Frage Wird jeder, der global zugängliche IPs in IPv6 hat, ein Sicherheitsalarm sein? [Duplikat]


Mögliche Duplikate:
Wechseln Sie zu IPv6 und entfernen Sie NAT? Machst du Witze? 

Ich denke darüber nach, wie Sie in IPv4 die meiste Zeit einen einzigen Punkt zum Konfigurieren einer Firewall haben, hauptsächlich Ihren Router, aber wenn jeder eine global zugängliche IP-Adresse hat, bedeutet das nicht, dass jeder Computerbenutzer grundsätzlich ist verantwortlich für die Verwaltung ihrer eigenen Firewall?

(Ich meine, ich gebe zu, dass das gleiche gilt, wenn Sie einen öffentlichen WLAN-Zugangspunkt verwenden, aber immer noch ...)


31
2017-10-27 03:32


Ursprung


Dies wurde einige Male auf dieser Seite besprochen, aber ich kann die anderen Fragen im Moment nicht finden. Das Wichtigste ist, dass alles Randgeräte werden in ein. gezwungen deny-all Standard, was bedeutet, dass es nicht unsicherer ist, als es jetzt ist - Mark Henderson♦
Die Entwickler von IPv6 waren nicht völlig inkompetent. IPv6 ist vielleicht nicht perfekt, aber es ist wohl besser als IPv4 in jeder sinnvollen Weise. Es gibt einige IPv6-Fragen zu SF decken bereits Theorie und Implementierung von IPv6 ab. - Chris S
Glauben Sie, dass Nat Sie vor Bedrohungen aus dem Internet schützt? Denk nochmal. - The Unix Janitor
@ user37899 Nun, nein, aber es verringert die Anzahl der IP-Adressen, bei denen Dinge schiefgehen können. - leeand00


Antworten:


IPv6 beseitigt NAT, was sicher ein großer Teil davon ist, die versehentliche Aussetzung von Internet-Diensten durch interne Hosts zu vermeiden. Auf diese Weise, ja, es ist eine Veränderung dahingehend, wie die meisten Leute Dinge tun.

Es bedeutet jedoch nicht, dass Sie am Netzwerkrand noch keine zentrale Firewall haben - die Änderung besteht lediglich darin, dass es anstelle einer Firewall / eines NAT-Geräts als reine Firewall fungiert. Es liegt nur an den Leuten, die diese Firewalls verwalten, um eine versehentliche Aussetzung der Dienste zu vermeiden; feuern Sie die Regeln zum Verleugnen auf!

Die Abschaffung von NAT ist eine große Veränderung der Sicherheitspraktiken im Netzwerk, und es wird sicher noch einige Zeit dauern, bis wir von versehentlichen Informationsverletzungen durch falsch konfigurierte Firewalls und IPv6 erfahren. Aber NAT war immer ein Hack, und die Firewalls aus dem Geschäft zu entfernen, all diese Verbindungen und gefälschten Verbindungen für Stateless-Protokolle und Port-Übersetzungen zu verfolgen, wird auf lange Sicht eine gute Sache sein - weniger Komplexität klingt gut für mich!


54
2017-10-27 03:43



Könnte Ihnen nicht mehr zustimmen. - Ignacio Vazquez-Abrams
NAT existiert noch auf IPV6, während viele Leute einfach vergessen werden, dass es jemanden gibt, der einen sehr gültigen Gebrauch dafür findet. - Silverfire
@Silverfire Der einzige bekannte Standardübersetzungsmechanismus ist NAT64; Ich bin versucht, die Regel "RFC oder es ist nicht passiert" aufzurufen;) - Shane Madden♦
@Silverfire Sprechen Sie über die nicht routingfähigen Adressen in IPv6? Das ist ähnlich dem Adressbereich 192.168. *. * In IPv4? - leeand00
NAT66 ist nicht wie NAT4, sondern weist einen IP-Bereich einem anderen Bereich zu. In IPv4-NAT haben Sie eine externe IP-Adresse und die NAT-Box protokolliert Verbindungen zu mehreren internen IP-Adressen. NAT66 schreibt einfach eine IPv6-Adresse in eine andere um. Zulassen, dass ein Netzwerk konsistente interne IPs verwendet, unabhängig von den externen IPs, die von einem oder mehreren ISPs zugewiesen werden. Computer sind durch die externen IP-Adressen routingfähig, und der einzige Fehlerpunkt der NAT-Box wird beseitigt, da er die Verbindungen nicht mehr verfolgen muss. Es ist wirklich nicht dasselbe, ist mein Punkt. - Chris S


