Qual è la responsabilità di un proprietario di IPv6?

28

Vivere dietro un router di livello consumer per un passato memorabile, immagino di aver dato per scontato l'effetto collaterale di NAT, in quanto avevo l'onere di inoltrare le porte quando necessario, invece di gestirle con un firewall software.

Se non esiste alcun problema di traduzione degli indirizzi da risolvere con IPv6 e se utilizza ancora le porte, ora è mia responsabilità gestirlo? Cosa devia automaticamente il traffico di sondaggio nel mondo IPv6?

Devo cercare attivamente di essere difensivo in cose come il blocco delle richieste RPD o SSH, o dovrei essere fiducioso nel sistema operativo moderno aggiornato che mi salva dal pensare a queste cose?

Se un ISP fornisce IPv6, deve essere compreso dal netizen medio prima che sia abilitato?

security  ipv6 
Louis
fonte
4
Zoredache il
@Zoredache Grazie, ne prenderò alcuni per consumare tutto questo.
Louis,
Qualcosa che vale la pena cercare una volta che hai deciso di configurare ipv6 è il meccanismo utilizzato dal tuo ISP: il mio utilizza ipv6rd su cavo e SLAAC su fibra. Noterò anche che ipv6 non è una cosa del tutto o niente - disabilito ipv6 su una per sistema di livello - Se non ne hai bisogno, la sua banale per spegnerlo ..
Journeyman Geek
@JourneymanGeek Lo farà. L'ho già disabilitato sul router perché ho sicuramente percepito che non esisteva nulla di simile alla solita protezione apparentemente esistente, offerto come servizio e che l'hardware mi veniva commercializzato. Tuttavia, non sono così coraggioso da disabilitarlo in Windows, poiché gli indirizzi locali sembrano essere preferiti da alcuni servizi e software e non so ancora cosa significhi ricostruirlo.
Louis,

Risposte:

32

Avendo usato IPv6 per la parte migliore di un decennio e guardando i cambiamenti, ho un po 'di prospettiva su questo.

Il punto più importante qui è questo: NAT non è il firewall. Queste sono due cose completamente distinte. In Linux sembra essere implementato come parte del codice firewall, ma questo è solo un dettaglio di implementazione, e non è necessariamente il caso su altri sistemi operativi.

Una volta compreso completamente che la cosa che protegge il router dalla rete domestica è il firewall e non il NAT, il resto va a posto.

Per rispondere al resto della tua domanda, diamo un'occhiata a un vero firmware router IPv6 in tempo reale, OpenWrt versione 14.07 Barrier Breaker. In questo router, IPv6 è abilitato per impostazione predefinita e funziona immediatamente utilizzando DHCPv6 con delega prefisso, il modo più comune in cui gli ISP assegneranno lo spazio degli indirizzi ai clienti.

La configurazione del firewall di OpenWrt, come qualsiasi firewall ragionevole, blocca tutto il traffico in entrata per impostazione predefinita. Contiene un modo per impostare le regole di port forwarding per le connessioni NATted IPv4, come quasi tutti gli altri router da anni. Ha anche una sezione delle regole del traffico per consentire l' inoltro di traffico specifico; questo è quello che usi invece per consentire il traffico IPv6 in entrata.

La maggior parte dei router domestici che ho visto con il supporto di IPv6 supporta anche il traffico IPv6 in entrata per impostazione predefinita, anche se potrebbe non fornire un modo semplice per inoltrare il traffico in entrata o potrebbe essere fonte di confusione. Ma dal momento che in realtà non uso mai il firmware di fabbrica su nessun router domestico, (OpenWrt è molto meglio ) non mi ha mai influenzato.

In effetti, molte persone stanno usando IPv6 in questo momento e non hanno assolutamente idea che sia così. Quando i loro ISP lo hanno abilitato, i loro router domestici hanno raccolto le risposte DHCPv6 e fornito gli indirizzi e tutto ciò che ha funzionato. Se non avessi avuto bisogno di più di un / 64, avrei potuto collegarlo con zero configurazione. Ho dovuto apportare una modifica per ottenere una delega del prefisso più grande, anche se questo è abbastanza semplice.

