Al vivir detrás de un enrutador de nivel de consumidor para el pasado memorable, supongo que tomé el efecto secundario de NAT por sentado, ya que tenía la carga de reenviar puertos cuando era necesario, en lugar de tener que administrarlos con un firewall de software.
Si no hay un problema de traducción de direcciones para resolver con IPv6, y si todavía usa puertos, ¿es ahora mi responsabilidad gestionar esto? ¿Qué desvía automáticamente el sondeo del tráfico en el mundo IPv6?
¿Tengo que tratar activamente de estar a la defensiva en cosas como bloquear solicitudes de RPD o SSH, o debo confiar en que el sistema operativo moderno actualizado me salve de pensar en estas cosas?
Si un ISP está entregando IPv6, ¿debe ser entendido por el internauta promedio antes de habilitarlo?
Respuestas:
Después de haber usado IPv6 durante la mayor parte de una década, y viendo pasar los cambios, tengo un poco de perspectiva al respecto.
El punto más importante aquí es este: NAT no es el firewall. Estas son dos cosas completamente distintas. En Linux, se implementa como parte del código del firewall, pero esto es simplemente un detalle de implementación, y no es necesariamente el caso en otros sistemas operativos.
Una vez que comprenda completamente que la cosa en el enrutador que protege su red doméstica es el firewall , y no el NAT, entonces el resto queda en su lugar.
Para responder el resto de su pregunta, echemos un vistazo a un firmware de enrutador IPv6 en vivo real, OpenWrt versión 14.07 Barrier Breaker. En este enrutador, IPv6 está habilitado de manera predeterminada y funciona de forma predeterminada utilizando DHCPv6 con delegación de prefijo, la forma más común en que los ISP asignarán espacio de direcciones a los clientes.
La configuración del firewall de OpenWrt, como cualquier firewall razonable, bloquea todo el tráfico entrante de manera predeterminada. Contiene una forma de configurar reglas de reenvío de puertos para conexiones IPv4 NATadas, como la mayoría de los demás enrutadores lo han hecho durante años. También tiene una sección de reglas de tráfico para permitir el reenvío de tráfico específico; esto es lo que usa en su lugar para permitir el tráfico entrante de IPv6.
La mayoría de los enrutadores domésticos que he visto con IPv6 también admiten el tráfico IPv6 entrante de firewall de forma predeterminada, aunque es posible que no proporcionen una manera fácil de reenviar el tráfico entrante, o puede ser confuso. Pero como nunca uso el firmware de fábrica en ningún enrutador doméstico, (OpenWrt es mucho mejor ) nunca me ha afectado.
De hecho, muchas personas están usando IPv6 en este momento y no tienen idea de que este sea el caso. Cuando sus ISP lo habilitaron, sus enrutadores domésticos recogieron las respuestas de DHCPv6 y aprovisionaron las direcciones y todo lo que funcionó. Si no hubiera necesitado más de un / 64, podría haberlo enchufado con configuración cero. Tuve que hacer un cambio para obtener una delegación de prefijo más grande, aunque esto es bastante fácil.
Finalmente, hay una cosa más: si tiene un sistema en Internet IPv4 hoy en día, obtiene todo tipo de intentos de conexión entrante en una variedad de puertos, intentando explotar vulnerabilidades conocidas o contraseñas de fuerza bruta. El rango de direcciones IPv4 es lo suficientemente pequeño como para que pueda escanearse en su totalidad en menos de un día. Pero en IPv6, en casi una década nunca había visto un intento de conexión de este tipo en ningún puerto. El tamaño mucho mayor de la parte del host de la dirección hace que escanear el rango sea prácticamente imposible. Pero aún necesita el firewall; El hecho de que no pueda ser encontrado en un escaneo de direcciones IP no significa que no pueda ser el objetivo de alguien que ya conoce su dirección porque la obtuvo en otro lugar.
En resumen, en general, no, no tendrá que preocuparse demasiado por el tráfico entrante de IPv6 porque estará protegido de forma predeterminada y porque los rangos de direcciones IPv6 no se pueden escanear fácilmente. Y para muchas personas, IPv6 se activará automáticamente y nunca lo notarán.
fuente
NAT realmente hizo muy poco por la seguridad. Para implementar NAT, básicamente debe tener un filtro de paquetes con estado.
Tener un filtro de paquetes con estado sigue siendo un requisito importante para estar seguro con IPv6; simplemente ya no necesita la traducción de la dirección ya que tenemos mucho espacio de direcciones.
Un filtro de paquetes con estado es lo que permite el tráfico saliente sin permitir el tráfico entrante. Entonces, en su firewall / enrutador, establecerá reglas que definan cuál es su red interna y luego podrá permitir que su red interna realice conexiones salientes, pero no permitirá que ninguna otra red se conecte a sus hosts internos, excepto en respuesta a sus solicitudes . Si está ejecutando servicios internamente, puede establecer reglas para permitir el tráfico de ese servicio específico.
