IPv6 소유자의 책임은 무엇입니까?

28

기억에 남는 과거의 소비자 급 라우터 뒤에 살면서 NAT의 부작용을 당연하게 여겼습니다. 소프트웨어 방화벽으로 관리하지 않고 포트를 전달해야하는 부담이있었습니다.

IPv6으로 해결할 주소 변환 문제가없고 여전히 포트를 사용하는 경우이를 관리해야 할 책임이 있습니까? IPv6 세계에서 프로빙 트래픽을 자동으로 편향시키는 것은 무엇입니까?

RPD 또는 SSH 요청 차단과 같은 일에 적극적으로 방어해야합니까, 아니면 업데이트 된 최신 OS에서 이러한 일에 대해 생각하지 않아도되도록해야합니까?

ISP가 IPv6을 제공하는 경우, 평균 네티즌이이를 활성화하기 전에이를 이해해야합니까?

security  ipv6 
루이스
소스
4
Zoredache
@Zoredache 감사합니다,이 모든 것을 소비하기 위해 약간의 시간이 걸립니다.
Louis
ipv6 설정을 결정한 후에는 ISP에서 사용 하는 메커니즘이 필요 합니다. 광산은 케이블에서 ipv6rd를 사용하고 광섬유에서는 SLAAC을 사용합니다. 시스템 당 수준 - 당신이 필요하지 않은 경우, 그 사소한는 .. 그것을 해제하기
저니 긱
@JourneymanGeek 것입니다. 서비스에서 제공되고 하드웨어가 나에게 제공되는 것으로 보이는 일반적인 보호와 같은 것은 없다는 것을 분명히 감지했기 때문에 라우터에서 이미 비활성화했습니다. 로컬 주소가 일부 서비스 및 소프트웨어에 의해 선호되는 것처럼 보이므로 아직 Windows에서 비활성화하는 것이 용감하지는 않지만 아직 그것을 재구성하는 것이 무엇을 의미하는지 모르겠습니다.
Louis

답변:

32

지금은 10 년 동안 IPv6를 사용하고 그 변화를 지켜 보면서 이에 대해 약간의 관점을 가지고 있습니다.

여기서 가장 중요한 점은 다음과 같습니다. NAT는 방화벽이 아닙니다. 이것들은 완전히 다른 두 가지입니다. Linux에서는 방화벽 코드의 일부로 구현되지만 구현 세부 사항 일 뿐이며 다른 운영 체제에서는 반드시 그런 것은 아닙니다.

라우터에서 홈 네트워크를 보호하는 것이 NAT 가 아니라 방화벽 이라는 것을 완전히 이해 하면 나머지는 제자리에있게됩니다.

나머지 질문에 답하기 위해 실제 라이브 IPv6 라우터 펌웨어 인 OpenWrt 버전 14.07 Barrier Breaker를 살펴 보겠습니다. 이 라우터에서 IPv6은 기본적으로 활성화되어 있으며 ISP가 고객에게 주소 공간을 할당하는 가장 일반적인 방법 인 접두사 위임과 함께 DHCPv6을 사용하여 기본적으로 작동합니다.

합리적인 방화벽과 마찬가지로 OpenWrt의 방화벽 구성은 기본적으로 모든 인바운드 트래픽을 차단합니다. 여기에는 다른 모든 라우터가 수년 동안 가지고있는 것처럼 NATted IPv4 연결에 대한 포트 전달 규칙을 설정하는 방법이 포함되어 있습니다. 또한 특정 트래픽을 전달할 있는 트래픽 규칙 섹션 이 있습니다. 인바운드 IPv6 트래픽을 허용하기 위해 대신 사용합니다.

IPv6 지원으로 보았던 대부분의 가정용 라우터는 기본적으로 방화벽 인바운드 IPv6 트래픽도 지원하지만 인바운드 트래픽을 전달하는 쉬운 방법을 제공하지 않거나 혼동 될 수 있습니다. 그러나 실제로 홈 라우터에서 공장 펌웨어를 사용 하지 않기 때문에 (OpenWrt가 훨씬 좋습니다 ) 나에게 영향을 미치지 않습니다.

실제로 많은 사람들이 현재 IPv6를 사용하고 있으며 이것이 사실인지 전혀 모릅니다. 그들의 ISP가 그것을 가능하게 할 때, 그들의 홈 라우터는 DHCPv6 응답을 받아 주소와 모든 것이 작동하는 것을 프로비저닝했습니다. / 64 이상이 필요하지 않은 경우, 제로 구성으로 플러그인 할 수 있습니다. 더 큰 접두사 위임을 얻으려면 한 번만 변경해야했지만 이것은 쉽지 않습니다.

