web-dev-qa-db-ja.com

IPv6所有者の責任は何ですか?

思い出に残る過去のコンシューマーグレードのルーターの後ろに住んでいたので、私はNATの当然の副作用として、必要に応じてポートを転送する必要があったのではなく、ソフトウェアファイアウォールでそれらを管理する必要があります。

IPv6で解決するアドレス変換の問題がなく、それでもポートを使用している場合、これを管理するのは私の責任ですか? IPv6の世界でプローブトラフィックを自動的に偏向させるものは何ですか?

RPDやSSHリクエストのブロックなどを積極的に防御する必要がありますか、それとも、最新のOSに自信を持ってこれらのことを考えなくて済むようにする必要がありますか?

ISPがIPv6を配信している場合、それを有効にする前に、平均的なネチズンに理解してもらう必要がありますか?

28
Louis Waweru

10年の大部分でIPv6を使用していて、変更の経緯を見てきたので、私はこれについて少し考えています。

ここで最も重要な点は次のとおりです。NATはファイアウォールではありません。これらは2つのまったく異なるものです。 Linuxでは、ファイアウォールコードの一部として実装されていますが、これは実装の詳細にすぎず、他のオペレーティングシステムの場合とは限りません。

ルーターでホームネットワークを保護しているのはファイアウォールであり、NATではないことを完全に理解したら、残りは適切に機能します。

残りの質問に答えるために、実際のIPv6ルーターの実際のファームウェアであるOpenWrtバージョン14.07バリアブレーカーを見てみましょう。このルーターでは、IPv6がデフォルトで有効になっており、プレフィックス委任を備えたDHCPv6を使用してそのまま使用できます。これは、ISPが顧客にアドレス空間を割り当てる最も一般的な方法です。

OpenWrtのファイアウォール構成は、適切なファイアウォールと同様に、デフォルトですべての受信トラフィックをブロックします。他のほとんどすべてのルーターが何年も持っているように、NATされたIPv4接続のポート転送ルールを設定する方法が含まれています。また、特定のトラフィックの転送を許可するためのトラフィックルールセクションもあります。これは、着信IPv6トラフィックを許可するために代わりに使用するものです。

IPv6を使用して見たほとんどのホームルーターは、デフォルトでファイアウォールの着信IPv6トラフィックもサポートしますが、着信トラフィックを転送する簡単な方法を提供しないか、混乱する可能性があります。しかし、私は実際にはどのホームルーターでも工場ファームウェアをuse使用していないため、(OpenWrtははるかに優れています)それは私に影響を与えることはありません。

実際、多くの人々が現在IPv6を使用しており、これが事実であることをまったく知りません。 ISPが有効にすると、ホームルーターがDHCPv6応答を受け取り、アドレスとすべてが正常に機能することをプロビジョニングしました。/64以上必要でなかったら、ゼロ構成で接続するだけで済みました。プレフィックスの委任を大きくするには、1つの変更を加える必要がありましたが、これは簡単です。

最後にもう1つあります。今日IPv4インターネット上にシステムがある場合、さまざまなポートであらゆる種類のインバウンド接続が試行され、既知の脆弱性やブルートフォースパスワードが悪用されます。 IPv4アドレスの範囲は十分に小さいため、1日未満で完全にスキャンできます。しかし、IPv6では、ほぼ10年で、どのポートでもこのような接続の試みは見たことはありません。アドレスのホスト部分のサイズがはるかに大きいため、範囲のスキャンは事実上不可能になります。しかし、まだファイアウォールが必要です。 IPアドレススキャンから見つからないという事実は、別の場所で取得したために既にあなたのアドレスを知っている誰かの標的にできないことを意味しません。


つまり、デフォルトではファイアウォールで保護されているため、IPv6アドレス範囲を簡単にスキャンできないため、一般に、着信IPv6トラフィックについて過度に心配する必要はありません。そして、多くの人にとって、IPv6は自動的にオンになり、気付くことはありません。

32
Michael Hampton

NATはセキュリティに関してはほとんど何もしませんでした。 NATを実装するには、基本的にステートフルパケットフィルターが必要です。

ステートフルパケットフィルターを使用することは、IPv6で安全であるための強力な要件です。私たちはたくさんのアドレス空間を持っているので、あなたは単にアドレス変換をもはや必要としません。

ステートフルパケットフィルターは、着信トラフィックを許可せずに発信トラフィックを許可するものです。ファイアウォール/ルーターで、内部ネットワークとは何かを定義するルールを設定し、内部ネットワークが発信接続を行うことを許可しますが、他のネットワークが内部ホストに接続することは許可しません(リクエストへの返信を除く) 。内部でサービスを実行している場合は、その特定のサービスのトラフィックを許可するルールを設定できます。

IPv6コンシューマールーターは、これを既に実行しているか、将来的に実装を開始する予定です。カスタムルーターを使用している場合は、これを自分で管理する必要があります。

