我意识到 IPv6 的采用还有很长的路要走,但我正在努力了解其基础知识,以保持领先地位,也只是为了好玩。
使用 IPv6 进行通信没有问题。它运行良好。但我不确定如何保护我的内部网络。
请看我路由器的这个截图。我选中了“阻止传入 IPv6 连接”选项(默认情况下未选中):
正如预期的那样,路由器现在阻止了所有到我内部主机的入站 IPv6 连接。我使用基于 Web 的端口扫描器验证了这一点。我没有预期是,在内部主机上运行的对等应用程序不再能够指示路由器通过 NAT-PMP 按需临时打开端口。我再次使用端口扫描器验证了这一点;不允许通过 IPv6 连接到 BitTorrent 的端口(尽管它正在通过“lsof”验证的 IPv6 上进行监听),但连接是由于 NAT-PMP 映射成功,允许在 IPv4 地址上使用。
因此,我接下来尝试在路由器级别取消选中“阻止传入 IPv6 连接”框,而是在主机级别应用防火墙策略。此操作成功。BitTorrent 能够接收传入 IPv6 连接。但存在一个重大的安全缺陷。请参见以下主机防火墙配置屏幕的屏幕截图:
http://imgur.com/imrXyLD,Cdp310a#1
在这里,我们看到 BitTorrent 成功打开了临时端口。我们还看到文件共享和其他关键内部服务也在监听连接。快速的 IPv6 端口扫描显示,这些关键内部服务现在已完全暴露在互联网上。显然,这不是我想要的。
我迅速在防火墙级别重新检查了“阻止传入 IPv6 连接”框并结束了我的实验。但我仍然不知道如何在 IPv6 世界中保护内部网络。我们是否应该在路由器级别锁定一切(但应用程序如何动态打开端口?UPnP 和 NAT-PMP 不再适用?)或者相反,我们是否应该让路由器传递流量并在内部主机级别应用安全性(但我们如何保护内部服务免受互联网的影响?)?
答案1
保护 IPv4 主机的方法相同。只需确保所有硬件/软件除了支持 IPv4 之外,还完全支持 IPv6 的安全功能。