¿Cuál es la responsabilidad de un propietario de IPv6?

28

Al vivir detrás de un enrutador de nivel de consumidor para el pasado memorable, supongo que tomé el efecto secundario de NAT por sentado, ya que tenía la carga de reenviar puertos cuando era necesario, en lugar de tener que administrarlos con un firewall de software.

Si no hay un problema de traducción de direcciones para resolver con IPv6, y si todavía usa puertos, ¿es ahora mi responsabilidad gestionar esto? ¿Qué desvía automáticamente el sondeo del tráfico en el mundo IPv6?

¿Tengo que tratar activamente de estar a la defensiva en cosas como bloquear solicitudes de RPD o SSH, o debo confiar en que el sistema operativo moderno actualizado me salve de pensar en estas cosas?

Si un ISP está entregando IPv6, ¿debe ser entendido por el internauta promedio antes de habilitarlo?

security  ipv6 
Louis
fuente
44
Zoredache
@ Zoredache Gracias, tomaré algunos para consumir todo esto.
Louis
Algo que vale la pena buscar una vez que haya decidido configurar ipv6 es el mecanismo que usa su ISP: el mío usa ipv6rd en el cable y SLAAC en la fibra. También notaría que ipv6 no es una cosa de todo o nada: desactivo ipv6 en a por nivel de sistema : si no lo necesita, es trivial apagarlo.
Journeyman Geek
@JourneymanGeek lo hará. Ya lo desactivé en el enrutador porque definitivamente sentí que no había nada como la protección habitual que aparentemente existe, ofreciéndome como el servicio y el hardware me fue comercializado. Sin embargo, aún no soy tan valiente como para deshabilitarlo en Windows, ya que algunos servicios y software parecen preferir las direcciones locales, y todavía no sé qué significa reconstruirlo.
Louis

Respuestas:

32

Después de haber usado IPv6 durante la mayor parte de una década, y viendo pasar los cambios, tengo un poco de perspectiva al respecto.

El punto más importante aquí es este: NAT no es el firewall. Estas son dos cosas completamente distintas. En Linux, se implementa como parte del código del firewall, pero esto es simplemente un detalle de implementación, y no es necesariamente el caso en otros sistemas operativos.

Una vez que comprenda completamente que la cosa en el enrutador que protege su red doméstica es el firewall , y no el NAT, entonces el resto queda en su lugar.

Para responder el resto de su pregunta, echemos un vistazo a un firmware de enrutador IPv6 en vivo real, OpenWrt versión 14.07 Barrier Breaker. En este enrutador, IPv6 está habilitado de manera predeterminada y funciona de forma predeterminada utilizando DHCPv6 con delegación de prefijo, la forma más común en que los ISP asignarán espacio de direcciones a los clientes.

La configuración del firewall de OpenWrt, como cualquier firewall razonable, bloquea todo el tráfico entrante de manera predeterminada. Contiene una forma de configurar reglas de reenvío de puertos para conexiones IPv4 NATadas, como la mayoría de los demás enrutadores lo han hecho durante años. También tiene una sección de reglas de tráfico para permitir el reenvío de tráfico específico; esto es lo que usa en su lugar para permitir el tráfico entrante de IPv6.

La mayoría de los enrutadores domésticos que he visto con IPv6 también admiten el tráfico IPv6 entrante de firewall de forma predeterminada, aunque es posible que no proporcionen una manera fácil de reenviar el tráfico entrante, o puede ser confuso. Pero como nunca uso el firmware de fábrica en ningún enrutador doméstico, (OpenWrt es mucho mejor ) nunca me ha afectado.

De hecho, muchas personas están usando IPv6 en este momento y no tienen idea de que este sea el caso. Cuando sus ISP lo habilitaron, sus enrutadores domésticos recogieron las respuestas de DHCPv6 y aprovisionaron las direcciones y todo lo que funcionó. Si no hubiera necesitado más de un / 64, podría haberlo enchufado con configuración cero. Tuve que hacer un cambio para obtener una delegación de prefijo más grande, aunque esto es bastante fácil.

