Da ich in der Vergangenheit hinter einem Router für Privatanwender gelebt habe, habe ich den Nebeneffekt von NAT für selbstverständlich gehalten, da ich die Aufgabe hatte, Ports bei Bedarf weiterzuleiten, anstatt sie mit einer Software-Firewall verwalten zu müssen.
Wenn mit IPv6 kein Adressübersetzungsproblem zu lösen ist und weiterhin Ports verwendet werden, bin ich jetzt dafür verantwortlich, dies zu verwalten? Was leitet den Sondierungsverkehr in der IPv6-Welt automatisch um?
Muss ich aktiv versuchen, in Sachen Blockierung von RPD- oder SSH-Anfragen defensiv zu sein, oder sollte ich mir sicher sein, dass das aktualisierte moderne Betriebssystem mich davor bewahrt, über diese Dinge nachzudenken?
Wenn ein ISP IPv6 bereitstellt, muss dies für den Durchschnittsnutzer verstanden werden, bevor es aktiviert wird?
Antworten:
Nachdem ich IPv6 nun seit fast einem Jahrzehnt verwende und die Änderungen beobachte, habe ich ein wenig Perspektive.
Der wichtigste Punkt dabei ist: NAT ist nicht die Firewall. Dies sind zwei völlig verschiedene Dinge. In Linux wird es zufällig als Teil des Firewall-Codes implementiert, dies ist jedoch nur ein Implementierungsdetail und bei anderen Betriebssystemen nicht unbedingt der Fall.
Wenn Sie vollständig verstanden haben, dass der Router, der Ihr Heimnetzwerk schützt, die Firewall und nicht das NAT ist, ist der Rest erledigt .
Um den Rest Ihrer Frage zu beantworten, werfen wir einen Blick auf eine echte Live-IPv6-Router-Firmware, OpenWrt Version 14.07 Barrier Breaker. In diesem Router ist IPv6 standardmäßig aktiviert und funktioniert standardmäßig mit DHCPv6 mit Präfix-Delegierung, der gängigsten Methode, mit der ISPs Kunden Adressräume zuweisen.
Die Firewall-Konfiguration von OpenWrt blockiert wie jede vernünftige Firewall standardmäßig den gesamten eingehenden Datenverkehr. Es enthält eine Möglichkeit, Regeln für die Portweiterleitung für NATted IPv4-Verbindungen einzurichten, wie dies bei den meisten anderen Routern seit Jahren der Fall ist. Es gibt auch einen Abschnitt mit Verkehrsregeln, über den bestimmter Verkehr weitergeleitet werden kann. Dies verwenden Sie stattdessen, um eingehenden IPv6-Verkehr zuzulassen.
Die meisten Heimrouter, die IPv6 unterstützen, bieten standardmäßig auch Firewall-eingehenden IPv6-Datenverkehr, obwohl sie möglicherweise keine einfache Möglichkeit zum Weiterleiten des eingehenden Datenverkehrs bieten oder verwirrend sind. Aber da ich auf keinem Heimrouter die werkseitige Firmware verwende (OpenWrt ist so viel besser ), hat mich das nie betroffen.
Tatsächlich verwenden viele Leute IPv6 im Moment und haben absolut keine Ahnung, dass dies der Fall ist. Als ihre ISPs dies aktivierten, nahmen ihre Heimrouter die DHCPv6-Antworten entgegen und stellten die Adressen und alles, was gerade funktionierte, bereit. Hätte ich nicht mehr als eine / 64 benötigt, hätte ich sie einfach mit Null-Konfiguration anschließen können. Ich musste eine Änderung vornehmen, um eine größere Präfixdelegation zu erhalten, obwohl dies einfach genug ist.
Schließlich gibt es noch eine weitere Sache: Wenn Sie heute ein System im IPv4-Internet haben, werden alle Arten von eingehenden Verbindungsversuchen an verschiedenen Ports ausgeführt, um bekannte Sicherheitslücken oder Brute-Force-Passwörter auszunutzen. Der IPv4-Adressbereich ist so klein, dass er in weniger als einem Tag vollständig gescannt werden kann. Aber auf IPv6 habe ich in fast einem Jahrzehnt noch nie einen solchen Verbindungsversuch an einem Port gesehen. Die viel größere Größe des Host-Teils der Adresse macht das Scannen des Bereichs praktisch unmöglich. Die Firewall brauchen Sie aber trotzdem; Die Tatsache, dass Sie bei einem IP-Adressenscan nicht gefunden werden, bedeutet nicht, dass Sie nicht von jemandem angesprochen werden können, der Ihre Adresse bereits kennt, weil er sie woanders hat.
