Яка відповідальність є власником IPv6?

Живучи за маршрутизатором споживчого класу для пам'ятного минулого, я гадаю, що я сприйняв побічний ефект NAT як належне, тому що я мав тягар пересилати порти, коли мені потрібно, замість того, щоб керувати ними за допомогою програмного брандмауера.

Якщо проблем з перекладом адрес не вирішено за допомогою IPv6, і якщо він все ще використовує порти, чи тепер я відповідаю за це? Що автоматично відхиляє зондуючий трафік у світі IPv6?

Чи потрібно мені активно намагатися захищатись у таких речах, як блокування запитів RPD або SSH, або я повинен бути впевнений у оновленій сучасній ОС, що врятує мене від думки про ці речі?

Якщо ISP постачає IPv6, чи потрібно його розуміти середній користувач, перш ніж його включити?

Використовуючи IPv6 протягом більшої частини десятиліття зараз, і спостерігаючи за змінами, я трохи розглядаю це питання.

Тут найважливіший: NAT - це не брандмауер. Це дві абсолютно чіткі речі. У Linux це може бути реалізовано як частина брандмауера, але це лише детальна інформація про реалізацію, і це не обов'язково в інших операційних системах.

Після того, як ви повністю зрозумієте, що в маршрутизаторі, що захищає вашу домашню мережу, лежить брандмауер , а не NAT, тоді решта стає на місце.

Щоб відповісти на всі ваші запитання, давайте подивимось на реальну прошивку прямого маршрутизатора IPv6, версія OpenWrt 14.07 Barrier Breaker. У цьому маршрутизаторі IPv6 увімкнено за замовчуванням і працює з вікна, використовуючи DHCPv6 з делегуванням префікса, найпоширеніший спосіб, коли провайдери призначатимуть адресний простір клієнтам.

Конфігурація брандмауера OpenWrt, як і будь-який розумний брандмауер, блокує весь вхідний трафік за замовчуванням. Він містить спосіб налаштування правил переадресації портів для NATted IPv4-з'єднань, як і більшість інших маршрутизаторів уже роками. У ньому також є розділ правил дорожнього руху, що дозволяє пересилати конкретний трафік; це те, що ви використовуєте натомість, щоб дозволити вхідний трафік IPv6.

Більшість домашніх маршрутизаторів, які я бачив із підтримкою IPv6, також за замовчуванням вхідний трафік IPv6 брандмауера, хоча вони можуть не забезпечити простий спосіб переадресувати вхідний трафік, або це може заплутати. Але оскільки я ніколи фактично не використовую фабричну прошивку на будь-якому домашньому маршрутизаторі (OpenWrt - це набагато краще ), це ніколи не впливало на мене.

Дійсно, багато людей зараз використовують IPv6 і абсолютно не мають уявлення, що це так. Коли їхні Інтернет-провайдери це дозволили, їх домашні маршрутизатори зібрали відповіді DHCPv6 та забезпечили адреси та все, що тільки працювало. Якби мені не потрібно більше / 64, я міг би просто підключити його до нульової конфігурації. Мені довелося внести одну зміну, щоб отримати делегацію більшого префікса, хоча це досить просто.

Нарешті, є ще одне: якщо у вас сьогодні є система в Інтернеті IPv4, вона отримує всілякі спроби вхідного з'єднання в різних портах, намагаючись використовувати відомі вразливості або жорстокі паролі. Діапазон адрес IPv4 досить малий, щоб його можна було сканувати в повному обсязі менше ніж за добу. Але на IPv6 за майже десятиліття я жодного разу не бачив такої спроби підключення жодного порту. Набагато більший розмір хост-адреси адреси робить сканування діапазону практично неможливим. Але брандмауер вам ще потрібен; той факт, що вас не знайдуть під час сканування IP-адреси, не означає, що ви не можете бути націленими на когось, хто вже знає вашу адресу, оскільки він отримав її десь в іншому місці.

Коротше кажучи, як правило, ні вам не доведеться надто турбуватися про вхідний трафік IPv6, оскільки він буде зашкоджений за замовчуванням, і тому, що діапазони адрес IPv6 не можуть бути легко скановані. І для багатьох людей IPv6 з’явиться автоматично, і вони ніколи не помітять.

NAT дійсно зробив дуже мало для безпеки. Щоб реалізувати NAT, ви, як правило, повинні мати фільтр пакетів, що склався.

Наявність надійного фільтра пакетів все ще є серйозною вимогою бути захищеними IPv6; Вам просто більше не потрібен переклад адреси, оскільки у нас є багато адресного простору.

Постійний фільтр пакетів - це те, що дозволяє вихідний трафік, не дозволяючи вхідному трафіку. Таким чином, на брандмауері / маршрутизаторі ви встановите правила, які визначають, що таке ваша внутрішня мережа, і тоді ви можете дозволити вашій внутрішній мережі здійснювати вихідні з'єднання, але не дозволяти жодним іншим мережам підключатися до внутрішніх хостів, за винятком відповіді на ваші запити . Якщо ви користуєтесь послугами всередині країни, ви можете встановити правила, щоб дозволити трафік для цієї конкретної послуги.

Я сподіваюся, що маршрутизатори споживачів IPv6 або вже роблять це, або почнуть впроваджувати це в майбутньому. Якщо ви використовуєте якийсь спеціальний роутер, можливо, вам доведеться цим керувати самостійно.

