Was ist die Verantwortung eines IPv6-Besitzers?

28

Da ich in der Vergangenheit hinter einem Router für Privatanwender gelebt habe, habe ich den Nebeneffekt von NAT für selbstverständlich gehalten, da ich die Aufgabe hatte, Ports bei Bedarf weiterzuleiten, anstatt sie mit einer Software-Firewall verwalten zu müssen.

Wenn mit IPv6 kein Adressübersetzungsproblem zu lösen ist und weiterhin Ports verwendet werden, bin ich jetzt dafür verantwortlich, dies zu verwalten? Was leitet den Sondierungsverkehr in der IPv6-Welt automatisch um?

Muss ich aktiv versuchen, in Sachen Blockierung von RPD- oder SSH-Anfragen defensiv zu sein, oder sollte ich mir sicher sein, dass das aktualisierte moderne Betriebssystem mich davor bewahrt, über diese Dinge nachzudenken?

Wenn ein ISP IPv6 bereitstellt, muss dies für den Durchschnittsnutzer verstanden werden, bevor es aktiviert wird?

security ipv6 Louis
quelle
4
Siehe: serverfault.com/questions/184524/…
Zoredache
@Zoredache Danke, ich nehme mir ein paar, um das alles zu konsumieren.
Louis
Etwas lohnt ein Blick nach oben , wenn Sie zum Einrichten entschieden haben ipv6 ist der Mechanismus ISP Anwendungen - Minen verwendet ipv6rd auf Kabel und SLAAC auf fibre.I'd auch zur Kenntnis , dass ipv6 ist nicht alles oder nichts , was - ich deaktivieren ipv6 auf a pro Systemebene - Wenn Sie es nicht benötigen, ist es trivial, es auszuschalten.
Journeyman Geek
@JourneymanGeek Wird tun. Ich habe es am Router bereits deaktiviert, weil ich definitiv gespürt habe, dass es nichts Besseres als den üblichen Schutz gibt, der anscheinend existiert, da der Service angeboten wird und die Hardware für mich vermarktet wird. Ich bin noch nicht so mutig, es in Windows zu deaktivieren, da die lokalen Adressen von einigen Diensten und Software bevorzugt werden, und ich weiß noch nicht, was es bedeutet, es neu zu erstellen.
Louis

Antworten:

32

Nachdem ich IPv6 nun seit fast einem Jahrzehnt verwende und die Änderungen beobachte, habe ich ein wenig Perspektive.

Der wichtigste Punkt dabei ist: NAT ist nicht die Firewall. Dies sind zwei völlig verschiedene Dinge. In Linux wird es zufällig als Teil des Firewall-Codes implementiert, dies ist jedoch nur ein Implementierungsdetail und bei anderen Betriebssystemen nicht unbedingt der Fall.

Wenn Sie vollständig verstanden haben, dass der Router, der Ihr Heimnetzwerk schützt, die Firewall und nicht das NAT ist, ist der Rest erledigt .

Um den Rest Ihrer Frage zu beantworten, werfen wir einen Blick auf eine echte Live-IPv6-Router-Firmware, OpenWrt Version 14.07 Barrier Breaker. In diesem Router ist IPv6 standardmäßig aktiviert und funktioniert standardmäßig mit DHCPv6 mit Präfix-Delegierung, der gängigsten Methode, mit der ISPs Kunden Adressräume zuweisen.

Die Firewall-Konfiguration von OpenWrt blockiert wie jede vernünftige Firewall standardmäßig den gesamten eingehenden Datenverkehr. Es enthält eine Möglichkeit, Regeln für die Portweiterleitung für NATted IPv4-Verbindungen einzurichten, wie dies bei den meisten anderen Routern seit Jahren der Fall ist. Es gibt auch einen Abschnitt mit Verkehrsregeln, über den bestimmter Verkehr weitergeleitet werden kann. Dies verwenden Sie stattdessen, um eingehenden IPv6-Verkehr zuzulassen.