Kurz gesagt, im Allgemeinen müssen Sie sich keine allzu großen Sorgen um den eingehenden IPv6-Datenverkehr machen, da dieser standardmäßig durch eine Firewall geschützt ist und IPv6-Adressbereiche nicht einfach gescannt werden können. Und für viele Menschen wird IPv6 automatisch aktiviert und sie werden es nie bemerken.
quelle
NAT hat wirklich sehr wenig für die Sicherheit getan. Um NAT zu implementieren, muss grundsätzlich ein Stateful Packet Filter vorhanden sein.
Ein statusbehafteter Paketfilter ist nach wie vor eine wichtige Voraussetzung für die Sicherheit mit IPv6. Sie brauchen die Adressübersetzung einfach nicht mehr, da wir viel Adressraum haben.
Ein statusbehafteter Paketfilter ermöglicht ausgehenden Verkehr, ohne eingehenden Verkehr zuzulassen. Daher richten Sie auf Ihrer Firewall / Ihrem Router Regeln ein, die definieren, was Ihr internes Netzwerk ist. Anschließend können Sie Ihrem internen Netzwerk erlauben, ausgehende Verbindungen herzustellen, anderen Netzwerken jedoch nicht erlauben, eine Verbindung zu Ihren internen Hosts herzustellen, es sei denn, Sie beantworten Ihre Anforderungen . Wenn Sie Dienste intern ausführen, können Sie Regeln einrichten, um den Datenverkehr für diesen bestimmten Dienst zuzulassen.
Ich gehe davon aus, dass IPv6-Consumer-Router dies entweder bereits tun oder dies in Zukunft implementieren werden. Wenn Sie einen benutzerdefinierten Router verwenden, müssen Sie diesen möglicherweise selbst verwalten.
quelle
NAT ist keine wirkliche Sicherheit, außer durch eine bestimmte Art von Verschleierung. Das Internet und die meisten Tools sind sowieso so konzipiert, dass sie von Ende zu Ende verwendet werden können. Ich würde jedes einzelne System dahinter behandeln einem Netzwerk genauso behandeln wie ein System im offenen Internet.
Es lohnt sich, die verschiedenen Mechanismen in Betracht zu ziehen, um IPv6-Zugriff zu erhalten, von den am wenigsten nativen (Teredo) über Tunnel (und es gibt verschiedene Protokolle, die in verschiedenen Situationen gut funktionieren) bis hin zu ipv6rd (im Grunde genommen ein ISP-Run-Tunnel) ein bestehendes IPv4-Netzwerk), nativ (wir verwenden SLAAC und NDP, glaube ich).
Wenn Sie auf einer weniger als uralten Windows-Box (XP oder besser - aber ich habe nichts Schlimmeres als eine SP3-Box, und das steht unter Druck) arbeiten, haben Sie wahrscheinlich die Möglichkeit, nicht native Teredo-Unterstützung zu nutzen . Möglicherweise sind Sie bereits auf ipv6 und bemerken es nicht. Teredo saugt irgendwie und außer in einigen Situationen lohnt es sich, es explizit auszuschalten.
Tunnel benötigen einen Client, und das ist noch arbeitsintensiver als eine native Installation.
Abgesehen davon ist es fast unmöglich, aus Versehen natives ipv6 einzurichten . Auch dort, wo Sie modern sind Router dies unterstützt, müssen Sie ihn explizit einrichten, und es sind 3-4 verschiedene Mechanismen gebräuchlich. Mein ISP verwendet ipv6rd und SLAAC für verschiedene physische Verbindungen, und die Anweisungen entsprechen denen eines Aktenschranks in einer Toilette. Die Alternative ist ein Tunnel, und das sind im Wesentlichen mindestens eine Stunde Arbeit.