13
Zoredache

NATは、特定の種類のあいまいさを除いて、実際にはセキュリティではありません。インターネットとほとんどのツールは、とにかく端から端まで使用されるように設計されています。私は、オープンインターネット上のシステムを扱うのと同じ方法で、すべての個別のシステムの背後を扱います。

最小ネイティブ(Teredo)、トンネル(およびさまざまな状況で適切に機能するさまざまなプロトコル)、ipv6rd(本質的にはISP実行トンネル)から、ipv6アクセスを取得するさまざまなメカニズムを検討する価値があります。既存のipv4ネットワーク)からネイティブへ(私たちはSLAACとNDPを使用していると思います)。

完全に古いウィンドウズボックス(XP以上)を使用している場合-私はSP3ボックスよりも悪いものはなく、それは強迫されています)、おそらくnonネイティブ、 Teredoサポート 。あなたはすでにipv6を使っていて、それを実現していないかもしれません。 Teredoはひどいもので、いくつかの状況を除いて、明示的にオフにする価値があります。

トンネルはある種のクライアントを必要とし、それはネイティブインストールよりもさらに多くの作業です。

これ以外では、偶然にnativeipv6を設定することはほとんど不可能です。 modernルーターがサポートしている場合でも、明示的に設定する必要があります。また、一般的に使用されているメカニズムは3〜4種類あります。私のISPは異なる物理接続でipv6rdとSLAACを使用しており、指示はトイレのファイリングキャビネットと同等です。代替手段はトンネルであり、それは基本的に少なくとも1時間の作業です。

私は、IPV6ネットワークに対して開かれているすべてのシステムを、オープンインターネット上にある他のシステムと同じように扱います。 ipv6が必要ない場合は、オフにしてください。その些細なことであり、私はこれを私のXPシステムで実行しました。もしそうなら、それが安全であることを確認してください。が絶対に依存することはほとんどありませんipv6で現在の移行期間にipv4にフォールバックできません。1つの注目すべき例外は、Windows 7以降のホームグループです。

良いニュースは、ipv6をサポートする最新のOSのほとんどに、IPV6用の独自のファイアウォールがあり、それらをロックするのにそれほど問題はないはずです。

IPv6にも奇妙な利点があります。 ipv4では、開いているポートをランダムにスキャンする多くのエクスプロイトがありました。 IPv4 NATは、メインのIPアドレスの背後にクライアントを隠すことでそれを少し軽減します。IPv6は、巨大なアドレススペースを持つことで完全にスキャンすることは妥当ではありません。

1日の終わりにNATはセキュリティツールではありません-これは非常に具体的な問題(パブリックIPアドレスの割り当ての困難さ)を解決するためのもので、アクセスが非常に困難になります)外部からのネットワーク。 ルーターファームウェアのハッキング 、および大規模なボットネットの時代には、anyシステムを扱うことをお勧めします。 ipv4または6をオープンエンドツーエンドのインターネットのようにロックダウンし、必要なものを開き、actual段ボールの警官ではなく、セキュリティ。

8
Journeyman Geek

IPv6で解決するアドレス変換の問題がなく、それでもポートを使用している場合、これを管理するのは私の責任ですか?

NATを使用しない場合、ルーターの背後にあるすべてのものが固有のパブリックIPアドレスを持ちます。

一般的なコンシューマールーターは、ルーティング以外の多くの機能を実行します。

  • ファイアウォール/パケットフィルタリング/「ステートフルパケットインスペクション」
  • NAT
  • DHCP
  • 等.

NATが不要な場合は、ファイアウォールをそのまま使用して使用できますが、使用する必要はありません。ルーティングを行うデバイスがファイアウォールを実行しない場合(おそらくエンタープライズルーターでない限り、別のデバイスを追加する必要があります。

したがって、IPv6ルーターで「ポートを開く」必要があり、そのルーターが最も一般的なコンシューマールーターのように動作する場合は、ルーターのファイアウォール部分に、必要なポート/プロトコルでの着信トラフィックを許可するように指示します。目に見える主な違いは、ネットワーク上のどのプライベートIPにアクセスするかを指定する必要がなくなることです。

IPv6の世界でプローブトラフィックを自動的に偏向させるものは何ですか?

デバイスにファイアウォール機能があり、適切なデフォルトに設定されていない限り、何も起こりません。これは、おそらくあらゆるコンシューマIPv6ルーターに当てはまります。

要約すると、IPv6を使用してルーターを通過したくないトラフィックをフィルタリングするファイアウォールとして機能するものが必要です。

2
LawrenceC

Ipv4と同じ。コンピューターをマルウェアに感染させて、スパムの送信、ddos攻撃の実行、およびインターネットに悪影響を与えるボットネットの一部にならないようにしてください。インターネットに公開されている安全でないサービスを実行しないでください。等々。

Sshをブロックすることはできますが、rootログインをブロックし、ログイン用のキーのみを許可すると、基本的に誰もハッキングできなくなります(バックポートされたバグ修正を含むすべての最新バージョンまたは古いバージョンを想定しています)。 fail2banのように完全にブロックするのではなく、特定の回数のログイン試行が失敗した後にのみ使用することもできます。

0