Qual é a responsabilidade de um dono de IPv6?

Navegue suas respostas
28
Vivendo atrás de um roteador de nível de consumidor para o passado memorável, acho que tirei como certo o efeito colateral do NAT, pois eu tinha o encargo de encaminhar as portas quando precisava, em vez de gerenciá-las com um firewall de software.

Se não há nenhum problema de tradução de endereço para resolver com o IPv6 e se ele ainda usa portas, agora é minha responsabilidade gerenciar isso? O que está defletindo automaticamente o tráfego de sondagem no mundo do IPv6?

Eu tenho que ativamente tentar ser defensivo em coisas como bloqueio de solicitações de RPD ou SSH, ou eu deveria estar confiante no sistema operacional atualizado e moderno, me salvando de pensar sobre essas coisas?

Se um ISP está fornecendo IPv6, ele precisa ser entendido pelo internauta médio antes de ser ativado?

    
por Louis 29.08.2014 / 02:13

4 respostas

31

Tendo usado o IPv6 há quase uma década e observando as mudanças, tenho um pouco de perspectiva sobre isso.

O ponto mais importante aqui é: NAT não é o firewall. Essas são duas coisas completamente distintas. No Linux, isso é implementado como parte do código do firewall, mas isso é meramente um detalhe de implementação, e não é necessariamente o caso em outros sistemas operacionais.

Quando você entender completamente que a coisa no roteador que protege sua rede doméstica é o firewall , e não o NAT, o resto se encaixa.

Para responder ao resto da sua pergunta, vamos dar uma olhada em um firmware de roteador IPv6 ao vivo, OpenWrt versão 14.07 Barrier Breaker. Neste roteador, o IPv6 é habilitado por padrão e funciona imediatamente usando DHCPv6 com delegação de prefixo, a maneira mais comum como os ISPs atribuem espaço de endereço aos clientes.

A configuração de firewall do OpenWrt, como qualquer firewall razoável, bloqueia todo o tráfego de entrada por padrão. Ele contém uma maneira de configurar regras de encaminhamento de porta para conexões IPv4 NATted, como a maioria dos outros roteadores tem há anos. Ele também tem uma seção de regras de tráfego para permitir que tráfego específico seja encaminhado; é isso que você usa para permitir o tráfego IPv6 de entrada.

A maioria dos roteadores domésticos que eu vi com o IPv6 também suportam o tráfego IPv6 de entrada do firewall por padrão, embora eles não forneçam uma maneira fácil de encaminhar o tráfego de entrada ou podem ser confusos. Mas como nunca uso firmware de fábrica em qualquer roteador doméstico (OpenWrt é muito melhor) nunca me afetou.

De fato, muitas pessoas estão usando o IPv6 agora e não têm absolutamente nenhuma idéia de que este é o caso. Quando seus ISPs habilitaram, seus roteadores domésticos captaram as respostas do DHCPv6 e provisionaram os endereços e tudo que estava funcionando. Se eu não precisasse de mais do que um / 64, eu poderia apenas tê-lo conectado com configuração zero. Eu tive que fazer uma mudança para obter uma delegação de prefixo maior, embora isso seja bastante fácil.

Finalmente, há mais uma coisa: se você tiver um sistema na Internet IPv4 hoje, ele obterá todos os tipos de tentativas de conexão de entrada em várias portas, tentando explorar vulnerabilidades conhecidas ou senhas de força bruta. O intervalo de endereços IPv4 é pequeno o suficiente para poder ser escaneado em sua totalidade em menos de um dia. Mas no IPv6, em quase uma década eu nunca vi uma tentativa de conexão em nenhuma porta. O tamanho muito maior da parte do host do endereço torna o escaneamento praticamente impossível. Mas você precisa do firewall ainda; O fato de você não poder ser encontrado a partir de uma varredura de endereço IP não significa que você não possa ser alvo de alguém que já conhece seu endereço, porque ele o acessou em outro lugar.

Em suma, geralmente, você não precisará se preocupar excessivamente com o tráfego IPv6 de entrada, porque ele será firewall por padrão, e porque os intervalos de endereços IPv6 não podem ser facilmente verificados. E para muitas pessoas, o IPv6 entrará automaticamente e elas nunca perceberão.

    
por 29.08.2014 / 13:45
13

O NAT realmente fez muito pouco pela segurança. Para implementar o NAT, você basicamente precisa ter um filtro de pacotes com estado.

Ter um filtro de pacotes com monitoração de estado ainda é um strong requisito para ser seguro com o IPv6; você simplesmente não precisa mais da tradução do endereço, pois temos muito espaço de endereço.

Um filtro de pacotes com monitoração de estado é o que permite o tráfego de saída sem permitir tráfego de entrada. Portanto, em seu firewall / roteador, você configurará regras que definem sua rede interna e permitirá que sua rede interna faça conexões de saída, mas não permitirá que outras redes se conectem a seus hosts internos, exceto em resposta a suas solicitações . Se você estiver executando serviços internamente, poderá configurar regras para permitir o tráfego para esse serviço específico.