Die meisten Heimrouter, die IPv6 unterstützen, bieten standardmäßig auch Firewall-eingehenden IPv6-Datenverkehr, obwohl sie möglicherweise keine einfache Möglichkeit zum Weiterleiten des eingehenden Datenverkehrs bieten oder verwirrend sind. Aber da ich auf keinem Heimrouter die werkseitige Firmware verwende (OpenWrt ist so viel besser ), hat mich das nie betroffen.

Tatsächlich verwenden viele Leute IPv6 im Moment und haben absolut keine Ahnung, dass dies der Fall ist. Als ihre ISPs dies aktivierten, nahmen ihre Heimrouter die DHCPv6-Antworten entgegen und stellten die Adressen und alles, was gerade funktionierte, bereit. Hätte ich nicht mehr als eine / 64 benötigt, hätte ich sie einfach mit Null-Konfiguration anschließen können. Ich musste eine Änderung vornehmen, um eine größere Präfixdelegation zu erhalten, obwohl dies einfach genug ist.

Schließlich gibt es noch eine weitere Sache: Wenn Sie heute ein System im IPv4-Internet haben, werden alle Arten von eingehenden Verbindungsversuchen an verschiedenen Ports ausgeführt, um bekannte Sicherheitslücken oder Brute-Force-Passwörter auszunutzen. Der IPv4-Adressbereich ist so klein, dass er in weniger als einem Tag vollständig gescannt werden kann. Aber auf IPv6 habe ich in fast einem Jahrzehnt noch nie einen solchen Verbindungsversuch an einem Port gesehen. Die viel größere Größe des Host-Teils der Adresse macht das Scannen des Bereichs praktisch unmöglich. Die Firewall brauchen Sie aber trotzdem; Die Tatsache, dass Sie bei einem IP-Adressenscan nicht gefunden werden, bedeutet nicht, dass Sie nicht von jemandem angesprochen werden können, der Ihre Adresse bereits kennt, weil er sie woanders hat.

Kurz gesagt, im Allgemeinen müssen Sie sich keine allzu großen Sorgen um den eingehenden IPv6-Datenverkehr machen, da dieser standardmäßig durch eine Firewall geschützt ist und IPv6-Adressbereiche nicht einfach gescannt werden können. Und für viele Menschen wird IPv6 automatisch aktiviert und sie werden es nie bemerken.

Michael Hampton
quelle
Ich würde entweder mit der von mir verwendeten 1st-Party-Firmware hinzufügen, ich musste IPv6 explizit aktivieren, und mindestens eine von ihnen hatte keine IPv6-Firewall. Am wenigsten bei meinem ISP und meinen Routern. Es ist unwahrscheinlich, dass Sie "nur" IPv6 in die Hand nehmen und es verwenden.
Geselle Geek
Hm, ich erinnere mich an etwas von ASUS (vielleicht?), Dass IPv6 standardmäßig ausgeschaltet war und keine offensichtliche Firewall. War es das?
Michael Hampton
Keine Firewall. Ich denke, Sie erinnern sich wahrscheinlich an die Probleme, die ich mit 802.11g-Clients hatte.
Geselle Geek
OpenWRT ist wirklich Plug-and-Play (fast?). Machen Sie sich auf
Louis,
Übrigens, es geht nicht darum, aber ich mag dein "endlich" wirklich. Ich wusste, dass ZMap und die Geschwindigkeit, mit der der IPv4-Adressraum mit geringen Ressourcen gescannt werden kann, bekannt sind. Außerdem kann ich die Größe von 2 ^ 32 verstehen und mir Dinge überlegen, die ich damit beschreiben könnte. Aber selbst wenn die öffentlich adressierbaren Adressen nur einen kleinen Bruchteil des IPv6-Raums ausmachen, kann ich verstehen, dass ich die Größe von 2 ^ 128 nicht verstehe .
Louis
13

NAT hat wirklich sehr wenig für die Sicherheit getan. Um NAT zu implementieren, muss grundsätzlich ein Stateful Packet Filter vorhanden sein.