Infine, c'è ancora un'altra cosa: se hai un sistema su Internet IPv4 oggi, ottiene tutti i tipi di tentativi di connessione in entrata su una varietà di porte, tentando di sfruttare vulnerabilità note o password di forza bruta. L'intervallo di indirizzi IPv4 è abbastanza piccolo da poter essere scansionato nella sua interezza in meno di un giorno. Ma su IPv6, in quasi un decennio non ho mai visto un simile tentativo di connessione su nessuna porta. Le dimensioni molto più grandi della parte host dell'indirizzo rendono praticamente impossibile la scansione dell'intervallo. Ma hai ancora bisogno del firewall; il fatto che non sia possibile trovare una scansione dell'indirizzo IP non significa che non si può essere presi di mira da qualcuno che conosce già il proprio indirizzo perché l'hanno trovato altrove.

In breve, in generale, no non dovrai essere troppo preoccupato per il traffico IPv6 in entrata perché sarà firewall per impostazione predefinita e perché gli intervalli di indirizzi IPv6 non possono essere facilmente scansionati. E per molte persone IPv6 si accenderà automaticamente e non se ne accorgeranno mai.

Michael Hampton
fonte
Vorrei aggiungere con firmware di terze parti che ho usato, ho dovuto attivare esplicitamente IPv6 e almeno uno di loro non aveva un firewall ipv6. Almeno con il mio ISP e router, è improbabile che tu possa semplicemente "prendere" ipv6 e iniziare a usarlo.
Journeyman Geek
Hm, mi sembra di ricordare qualcosa di ASUS (forse?) Con IPv6 disattivato per impostazione predefinita e nessun firewall evidente. È stato?
Michael Hampton,
Nessun firewall. Penso che probabilmente lo ricorderai per i problemi che avevo con i client 802.11g.
Journeyman Geek
OpenWRT è davvero plug-n-play (quasi?). Colpisci la strada fuori dagli schemi: i.stack.imgur.com/cZ0hC.png
Louis
A proposito, è oltre il punto, ma mi piace molto il tuo "finalmente". Ero a conoscenza di ZMap e di quanto velocemente lo spazio degli indirizzi IPv4 può essere scansionato con poche risorse, e posso capire la dimensione di 2 ^ 32 e pensare a cose che potrei usare per descriverlo. Ma anche se gli indirizzi indirizzabili pubblicamente sono solo una piccola parte dello spazio IPv6, posso capire che non riesco a capire la dimensione di 2 ^ 128.
Louis,
13

NAT ha davvero fatto molto poco per la sicurezza. Per implementare NAT devi fondamentalmente avere un filtro di pacchetti stateful.

Avere un filtro di pacchetti stateful è ancora un requisito indispensabile per essere sicuri con IPv6; semplicemente non hai più bisogno della traduzione dell'indirizzo poiché abbiamo un sacco di spazio per gli indirizzi.

Un filtro di pacchetti con stato è ciò che consente il traffico in uscita senza consentire il traffico in entrata. Quindi sul tuo firewall / router imposterai regole che definiscono quale sia la tua rete interna e quindi potresti consentire alla tua rete interna di stabilire connessioni in uscita, ma non consentire ad altre reti di connettersi ai tuoi host interni, tranne in risposta alle tue richieste . Se si eseguono servizi internamente, è possibile impostare regole per consentire il traffico per quel servizio specifico.

Mi aspetto che i router consumer IPv6 lo facciano già o inizieranno a implementarlo in futuro. Se si utilizza un router personalizzato, potrebbe essere necessario gestirlo da soli.

