IPv6 sahibinin sorumluluğu nedir?

28

Unutulmaz geçmiş için tüketici sınıfı bir yönlendiricinin arkasında yaşadım, sanırım NAT'ın yan etkisini aldım, çünkü ihtiyaç duyduğumda bir yazılım güvenlik duvarı ile idare etmek zorunda kaldığımda yönlendirme bağlantılarının yükünü taşıyordum.

IPv6 ile çözülecek adres çeviri sorunu yoksa ve hala bağlantı noktaları kullanıyorsa, bunu yönetmek benim sorumluluğum mu? IPv6 dünyasında otomatik olarak sonda trafiğini yönlendiren nedir?

RPD veya SSH taleplerini engelleme gibi şeylerde aktif olarak savunma yapmalı mıyım yoksa güncellenmiş modern işletim sisteminden beni bu şeyler hakkında düşünmekten kurtarmam konusunda güvende olmalı mıyım?

Bir ISS IPv6 sağlıyorsa, etkinleştirilmeden önce ortalama netizen tarafından anlaşılması gerekiyor mu?

security  ipv6 
Louis
kaynak
4
Zoredache
@Zoredache Teşekkürler, hepsini tüketmek için birkaç alacağım.
Louis,
İpv6 kurulumuna karar verdikten sonra bakmaya değer bir şey , ISS'nizin kullandığı mekanizmadır - Mine, kabloda ipv6rd ve fibre'de SLAAC kullanır. Ayrıca, ipv6'nın hepsi ya da hiçbir şey olmadığını unutmayın - sistem seviyesi başına bir - İhtiyacınız yoksa, kapatmak için çok önemlidir ..
Journeyman Geek
@JourneymanGeek Yapacak. Yönlendiricide zaten devre dışı bıraktım, çünkü kesinlikle normal koruma gibi hiçbir şeyin olmadığını, hizmet olarak teklif edildiğini ve donanımın bana pazarlandığını kesinlikle hissettim. Yerel adresler bazı servisler ve yazılımlar tarafından tercih edildiğinden ve henüz yeniden inşa etmenin ne anlama geldiğini bilmediğim için henüz Windows'ta devre dışı bırakacak kadar cesur değilim.
Louis

Yanıtlar:

32

IPv6'yı şimdi on yılın daha iyi bir kısmı için kullanmış ve değişiklikleri izlemişken, bu konuda biraz perspektifim var.

Buradaki en önemli nokta şudur: NAT, güvenlik duvarı değildir. Bunlar iki ayrı şeydir. Linux'ta güvenlik duvarı kodunun bir parçası olarak uygulanır, ancak bu sadece bir uygulama detayıdır ve mutlaka diğer işletim sistemlerinde geçerli değildir.

Yönlendiricideki ev ağınızı koruyan şeyin NAT değil güvenlik duvarı olduğunu tamamen anladıktan sonra gerisi yerine oturmaktadır.

Sorunuzun geri kalan kısmını cevaplamak için, OpenWrt sürüm 14.07 Bariyer Kırıcı olan gerçek bir IPv6 yönlendirici ürün bilgisine bakalım. Bu yönlendiricide, IPv6 varsayılan olarak etkindir ve ISP'lerin müşterilere adres alanı tahsis etmesinin en yaygın yolu olan ön ek yetkilendirmeli DHCPv6 kullanarak kutunun dışında çalışır.

OpenWrt'in güvenlik duvarı yapılandırması, herhangi bir makul güvenlik duvarı gibi, gelen tüm trafiği varsayılan olarak engeller. Her diğer yönlendiricide yıllarca olduğu gibi, NATted IPv4 bağlantıları için bağlantı noktası yönlendirme kurallarını ayarlamanın bir yolunu içerir. Ayrıca, belirli trafiğin yönlendirilmesine izin vermek için bir trafik kuralları bölümüne de sahiptir ; Bu, gelen IPv6 trafiğine izin vermek için kullandığınız şeydir.