Ein statusbehafteter Paketfilter ist nach wie vor eine wichtige Voraussetzung für die Sicherheit mit IPv6. Sie brauchen die Adressübersetzung einfach nicht mehr, da wir viel Adressraum haben.

Ein statusbehafteter Paketfilter ermöglicht ausgehenden Verkehr, ohne eingehenden Verkehr zuzulassen. Daher richten Sie auf Ihrer Firewall / Ihrem Router Regeln ein, die definieren, was Ihr internes Netzwerk ist. Anschließend können Sie Ihrem internen Netzwerk erlauben, ausgehende Verbindungen herzustellen, anderen Netzwerken jedoch nicht erlauben, eine Verbindung zu Ihren internen Hosts herzustellen, es sei denn, Sie beantworten Ihre Anforderungen . Wenn Sie Dienste intern ausführen, können Sie Regeln einrichten, um den Datenverkehr für diesen bestimmten Dienst zuzulassen.

Ich gehe davon aus, dass IPv6-Consumer-Router dies entweder bereits tun oder dies in Zukunft implementieren werden. Wenn Sie einen benutzerdefinierten Router verwenden, müssen Sie diesen möglicherweise selbst verwalten.

Zoredache
quelle
Rad, danke für den cannocal Link und teile das. Ich denke ich verstehe. Mein Router unterstützt kein IPv6. Es läuft jedoch auf dem Linux-Kernel, und ich hatte den Eindruck, dass die Benutzer, die dies zum Laufen brachten, entweder Experten für viele Dinge waren, die nicht gut bekannt sind, oder nur halbblind experimentierten, wie ich selbst. Ich lasse das ein bisschen rumhängen. Aber ich werde sagen, dass ich, was auch immer der kleine NAT getan hat, niemals die endlosen Sonden in meinen Protokollen gesehen habe, die ich auf meinen öffentlichen Maschinen bei der Arbeit sehe.
Louis
Also zusammenfassend: Nichts hat sich geändert; Consumer IPv6 verfügt über vernünftig sichere Einstellungen. Leute, die direkt an die Modems angeschlossen sind, haben die gleichen Aufgaben wie bei IPv4 ...?
Louis
1
Eine Firewall muss nicht statusbehaftet sein. Die meisten Bedrohungen, mit denen Menschen bei der Bereitstellung von Firewalls befasst sind, können durch Zurückweisen eingehender SYN-Pakete und Zulassen aller anderen Bedrohungen behoben werden. Natürlich können Sie mit einer Stateful Firewall bessere Ergebnisse erzielen, aber Sie können auch schlechtere Ergebnisse erzielen. Es gab Fälle, in denen DoS-Angriffe Firewalls zum Stillstand brachten, weil in der Firewall nicht genügend Arbeitsspeicher zum Verfolgen von Verbindungen vorhanden war. Normalerweise weiß die Firewall nicht, ob die Verbindung auf dem zu schützenden Server noch besteht, sodass sie nicht weiß, welche Verbindungen sicher vergessen werden können und an welche erinnert werden muss.
Kasperd
8

NAT ist keine wirkliche Sicherheit, außer durch eine bestimmte Art von Verschleierung. Das Internet und die meisten Tools sind sowieso so konzipiert, dass sie von Ende zu Ende verwendet werden können. Ich würde jedes einzelne System dahinter behandeln einem Netzwerk genauso behandeln wie ein System im offenen Internet.

Es lohnt sich, die verschiedenen Mechanismen in Betracht zu ziehen, um IPv6-Zugriff zu erhalten, von den am wenigsten nativen (Teredo) über Tunnel (und es gibt verschiedene Protokolle, die in verschiedenen Situationen gut funktionieren) bis hin zu ipv6rd (im Grunde genommen ein ISP-Run-Tunnel) ein bestehendes IPv4-Netzwerk), nativ (wir verwenden SLAAC und NDP, glaube ich).

