Żyjąc za routerem klasy konsumenckiej dla pamiętnej przeszłości, sądzę, że wziąłem efekt uboczny NAT za pewnik, ponieważ miałem ciężar przekierowania portów, kiedy trzeba, zamiast zarządzać nimi za pomocą zapory programowej.
Jeśli nie ma problemu z translacją adresów w przypadku IPv6 i jeśli nadal używa on portów, czy teraz mam za to obowiązek zarządzać? Co automatycznie odbija ruch próbny w świecie IPv6?
Czy muszę aktywnie starać się być defensywnym w takich sprawach, jak blokowanie żądań RPD lub SSH, czy powinienem być pewny, że zaktualizowany nowoczesny system operacyjny nie pozwala mi myśleć o tych sprawach?
Jeśli dostawca usług internetowych dostarcza protokół IPv6, czy przeciętny internauta musi go zrozumieć, zanim zostanie włączony?
Odpowiedzi:
Korzystając z IPv6 przez większą część dekady i obserwując zmiany, mam na to trochę perspektyw.
Najważniejsze jest tutaj to, że NAT nie jest zaporą ogniową. To dwie zupełnie różne rzeczy. W Linuksie zdarza się, że jest implementowany jako część kodu zapory ogniowej, ale jest to jedynie szczegół implementacji i niekoniecznie ma to miejsce w przypadku innych systemów operacyjnych.
Gdy całkowicie zrozumiesz, że rzeczą w routerze chroniącym sieć domową jest zapora ogniowa , a nie NAT, wtedy reszta zaczyna działać .
Aby odpowiedzieć na resztę pytania, rzućmy okiem na prawdziwe oprogramowanie wewnętrzne routera IPv6, OpenWrt wersja 14.07 Barrier Breaker. W tym routerze protokół IPv6 jest domyślnie włączony i działa od razu przy użyciu protokołu DHCPv6 z delegowaniem prefiksu, co jest najczęstszym sposobem przydzielania przestrzeni adresowej klientom.
Konfiguracja zapory OpenWrt, podobnie jak każda rozsądna zapora, domyślnie blokuje cały ruch przychodzący. Zawiera sposób konfiguracji reguł przekierowania portów dla połączeń NATted IPv4, jak większość innych routerów ma od lat. Posiada również sekcję reguł ruchu umożliwiającą przekazywanie określonego ruchu; tego właśnie używasz, aby zezwolić na przychodzący ruch IPv6.
Większość routerów domowych, które widziałem z obsługą IPv6, domyślnie zapora przychodzi również z ruchu IPv6, chociaż mogą one nie zapewniać łatwego sposobu przekazywania ruchu przychodzącego lub może być mylące. Ale ponieważ nigdy nie używam fabrycznego oprogramowania układowego na żadnym routerze domowym (OpenWrt jest o wiele lepszy ), nigdy mnie to nie dotyczyło.
Rzeczywiście, wiele osób korzysta obecnie z IPv6 i absolutnie nie ma pojęcia, że tak jest. Kiedy ich dostawcy usług internetowych włączyli tę funkcję, ich routery domowe odebrały odpowiedzi DHCPv6 i udostępniły adresy oraz wszystko, co właśnie działało. Gdybym nie potrzebował więcej niż / 64, mógłbym po prostu podłączyć go z zerową konfiguracją. Musiałem dokonać jednej zmiany, aby uzyskać większą delegację prefiksu, choć jest to dość łatwe.
I wreszcie jeszcze jedna rzecz: jeśli masz dzisiaj system w Internecie IPv4, dostaje on różnego rodzaju próby połączeń przychodzących na różnych portach, próbując wykorzystać znane luki w zabezpieczeniach lub hasła typu „brute-force”. Zakres adresów IPv4 jest na tyle mały, że można go zeskanować w całości w ciągu niecałego dnia. Ale w IPv6 od prawie dekady nigdy nie widziałem takiej próby połączenia z żadnym portem. Znacznie większy rozmiar części hosta adresu sprawia, że skanowanie zakresu jest praktycznie niemożliwe. Ale nadal potrzebujesz zapory; fakt, że nie można cię znaleźć na podstawie skanowania adresu IP, nie oznacza, że nie możesz zostać zaatakowany przez kogoś, kto zna twój adres, ponieważ dostał go gdzie indziej.
