родной, teredo. Возможно, вы уже находитесь на ipv6 и не понимаете этого. Teredo отстой, но за исключением нескольких ситуаций его стоит явно отключить.

Туннелям нужен какой-то клиент, и это даже больше, чем нативная установка.

Вне этого почти невозможно установить родной ipv6 случайно. Даже там, где ваш современный маршрутизатор поддерживает его, вам необходимо точно настроить его, и в нем обычно используется 3-4 различных механизма. Мой Интернет-провайдер использует ipv6rd и SLAAC для разных физических соединений, а инструкции находятся в эквиваленте шкафа для хранения документов в туалете. Альтернативой является туннель, и это по крайней мере час работы.

Я бы относился к любой системе, открытой для сетей IPV6, так же, как к любой другой системе, находящейся в открытом Интернете. Если ему не нужен ipv6, выключите его. Это тривиально, и я сделал это с моими системами XP. Если это так, убедитесь, что он защищен. В текущем переходном периоде очень мало того, что полностью зависит от ipv6 и не может вернуться к ipv4. Одно известное исключение - домашние группы на Windows 7 или позже

Хорошей новостью является то, что большинство современных ОС с поддержкой ipv6 имеют свои собственные брандмауэры для IPV6, и у вас не должно быть особых проблем с их блокировкой.

IPv6 также имеет странное преимущество. С ipv4 у вас часто было много эксплойтов, которые случайным образом сканировали вас на наличие открытых портов. IPv4 NAT немного смягчает это, скрывая клиентов за основным IP-адресом. IPv6 уменьшает, что, имея огромное адресное пространство, невозможно полностью сканировать.

В конце концов, NAT не является инструментом безопасности - он предназначен для решения очень специфической проблемы (трудности с назначением общедоступных IP-адресов), что делает доступ к сети извне немного сложнее. В эпоху хакерских прошивок роутеров и массовых ботнетов я бы посоветовал рассматривать любую систему, ipv4 или 6, как если бы она была в открытом, сквозном интернете. Зафиксируйте его, откройте все, что вам нужно, и не беспокойтесь так сильно, поскольку у вас есть реальная безопасность, а не картонный полицейский.

2

Если проблема с преобразованием адресов не решается с помощью IPv6, и если он по-прежнему использует порты, то теперь я отвечаю за это?

Без NAT все, что находится за вашим маршрутизатором, имеет уникальный публичный IP-адрес.

Типичные потребительские маршрутизаторы выполняют множество функций, отличных от маршрутизации:

  • межсетевой экран / фильтрация пакетов / "Stateful Packet Inspection"
  • NAT
  • DHCP
  • и т.п.

Если NAT не нужен, его не нужно использовать, хотя брандмауэр все еще может быть там и использоваться. Если устройство, выполняющее маршрутизацию, не выполняет брандмауэр (скорее всего, это не так, если только это не корпоративный маршрутизатор), вам придется добавить отдельное устройство для этого.

Поэтому, если вы хотите "открыть порты" на маршрутизаторе IPv6 и если этот маршрутизатор ведет себя как большинство обычных потребительских маршрутизаторов, вы указываете брандмауэру часть вашего маршрутизатора разрешать входящий трафик на нужный порт / протокол. Основным видимым отличием для вас будет то, что вам больше не нужно будет указывать, к какому частному IP в вашей сети он должен перейти.

Что автоматически отклоняет зондирующий трафик в мире IPv6?

Ничего, если только у устройства нет функции брандмауэра и для него установлено разумное значение по умолчанию, что, вероятно, имеет место на любом потребительском маршрутизаторе IPv6.

Подводя итог, вам нужно что-то, действующее в качестве брандмауэра для фильтрации трафика, который вы не хотите проходить через свой маршрутизатор с IPv6.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .