Apa tanggung jawab pemilik IPv6?

28

Hidup di belakang router tingkat konsumen untuk masa lalu yang berkesan, saya kira saya menerima efek samping dari NAT, karena saya memiliki beban meneruskan porta ketika saya perlu, daripada harus mengelolanya dengan firewall perangkat lunak.

Jika tidak ada masalah terjemahan alamat untuk diselesaikan dengan IPv6, dan jika masih menggunakan port, apakah sekarang tanggung jawab saya untuk mengelola ini? Apa yang secara otomatis membelokkan lalu lintas yang menyelidik di dunia IPv6?

Apakah saya harus secara aktif mencoba bersikap defensif dalam hal-hal seperti memblokir permintaan RPD atau SSH, atau haruskah saya yakin dengan OS modern yang diperbarui menyelamatkan saya dari memikirkan hal-hal ini?

Jika ISP memberikan IPv6, apakah perlu dipahami oleh rata-rata netizen sebelum diaktifkan?

security  ipv6 
Louis
sumber
4
Zoredache
@Zoredache Terima kasih, saya akan mengambil beberapa untuk mengkonsumsi semua ini.
Louis
Sesuatu yang patut dicari setelah Anda memutuskan untuk mengatur ipv6 adalah mekanisme yang digunakan ISP Anda - Mine menggunakan ipv6rd pada kabel dan SLAAC pada fibre. Saya juga mencatat bahwa ipv6 bukan hal yang semuanya atau tidak sama sekali - Saya menonaktifkan ipv6 tingkat per sistem - Jika Anda tidak membutuhkannya, itu sepele untuk mematikannya ..
Journeyman Geek
@JourneymanGeek Akan melakukannya. Saya sudah menonaktifkannya di router karena saya benar-benar merasakan bahwa tidak ada yang seperti perlindungan biasa yang tampaknya ada, ditawarkan sebagai layanan dan perangkat kerasnya sedang dipasarkan kepada saya. Saya belum berani menonaktifkannya di Windows, karena alamat lokal tampaknya lebih disukai oleh beberapa layanan dan perangkat lunak, dan saya belum tahu apa artinya membangunnya kembali.
Louis

Jawaban:

32

Setelah menggunakan IPv6 untuk bagian yang lebih baik dari satu dekade sekarang, dan menyaksikan perubahan berlalu, saya memiliki sedikit perspektif tentang ini.

Poin paling penting di sini adalah ini: NAT bukan firewall. Ini adalah dua hal yang sangat berbeda. Di Linux itu kebetulan diimplementasikan sebagai bagian dari kode firewall, tetapi ini hanyalah detail implementasi, dan belum tentu demikian pada sistem operasi lain.

Setelah Anda benar-benar mengerti bahwa hal di router yang melindungi jaringan rumah Anda adalah firewall , dan bukan NAT, maka sisanya akan jatuh ke tempatnya.

Untuk menjawab sisa pertanyaan Anda, mari kita lihat firmware router IPv6 nyata, OpenWrt versi 14.07 Barrier Breaker. Di router ini, IPv6 diaktifkan secara default dan bekerja di luar kotak menggunakan DHCPv6 dengan delegasi awalan, cara paling umum bahwa ISP akan memberikan ruang alamat kepada pelanggan.

Konfigurasi firewall OpenWrt, seperti firewall yang masuk akal, memblokir semua lalu lintas masuk secara default. Ini berisi cara untuk mengatur aturan port forwarding untuk koneksi IPv4 NATted, karena kebanyakan router lainnya sudah bertahun-tahun. Ini juga memiliki bagian aturan lalu lintas untuk memungkinkan lalu lintas tertentu untuk diteruskan; ini yang Anda gunakan sebagai gantinya untuk memungkinkan lalu lintas IPv6 masuk.

Sebagian besar router rumah yang saya lihat dengan dukungan IPv6 juga firewall inbound IPv6 secara default, meskipun mereka mungkin tidak menyediakan cara mudah untuk memajukan lalu lintas masuk, atau mungkin membingungkan. Tetapi karena saya tidak pernah benar-benar menggunakan firmware pabrik pada router rumah mana pun, (OpenWrt jauh lebih baik ) itu tidak pernah memengaruhi saya.

Memang, banyak orang menggunakan IPv6 sekarang dan sama sekali tidak tahu bahwa ini adalah masalahnya. Ketika ISP mereka mengaktifkannya, router rumah mereka mengambil tanggapan DHCPv6 dan menyediakan alamat dan semuanya Hanya Bekerja. Seandainya saya tidak membutuhkan lebih dari a / 64, saya bisa saja memasangnya dengan konfigurasi nol. Saya harus melakukan satu perubahan untuk mendapatkan delegasi awalan yang lebih besar, meskipun ini cukup mudah.