Krótko mówiąc, ogólnie rzecz biorąc, nie, nie musisz się zbytnio przejmować przychodzącym ruchem IPv6, ponieważ domyślnie będzie on zaporą ogniową, a zakresy adresów IPv6 nie mogą być łatwo skanowane. I dla wielu osób IPv6 uruchomi się automatycznie i nigdy tego nie zauważy.
źródło
NAT naprawdę niewiele zrobił dla bezpieczeństwa. Aby zaimplementować NAT, musisz mieć stanowy filtr pakietów.
Posiadanie stanowego filtru pakietów jest nadal silnym wymogiem bezpieczeństwa z IPv6; po prostu nie potrzebujesz już tłumaczenia adresu, ponieważ mamy dużo przestrzeni adresowej.
Filtr pakietów stanowych pozwala na ruch wychodzący bez zezwolenia na ruch przychodzący. Tak więc na zaporze sieciowej / routerze skonfigurujesz reguły określające, czym jest twoja sieć wewnętrzna, a następnie możesz zezwolić swojej sieci wewnętrznej na nawiązywanie połączeń wychodzących, ale nie zezwalać innym sieciom na łączenie się z twoimi wewnętrznymi hostami, z wyjątkiem odpowiedzi na twoje żądania . Jeśli usługi są uruchamiane wewnętrznie, możesz skonfigurować reguły zezwalające na ruch dla tej konkretnej usługi.
Spodziewam się, że routery konsumenckie IPv6 już to robią lub zaczną to wdrażać w przyszłości. Jeśli używasz niestandardowego routera, może być konieczne samodzielne zarządzanie nim.
źródło
NAT nie jest tak naprawdę zabezpieczeniem, z wyjątkiem pewnego rodzaju niejasności. Internet i większość narzędzi są zaprojektowane tak, aby można było z nich korzystać od początku do końca. Traktowałbym każdy indywidualny system za nat w taki sam sposób, jak traktowałbym system w otwartym Internecie.
Warto wziąć pod uwagę różne mechanizmy uzyskiwania dostępu do protokołu ipv6, od najmniej rodzimych (Teredo), tuneli (i istnieją różne protokoły, które działają dobrze w różnych sytuacjach), ipv6rd (zasadniczo tunel prowadzony przez dostawcę usług internetowych, to dobry sposób na szybkie uzyskanie ipv6) istniejąca sieć ipv4), natywna (sądzę, że używamy SLAAC i NDP).
Jeśli jesteś na mniej niż całkowicie starożytne szyby box (XP lub lepszy - ale nie ma nic gorszego niż pudełko SP3, i to pod przymusem), prawdopodobnie masz możliwość braku rodzimego wsparcia teredo . Być może już korzystasz z ipv6 i nie zdajesz sobie z tego sprawy. Teredo jest do bani i poza kilkoma sytuacjami warto go wyraźnie wyłączyć.
Tunele potrzebują jakiegoś klienta, a to nawet więcej pracy niż instalacja natywna.
Poza tym prawie niemożliwe jest przypadkowe skonfigurowanie natywnego IPv6. Nawet tam, gdzie obsługuje go Twój nowoczesny router, musisz go wyraźnie skonfigurować, a są 3-4 różne mechanizmy w powszechnym użyciu. Mój ISP używa ipv6rd i SLAAC do różnych fizycznych połączeń, a instrukcje znajdują się w ekwiwalencie szafki na dokumenty w toalecie. Alternatywą jest tunel, a to zasadniczo co najmniej godzina pracy.