Finalmente, hay una cosa más: si tiene un sistema en Internet IPv4 hoy en día, obtiene todo tipo de intentos de conexión entrante en una variedad de puertos, intentando explotar vulnerabilidades conocidas o contraseñas de fuerza bruta. El rango de direcciones IPv4 es lo suficientemente pequeño como para que pueda escanearse en su totalidad en menos de un día. Pero en IPv6, en casi una década nunca había visto un intento de conexión de este tipo en ningún puerto. El tamaño mucho mayor de la parte del host de la dirección hace que escanear el rango sea prácticamente imposible. Pero aún necesita el firewall; El hecho de que no pueda ser encontrado en un escaneo de direcciones IP no significa que no pueda ser el objetivo de alguien que ya conoce su dirección porque la obtuvo en otro lugar.

En resumen, en general, no, no tendrá que preocuparse demasiado por el tráfico entrante de IPv6 porque estará protegido de forma predeterminada y porque los rangos de direcciones IPv6 no se pueden escanear fácilmente. Y para muchas personas, IPv6 se activará automáticamente y nunca lo notarán.

Michael Hampton
fuente
Agregaría cualquiera de los firmware de primera parte que utilicé, tuve que activar IPv6 explícitamente, y al menos uno de ellos no tenía un firewall ipv6. Menos con mi ISP y enrutadores, es poco probable que 'solo' recoja ipv6 y comience a usarlo.
Journeyman Geek
Hm, parece que recuerdo algo de ASUS (¿tal vez?) Tenía IPv6 desactivado por defecto y ningún firewall obvio. ¿Fue eso?
Michael Hampton
Sin firewall Creo que probablemente recuerde eso por los problemas que estaba teniendo con los clientes 802.11g.
Journeyman Geek
OpenWRT realmente es plug-n-play (¿casi?). Salga a la calle
Louis
Por cierto, está fuera del punto, pero realmente me gusta tu "finalmente". Era consciente de ZMap y de lo rápido que se puede escanear el espacio de direcciones IPv4 con pocos recursos, y puedo entender el tamaño de 2 ^ 32 y pensar en cosas que podría usar para describirlo. Pero incluso si las direcciones de acceso público son solo una pequeña fracción del espacio IPv6, puedo entender que no puedo entender el tamaño de 2 ^ 128.
Louis
13

NAT realmente hizo muy poco por la seguridad. Para implementar NAT, básicamente debe tener un filtro de paquetes con estado.

Tener un filtro de paquetes con estado sigue siendo un requisito importante para estar seguro con IPv6; simplemente ya no necesita la traducción de la dirección ya que tenemos mucho espacio de direcciones.

Un filtro de paquetes con estado es lo que permite el tráfico saliente sin permitir el tráfico entrante. Entonces, en su firewall / enrutador, establecerá reglas que definan cuál es su red interna y luego podrá permitir que su red interna realice conexiones salientes, pero no permitirá que ninguna otra red se conecte a sus hosts internos, excepto en respuesta a sus solicitudes . Si está ejecutando servicios internamente, puede establecer reglas para permitir el tráfico de ese servicio específico.

Espero que los enrutadores de consumo IPv6 ya lo hagan o comenzarán a implementarlo en el futuro. Si está utilizando algún enrutador personalizado, es posible que deba administrarlo usted mismo.

Zoredache
fuente
Rad, gracias por el enlace cannocal y por compartirlo. Yo creo que entiendo. Mi enrutador no es compatible con IPv6. Sin embargo, ejecuta el kernel de Linux, y mi impresión al configurarlo fue que los usuarios que lo hicieron funcionar eran expertos en muchas cosas no conocidas, o simplemente experimentaban a ciegas, como yo. Dejaré que esto pase un rato. Pero diré que, sea lo que sea que hizo NAT, nunca vi, nunca, las sondas interminables en mis registros que veo en mis máquinas públicas en el trabajo.
Louis
En resumen: nada ha cambiado; Consumer IPv6 tendrá configuraciones razonablemente seguras. ¿Las personas que se conectan directamente a los módems tendrán las mismas responsabilidades que tenían con IPv4 ...?
Louis
1
Un firewall no tiene que tener estado. La mayoría de las amenazas que preocupan a las personas cuando implementan firewalls pueden abordarse rechazando los paquetes SYN entrantes y permitiendo todo lo demás. Por supuesto, puede hacerlo mejor utilizando un firewall con estado, pero también puede hacerlo peor. Ha habido casos en que los ataques DoS desactivaron los firewalls debido a que el firewall se quedó sin memoria para rastrear las conexiones. Por lo general, el firewall no sabe si la conexión aún existe en el servidor que está protegiendo, por lo que no sabe qué conexiones pueden olvidarse de manera segura y cuáles deben recordarse.
Kasperd
8