IPv6 ile gördüğüm çoğu ev yönlendiricisi de gelen trafiği iletmek için kolay bir yol sağlamayabilir veya kafa karıştırıcı olabilir, ancak güvenlik duvarı gelen IPv6 trafiğini de varsayılan olarak destekliyor. Ancak fabrika donanım yazılımını hiçbir zaman ev yönlendiricisinde kullanmadığım için (OpenWrt bu kadar iyi ) benden hiç etkilenmedi.

Aslında, pek çok kişi şu anda IPv6 kullanıyor ve bunun ne olduğu konusunda hiçbir fikri yok. ISS'leri etkinleştirdiğinde, ev yönlendiricileri DHCPv6'nın yanıtlarını aldı ve adresleri ve Just Worked'daki her şeyi sağladı. 64'ten fazla bir şeye ihtiyacım olmasaydı, sıfır konfigürasyona sokabilirdim. Daha kolay bir önek devri almak için bir değişiklik yapmak zorunda kaldım, ancak bu yeterince kolay.

Sonunda bir şey daha var: Bugün IPv4 Internet'te bir sisteminiz varsa, çeşitli bağlantı noktalarında her türden gelen bağlantı denemesi, bilinen güvenlik açıklarından veya kaba kuvvetli şifrelerden yararlanmaya çalışılır. IPv4 adres aralığı, bir günden daha kısa bir sürede tamamen taranabilecek kadar küçüktür. Ama IPv6 üzerinde neredeyse bir on yıl içinde ben oldum asla herhangi bir bağlantı noktası üzerinde böyle bir bağlantı girişimini görüldü. Adresin ana bilgisayar bölümünün çok daha büyük boyutu, aralığı taramak neredeyse imkansız hale getirir. Ancak yine de güvenlik duvarına ihtiyacınız var; IP adres taramasından bulunamayacağınız gerçeği, adresinizi zaten bilen biri tarafından hedeflenemeyeceğiniz anlamına gelmez, çünkü başka bir yere götürmüşlerdir.

Kısacası, genel olarak, gelen IPv6 trafiği ile ilgili çok fazla endişe duymanıza gerek kalmayacaktır, çünkü varsayılan olarak güvenlik duvarı olacaktır ve IPv6 adres aralıkları kolayca taranamamaktadır. Ve birçok insan için IPv6 otomatik olarak devreye girecek ve asla farketmeyecekler.

Michael Hampton
kaynak
Kullandığım herhangi bir birinci taraf bellenimi ekleyeceğim, açıkça IPv6'yı açmak zorunda kaldım ve bunlardan en az birinde ipv6 güvenlik duvarı yoktu. İnternet servis sağlayıcım ve yönlendiricilerim ile en az, ipv6'yı alıp kullanmaya başlamanız pek mümkün değil.
Journeyman Geek
Hm, ASUS'tan bir şey hatırlıyor gibiyim (belki?) IPv6 varsayılan olarak kapalıydı ve bariz bir güvenlik duvarı yok. Öyle miydi?
Michael Hampton,
Güvenlik duvarı yok. Sanırım 802.11g müşterileriyle yaşadığım sorunlardan haberi hatırlıyorsundur.
Journeyman Geek
OpenWRT gerçekten plug-n-play (neredeyse?). Kutudan yola çıkın: i.stack.imgur.com/cZ0hC.png
Louis
Btw, mesele dışında, ama gerçekten "nihayet" ini seviyorum. ZMap’in farkındaydım ve IPv4 adres alanının ne kadar çabuk küçük kaynaklarla taranabileceğini biliyordum ve 2 ^ 32 boyutunu anlayabiliyorum ve tanımlamak için kullanabileceğim şeyler düşünebiliyorum. Ancak genel olarak adreslenebilir adresler IPv6 alanının yalnızca küçük bir kısmı olsa bile , 2 ^ 128 boyutunda anlayamadığımı anlayabiliyorum .
Louis,
13

NAT gerçekten güvenlik için çok az şey yaptı. NAT'ı uygulamak için temelde durum bilgisi olan bir paket filtresine sahip olmanız gerekir.