NAT насправді не є безпекою, за винятком певного виду затемнення. Інтернет та більшість інструментів розроблені так, щоб у будь-якому разі їх використовувати від кінця до кінця. Я б ставився до будь-якої окремої системи позаду так само, як і до системи у відкритому Інтернеті.

Варто врахувати різні механізми отримання доступу до ipv6, від найменш рідних (Teredo), тунелів (і є різні протоколи, які добре працюють у різних ситуаціях), ipv6rd (по суті, тунель запуску провайдера, це хороший спосіб швидкої роботи ipv6 існуюча мережа ipv4), до рідного (я вважаю, ми використовуємо SLAAC та NDP).

Якщо ви перебуваєте у стародавньому вікні Windows (XP або кращому варіанті - але у мене немає нічого гіршого, ніж у коробці SP3, і це під примусом), напевно, у вас є можливість не рідної, підтримка teredo . Можливо, ви вже знаходитесь на ipv6 і не усвідомлюєте цього. Тередо вид смокче і, за винятком кількох ситуацій, його варто явно відключити.

Тунелі потребують певного клієнта, і це навіть більше роботи, ніж рідна установка.

Поза цією програмою майже неможливо випадково налаштувати рідний ipv6. Навіть там, де ваш сучасний маршрутизатор підтримує його, вам потрібно експліцитно налаштувати його, і там є 3-4 різних механізми, що мають загальне використання. Мій провайдер використовує ipv6rd та SLAAC для різних фізичних з'єднань, а інструкції є еквівалентними шафи подачі у туалеті. Альтернатива - тунель, і це, по суті, хоча б годину роботи.

Я ставлюсь до будь-якої системи, яка відкрита для мереж IPV6 так само, як і до будь-якої іншої системи, яка є у відкритому Інтернеті. Якщо ipv6 не потрібен, вимкніть його. Це банально, і я це робив зі своїми системами XP. Якщо це так, переконайтеся, що він надійно захищений. Є дуже мало, що абсолютно покладається на ipv6 в поточному перехідному періоді, який не може повернутися до ipv4. Один помітний виняток - домашні групи на Windows 7 або новіших версій

Хороша новина - це те, що більшість сучасних ОС з підтримкою ipv6 мають власні брандмауери для IPV6, і у вас не повинно виникнути особливих проблем із їх блокуванням.

IPv6 також має дивну перевагу. З ipv4 у вас часто було багато подвигів, які випадково сканували вас на відкриті порти. IPv4 NAT трохи пом'якшує, ховаючи клієнтів за головною IP-адресою. IPv6 пом'якшує, що, маючи величезний адресний простір, неможливо повністю сканувати.

Зрештою, NAT не є інструментом безпеки - його метою було вирішення дуже специфічної проблеми (труднощі з присвоєнням загальнодоступних IP-адрес), що ускладнює доступ до мережі зовнішньо МІЖ. В епоху хакерських прошивок маршрутизатора та масових ботнетів я б запропонував обробляти будь-яку систему, ipv4 або 6 так, як ніби вона є у відкритому до кінця Інтернеті. Закрийте його, відкрийте те, що вам потрібно, і не переживайте так сильно, оскільки у вас є фактична безпека, а не картонний міліціонер.

Якщо проблем з перекладом адрес не вирішено за допомогою IPv6, і якщо він все ще використовує порти, чи тепер я відповідаю за це?

Без NAT, все, що стоїть за вашим маршрутизатором, має унікальну загальнодоступну IP-адресу.

Типові маршрутизатори для споживачів виконують багато функцій, крім маршрутизації:

• брандмауер / фільтрація пакетів / "Перевірка стану пакету"
• NAT
• DHCP
• тощо.

Якщо NAT не потрібен, його не потрібно використовувати, хоча брандмауер все ще може бути там і використовуватись. Якщо пристрій, що здійснює маршрутизацію, не здійснює брандмауер (можливо, це не так, якщо це не корпоративний маршрутизатор), для цього вам доведеться додати окремий пристрій.

Отже, якщо ви хочете "відкрити порти" на маршрутизаторі IPv6, і якщо цей маршрутизатор веде себе як більшість звичайних споживачів маршрутизаторів, ви повідомляєте про брандмауер частину маршрутизатора, щоб дозволити вхідний трафік на потрібний порт / протокол. Основна відмінна для вас різниця полягала в тому, що вам більше не доведеться вказувати, до якого приватного IP-адреси у вашій мережі слід перейти.

Що автоматично відхиляє зондуючий трафік у світі IPv6?

Нічого, якщо пристрій не має функції брандмауера і він встановлений на розумному за замовчуванням, що, мабуть, має місце на будь-якому споживчому маршрутизаторі IPv6.

Підводячи підсумок, вам потрібно щось діяти як брандмауер для фільтрації трафіку, який ви не хочете проходити повз маршрутизатор за допомогою IPv6.

Те саме, що з ipv4. Не дозволяйте вашому комп’ютеру заражатися зловмисним програмним забезпеченням і не ставати частиною ботнету, що використовується для надсилання спаму, здійснення ddos-атак та всього іншого, що погано для Інтернету. Не запускайте жодних небезпечних служб, що потрапляють в Інтернет. І так далі.

Ви можете заблокувати ssh, але якщо ви просто заблокуєте кореневий вхід і дозволите лише ключі для входу, це взагалі зробить неможливим зламати когось (припустимо, що у вас є всі останні версії чи старі версії з підтримуваними виправленнями помилок). Ви також можете використовувати щось на кшталт fail2ban, що не блокує його повністю, але лише після того, як певна кількість не вдалася до спроб входу.