Hidup di belakang router tingkat konsumen untuk masa lalu yang berkesan, saya kira saya menerima efek samping dari NAT, karena saya memiliki beban meneruskan porta ketika saya perlu, daripada harus mengelolanya dengan firewall perangkat lunak.
Jika tidak ada masalah terjemahan alamat untuk diselesaikan dengan IPv6, dan jika masih menggunakan port, apakah sekarang tanggung jawab saya untuk mengelola ini? Apa yang secara otomatis membelokkan lalu lintas yang menyelidik di dunia IPv6?
Apakah saya harus secara aktif mencoba bersikap defensif dalam hal-hal seperti memblokir permintaan RPD atau SSH, atau haruskah saya yakin dengan OS modern yang diperbarui menyelamatkan saya dari memikirkan hal-hal ini?
Jika ISP memberikan IPv6, apakah perlu dipahami oleh rata-rata netizen sebelum diaktifkan?
Jawaban:
Setelah menggunakan IPv6 untuk bagian yang lebih baik dari satu dekade sekarang, dan menyaksikan perubahan berlalu, saya memiliki sedikit perspektif tentang ini.
Poin paling penting di sini adalah ini: NAT bukan firewall. Ini adalah dua hal yang sangat berbeda. Di Linux itu kebetulan diimplementasikan sebagai bagian dari kode firewall, tetapi ini hanyalah detail implementasi, dan belum tentu demikian pada sistem operasi lain.
Setelah Anda benar-benar mengerti bahwa hal di router yang melindungi jaringan rumah Anda adalah firewall , dan bukan NAT, maka sisanya akan jatuh ke tempatnya.
Untuk menjawab sisa pertanyaan Anda, mari kita lihat firmware router IPv6 nyata, OpenWrt versi 14.07 Barrier Breaker. Di router ini, IPv6 diaktifkan secara default dan bekerja di luar kotak menggunakan DHCPv6 dengan delegasi awalan, cara paling umum bahwa ISP akan memberikan ruang alamat kepada pelanggan.
Konfigurasi firewall OpenWrt, seperti firewall yang masuk akal, memblokir semua lalu lintas masuk secara default. Ini berisi cara untuk mengatur aturan port forwarding untuk koneksi IPv4 NATted, karena kebanyakan router lainnya sudah bertahun-tahun. Ini juga memiliki bagian aturan lalu lintas untuk memungkinkan lalu lintas tertentu untuk diteruskan; ini yang Anda gunakan sebagai gantinya untuk memungkinkan lalu lintas IPv6 masuk.
Sebagian besar router rumah yang saya lihat dengan dukungan IPv6 juga firewall inbound IPv6 secara default, meskipun mereka mungkin tidak menyediakan cara mudah untuk memajukan lalu lintas masuk, atau mungkin membingungkan. Tetapi karena saya tidak pernah benar-benar menggunakan firmware pabrik pada router rumah mana pun, (OpenWrt jauh lebih baik ) itu tidak pernah memengaruhi saya.
Memang, banyak orang menggunakan IPv6 sekarang dan sama sekali tidak tahu bahwa ini adalah masalahnya. Ketika ISP mereka mengaktifkannya, router rumah mereka mengambil tanggapan DHCPv6 dan menyediakan alamat dan semuanya Hanya Bekerja. Seandainya saya tidak membutuhkan lebih dari a / 64, saya bisa saja memasangnya dengan konfigurasi nol. Saya harus melakukan satu perubahan untuk mendapatkan delegasi awalan yang lebih besar, meskipun ini cukup mudah.
