Sei que a adoção do IPv6 ainda está muito distante, mas estou tentando entender o básico para me manter à frente da curva e também apenas por diversão.
A comunicação usando IPv6 não é problema. Funciona muito bem. Mas não tenho certeza de como proteger minha rede interna.
Considere esta captura de tela do meu roteador. Marquei a opção "Bloquear conexões IPv6 de entrada" (está desmarcada por padrão):
Como esperado, o roteador agora bloqueia todas as conexões IPv6 de entrada para meus hosts internos. Verifiquei isso usando um scanner de porta baseado na web. O que eunãoO esperado era que os aplicativos peer-to-peer executados em um host interno não fossem mais capazes de instruir o roteador a abrir portas temporariamente sob demanda via NAT-PMP. Novamente, verifiquei isso usando um scanner de porta; Nenhuma conexão foi permitida à porta do BitTorrent via IPv6 (apesar do fato de estar escutando em IPv6 verificado via 'lsof'), mas as conexõeserampermitido no endereço IPv4 devido ao mapeamento NAT-PMP bem-sucedido.
Então, a próxima coisa que tentei foi desmarcar a caixa "Bloquear conexões IPv6 de entrada" no nível do roteador e, em vez disso, aplicar a política de firewall no nível do host. Isso funcionou com sucesso. O BitTorrent foi capaz de receber conexões IPv6 de entrada. Mas há uma grande desvantagem de segurança. Veja a seguinte captura de tela da tela de configuração do firewall do host:
http://imgur.com/imrXyLD,Cdp310a#1
Aqui vemos que o BitTorrent abriu com sucesso sua porta temporária. Também vemos que o compartilhamento de arquivos e outros serviços internos críticos também estão atentos às conexões. E uma rápida varredura nas portas IPv6 revelou que esses serviços internos críticos estavam agora totalmente expostos à Internet. Obviamente, não é isso que eu quero.
Verifiquei rapidamente novamente a caixa "Bloquear conexões IPv6 de entrada" no nível do firewall e concluí meu experimento. Mas ainda não sei como proteger a rede interna em um mundo IPv6. Devemos bloquear as coisas no nível do roteador (mas então, como os aplicativos abrem portas dinamicamente? UPnP e NAT-PMP não se aplicam mais?) ou, inversamente, devemos deixar o roteador passar o tráfego e aplicar segurança no nível de host interno (mas então, como protegemos os serviços internos da Internet?) ?
Responder1
Da mesma forma que você protege seus hosts IPv4. Apenas certifique-se de que qualquer hardware/software oferece suporte total aos recursos de segurança do IPv6, além do IPv4.