IPv6所有者の責任は何ですか?

28

思い出に残る過去のためにコンシューマグレードのルーターの後ろに住んでいて、私はソフトウェアファイアウォールでそれらを管理しなければならない代わりに、必要なときにポートを転送する負担を負ったという点でNATの副作用を当然受けました。

IPv6で解決するアドレス変換の問題がなく、それでもポートを使用している場合、これを管理するのは私の責任なのですか? IPv6の世界でプロービングトラフィックを自動的に偏向させるものは何ですか?

RPDやSSHリクエストをブロックするようなことを積極的に防ごうとしなければならないのでしょうか。それとも、最新のOSが最新のものであることに自信を持って考えるべきではないでしょうか。

ISPがIPv6を提供している場合、それが有効になる前に平均的なネチズンによって理解される必要がありますか?

security  ipv6 
Louis
ソース
4
Zoredache
@ Zoredacheおかげで、私はこれをすべて消費するためにいくつか取ります。
Louis
あなたがipv6を設定することに決めた後に調べる価値がある何かは 機構 あなたのISPが使う - Mineはケーブルでipv6rdを使い、fibreでSLAACを使う。 システムごと level - あなたがそれを必要としないのなら、それをオフにするのは簡単です..
Journeyman Geek
@JourneymanGeekなります。サービスとして提供されていて、ハードウェアが販売されているという、明らかに存在する通常の保護のようなものは何もないことを私は間違いなく感じたので、私はすでにルータでそれを無効にしました。ただし、ローカルアドレスは一部のサービスやソフトウェアで好まれているように思われるので、私はまだWindowsでそれを無効にするほど勇敢ではありません、そして私はそれがまだそれを再構築することが何を意味するのかわかりません。
Louis

回答:

31

ここ10年間の大部分でIPv6を使用し、その変化を見守ってきたので、私はこれについて少し見通しがあります。

ここで最も重要な点はこれです: NATはファイアウォールではありません。 これらは2つのまったく異なるものです。 Linuxでは、ファイアウォールコードの一部として実装されることがありますが、これは実装の詳細に過ぎず、他のオペレーティングシステムでは必ずしもそうとは限りません。

あなたのホームネットワークを保護しているルータ内のものが ファイアウォール そしてNATではなく、それから残りは決まっている。

残りの質問に答えるために、実際のIPv6ルーターファームウェア、OpenWrtバージョン14.07 Barrier Breakerを見てみましょう。このルーターでは、IPv6はデフォルトで有効になっており、プレフィックス委任付きのDHCPv6を使用してそのまま使用できます。これは、ISPが顧客にアドレススペースを割り当てる最も一般的な方法です。

OpenWrtのファイアウォール設定は、他の適切なファイアウォールと同様に、デフォルトですべての受信トラフィックをブロックします。他のほとんどすべてのルーターが長年に渡って持っているように、それはNATされたIPv4接続のためにポート転送規則を設定する方法を含みます。それはまたのための交通規則セクションを持っています 許可 転送される特定のトラフィックこれは、インバウンドIPv6トラフィックを許可するために代わりに使用するものです。

私がIPv6をサポートしているのを見たことがあるほとんどのホームルーターはデフォルトでファイアウォールのインバウンドIPv6トラフィックも持っています。しかし、私は実際には つかいます 任意のホームルーターの工場ファームウェア それよりずっと良い それは私に影響を与えたことはない。

確かに、多くの人が現在IPv6を使用しており、これが事実であることをまったく知りません。彼らのISPがそれを可能にしたとき、彼らのホームルーターはDHCPv6応答を拾い、アドレスとJust Workedすべてをプロビジョニングしました。私が/ 64以上を必要としていなかったなら、私はただゼロ設定でそれを差し込むことができたかもしれません。もっと簡単なプレフィックス委任を取得するには、1つ変更を加える必要がありました。

今日のIPv4インターネット上にシステムがある場合、さまざまなポートであらゆる種類のインバウンド接続を試み、既知の脆弱性やブルートフォースパスワードを悪用しようとします。 IPv4アドレスの範囲は十分に小さいため、1日以内に全体をスキャンできます。しかし、IPv6では、ほぼ10年間で私は 決して そのような接続試行がどのポートでも見られました。アドレスのホスト部分のサイズがはるかに大きいため、範囲をスキャンすることは事実上不可能です。しかし、あなたはまだファイアウォールが必要です。あなたがIPアドレススキャンからあなたを見つけることができないという事実はあなたが既にあなたのアドレスを知っている誰かに狙われることができないという意味ではありません。

要するに、一般的に言って、IPv6トラフィックがデフォルトで無効化され、IPv6アドレス範囲を簡単にスキャンできないため、着信IPv6トラフィックについて過度に心配する必要はありません。そして多くの人にとってIPv6は自動的に登場し、気付かないでしょう。