마지막으로 한 가지 더 있습니다. 오늘날 IPv4 인터넷에 시스템이있는 경우 다양한 포트에서 모든 종류의 인바운드 연결을 시도하여 알려진 취약성 또는 무차별 암호를 악용하려고 시도합니다. IPv4 주소 범위는 하루 미만 이내에 전체를 스캔 할 수있을 정도로 작습니다. 그러나 IPv6에서는 거의 10 년 동안 어떤 포트에서도 이러한 연결 시도를 본 적이 없습니다 . 주소의 호스트 부분의 크기가 훨씬 크면 범위 스캔이 사실상 불가능합니다. 그러나 여전히 방화벽이 필요합니다. IP 주소 스캔에서 찾을 수 없다는 사실은 다른 곳에서 주소를 얻었 기 때문에 이미 주소를 알고있는 사람을 대상으로 할 수 없다는 의미는 아닙니다.

간단히 말해서 일반적으로 들어오는 IPv6 트래픽은 기본적으로 방화벽으로 설정되고 IPv6 주소 범위를 쉽게 검색 할 수 없기 때문에 지나치게 걱정할 필요가 없습니다. 그리고 많은 사람들에게 IPv6가 자동으로 제공 될 것입니다.

마이클 햄튼
소스
사용한 타사 펌웨어를 추가하고 IPv6을 명시 적으로 켜야했으며 그 중 하나 이상에 ipv6 방화벽이 없었습니다. 내 ISP 및 라우터가 가장 적기 때문에 ipv6을 '수정'하여 사용하기는 쉽지 않습니다.
Journeyman Geek
흠, 나는 ASUS (아마도?)에서 IPv6가 기본적으로 꺼져 있고 방화벽이 분명하지 않은 것을 회상하는 것 같습니다. 그랬어?
Michael Hampton
방화벽이 없습니다. 802.11g 클라이언트와 관련된 문제에서 기억할 것입니다.
Journeyman Geek
OpenWRT는 실제로 플러그 앤 플레이 (거의?)입니다. 상자 밖으로 떠나 렴 : i.stack.imgur.com/cZ0hC.png
루이
BTW, 그것은 요점 외에, 나는 당신의 "마지막"을 정말로 좋아합니다. ZMap과 IPv4 주소 공간을 적은 리소스로 얼마나 빨리 스캔 할 수 있는지 알고 2 ^ 32의 크기를 이해하고 설명에 사용할 수있는 것들을 생각할 수있었습니다. 그러나 공개적으로 주소를 지정할 수있는 주소가 IPv6 공간의 작은 부분 일지라도 2 ^ 128 의 크기이해할 수 없다는 것을 이해할 수 있습니다 .
Louis
13

NAT는 보안에 거의 도움이되지 않았습니다. NAT를 구현하려면 기본적으로 상태 저장 패킷 필터가 있어야합니다.

상태 저장 패킷 필터를 갖는 것은 여전히 ​​IPv6으로 보안을 유지하기위한 강력한 요구 사항입니다. 주소 공간이 많기 때문에 더 이상 주소 변환이 필요하지 않습니다.

상태 저장 패킷 필터는 들어오는 트래픽을 허용하지 않고 나가는 트래픽을 허용하는 것입니다. 따라서 방화벽 / 라우터에서 내부 네트워크를 정의하는 규칙을 설정 한 다음 내부 네트워크가 아웃 바운드 연결을 허용하지만 요청에 대한 응답을 제외하고 다른 네트워크가 내부 호스트에 연결하는 것을 허용하지 않을 수 있습니다. . 내부적으로 서비스를 실행중인 경우 해당 특정 서비스에 대한 트래픽을 허용하는 규칙을 설정할 수 있습니다.

IPv6 소비자 라우터가 이미이 작업을 수행하거나 향후 구현을 시작할 것으로 기대합니다. 일부 사용자 정의 라우터를 사용하는 경우 직접 관리해야 할 수도 있습니다.

조 레다 슈
소스
Rad, cannocal 링크에 감사드립니다. 이해가가는 것 같네요. 내 라우터는 IPv6을 지원하지 않습니다. 그러나 Linux 커널을 실행하고 있으며,이 작업을 수행 한 사용자는 잘 알려지지 않은 많은 분야의 전문가이거나 mysyelf와 같은 반맹 인 실험 자라는 것이 인상적이었습니다. 나는 조금만 놀아 보자. 그러나 나는 작은 NAT가 무엇이든간에, 내가 일하는 공개 기계에서 볼 수있는 내 로그의 끝없는 프로브를 본 적이 없다고 말할 것입니다.
Louis
요약하면 : 아무것도 바뀌지 않았습니다. 소비자 IPv6는 안전한 설정을 제공합니다. 모뎀에 직접 연결하는 사람들은 IPv4와 같은 책임을집니다 ...?
Louis
1
방화벽은 상태 저장이 필요하지 않습니다. 방화벽을 배포 할 때 사람들이 우려하는 대부분의 위협은 들어오는 SYN 패킷을 거부하고 다른 모든 것을 허용하여 해결할 수 있습니다. 물론 상태 저장 방화벽을 사용하면 더 잘할 수 있지만 더 나빠질 수도 있습니다. 연결 추적을위한 메모리가 부족한 방화벽으로 인해 DoS 공격으로 방화벽이 다운 된 경우가있었습니다. 일반적으로 방화벽은 보호중인 서버에 연결이 여전히 존재하는지 알지 못하므로 안전하게 잊을 수있는 연결과 기억해야 할 연결을 모릅니다.
kasperd
8

