IPv6所有者的责任是什么?


28

在令人难忘的过去生活在消费级路由器的后面,我想我认为NAT的副作用是理所当然的,因为我有负担在需要时转发端口的负担,而不必使用软件防火墙来管理它们。

如果没有IPv6可以解决的地址转换问题,并且仍然使用端口,那么现在是我的责任吗?是什么自动改变了IPv6世界中的探测流量?

我是否必须积极尝试在防御RPD或SSH请求等方面采取防御措施,还是应该对更新的现代OS充满信心,从而使我不必考虑这些事情?

如果ISP正在提供IPv6,那么在启用之前,普通网民是否需要了解它?



@Zoredache谢谢,我将花一些时间来消耗所有这些。
2014年

您决定设置ipv6后值得一看的东西是您的ISP使用的机制 -我的电缆使用ipv6rd而光纤使用SLAAC。我还要注意ipv6并非全有或全无-我禁用了ipv6一个每个系统级别-如果你不需要它,它的琐碎把它关掉。。
中级野人

@JourneymanGeek会做。我已经在路由器上禁用了它,因为我确实感觉到,没有什么像通常存在的保护那样明显存在,它是作为服务和硬件向我销售的。不过,我还不敢在Windows中禁用它,因为某些服务和软件似乎首选本地地址,而且我不知道重建它的含义。
2014年

Answers:


32

在过去十年的大部分时间里使用IPv6并观察了变化的发展,我对此有一点看法。

这里最重要的一点是:NAT不是防火墙。这是两个完全不同的东西。在Linux中,它恰好是作为防火墙代码的一部分实现的,但这只是实现细节,在其他操作系统上并不一定是这种情况。

一旦您完全了解路由器中保护家庭网络的内容就是防火墙,而不是NAT,其余的就到位了。

为了回答您的其余问题,让我们看一下真实的实时IPv6路由器固件,OpenWrt版本14.07 Barrier Breaker。在此路由器中,默认情况下启用IPv6,并且使用带有前缀委托的DHCPv6即可开箱即用,这是ISP将地址空间分配给客户的最常见方式。

与任何合理的防火墙一样,OpenWrt的防火墙配置默认情况下会阻止所有入站流量。它包含了一种为NATted IPv4连接设置端口转发规则的方法,就像其他大多数路由器一样。它还具有一个流量规则部分,用于允许转发特定流量。这就是您用来允许入站IPv6流量的方法。

我见过的大多数使用IPv6的家用路由器默认情况下也支持防火墙入站IPv6流量,尽管它们可能无法提供转发入站流量的简便方法,否则可能会造成混乱。但是由于我从来没有在任何家用路由器上实际使用过工厂固件,(OpenWrt 更好),所以它从未影响过我。

确实,许多人现在正在使用IPv6,并且绝对不知道是这种情况。当他们的ISP启用它时,他们的家庭路由器会收到DHCPv6响应,并提供地址和“一切正常”。如果我不需要多于一个/ 64,我可以使用零配置插入它。我必须进行更改以获取更大的前缀委托,尽管这很容易。

最后,还有另外一件事:如果您今天在IPv4 Internet上拥有一个系统,它将在各种端口上进行各种入站连接尝试,尝试利用已知的漏洞或暴力密码。IPv4地址范围足够小,可以在不到一天的时间内对其进行完整扫描。但是在IPv6上,近十年来我从未在任何端口上看到过这样的连接尝试。地址的主机部分大得多,因此几乎无法扫描范围。但是您仍然需要防火墙。无法通过IP地址扫描找到您的事实并不意味着您不会因为已经知道您的地址的人而成为目标,因为他们将其发送到其他地方。


简而言之,总的来说,您不必太担心传入的IPv6流量,因为默认情况下将对它进行防火墙保护,并且由于无法轻松扫描IPv6地址范围。对于许多人来说,IPv6将自动启动,他们将永远不会注意到。


我要添加使用的第一方固件,我必须显式打开IPv6,并且其中至少有一个没有ipv6防火墙。我的ISP和路由器最少,您不太可能“只是”拿起ipv6并开始使用它。
Journeyman Geek

