Безопасность IPv6
Модератор: Модераторы разделов
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Безопасность IPv6
Как-то так вышло, что путешествовал по настройкам нескольких домашних устройств и везде - кроме, возможно, TV-панели - обнаружил поддержку IPv6, даже на древнем NAS.
Почти на всех этих устройствах есть допотопные кривые административные UI, многие из устройств уже не поддерживаются производителем, отсутствующий или старый TLS, примитивные методы аутентификации.
И вот подумалось: если бы российским провайдерам выдали, скажем, "пакет IPv6", обязывающий их поддерживать IPv6, то как защищать все эти домашние устройства от пятой колонны внешнего врага?
Сейчас роутер с NAT является вполне надёжным барьером. Хотя бы от бесконечных попыток логина admin/root/wordpress, а то ведь все будет напрямую торчать наружу?
Почти на всех этих устройствах есть допотопные кривые административные UI, многие из устройств уже не поддерживаются производителем, отсутствующий или старый TLS, примитивные методы аутентификации.
И вот подумалось: если бы российским провайдерам выдали, скажем, "пакет IPv6", обязывающий их поддерживать IPv6, то как защищать все эти домашние устройства от пятой колонны внешнего врага?
Сейчас роутер с NAT является вполне надёжным барьером. Хотя бы от бесконечных попыток логина admin/root/wordpress, а то ведь все будет напрямую торчать наружу?
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
В чём проблема зарезать файрволом все входящие соединения (кроме нужных)?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 2075
Re: Безопасность IPv6
Давайте я тоже пожалуюсь: в OpenWRT 18.06 IPv6 прибит гвоздями, торчит везде, как ни бейся с ним. Поубивал бы...
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Где должен быть запущен этот файрвол?Bizdelnick писал: ↑04.12.2018 16:07В чём проблема зарезать файрволом все входящие соединения (кроме нужных)?
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
А где у тебя работает NAT? Вот примерно там же. Собственно, и уровень защиты будет такой же.serzh-z писал: ↑04.12.2018 18:04Где должен быть запущен этот файрвол?Bizdelnick писал: ↑04.12.2018 16:07В чём проблема зарезать файрволом все входящие соединения (кроме нужных)?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
А что если нет роутера с файрволом или нет понимания как сделать DMZ? Неподготовленный пользователь, купивший, скажем, пылесос с IPv6, по умолчанию становится открыт злобным американским хакерам?
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Ну это всецело на совести разработчиков пылесоса. Китайцы и без IPv6 туда дыр, бекдоров и майнеров напихать могут. Впрочем, по части дыр и бекдоров у китайцев много конкурентов. А адекватные разработчики всё аккуратно прикроют файрволом на самом устройстве, да и оставлять там поднятый telnet с паролем admin или ftp с открытым анонимусам на запись корнем не будут. Хотя где адекватные разработчики, а где IoT…
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
То есть, день начала работы "пакета IPv6" - это, как понимаю, день вселенского фейла для домашних пользователей...
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Ну пока вселенского фейла в более других странах, где есть IPv6, вроде бы не наблюдается.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Bizdelnick
Так каким же образом работает безопасность в случае с IPv6?
Так каким же образом работает безопасность в случае с IPv6?
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Да как и с IPv4: путём невыставления голого зада наружу. Ну и через obscurity, конечно: попробуй, просканируй все доступные адреса хотя бы пингами.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Ну не совсем так же: с IPv4 - ты защищен по умолчанию, а с IPv6 - ты по умолчанию уязвим. То есть так будет до тех пор, пока производители устройств не озаботятся безопасностью, не придумают какой-то простой и обязательный механизм аутентификации, доступный IoT и прочим устройствам.
P.S.: похоже, что AWS IoT Device Defender - это как раз движение в том направлении.
