Vivant derrière un routeur de qualité grand public pour un passé mémorable, je suppose que je tenais pour acquis l'effet secondaire du NAT, en ce sens que j'avais la charge de transférer les ports quand j'en avais besoin, au lieu de les gérer avec un pare-feu logiciel.
S'il n'y a pas de problème de traduction d'adresse à résoudre avec IPv6, et s'il utilise toujours des ports, est-ce maintenant ma responsabilité de gérer cela? Qu'est-ce qui dévie automatiquement le trafic de sondage dans le monde IPv6?
Dois-je essayer activement d'être défensif dans des choses comme le blocage des demandes RPD ou SSH, ou devrais-je avoir confiance dans le système d'exploitation moderne mis à jour pour m'éviter de penser à ces choses?
Si un FAI fournit IPv6, doit-il être compris par l'internaute moyen avant d'être activé?
Réponses:
Ayant utilisé IPv6 pendant une bonne partie de la décennie maintenant, et en observant les changements, j'ai un peu de recul à ce sujet.
Le point le plus important ici est le suivant: NAT n'est pas le pare-feu. Ce sont deux choses complètement distinctes. Sous Linux, il se trouve qu'il est implémenté dans le cadre du code du pare-feu, mais ce n'est qu'un détail d'implémentation, et ce n'est pas nécessairement le cas sur d'autres systèmes d'exploitation.
Une fois que vous comprenez complètement que le routeur qui protège votre réseau domestique est le pare - feu et non le NAT, le reste se met en place.
Pour répondre au reste de votre question, laissez-nous jeter un oeil à un véritable firmware de routeur IPv6 en direct, OpenWrt version 14.07 Barrier Breaker. Dans ce routeur, IPv6 est activé par défaut et fonctionne prêt à l'emploi à l'aide de DHCPv6 avec délégation de préfixe, la façon la plus courante pour les FAI d'attribuer un espace d'adressage aux clients.
La configuration du pare-feu d'OpenWrt, comme tout pare-feu raisonnable, bloque par défaut tout le trafic entrant. Il contient un moyen de configurer des règles de transfert de port pour les connexions IPv4 NATtées, comme la plupart des autres routeurs l'ont depuis des années. Il a également une section de règles de trafic pour permettre le transfert de trafic spécifique; c'est ce que vous utilisez à la place pour autoriser le trafic IPv6 entrant.
La plupart des routeurs domestiques que j'ai vus avec la prise en charge IPv6 prennent également en charge le trafic IPv6 entrant par pare-feu par défaut, bien qu'ils ne puissent pas fournir un moyen facile de transférer le trafic entrant, ou cela peut être source de confusion. Mais comme je n'utilise jamais de firmware d'usine sur un routeur domestique (OpenWrt est bien mieux ), cela ne m'a jamais affecté.
En effet, beaucoup de gens utilisent IPv6 en ce moment et n'ont absolument aucune idée que c'est le cas. Lorsque leurs FAI l'ont activé, leurs routeurs domestiques ont récupéré les réponses DHCPv6 et provisionné les adresses et tout ce qui fonctionnait. Si je n'avais pas eu besoin de plus d'un / 64, j'aurais pu le brancher avec une configuration nulle. J'ai dû apporter une modification pour obtenir une délégation de préfixes plus importante, bien que cela soit assez facile.
Enfin, il y a encore une chose: si vous avez un système sur Internet IPv4 aujourd'hui, il obtient toutes sortes de tentatives de connexion entrante sur une variété de ports, essayant d'exploiter des vulnérabilités connues ou des mots de passe de force brute. La plage d'adresses IPv4 est suffisamment petite pour pouvoir être analysée dans son intégralité en moins d'une journée. Mais sur IPv6, depuis près d'une décennie, je n'ai jamais vu une telle tentative de connexion sur un port. La taille beaucoup plus grande de la partie hôte de l'adresse rend la numérisation de la plage pratiquement impossible. Mais vous avez toujours besoin du pare-feu; le fait que vous ne puissiez pas être trouvé à partir d'une analyse d'adresse IP ne signifie pas que vous ne pouvez pas être ciblé par quelqu'un qui connaît déjà votre adresse parce qu'il l'a obtenue ailleurs.
En bref, généralement, vous n'aurez pas à vous soucier trop du trafic IPv6 entrant, car il sera protégé par pare-feu par défaut et parce que les plages d'adresses IPv6 ne peuvent pas être facilement analysées. Et pour de nombreuses personnes, IPv6 s'allumera automatiquement et ils ne le remarqueront jamais.
la source
NAT a vraiment fait très peu pour la sécurité. Pour implémenter NAT, vous devez fondamentalement avoir un filtre de paquets avec état.
Avoir un filtre de paquets avec état est toujours une exigence forte pour être sécurisé avec IPv6; vous n'avez tout simplement plus besoin de la traduction d'adresse car nous avons beaucoup d'espace d'adressage.
Un filtre de paquets avec état est ce qui autorise le trafic sortant sans autoriser le trafic entrant. Ainsi, sur votre pare-feu / routeur, vous définirez des règles qui définissent votre réseau interne et vous pourrez ensuite autoriser votre réseau interne à établir des connexions sortantes, mais ne permettre à aucun autre réseau de se connecter à vos hôtes internes, sauf en réponse à vos demandes . Si vous exécutez des services en interne, vous pouvez définir des règles pour autoriser le trafic pour ce service spécifique.
