Quelle est la responsabilité d'un propriétaire IPv6?

28

Vivant derrière un routeur de qualité grand public pour un passé mémorable, je suppose que je tenais pour acquis l'effet secondaire du NAT, en ce sens que j'avais la charge de transférer les ports quand j'en avais besoin, au lieu de les gérer avec un pare-feu logiciel.

S'il n'y a pas de problème de traduction d'adresse à résoudre avec IPv6, et s'il utilise toujours des ports, est-ce maintenant ma responsabilité de gérer cela? Qu'est-ce qui dévie automatiquement le trafic de sondage dans le monde IPv6?

Dois-je essayer activement d'être défensif dans des choses comme le blocage des demandes RPD ou SSH, ou devrais-je avoir confiance dans le système d'exploitation moderne mis à jour pour m'éviter de penser à ces choses?

Si un FAI fournit IPv6, doit-il être compris par l'internaute moyen avant d'être activé?

security ipv6 Louis
la source
4
Voir: serverfault.com/questions/184524/…
Zoredache
@Zoredache Merci, je vais en prendre quelques-uns pour consommer tout cela.
Louis
Quelque chose qui mérite d'être recherché une fois que vous avez décidé de configurer ipv6 est le mécanisme utilisé par votre FAI - Le mien utilise ipv6rd sur le câble et SLAAC sur la fibre. un niveau par système - Si vous n'en avez pas besoin, il est trivial de le désactiver ..
Journeyman Geek
@JourneymanGeek fera l'affaire. Je l'ai déjà désactivé sur le routeur parce que je sentais vraiment qu'il n'y avait rien de tel que la protection habituelle qui existe apparemment, étant offerte en tant que service et que le matériel me soit commercialisé. Je ne suis pas encore assez courageux pour le désactiver dans Windows, car les adresses locales semblent être préférées par certains services et logiciels, et je ne sais pas encore ce que cela signifie de le reconstruire.
Louis

Réponses:

32

Ayant utilisé IPv6 pendant une bonne partie de la décennie maintenant, et en observant les changements, j'ai un peu de recul à ce sujet.

Le point le plus important ici est le suivant: NAT n'est pas le pare-feu. Ce sont deux choses complètement distinctes. Sous Linux, il se trouve qu'il est implémenté dans le cadre du code du pare-feu, mais ce n'est qu'un détail d'implémentation, et ce n'est pas nécessairement le cas sur d'autres systèmes d'exploitation.

Une fois que vous comprenez complètement que le routeur qui protège votre réseau domestique est le pare - feu et non le NAT, le reste se met en place.

Pour répondre au reste de votre question, laissez-nous jeter un oeil à un véritable firmware de routeur IPv6 en direct, OpenWrt version 14.07 Barrier Breaker. Dans ce routeur, IPv6 est activé par défaut et fonctionne prêt à l'emploi à l'aide de DHCPv6 avec délégation de préfixe, la façon la plus courante pour les FAI d'attribuer un espace d'adressage aux clients.

La configuration du pare-feu d'OpenWrt, comme tout pare-feu raisonnable, bloque par défaut tout le trafic entrant. Il contient un moyen de configurer des règles de transfert de port pour les connexions IPv4 NATtées, comme la plupart des autres routeurs l'ont depuis des années. Il a également une section de règles de trafic pour permettre le transfert de trafic spécifique; c'est ce que vous utilisez à la place pour autoriser le trafic IPv6 entrant.

La plupart des routeurs domestiques que j'ai vus avec la prise en charge IPv6 prennent également en charge le trafic IPv6 entrant par pare-feu par défaut, bien qu'ils ne puissent pas fournir un moyen facile de transférer le trafic entrant, ou cela peut être source de confusion. Mais comme je n'utilise jamais de firmware d'usine sur un routeur domestique (OpenWrt est bien mieux ), cela ne m'a jamais affecté.

En effet, beaucoup de gens utilisent IPv6 en ce moment et n'ont absolument aucune idée que c'est le cas. Lorsque leurs FAI l'ont activé, leurs routeurs domestiques ont récupéré les réponses DHCPv6 et provisionné les adresses et tout ce qui fonctionnait. Si je n'avais pas eu besoin de plus d'un / 64, j'aurais pu le brancher avec une configuration nulle. J'ai dû apporter une modification pour obtenir une délégation de préfixes plus importante, bien que cela soit assez facile.