NAT는 특정 종류의 모호함을 제외하고는 실제로 보안이 아닙니다. 인터넷과 대부분의 도구는 끝에서 끝까지 사용되도록 설계되었습니다. 개방형 인터넷에서 시스템을 처리하는 것과 동일한 방식으로 nat 뒤에 있는 개별 시스템 을 처리합니다.

최소한의 네이티브 (Teredo), 터널 (및 다른 상황에서 잘 작동하는 다른 프로토콜이 있음), ipv6rd (필수 ISP 실행 터널, ipv6을 빠르게 얻는 좋은 방법입니다)에서 ipv6 액세스를 얻는 다양한 메커니즘을 고려할 가치가 있습니다. 기존 ipv4 네트워크)를 기본으로 설정합니다 (SLAAC 및 NDP를 사용합니다).

완전히 오래된 창 상자 (XP 이상)에 있지만 SP3 상자보다 나쁘지 않고 그 아래에있는 경우에는 기본 이 아닌 teredo 지원 옵션이있을 수 있습니다 . 이미 ipv6을 사용 중이고 인식하지 못할 수 있습니다. Teredo 종류의 짜증과 몇 가지 상황을 제외하고는 명시 적으로 해제 할 가치가 있습니다.

터널에는 일종의 클라이언트가 필요하며 이는 기본 설치보다 훨씬 많은 작업입니다.

이 외의 경우 우연히 네이티브 ipv6 을 설정하는 것은 거의 불가능합니다 . 최신 라우터가 지원하는 경우에도 이를 명시 적으로 설정해야하며 일반적으로 사용되는 3-4 가지 메커니즘이 있습니다. 내 ISP는 다른 물리적 연결에서 ipv6rd 및 SLAAC를 사용하며, 지침은 화장실의 파일 캐비닛과 동일합니다. 대안은 터널이며 본질적으로 최소한 1 시간의 작업입니다.

IPV6 네트워크에 개방 된 모든 시스템을 개방형 인터넷에있는 다른 시스템과 동일하게 취급합니다. ipv6이 필요하지 않으면 끄십시오. 사소한 일이며 XP 시스템 으로이 작업을 수행했습니다. 그렇다면 고정되어 있는지 확인하십시오. ipv4로 대체 할 수없는 현재 전환 기간에서 ipv6에 절대적으로 의존 하는 것은 거의 없습니다. 주목할만한 예외 중 하나는 Windows 7 이상의 홈 그룹입니다.

좋은 소식은 ipv6을 지원하는 대부분의 최신 OS에는 IPV6에 대한 자체 방화벽이 있으며이를 잠그는 데 너무 많은 문제가 없어야한다는 것입니다.

IPv6도 이상한 장점이 있습니다. ipv4를 사용하면 종종 공개 포트를 무작위로 검색 한 많은 익스플로잇이있었습니다. IPv4 NAT는 클라이언트를 기본 IP 주소 뒤에 숨겨서 조금 완화합니다. IPv6은 주소 공간이 크면 완전히 스캔 할 수 없다는 점을 완화합니다.

하루가 끝날 때 NAT는 보안 도구가 아닙니다.이 도구는 매우 구체적인 문제 (공용 IP 주소 할당의 어려움)를 해결하기 위해 만들어 졌기 때문에 외부에서 네트워크에 액세스하기가 조금 더 어려워졌습니다. 라우터 펌웨어 해킹 및 대규모 봇넷 시대에 ipv4 또는 6의 모든 시스템을 개방형, 엔드 투 엔드 인터넷으로 취급 하는 것이 좋습니다 . 골판지 경찰관이 아니라 실제로 보안 이 유지되므로 잠금 장치를 잠그고 필요한 것을 열어 놓고 걱정하지 마십시오 .

