Какова ответственность владельца IPv6?

28

Живя за маршрутизатором потребительского уровня для незабываемого прошлого, я полагаю, что я воспринял побочный эффект NAT как должное в том, что у меня было бремя перенаправления портов, когда мне было нужно, вместо того, чтобы управлять ими с помощью программного брандмауэра.

Если проблема с преобразованием адресов не решается с помощью IPv6, и если он по-прежнему использует порты, то теперь я отвечаю за это? Что автоматически отклоняет зондирующий трафик в мире IPv6?

Должен ли я активно пытаться защищаться от таких вещей, как блокирование запросов RPD или SSH, или я должен быть уверен в том, что обновленная современная ОС избавит меня от размышлений об этих вещах?

Если провайдер предоставляет IPv6, нужно ли его понимать среднему пользователю сети, прежде чем он будет включен?

Луис
источник
@Zoredache Спасибо, я возьму несколько, чтобы потреблять все это.
Луи
Когда вы решили настроить ipv6, стоит обратить внимание на механизм, используемый вашим провайдером. Мой использует ipv6rd на кабеле и SLAAC на оптоволокне. Я также хотел бы отметить, что ipv6 - это не все или ничего - я отключаю ipv6 на на систему уровень - Если она не нужна, ее тривиальной , чтобы выключить его ..
подмастерье Geek
@JourneymanGeek будет делать. Я уже отключил его на маршрутизаторе, потому что я определенно почувствовал, что не существует ничего подобного обычной защите, которая, по-видимому, существует, предлагаемая как услуга, и оборудование продавалось мне. Я пока не настолько смел, чтобы отключить его в Windows, поскольку некоторые службы и программное обеспечение предпочитают локальные адреса, и я пока не знаю, что значит его перестраивать.
Луи

Ответы:

32

Используя IPv6 в течение большей части десятилетия и наблюдая за происходящими изменениями, у меня есть немного перспективы на этот счет.

Наиболее важный момент здесь заключается в следующем: NAT не является брандмауэром. Это две совершенно разные вещи. В Linux это происходит как часть кода брандмауэра, но это всего лишь деталь реализации, и это не обязательно так в других операционных системах.

Как только вы полностью поймете, что в маршрутизаторе, защищающем вашу домашнюю сеть, находится межсетевой экран , а не NAT, все остальное встает на свои места.

Чтобы ответить на остальную часть вашего вопроса, давайте взглянем на реальное встроенное ПО маршрутизатора IPv6, версия OpenWrt 14.07 Barrier Breaker. В этом маршрутизаторе IPv6 включен по умолчанию и работает из коробки с использованием DHCPv6 с делегированием префикса, наиболее распространенным способом, которым интернет-провайдеры назначают адресное пространство клиентам.

Конфигурация брандмауэра OpenWrt, как и любой разумный брандмауэр, по умолчанию блокирует весь входящий трафик. Он содержит способ настройки правил переадресации портов для подключений IPv4 с протоколом NAT, как у большинства других маршрутизаторов годами. Он также имеет раздел правил дорожного движения, позволяющий переадресовывать определенный трафик; это то, что вы используете вместо этого, чтобы разрешить входящий трафик IPv6.

Большинство домашних маршрутизаторов, которые я видел с поддержкой IPv6, по умолчанию также поддерживают входящий трафик IPv6 брандмауэра, хотя они могут не обеспечивать простой способ пересылки входящего трафика, или это может сбивать с толку. Но так как я никогда не использую заводскую прошивку на любом домашнем маршрутизаторе (OpenWrt намного лучше ), это никогда не затрагивало меня.

Действительно, многие люди используют IPv6 прямо сейчас и абсолютно не подозревают, что это так. Когда их провайдеры включили его, их домашние маршрутизаторы приняли ответы DHCPv6 и предоставили адреса и все, что только что работало. Если бы мне не нужно больше, чем / 64, я мог бы просто подключить его с нулевой конфигурацией. Мне пришлось внести одно изменение, чтобы получить большее делегирование префикса, хотя это достаточно просто.

