Trách nhiệm của chủ sở hữu IPv6 là gì?

Sống đằng sau một bộ định tuyến cấp tiêu dùng cho quá khứ đáng nhớ, tôi đoán tôi đã chấp nhận tác dụng phụ của NAT, trong đó tôi có gánh nặng chuyển tiếp cổng khi tôi cần, thay vì phải quản lý chúng bằng tường lửa phần mềm.

Nếu không có vấn đề dịch địa chỉ để giải quyết với IPv6 và nếu nó vẫn sử dụng các cổng, thì bây giờ tôi có trách nhiệm quản lý vấn đề này không? Điều gì tự động làm chệch hướng lưu lượng truy cập trong thế giới IPv6?

Tôi có phải chủ động cố gắng phòng thủ trong những việc như chặn yêu cầu RPD hoặc SSH không, hay tôi nên tự tin vào hệ điều hành hiện đại cập nhật giúp tôi không nghĩ về những điều này?

Nếu một ISP đang cung cấp IPv6, thì cư dân mạng trung bình có cần phải hiểu nó trước khi nó được kích hoạt không?

Đã sử dụng IPv6 cho phần còn lại của một thập kỷ và xem các thay đổi diễn ra, tôi có một chút quan điểm về điều này.

Điểm quan trọng nhất ở đây là: NAT không phải là tường lửa. Đây là hai điều hoàn toàn khác biệt. Trong Linux, nó được triển khai như một phần của mã tường lửa, nhưng đây chỉ là một chi tiết triển khai và không nhất thiết phải như vậy trên các hệ điều hành khác.

Một khi bạn hoàn toàn hiểu rằng thứ trong bộ định tuyến bảo vệ mạng gia đình của bạn là tường lửa chứ không phải NAT, thì phần còn lại rơi vào vị trí.

Để trả lời phần còn lại của câu hỏi của bạn, chúng ta hãy xem phần sụn của bộ định tuyến IPv6 thực, phiên bản OpenWrt phiên bản 14,07 Barrier Breaker. Trong bộ định tuyến này, IPv6 được bật theo mặc định và hoạt động tốt khi sử dụng DHCPv6 với ủy quyền tiền tố, cách phổ biến nhất mà các ISP sẽ gán không gian địa chỉ cho khách hàng.

Cấu hình tường lửa của OpenWrt, giống như bất kỳ tường lửa hợp lý nào, chặn tất cả lưu lượng truy cập vào theo mặc định. Nó chứa một cách để thiết lập các quy tắc chuyển tiếp cổng cho các kết nối IPv4 NATted, vì hầu hết mọi bộ định tuyến khác đều có trong nhiều năm. Nó cũng có một phần quy tắc giao thông để cho phép chuyển tiếp lưu lượng truy cập cụ thể; đây là những gì bạn sử dụng thay vì cho phép lưu lượng IPv6 gửi đến.

Hầu hết các bộ định tuyến gia đình tôi đã thấy với hỗ trợ IPv6 cũng có tường lửa lưu lượng truy cập IPv6 theo mặc định, mặc dù chúng có thể không cung cấp một cách dễ dàng để chuyển tiếp lưu lượng truy cập trong nước hoặc có thể gây nhầm lẫn. Nhưng vì tôi không bao giờ thực sự sử dụng firmware nhà máy trên bất kỳ bộ định tuyến gia đình nào, (OpenWrt tốt hơn nhiều ) nên nó không bao giờ ảnh hưởng đến tôi.

Thật vậy, nhiều người đang sử dụng IPv6 ngay bây giờ và hoàn toàn không biết rằng đây là trường hợp. Khi các ISP của họ kích hoạt nó, các bộ định tuyến gia đình của họ đã nhận được các phản hồi DHCPv6 và cung cấp địa chỉ cũng như mọi thứ vừa hoạt động. Nếu tôi không cần nhiều hơn a / 64, tôi có thể chỉ cần cắm nó với cấu hình bằng không. Tôi đã phải thực hiện một thay đổi để có được một phái đoàn tiền tố lớn hơn, mặc dù điều này là đủ dễ dàng.