Je m'attends à ce que les routeurs grand public IPv6 le fassent déjà ou commenceront à l'implémenter à l'avenir. Si vous utilisez un routeur personnalisé, vous devrez peut-être le gérer vous-même.
la source
Le NAT n'est pas vraiment de la sécurité, sauf par un certain type d'obscurité. Internet et la plupart des outils sont conçus pour être utilisés de bout en bout de toute façon. Je traiterais n'importe quel système individuel derrière un nat de la même manière que je traiterais un système sur Internet ouvert.
Cela vaut la peine de considérer les différents mécanismes pour obtenir l'accès ipv6, à partir des moins natifs (Teredo), des tunnels (et il existe différents protocoles qui fonctionnent bien dans différentes situations), ipv6rd (essentiellement un tunnel exécuté par un FAI, c'est un bon moyen d'obtenir rapidement ipv6 sur un réseau ipv4 existant), en natif (nous utilisons SLAAC et NDP je crois).
Si vous utilisez une boîte Windows moins que totalement ancienne (XP ou mieux - mais je n'ai rien de pire qu'une boîte SP3, et c'est sous la contrainte), vous avez probablement la possibilité de prendre en charge Teredo non natif . Vous êtes peut-être déjà sur ipv6 et ne le réalisez pas. Teredo est un peu nul et sauf dans quelques situations, cela vaut la peine de le désactiver explicitement.
Les tunnels ont besoin d'un client quelconque, et c'est encore plus de travail qu'une installation native.
En dehors de cela, il est presque impossible de configurer ipv6 natif par accident. Même là où votre routeur moderne le prend en charge, vous devez le configurer de manière explicite, et il existe 3-4 mécanismes différents couramment utilisés. Mon FAI utilise ipv6rd et SLAAC sur différentes connexions physiques, et les instructions sont équivalentes à un classeur dans les toilettes. L'alternative est un tunnel, et c'est essentiellement au moins une heure de travail.
Je traiterais tout système ouvert aux réseaux IPV6 de la même manière que tout autre système sur Internet ouvert. S'il n'a pas besoin d'ipv6, désactivez-le. C'est trivial, et je l'ai fait avec mes systèmes XP. Si c'est le cas, assurez-vous qu'il est sécurisé. Il y a très peu de choses qui dépendent absolument de l'ipv6 dans la période de transition actuelle qui ne peuvent pas revenir à l'ipv4. Une exception notable est les groupes résidentiels sur Windows 7 ou version ultérieure
La bonne nouvelle est que la plupart des systèmes d'exploitation modernes prenant en charge ipv6 ont leurs propres pare-feu pour IPV6, et vous ne devriez pas avoir trop de mal à les verrouiller.
IPv6 a également un avantage étrange. Avec ipv4, vous avez souvent eu de nombreux exploits qui vous ont analysé au hasard pour trouver des ports ouverts. IPv4 NAT atténue cela un peu en cachant les clients derrière une adresse IP principale. IPv6 atténue qu'en ayant un espace d'adressage énorme, il est peu plausible de scanner complètement.
À la fin de la journée, le NAT n'est pas un outil de sécurité - il est destiné à résoudre un problème très spécifique (la difficulté d'attribuer des adresses IP publiques), ce qui rend un TINY un peu plus difficile d'accéder à un réseau de l'extérieur. À une époque de piratage de microprogrammes de routeur et d'énormes botnets, je suggère de traiter n'importe quel système, ipv4 ou 6 comme s'il était ouvert, Internet de bout en bout. Verrouillez-le, ouvrez ce dont vous avez besoin et ne vous inquiétez pas autant car vous avez une sécurité réelle , plutôt qu'un policier en carton.
la source
Sans NAT, tout ce qui se trouve derrière votre routeur a une adresse IP publique unique.
Les routeurs grand public typiques remplissent de nombreuses fonctions autres que le routage:
Si le NAT n'est pas nécessaire, il ne doit pas être utilisé, bien que le pare-feu puisse toujours être là et être utilisé. Si l'appareil effectuant le routage ne fait pas de pare-feu (ce n'est probablement pas le cas sauf s'il s'agit d'un routeur d'entreprise), vous devez ajouter un appareil distinct pour le faire.
Donc, si vous souhaitez "ouvrir des ports" sur un routeur IPv6, et si ce routeur se comporte comme la plupart des routeurs grand public, vous dites à la partie pare-feu de votre routeur d'autoriser le trafic entrant sur le port / protocole souhaité. La principale différence visible pour vous serait que vous n'avez plus besoin de spécifier à quelle IP privée sur votre réseau il est censé aller.
Rien, sauf si l'appareil a une fonction de pare-feu et qu'il est réglé sur une valeur par défaut raisonnable, ce qui est probablement le cas sur n'importe quel routeur IPv6 grand public.
Pour résumer, vous avez besoin de quelque chose agissant comme un pare-feu pour filtrer le trafic que vous ne voulez pas dépasser votre routeur avec IPv6.
la source
Identique à ipv4. Ne laissez pas votre ordinateur infecté par des logiciels malveillants et faites partie d'un botnet utilisé pour envoyer du spam, effectuer des attaques ddos et tout ce qui est mauvais pour Internet. N'exécutez aucun service non sécurisé exposé à Internet. Etc.
Vous pouvez bloquer ssh mais si vous bloquez simplement la connexion root et autorisez uniquement les clés pour la connexion, il sera pratiquement impossible pour quiconque de pirater (en supposant que vous ayez toutes les dernières versions ou les anciennes avec des corrections de bogues rétroportées). Vous pouvez également l'utiliser comme quelque chose comme fail2ban qui ne le bloque pas complètement, mais seulement après un certain nombre de tentatives de connexion infructueuses.
la source