Akhirnya ada satu hal lagi: Jika Anda memiliki sistem di Internet IPv4 hari ini, ia mendapatkan segala macam upaya koneksi masuk pada berbagai port, mencoba untuk mengeksploitasi kerentanan yang diketahui atau kata sandi brute-force. Kisaran alamat IPv4 cukup kecil sehingga dapat dipindai secara keseluruhan dalam waktu kurang dari sehari. Tetapi pada IPv6, dalam hampir satu dekade saya belum pernah melihat upaya koneksi pada port apa pun. Ukuran yang jauh lebih besar dari bagian host dari alamat membuat pemindaian jangkauan hampir tidak mungkin. Tetapi Anda masih membutuhkan firewall; fakta bahwa Anda tidak dapat ditemukan dari pemindaian alamat IP tidak berarti Anda tidak dapat ditargetkan oleh seseorang yang sudah mengetahui alamat Anda karena mereka mendapatkannya di tempat lain.

Singkatnya, secara umum, tidak, Anda tidak perlu terlalu khawatir tentang lalu lintas IPv6 yang masuk karena akan diblokir secara default, dan karena rentang alamat IPv6 tidak dapat dengan mudah dipindai. Dan bagi banyak orang IPv6 akan menyala secara otomatis dan mereka tidak akan pernah menyadarinya.

Michael Hampton
sumber
Saya akan menambahkan dengan firmware pihak ke-1 yang saya gunakan, saya harus menyalakan IPv6 secara eksplisit, dan setidaknya salah satu dari mereka tidak memiliki firewall ipv6. Paling tidak dengan ISP dan router saya, kecil kemungkinannya Anda hanya akan mengambil ipv6 dan mulai menggunakannya.
Journeyman Geek
Hm, saya sepertinya mengingat sesuatu dari ASUS (mungkin?) Mematikan IPv6 secara default dan tidak ada firewall yang jelas. Benarkah itu?
Michael Hampton
Tidak ada firewall. Saya pikir Anda mungkin ingat bahwa dari masalah yang saya alami dengan klien 802.11g.
Journeyman Geek
OpenWRT benar-benar plug-n-play (hampir?). Pergilah
Louis
BTW, itu intinya, tapi saya sangat suka "akhirnya". Saya menyadari ZMap dan seberapa cepat ruang alamat IPv4 dapat dipindai dengan sedikit sumber daya, dan saya dapat memahami ukuran 2 ^ 32 dan memikirkan hal-hal yang dapat saya gunakan untuk menggambarkannya. Tetapi bahkan jika alamat yang dialamatkan secara publik hanya sebagian kecil dari ruang IPv6, saya dapat mengerti bahwa saya tidak dapat memahami ukuran 2 ^ 128.
Louis
13

NAT benar-benar melakukan sangat sedikit untuk keamanan. Untuk mengimplementasikan NAT Anda pada dasarnya harus memiliki filter paket stateful.

Memiliki filter paket stateful masih merupakan persyaratan kuat untuk aman dengan IPv6; Anda tidak lagi memerlukan terjemahan alamat karena kami memiliki banyak ruang alamat.

Filter paket stateful adalah yang memungkinkan lalu lintas keluar tanpa mengizinkan lalu lintas masuk. Jadi pada firewall / router Anda, Anda akan membuat aturan yang menentukan apa jaringan internal Anda dan kemudian Anda mungkin mengizinkan jaringan internal Anda untuk membuat koneksi keluar, tetapi tidak mengizinkan jaringan lain untuk terhubung ke host internal Anda, kecuali sebagai balasan atas permintaan Anda . Jika Anda menjalankan layanan secara internal, Anda mungkin membuat aturan untuk mengizinkan lalu lintas untuk layanan tertentu.

Saya berharap router konsumen IPv6 sudah melakukan ini, atau akan mulai menerapkan ini di masa depan. Jika Anda menggunakan router khusus, Anda mungkin harus mengaturnya sendiri.

