IPv6 채택이 아직 멀었다는 것을 알고 있지만 앞서 나가기 위해 그리고 재미를 위해 기본 사항을 이해하려고 노력하고 있습니다.
IPv6을 사용한 통신에는 문제가 없습니다. 잘 작동합니다. 그런데 내부 네트워크를 어떻게 보호해야 할지 모르겠습니다.
내 라우터의 이 스크린샷을 생각해 보세요. "수신 IPv6 연결 차단" 옵션을 선택했습니다(기본적으로 선택되어 있지 않음).
예상한 대로 이제 라우터는 내부 호스트에 대한 모든 인바운드 IPv6 연결을 차단합니다. 웹 기반 포트 스캐너를 사용하여 이를 확인했습니다. 내가 무엇을하지 않았다내부 호스트에서 실행되는 P2P 애플리케이션은 더 이상 NAT-PMP를 통해 필요할 때 일시적으로 포트를 열도록 라우터에 지시할 수 없을 것으로 예상됩니다. 이번에도 포트 스캐너를 사용하여 이를 확인했습니다. IPv6를 통해 BitTorrent의 포트에 대한 연결은 허용되지 않았지만('lsof'를 통해 확인된 대로 IPv6에서 수신 대기하고 있음에도 불구하고) 연결은 허용되지 않았습니다.~이었다성공적인 NAT-PMP 매핑으로 인해 IPv4 주소에서 허용됩니다.
그래서 다음으로 시도한 것은 라우터 수준에서 "수신 IPv6 연결 차단" 상자를 선택 취소하고 대신 호스트 수준에서 방화벽 정책을 적용하는 것이었습니다. 이것은 성공적으로 작동했습니다. BitTorrent는 인바운드 IPv6 연결을 수신할 수 있었습니다. 하지만 보안상의 큰 단점이 있습니다. 호스트 방화벽 구성 화면의 다음 스크린샷을 참조하세요.
http://imgur.com/imrXyLD,Cdp310a#1
여기서는 BitTorrent가 임시 포트를 성공적으로 열었음을 알 수 있습니다. 또한 파일 공유 및 기타 중요한 내부 서비스도 연결을 수신하고 있음을 알 수 있습니다. 그리고 빠른 IPv6 포트 스캔을 통해 이러한 중요한 내부 서비스가 이제 인터넷에 완전히 노출된 것으로 나타났습니다. 분명히 이것은 내가 원하는 것이 아닙니다.
방화벽 수준에서 "수신 IPv6 연결 차단" 상자를 재빨리 다시 확인하고 실험을 마쳤습니다. 하지만 IPv6 세상에서 내부 네트워크를 어떻게 보호해야 할지 아직도 난감합니다. 라우터 수준에서 잠금을 설정해야 합니까(그렇다면 앱은 어떻게 동적으로 포트를 열까요? UPnP와 NAT-PMP는 더 이상 적용되지 않습니까?) 아니면 반대로 라우터가 트래픽을 전달하고 보안을 적용하도록 해야 합니까? 내부 호스트 수준(그런데 인터넷에서 내부 서비스를 어떻게 보호합니까?)
답변1
IPv4 호스트를 보호하는 것과 동일한 방법입니다. 모든 하드웨어/소프트웨어가 IPv4 외에 IPv6의 보안 기능을 완벽하게 지원하는지 확인하세요.