Безопасность IPv6

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Безопасность IPv6

Сообщение serzh-z » 04.12.2018 15:59

Как-то так вышло, что путешествовал по настройкам нескольких домашних устройств и везде - кроме, возможно, TV-панели - обнаружил поддержку IPv6, даже на древнем NAS.

Почти на всех этих устройствах есть допотопные кривые административные UI, многие из устройств уже не поддерживаются производителем, отсутствующий или старый TLS, примитивные методы аутентификации.

И вот подумалось: если бы российским провайдерам выдали, скажем, "пакет IPv6", обязывающий их поддерживать IPv6, то как защищать все эти домашние устройства от пятой колонны внешнего врага?

Сейчас роутер с NAT является вполне надёжным барьером. Хотя бы от бесконечных попыток логина admin/root/wordpress, а то ведь все будет напрямую торчать наружу?
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 04.12.2018 16:07

В чём проблема зарезать файрволом все входящие соединения (кроме нужных)?
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1623

Re: Безопасность IPv6

Сообщение chitatel » 04.12.2018 16:12

Давайте я тоже пожалуюсь: в OpenWRT 18.06 IPv6 прибит гвоздями, торчит везде, как ни бейся с ним. Поубивал бы...
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 04.12.2018 18:04

Bizdelnick писал:
04.12.2018 16:07
В чём проблема зарезать файрволом все входящие соединения (кроме нужных)?
Где должен быть запущен этот файрвол?
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 04.12.2018 18:23

serzh-z писал:
04.12.2018 18:04
Bizdelnick писал:
04.12.2018 16:07
В чём проблема зарезать файрволом все входящие соединения (кроме нужных)?
Где должен быть запущен этот файрвол?
А где у тебя работает NAT? Вот примерно там же. Собственно, и уровень защиты будет такой же.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 04.12.2018 19:21

Bizdelnick писал:
04.12.2018 18:23
Вот примерно там же.
А что если нет роутера с файрволом или нет понимания как сделать DMZ? Неподготовленный пользователь, купивший, скажем, пылесос с IPv6, по умолчанию становится открыт злобным американским хакерам?
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 04.12.2018 19:33

serzh-z писал:
04.12.2018 19:21
Неподготовленный пользователь, купивший, скажем, пылесос с IPv6, по умолчанию становится открыт злобным американским хакерам?
Ну это всецело на совести разработчиков пылесоса. Китайцы и без IPv6 туда дыр, бекдоров и майнеров напихать могут. Впрочем, по части дыр и бекдоров у китайцев много конкурентов. А адекватные разработчики всё аккуратно прикроют файрволом на самом устройстве, да и оставлять там поднятый telnet с паролем admin или ftp с открытым анонимусам на запись корнем не будут. Хотя где адекватные разработчики, а где IoT…
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 04.12.2018 19:48

То есть, день начала работы "пакета IPv6" - это, как понимаю, день вселенского фейла для домашних пользователей...
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 04.12.2018 20:25

Ну пока вселенского фейла в более других странах, где есть IPv6, вроде бы не наблюдается.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 04.12.2018 20:33

Bizdelnick
Так каким же образом работает безопасность в случае с IPv6?
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 04.12.2018 20:44

serzh-z писал:
04.12.2018 20:33
Так каким же образом работает безопасность в случае с IPv6?
Да как и с IPv4: путём невыставления голого зада наружу. Ну и через obscurity, конечно: попробуй, просканируй все доступные адреса хотя бы пингами.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 04.12.2018 20:54

Bizdelnick писал:
04.12.2018 20:44
Да как и с IPv4: путём невыставления голого зада наружу.
Ну не совсем так же: с IPv4 - ты защищен по умолчанию, а с IPv6 - ты по умолчанию уязвим. То есть так будет до тех пор, пока производители устройств не озаботятся безопасностью, не придумают какой-то простой и обязательный механизм аутентификации, доступный IoT и прочим устройствам.

P.S.: похоже, что AWS IoT Device Defender - это как раз движение в том направлении.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 04.12.2018 22:06

serzh-z писал:
04.12.2018 20:54
Ну не совсем так же: с IPv4 - ты защищен по умолчанию, а с IPv6 - ты по умолчанию уязвим.
А не надо рассчитывать, что защищён с IPv4. NAT — не средство защиты, а костыль для преодоления ограниченного числа адресов. И роутер с NAT, представь себе, есть не у всех, а у кого есть — у тех всё равно какая-нибудь ТВ-приставка или IP-телефон не за NAT'ом.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 01:13

Bizdelnick писал:
04.12.2018 22:06
у тех всё равно какая-нибудь ТВ-приставка или IP-телефон не за NAT'ом.
И каким же способом это достигается?
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Kido
Сообщения: 949
Статус: Космический Засланец
ОС: ArchLinux x86_64 Current

