私のISPが提供しているルーターにはIPv6ファイアウォールが含まれています。設定オプションは、オンかオフかだけです。どうやら、このファイアウォールは単にすべての着信接続を拒否します。
これは、すべてのホストとそのすべての開いているポートがインターネット全体に公開されないようにすることだと理解しています。
着信IPv6接続を受信する場合は、このファイアウォールを無効にする必要があります。
無効にするのは危険ですか? PCやモバイルデバイスなどのデバイスは、インターネットに公開されるのに十分な安全性があるのでしょうか。それらは確かに想定で安全ですが、実用的な意味で安全ですか?
はい、補完的な制御や置換フィルターなしでファイアウォールを無効にすることは危険です。 IPv6のインターネットIPアドレスインデクサーがカバーすることはまだまだたくさんありますが、それは実現しています。 Sansはこれに関する記事を持っています。
ここでの問題の1つは、IPv6が内部デバイスへの直接攻撃を可能にすることです。 NATは使用されていません(少なくともipv6の意図です)ため、攻撃者は最初にルーターを発見せず、内部で直接デバイスにメッセージを送信しようとしています。
Ipv6への攻撃にはあまり注意が向けられていませんが、確実に起こっています。私の今日の仕事では、内部ネットワーク上で、IPV4ベースの違反の兆候としてIPv6を探します。
「使用したいためにipv6の完全なブロックをオフにした場合、それではどうなりますか?」という質問に対する回答の提案pfsenseボックスを実行することになります。こちらが記事です。 https://blog.joelj.org/setting-up-pfsense-with-ipv6/ これにより、ネットワーク上のすべてのデバイスではなく、インターネットに公開したいデバイスとサービスのみを開くことができます、脆弱性や設定ミスがある可能性があります。
ファイアウォールを無効にすることは危険ではないというのが私の意見です。しかし、それでも、それは少し賢明ではありません。
私は2014年以来、ファイアウォールを使用せずにIPv6を直接接続していましたが(ただし、プライマリデバイスがアドレス:: 1および:: 10にある場合でも)、IPv6を使用する試みはありませんでした。 IPv4では、SSHの試行、HTTPの脆弱性の試行、一般的なユーザー名とパスワードの試行など、常に発生します。私はfail2banを使用しています。さらに、大きな/ 12 .../16 IPv4ブロックの束を/ dev/nullにルーティングしています。私には役に立たない。これらがなければ、IPv4試行からのログ行の数は1日あたり100.000をはるかに超えます。しかし、言ったように、IPv6では何もしません。
IPv6の試みがなくなると言っているのではありません。しかし、私はIPv6をハッキングするのははるかに難しいと考えています。
/ 64 IPv6サブネットに侵入する必要がある場合、どこから始めればよいかわかりません。おそらく、2 ^ 64ブロックをランダムに撃つ代わりに、最初に他の手段(サポートについての偽の電話?)を使用して、その宛先にある機器を見つけ、MACアドレスの範囲と計算されたIPv6アドレスを推測できるようにする必要があります。または、ベンダーに特定の脆弱性があることがわかっているベンダーのMACアドレスに集中します。