Durum bilgisi olan bir paket filtresine sahip olmak IPv6 ile güvenli olmak için hala güçlü bir gerekliliktir; çok fazla adres alanına sahip olduğumuz için artık adres çevirisine ihtiyacınız yok.

Durum bilgisi olan bir paket filtresi, gelen trafiğe izin vermeden giden trafiğe izin verir. Böylece, güvenlik duvarınızda / yönlendiricinizde, iç ağınızın ne olduğunu tanımlayan kurallar oluşturacaksınız ve sonra iç ağınızın dış bağlantılar yapmasına izin verebilir, ancak diğer ağların iç ana bilgisayarlarınıza bağlanmasına izin vermeyebilirsiniz. . Servisleri dahili olarak çalıştırıyorsanız, söz konusu servisin trafiğine izin vermek için kurallar belirleyebilirsiniz.

IPv6 tüketici yönlendiricilerinin bunu zaten yaptığını veya gelecekte uygulamaya başlayacağını bekliyorum. Bazı özel yönlendiriciler kullanıyorsanız, bunu kendiniz yönetmeniz gerekebilir.

Zoredache
kaynak
Rad, kanocal link için teşekkürler ve bunu paylaşıyor. Anladığımı düşünüyorum. Yönelticim IPv6'yı desteklemiyor. Bununla birlikte, Linux çekirdeğini çalıştırıyor ve benim kurgulama izlenimim, bu çalışmayı elde eden kullanıcıların ya iyi bilinen pek çok konuda uzman olmadıkları ya da sadece mysyelf gibi yarı kör deney yaptıklarıydı. Bunun bit için takılmasına izin vereceğim. Ancak, küçük NAT ne yaparsa yapsın, günlüklerimde kamuya açık makinelerimde iş yerindeyken gördüğüm sondaları hiç görmedim.
Louis,
Yani özet olarak: Hiçbir şey değişmedi; Tüketici IPv6, resonably güvenli ayarlara sahip olacaktır. Doğrudan modemlere bağlanan insanlar IPv4 ile aynı sorumluluklara sahip olacaklar mı?
Louis
1
Bir güvenlik duvarının durum bilgisi olması gerekmez. Güvenlik duvarlarının dağıtılması sırasında insanların maruz kaldığı tehditlerin çoğu, gelen SYN paketlerini reddederek ve diğer her şeye izin vererek ele alınabilir. Tabii ki durum bilgisi olan bir güvenlik duvarı kullanarak daha iyisini yapabilirsiniz, fakat daha da kötüsünü yapabilirsiniz. DoS saldırılarının, güvenlik duvarlarını izleme bağlantılarının yetersiz kalması nedeniyle güvenlik duvarlarından kestiği durumlar olmuştur. Genellikle güvenlik duvarı, bağlantının koruduğu sunucuda hala mevcut olup olmadığını bilmiyor, bu nedenle hangi bağlantıların güvenli bir şekilde unutulabileceğini ve hangilerinin hatırlanması gerektiğini bilmiyor.
kasperd
8

NAT, kesin bir gizlilik dışında, gerçekten bir güvenlik değildir. İnternet ve çoğu araç yine de uçtan uca kullanılmak üzere tasarlanmıştır. Herhangi bir bireysel sistemi nat'un arkasındaki sisteme açık internet üzerinde de aynı şekilde ele alırdım.

En az yerli (Teredo), Tünellerden (ve farklı durumlarda iyi çalışan farklı protokoller var) ipv6 erişimine sahip olmanın farklı mekanizmalarını göz önünde bulundurmaya değer, ipv6rd (aslında bir ISP çalıştırma tüneli, bu hızlı bir şekilde ipv6 almanın iyi bir yoludur) varolan bir ipv4 ağı), yerel (inanıyorum, SLAAC ve NDP kullanıyoruz).