Zoredache
fonte
Rad, grazie per il link cannocal e per averlo condiviso. Penso di capire. Il mio router non supporta IPv6. Esegue comunque il kernel Linux, e la mia impressione dall'impostazione è stata che gli utenti che facevano funzionare questo erano o esperti in molte cose non ben note, o semplicemente sperimentando alla cieca, come me stesso. Lascerò questo per un po '. Ma dirò che qualunque piccola NAT abbia fatto, non ho mai visto, mai, le infinite sonde nei miei registri che vedo sulle mie macchine pubbliche al lavoro.
Louis,
Quindi in sintesi: nulla è cambiato; Consumer IPv6 avrà impostazioni risonabilmente sicure. Le persone che si collegano direttamente ai modem avranno le stesse responsabilità che hanno avuto con IPv4 ...?
Louis,
1
Un firewall non deve essere con stato. La maggior parte delle minacce di cui le persone si preoccupano quando si implementano i firewall possono essere risolte rifiutando i pacchetti SYN in arrivo e consentendo tutto il resto. Ovviamente puoi fare di meglio usando un firewall stateful, ma puoi anche fare di peggio. Ci sono stati casi in cui gli attacchi DoS hanno eliminato i firewall a causa della memoria insufficiente del firewall per il monitoraggio delle connessioni. Di solito il firewall non sa se la connessione esiste ancora sul server che sta proteggendo, quindi non sa quali connessioni possono essere dimenticate in modo sicuro e quali devono essere ricordate.
Kasperd,
8

NAT non è in realtà la sicurezza, tranne che per un certo tipo di oscurità. Internet e la maggior parte degli strumenti sono progettati per essere comunque utilizzati da un capo all'altro. Tratterei ogni singolo sistema dietro un nat allo stesso modo in cui tratterei un sistema su Internet aperto.

Vale la pena considerare i diversi meccanismi per ottenere l'accesso a ipv6, dai meno nativi (Teredo), i tunnel (e ci sono protocolli diversi che funzionano bene in diverse situazioni), ipv6rd (essenzialmente un tunnel di esecuzione ISP, è un buon modo per ottenere rapidamente ipv6 una rete ipv4 esistente), nativa (usiamo SLAAC e NDP credo).

Se sei su una finestra di Windows meno del tutto antica (XP o migliore - ma non ho niente di peggio di una scatola SP3, e questo è in coercizione), probabilmente hai l'opzione di supporto Teredo non nativo . Potresti già essere su ipv6 e non accorgertene. Teredo fa schifo e tranne in alcune situazioni vale la pena spegnerlo esplicitamente.

I tunnel hanno bisogno di un client di qualche tipo, e questo è ancora più lavoro di un'installazione nativa.

Al di fuori di questo ts è quasi impossibile configurare l' ipv6 nativo per caso. Anche dove il tuo router moderno lo supporta, devi configurarlo esplicitamente e ci sono 3-4 diversi meccanismi di uso comune. Il mio ISP utilizza ipv6rd e SLAAC su diverse connessioni fisiche e le istruzioni sono equivalenti a quelle di un casellario in un gabinetto. L'alternativa è un tunnel, che è essenzialmente almeno un'ora di lavoro.

Tratterei qualsiasi sistema aperto alle reti IPV6 allo stesso modo di qualsiasi altro sistema disponibile su Internet aperto. Se non è necessario ipv6, disattivarlo. È banale, e l'ho fatto con i miei sistemi XP. In tal caso, assicurarsi che sia protetto. C'è molto poco che si affida assolutamente a ipv6 nell'attuale periodo di transizione che non può ricorrere a ipv4. Una notevole eccezione sono i gruppi home su Windows 7 o versioni successive

La buona notizia è che la maggior parte dei sistemi operativi moderni con supporto per ipv6 ha i propri firewall per IPV6 e non dovresti avere troppi problemi a bloccarli.

IPv6 ha anche uno strano vantaggio. Con ipv4, hai spesso avuto molti exploit che ti hanno scansionato casualmente alla ricerca di porte aperte. IPv4 NAT lo mitiga un po 'nascondendo i client dietro un indirizzo IP principale. IPv6 mitiga il fatto che, avendo un enorme spazio di indirizzi, non è plausibile scansionare completamente.

Alla fine della giornata, NAT non è uno strumento di sicurezza, ma ha lo scopo di risolvere un problema molto specifico (la difficoltà di assegnare indirizzi IP pubblici), che rende un pochino più difficile accedere a una rete dall'esterno. In un'era di hack del firmware del router e di enormi botnet, suggerirei di trattare qualsiasi sistema, ipv4 o 6 come se fosse su Internet aperto, end-to-end. Bloccalo, apri ciò di cui hai bisogno e non preoccuparti tanto poiché hai la sicurezza effettiva , piuttosto che un poliziotto di cartone.

