IPv6 の導入はまだ先のことだとは思いますが、時代の先を行くために、また単に楽しみのために、基本を理解しようとしています。
IPv6 を使用した通信は問題ありません。問題なく動作します。しかし、内部ネットワークをどのように保護すればよいかわかりません。
私のルーターのこのスクリーンショットを見てみましょう。「着信 IPv6 接続をブロックする」オプションをチェックしました (デフォルトではチェックされていません)。
予想通り、ルータは内部ホストへのすべてのIPv6受信接続をブロックしました。私はこれをWebベースのポートスキャナで確認しました。しなかった予想していたのは、内部ホストで実行されるピアツーピアアプリケーションが、NAT-PMPを介してルータにポートを一時的に開くように指示することができなくなったことです。再度、ポートスキャナを使用してこれを検証しました。IPv6経由でBitTorrentのポートへの接続は許可されませんでした(「lsof」で確認されたようにIPv6でリッスンしているにもかかわらず)が、接続は許可されました。だったNAT-PMP マッピングが成功したため、IPv4 アドレスで許可されました。
そこで次に試したのは、ルーター レベルで「着信 IPv6 接続をブロックする」ボックスのチェックを外し、代わりにホスト レベルでファイアウォール ポリシーを適用することでした。これはうまくいきました。BitTorrent は着信 IPv6 接続を受信できました。しかし、セキュリティ上の大きな欠点があります。ホストのファイアウォール構成画面の次のスクリーンショットを参照してください。
http://imgur.com/imrXyLD,Cdp310a#1
ここで、BitTorrent が一時ポートを正常に開いたことがわかります。また、ファイル共有やその他の重要な内部サービスも接続を待機していることがわかります。また、簡単な IPv6 ポート スキャンにより、これらの重要な内部サービスがインターネットに完全に公開されていることが明らかになりました。明らかに、これは私が望んでいることではありません。
ファイアウォール レベルで [着信 IPv6 接続をブロックする] チェックボックスをすばやく再チェックし、実験を終了しました。しかし、IPv6 の世界で内部ネットワークをセキュリティ保護する方法については、まだわかりません。ルーター レベルでロックダウンする必要があるのでしょうか (ただし、アプリはどのようにしてポートを動的に開くのでしょうか。UPnP と NAT-PMP は適用されなくなったのでしょうか)。または逆に、ルーターがトラフィックを通過できるようにして、内部ホスト レベルでセキュリティを適用するのでしょうか (ただし、内部サービスをインターネットから保護するにはどうすればよいでしょうか)。
答え1
IPv4 ホストを保護するのと同じ方法です。ハードウェア/ソフトウェアが IPv4 に加えて IPv6 のセキュリティ機能を完全にサポートしていることを確認してください。