Traktowałbym każdy system otwarty dla sieci IPV6 tak samo, jak każdy inny system, który jest w otwartym Internecie. Jeśli nie potrzebuje ipv6, wyłącz go. Jest to banalne i zrobiłem to z moimi systemami XP. Jeśli tak, upewnij się, że jest zabezpieczony. W obecnym okresie przejściowym niewiele jest rzeczy, które absolutnie polegają na ipv6, które nie mogą wrócić do ipv4. Jednym godnym uwagi wyjątkiem są grupy domowe w systemie Windows 7 lub nowszym
Dobrą wiadomością jest to, że najnowocześniejsze systemy operacyjne z obsługą ipv6 mają własne zapory ogniowe dla IPV6 i nie powinieneś mieć problemów z ich blokowaniem.
IPv6 ma również dziwną zaletę. Dzięki ipv4 często miałeś wiele exploitów, które losowo skanowały cię w poszukiwaniu otwartych portów. NAT IPv4 łagodzi to nieco, ukrywając klientów za głównym adresem IP. IPv6 ogranicza to, że mając ogromną przestrzeń adresową, nie jest możliwe całkowite skanowanie.
W końcu NAT nie jest narzędziem bezpieczeństwa - ma na celu rozwiązanie bardzo konkretnego problemu (trudności w przypisywaniu publicznych adresów IP), co sprawia, że dostęp do sieci z zewnątrz jest TANY nieco trudniejszy. W erze włamań do routera i ogromnych botnetów sugerowałbym traktowanie dowolnego systemu, ipv4 lub 6, tak jakby był otwarty, od końca do końca. Zablokuj to, otwórz to, czego potrzebujesz, i nie martw się tak bardzo, ponieważ masz rzeczywiste bezpieczeństwo, a nie tekturowego policjanta.
źródło
Bez NAT wszystko za routerem ma unikalny publiczny adres IP.
Typowe routery konsumenckie wykonują wiele funkcji innych niż routing:
Jeśli NAT nie jest potrzebny, nie musi być używany, chociaż zapora może nadal tam być i być używana. Jeśli urządzenie wykonujące routing nie wykonuje firewalla (prawdopodobnie nie jest to przypadek, chyba że jest to router korporacyjny), musisz dodać osobne urządzenie, aby to zrobić.
Jeśli więc chcesz „otworzyć porty” na routerze IPv6, a jeśli router zachowuje się jak większość zwykłych routerów konsumenckich, powiedz części zapory routera, aby zezwalał na ruch przychodzący na wybranym porcie / protokole. Główną widoczną różnicą dla ciebie byłoby to, że nie musisz już określać, do którego prywatnego adresu IP w sieci ma się udać.
Nic, chyba że urządzenie ma funkcję zapory i jest ustawiona na rozsądną wartość domyślną, co prawdopodobnie ma miejsce w przypadku dowolnego routera IPv6 dla konsumentów.
Podsumowując, potrzebujesz czegoś, co działa jak zapora ogniowa do filtrowania ruchu, którego nie chcesz przechodzić obok routera za pomocą IPv6.
źródło
Taki sam jak w przypadku ipv4. Nie pozwól, aby Twój komputer został zainfekowany złośliwym oprogramowaniem i stał się częścią botnetu używanego do wysyłania spamu, przeprowadzania ataków DDos i wszystkiego innego, co jest szkodliwe dla Internetu. Nie uruchamiaj żadnych niebezpiecznych usług udostępnianych w Internecie. I tak dalej.
Możesz zablokować ssh, ale jeśli po prostu zablokujesz logowanie roota i zezwolisz tylko na klucze do logowania, w zasadzie nikt nie będzie mógł się włamać (zakładając, że masz wszystkie najnowsze wersje lub stare z poprawionymi błędami). Możesz także użyć czegoś takiego jak fail2ban, który nie blokuje go całkowicie, ale tylko po pewnej liczbie nieudanych prób logowania.
źródło