Akhirnya ada satu hal lagi: Jika Anda memiliki sistem di Internet IPv4 hari ini, ia mendapatkan segala macam upaya koneksi masuk pada berbagai port, mencoba untuk mengeksploitasi kerentanan yang diketahui atau kata sandi brute-force. Kisaran alamat IPv4 cukup kecil sehingga dapat dipindai secara keseluruhan dalam waktu kurang dari sehari. Tetapi pada IPv6, dalam hampir satu dekade saya belum pernah melihat upaya koneksi pada port apa pun. Ukuran yang jauh lebih besar dari bagian host dari alamat membuat pemindaian jangkauan hampir tidak mungkin. Tetapi Anda masih membutuhkan firewall; fakta bahwa Anda tidak dapat ditemukan dari pemindaian alamat IP tidak berarti Anda tidak dapat ditargetkan oleh seseorang yang sudah mengetahui alamat Anda karena mereka mendapatkannya di tempat lain.
Singkatnya, secara umum, tidak, Anda tidak perlu terlalu khawatir tentang lalu lintas IPv6 yang masuk karena akan diblokir secara default, dan karena rentang alamat IPv6 tidak dapat dengan mudah dipindai. Dan bagi banyak orang IPv6 akan menyala secara otomatis dan mereka tidak akan pernah menyadarinya.
sumber
NAT benar-benar melakukan sangat sedikit untuk keamanan. Untuk mengimplementasikan NAT Anda pada dasarnya harus memiliki filter paket stateful.
Memiliki filter paket stateful masih merupakan persyaratan kuat untuk aman dengan IPv6; Anda tidak lagi memerlukan terjemahan alamat karena kami memiliki banyak ruang alamat.
Filter paket stateful adalah yang memungkinkan lalu lintas keluar tanpa mengizinkan lalu lintas masuk. Jadi pada firewall / router Anda, Anda akan membuat aturan yang menentukan apa jaringan internal Anda dan kemudian Anda mungkin mengizinkan jaringan internal Anda untuk membuat koneksi keluar, tetapi tidak mengizinkan jaringan lain untuk terhubung ke host internal Anda, kecuali sebagai balasan atas permintaan Anda . Jika Anda menjalankan layanan secara internal, Anda mungkin membuat aturan untuk mengizinkan lalu lintas untuk layanan tertentu.
Saya berharap router konsumen IPv6 sudah melakukan ini, atau akan mulai menerapkan ini di masa depan. Jika Anda menggunakan router khusus, Anda mungkin harus mengaturnya sendiri.
sumber
NAT tidak benar-benar keamanan, kecuali oleh jenis ketidakjelasan tertentu. Internet, dan sebagian besar alat dirancang untuk digunakan dari ujung ke ujung pula. Saya akan memperlakukan setiap sistem di belakang nat sama dengan cara saya memperlakukan sistem di internet terbuka.
Nilainya mempertimbangkan mekanisme berbeda untuk mendapatkan akses ipv6, dari yang paling asli (Teredo), Terowongan (dan ada protokol berbeda yang bekerja dengan baik dalam situasi yang berbeda), ipv6rd (pada dasarnya ISP menjalankan terowongan, itu cara yang baik untuk mendapatkan ipv6 dengan cepat di jaringan ipv4 yang ada), ke asli (Kami menggunakan SLAAC dan NDP saya percaya).
Jika Anda menggunakan kotak windows yang benar-benar kuno (XP atau lebih baik - tapi saya tidak memiliki yang lebih buruk daripada kotak SP3, dan itu di bawah paksaan), Anda mungkin memiliki opsi untuk dukungan teredo yang bukan asli . Anda mungkin sudah menggunakan ipv6 dan tidak menyadarinya. Teredo agak menyebalkan dan kecuali dalam beberapa situasi nilainya secara eksplisit mematikannya.
Terowongan membutuhkan semacam klien, dan itu bahkan lebih berfungsi daripada instalasi asli.
Di luar dari ts ini hampir tidak mungkin untuk mengatur IPv6 asli secara tidak sengaja. Bahkan ketika router modern Anda mendukungnya, Anda perlu mengaturnya secara eksplisit, dan ada 3-4 mekanisme berbeda yang biasa digunakan. ISP saya menggunakan ipv6rd dan SLAAC pada koneksi fisik yang berbeda, dan instruksinya sama dengan lemari arsip di toilet. Alternatifnya adalah terowongan, dan itu pada dasarnya setidaknya satu jam kerja.