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
А не надо рассчитывать, что защищён с IPv4. NAT — не средство защиты, а костыль для преодоления ограниченного числа адресов. И роутер с NAT, представь себе, есть не у всех, а у кого есть — у тех всё равно какая-нибудь ТВ-приставка или IP-телефон не за NAT'ом.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
И каким же способом это достигается?Bizdelnick писал: ↑04.12.2018 22:06у тех всё равно какая-нибудь ТВ-приставка или IP-телефон не за NAT'ом.
-
- Сообщения: 949
- Статус: Космический Засланец
- ОС: ArchLinux x86_64 Current
Re: Безопасность IPv6
Не совсем понял мысль в оригинальном посте. Допустим есть древний роутер с древним софтом. Какая разница ipv4 или ipv6 на нем включен? Так или иначе смотрите в интернет вы этим роутером, а уж по какому из протоколов придет атака - какая разница?
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Странный вопрос. Ну вот у моей мамы интернет и ТВ от пчелайна, на входе свитч, за ним приставка и роутер. Общение с ТП традиционно начинается обменом фразами: "у меня интернет не работает" — "у вас неподдерживаемый роутер, разбирайтесь с ним" — "телевидение не через роутер, оно тоже не работает".serzh-z писал: ↑05.12.2018 01:13И каким же способом это достигается?Bizdelnick писал: ↑04.12.2018 22:06у тех всё равно какая-нибудь ТВ-приставка или IP-телефон не за NAT'ом.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Роутером, но не колонкой или пылесосом. IGD/UPnP, допустим, пылесосом не поддерживается или отключен на роутере. Проброс портов от роутера до колонки не задействован.
В случае глобального включения IPv6, все пылесосы, как понимаю, будут просто торчать транспортом наружу, даже без всяких NAT.
Я хочу понять, каким образом в твоем случае устройства из частной сети с IPv4 могут торчать наружу, а внешний трафик маршрутизироваться без NAT.
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Ты про провайдерский NAT? А почему ты считаешь, что провайдерская локалка более безопасна, чем интернет? Тем более что ещё не перевелись провайдеры, выдающие по умолчанию белые IP (точно не помню, как обстоит в данном случае, но вроде бы там был белый динамический адрес на роутере, и на приставке, вероятно, тоже).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Я, кажется, понял. У тебя все домашние устройства включены напрямую в локальную сеть провайдера? Тогда - да, про провайдерский, которого в случае IPv6, скорее всего, не будет и который сейчас, по сути, защищает телевизор твоих родителей от внешнего мира.
В моем случае, на внешнем интерфейсе шлюза - PPPoE и публичный статический IP-адрес. Все остальные IPv4-устройства закрыты его NAT.
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Какая разница, все или одно-два?
У меня примерно так же, только без PPPoE. Но это не значит, что так у всех.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Разница в том, что у тебя нет шлюза, через который они подключены к провайдеру. В любом случае, устройства IPv4, как и у большинства, не торчат наружу дальше собственной сети или сети провайдера.
-
- Сообщения: 949
- Статус: Космический Засланец
- ОС: ArchLinux x86_64 Current
Re: Безопасность IPv6
Ну получит ваш роутер ipv6 адрес. Дальше-то что? Это же WAN-интерфейс вашего роутера. Про ipv6 link local-адреса ваших пылесосов и кофемолок оператор и остальная сеть интернет от этого никак не узнают. Нет под рукой "домашнего" роутера чтобы проверить, то думаю что там реализован nat 6to6, он же rfc6296. Т.е. все равно будете свои домашние ipv6 адреса в один внешний белый маскировать.
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Безопасность IPv6
Ещё как узнают. Коллега давно уже рассказывал, как после мучительной настройки IPv6 в винде через какой-то туннель к своему удивлению обнаружил, что IPv6 получили все машины в той же локалке. Для этого напридумывали всяких SLAAC, NDP и прочего, в чём я никогда даже не пробовал разобраться детально.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Причем тут адреса моих роутеров? Речь идет про адреса пылесосов. Я включил на роутере DHCP6 и у всех пылесосов с IPv6, в дополнении к fe80::, появились адреса с префиксами 2002::. Как понимаю, если бы мой провайдер поддерживал IPv6, то по 2002:: можно было бы достучаться до веб-интерфейса холодильника или приказать пылесосу задавить меня во сне.