Наконец, есть еще одна вещь: если у вас сегодня есть система в Интернете IPv4, она получает всевозможные попытки входящих подключений к различным портам, пытаясь использовать известные уязвимости или пароли с перебором. Диапазон адресов IPv4 достаточно мал, чтобы его можно было сканировать полностью менее чем за день. Но на IPv6 почти десять лет я никогда не видел такой попытки подключения ни на одном порту. Гораздо больший размер хост-части адреса делает сканирование диапазона практически невозможным. Но вам все еще нужен брандмауэр; тот факт, что вы не можете быть найдены при сканировании IP-адреса, не означает, что вы не можете быть целью кого-то, кто уже знает ваш адрес, потому что он получил его где-то еще.


Короче говоря, как правило, нет, вам не нужно слишком беспокоиться о входящем трафике IPv6, потому что по умолчанию он будет защищен брандмауэром, а диапазоны адресов IPv6 не могут быть легко сканированы. И для многих IPv6 включится автоматически, и они никогда не заметят.

Майкл Хэмптон
источник
Я бы добавил сторонние прошивки, которые я использовал, мне пришлось явно включить IPv6, и хотя бы у одной из них не было брандмауэра ipv6. По крайней мере, с моим провайдером и маршрутизаторами, маловероятно, что вы просто «возьмете» ipv6 и начнете его использовать.
подмастерье Компьютерщик
Хм, кажется, я вспомнил, что у ASUS (может быть?) Был отключен IPv6 по умолчанию и нет очевидного брандмауэра. Это было это?
Майкл Хэмптон
Нет брандмауэра. Я думаю, вы, вероятно, помните это из-за проблем, которые у меня были с клиентами 802.11g.
подмастерье Компьютерщик
OpenWRT действительно подключи и играй (почти?). Отправляйтесь
Луи
Кстати, это не главное, но мне действительно нравится твое "наконец-то". Я знал о ZMap и о том, как быстро можно сканировать адресное пространство IPv4 с небольшими ресурсами, и я могу понять размер 2 ^ 32 и подумать о вещах, которые я мог бы использовать для описания. Но даже если публично адресуемые адреса составляют лишь небольшую часть пространства IPv6, я могу понять, что не могу понять размер 2 ^ 128.
Луи
13

NAT действительно сделал очень мало для безопасности. Для реализации NAT вы должны иметь фильтр пакетов с отслеживанием состояния.

Наличие фильтра с сохранением состояния по-прежнему является строгим требованием для обеспечения безопасности с IPv6; вам просто больше не нужна трансляция адресов, так как у нас много адресного пространства.

Фильтр пакетов с состоянием - это то, что разрешает исходящий трафик без разрешения входящего трафика. Таким образом, на вашем брандмауэре / маршрутизаторе вы будете устанавливать правила, которые определяют, какова ваша внутренняя сеть, а затем вы можете разрешить внутренней сети устанавливать исходящие соединения, но не разрешать другим сетям подключаться к вашим внутренним хостам, кроме как в ответ на ваши запросы. , Если вы используете службы внутри компании, вы можете установить правила, разрешающие трафик для этой конкретной службы.

Я ожидаю, что потребительские маршрутизаторы IPv6 либо уже сделают это, либо начнут реализовывать это в будущем. Если вы используете какой-то пользовательский маршрутизатор, вам, возможно, придется управлять этим самостоятельно.

