在令人难忘的过去生活在消费级路由器的后面,我想我认为NAT的副作用是理所当然的,因为我有负担在需要时转发端口的负担,而不必使用软件防火墙来管理它们。
如果没有IPv6可以解决的地址转换问题,并且仍然使用端口,那么现在是我的责任吗?是什么自动改变了IPv6世界中的探测流量?
我是否必须积极尝试在防御RPD或SSH请求等方面采取防御措施,还是应该对更新的现代OS充满信心,从而使我不必考虑这些事情?
如果ISP正在提供IPv6,那么在启用之前,普通网民是否需要了解它?
在令人难忘的过去生活在消费级路由器的后面,我想我认为NAT的副作用是理所当然的,因为我有负担在需要时转发端口的负担,而不必使用软件防火墙来管理它们。
如果没有IPv6可以解决的地址转换问题,并且仍然使用端口,那么现在是我的责任吗?是什么自动改变了IPv6世界中的探测流量?
我是否必须积极尝试在防御RPD或SSH请求等方面采取防御措施,还是应该对更新的现代OS充满信心,从而使我不必考虑这些事情?
如果ISP正在提供IPv6,那么在启用之前,普通网民是否需要了解它?
Answers:
在过去十年的大部分时间里使用IPv6并观察了变化的发展,我对此有一点看法。
这里最重要的一点是:NAT不是防火墙。这是两个完全不同的东西。在Linux中,它恰好是作为防火墙代码的一部分实现的,但这只是实现细节,在其他操作系统上并不一定是这种情况。
一旦您完全了解路由器中保护家庭网络的内容就是防火墙,而不是NAT,其余的就到位了。
为了回答您的其余问题,让我们看一下真实的实时IPv6路由器固件,OpenWrt版本14.07 Barrier Breaker。在此路由器中,默认情况下启用IPv6,并且使用带有前缀委托的DHCPv6即可开箱即用,这是ISP将地址空间分配给客户的最常见方式。
与任何合理的防火墙一样,OpenWrt的防火墙配置默认情况下会阻止所有入站流量。它包含了一种为NATted IPv4连接设置端口转发规则的方法,就像其他大多数路由器一样。它还具有一个流量规则部分,用于允许转发特定流量。这就是您用来允许入站IPv6流量的方法。
我见过的大多数使用IPv6的家用路由器默认情况下也支持防火墙入站IPv6流量,尽管它们可能无法提供转发入站流量的简便方法,否则可能会造成混乱。但是由于我从来没有在任何家用路由器上实际使用过工厂固件,(OpenWrt 更好),所以它从未影响过我。
确实,许多人现在正在使用IPv6,并且绝对不知道是这种情况。当他们的ISP启用它时,他们的家庭路由器会收到DHCPv6响应,并提供地址和“一切正常”。如果我不需要多于一个/ 64,我可以使用零配置插入它。我必须进行更改以获取更大的前缀委托,尽管这很容易。
最后,还有另外一件事:如果您今天在IPv4 Internet上拥有一个系统,它将在各种端口上进行各种入站连接尝试,尝试利用已知的漏洞或暴力密码。IPv4地址范围足够小,可以在不到一天的时间内对其进行完整扫描。但是在IPv6上,近十年来我从未在任何端口上看到过这样的连接尝试。地址的主机部分大得多,因此几乎无法扫描范围。但是您仍然需要防火墙。无法通过IP地址扫描找到您的事实并不意味着您不会因为已经知道您的地址的人而成为目标,因为他们将其发送到其他地方。
简而言之,总的来说,您不必太担心传入的IPv6流量,因为默认情况下将对它进行防火墙保护,并且由于无法轻松扫描IPv6地址范围。对于许多人来说,IPv6将自动启动,他们将永远不会注意到。
NAT确实在安全性方面做得很少。要实现NAT,您基本上必须有一个状态包过滤器。
拥有状态数据包过滤器仍然是使用IPv6进行安全保护的强烈要求。您将不再需要地址转换,因为我们有很多地址空间。
有状态的数据包筛选器是允许传出流量而不允许传入流量的过滤器。因此,在防火墙/路由器上,您将设置规则来定义内部网络,然后您可以允许内部网络建立出站连接,但不允许其他任何网络连接到内部主机,除非回复您的请求。如果您在内部运行服务,则可以设置规则以允许该特定服务的流量。