NAT no es realmente seguridad, excepto por un cierto tipo de oscuridad. Internet y la mayoría de las herramientas están diseñadas para ser utilizadas de principio a fin. Trataría cualquier sistema individual detrás de un nat de la misma manera que trataría un sistema en Internet abierto.

Vale la pena considerar los diferentes mecanismos para obtener acceso a ipv6, desde los menos nativos (Teredo), Túneles (y hay diferentes protocolos que funcionan bien en diferentes situaciones), ipv6rd (esencialmente un túnel de ejecución de ISP, esa es una buena manera de obtener ipv6 rápidamente en una red ipv4 existente), nativa (utilizamos SLAAC y NDP, creo).

Si está en un cuadro de Windows menos antiguo (XP o mejor, pero no tengo nada peor que un cuadro SP3, y eso está bajo coacción), probablemente tenga la opción de soporte no nativo, teredo . Es posible que ya esté en ipv6 y no se dé cuenta. Teredo apesta y, salvo en algunas situaciones, vale la pena apagarlo explícitamente.

Los túneles necesitan un cliente de algún tipo, y eso es aún más trabajo que una instalación nativa.

Fuera de esto, es casi imposible configurar ipv6 nativo por accidente. Incluso donde su enrutador moderno lo admite, debe configurarlo explícitamente, y hay 3-4 mecanismos diferentes de uso común. Mi ISP utiliza ipv6rd y SLAAC en diferentes conexiones físicas, y las instrucciones son equivalentes a un archivador en un inodoro. La alternativa es un túnel, y eso es esencialmente al menos una hora de trabajo.

Trataría cualquier sistema que esté abierto a las redes IPV6 de la misma manera que cualquier otro sistema que esté en Internet abierto. Si no necesita ipv6, apáguelo. Es trivial, y lo he hecho con mis sistemas XP. Si lo hace, asegúrese de que esté asegurado. Hay muy poco que dependa absolutamente de ipv6 en el período de transición actual que no pueda recurrir a ipv4. Una excepción notable son los grupos en el hogar en Windows 7 o posterior

La buena noticia es que los sistemas operativos más modernos con soporte para ipv6 tienen sus propios firewalls para IPV6, y no debería tener demasiados problemas para bloquearlos.

IPv6 también tiene una extraña ventaja. Con ipv4, a menudo tenía muchas vulnerabilidades que lo escaneaban al azar en busca de puertos abiertos. IPv4 NAT lo mitiga un poco al ocultar a los clientes detrás de una dirección IP principal. IPv6 mitiga que al tener un gran espacio de direcciones no es posible escanear por completo.

Al final del día, NAT no es una herramienta de seguridad, está destinada a resolver un problema muy específico (la dificultad de asignar direcciones IP públicas), lo que hace que sea un poco MÁS difícil acceder a una red desde el exterior. En una era de hacks de firmware de enrutadores y botnets masivas, sugeriría tratar cualquier sistema, ipv4 o 6 como si estuviera abierto, de extremo a extremo a internet. Ciérrelo, abra lo que necesita y no se preocupe tanto ya que tiene seguridad real , en lugar de un policía de cartón.