Enfin, il y a encore une chose: si vous avez un système sur Internet IPv4 aujourd'hui, il obtient toutes sortes de tentatives de connexion entrante sur une variété de ports, essayant d'exploiter des vulnérabilités connues ou des mots de passe de force brute. La plage d'adresses IPv4 est suffisamment petite pour pouvoir être analysée dans son intégralité en moins d'une journée. Mais sur IPv6, depuis près d'une décennie, je n'ai jamais vu une telle tentative de connexion sur un port. La taille beaucoup plus grande de la partie hôte de l'adresse rend la numérisation de la plage pratiquement impossible. Mais vous avez toujours besoin du pare-feu; le fait que vous ne puissiez pas être trouvé à partir d'une analyse d'adresse IP ne signifie pas que vous ne pouvez pas être ciblé par quelqu'un qui connaît déjà votre adresse parce qu'il l'a obtenue ailleurs.

En bref, généralement, vous n'aurez pas à vous soucier trop du trafic IPv6 entrant, car il sera protégé par pare-feu par défaut et parce que les plages d'adresses IPv6 ne peuvent pas être facilement analysées. Et pour de nombreuses personnes, IPv6 s'allumera automatiquement et ils ne le remarqueront jamais.

Michael Hampton
la source
J'ajouterais que ce soit avec le firmware d'origine que j'ai utilisé, j'ai dû activer IPv6 explicitement, et au moins l'un d'eux n'avait pas de pare-feu ipv6. Au moins avec mon FAI et mes routeurs, il est peu probable que vous preniez «simplement» ipv6 et que vous commenciez à l'utiliser.
Journeyman Geek
Hm, il me semble que quelque chose d'ASUS (peut-être?) Avait IPv6 désactivé par défaut et aucun pare-feu évident. C'était ça?
Michael Hampton
Pas de pare-feu. Je pense que vous vous souvenez probablement des problèmes que j'ai rencontrés avec les clients 802.11g.
Journeyman Geek
OpenWRT est vraiment plug-n-play (presque?). Prenez la route hors de la boîte: i.stack.imgur.com/cZ0hC.png
Louis
BTW, c'est d'ailleurs le point, mais j'aime vraiment votre "enfin". J'étais au courant de ZMap et de la vitesse à laquelle l'espace d'adressage IPv4 peut être analysé avec peu de ressources, et je peux comprendre la taille de 2 ^ 32 et penser à des choses que je pourrais utiliser pour décrire. Mais même si les adresses publiquement adressables ne représentent qu'une petite fraction de l'espace IPv6, je peux comprendre que je ne peux pas comprendre la taille de 2 ^ 128.
Louis
13

NAT a vraiment fait très peu pour la sécurité. Pour implémenter NAT, vous devez fondamentalement avoir un filtre de paquets avec état.

Avoir un filtre de paquets avec état est toujours une exigence forte pour être sécurisé avec IPv6; vous n'avez tout simplement plus besoin de la traduction d'adresse car nous avons beaucoup d'espace d'adressage.

Un filtre de paquets avec état est ce qui autorise le trafic sortant sans autoriser le trafic entrant. Ainsi, sur votre pare-feu / routeur, vous définirez des règles qui définissent votre réseau interne et vous pourrez ensuite autoriser votre réseau interne à établir des connexions sortantes, mais ne permettre à aucun autre réseau de se connecter à vos hôtes internes, sauf en réponse à vos demandes . Si vous exécutez des services en interne, vous pouvez définir des règles pour autoriser le trafic pour ce service spécifique.

Je m'attends à ce que les routeurs grand public IPv6 le fassent déjà ou commenceront à l'implémenter à l'avenir. Si vous utilisez un routeur personnalisé, vous devrez peut-être le gérer vous-même.

Zoredache
la source
Rad, merci pour le lien cannocal et le partage. Je pense que je comprends. Mon routeur ne prend pas en charge IPv6. Cependant, il exécute le noyau Linux, et mon impression en le configurant était que les utilisateurs qui faisaient fonctionner cela étaient soit des experts dans de nombreuses choses mal connues, soit juste des expériences à moitié aveugles, comme mysyelf. Je vais laisser ça traîner un peu. Mais je dirai que quel que soit le petit NAT, je n'ai jamais vu les sondes sans fin dans mes journaux que je vois sur mes machines publiques au travail.
Louis
Donc en résumé: rien n'a changé; L'IPv6 grand public aura des paramètres sûrs de manière résonnable. Les personnes se connectant directement aux modems auront les mêmes responsabilités qu'avec IPv4 ...?
Louis
1
Un pare-feu ne doit pas nécessairement être avec état. La plupart des menaces qui préoccupent les personnes lors du déploiement de pare-feu peuvent être traitées en rejetant les paquets SYN entrants et en autorisant tout le reste. Bien sûr, vous pouvez faire mieux en utilisant un pare-feu dynamique, mais vous pouvez aussi faire pire. Il y a eu des cas où des attaques DoS ont supprimé des pare-feu en raison d'un manque de mémoire du pare-feu pour le suivi des connexions. Habituellement, le pare-feu ne sait pas si la connexion existe toujours sur le serveur qu'il protège, il ne sait donc pas quelles connexions peuvent être oubliées en toute sécurité et lesquelles doivent être mémorisées.
kasperd
8

