Vivendo atrás de um roteador de nível consumidor para um passado memorável, acho que eu tinha o efeito colateral do NAT como garantido, pois tinha o ônus de encaminhar portas quando precisava, em vez de precisar gerenciá-las com um firewall de software.
Se não houver nenhum problema de conversão de endereço a ser resolvido com o IPv6 e se ele ainda usar portas, agora é minha responsabilidade gerenciar isso? O que está desviando automaticamente o tráfego de sondagem no mundo IPv6?
Preciso tentar ser defensivo ativamente em coisas como bloquear solicitações de RPD ou SSH, ou devo confiar no sistema operacional moderno atualizado, evitando que eu pense sobre essas coisas?
Se um ISP estiver entregando IPv6, ele precisará ser entendido pelo internauta médio antes de ser ativado?
Respostas:
Tendo usado o IPv6 há quase uma década e vendo as mudanças passarem, tenho um pouco de perspectiva sobre isso.
O ponto mais importante aqui é o seguinte: NAT não é o firewall. Essas são duas coisas completamente distintas. No Linux, ele é implementado como parte do código do firewall, mas isso é apenas um detalhe da implementação e não é necessariamente o caso em outros sistemas operacionais.
Depois de entender completamente que o roteador que protege sua rede doméstica é o firewall , e não o NAT, o restante se encaixa.
Para responder ao restante da sua pergunta, vamos dar uma olhada em um firmware de roteador IPv6 ao vivo real, OpenWrt versão 14.07 Barrier Breaker. Nesse roteador, o IPv6 é ativado por padrão e funciona imediatamente usando o DHCPv6 com delegação de prefixo, a maneira mais comum pelos quais os ISPs atribuem espaço de endereço aos clientes.
A configuração do firewall do OpenWrt, como qualquer firewall razoável, bloqueia todo o tráfego de entrada por padrão. Ele contém uma maneira de configurar regras de encaminhamento de porta para conexões NATv IPv4, como quase todos os outros roteadores há anos. Ele também possui uma seção de regras de tráfego para permitir o encaminhamento de tráfego específico; é isso que você usa para permitir o tráfego IPv6 de entrada.
A maioria dos roteadores domésticos que eu já vi com o IPv6 também suporta o tráfego IPv6 de entrada por firewall, por padrão, embora eles possam não fornecer uma maneira fácil de encaminhar o tráfego de entrada, ou pode ser confuso. Mas como eu nunca uso firmware de fábrica em nenhum roteador doméstico (o OpenWrt é muito melhor ), isso nunca me afetou.
De fato, muitas pessoas estão usando o IPv6 no momento e não têm absolutamente nenhuma idéia de que esse é o caso. Quando seus ISPs o ativaram, seus roteadores domésticos pegaram as respostas DHCPv6 e provisionaram os endereços e tudo o que acabou de funcionar. Se eu não precisasse mais do que um / 64, poderia apenas conectá-lo com a configuração zero. Eu tive que fazer uma alteração para obter uma delegação maior de prefixo, embora isso seja fácil o suficiente.
Finalmente, há mais uma coisa: se você tem um sistema na Internet IPv4 hoje, ele recebe todo tipo de tentativas de conexão de entrada em várias portas, tentando explorar vulnerabilidades conhecidas ou senhas de força bruta. O intervalo de endereços IPv4 é pequeno o suficiente para que possa ser verificado na íntegra em menos de um dia. Mas no IPv6, em quase uma década, nunca vi uma tentativa de conexão em nenhuma porta. O tamanho muito maior da parte do host do endereço torna a digitalização do intervalo praticamente impossível. Mas você ainda precisa do firewall; o fato de você não poder ser encontrado em uma varredura de endereço IP não significa que você não pode ser segmentado por alguém que já conhece o seu endereço porque ele o obteve em outro lugar.
Em resumo, geralmente, não, você não precisará se preocupar muito com o tráfego IPv6 recebido, porque ele será firewall por padrão e porque os intervalos de endereços IPv6 não podem ser verificados com facilidade. E para muitas pessoas o IPv6 será ativado automaticamente e nunca perceberá.
fonte
O NAT realmente fez muito pouco por segurança. Para implementar o NAT, você basicamente precisa ter um filtro de pacote com estado.
Ter um filtro de pacote com estado ainda é um forte requisito para estar seguro com o IPv6; você simplesmente não precisa mais da tradução de endereços, pois temos muito espaço de endereço.
Um filtro de pacote com estado é o que permite o tráfego de saída sem o tráfego de entrada. Portanto, no seu firewall / roteador, você definirá regras que definem qual é a sua rede interna e poderá permitir que sua rede interna faça conexões de saída, mas não permita que outras redes se conectem aos seus hosts internos, exceto em resposta às suas solicitações. . Se você estiver executando serviços internamente, poderá configurar regras para permitir o tráfego para esse serviço específico.