Zoredache
источник
Рад, спасибо за каннокальную ссылку, и делюсь этим. Я думаю, что понял. Мой роутер не поддерживает IPv6. Однако оно действительно запускает ядро ​​Linux, и у меня сложилось впечатление, что пользователи, получающие эту работу, были либо экспертами по многим вещам, не очень известным, либо просто полуслепо экспериментировали, как mysyelf. Я позволю этому потусоваться немного. Но я скажу, что независимо от того, что сделал маленький NAT, я никогда не видел бесконечных проб в моих журналах, которые я вижу на своих публичных машинах в работе.
Луи
Итак, в заключение: ничего не изменилось; Потребительский IPv6 будет иметь разумно безопасные настройки. Люди, подключающиеся напрямую к модемам, будут иметь те же обязанности, что и IPv4 ...?
Луи
1
Брандмауэр не должен быть с состоянием. Большинство угроз, с которыми люди сталкиваются при развертывании брандмауэров, могут быть устранены путем отклонения входящих пакетов SYN и разрешения всего остального. Конечно, вы можете добиться большего успеха, используя брандмауэр с сохранением состояния, но вы также можете сделать и хуже. Были случаи, когда DoS-атаки блокировали брандмауэры из-за того, что брандмауэру не хватало памяти для отслеживания соединений. Обычно брандмауэр не знает, существует ли еще соединение на сервере, который он защищает, поэтому он не знает, какие соединения можно безопасно забыть, а какие следует запомнить.
Касперд
8

На самом деле NAT - это не безопасность, за исключением некоторой неясности. Интернет и большинство инструментов в любом случае предназначены для использования от начала до конца. Я бы относился к любой отдельной системе за нат так же, как к системе в открытом интернете.

Стоит рассмотреть различные механизмы получения доступа к ipv6, от наименее нативного (Teredo), Tunnels (и есть разные протоколы, которые хорошо работают в разных ситуациях), ipv6rd (по сути, туннель запуска ISP, это хороший способ быстро подключить ipv6). существующая сеть ipv4), к нативному (я полагаю, мы используем SLAAC и NDP).

Если вы работаете с не очень древней коробкой Windows (XP или лучше - но у меня нет ничего хуже коробки с SP3, и это под принуждением), у вас, вероятно, есть опция не нативной поддержки Teredo . Возможно, вы уже находитесь на ipv6 и не понимаете этого. Teredo отстой, но за исключением нескольких ситуаций его стоит явно отключить.

Туннелям нужен какой-то клиент, и это даже больше, чем нативная установка.

Вне этого почти невозможно установить родной ipv6 случайно. Даже там, где ваш современный маршрутизатор поддерживает его, вам необходимо точно настроить его, и в нем обычно используется 3-4 различных механизма. Мой Интернет-провайдер использует ipv6rd и SLAAC для разных физических соединений, а инструкции находятся в эквиваленте шкафа для хранения документов в туалете. Альтернативой является туннель, и это по крайней мере час работы.

Я бы относился к любой системе, открытой для сетей IPV6, так же, как к любой другой системе, находящейся в открытом Интернете. Если это не нужно ipv6, выключите его. Это тривиально, и я сделал это с моими системами XP. Если это так, убедитесь, что он защищен. В текущем переходном периоде очень мало того, что полностью зависит от ipv6 и не может вернуться к ipv4. Одно известное исключение - домашние группы на Windows 7 или позже

Хорошей новостью является то, что большинство современных ОС с поддержкой ipv6 имеют свои собственные брандмауэры для IPV6, и у вас не должно быть особых проблем с их блокировкой.

IPv6 также имеет странное преимущество. С ipv4 у вас часто было много эксплойтов, которые случайным образом сканировали вас на наличие открытых портов. IPv4 NAT немного смягчает это, скрывая клиентов за основным IP-адресом. IPv6 уменьшает, что, имея огромное адресное пространство, невозможно полностью сканировать.

В конце концов, NAT не является инструментом безопасности - он предназначен для решения очень специфической проблемы (трудности с назначением общедоступных IP-адресов), что делает доступ к сети извне немного сложнее. В эпоху хакерских прошивок роутеров и массовых ботнетов я бы посоветовал рассматривать любую систему, ipv4 или 6, как если бы она была в открытом, сквозном интернете. Зафиксируйте его, откройте все, что вам нужно, и не беспокойтесь так сильно, поскольку у вас есть реальная безопасность, а не картонный полицейский.