Le NAT n'est pas vraiment de la sécurité, sauf par un certain type d'obscurité. Internet et la plupart des outils sont conçus pour être utilisés de bout en bout de toute façon. Je traiterais n'importe quel système individuel derrière un nat de la même manière que je traiterais un système sur Internet ouvert.

Cela vaut la peine de considérer les différents mécanismes pour obtenir l'accès ipv6, à partir des moins natifs (Teredo), des tunnels (et il existe différents protocoles qui fonctionnent bien dans différentes situations), ipv6rd (essentiellement un tunnel exécuté par un FAI, c'est un bon moyen d'obtenir rapidement ipv6 sur un réseau ipv4 existant), en natif (nous utilisons SLAAC et NDP je crois).

Si vous utilisez une boîte Windows moins que totalement ancienne (XP ou mieux - mais je n'ai rien de pire qu'une boîte SP3, et c'est sous la contrainte), vous avez probablement la possibilité de prendre en charge Teredo non natif . Vous êtes peut-être déjà sur ipv6 et ne le réalisez pas. Teredo est un peu nul et sauf dans quelques situations, cela vaut la peine de le désactiver explicitement.

Les tunnels ont besoin d'un client quelconque, et c'est encore plus de travail qu'une installation native.

En dehors de cela, il est presque impossible de configurer ipv6 natif par accident. Même là où votre routeur moderne le prend en charge, vous devez le configurer de manière explicite, et il existe 3-4 mécanismes différents couramment utilisés. Mon FAI utilise ipv6rd et SLAAC sur différentes connexions physiques, et les instructions sont équivalentes à un classeur dans les toilettes. L'alternative est un tunnel, et c'est essentiellement au moins une heure de travail.

Je traiterais tout système ouvert aux réseaux IPV6 de la même manière que tout autre système sur Internet ouvert. S'il n'a pas besoin d'ipv6, désactivez-le. C'est trivial, et je l'ai fait avec mes systèmes XP. Si c'est le cas, assurez-vous qu'il est sécurisé. Il y a très peu de choses qui dépendent absolument de l'ipv6 dans la période de transition actuelle qui ne peuvent pas revenir à l'ipv4. Une exception notable est les groupes résidentiels sur Windows 7 ou version ultérieure

La bonne nouvelle est que la plupart des systèmes d'exploitation modernes prenant en charge ipv6 ont leurs propres pare-feu pour IPV6, et vous ne devriez pas avoir trop de mal à les verrouiller.

IPv6 a également un avantage étrange. Avec ipv4, vous avez souvent eu de nombreux exploits qui vous ont analysé au hasard pour trouver des ports ouverts. IPv4 NAT atténue cela un peu en cachant les clients derrière une adresse IP principale. IPv6 atténue qu'en ayant un espace d'adressage énorme, il est peu plausible de scanner complètement.

À la fin de la journée, le NAT n'est pas un outil de sécurité - il est destiné à résoudre un problème très spécifique (la difficulté d'attribuer des adresses IP publiques), ce qui rend un TINY un peu plus difficile d'accéder à un réseau de l'extérieur. À une époque de piratage de microprogrammes de routeur et d'énormes botnets, je suggère de traiter n'importe quel système, ipv4 ou 6 comme s'il était ouvert, Internet de bout en bout. Verrouillez-le, ouvrez ce dont vous avez besoin et ne vous inquiétez pas autant car vous avez une sécurité réelle , plutôt qu'un policier en carton.