Tamamen antik pencereler kutusundan daha azsanız (XP veya daha iyisi - ancak SP3 kutusundan daha kötü bir şeyim yok ve bu baskı altında), muhtemelen yerel olmayan teredo desteği seçeneğiniz vardır . Zaten ipv6'da olabilirsiniz ve farkında değilsiniz. Teredo tür berbat ve birkaç durumda dışında açıkça onu kapatmaya değer.

Tünellerin bir tür müşteriye ihtiyacı var ve bu yerel bir kurulumdan daha fazla iş.

Bunun dışında, yerel IPv6'yı kazara kurmak neredeyse imkansız . Modern yönlendiricinizin desteklediği yerlerde bile , açıkça ayarlamanız gerekir ve ortak kullanımda 3-4 farklı mekanizma vardır. ISS'm farklı fiziksel bağlantılarda ipv6rd ve SLAAC kullanıyor ve talimatlar tuvaletteki bir dosya dolabının eşdeğeri. Alternatif bir tüneldir ve esasen en az bir saatlik bir çalışmadır.

IPV6 ağlarına açık olan herhangi bir sistemi, açık internetteki herhangi bir sistemle aynı şekilde ele alırdım. IPv6'ya ihtiyacı yoksa, kapatın. Önemsizdir ve bunu XP sistemlerimle yaptım. Varsa, sağlam olduğundan emin olun. Geçerli geçiş döneminde ipv4'e geri dönemeyen ipv6'ya kesinlikle güvenebilecek çok az şey var . Dikkate değer bir istisna, Windows 7 veya daha sonraki sürümlerdeki ev grupları

İyi haber şu ki, ipv6 destekli modern işletim sistemlerinin çoğu IPV6 için kendi güvenlik duvarlarına sahiptir ve onları kilitlemek için fazla sorun yaşamamalısınız.

IPv6'nın da garip bir avantajı var. İpv4 ile, sizi sık sık açık portlara tarayan birçok istismarınız oldu. IPv4 NAT, istemcileri bir ana ip adresinin arkasına gizleyerek bu durumu biraz azaltır. IPv6, büyük bir adres alanına sahip olarak tamamen taramanın mümkün olmadığını hafifletir.

Günün sonunda, NAT bir güvenlik aracı değildir - onun çok özel bir sorunu çözmesi (genel IP adreslerinin atanması zorluğu), bu da bir ağa dışarıdan erişilmesini zorlaştırır. Router firmware hackleri ve büyük botnet çağında, herhangi bir sisteme, ipv4 veya 6'ya açık, uçtan uca internet gibi davranmayı öneririm . Kilitleyin, ihtiyacınız olanı açın ve bir karton polis yerine gerçek güvenliğiniz olduğundan endişelenmeyin .

Journeyman Geek
kaynak
NAPT kullanan tipik genişbant yönlendiricilerden bahsederken “NAT, belirli bir gizlilik dışında, gerçekten güvenlik değildir”, nasıl gizlilik yaratıyor? Örneğin, açık bir kurulum yapmadan dışarıdan ev NAS'ına (yalnızca yönlendirilemeyen IP'ye) erişme hakkında bir referans bağlantısı? Veya, ev NAS'ını tipik NAPT yönlendiricisinin arkasından korumak için NAPT dışında daha ne gereklidir?
Hyde
2
bkz security.stackexchange.com/questions/8772/... superuser.com/questions/237790/does-nat-provide-security ve ipv6friday.org/blog/2011/12/ipv6-nat . Kesin sebebi nat, güvenlik değil , her zaman ne yazık ki yeterince saygı alamayan bir güvenlik duvarıyla eşleşmesi. Port yönlendirme mi? Onun bir güvenlik duvarı. Paketleri bırakarak? Firewall. Nat temelde mutlu bir şekilde bir mailbomb teslim edecek postacıdır. Güvenlik duvarı tıkırdatan işiten ve bomba ekibini çağıran kişi.
Journeyman Geek
2

IPv6 ile çözülecek adres çeviri sorunu yoksa ve hala bağlantı noktaları kullanıyorsa, bunu yönetmek benim sorumluluğum mu?