Подмастерье Компьютерщик
источник
«На самом деле NAT - это не безопасность, за исключением некоторой неясности», как же это неясно, когда речь идет о типичных широкополосных маршрутизаторах, которые используют NAPT? Ссылочная ссылка, например, на доступ к домашнему NAS (только не маршрутизируемый IP) извне без явной настройки? Или что еще нужно, кроме NAPT, для защиты домашнего NAS за обычным маршрутизатором NAPT?
Hyde
2
см. security.stackexchange.com/questions/8772/… superuser.com/questions/237790/does-nat-provide-security и ipv6friday.org/blog/2011/12/ipv6-nat . Именно его причина заключается не в безопасности, а в том, что он всегда связан с брандмауэром, который, к сожалению, не получает достаточного уважения. Перенаправление порта? Это брандмауэр. Отбрасывать пакеты? Межсетевой экран. Нэт в основном почтальон, который с радостью доставит почтовую бомбу. Брандмауэр - это парень, который слышит, как он тикает, и вызывает команду бомбардировщиков.
подмастерье Компьютерщик
2

Если проблема с преобразованием адресов не решается с помощью IPv6, и если он по-прежнему использует порты, то теперь я отвечаю за это?

Без NAT все, что находится за вашим маршрутизатором, имеет уникальный публичный IP-адрес.

Типичные потребительские маршрутизаторы выполняют множество функций, отличных от маршрутизации:

  • межсетевой экран / фильтрация пакетов / «Stateful Packet Inspection»
  • NAT
  • DHCP
  • и т.п.

Если NAT не нужен, его не нужно использовать, хотя брандмауэр все еще может быть там и использоваться. Если устройство, выполняющее маршрутизацию, не выполняет брандмауэр (скорее всего, это не так, если только это не корпоративный маршрутизатор), вам придется добавить отдельное устройство для этого.

Поэтому, если вы хотите «открыть порты» на маршрутизаторе IPv6 и если этот маршрутизатор ведет себя как большинство обычных потребительских маршрутизаторов, вы указываете брандмауэру часть вашего маршрутизатора разрешать входящий трафик на нужный порт / протокол. Основным видимым отличием для вас будет то, что вам больше не нужно будет указывать, к какому частному IP в вашей сети он должен перейти.

Что автоматически отклоняет зондирующий трафик в мире IPv6?

Ничего, если только у устройства нет функции брандмауэра и для него установлено разумное значение по умолчанию, что, вероятно, имеет место на любом потребительском маршрутизаторе IPv6.

Подводя итог, вам нужно что-то, действующее как брандмауэр для фильтрации трафика, который вы не хотите проходить через свой маршрутизатор с IPv6.

LawrenceC
источник
Спасибо, я думаю, что моя путаница заключалась в том, что мой маршрутизатор на самом деле не поддерживает его, или компания не поддерживает. Таким образом, я мог получить IPv ^ -адрес, только обойдя его или углубившись в мир * nix с WW-DRT (который также не поддерживает его, но посмотрите, на чем он работает). Кажется, заставить его работать - это что-то рискованное ... понимаете? Действительно не знал, что маршрутизаторы потребительского уровня имели это в виду.
Луи
Более новые маршрутизаторы потребительского уровня поддерживают это - я был на ipv6 целую вечность с первым asus, затем маршрутизатором dlink, оба со стоковой прошивкой. Забавно, но у asus точно нет брандмауэра ipv6, и я еще не проверял его на dlink. Хотя не помешало бы иметь брандмауэры для каждой системы
Journeyman Geek
Мне нравятся эти ответы - я знаю, чего хочу в следующем, - но то, что @JourneymanGeek показало забавным, заставляет меня задуматься, не был ли дан ответ на мой последний вопрос.
Луи
0

То же, что и с ipv4. Не позволяйте вашему компьютеру заражаться вредоносным ПО и становиться частью ботнета, используемого для рассылки спама, выполнения ddos-атак и всего остального, что плохо для Интернета. Не запускайте небезопасные службы, открытые для Интернета. И так далее.

Вы можете заблокировать ssh, но если вы просто заблокируете вход в систему root и разрешите только ключи для входа в систему, это сделает практически невозможным взлом любого пользователя (при условии, что у вас есть все последние версии или старые с исправленными ошибками). Вы также можете использовать что-то вроде fail2ban, который не блокирует его полностью, а только после определенного числа неудачных попыток входа в систему.

orange_juice6000
источник