Michael Hampton
ソース
私が使用したいずれかのサードパーティのファームウェアで、私は明示的にIPv6をオンにしなければならなかった、そしてそれらの少なくとも1つはipv6ファイアウォールを持っていませんでした。私のISPやルーターとは少なくとも違いますが、ipv6を単に「ピックアップ」して使い始めることはまずありません。
Journeyman Geek
うーん、私はASUSから何かを思い出すようだ(多分?)デフォルトでIPv6がオフになっていて明白なファイアウォールがない。それでしたか?
Michael Hampton
ファイアウォールはありません。私は、802.11gクライアントで私が抱えていた問題からおそらく覚えていると思います。
Journeyman Geek
OpenWRTは本当にプラグアンドプレイです(ほとんど?)。箱から出して道を打つ: i.stack.imgur.com/cZ0hC.png
Louis
ところで、それは要点以外ですが、私は本当にあなたの「ついに」が好きです。私はZMapと、わずかなリソースでIPv4アドレス空間をどれだけ早くスキャンできるかを知っていたので、2 ^ 32のサイズを理解し、それを説明に使用できることを考えることができます。しかし、たとえ公にアドレス指定可能なアドレスがIPv6スペースのごく一部にすぎないとしても、私は自分ができないことを理解できます。 サイズを理解する 2 ^ 128の。
Louis
13

NATはセキュリティに対してほとんど効果がありませんでした。 NATを実装するには、基本的にステートフルパケットフィルタが必要です。

ステートフルパケットフィルタを使用することは、IPv6で安全であることが依然として強く求められています。私たちにはたくさんのアドレススペースがあるので、あなたはもはやアドレス変換をもはや必要としません。

ステートフルパケットフィルタは、着信トラフィックを許可せずに発信トラフィックを許可するものです。ファイアウォール/ルーターでは、内部ネットワークとは何かを定義するルールを設定してから、内部ネットワークにアウトバウンド接続を許可し、他のネットワークから内部ホストへの接続を許可しないようにすることができます。 。内部的にサービスを実行している場合は、その特定のサービスのトラフィックを許可するようにルールを設定することができます。

私は、IPv6コンシューマルータがすでにこれを行っているか、将来的にこれを実装し始めると予想しています。カスタムルーターを使用している場合は、これを自分で管理する必要があります。

Zoredache
ソース
Rad、共焦点リンクをありがとう、そしてそれを共有します。分かったと思う。私のルーターはIPv6をサポートしていません。それはLinuxカーネルを動かします、そしてそれをセットアップすることからの私の印象は、この作業をしているユーザーがよく知られていない多くの事の専門家か、単にmysyelfのように半盲目的に実験していることです。ちょっと待ってみましょう。しかし、私が言うには、NATが何をしても、私の仕事場で私の公共のマシンで見ることができるログの中の無限の調査をこれまで見たことがありませんでした。
Louis
要約すると、何も変わっていません。消費者向けIPv6には、かなり安全な設定があります。モデムに直接接続している人々は、IPv4で行ったのと同じ責任を持ちます。
Louis
1
ファイアウォールはステートフルである必要はありません。ファイアウォールを展開する際に人々が懸念する脅威のほとんどは、着信SYNパケットを拒否し、その他すべてを許可することで解決できます。もちろん、ステートフルファイアウォールを使用するとより効果的ですが、さらに悪いこともあります。接続を追跡するためにファイアウォールがメモリ不足になったために、DoS攻撃がファイアウォールを破壊することがありました。通常、ファイアウォールは、保護しているサーバー上に接続がまだ存在するかどうかを認識しないため、どの接続を安全に忘れることができ、どの接続を記憶する必要があるのか​​わかりません。
kasperd
8

NATは、ある種の曖昧さを除いて、実際にはセキュリティではありません。私はあらゆる個別のシステムを扱うだろう 後ろに 私はオープンインターネット上のシステムを扱うだろうと同じように気の利いた。

最もネイティブではない(Teredo)、Tunnels(およびさまざまな状況でうまく機能するさまざまなプロトコルがあります)、ipv6rd(基本的にはISPが実行するトンネル、ipv6をすばやく起動するのに適した方法)ネイティブに既存のipv4ネットワーク)、(私達は私達が信じるSLAACおよびNDPを使用します)。

あなたが全く古くないwindowsボックス(XPかそれより良い - しかし私はSP3ボックスより悪いものは何も持っていません、そしてそれは強要の下にある)にいるなら、あなたはおそらく以下のオプションを持っています。 ネイティブ、 テレドサポート 。あなたはすでにipv6を使っていてそれに気付いていないかもしれません。 Teredoはちょっとした吸い込みをしますが、いくつかの状況では明示的に無効にする価値があります。

トンネルはある種のクライアントを必要とします、そしてそれはネイティブインストールよりもさらに多くの仕事です。

これ以外では設定がほとんど不可能 ネイティブ 誤ってipv6。どこでもあなたの 現代の ルータはそれをサポートしています、あなたはそれを明確に設定する必要があります、そして一般的に使用される3-4の異なるメカニズムがあります。私のISPは異なる物理的な接続でipv6rdとSLAACを使います、そして、指示はトイレのファイリングキャビネットと同等です。代替手段はトンネルであり、それは基本的に少なくとも1時間の作業です。