Saya akan memperlakukan sistem apa pun yang terbuka untuk jaringan IPV6 sama seperti saya akan sistem lain yang ada di internet terbuka. Jika tidak perlu IPv6, matikan. Itu sepele, dan saya sudah melakukan ini dengan sistem XP saya. Jika ya, pastikan aman. Ada sangat sedikit yang benar - benar bergantung pada ipv6 pada periode transisi saat ini yang tidak dapat kembali ke ipv4. Satu pengecualian penting adalah homegroup pada windows 7 atau lebih baru
Berita baiknya adalah sebagian besar OS modern dengan dukungan ipv6 memiliki firewall sendiri untuk IPV6, dan Anda seharusnya tidak terlalu kesulitan mengunci mereka.
IPv6 juga memiliki keunggulan yang aneh. Dengan ipv4, Anda sering memiliki banyak eksploitasi yang secara acak memindai Anda untuk membuka port. IPv4 NAT mengurangi itu dengan menyembunyikan klien di belakang alamat ip utama. IPv6 mengurangi bahwa dengan memiliki ruang alamat yang besar, maka tidak mungkin untuk memindai sepenuhnya.
Pada akhirnya NAT bukan alat keamanan - yang dimaksudkan untuk menyelesaikan masalah yang sangat spesifik (kesulitan dalam menetapkan alamat IP publik), yang membuatnya sedikit TINY sedikit lebih sulit untuk mengakses jaringan dari luar. Di era peretasan firmware router , dan botnet besar, saya sarankan memperlakukan sistem apa pun , ipv4 atau 6 seolah-olah di tempat terbuka, ujung ke ujung internet. Kunci, buka apa yang Anda butuhkan, dan jangan khawatir karena Anda memiliki keamanan sebenarnya , daripada polisi kardus.
sumber
Tanpa NAT, semua yang ada di belakang router Anda memiliki alamat IP publik yang unik.
Router konsumen tipikal melakukan banyak fungsi selain routing:
Jika NAT tidak diperlukan, itu tidak harus digunakan, meskipun firewall masih bisa ada dan digunakan. Jika perangkat yang melakukan perutean tidak melakukan firewall (kemungkinan tidak demikian kecuali router perusahaan), Anda harus menambahkan perangkat terpisah untuk melakukannya.
Jadi jika Anda ingin "membuka port" pada router IPv6, dan jika router itu berperilaku seperti router konsumen yang paling umum, Anda memberi tahu bagian firewall dari router Anda untuk mengizinkan lalu lintas masuk pada port / protokol yang Anda inginkan. Perbedaan utama yang terlihat bagi Anda adalah bahwa Anda tidak lagi harus menentukan IP pribadi di jaringan Anda yang seharusnya dituju.
Tidak ada, kecuali perangkat memiliki fungsi firewall dan diatur ke default yang masuk akal, yang mungkin terjadi pada router IPv6 konsumen.
Singkatnya, Anda memerlukan sesuatu yang bertindak sebagai firewall untuk menyaring lalu lintas yang tidak ingin Anda lewati melewati router Anda dengan IPv6.
sumber
Sama seperti dengan ipv4. Jangan biarkan komputer Anda terinfeksi oleh malware dan menjadi bagian dari botnet yang digunakan untuk mengirim spam, melakukan serangan DDoS dan hal lain yang buruk untuk internet. Jangan menjalankan layanan tidak aman yang terpapar ke internet. Dan seterusnya.
Anda dapat memblokir ssh tetapi jika Anda hanya memblokir login root dan hanya mengizinkan kunci untuk login itu pada dasarnya tidak akan memungkinkan siapa pun untuk meretas (dengan asumsi Anda memiliki semua versi terbaru atau yang lama dengan perbaikan bug yang di-backport). Anda juga dapat menggunakan sesuatu seperti fail2ban yang tidak memblokirnya sepenuhnya tetapi hanya setelah sejumlah upaya gagal login.
sumber