Wenn Sie auf einer weniger als uralten Windows-Box (XP oder besser - aber ich habe nichts Schlimmeres als eine SP3-Box, und das steht unter Druck) arbeiten, haben Sie wahrscheinlich die Möglichkeit, nicht native Teredo-Unterstützung zu nutzen . Möglicherweise sind Sie bereits auf ipv6 und bemerken es nicht. Teredo saugt irgendwie und außer in einigen Situationen lohnt es sich, es explizit auszuschalten.

Tunnel benötigen einen Client, und das ist noch arbeitsintensiver als eine native Installation.

Abgesehen davon ist es fast unmöglich, aus Versehen natives ipv6 einzurichten . Auch dort, wo Sie modern sind Router dies unterstützt, müssen Sie ihn explizit einrichten, und es sind 3-4 verschiedene Mechanismen gebräuchlich. Mein ISP verwendet ipv6rd und SLAAC für verschiedene physische Verbindungen, und die Anweisungen entsprechen denen eines Aktenschranks in einer Toilette. Die Alternative ist ein Tunnel, und das sind im Wesentlichen mindestens eine Stunde Arbeit.

Ich würde jedes System, das für IPV6-Netzwerke offen ist, genauso behandeln wie jedes andere System, das sich im offenen Internet befindet. Wenn ipv6 nicht benötigt wird, schalten Sie es aus. Es ist trivial und ich habe dies mit meinen XP-Systemen gemacht. Wenn dies der Fall ist, stellen Sie sicher, dass es gesichert ist. Es gibt sehr wenig, das sich in der aktuellen Übergangszeit absolut auf ipv6 stützt und nicht auf ipv4 zurückgreifen kann. Eine bemerkenswerte Ausnahme sind Heimnetzgruppen unter Windows 7 oder höher

Die gute Nachricht ist, dass die meisten modernen Betriebssysteme mit IPv6-Unterstützung ihre eigenen Firewalls für IPV6 haben und Sie keine Probleme haben sollten, diese zu sperren.

IPv6 hat auch einen merkwürdigen Vorteil. Mit ipv4 hatten Sie oft viele Exploits, die Sie zufällig nach offenen Ports durchsuchten. IPv4 NAT mildert dies ein wenig, indem es die Clients hinter einer Haupt-IP-Adresse versteckt. IPv6 mindert, dass es aufgrund des großen Adressraums nicht plausibel ist, vollständig zu scannen.

Letztendlich ist NAT kein Sicherheitstool - es soll ein ganz bestimmtes Problem lösen (die Schwierigkeit, öffentliche IP-Adressen zuzuweisen), das den Zugriff von außen auf ein Netzwerk ein bisschen erschwert. In einer Ära von Router-Firmware-Hacks und massiven Botnetzen würde ich empfehlen, jedes System, ipv4 oder 6, so zu behandeln , als ob es sich um ein offenes End-to-End-Internet handeln würde. Schließen Sie es ab, öffnen Sie, was Sie brauchen, und sorgen Sie sich nicht so sehr, da Sie über die tatsächliche Sicherheit verfügen , sondern über einen Polizisten aus Pappe.

Geselle Geek
quelle
"NAT ist nicht wirklich Sicherheit, außer durch eine bestimmte Art von Unbekanntheit", wie ist es Unbekanntheit, wenn es um typische Breitbandrouter geht, die NAPT verwenden? Ein Referenzlink zum Beispiel über den Zugriff auf das Heim-NAS (nur nicht routbare IP) von außerhalb ohne explizite Einrichtung? Oder was wird außer NAPT noch benötigt, um das Heim-NAS hinter einem typischen NAPT-Router zu schützen?
Hyde
2
siehe security.stackexchange.com/questions/8772/... superuser.com/questions/237790/does-nat-provide-security und ipv6friday.org/blog/2011/12/ipv6-nat . Genau das liegt nicht an der Sicherheit, sondern immer an einer Firewall, die leider nicht genug Respekt bekommt. Port-Weiterleitung? Es ist eine Firewall. Pakete verwerfen? Firewall. Nat ist im Grunde ein Postbote, der gerne eine Postbombe ausliefert. Die Firewall ist der Typ, der sie ticken hört und die Bombeneinheit anruft.
Geselle Geek
2

Wenn mit IPv6 kein Adressübersetzungsproblem zu lösen ist und weiterhin Ports verwendet werden, bin ich jetzt dafür verantwortlich, dies zu verwalten?