Espero que os roteadores de consumidor IPv6 já façam isso ou começarão a implementar isso no futuro. Se você estiver usando algum roteador personalizado, talvez seja necessário gerenciar isso sozinho.

    
por 29.08.2014 / 02:26
8

O NAT não é realmente segurança, exceto por um certo tipo de obscuridade. A Internet e a maioria das ferramentas são projetadas para serem usadas de ponta a ponta de qualquer maneira. Eu trataria qualquer sistema individual um nat da mesma maneira que eu trataria um sistema na internet aberta.

Vale a pena considerar os diferentes mecanismos de acesso ipv6, dos túneis menos nativos (Teredo), Túneis (e há protocolos diferentes que funcionam bem em situações diferentes), ipv6rd (essencialmente um túnel de execução ISP, é uma boa maneira de obter ipv6 rapidamente em uma rede existente ipv4), para nativo (Nós usamos SLAAC e NDP, creio eu).

Se você estiver em uma caixa do Windows menos antiga (XP ou melhor - mas eu não tenho nada pior que uma caixa do SP3, e sob pressão), você provavelmente tem a opção non nativo, suporte do teredo . Você pode já estar no ipv6 e não perceber. Teredo é um pouco chato e, exceto em algumas situações, vale a pena explicitamente desativá-lo.

Os túneis precisam de algum tipo de cliente, e isso é mais trabalho do que uma instalação nativa.

Fora isso, é quase impossível configurar o native ipv6 por acidente. Mesmo onde o seu roteador moderno suporta, você precisa configurá-lo explicitamente, e há 3-4 mecanismos diferentes em uso comum. Meu ISP usa o ipv6rd e o SLAAC em diferentes conexões físicas, e as instruções estão no equivalente de um arquivo em um vaso sanitário. A alternativa é um túnel, e isso é essencialmente pelo menos uma hora de trabalho.

Eu trataria qualquer sistema que estivesse aberto às redes IPV6 da mesma forma que qualquer outro sistema que estivesse na internet aberta. Se não precisar de ipv6, desligue-o. É trivial e eu fiz isso com meus sistemas XP. Se isso acontecer, verifique se está seguro. Há muito pouco que absolutamente depende do ipv6 no período de transição atual que não pode retornar ao ipv4. Uma exceção notável é os grupos domésticos no Windows 7 ou posterior

A boa notícia é que os sistemas operacionais mais modernos com suporte a ipv6 têm seus próprios firewalls para IPV6, e você não deve ter muita dificuldade em bloqueá-los.

O IPv6 também tem uma vantagem ímpar. Com o ipv4, muitas vezes você teve muitos exploits que rastrearam aleatoriamente as portas abertas. O IPv4 NAT atenua isso um pouco escondendo os clientes por trás de um endereço IP principal. O IPv6 mitiga que, por ter um enorme espaço de endereço, é implausível digitalizar completamente.

No final do dia, o NAT não é uma ferramenta de segurança - a única destinada a resolver um problema muito específico (a dificuldade em atribuir endereços IP públicos), o que dificulta um pouco o acesso a uma rede externa. Em uma era de hacks de firmware do roteador , e botnets massivos, sugiro tratar qualquer sistema, ipv4 ou 6 como se estivesse na internet aberta, de ponta a ponta. Bloqueie, abra o que você precisa, e não se preocupe tanto, já que você tem segurança real , ao invés de um policial de papelão.

    
por 29.08.2014 / 12:24
2

If there's no address translation problem to solve with IPv6, and if it still uses ports, is it now my responsibility to manage this?

Sem NAT, tudo atrás do seu roteador tem um endereço IP público exclusivo.

Roteadores de consumidor típicos executam muitas funções além do roteamento:

  • firewall / filtragem de pacotes / "Stateful Packet Inspection"
  • NAT
  • DHCP
  • etc.

Se o NAT não for necessário, ele não precisará ser usado, embora o firewall ainda possa estar lá e ser usado. Se o dispositivo que faz o roteamento não fizer o firewall (provavelmente não será o caso, a menos que seja um roteador corporativo), você precisará adicionar um dispositivo separado para fazer isso.

Portanto, se você quiser "abrir portas" em um roteador IPv6 e esse roteador se comportar como a maioria dos roteadores comuns, informe a parte do firewall do roteador para permitir o tráfego de entrada na porta / protocolo desejado. A principal diferença visível para você é que você não precisa mais especificar qual IP privado da rede deve ir.

What's automatically deflecting probing traffic in the IPv6 world?

Nada, a menos que o dispositivo tenha uma função de firewall e esteja configurado para um padrão sensato, o que provavelmente é o caso de qualquer roteador IPv6 de consumo.

Para resumir, você precisa de algo agindo como um firewall para filtrar o tráfego que não deseja passar pelo roteador com o IPv6.

    
por 29.08.2014 / 02:53

Tags

Loop de gravação sem fim no Microsoft Word Como abrir um arquivo grande no Notepad ++?