Me doy cuenta de que la adopción de IPv6 está muy lejos, pero estoy tratando de comprender los conceptos básicos para estar a la vanguardia y también solo por diversión.
Comunicarse utilizando IPv6 no es un problema. Funciona muy bien. Pero no estoy seguro de cómo proteger mi red interna.
Considere esta captura de pantalla de mi enrutador. Marqué la opción "Bloquear conexiones IPv6 entrantes" (está desmarcada de forma predeterminada):
Como era de esperar, el enrutador ahora bloquea todas las conexiones IPv6 entrantes a mis hosts internos. Verifiqué esto usando un escáner de puertos basado en web. Lo que yonoLo esperado era que las aplicaciones peer-to-peer que se ejecutan en un host interno ya no puedan indicarle al enrutador que abra temporalmente puertos bajo demanda a través de NAT-PMP. Nuevamente, verifiqué esto usando un escáner de puertos; No se permitieron conexiones al puerto de BitTorrent a través de IPv6 (a pesar de que está escuchando en IPv6 como se verificó a través de 'lsof'), pero las conexioneseranpermitido en la dirección IPv4 debido a una asignación NAT-PMP exitosa.
Entonces, lo siguiente que intenté fue desmarcar la casilla "Bloquear conexiones IPv6 entrantes" en el nivel del enrutador y, en su lugar, aplicar la política de firewall en el nivel del host. Esto funcionó con éxito. BitTorrent pudo recibir conexiones IPv6 entrantes. Pero hay un importante inconveniente de seguridad. Vea la siguiente captura de pantalla de la pantalla de configuración del firewall del host:
http://imgur.com/imrXyLD,Cdp310a#1
Aquí vemos que BitTorrent abrió con éxito su puerto temporal. También vemos que File Sharing y otros servicios internos críticos también están escuchando las conexiones. Y un rápido escaneo del puerto IPv6 reveló que estos servicios internos críticos ahora estaban completamente expuestos a Internet. Obviamente, esto no es lo que quiero.
Rápidamente volví a marcar la casilla "Bloquear conexiones IPv6 entrantes" en el nivel del firewall y concluí mi experimento. Pero todavía no sé cómo proteger la red interna en un mundo IPv6. ¿Se supone que debemos bloquear las cosas en el nivel del enrutador (pero entonces, ¿cómo abren las aplicaciones los puertos dinámicamente? ¿Ya no se aplican UPnP y NAT-PMP?) o, por el contrario, se supone que debemos dejar que el enrutador pase el tráfico y aplique la seguridad en el nivel del enrutador. nivel de host interno (pero entonces, ¿cómo protegemos los servicios internos de Internet?)
Respuesta1
De la misma manera que protege sus hosts IPv4. Sólo asegúrese de que cualquier hardware/software sea totalmente compatible con las funciones de seguridad de IPv6 además de IPv4.