嗯,我似乎想起了ASUS(也许是?)的某些功能,默认情况下关闭了IPv6,没有明显的防火墙。是吗
迈克尔·汉普顿

没有防火墙。我想您可能还记得我从802.11g客户端遇到的问题。
Journeyman Geek

OpenWRT确实是即插即用的(差不多吗?)。开箱即用:i.stack.imgur.com/cZ0hC.png
路易(Louis)

顺便说一句,这不是重点,但是我真的很喜欢你的“最终”。我知道ZMap,以及用很少的资源扫描IPv4地址空间的速度,并且我可以理解2 ^ 32的大小,并想到了可以用它来描述的东西。但是,即使可公开寻址的地址仅是IPv6空间的一小部分,我仍可以理解,我无法理解 2 ^ 128 的大小
路易斯

13

NAT确实在安全性方面做得很少。要实现NAT,您基本上必须有一个状态包过滤器。

拥有状态数据包过滤器仍然是使用IPv6进行安全保护的强烈要求。您将不再需要地址转换,因为我们有很多地址空间。

有状态的数据包筛选器是允许传出流量而不允许传入流量的过滤器。因此,在防火墙/路由器上,您将设置规则来定义内部网络,然后您可以允许内部网络建立出站连接,但不允许其他任何网络连接到内部主机,除非回复您的请求。如果您在内部运行服务,则可以设置规则以允许该特定服务的流量。

我希望IPv6消费类路由器已经做到这一点,或者将来会开始实现这一点。如果使用的是自定义路由器,则可能需要自己进行管理。


Rad,感谢您的规范链接,并与大家分享。我想我明白。我的路由器不支持IPv6。但是它确实运行Linux内核,从安装它给我的印象是,可以使用户正常工作的用户或者是许多未知领域的专家,或者只是半盲实验,例如mysyelf。我会让它闲逛一下。但是我要说的是,无论什么小NAT所做的事情,我从未见过我在工作中的公用机器上看到的日志中的无尽探测。
2014年

总而言之:一切都没有改变;消费者IPv6将具有合理的安全设置。人们直接插入调制解调器将承担与IPv4相同的职责……?
2014年

1
防火墙不必是有状态的。人们可以通过拒绝传入的SYN数据包并允许其他所有内容来解决人们在部署防火墙时所担心的大多数威胁。当然,使用有状态防火墙可以使性能更好,但是也可以使性能更差。在某些情况下,由于防火墙用尽了内存来跟踪连接,因此DoS攻击导致防火墙崩溃。通常,防火墙不知道该连接是否仍在受保护的服务器上,因此它不知道可以安全地忘记哪些连接,以及必须记住哪些连接。
kasperd 2014年

8

NAT并不是真正的安全性,只是出于某种默默无闻的目的.Internet和大多数工具旨在始终用于端到端。我会像对待开放式Internet上的系统一样对待nat 背后的任何单个系统。

值得考虑的是从最小的本机(Teredo),隧道(以及不同的协议在不同的情况下都可以正常工作),ipv6rd(本质上是ISP运行的隧道)中获取ipv6访问的不同机制,这是快速获取ipv6的好方法现有的ipv4网络)(本地)(我相信我们使用SLAAC和NDP)。

如果您使用的窗口框不是很古老(XP或更高级的窗口框-但我没有比SP3框差的任何东西,并且处于受压状态),则可以选择支持本机的Teredo。您可能已经在ipv6上并没有意识到它。Teredo很烂,除非在某些情况下值得将其明确关闭。

隧道需要某种客户端,这比本机安装还要费劲。

除此之外,几乎不可能偶然地设置本机 ipv6。即使您的现代路由器支持它,也需要明确设置它,并且通常使用3-4种不同的机制。我的ISP在不同的物理连接上使用ipv6rd和SLAAC,并且说明与在厕所中的文件柜等效。另一种选择是一条隧道,这实际上至少需要一个小时的工作。

我对待开放给IPV6网络的任何系统都将与开放互联网上的任何其他系统相同。如果不需要ipv6,请将其关闭。它是微不足道的,而我已经在XP系统中做到了这一点。如果是这样,请确保其安全。在当前过渡时期,几乎没有什么绝对依赖于ipv6并不能退回到ipv4。一个值得注意的例外是Windows 7或更高版本上的家庭组