Espero que los enrutadores de consumo IPv6 ya lo hagan o comenzarán a implementarlo en el futuro. Si está utilizando algún enrutador personalizado, es posible que deba administrarlo usted mismo.
fuente
NAT no es realmente seguridad, excepto por un cierto tipo de oscuridad. Internet y la mayoría de las herramientas están diseñadas para ser utilizadas de principio a fin. Trataría cualquier sistema individual detrás de un nat de la misma manera que trataría un sistema en Internet abierto.
Vale la pena considerar los diferentes mecanismos para obtener acceso a ipv6, desde los menos nativos (Teredo), Túneles (y hay diferentes protocolos que funcionan bien en diferentes situaciones), ipv6rd (esencialmente un túnel de ejecución de ISP, esa es una buena manera de obtener ipv6 rápidamente en una red ipv4 existente), nativa (utilizamos SLAAC y NDP, creo).
Si está en un cuadro de Windows menos antiguo (XP o mejor, pero no tengo nada peor que un cuadro SP3, y eso está bajo coacción), probablemente tenga la opción de soporte no nativo, teredo . Es posible que ya esté en ipv6 y no se dé cuenta. Teredo apesta y, salvo en algunas situaciones, vale la pena apagarlo explícitamente.
Los túneles necesitan un cliente de algún tipo, y eso es aún más trabajo que una instalación nativa.
Fuera de esto, es casi imposible configurar ipv6 nativo por accidente. Incluso donde su enrutador moderno lo admite, debe configurarlo explícitamente, y hay 3-4 mecanismos diferentes de uso común. Mi ISP utiliza ipv6rd y SLAAC en diferentes conexiones físicas, y las instrucciones son equivalentes a un archivador en un inodoro. La alternativa es un túnel, y eso es esencialmente al menos una hora de trabajo.
Trataría cualquier sistema que esté abierto a las redes IPV6 de la misma manera que cualquier otro sistema que esté en Internet abierto. Si no necesita ipv6, apáguelo. Es trivial, y lo he hecho con mis sistemas XP. Si lo hace, asegúrese de que esté asegurado. Hay muy poco que dependa absolutamente de ipv6 en el período de transición actual que no pueda recurrir a ipv4. Una excepción notable son los grupos en el hogar en Windows 7 o posterior
La buena noticia es que los sistemas operativos más modernos con soporte para ipv6 tienen sus propios firewalls para IPV6, y no debería tener demasiados problemas para bloquearlos.
IPv6 también tiene una extraña ventaja. Con ipv4, a menudo tenía muchas vulnerabilidades que lo escaneaban al azar en busca de puertos abiertos. IPv4 NAT lo mitiga un poco al ocultar a los clientes detrás de una dirección IP principal. IPv6 mitiga que al tener un gran espacio de direcciones no es posible escanear por completo.
Al final del día, NAT no es una herramienta de seguridad, está destinada a resolver un problema muy específico (la dificultad de asignar direcciones IP públicas), lo que hace que sea un poco MÁS difícil acceder a una red desde el exterior. En una era de hacks de firmware de enrutadores y botnets masivas, sugeriría tratar cualquier sistema, ipv4 o 6 como si estuviera abierto, de extremo a extremo a internet. Ciérrelo, abra lo que necesita y no se preocupe tanto ya que tiene seguridad real , en lugar de un policía de cartón.
fuente
Sin NAT, todo lo que hay detrás de su enrutador tiene una dirección IP pública única.
Los enrutadores de consumidor típicos realizan muchas funciones además del enrutamiento:
Si no se necesita NAT, no tiene que usarse, aunque el firewall todavía puede estar allí y usarse. Si el dispositivo que realiza el enrutamiento no realiza firewall (probablemente no sea el caso a menos que sea un enrutador empresarial), tendría que agregar un dispositivo separado para hacerlo.
Entonces, si desea "abrir puertos" en un enrutador IPv6, y si ese enrutador se comporta como los enrutadores de consumo más comunes, debe indicarle a la parte de firewall de su enrutador que permita el tráfico entrante en el puerto / protocolo que desee. La principal diferencia visible para usted sería que ya no tiene que especificar a qué IP privada en su red se supone que debe ir.
Nada, a menos que el dispositivo tenga una función de firewall y esté configurado en un valor predeterminado razonable, que probablemente sea el caso en cualquier enrutador IPv6 de consumidor.
Para resumir, necesita algo que actúe como firewall para filtrar el tráfico que no desea pasar de su enrutador con IPv6.
fuente
Igual que con ipv4. No permita que su computadora se infecte con malware y se convierta en parte de una botnet utilizada para enviar correo no deseado, realizar ataques ddos y cualquier otra cosa que sea perjudicial para Internet. No ejecute ningún servicio inseguro expuesto a Internet. Y así.
Puede bloquear ssh, pero si solo bloquea el inicio de sesión de root y solo permite claves para iniciar sesión, hará que sea prácticamente imposible que alguien pueda hackear (suponiendo que tenga todas las versiones más recientes o antiguas con correcciones de errores retroportadas). También puede usar algo así como fail2ban que no lo bloquea por completo, pero solo después de un cierto número de intentos fallidos de inicio de sesión.
fuente