Re: Безопасность IPv6

Сообщение Kido » 05.12.2018 05:46

Не совсем понял мысль в оригинальном посте. Допустим есть древний роутер с древним софтом. Какая разница ipv4 или ipv6 на нем включен? Так или иначе смотрите в интернет вы этим роутером, а уж по какому из протоколов придет атака - какая разница?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 05.12.2018 11:40

serzh-z писал:
05.12.2018 01:13
Bizdelnick писал:
04.12.2018 22:06
у тех всё равно какая-нибудь ТВ-приставка или IP-телефон не за NAT'ом.
И каким же способом это достигается?
Странный вопрос. Ну вот у моей мамы интернет и ТВ от пчелайна, на входе свитч, за ним приставка и роутер. Общение с ТП традиционно начинается обменом фразами: "у меня интернет не работает" — "у вас неподдерживаемый роутер, разбирайтесь с ним" — "телевидение не через роутер, оно тоже не работает".
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 16:25

Kido писал:
05.12.2018 05:46
Так или иначе смотрите в интернет вы этим роутером
Роутером, но не колонкой или пылесосом. IGD/UPnP, допустим, пылесосом не поддерживается или отключен на роутере. Проброс портов от роутера до колонки не задействован.

В случае глобального включения IPv6, все пылесосы, как понимаю, будут просто торчать транспортом наружу, даже без всяких NAT.
Bizdelnick писал:
05.12.2018 11:40
Странный вопрос.
Я хочу понять, каким образом в твоем случае устройства из частной сети с IPv4 могут торчать наружу, а внешний трафик маршрутизироваться без NAT.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 05.12.2018 17:31

serzh-z писал:
05.12.2018 16:25
Я хочу понять, каким образом в твоем случае устройства из частной сети с IPv4 могут торчать наружу, а внешний трафик маршрутизироваться без NAT.
Ты про провайдерский NAT? А почему ты считаешь, что провайдерская локалка более безопасна, чем интернет? Тем более что ещё не перевелись провайдеры, выдающие по умолчанию белые IP (точно не помню, как обстоит в данном случае, но вроде бы там был белый динамический адрес на роутере, и на приставке, вероятно, тоже).
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 18:19

Bizdelnick писал:
05.12.2018 17:31
Ты про провайдерский NAT?
Я, кажется, понял. У тебя все домашние устройства включены напрямую в локальную сеть провайдера? Тогда - да, про провайдерский, которого в случае IPv6, скорее всего, не будет и который сейчас, по сути, защищает телевизор твоих родителей от внешнего мира.

В моем случае, на внешнем интерфейсе шлюза - PPPoE и публичный статический IP-адрес. Все остальные IPv4-устройства закрыты его NAT.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 05.12.2018 18:51

serzh-z писал:
05.12.2018 18:19
У тебя все домашние устройства включены напрямую в локальную сеть провайдера?
Какая разница, все или одно-два?
serzh-z писал:
05.12.2018 18:19
В моем случае, на внешнем интерфейсе шлюза - PPPoE и публичный статический IP-адрес. Все остальные IPv4-устройства закрыты его NAT.
У меня примерно так же, только без PPPoE. Но это не значит, что так у всех.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 18:56

Bizdelnick писал:
05.12.2018 18:51
Какая разница, все или одно-два?
Разница в том, что у тебя нет шлюза, через который они подключены к провайдеру. В любом случае, устройства IPv4, как и у большинства, не торчат наружу дальше собственной сети или сети провайдера.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Kido
Сообщения: 949
Статус: Космический Засланец
ОС: ArchLinux x86_64 Current

Re: Безопасность IPv6

Сообщение Kido » 05.12.2018 19:26

Ну получит ваш роутер ipv6 адрес. Дальше-то что? Это же WAN-интерфейс вашего роутера. Про ipv6 link local-адреса ваших пылесосов и кофемолок оператор и остальная сеть интернет от этого никак не узнают. Нет под рукой "домашнего" роутера чтобы проверить, то думаю что там реализован nat 6to6, он же rfc6296. Т.е. все равно будете свои домашние ipv6 адреса в один внешний белый маскировать.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15289
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Безопасность IPv6

Сообщение Bizdelnick » 05.12.2018 19:58

Kido писал:
05.12.2018 19:26
Ну получит ваш роутер ipv6 адрес. Дальше-то что? Это же WAN-интерфейс вашего роутера. Про ipv6 link local-адреса ваших пылесосов и кофемолок оператор и остальная сеть интернет от этого никак не узнают.
Ещё как узнают. Коллега давно уже рассказывал, как после мучительной настройки IPv6 в винде через какой-то туннель к своему удивлению обнаружил, что IPv6 получили все машины в той же локалке. Для этого напридумывали всяких SLAAC, NDP и прочего, в чём я никогда даже не пробовал разобраться детально.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 20:23