Ohne NAT hat alles hinter Ihrem Router eine eindeutige öffentliche IP-Adresse.

Typische Consumer-Router erfüllen neben dem Routing viele andere Funktionen:

  • Firewall / Paketfilterung / "Stateful Packet Inspection"
  • NAT
  • DHCP
  • etc.

Wenn NAT nicht benötigt wird, muss es nicht verwendet werden, obwohl die Firewall weiterhin vorhanden sein und verwendet werden kann. Wenn das Gerät, das das Routing durchführt, kein Firewalling durchführt (dies ist wahrscheinlich nicht der Fall, es sei denn, es handelt sich um einen Unternehmensrouter), müssen Sie ein separates Gerät hinzufügen, um dies zu tun.

Wenn Sie also Ports auf einem IPv6-Router "öffnen" möchten und sich dieser Router wie die meisten gängigen Consumer-Router verhält, weisen Sie den Firewall-Teil Ihres Routers an, eingehenden Datenverkehr auf dem gewünschten Port / Protokoll zuzulassen. Der wichtigste sichtbare Unterschied für Sie wäre, dass Sie nicht mehr angeben müssen, zu welcher privaten IP in Ihrem Netzwerk sie gehen soll.

Was leitet den Sondierungsverkehr in der IPv6-Welt automatisch um?

Nichts, es sei denn, das Gerät verfügt über eine Firewall-Funktion und ist auf einen vernünftigen Standardwert eingestellt, was wahrscheinlich bei jedem IPv6-Consumer-Router der Fall ist.

Zusammenfassend muss etwas als Firewall fungieren, um den Datenverkehr zu filtern, den Sie mit IPv6 nicht an Ihrem Router vorbeiführen möchten.

LawrenceC
quelle
Danke, ich glaube meine Verwirrung war, dass mein Router es nicht wirklich unterstützt, oder das Unternehmen nicht. Daher konnte ich eine IPv ^ -Adresse nur erhalten, indem ich sie umging oder mit WW-DRT in die * nix-Welt eintauchte (was sie auch nicht unterstützt, aber schau, worauf sie läuft). Es schien also riskant zu sein, es zum Laufen zu bringen ... verstehen Sie? Ich wusste wirklich nicht, dass Router für Endverbraucher dies berücksichtigen.
Louis
Neuere Router für Endverbraucher unterstützen dies. Ich bin schon seit Ewigkeiten auf ipv6 und habe zuerst einen Asus- und dann einen Dlink-Router, beide mit Standard-Firmware. Amüsanterweise hat das Asus definitiv keine IPv6-Firewall, und ich habe sie auf dem Dlink noch nicht überprüft. Es würde allerdings nicht schaden, Firewalls pro System zu haben
Journeyman Geek
Ich mag diese Antworten - ich weiß, was ich in meiner nächsten möchte - aber was @JourneymanGeek amüsant fand, lässt mich fragen, ob meine letzte Frage beantwortet wurde.
Louis
0

Gleich wie bei ipv4. Lassen Sie Ihren Computer nicht durch Malware infizieren und werden Sie Teil eines Botnets, das zum Versenden von Spam, zum Ausführen von DDoS-Angriffen und zu allem, was für das Internet schädlich ist, verwendet wird. Führen Sie keine unsicheren Dienste aus, die dem Internet ausgesetzt sind. Und so weiter.

Sie können ssh blockieren, aber wenn Sie nur die Root-Anmeldung blockieren und nur Schlüssel für die Anmeldung zulassen, kann sich niemand einloggen (vorausgesetzt, Sie haben alle aktuellen oder alten Versionen mit rückportierten Fehlerbehebungen). Sie können auch so etwas wie fail2ban verwenden, das es nicht vollständig blockiert, sondern erst nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche.

orange_juice6000
quelle