私は、オープンインターネット上の他のシステムと同じように、IPV6ネットワークにオープンなすべてのシステムを扱います。それがipv6を必要としない場合は、それをオフにしてください。それは自明です、そして私は私のXPシステムでこれをしました。そうであれば、しっかりと固定してください。それはほとんどありません 絶対に頼ります 現在の移行期間中のipv6では、ipv4にフォールバックできません。注目すべき例外の1つは、Windows 7以降のホームグループです。

良い知らせは、ipv6をサポートしている最近のOSのほとんどが、IPV6用の独自のファイアウォールを持っていることです。それらをロックダウンするのに苦労してはいけません。

IPv6にも奇妙な利点があります。 ipv4では、オープンポートをランダムにスキャンする多くのエクスプロイトがありました。 IPv4 NATは、メインIPアドレスの背後にクライアントを隠すことによって、それを少し軽減します。 IPv6では、巨大なアドレス空間を持つことで、完全にスキャンすることが不可能であることが軽減されています。

結局のところNATはセキュリティツールではありません - それは非常に特定の問題(パブリックIPアドレスを割り当てることの難しさ)を解決することを意味しました。の時代に ルータファームウェアハック 、そして大規模なボットネット どれか それが開いているかのようにシステム、ipv4または6、エンドツーエンドのインターネット。ロックして、必要なものを開いて、心配しないでください。 実際の ダンボールの警官ではなくセキュリティ。

Journeyman Geek
ソース
NAPTを使用する一般的なブロードバンドルーターについて話するとき、「NATは実際にはセキュリティではありません。ある種の不明瞭さを除いて」、それはどのように不明瞭ですか?たとえば、明示的な設定なしで外部からホームNAS(ルーティング不可能なIPのみ)にアクセスすることに関する参照リンクはありますか。または、一般的なNAPTルーターの背後にあるホームNASを保護するには、NAPT以外に何が必要ですか。
hyde
2
見る security.stackexchange.com/questions/8772/… superuser.com/questions/237790/does-nat-provide-security そして ipv6friday.org/blog/2011/12/ipv6-nat 。その正確な原因は ではない セキュリティ、それは常にファイアウォールとペアになっていた、それは残念ながら十分な尊敬を得ることはできません。ポート転送?それはファイアウォールです。パケットを落とす?ファイアウォールNatは基本的に郵便爆弾を配達する郵便配達員です。防火壁は、それがカチカチ音をたてるのを聞いて、爆弾処理班を呼ぶ男です。
Journeyman Geek
2

IPv6で解決するアドレス変換の問題がなく、それでもポートを使用している場合、これを管理するのは私の責任なのですか?

NATがないと、ルーターの背後にあるものすべてに固有のパブリックIPアドレスが割り当てられます。

一般的なコンシューマルータは、ルーティング以外にも多くの機能を実行します。

  • ファイアウォール/パケットフィルタリング/ "ステートフルパケットインスペクション"
  • NAT
  • DHCP

NATが必要ない場合は、ファイアウォールを使用しても構いませんが、NATを使用する必要はありません。ルーティングを行っているデバイスがファイアウォールをかけていない場合(エンタープライズルーターでない限りそうではないかもしれません)、それを行うには別のデバイスを追加する必要があります。

したがって、IPv6ルーターの「ポートを開く」場合、そしてそのルーターが最も一般的なコンシューマールーターのように動作する場合は、ルーターのファイアウォール部分に、必要なポート/プロトコルで着信トラフィックを許可するように指示します。目に見える主な違いは、ネットワーク上のどのプライベートIPアドレスを指定する必要がないかということです。

IPv6の世界でプロービングトラフィックを自動的に偏向させるものは何ですか?

デバイスにファイアウォール機能があり、それが実用的なデフォルトに設定されていない限り、何もありません。

まとめると、IPv6を使用してルータを通過したくないトラフィックをフィルタリングするためのファイアウォールとして機能するものが必要です。

LawrenceC
ソース
おかげで、私の混乱は私のルーターが実際にそれをサポートしていない、または会社がサポートしていないということだったと思います。それで、私はそれを迂回するか、WW-DRTで* nixの世界を掘り下げることによってのみIPv6アドレスを得ることができました(それもまたそれをサポートしませんが、それが実行されているものを見ます)。それで、それを動かすことは危険な何かであるようでした...あなたはわかりますか?消費者向けルーターがそれを念頭に置いていることを本当に知らなかった。
Louis
新しいコンシューマグレードのルーターはそれをサポートしています - 私は何年も前からasv、そしてdlinkルーターの両方のipv6を使っていました。面白いことに、asusは明らかにipv6ファイアウォールを持っていません、そして私はまだdlinkでそれをチェックしていません。システムごとにファイアウォールを設定しても問題ありません
Journeyman Geek
私はこれらの答えが好きです - 私は私の次のものに何が欲しいのか知っています - しかし@JourneymanGeekが面白いと思ったことは私の最後の質問が答えられたかどうか疑問に思います。
Louis
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.