Я понимаю, что принятие IPv6 еще далеко, но я пытаюсь понять основы, чтобы оставаться впереди, а также просто ради развлечения.
Общаться по IPv6 не проблема. Работает отлично. Но я не уверен, как защитить свою внутреннюю сеть.
Рассмотрим этот снимок экрана с моего роутера. Я отметил опцию «Блокировать входящие соединения IPv6» (по умолчанию она не отмечена):
Как и ожидалось, маршрутизатор теперь блокирует все входящие соединения IPv6 с моими внутренними хостами. Я проверил это с помощью веб-сканера портов. Что яне сделалОжидалось, что одноранговые приложения, работающие на внутреннем хосте, больше не смогут давать маршрутизатору команду временно открывать порты по требованию через NAT-PMP. Опять же, я проверил это с помощью сканера портов; не было разрешено никаких подключений к порту BitTorrent через IPv6 (несмотря на то, что он прослушивает IPv6, как было подтверждено с помощью 'lsof'), но подключениябылиразрешено на адресе IPv4 благодаря успешному сопоставлению NAT-PMP.
Поэтому следующим шагом я попытался снять флажок «Блокировать входящие соединения IPv6» на уровне маршрутизатора и вместо этого применить политику брандмауэра на уровне хоста. Это сработало успешно. BitTorrent смог принимать входящие соединения IPv6. Но есть серьезный недостаток безопасности. Смотрите следующий снимок экрана экрана конфигурации брандмауэра хоста:
http://imgur.com/imrXyLD,Cdp310a#1
Здесь мы видим, что BitTorrent успешно открыл свой временный порт. Мы также видим, что File Sharing и другие критические внутренние службы также прослушивают соединения. И быстрое сканирование портов IPv6 показало, что эти критические внутренние службы теперь полностью открыты для Интернета. Очевидно, это не то, что мне нужно.
Я быстро перепроверил флажок «Блокировать входящие соединения IPv6» на уровне брандмауэра и завершил свой эксперимент. Но я все еще не понимаю, как защитить внутреннюю сеть в мире IPv6. Должны ли мы заблокировать все на уровне маршрутизатора (но как тогда приложения динамически открывают порты? UPnP и NAT-PMP больше не применяются?) или, наоборот, мы должны позволить маршрутизатору пропускать трафик и применять безопасность на уровне внутреннего хоста (но как тогда мы защитим внутренние службы от Интернета?) ?
решение1
Точно так же, как вы защищаете свои хосты IPv4. Просто убедитесь, что любое оборудование/программное обеспечение полностью поддерживает функции безопасности IPv6 в дополнение к IPv4.