Journeyman Geek
fuente
"NAT no es realmente seguridad, excepto por cierto tipo de oscuridad", ¿cómo es la oscuridad cuando se habla de enrutadores de banda ancha típicos que usan NAPT? ¿Un enlace de referencia sobre, por ejemplo, el acceso al NAS doméstico (solo IP no enrutable) desde el exterior sin una configuración explícita? O, ¿qué más se necesita, excepto NAPT para proteger el NAS doméstico detrás del enrutador NAPT típico?
hyde
2
ver security.stackexchange.com/questions/8772/... superuser.com/questions/237790/does-nat-provide-security y ipv6friday.org/blog/2011/12/ipv6-nat . Precisamente, porque nat no es la seguridad, sino que siempre está emparejado con un firewall, que lamentablemente no recibe suficiente respeto. Reenvío de puertos? Es un cortafuegos. ¿Caída de paquetes? Cortafuegos Nat es básicamente un cartero que felizmente entregará una bomba de correo. El cortafuegos es el tipo que lo escucha hacer tictac y llama al escuadrón de bombas.
Journeyman Geek
2

Si no hay un problema de traducción de direcciones para resolver con IPv6, y si todavía usa puertos, ¿es ahora mi responsabilidad gestionar esto?

Sin NAT, todo lo que hay detrás de su enrutador tiene una dirección IP pública única.

Los enrutadores de consumidor típicos realizan muchas funciones además del enrutamiento:

  • cortafuegos / filtrado de paquetes / "Inspección de paquetes con estado"
  • NAT
  • DHCP
  • etc.

Si no se necesita NAT, no tiene que usarse, aunque el firewall todavía puede estar allí y usarse. Si el dispositivo que realiza el enrutamiento no realiza firewall (probablemente no sea el caso a menos que sea un enrutador empresarial), tendría que agregar un dispositivo separado para hacerlo.

Entonces, si desea "abrir puertos" en un enrutador IPv6, y si ese enrutador se comporta como los enrutadores de consumo más comunes, debe indicarle a la parte de firewall de su enrutador que permita el tráfico entrante en el puerto / protocolo que desee. La principal diferencia visible para usted sería que ya no tiene que especificar a qué IP privada en su red se supone que debe ir.

¿Qué desvía automáticamente el sondeo del tráfico en el mundo IPv6?

Nada, a menos que el dispositivo tenga una función de firewall y esté configurado en un valor predeterminado razonable, que probablemente sea el caso en cualquier enrutador IPv6 de consumidor.

Para resumir, necesita algo que actúe como firewall para filtrar el tráfico que no desea pasar de su enrutador con IPv6.

LawrenceC
fuente
Gracias, creo que mi confusión fue que mi enrutador en realidad no lo admite o que la empresa no. Por lo tanto, solo pude obtener una dirección IPv ^ omitiéndola o profundizando en el mundo * nix con WW-DRT (que tampoco lo admite, pero mira en qué se está ejecutando). Así que parecía que hacerlo funcionar era algo arriesgado ... ¿lo ves? Realmente no sabía que los enrutadores de grado de consumo lo tenían en mente.
Louis
Los nuevos enrutadores de grado de consumo lo admiten: he estado en ipv6 durante años con primero un asus, luego un enrutador dlink, ambos con firmware de stock. Divertidamente, el asus definitivamente no tiene un firewall ipv6, y aún no lo he comprobado en el enlace. Sin embargo
Journeyman Geek
Me gustan estas respuestas, sé lo que quiero en la próxima, pero lo que @JourneymanGeek encontró divertido me hace preguntarme si mi última pregunta fue respondida.
Louis
0

Igual que con ipv4. No permita que su computadora se infecte con malware y se convierta en parte de una botnet utilizada para enviar correo no deseado, realizar ataques ddos ​​y cualquier otra cosa que sea perjudicial para Internet. No ejecute ningún servicio inseguro expuesto a Internet. Y así.

Puede bloquear ssh, pero si solo bloquea el inicio de sesión de root y solo permite claves para iniciar sesión, hará que sea prácticamente imposible que alguien pueda hackear (suponiendo que tenga todas las versiones más recientes o antiguas con correcciones de errores retroportadas). También puede usar algo así como fail2ban que no lo bloquea por completo, pero solo después de un cierto número de intentos fallidos de inicio de sesión.

orange_juice6000
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.