Espero que os roteadores IPv6 já façam isso ou que comecem a implementá-los no futuro. Se você estiver usando algum roteador personalizado, talvez seja necessário gerenciar isso sozinho.
fonte
O NAT não é realmente segurança, exceto por um certo tipo de obscuridade. A Internet e a maioria das ferramentas são projetadas para serem usadas de ponta a ponta de qualquer maneira. Eu trataria qualquer sistema individual atrás de um nat da mesma maneira que trataria um sistema na Internet aberta.
Vale a pena considerar os diferentes mecanismos de acesso ao ipv6, dos menos nativos (Teredo), Tunnels (e existem diferentes protocolos que funcionam bem em diferentes situações), ipv6rd (essencialmente um túnel executado pelo ISP, é uma boa maneira de obter o ipv6 rapidamente) uma rede ipv4 existente), para nativa (usamos SLAAC e NDP, acredito).
Se você estiver em uma caixa do Windows totalmente antiga (XP ou melhor - mas eu não tenho nada pior do que uma caixa do SP3 e isso está sob coação), provavelmente você tem a opção de suporte teredo não nativo . Você já pode estar no ipv6 e não perceber. Teredo é um saco e, exceto em algumas situações, vale a pena desativá-lo explicitamente.
Os túneis precisam de algum tipo de cliente, e isso é ainda mais trabalhoso do que uma instalação nativa.
Fora disso, é quase impossível configurar o ipv6 nativo por acidente. Mesmo onde o seu roteador moderno o suporta, é necessário configurá-lo explicitamente, e existem 3-4 mecanismos diferentes em uso comum. Meu ISP usa ipv6rd e SLAAC em diferentes conexões físicas, e as instruções são equivalentes a um arquivo em um vaso sanitário. A alternativa é um túnel, e isso é essencialmente pelo menos uma hora de trabalho.
Eu trataria qualquer sistema aberto às redes IPV6 da mesma forma que qualquer outro sistema que esteja na Internet aberta. Se não precisar de ipv6, desligue-o. É trivial, e eu fiz isso com meus sistemas XP. Se isso acontecer, verifique se está seguro. Há muito pouco que dependa absolutamente do ipv6 no período de transição atual que não pode voltar ao ipv4. Uma exceção notável são os grupos domésticos no Windows 7 ou posterior
A boa notícia é que os sistemas operacionais mais modernos, com suporte ao ipv6, possuem firewalls próprios para IPV6, e você não deve ter muitos problemas para travá-los.
O IPv6 também tem uma vantagem ímpar. Com o ipv4, você costumava ter muitas explorações que o varriam aleatoriamente em busca de portas abertas. O NAT do IPv4 reduz isso um pouco, ocultando os clientes atrás de um endereço IP principal. O IPv6 mitiga que, por ter um espaço de endereço enorme, é implausível verificar completamente.
No final das contas, o NAT não é uma ferramenta de segurança - que visa solucionar um problema muito específico (a dificuldade em atribuir endereços IP públicos), que dificulta um pouquinho o acesso a uma rede externa. Em uma era de hackers de firmware de roteador e enormes redes de bots, sugiro tratar qualquer sistema, ipv4 ou 6, como se estivesse na Internet aberta e de ponta a ponta. Tranque, abra o que você precisa e não se preocupe tanto, pois você tem segurança real , em vez de um policial de papelão.
fonte
Sem NAT, tudo por trás do seu roteador tem um endereço IP público exclusivo.
Os roteadores de consumo típicos executam muitas funções além do roteamento:
Se o NAT não for necessário, ele não precisará ser usado, embora o firewall ainda possa estar lá e ser usado. Se o dispositivo que faz o roteamento não usa firewall (provavelmente não, a menos que seja um roteador corporativo), você precisará adicionar um dispositivo separado para fazer isso.
Portanto, se você deseja "abrir portas" em um roteador IPv6 e se esse se comportar como os roteadores de consumo mais comuns, peça à parte do firewall do roteador que permita o tráfego de entrada na porta / protocolo desejado. A principal diferença visível para você é que você não precisa mais especificar qual IP privado na sua rede deve acessar.
Nada, a menos que o dispositivo tenha uma função de firewall e esteja definido como um padrão razoável, o que provavelmente é o caso em qualquer roteador IPv6 de consumidor.
Para resumir, você precisa de algo agindo como um firewall para filtrar o tráfego que não deseja passar pelo seu roteador com o IPv6.
fonte
O mesmo que com o ipv4. Não deixe seu computador infectado por malware e faça parte de uma botnet usada para enviar spam, executar ataques de ddos e qualquer outra coisa que seja prejudicial à Internet. Não execute nenhum serviço inseguro exposto à Internet. E assim por diante.
Você pode bloquear o ssh, mas se você apenas bloquear o login root e permitir apenas as chaves para o login, será basicamente impossível para qualquer um invadir (supondo que você tenha todas as versões mais recentes ou antigas com correções de bugs). Você também pode usar algo como fail2ban, que não o bloqueia completamente, mas somente após um certo número que falha nas tentativas de login.
fonte