Ich würde jedes System, das für IPV6-Netzwerke offen ist, genauso behandeln wie jedes andere System, das sich im offenen Internet befindet. Wenn ipv6 nicht benötigt wird, schalten Sie es aus. Es ist trivial und ich habe dies mit meinen XP-Systemen gemacht. Wenn dies der Fall ist, stellen Sie sicher, dass es gesichert ist. Es gibt sehr wenig, das sich in der aktuellen Übergangszeit absolut auf ipv6 stützt und nicht auf ipv4 zurückgreifen kann. Eine bemerkenswerte Ausnahme sind Heimnetzgruppen unter Windows 7 oder höher
Die gute Nachricht ist, dass die meisten modernen Betriebssysteme mit IPv6-Unterstützung ihre eigenen Firewalls für IPV6 haben und Sie keine Probleme haben sollten, diese zu sperren.
IPv6 hat auch einen merkwürdigen Vorteil. Mit ipv4 hatten Sie oft viele Exploits, die Sie zufällig nach offenen Ports durchsuchten. IPv4 NAT mildert dies ein wenig, indem es die Clients hinter einer Haupt-IP-Adresse versteckt. IPv6 mindert, dass es aufgrund des großen Adressraums nicht plausibel ist, vollständig zu scannen.
Letztendlich ist NAT kein Sicherheitstool - es soll ein ganz bestimmtes Problem lösen (die Schwierigkeit, öffentliche IP-Adressen zuzuweisen), das den Zugriff von außen auf ein Netzwerk ein bisschen erschwert. In einer Ära von Router-Firmware-Hacks und massiven Botnetzen würde ich empfehlen, jedes System, ipv4 oder 6, so zu behandeln , als ob es sich um ein offenes End-to-End-Internet handeln würde. Schließen Sie es ab, öffnen Sie, was Sie brauchen, und sorgen Sie sich nicht so sehr, da Sie über die tatsächliche Sicherheit verfügen , sondern über einen Polizisten aus Pappe.
quelle
Ohne NAT hat alles hinter Ihrem Router eine eindeutige öffentliche IP-Adresse.
Typische Consumer-Router erfüllen neben dem Routing viele andere Funktionen:
Wenn NAT nicht benötigt wird, muss es nicht verwendet werden, obwohl die Firewall weiterhin vorhanden sein und verwendet werden kann. Wenn das Gerät, das das Routing durchführt, kein Firewalling durchführt (dies ist wahrscheinlich nicht der Fall, es sei denn, es handelt sich um einen Unternehmensrouter), müssen Sie ein separates Gerät hinzufügen, um dies zu tun.
Wenn Sie also Ports auf einem IPv6-Router "öffnen" möchten und sich dieser Router wie die meisten gängigen Consumer-Router verhält, weisen Sie den Firewall-Teil Ihres Routers an, eingehenden Datenverkehr auf dem gewünschten Port / Protokoll zuzulassen. Der wichtigste sichtbare Unterschied für Sie wäre, dass Sie nicht mehr angeben müssen, zu welcher privaten IP in Ihrem Netzwerk sie gehen soll.
Nichts, es sei denn, das Gerät verfügt über eine Firewall-Funktion und ist auf einen vernünftigen Standardwert eingestellt, was wahrscheinlich bei jedem IPv6-Consumer-Router der Fall ist.
Zusammenfassend muss etwas als Firewall fungieren, um den Datenverkehr zu filtern, den Sie mit IPv6 nicht an Ihrem Router vorbeiführen möchten.
quelle
Gleich wie bei ipv4. Lassen Sie Ihren Computer nicht durch Malware infizieren und werden Sie Teil eines Botnets, das zum Versenden von Spam, zum Ausführen von DDoS-Angriffen und zu allem, was für das Internet schädlich ist, verwendet wird. Führen Sie keine unsicheren Dienste aus, die dem Internet ausgesetzt sind. Und so weiter.
Sie können ssh blockieren, aber wenn Sie nur die Root-Anmeldung blockieren und nur Schlüssel für die Anmeldung zulassen, kann sich niemand einloggen (vorausgesetzt, Sie haben alle aktuellen oder alten Versionen mit rückportierten Fehlerbehebungen). Sie können auch so etwas wie fail2ban verwenden, das es nicht vollständig blockiert, sondern erst nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche.
quelle