Kido писал:
05.12.2018 19:26
Ну получит ваш роутер ipv6 адрес. Дальше-то что? Это же WAN-интерфейс вашего роутера.
Причем тут адреса моих роутеров? Речь идет про адреса пылесосов. Я включил на роутере DHCP6 и у всех пылесосов с IPv6, в дополнении к fe80::, появились адреса с префиксами 2002::. Как понимаю, если бы мой провайдер поддерживал IPv6, то по 2002:: можно было бы достучаться до веб-интерфейса холодильника или приказать пылесосу задавить меня во сне.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Kido
Сообщения: 949
Статус: Космический Засланец
ОС: ArchLinux x86_64 Current

Re: Безопасность IPv6

Сообщение Kido » 05.12.2018 21:02

serzh-z писал:
05.12.2018 20:23
Kido писал:
05.12.2018 19:26
Ну получит ваш роутер ipv6 адрес. Дальше-то что? Это же WAN-интерфейс вашего роутера.
Причем тут адреса моих роутеров? Речь идет про адреса пылесосов. Я включил на роутере DHCP6 и у всех пылесосов с IPv6, в дополнении к fe80::, появились адреса с префиксами 2002::. Как понимаю, если бы мой провайдер поддерживал IPv6, то по 2002:: можно было бы достучаться до веб-интерфейса холодильника или приказать пылесосу задавить меня во сне.
2002:: это отдельный блок 6to4. Тут, судя по всему, ваш роутер дальше их будет на себе в ipv4 транслировать и в ipv4 на своем WAN nat'ить.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 21:38

Kido писал:
05.12.2018 21:02
2002:: это отдельный блок 6to4.
Т.е. 2002:: без NAT, по сути, не работает?

А если бы у провайдера стоял DHCP6 (или кто там в случае IPv6-провайдерами раздает адреса?), то пылесосы получали бы, вероятно, что-то из блока 2000:: и были бы доступны всем наружу по всем портам?
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Kido
Сообщения: 949
Статус: Космический Засланец
ОС: ArchLinux x86_64 Current

Re: Безопасность IPv6

Сообщение Kido » 05.12.2018 22:14

Т.е. 2002:: без NAT, по сути, не работает?
Причем без ipv4 NAT.
А если бы у провайдера стоял DHCP6 (или кто там в случае IPv6-провайдерами раздает адреса?), то пылесосы получали бы, вероятно, что-то из блока 2000:: и были бы доступны всем наружу по всем портам?
Если у оператора подключение просто с dhcp, то на его стороне будет стоять dhcp6-сервер, у вас на wan-интерфейсе роутера dhcp6-клиент. Отправив запрос, ваш wan интерфейс получит от оператора ipv6 адрес. Запросы же остальных ваших устройств в локальной сети придут на lan-интерфейс вашего роутера и, соответственно, оператор им ничего не выдаст, т.к. до него они не дойдут.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 22:19

Kido писал:
05.12.2018 22:14
Запросы же остальных ваших устройств в локальной сети придут на lan-интерфейс вашего роутера и, соответственно, оператор им ничего не выдаст, т.к. до него они не дойдут.
Т.е. IPv6-устройства не смогут получить глобальный маршрутизируемый адрес, если только провайдер этого не захочет? А если устройства используют SLAAC и сами его себе назначат, то он все равно не будет маршрутизируемым извне?

Насчет того, что не дойдут - в роутере можно включить различные режимы IPv6: можно включить и pass through. Вероятно, что все дойдет.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Kido
Сообщения: 949
Статус: Космический Засланец
ОС: ArchLinux x86_64 Current

Re: Безопасность IPv6

Сообщение Kido » 05.12.2018 22:27

Т.е. IPv6-устройства не смогут получить глобальный маршрутизируемый адрес, если только провайдер этого не захочет? А если устройства используют SLAAC и сами его себе назначат, то он все равно не будет маршрутизируемым извне?
Если инженеры оператора не криворуки, то нет. Никакой нормальный оператор не позволит клиентам самостоятельности в назначении себе белых адресов, которые будут через него маршрутизироваться.
Единственный вариант, который я как-то могу себе представить, да и то это потребуется что-то уровня dd-wrt-подобных прошивок с расширенными сетевыми настройками, а не "голый" домашний роутер, это когда на роутере бриджуются wan и lan интерфейсы, и он начинает в принципе работать как свич. Вот тогда да, все домашние устройства получат от оператора ipv6-адреса. Или не получат, если у оператора стоит ограничение на количество mac-адресов в порта, или еще что-то.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Безопасность IPv6

Сообщение serzh-z » 05.12.2018 22:42

Kido писал:
05.12.2018 22:27
Никакой нормальный оператор не позволит клиентам самостоятельности в назначении себе белых адресов, которые будут через него маршрутизироваться.
Тогда какой смысл в IPv6?

P.S.: На http://ipv6-test.com/, например, я вижу адрес ПК (который за шлюзом IPv4), и он даже пингуется через 6to4. Т.е. на провайдера, который не маршрутизирует адреса IPv6 выборочно, в общем-то, теоретически, плевать, если есть роутер с 6to4.
Scio me nihil scire.
Спасибо сказали: