Implicações do ipv6 na segurança da LAN

Navegue suas respostas
2

Eu tenho a configuração padrão com computadores atrás de um roteador netgear que tem a opção "auto config" ipv6 habilitada. Pelo que entendi, isso significa que ele atribui endereços ipv6 locais na LAN e, quando o ipv6 está disponível na WAN, ele atribuirá endereços ipv6 a todos os computadores na LAN, de forma que eles sejam todos acessíveis na WAN ("a internet") . O ISP não suporta atualmente o ipv6, mas irá ativá-lo no futuro.

Atualmente também existem dispositivos de consumo conectados à rede (uma impressora, um servidor de arquivos, computadores com compartilhamentos de rede abertos). Isso é "bom" porque há ~ 10 dispositivos conectados à LAN, e todos eles confiam uns nos outros (você pode acessar os arquivos em outros computadores e / ou imprimir contanto que esteja conectado à LAN).

O que me interessa é que, em teoria, quando o ISP ativa o ipv6, todos os dispositivos que estão conectados à LAN estarão acessíveis na WAN (com as configurações padrão do roteador do consumidor da netgear). Isso significa que qualquer pessoa conectada à Internet pode imprimir e / ou acessar arquivos em computadores conectados à LAN? Eu não estou familiarizado com protocolos de rede, por isso parece possível na teoria.

Nesse caso, isso parece contradizer o modelo "plug and play", no qual os computadores podem descobrir automaticamente as impressoras na LAN. E honestamente, tornar a LAN "sem confiança" é meio assustador.

Esta questão é realmente sobre olhar para esta questão dentro do contexto típico modem + configuração do roteador sem fio. Todos assumiram que estão seguros por causa do NAT + ipv4, mas eu não tenho mais certeza sobre essa suposição.

Nota: este é o único "firewall" especificado no manual. Realmente parece que os roteadores de consumidores não fornecem um firewall fora do NAT.

    
por xaav 12.07.2018 / 04:47

1 resposta

2

when ipv6 is available on WAN, it will assign ipv6 addresses to all of the computers on the LAN such that they are all accessible on WAN ("the internet").

Globalmente endereçável não significa globalmente alcançável.

Qualquer roteador ao longo do caminho (bem como o próprio host) pode implementar um firewall e bloquear certos pacotes, por exemplo, aqueles que tentam estabelecer uma nova conexão de entrada. Este já é feito pela maioria dos roteadores emitidos pelo provedor (o NAT não protege você de seus vizinhos, mas o firewall o faz).

Isso não é novidade para o IPv6 de qualquer maneira, forma ou formulário. Por exemplo, o MIT costumava ter 18.0.0.0/8 e fornecer endereços IPv4 globais para cada computador. O ISP local fornece endereços públicos para todos os dispositivos em sua rede Wi-Fi em toda a cidade. Ele costumava ser o padrão antes que os pools de endereços acabassem.

It really does seem that consumer routers do not provide a firewall outside of NAT.

Não, eles geralmente fazem. (Às vezes, o firewall está sempre ativo e sua configuração está oculta, e a única maneira de adicionar exceções de entrada é adicionando uma regra de encaminhamento de porta.) Procure por algo como "regras de entrada".

Bem, é claro, roteadores que afirmam oferecer suporte ao IPv6, mas têm apenas um firewall IPv4 e não o IPv6. Mas eu não esperaria que marcas populares (como a Asus ou Mikrotik) com o firmware mais recente tivessem esses problemas.

    
por 12.07.2018 / 08:46

Tags

Como faço para minimizar e restringir o número de tipos no MS Word, sem excluí-los? Endereço IP errado do cliente DHCP no Ubuntu 18.04