Sakit kepala
sumber
Rad, terima kasih atas tautan cannocal, dan berbagi itu. Saya rasa saya mengerti. Router saya tidak mendukung IPv6. Namun menjalankan kernel Linux, dan kesan saya dari pengaturannya adalah bahwa pengguna mendapatkan pekerjaan ini adalah ahli dalam banyak hal yang tidak dikenal, atau hanya bereksperimen setengah membabi buta, seperti diriku sendiri. Saya akan membiarkan ini nongkrong sedikit. Tetapi saya akan mengatakan bahwa apa pun yang dilakukan NAT kecil, saya tidak pernah melihat, probe tanpa akhir dalam log saya yang saya lihat di mesin publik saya di tempat kerja.
Louis
Jadi dalam ringkasan: Tidak ada yang berubah; IPv6 konsumen akan memiliki pengaturan yang aman secara resonansi. Orang-orang yang menghubungkan langsung ke modem akan memiliki tanggung jawab yang sama dengan yang mereka lakukan dengan IPv4 ...?
Louis
1
Firewall tidak harus stateful. Sebagian besar ancaman yang dikhawatirkan ketika menyebarkan firewall dapat diatasi dengan menolak paket SYN yang masuk dan mengizinkan yang lainnya. Tentu saja Anda dapat melakukan yang lebih baik dengan menggunakan firewall stateful, tetapi Anda juga dapat melakukan yang lebih buruk. Ada kasus di mana serangan DoS merobohkan firewall karena kehabisan memori untuk melacak koneksi. Biasanya firewall tidak tahu apakah koneksi masih ada di server yang dilindungi, jadi tidak tahu koneksi mana yang dapat dilupakan dengan aman, dan yang harus diingat.
kasperd
8

NAT tidak benar-benar keamanan, kecuali oleh jenis ketidakjelasan tertentu. Internet, dan sebagian besar alat dirancang untuk digunakan dari ujung ke ujung pula. Saya akan memperlakukan setiap sistem di belakang nat sama dengan cara saya memperlakukan sistem di internet terbuka.

Nilainya mempertimbangkan mekanisme berbeda untuk mendapatkan akses ipv6, dari yang paling asli (Teredo), Terowongan (dan ada protokol berbeda yang bekerja dengan baik dalam situasi yang berbeda), ipv6rd (pada dasarnya ISP menjalankan terowongan, itu cara yang baik untuk mendapatkan ipv6 dengan cepat di jaringan ipv4 yang ada), ke asli (Kami menggunakan SLAAC dan NDP saya percaya).

Jika Anda menggunakan kotak windows yang benar-benar kuno (XP atau lebih baik - tapi saya tidak memiliki yang lebih buruk daripada kotak SP3, dan itu di bawah paksaan), Anda mungkin memiliki opsi untuk dukungan teredo yang bukan asli . Anda mungkin sudah menggunakan ipv6 dan tidak menyadarinya. Teredo agak menyebalkan dan kecuali dalam beberapa situasi nilainya secara eksplisit mematikannya.

Terowongan membutuhkan semacam klien, dan itu bahkan lebih berfungsi daripada instalasi asli.

Di luar dari ts ini hampir tidak mungkin untuk mengatur IPv6 asli secara tidak sengaja. Bahkan ketika router modern Anda mendukungnya, Anda perlu mengaturnya secara eksplisit, dan ada 3-4 mekanisme berbeda yang biasa digunakan. ISP saya menggunakan ipv6rd dan SLAAC pada koneksi fisik yang berbeda, dan instruksinya sama dengan lemari arsip di toilet. Alternatifnya adalah terowongan, dan itu pada dasarnya setidaknya satu jam kerja.

Saya akan memperlakukan sistem apa pun yang terbuka untuk jaringan IPV6 sama seperti saya akan sistem lain yang ada di internet terbuka. Jika tidak perlu IPv6, matikan. Itu sepele, dan saya sudah melakukan ini dengan sistem XP saya. Jika ya, pastikan aman. Ada sangat sedikit yang benar - benar bergantung pada ipv6 pada periode transisi saat ini yang tidak dapat kembali ke ipv4. Satu pengecualian penting adalah homegroup pada windows 7 atau lebih baru

Berita baiknya adalah sebagian besar OS modern dengan dukungan ipv6 memiliki firewall sendiri untuk IPV6, dan Anda seharusnya tidak terlalu kesulitan mengunci mereka.

IPv6 juga memiliki keunggulan yang aneh. Dengan ipv4, Anda sering memiliki banyak eksploitasi yang secara acak memindai Anda untuk membuka port. IPv4 NAT mengurangi itu dengan menyembunyikan klien di belakang alamat ip utama. IPv6 mengurangi bahwa dengan memiliki ruang alamat yang besar, maka tidak mungkin untuk memindai sepenuhnya.

Pada akhirnya NAT bukan alat keamanan - yang dimaksudkan untuk menyelesaikan masalah yang sangat spesifik (kesulitan dalam menetapkan alamat IP publik), yang membuatnya sedikit TINY sedikit lebih sulit untuk mengakses jaringan dari luar. Di era peretasan firmware router , dan botnet besar, saya sarankan memperlakukan sistem apa pun , ipv4 atau 6 seolah-olah di tempat terbuka, ujung ke ujung internet. Kunci, buka apa yang Anda butuhkan, dan jangan khawatir karena Anda memiliki keamanan sebenarnya , daripada polisi kardus.

