我意識到 IPv6 的採用還有很長的路要走,但我正在努力了解基礎知識,以便保持領先地位,同時也只是為了好玩。
使用 IPv6 進行通訊沒有問題。它工作得很好。但我不確定如何保護我的內部網路。
考慮一下我的路由器的螢幕截圖。我選取了「封鎖傳入 IPv6 連線」選項(預設未選取):
正如預期的那樣,路由器現在阻止所有到我的內部主機的入站 IPv6 連線。我使用基於網路的連接埠掃描器驗證了這一點。我什麼沒有預期的是,在內部主機上執行的對等應用程式不再能夠指示路由器透過 NAT-PMP 按需臨時開啟連接埠。我再次使用連接埠掃描器驗證了這一點;不允許透過 IPv6 連接到 BitTorrent 的連接埠(儘管事實上它正在透過「lsof」驗證在 IPv6 上監聽),但連接是由於 NAT-PMP 映射成功,因此允許在 IPv4 位址上使用。
因此,我嘗試的下一件事是取消選取路由器層級的「阻止傳入 IPv6 連線」框,而是在主機層級套用防火牆策略。這成功了。 BitTorrent 能夠接收入站 IPv6 連線。但存在一個重大的安全缺陷。請參閱下列主機防火牆設定畫面的螢幕截圖:
http://imgur.com/imrXyLD,Cdp310a#1
在這裡我們看到 BitTorrent 成功打開了它的臨時連接埠。我們也看到檔案共享和其他關鍵內部服務也在監聽連線。快速 IPv6 連接埠掃描顯示,這些關鍵的內部服務現在完全暴露在網路上。顯然,這不是我想要的。
我很快就在防火牆層級重新檢查了「阻止傳入 IPv6 連線」框並結束了我的實驗。但我仍然不知道如何在 IPv6 世界中保護內部網路。我們是否應該在路由器層級鎖定事物(但是,應用程式如何動態開啟連接埠?UPnP 和 NAT-PMP 不再適用嗎?)或者相反,我們是否應該讓路由器傳遞流量並在路由器上應用安全性? (但是,我們如何保護內部服務免受網路侵害?)?
答案1
與保護 IPv4 主機的方式相同。只需確保任何硬體/軟體除了 IPv4 之外還完全支援 IPv6 的安全功能。