Compagnon Geek
la source
"Le NAT n'est pas vraiment de la sécurité, sauf par un certain type d'obscurité", comment est-ce l'obscurité, quand on parle de routeurs à large bande typiques qui utilisent NAPT? Un lien de référence sur, par exemple, l'accès au NAS domestique (uniquement IP non routable) de l'extérieur sans configuration explicite? Ou, que faut-il de plus, à l'exception de NAPT, pour protéger le NAS domestique derrière un routeur NAPT typique?
hyde
2
voir security.stackexchange.com/questions/8772/… superuser.com/questions/237790/does-nat-provide-security et ipv6friday.org/blog/2011/12/ipv6-nat . Sa raison précise n'est pas la sécurité, car elle est toujours associée à un pare-feu, qui malheureusement ne reçoit pas assez de respect. Transfert de port? C'est un pare-feu. Vous perdez des paquets? Pare-feu. Nat est fondamentalement un facteur qui livrera avec plaisir une bombe postale. Le pare-feu est le gars qui l'entend tic-tac et appelle l'équipe de bombes.
Journeyman Geek
2

S'il n'y a pas de problème de traduction d'adresse à résoudre avec IPv6, et s'il utilise toujours des ports, est-ce maintenant ma responsabilité de gérer cela?

Sans NAT, tout ce qui se trouve derrière votre routeur a une adresse IP publique unique.

Les routeurs grand public typiques remplissent de nombreuses fonctions autres que le routage:

  • pare-feu / filtrage de paquets / "Stateful Packet Inspection"
  • NAT
  • DHCP
  • etc.

Si le NAT n'est pas nécessaire, il ne doit pas être utilisé, bien que le pare-feu puisse toujours être là et être utilisé. Si l'appareil effectuant le routage ne fait pas de pare-feu (ce n'est probablement pas le cas sauf s'il s'agit d'un routeur d'entreprise), vous devez ajouter un appareil distinct pour le faire.

Donc, si vous souhaitez "ouvrir des ports" sur un routeur IPv6, et si ce routeur se comporte comme la plupart des routeurs grand public, vous dites à la partie pare-feu de votre routeur d'autoriser le trafic entrant sur le port / protocole souhaité. La principale différence visible pour vous serait que vous n'avez plus besoin de spécifier à quelle IP privée sur votre réseau il est censé aller.

Qu'est-ce qui dévie automatiquement le trafic de sondage dans le monde IPv6?

Rien, sauf si l'appareil a une fonction de pare-feu et qu'il est réglé sur une valeur par défaut raisonnable, ce qui est probablement le cas sur n'importe quel routeur IPv6 grand public.

Pour résumer, vous avez besoin de quelque chose agissant comme un pare-feu pour filtrer le trafic que vous ne voulez pas dépasser votre routeur avec IPv6.

LawrenceC
la source
Merci, je pense que ma confusion était que mon routeur ne le prend pas réellement en charge, ou que la société ne le fait pas. Je ne pouvais donc obtenir une adresse IPv ^ qu'en la contournant ou en plongeant dans le monde * nix avec WW-DRT (qui ne le prend pas en charge également, mais regardez sur quoi il fonctionne). Il semblait donc que le faire fonctionner était quelque chose de risqué ... vous voyez? Je ne savais vraiment pas que les routeurs grand public l'avaient en tête.
Louis
Les routeurs de consommation plus récents le prennent en charge - je suis sur ipv6 depuis des lustres avec d'abord un asus, puis un routeur dlink, tous deux avec le firmware d'origine. De manière amusante, les asus n'ont définitivement pas de pare-feu ipv6, et je ne l'ai pas encore vérifié sur le dlink. Cela ne ferait pas de mal d'avoir des pare-feu par système
Journeyman Geek
J'aime ces réponses - je sais ce que je veux dans ma prochaine - mais ce que @JourneymanGeek a trouvé amusant me fait me demander si ma dernière question a été répondue.
Louis
0

Identique à ipv4. Ne laissez pas votre ordinateur infecté par des logiciels malveillants et faites partie d'un botnet utilisé pour envoyer du spam, effectuer des attaques ddos ​​et tout ce qui est mauvais pour Internet. N'exécutez aucun service non sécurisé exposé à Internet. Etc.

Vous pouvez bloquer ssh mais si vous bloquez simplement la connexion root et autorisez uniquement les clés pour la connexion, il sera pratiquement impossible pour quiconque de pirater (en supposant que vous ayez toutes les dernières versions ou les anciennes avec des corrections de bogues rétroportées). Vous pouvez également l'utiliser comme quelque chose comme fail2ban qui ne le bloque pas complètement, mais seulement après un certain nombre de tentatives de connexion infructueuses.

orange_juice6000
la source