-
- Сообщения: 949
- Статус: Космический Засланец
- ОС: ArchLinux x86_64 Current
Re: Безопасность IPv6
2002:: это отдельный блок 6to4. Тут, судя по всему, ваш роутер дальше их будет на себе в ipv4 транслировать и в ipv4 на своем WAN nat'ить.serzh-z писал: ↑05.12.2018 20:23Причем тут адреса моих роутеров? Речь идет про адреса пылесосов. Я включил на роутере DHCP6 и у всех пылесосов с IPv6, в дополнении к fe80::, появились адреса с префиксами 2002::. Как понимаю, если бы мой провайдер поддерживал IPv6, то по 2002:: можно было бы достучаться до веб-интерфейса холодильника или приказать пылесосу задавить меня во сне.
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Т.е. 2002:: без NAT, по сути, не работает?
А если бы у провайдера стоял DHCP6 (или кто там в случае IPv6-провайдерами раздает адреса?), то пылесосы получали бы, вероятно, что-то из блока 2000:: и были бы доступны всем наружу по всем портам?
-
- Сообщения: 949
- Статус: Космический Засланец
- ОС: ArchLinux x86_64 Current
Re: Безопасность IPv6
Причем без ipv4 NAT.Т.е. 2002:: без NAT, по сути, не работает?
Если у оператора подключение просто с dhcp, то на его стороне будет стоять dhcp6-сервер, у вас на wan-интерфейсе роутера dhcp6-клиент. Отправив запрос, ваш wan интерфейс получит от оператора ipv6 адрес. Запросы же остальных ваших устройств в локальной сети придут на lan-интерфейс вашего роутера и, соответственно, оператор им ничего не выдаст, т.к. до него они не дойдут.А если бы у провайдера стоял DHCP6 (или кто там в случае IPv6-провайдерами раздает адреса?), то пылесосы получали бы, вероятно, что-то из блока 2000:: и были бы доступны всем наружу по всем портам?
Спасибо сказали:
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Т.е. IPv6-устройства не смогут получить глобальный маршрутизируемый адрес, если только провайдер этого не захочет? А если устройства используют SLAAC и сами его себе назначат, то он все равно не будет маршрутизируемым извне?
Насчет того, что не дойдут - в роутере можно включить различные режимы IPv6: можно включить и pass through. Вероятно, что все дойдет.
-
- Сообщения: 949
- Статус: Космический Засланец
- ОС: ArchLinux x86_64 Current
Re: Безопасность IPv6
Если инженеры оператора не криворуки, то нет. Никакой нормальный оператор не позволит клиентам самостоятельности в назначении себе белых адресов, которые будут через него маршрутизироваться.Т.е. IPv6-устройства не смогут получить глобальный маршрутизируемый адрес, если только провайдер этого не захочет? А если устройства используют SLAAC и сами его себе назначат, то он все равно не будет маршрутизируемым извне?
Единственный вариант, который я как-то могу себе представить, да и то это потребуется что-то уровня dd-wrt-подобных прошивок с расширенными сетевыми настройками, а не "голый" домашний роутер, это когда на роутере бриджуются wan и lan интерфейсы, и он начинает в принципе работать как свич. Вот тогда да, все домашние устройства получат от оператора ipv6-адреса. Или не получат, если у оператора стоит ограничение на количество mac-адресов в порта, или еще что-то.
-
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
Re: Безопасность IPv6
Тогда какой смысл в IPv6?
P.S.: На http://ipv6-test.com/, например, я вижу адрес ПК (который за шлюзом IPv4), и он даже пингуется через 6to4. Т.е. на провайдера, который не маршрутизирует адреса IPv6 выборочно, в общем-то, теоретически, плевать, если есть роутер с 6to4.