Journeyman Geek
fonte
"NAT non è realmente sicurezza, se non per un certo tipo di oscurità", come è oscurità, quando si parla di router a banda larga tipici che utilizzano NAPT? Un collegamento di riferimento, ad esempio, sull'accesso al NAS domestico (solo IP non instradabile) dall'esterno senza una configurazione esplicita? Oppure, che altro è necessario tranne NAPT per proteggere il NAS domestico dietro il tipico router NAPT?
hyde,
2
vedi security.stackexchange.com/questions/8772/… superuser.com/questions/237790/does-nat-provide-security e ipv6friday.org/blog/2011/12/ipv6-nat . La sua causa precisa non è la sicurezza, è sempre associato a un firewall, che purtroppo non ha abbastanza rispetto. Port forwarding? È un firewall. Rilascio di pacchetti? Firewall. Nat è fondamentalmente un postino che sarà felice di consegnare una bomba postale. Il firewall è il tizio che lo sente ticchettare e chiama la squadra della bomba.
Journeyman Geek
2

Se non esiste alcun problema di traduzione degli indirizzi da risolvere con IPv6 e se utilizza ancora le porte, ora è mia responsabilità gestirlo?

Senza NAT, tutto ciò che sta dietro al router ha un indirizzo IP pubblico univoco.

I router consumer tipici svolgono molte funzioni diverse dal routing:

  • firewall / filtro pacchetti / "Stateful Packet Inspection"
  • NAT
  • DHCP
  • eccetera.

Se il NAT non è necessario, non deve essere utilizzato, sebbene il firewall possa essere ancora presente ed essere utilizzato. Se il dispositivo che esegue il routing non esegue il firewall (probabilmente non è il caso a meno che non sia un router aziendale), per farlo dovresti aggiungere un dispositivo separato.

Quindi, se si desidera "aprire porte" su un router IPv6 e se quel router si comporta come i router consumer più comuni, si comunica alla parte firewall del router di consentire il traffico in entrata sulla porta / protocollo desiderato. La principale differenza visibile per te sarebbe che non devi più specificare a quale IP privato sulla tua rete dovrebbe andare.

Cosa devia automaticamente il traffico di sondaggio nel mondo IPv6?

Nulla, a meno che il dispositivo non disponga di una funzione firewall e sia impostato su un valore predefinito ragionevole, come probabilmente accade su qualsiasi router IPv6 di consumo.

Per riassumere, è necessario qualcosa che funga da firewall per filtrare il traffico che non si desidera oltrepassare il router con IPv6.

LawrenceC
fonte
Grazie, penso che la mia confusione fosse che il mio router in realtà non lo supporta, o la società no. Quindi ho potuto ottenere un indirizzo IPv ^ solo bypassandolo o approfondendo il mondo * nix con WW-DRT (che non lo supporta, ma guarda cosa sta funzionando). Quindi sembrava che farlo funzionare fosse qualcosa di rischioso ... vedi? Davvero non sapevo che i router di livello consumer lo pensassero.
Louis,
I router più recenti di livello consumer lo supportano: sono stato su ipv6 per anni con prima un asus, quindi un router dlink, entrambi con firmware di serie. In modo divertente, l'asus sicuramente non ha un firewall ipv6 e non l'ho ancora verificato sul dlink. Tuttavia, non sarebbe male avere firewall per sistema
Journeyman Geek
Mi piacciono queste risposte - so cosa voglio nella prossima - ma ciò che @JourneymanGeek ha trovato divertente mi fa chiedere se la mia ultima domanda ha avuto risposta.
Louis,
0

Come per ipv4. Non lasciare che il tuo computer venga infettato da malware e diventi parte di una botnet utilizzata per inviare spam, eseguire attacchi ddos ​​e qualsiasi altra cosa dannosa per Internet. Non eseguire servizi non sicuri esposti a Internet. E così via.

Puoi bloccare ssh ma se blocchi solo il login di root e consenti solo le chiavi per il login, sarà praticamente impossibile per chiunque hackerare (supponendo che tu abbia tutte le versioni più recenti o vecchie con correzioni di bug backported). Puoi anche usare qualcosa come fail2ban che non lo blocca completamente ma solo dopo un certo numero di tentativi di accesso falliti.

orange_juice6000
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.