Nein, es ist kein Albtraum. NAT und private Adressen wurden nicht aus Sicherheitsgründen erstellt, sie wurden erstellt, weil IPv4-Adressen nicht mehr ausreichen.

Ich gebe zu, dass die Verwendung öffentlicher IPs beängstigend erscheint, aber aus Sicherheitsgründen sollten Sie Ihrer FIREWALL vertrauen, nicht Ihrem NAT.

Lesen Dies ist eine weitere Frage zum Serverfehler über diesen gleichen Punkt. Viele Standards, die über NAT als Sicherheit gesprochen haben, haben sich geändert, als Beispiel wurden die PCI-DSS-Standards Ende Oktober 2010 geändert und die NAT-Anforderung wurde entfernt (Abschnitt 1.3.8 von v1.2).

Wenn Sie diese Angst nicht stoppen, werden Sie nie alle Vorteile von unglaublichen Technologien wie Windows 7 Direct Access haben.


14
2017-10-27 04:04



Ich war besorgt, dass das Netzwerk-Edge-Gerät keine Firewall mehr enthalten würde, und Sie müssten es daher auf allen Benutzern der Maschine konfigurieren. Aber ich lerne, dass dies kein Grund zur Sorge ist, da sich die Firewall immer noch auf dem Edge-Gerät befindet und der Datenverkehr zu den anderen Hosts im Netzwerk immer noch durch das Edge-Gerät und somit die Firewall verläuft. Verzeihen Sie, ich bin nicht technologisch alt genug (in Netzwerken), um mich an eine Zeit ohne NAT zu erinnern. - leeand00
Ich mag NAT. Nicht zuletzt, weil es so viel schwieriger ist, einzelne Maschinen zu identifizieren. Ohne NAT haben Sie eine direkte Zieladresse. d.h. NAT fügt eine Schutzschicht über die Firewall selbst hinaus hinzu. - John Gardeniers
Ob es aus Sicherheitsgründen erstellt wurde, ist unabhängig davon, ob es eine Sicherheit hatte bewirken [auch wenn man diesen Effekt als "ein falsches Sicherheitsgefühl" bezeichnet, was dazu führt, dass die Wahrscheinlichkeit, echte Sicherheitsmerkmale zu implementieren, geringer ist.] - Random832
@ JohnGardeniers: Ihr Anliegen ist, warum IPv6 temporäre private Adressen hinzugefügt hat. Windows verwendet sie standardmäßig. Ausgehende Verbindungen verwenden eine zufällige temporäre Adresse. Eingehende Verbindungen können sich mit der permanenten Systemadresse verbinden, wenn Sie sie veröffentlicht haben. - Zan Lynx


Jeder Computer sollte bereits für die Verwaltung seiner eigenen Firewall verantwortlich sein.

das heißt, nur weil du NAT verlierst, bedeutet das nicht, dass du alle Vorteile verlierst (du kannst NAT auf ipv6 haben) Sie können immer noch Stateful Firewalls auf Routern haben und andere Firewall-Regeln können auf ähnliche Weise wie ipv4 hinzugefügt werden.

