生活在消费级路由器后面,回忆起令人难忘的过去,我想我认为 NAT 的副作用是理所当然的,因为我有必要在需要时转发端口,而不是必须使用软件防火墙来管理它们。
如果 IPv6 没有地址转换问题需要解决,并且它仍然使用端口,那么现在我有责任管理这个问题吗?什么是自动偏转 IPv6 世界中的探测流量?
我是否必须积极尝试在诸如阻止 RPD 或 SSH 请求之类的事情上采取防御措施,还是应该对更新的现代操作系统充满信心,以免我考虑这些事情?
如果ISP在提供IPv6,是否需要普通网民理解才能启用?
Mic*_*ton 32
使用 IPv6 已经有 10 年的大部分时间了,看着这些变化,我对此有一些看法。
这里最重要的一点是:NAT 不是防火墙。这是完全不同的两件事。在 Linux 中,它恰好作为防火墙代码的一部分来实现,但这只是一个实现细节,在其他操作系统上不一定如此。
一旦您完全了解路由器中保护您的家庭网络的东西是防火墙,而不是 NAT,其余的就都到位了。
为了回答您的其余问题,让我们来看看真实的 IPv6 路由器固件 OpenWrt 版本 14.07 Barrier Breaker。在此路由器中,默认启用 IPv6,并使用带有前缀委派的 DHCPv6 开箱即用,这是 ISP 为客户分配地址空间的最常见方式。
OpenWrt 的防火墙配置,就像任何合理的防火墙一样,默认情况下会阻止所有入站流量。它包含一种为 NATted IPv4 连接设置端口转发规则的方法,就像大多数其他路由器多年来一样。它还有一个流量规则部分,用于允许转发特定流量;这是您用来允许入站 IPv6 流量的方法。
我见过的大多数支持 IPv6 的家庭路由器默认情况下也会防火墙入站 IPv6 流量,尽管它们可能无法提供转发入站流量的简单方法,或者可能会造成混淆。但是因为我从来没有在任何家用路由器上实际使用工厂固件,(OpenWrt好得多)它从来没有影响过我。
事实上,现在很多人都在使用 IPv6,但完全不知道是这种情况。当他们的 ISP 启用它时,他们的家庭路由器接收 DHCPv6 响应并提供地址和一切正常工作。如果我不需要超过 /64,我可以用零配置插入它。我不得不做一个改变以获得更大的前缀委托,尽管这很容易。
最后还有一件事:如果您今天在 IPv4 Internet 上有一个系统,它会在各种端口上进行各种入站连接尝试,试图利用已知漏洞或蛮力密码。IPv4 地址范围足够小,可以在不到一天的时间内对其进行完整扫描。但是在 IPv6 上,近十年来我从未在任何端口上看到过这样的连接尝试。地址的主机部分的大得多的大小使得扫描范围几乎不可能。但是你仍然需要防火墙;无法通过 IP 地址扫描找到您的事实并不意味着已经知道您地址的人无法将您作为目标,因为他们在其他地方获得了地址。
简而言之,一般来说,您不必过于担心传入的 IPv6 流量,因为默认情况下它会受到防火墙保护,而且 IPv6 地址范围无法轻松扫描。对于许多人来说,IPv6 会自动启用,他们永远不会注意到。
Zor*_*che 13
NAT 在安全方面确实做得很少。要实现 NAT,您基本上必须有一个有状态的数据包过滤器。
有状态的数据包过滤器仍然是 IPv6 安全的一个强烈要求;您根本不再需要地址转换,因为我们有很多地址空间。
有状态数据包过滤器允许传出流量但不允许传入流量。因此,在您的防火墙/路由器上,您将设置规则来定义您的内部网络,然后您可以允许您的内部网络进行出站连接,但不允许任何其他网络连接到您的内部主机,除非回复您的请求. 如果您在内部运行服务,您可能会设置规则以允许该特定服务的流量。
我预计 IPv6 消费者路由器要么已经这样做了,要么将在未来开始实施。如果您使用的是某些自定义路由器,则可能必须自己管理。
NAT 并不是真正的安全,除了某种默默无闻。互联网和大多数工具无论如何都被设计为端到端使用。我会像对待开放互联网上的系统一样对待 nat背后的任何单个系统。
值得考虑获取 ipv6 访问的不同机制,从最不本地 (Teredo)、隧道(以及在不同情况下运行良好的不同协议)、ipv6rd(本质上是一个 ISP 运行隧道,这是快速获取 ipv6 的好方法现有的 ipv4 网络),到本地(我相信我们使用 SLAAC 和 NDP)。
如果您使用的不是完全古老的 Windows 机器(XP 或更好 - 但我没有比 SP3 机器更糟糕的东西,而且这是受胁迫的),您可能可以选择非原生的teredo 支持。您可能已经在使用 ipv6 而没有意识到这一点。Teredo 有点糟糕,除了在少数情况下,它值得明确关闭它。
隧道需要某种客户端,这比本地安装还要多。
除此之外,几乎不可能偶然设置本机ipv6。即使您的现代路由器支持它,您也需要对其进行明确设置,并且有 3-4 种不同的常用机制。我的 ISP 在不同的物理连接上使用 ipv6rd 和 SLAAC,说明在厕所中的文件柜中。另一种选择是隧道,这基本上至少需要一个小时的工作。
我会像对待开放互联网上的任何其他系统一样对待任何对 IPV6 网络开放的系统。如果不需要 ipv6,请将其关闭。它微不足道,我已经用我的 XP 系统完成了这项工作。如果是这样,请确保其安全。在当前过渡期绝对依赖ipv6的很少有不能回落到ipv4的。一个值得注意的例外是 Windows 7 或更高版本上的家庭组
好消息是大多数支持 ipv6 的现代操作系统都有自己的 IPV6 防火墙,锁定它们应该不会有太多麻烦。
IPv6 还有一个奇怪的优势。使用 ipv4,您经常会遇到许多漏洞,这些漏洞会随机扫描您的开放端口。IPv4 NAT 通过将客户端隐藏在主 IP 地址后面来稍微缓解这种情况。IPv6 通过拥有巨大的地址空间来缓解这种情况,完全扫描是不可能的。
归根结底,NAT 不是一种安全工具——它旨在解决一个非常具体的问题(分配公共 IP 地址的困难),这使得从外部访问网络变得有点困难。在路由器固件黑客攻击和大量僵尸网络的时代,我建议将任何系统、ipv4 或 6 视为开放的端到端互联网。把它锁起来,打开你需要的东西,不用担心,因为你有真正的安全,而不是一个纸板警察。
| 归档时间: |
|
| 查看次数: |
4626 次 |
| 最近记录: |