Cuối cùng, có một điều nữa: Nếu bạn có một hệ thống trên Internet IPv4 ngày hôm nay, nó sẽ nhận được tất cả các loại kết nối gửi đến trên nhiều cổng khác nhau, cố gắng khai thác các lỗ hổng đã biết hoặc mật khẩu vũ phu. Phạm vi địa chỉ IPv4 đủ nhỏ để có thể quét toàn bộ trong vòng chưa đầy một ngày. Nhưng trên IPv6, trong gần một thập kỷ, tôi chưa bao giờ thấy một nỗ lực kết nối như vậy trên bất kỳ cổng nào. Kích thước lớn hơn nhiều của phần máy chủ của địa chỉ khiến cho việc quét phạm vi hầu như không thể. Nhưng bạn vẫn cần tường lửa; thực tế là bạn không thể tìm thấy từ quét địa chỉ IP không có nghĩa là bạn không thể bị nhắm mục tiêu bởi một người đã biết địa chỉ của bạn vì họ đã nhận được nó ở một nơi khác.

Nói chung, nói chung, không, bạn sẽ không phải quá lo lắng về lưu lượng IPv6 đến bởi vì nó sẽ được tường lửa theo mặc định và vì phạm vi địa chỉ IPv6 không thể quét dễ dàng. Và đối với nhiều người, IPv6 sẽ tự động xuất hiện và họ sẽ không bao giờ để ý.

NAT thực sự đã làm rất ít cho an ninh. Để thực hiện NAT về cơ bản bạn phải có một bộ lọc gói trạng thái.

Có một bộ lọc gói trạng thái vẫn là một yêu cầu mạnh mẽ để được bảo mật với IPv6; bạn đơn giản không còn cần dịch địa chỉ vì chúng tôi có nhiều không gian địa chỉ.

Bộ lọc gói trạng thái là những gì cho phép lưu lượng đi mà không cho phép lưu lượng đến. Vì vậy, trên tường lửa / bộ định tuyến của bạn, bạn sẽ thiết lập các quy tắc xác định mạng nội bộ của bạn là gì và sau đó bạn có thể cho phép mạng nội bộ của mình thực hiện kết nối ra ngoài, nhưng không cho phép bất kỳ mạng nào khác kết nối với máy chủ nội bộ của bạn, ngoại trừ khi trả lời yêu cầu của bạn . Nếu bạn đang chạy các dịch vụ trong nội bộ, bạn có thể thiết lập các quy tắc để cho phép lưu lượng truy cập cho dịch vụ cụ thể đó.

Tôi hy vọng các bộ định tuyến người tiêu dùng IPv6 đã làm điều này hoặc sẽ bắt đầu thực hiện điều này trong tương lai. Nếu bạn đang sử dụng một số bộ định tuyến tùy chỉnh, bạn có thể phải tự quản lý việc này.

NAT không thực sự bảo mật, ngoại trừ bởi một loại tối nghĩa nhất định. Internet và hầu hết các công cụ được thiết kế để được sử dụng từ đầu đến cuối. Tôi sẽ đối xử với bất kỳ hệ thống cá nhân nào đằng sau một người giống như cách tôi đối xử với một hệ thống trên internet mở.

Giá trị của nó khi xem xét các cơ chế khác nhau để có quyền truy cập ipv6, từ bản gốc ít nhất (Teredo), Đường hầm (và có các giao thức khác nhau hoạt động tốt trong các tình huống khác nhau), ipv6rd (về cơ bản là một đường hầm chạy ISP, đó là cách tốt để nhanh chóng có được ipv6 một mạng ipv4 hiện có), thành nguồn gốc (Chúng tôi sử dụng SLAAC và NDP tôi tin).

Nếu bạn đang sử dụng hộp cửa sổ ít cổ xưa hơn (XP hoặc tốt hơn - nhưng tôi không có gì tệ hơn hộp SP3, và đó là điều khó khăn), bạn có thể có tùy chọn hỗ trợ teredo không bản địa . Bạn có thể đã ở trên ipv6 và không nhận ra điều đó. Teredo loại hút và ngoại trừ trong một vài tình huống giá trị của nó rõ ràng tắt nó.

Các đường hầm cần một máy khách nào đó, và nó thậm chí còn hoạt động nhiều hơn cài đặt gốc.

Bên ngoài ts này gần như không thể thiết lập ipv6 bản địa một cách tình cờ. Ngay cả khi bộ định tuyến hiện đại của bạn hỗ trợ nó, bạn cần phải thiết lập một cách rõ ràng và có 3-4 cơ chế khác nhau được sử dụng chung. ISP của tôi sử dụng ipv6rd và SLAAC trên các kết nối vật lý khác nhau và các hướng dẫn tương đương với tủ hồ sơ trong nhà vệ sinh. Giải pháp thay thế là một đường hầm và về cơ bản ít nhất là một giờ làm việc.