NAT olmadan, yönlendiricinizin arkasındaki her şeyin benzersiz bir genel IP adresi vardır.

Tipik tüketici yönlendiricileri, yönlendirmeden başka birçok işlevi yerine getirir:

  • güvenlik duvarı / paket filtreleme / "Durumlu Paket Denetimi"
  • NAT
  • DHCP
  • vb.

NAT gerekli değilse, güvenlik duvarı hala orada olabilir ve kullanılabilir olsa da, kullanılması gerekmez. Yönlendirmeyi yapan cihaz güvenlik duvarı yapmıyorsa (büyük olasılıkla bir kurumsal yönlendirici olmadığı sürece), bunu yapmak için ayrı bir cihaz eklemeniz gerekir.

Dolayısıyla, bir IPv6 yönlendiricisinde "bağlantı noktalarını açmak" istiyorsanız ve bu yönlendirici en yaygın tüketici yönlendiricileri gibi davranıyorsa, yönlendiricinizin güvenlik duvarı bölümüne istediğiniz bağlantı noktasında / protokolde gelen trafiğe izin vermesini söyleyin. Sizin için gözle görülebilen en büyük fark, ağınızda hangi özel IP'ye gitmesi gerektiğini belirlemeniz gerekmeyeceğidir.

IPv6 dünyasında otomatik olarak sonda trafiğini yönlendiren nedir?

Hiçbir şey, cihazın güvenlik duvarı işlevi olmadığı ve makul bir varsayılan değere ayarlanmadığı sürece, muhtemelen herhangi bir tüketici IPv6 yönlendiricisinde olduğu gibi.

Özetlemek gerekirse, yönlendiricinizi IPv6 ile taşımak istemediğiniz trafiği filtrelemek için güvenlik duvarı görevi yapan bir şeye ihtiyacınız vardır.

LawrenceC
kaynak
Teşekkürler, kafamın karışması, yönlendiricimin aslında desteklemediği ya da şirketin desteklemediği oldu. Böylece bir IPv ^ adresini yalnızca atlayarak ya da WW-DRT ile * nix dünyasına sunarak (bu da onu desteklemiyor, ama neyin üzerinde çalıştığını görün) bulabiliyordum. Yani çalışmasını sağlamak riskli bir şeydi gibi görünüyordu ... gördün mü? Tüketici sınıfı yönlendiricilerin aklında olduğunu gerçekten bilmiyordum.
Louis,
Daha yeni tüketici sınıfı yönlendiriciler bunu destekliyor - Her ikisi de hisse senedi ürün yazılımıyla birlikte ilk önce bir asus, sonra bir dlink yönlendirici olan ipv6'dayım. Eğlenceli, asus kesinlikle bir ipv6 güvenlik duvarı var ve ben dlink henüz kontrol etmedim. Sistem güvenlik duvarları olsa bile
Journeyman Geek
Bu cevapları beğendim - bir sonrakinde ne istediğimi biliyorum - ama ne @JourneymanGeek’in eğlenceli bulduğu şey, son sorumun yanıtlanıp cevaplanmadığını merak etmemi sağlıyor.
Louis
0

İpv4 ile aynı. Bilgisayarınıza kötü amaçlı yazılım bulaşmasına izin vermeyin ve spam göndermek, ddos ​​saldırıları ve internet için kötü olan herhangi bir şey yapmak için kullanılan bir botnet'in bir parçası olun. İnternete maruz kalan güvensiz hizmetleri kullanmayın. Ve bunun gibi.

Ssh'yi engelleyebilirsiniz, ancak yalnızca kök girişini engellerseniz ve yalnızca giriş yapmak için anahtarlara izin verirseniz, herkesin hacklenmesi temelde imkansız hale gelir (en son sürümleri veya geriye dönük hata düzeltmeleri olan eski sürümleri bulunduğunu varsayarak). Ayrıca, bunu tamamen engellemeyen ancak belirli bir sayıdaki başarısız giriş denemelerinden sonra, fail2ban gibi bir şey olarak kullanabilirsiniz.

orange_juice6000
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.