저니 맨 eek
소스
"NAT는 특정 종류의 모호성을 제외하고는 실제로 보안이 아닙니다", NAPT를 사용하는 일반적인 광대역 라우터에 대해 이야기 할 때 어떻게 모호합니까? 예를 들어 명시적인 설정없이 외부에서 홈 NAS (라우팅 할 수없는 IP 만)에 액세스하는 것에 대한 참조 링크? 아니면 일반적인 NAPT 라우터 뒤에있는 홈 NAS를 보호하기 위해 NAPT를 제외하고 무엇이 더 필요합니까?
hyde
2
security.stackexchange.com/questions/8772/… superuser.com/questions/237790/does-nat-provide-securityipv6friday.org/blog/2011/12/ipv6-nat를 참조하십시오 . 그것은 nat가 보안 이 아니라는 것을 정확히 원인으로 합니다. 항상 슬프게도 존경을받지 못하는 방화벽과 짝을 이룹니다. 포트 포워딩? 방화벽입니다. 패킷을 삭제 하시겠습니까? 방화벽. Nat는 기본적으로 우편 폭탄을 행복하게 배달하는 우편 배달부입니다. 방화벽은 똑딱 거리는 소리를 듣고 폭탄 분대를 호출하는 사람입니다.
Journeyman Geek
2

IPv6으로 해결할 주소 변환 문제가없고 여전히 포트를 사용하는 경우이를 관리해야 할 책임이 있습니까?

NAT가 없으면 라우터 뒤에있는 모든 것이 고유 한 공용 IP 주소를 갖습니다.

일반적인 소비자 라우터는 라우팅 이외의 많은 기능을 수행합니다.

  • 방화벽 / 패킷 필터링 / "상태 저장 패킷 검사"
  • NAT
  • DHCP
  • 기타

NAT가 필요하지 않은 경우 방화벽을 계속 사용할 수 있지만 사용할 필요는 없지만 NAT를 사용할 필요는 없습니다. 라우팅을 수행하는 장치가 방화벽을 수행하지 않는 경우 (엔터프라이즈 라우터가 아닌 경우에는 해당되지 않음)이를 수행하기 위해 별도의 장치를 추가해야합니다.

따라서 IPv6 라우터에서 "포트 열기"를 원하고 해당 라우터가 가장 일반적인 소비자 라우터처럼 작동하는 경우 라우터의 방화벽 부분에 원하는 포트 / 프로토콜에서 들어오는 트래픽을 허용하도록 지시합니다. 가장 눈에 띄는 차이점은 네트워크에서 더 이상 개인 IP를 지정하지 않아도된다는 것입니다.

IPv6 세계에서 프로빙 트래픽을 자동으로 편향시키는 것은 무엇입니까?

장치에 방화벽 기능이 있고 적절한 기본값으로 설정되어 있지 않으면 소비자 IPv6 라우터의 경우가 아닙니다.

요약하면, IPv6를 사용하여 라우터를 지나고 싶지 않은 트래픽을 필터링하기 위해 방화벽 역할을하는 것이 필요합니다.

로렌스 C
소스
고마워, 내 혼란은 내 라우터가 실제로 그것을 지원하지 않거나 회사가 지원하지 않는다고 생각했습니다. 따라서 IPv ^ 주소를 우회하거나 WW-DRT를 사용하여 * nix 세계를 파헤쳐야만 IPv ^ 주소를 얻을 수있었습니다. 그래서 작동시키는 것이 위험한 것처럼 보였습니다 ... 보시겠습니까? 소비자 등급 라우터가 염두에 두는 것을 실제로 몰랐습니다.
Louis
최신 소비자 급 라우터가이를 지원합니다. 저는 처음으로 ASUS와 그 다음 dlink 라우터와 함께 주식 펌웨어가있는 ipv6을 사용했습니다. 흥미롭게도, 아수스는 ipv6 방화벽을 가지고 있지 않으며 아직 dlink에서 확인하지 않았습니다. 그래도 시스템 당 방화벽으로 인해 상처받지 않을 것입니다
Journeyman Geek
나는 다음 답변에서 내가 원하는 것을 알고 있지만이 답변을 좋아하지만 @JourneymanGeek가 재미있는 것을 발견하면 마지막 질문에 대한 답이 궁금합니다.
Louis
0

ipv4와 동일합니다. 컴퓨터가 멀웨어에 감염되어 스팸을 보내거나 ddos ​​공격을 수행하는 데 사용되는 봇넷의 일부가되어 인터넷에 나쁜 영향을 미치지 않도록하십시오. 인터넷에 노출 된 안전하지 않은 서비스를 실행하지 마십시오. 등등.

ssh를 차단 할 수는 있지만 루트 로그인을 차단하고 로그인 키 만 허용하면 기본적으로 모든 사람이 해킹하는 것이 불가능합니다 (백 포트 버그 수정이 적용된 모든 최신 버전 또는 이전 버전이 있다고 가정). 또한 완전히 차단되지는 않지만 특정 횟수의 로그인 시도가 실패한 후에 만 ​​fail2ban과 같은 것을 사용할 수 있습니다.

orange_juice6000
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.