Journeyman Geek
sumber
"NAT tidak benar-benar keamanan, kecuali dengan jenis ketidakjelasan", bagaimana ketidakjelasan, ketika berbicara tentang router broadband khas yang menggunakan NAPT? Tautan referensi tentang, misalnya, mengakses NAS rumah (hanya IP non-routable) dari luar tanpa pengaturan eksplisit? Atau, apa lagi yang dibutuhkan kecuali NAPT untuk melindungi NAS rumah di belakang router NAPT yang khas?
hyde
2
lihat security.stackexchange.com/questions/8772/... superuser.com/questions/237790/does-nat-provide-surity dan ipv6friday.org/blog/2011/12/ipv6-nat . Justru itu menyebabkan nat bukan keamanan, yang selalu dipasangkan dengan firewall, yang sayangnya tidak mendapat cukup rasa hormat. Port forwarding? Ini firewall. Menjatuhkan paket? Firewall. Nat pada dasarnya adalah seorang tukang pos yang dengan senang hati akan mengirim surat. Firewall adalah orang yang mendengarnya berdetak, dan memanggil pasukan penjinak.
Journeyman Geek
2

Jika tidak ada masalah terjemahan alamat untuk diselesaikan dengan IPv6, dan jika masih menggunakan port, apakah sekarang tanggung jawab saya untuk mengelola ini?

Tanpa NAT, semua yang ada di belakang router Anda memiliki alamat IP publik yang unik.

Router konsumen tipikal melakukan banyak fungsi selain routing:

  • firewall / penyaringan paket / "Stateful Packet Inspection"
  • NAT
  • DHCP
  • dll.

Jika NAT tidak diperlukan, itu tidak harus digunakan, meskipun firewall masih bisa ada dan digunakan. Jika perangkat yang melakukan perutean tidak melakukan firewall (kemungkinan tidak demikian kecuali router perusahaan), Anda harus menambahkan perangkat terpisah untuk melakukannya.

Jadi jika Anda ingin "membuka port" pada router IPv6, dan jika router itu berperilaku seperti router konsumen yang paling umum, Anda memberi tahu bagian firewall dari router Anda untuk mengizinkan lalu lintas masuk pada port / protokol yang Anda inginkan. Perbedaan utama yang terlihat bagi Anda adalah bahwa Anda tidak lagi harus menentukan IP pribadi di jaringan Anda yang seharusnya dituju.

Apa yang secara otomatis membelokkan lalu lintas yang menyelidik di dunia IPv6?

Tidak ada, kecuali perangkat memiliki fungsi firewall dan diatur ke default yang masuk akal, yang mungkin terjadi pada router IPv6 konsumen.

Singkatnya, Anda memerlukan sesuatu yang bertindak sebagai firewall untuk menyaring lalu lintas yang tidak ingin Anda lewati melewati router Anda dengan IPv6.

LawrenceC
sumber
Terima kasih, saya pikir kebingungan saya adalah bahwa router saya sebenarnya tidak mendukungnya, atau perusahaan tidak. Jadi saya hanya bisa mendapatkan alamat IPv dengan memintasinya, atau menyelidiki dunia * nix dengan WW-DRT (yang juga tidak mendukungnya, tetapi lihat apa yang sedang berjalan). Jadi sepertinya membuatnya bekerja adalah sesuatu yang berisiko ... Anda tahu? Benar-benar tidak tahu router tingkat konsumen sudah memikirkannya.
Louis
Router tingkat konsumen yang lebih baru mendukungnya - Saya sudah menggunakan ipv6 sejak lama dengan asus pertama, lalu router dlink, keduanya dengan firmware bawaan. Yang mengherankan, asus itu pasti tidak memiliki firewall ipv6, dan saya belum memeriksanya di dlink. Tidak ada ruginya memiliki per sistem firewall
Journeyman Geek
Saya suka jawaban ini - saya tahu apa yang saya inginkan dalam jawaban saya berikutnya - tetapi apa yang ditemukan oleh @JourneymanGeek lucu membuat saya bertanya-tanya apakah pertanyaan terakhir saya dijawab.
Louis
0

Sama seperti dengan ipv4. Jangan biarkan komputer Anda terinfeksi oleh malware dan menjadi bagian dari botnet yang digunakan untuk mengirim spam, melakukan serangan DDoS dan hal lain yang buruk untuk internet. Jangan menjalankan layanan tidak aman yang terpapar ke internet. Dan seterusnya.

Anda dapat memblokir ssh tetapi jika Anda hanya memblokir login root dan hanya mengizinkan kunci untuk login itu pada dasarnya tidak akan memungkinkan siapa pun untuk meretas (dengan asumsi Anda memiliki semua versi terbaru atau yang lama dengan perbaikan bug yang di-backport). Anda juga dapat menggunakan sesuatu seperti fail2ban yang tidak memblokirnya sepenuhnya tetapi hanya setelah sejumlah upaya gagal login.

orange_juice6000
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.