Tôi sẽ đối xử với bất kỳ hệ thống nào mở cho các mạng IPV6 giống như bất kỳ hệ thống nào khác trên internet mở. Nếu nó không cần ipv6, hãy tắt nó đi. Nó tầm thường và tôi đã làm điều này với các hệ thống XP của mình. Nếu có, hãy chắc chắn rằng nó được bảo mật. Có rất ít thứ hoàn toàn dựa vào ipv6 trong giai đoạn chuyển tiếp hiện tại không thể quay lại ipv4. Một ngoại lệ đáng chú ý là các nhóm nhà trên windows 7 trở lên

Tin tốt là hầu hết các hệ điều hành hiện đại có hỗ trợ ipv6 đều có tường lửa riêng cho IPV6 và bạn không nên gặp quá nhiều khó khăn khi khóa chúng.

IPv6 cũng có một lợi thế kỳ lạ. Với ipv4, bạn thường có nhiều lần khai thác quét ngẫu nhiên các cổng mở. IPv4 NAT giảm thiểu một chút bằng cách ẩn các máy khách đằng sau một địa chỉ IP chính. IPv6 giảm thiểu rằng bằng cách có một không gian địa chỉ khổng lồ, việc quét hoàn toàn là không thể.

Vào cuối ngày, NAT không phải là một công cụ bảo mật - công cụ của nó nhằm giải quyết một vấn đề rất cụ thể (khó khăn trong việc gán địa chỉ IP công cộng), khiến việc truy cập mạng từ bên ngoài trở nên khó khăn hơn một chút TINY. Trong kỷ nguyên hack phần mềm bộ định tuyến và các botnet lớn, tôi khuyên bạn nên xử lý bất kỳ hệ thống nào , ipv4 hoặc 6 như thể nó đang ở trên mạng mở, kết thúc để kết thúc internet. Khóa nó lại, mở ra những gì bạn cần, và không phải lo lắng nhiều vì bạn có bảo mật thực sự , thay vì một cảnh sát tông.

Nếu không có vấn đề dịch địa chỉ để giải quyết với IPv6 và nếu nó vẫn sử dụng các cổng, thì bây giờ tôi có trách nhiệm quản lý vấn đề này không?

Không có NAT, mọi thứ phía sau bộ định tuyến của bạn có một địa chỉ IP công cộng duy nhất.

Các bộ định tuyến tiêu dùng thông thường thực hiện nhiều chức năng khác ngoài định tuyến:

• lọc tường lửa / gói / "Kiểm tra gói trạng thái"
• NAT
• DHCP
• v.v.

Nếu NAT không cần thiết, nó không phải được sử dụng, mặc dù tường lửa vẫn có thể ở đó và được sử dụng. Nếu thiết bị thực hiện định tuyến không thực hiện tường lửa (có thể không phải là trường hợp trừ khi đó là bộ định tuyến doanh nghiệp), bạn phải thêm một thiết bị riêng để thực hiện việc đó.

Vì vậy, nếu bạn muốn "mở cổng" trên bộ định tuyến IPv6 và nếu bộ định tuyến đó hoạt động giống như hầu hết các bộ định tuyến tiêu dùng thông thường, bạn nói với phần tường lửa của bộ định tuyến để cho phép lưu lượng đến trên cổng / giao thức bạn muốn. Sự khác biệt chính có thể nhìn thấy đối với bạn là bạn không còn phải chỉ định IP riêng nào trên mạng của mình.

Điều gì tự động làm chệch hướng lưu lượng truy cập trong thế giới IPv6?

Không có gì, trừ khi thiết bị có chức năng tường lửa và nó được đặt thành mặc định hợp lý, có lẽ là trường hợp trên bất kỳ bộ định tuyến IPv6 tiêu dùng nào.

Tóm lại, bạn cần một cái gì đó hoạt động như một tường lửa để lọc lưu lượng truy cập mà bạn không muốn di chuyển qua bộ định tuyến của mình bằng IPv6.

Tương tự như với ipv4. Đừng để máy tính của bạn bị nhiễm phần mềm độc hại và trở thành một phần của mạng botnet được sử dụng để gửi thư rác, thực hiện các cuộc tấn công ddos ​​và bất kỳ điều gì khác có hại cho internet. Đừng chạy bất kỳ dịch vụ không an toàn nào tiếp xúc với internet. Và như vậy.

Bạn có thể chặn ssh nhưng nếu bạn chỉ chặn đăng nhập root và chỉ cho phép khóa để đăng nhập thì về cơ bản mọi người sẽ không thể hack được (giả sử bạn có tất cả các phiên bản mới nhất hoặc phiên bản cũ có sửa lỗi backported). Bạn cũng có thể sử dụng như một cái gì đó như fail2ban mà không chặn hoàn toàn nhưng chỉ sau một số lần thử đăng nhập thất bại.