我希望IPv6消费类路由器已经做到这一点,或者将来会开始实现这一点。如果使用的是自定义路由器,则可能需要自己进行管理。
NAT并不是真正的安全性,只是出于某种默默无闻的目的.Internet和大多数工具旨在始终用于端到端。我会像对待开放式Internet上的系统一样对待nat 背后的任何单个系统。
值得考虑的是从最小的本机(Teredo),隧道(以及不同的协议在不同的情况下都可以正常工作),ipv6rd(本质上是ISP运行的隧道)中获取ipv6访问的不同机制,这是快速获取ipv6的好方法现有的ipv4网络)(本地)(我相信我们使用SLAAC和NDP)。
如果您使用的窗口框不是很古老(XP或更高级的窗口框-但我没有比SP3框差的任何东西,并且处于受压状态),则可以选择不支持本机的Teredo。您可能已经在ipv6上并没有意识到它。Teredo很烂,除非在某些情况下值得将其明确关闭。
隧道需要某种客户端,这比本机安装还要费劲。
除此之外,几乎不可能偶然地设置本机 ipv6。即使您的现代路由器支持它,也需要明确设置它,并且通常使用3-4种不同的机制。我的ISP在不同的物理连接上使用ipv6rd和SLAAC,并且说明与在厕所中的文件柜等效。另一种选择是一条隧道,这实际上至少需要一个小时的工作。
我对待开放给IPV6网络的任何系统都将与开放互联网上的任何其他系统相同。如果不需要ipv6,请将其关闭。它是微不足道的,而我已经在XP系统中做到了这一点。如果是这样,请确保其安全。在当前过渡时期,几乎没有什么绝对依赖于ipv6并不能退回到ipv4。一个值得注意的例外是Windows 7或更高版本上的家庭组
好消息是,大多数支持ipv6的现代操作系统都为IPV6配备了自己的防火墙,锁定它们应该没有太大的麻烦。
IPv6也有一个奇怪的优势。使用ipv4,您经常会遇到许多漏洞,这些漏洞会随机扫描您的开放端口。IPv4 NAT通过将客户端隐藏在主要IP地址后面来缓解这种情况。IPv6通过拥有巨大的地址空间来缓解这种情况,完全扫描是不现实的。
归根结底,NAT并不是一种安全工具,它是用来解决一个非常具体的问题(分配公共IP地址的困难)的工具,这使得从外部访问网络更加困难。在路由器固件被黑客入侵和大规模僵尸网络时代,我建议将任何系统,ipv4或6都视为开放,端到端的互联网。锁定它,打开所需的东西,不必担心,因为您拥有实际的安全性,而不是硬纸板警察。
如果没有IPv6可以解决的地址转换问题,并且仍然使用端口,那么现在是我的责任吗?
如果没有NAT,则路由器后面的所有内容都具有唯一的公用IP地址。
典型的消费类路由器执行除路由之外的许多功能:
如果不需要NAT,则不必使用它,尽管防火墙仍然可以使用。如果进行路由的设备不进行防火墙保护(除非是企业路由器,否则可能不会进行防火墙保护),则必须添加单独的设备来进行防火墙保护。
因此,如果您想在IPv6路由器上“打开端口”,并且该路由器的行为像大多数普通的消费类路由器一样,您可以告诉路由器的防火墙部分允许所需端口/协议上的传入流量。对您来说,主要的不同是您不再需要指定网络上应该使用的专用IP。
是什么自动改变了IPv6世界中的探测流量?
除非设备具有防火墙功能并将其设置为明智的默认设置,否则任何情况都不会发生,在任何消费类IPv6路由器上可能都是这种情况。
总而言之,您需要充当防火墙来过滤您不想通过IPv6通过路由器的流量。
与ipv4相同。不要让您的计算机受到恶意软件的感染,并成为用于发送垃圾邮件,执行ddos攻击和其他任何对互联网有害的僵尸网络的一部分。不要运行暴露在互联网上的任何不安全的服务。等等。
您可以阻止ssh,但是如果您仅阻止root登录并仅允许登录密钥,则基本上任何人都无法侵入(假设您拥有所有最新版本或旧版本并提供了反向移植的错误修复程序)。您还可以使用诸如fail2ban之类的东西,它不会完全阻止它,而只有在一定数量的登录尝试失败之后才将其阻止。