好消息是,大多数支持ipv6的现代操作系统都为IPV6配备了自己的防火墙,锁定它们应该没有太大的麻烦。

IPv6也有一个奇怪的优势。使用ipv4,您经常会遇到许多漏洞,这些漏洞会随机扫描您的开放端口。IPv4 NAT通过将客户端隐藏在主要IP地址后面来缓解这种情况。IPv6通过拥有巨大的地址空间来缓解这种情况,完全扫描是不现实的。

归根结底,NAT并不是一种安全工具,它是用来解决一个非常具体的问题(分配公共IP地址的困难)的工具,这使得从外部访问网络更加困难。在路由器固件被黑客入侵和大规模僵尸网络时代,我建议将任何系统,ipv4或6都视为开放,端到端的互联网。锁定它,打开所需的东西,不必担心,因为您拥有实际的安全性,而不是硬纸板警察。


在谈论使用NAPT的典型宽带路由器时,“ NAT并不是真正的安全性,只是由于某种模糊性而已”。参考链接,例如,无需外部设置即可从外部访问家庭NAS(仅不可路由的IP)?或者,除了NAPT以外,还需要什么来保护典型NAPT路由器后面的家庭NAS?
海德2014年

2
看到security.stackexchange.com/questions/8772/... superuser.com/questions/237790/does-nat-provide-securityipv6friday.org/blog/2011/12/ipv6-nat。它的确切原因不是安全性,它总是与防火墙配对,可悲的是,防火墙没有得到足够的重视。转发端口?它是防火墙。丢包?防火墙。纳特(Nat)基本上是一个邮递员,他会很乐意交付邮件炸弹。防火墙是听到它滴答作响并呼叫炸弹小队的家伙。
Journeyman Geek

2

如果没有IPv6可以解决的地址转换问题,并且仍然使用端口,那么现在是我的责任吗?

如果没有NAT,则路由器后面的所有内容都具有唯一的公用IP地址。

典型的消费类路由器执行除路由之外的许多功能:

  • 防火墙/数据包筛选/“状态数据包检查”
  • NAT
  • DHCP服务器
  • 等等

如果不需要NAT,则不必使用它,尽管防火墙仍然可以使用。如果进行路由的设备不进行防火墙保护(除非是企业路由器,否则可能不会进行防火墙保护),则必须添加单独的设备来进行防火墙保护。

因此,如果您想在IPv6路由器上“打开端口”,并且该路由器的行为像大多数普通的消费类路由器一样,您可以告诉路由器的防火墙部分允许所需端口/协议上的传入流量。对您来说,主要的不同是您不再需要指定网络上应该使用的专用IP。

是什么自动改变了IPv6世界中的探测流量?

除非设备具有防火墙功能并将其设置为明智的默认设置,否则任何情况都不会发生,在任何消费类IPv6路由器上可能都是这种情况。

总而言之,您需要充当防火墙来过滤您不想通过IPv6通过路由器的流量。


谢谢,我认为我的困惑是我的路由器实际上不支持它,或者公司不支持。因此,我只能通过绕过它来获取一个IPv ^地址,或者使用WW-DRT(它也不支持它,而是看它在运行什么)来深入研究* nix世界。因此,让它正常工作似乎有些冒险...您知道吗?真的不知道消费级路由器会考虑到它。
路易斯

较新的消费级路由器支持它-我使用ipv6已有很长时间了,首先是华硕,然后是dlink路由器,两者都带有备用固件。有趣的是,华硕肯定没有ipv6防火墙,我还没有在dlink上对其进行检查。虽然不会伤害每个系统的防火墙
Journeyman Geek

我喜欢这些答案-我知道我的下一个答案-但是@JourneymanGeek有趣的发现让我想知道我的最后一个问题是否得到了回答。
2014年

0

与ipv4相同。不要让您的计算机受到恶意软件的感染,并成为用于发送垃圾邮件,执行ddos攻击和其他任何对互联网有害的僵尸网络的一部分。不要运行暴露在互联网上的任何不安全的服务。等等。

您可以阻止ssh,但是如果您仅阻止root登录并仅允许登录密钥,则基本上任何人都无法侵入(假设您拥有所有最新版本或旧版本并提供了反向移植的错误修复程序)。您还可以使用诸如fail2ban之类的东西,它不会完全阻止它,而只有在一定数量的登录尝试失败之后才将其阻止。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.