IPv6 对 LAN 安全的影响

IPv6 对 LAN 安全的影响

我的标准设置是将计算机置于启用了“自动配置”ipv6 选项的 netgear 路由器后面。据我了解,这意味着它在 LAN 上分配本地 ipv6 地址,当 ipv6 在 WAN 上可用时,它将为 LAN 上的所有计算机分配 ipv6 地址,以便它们都可以在 WAN(“互联网”)上访问。ISP 目前不支持 ipv6,但将来会启用它。

此外,目前有连接到网络的消费设备(打印机、文件服务器、具有开放网络共享的计算机)。这“没问题”,因为有大约 10 台设备连接到 LAN,并且它们都相互信任(只要您连接到 LAN,您就可以访问其他计算机上的文件和/或进行打印)。

我感兴趣的是,理论上,当 ISP 启用 ipv6 时,连接到 LAN 的所有设备都将可以在 WAN 上访问(使用默认的 netgear 消费者路由器设置)。这是否意味着现在任何连接到互联网的人都可以打印和/或访问连接到 LAN 的计算机上的文件?我对网络协议并不陌生,所以理论上这似乎是可能的。

如果是这样,这似乎与“即插即用”模式相矛盾,在“即插即用”模式下,计算机可以自动发现 LAN 上的打印机。老实说,让 LAN “不可信”有点可怕。

这个问题实际上是关于这个问题在典型的调制解调器 + 无线路由器设置环境中。每个人都认为由于 NAT + ipv4,他们是安全的,但我不再那么确定这个假设了。

注意:这是手册中唯一指定的“防火墙”。消费者路由器似乎确实不提供 NAT 之外的防火墙。

在此处输入图片描述

答案1

当 WAN 上有 IPv6 可用时,它会将 IPv6 地址分配给 LAN 上的所有计算机,以便所有计算机都可以在 WAN(“互联网”)上访问。

全局可寻址并不意味着全局可到达。

路径上的任何路由器(以及主机本身)都可以实现防火墙并阻止某些数据包,例如那些试图建立新的入站连接的数据包。这大多数 ISP 发布的路由器已经完成了此操作(NAT 并不总能保护您免受邻居的侵害,但防火墙可以)。

这对 IPv6 来说并不是什么新鲜事。例如,麻省理工学院曾经有 18.0.0.0/8,并为每台计算机提供全局 IPv4 地址。本地 ISP 为其全市 Wi-Fi 上的每台设备提供公共地址。在地址池用完之前,它曾经是默认设置。

看起来,消费级路由器确实不提供 NAT 之外的防火墙。

不,通常都是这样。(有时防火墙始终处于开启状态,其配置被隐藏,添加入站例外的唯一方法是添加端口转发规则。)搜索类似“入站规则”的内容。

当然有声称支持 IPv6 但只有 IPv4 防火墙而不支持 IPv6 的路由器。但我不认为拥有最新固件的知名品牌(如 Asus 或 Mikrotik)还会有这样的问题。

相关内容