Der einzige Unterschied besteht darin, dass Sie möglicherweise den genauen Computer innerhalb eines privaten Netzwerks identifizieren können. Wenn dies ein Problem ist, können Sie NAT installieren.

Es ist immer noch möglich, zufällige Port-Scans usw. von einem Router zu blockieren


4
2017-10-27 03:47



In Ihrem Kommentar "Jeder Computer sollte bereits für die Verwaltung seiner eigenen Firewall verantwortlich sein", hoffe ich, dass Sie keine hostbasierte Sicherheit über Netzwerksicherheit am Netzwerkrand befürworten. Das wäre auf mindestens drei Ebenen albern. - drxzcl
@ranieri Überhaupt nicht, ich sage nur, dass Sie nicht nur einen Computer hinter einer NAT-Firewall werfen können und erwarten, dass das gesamte Netzwerk sicher ist. Es ist auch eine Verschwendung, den Verkehr, von dem Sie wissen, dass er blockiert ist, auch in einem Netzwerk mit Bandbreite zu belegen. Wenn keine L3-Switches vorhanden sind, kann jeder im Netzwerk einen Computer als Ziel auswählen, und hostbasierte Sicherheit ist erforderlich, beide werden jedoch empfohlen. Sie könnten die Netzwerksicherheit durch hostbasierte Sicherheit ersetzen, aber wie Sie sagten, wäre es nicht ideal. - Silverfire
@drxzcl albern auf welchen Ebenen? - curiousguy
@curiousguy Die offensichtliche ist, dass Sie N Firewalls richtig konfigurieren müssen statt einer. Das ist N-1 mehr Möglichkeiten, fatale Fehler zu machen. Ein weiterer Grund ist, dass Sie mehr (möglicherweise fehlerhafte) Computer und Geräte dem Angreiferverkehr aussetzen, wodurch sich Ihre Angriffsfläche dramatisch erhöht. Die dritte besteht darin, dass Sie, indem Sie Ihr LAN als unsicheres Netzwerk behandeln, fast alle Vorteile verlieren, die ein LAN in Bezug auf die gemeinsame Nutzung lokaler Ressourcen hat. Beachten Sie, dass dies eine Verteidigung der kantenbasierten Sicherheit ist, nicht von NAT. NAT ist ein Klud, der sterben muss. - drxzcl


Diese Frage basiert auf dem häufigen Missverständnis, dass NAT eine Sicherheitslösung darstellt, weil es unbeabsichtigt Sicherheit bietet. Dieses Missverständnis kann mit einem einfachen Gedankenexperiment geklärt werden: Stellen Sie sich eine IPv4-NAT-Box vor, die nur einen Client hat. Es könnte, wenn es wollte, weiterleiten alles eingehenden Datenverkehr zu diesem Client und Filter nichts überhaupt keine Sicherheit bieten. Warum machst du dir deswegen keine Sorgen?


3
2017-10-27 06:52





Viele Universitäten (und mehrere große Unternehmen) haben gültige, routbare IPs auf jedem einzelnen Computer. Das bedeutet nicht, dass es kein Gateway-Firewall-Gerät gibt. Es bedeutet nicht, dass Sie dieses Gerät auch aus dem Internet erreichen können. Meistens sind die Firewalls so eingestellt, dass sie den gesamten Datenverkehr standardmäßig blockieren. Sie garantieren jedoch, dass sich ihr Computer an einer global eindeutigen Adresse befindet.

Wenn Sie NAT verwenden, werden die Dinge einfach nur böse .. IE, möchten Sie ein VPN zwischen Ihnen und Ihrem Kunden einrichten, aber Sie beide haben interne Netzwerke von 192.168.1.x .. das heißt, Sie müssen dann NAT die natted Verbindungen, um sie als eine andere interne einzige IP erscheinen zu lassen, die Dinge in Eile einfach hässlich werden lässt. (Ich muss das mit 5 anderen Firmen tun, mit denen wir VPNs haben)


1
2018-03-04 06:28