6

Обычно домашние пользователи должны устанавливать брандмауэр Windows в профиль Private, когда они подключены к своей домашней сети. Наиболее распространенная настройка - подключение к маршрутизатору, предоставленному провайдером.

Если поставщик услуг Интернета обеспечивает подключение по протоколу IPv6, подключенный компьютер будет иметь глобально маршрутизируемый адрес IPv6. Это означает, что все его порты и приложения напрямую подключены к Интернету. В случае IPv4 между ними обычно есть NAT, который действует как брандмауэр.

Безопасность этого зависит от того, какие приложения работают и какие порты открыты. В типичных конфигурациях может быть доступно несколько вещей. По крайней мере, будет файл Windows, разделяющий коммуникационные порты RPC. Эти функции были затронуты проблемами безопасности в прошлом.

Некоторые маршрутизаторы (включая мой) имеют "брандмауэр IPv6", который просто отбрасывает весь входящий трафик IPv6. Но если я действительно хочу открыть хотя бы один входящий порт для какого-либо приложения (например, удаленного рабочего стола), то у меня нет выбора, кроме как открыть все для всех.

Разве это не означает , что компьютер IPv6 с поддержкой должен выбрать общедоступный профиль , потому что кто - либо (не только доверенные устройства) можно подключить?

1 ответ1

11

Нет. Ни брандмауэр Windows, ни брандмауэр компетентного маршрутизатора не "все или ничего".

Домашние пользователи обычно устанавливают брандмауэр Windows в профиль Private, когда они подключены к своей домашней сети.

"Частный" режим на самом деле не разрешает все соединения отовсюду: большинство правил по умолчанию ограничены только "Эта подсеть", что для IPv6 означает, что даже в этом режиме только другие хосты в том же /64 (например, просто Ваша домашняя работа) будет принята. Внешние соединения остаются заблокированными.

(Обратите также внимание, что встроенный брандмауэр Windows знает о более высоких уровнях, чем просто порты TCP: он также может ограничивать доступ к отдельным службам RPC, даже если они работают на общем порту. Это также означает, что общий доступ к файлам SMB не обязательно автоматически предоставляет доступ RPC-over-SMB.)

Существуют исключения из "той же подсети", которые используются по умолчанию (например, удаленный рабочий стол широко открыт, поскольку MS доверяет NLA), но их легко изменить с помощью wf.msc .

Это приводит ко второй причине: даже если в профиле были неправильные значения по умолчанию, наличие двух настраиваемых профилей само по себе является функцией, полезной для многих опытных пользователей (которые по-прежнему могут настраивать как минимум настраиваемые правила для разных уровней безопасности).

В случае IPv4 между ними обычно есть NAT, который действует как брандмауэр.

NAT не действует как межсетевой экран; он используется в дополнение к брандмауэру. Да, вы могли бы сказать, что он обеспечивает дополнительный уровень для удаленных злоумышленников - из-за того, что частные адреса локальной сети не доступны в Интернете - но это не имеет ничего общего с реальной фильтрацией пакетов, которую делает брандмауэр.

Если у вас есть только NAT, но нет другой формы фильтрации пакетов, то у ваших ближайших соседей по глобальной сети все еще есть способы проникновения в вашу локальную сеть с помощью ip route add .

Некоторые маршрутизаторы (включая мой) имеют "брандмауэр IPv6", который просто отбрасывает весь входящий трафик IPv6. Но если я действительно хочу открыть хотя бы один входящий порт для какого-либо приложения (например, удаленного рабочего стола), то у меня нет выбора, кроме как открыть все для всех.

Это существенное упущение в прошивке вашего роутера. Если его брандмауэр поддерживает пользовательские правила «разрешить, запретить все» для входящего IPv4, то нет никаких причин, по которым он не может поддерживать то же самое для IPv6.

Как в IPv4, так и в IPv6 для маршрутизатора тривиально реализовать межсетевой экран, который проходит через входящие соединения только с конкретным хостом и / или только с конкретным портом. Большинство домашних маршрутизаторов даже не реализуют свои собственные; они поставляют стандартные Linux iptables, поэтому у них нет оправданий.

Если вы полностью уверены , что ваш маршрутизатор не предлагает пользовательских IPv6 правил (они могут быть названы "виртуальный сервер" или "перенаправление портов" , несмотря на не связанные с DNAT), проверьте, есть ли обновление прошивки доступно.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .