V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shellus
V2EX  ›  程序员

IPV6 安全性问题,端口全都暴露在公网?

  •  1
     
  •   shellus · 2022-09-24 10:20:21 +08:00 · 9098 次点击
    这是一个创建于 791 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才我在两个不同地区的光猫上上都开启了 ipv6 ,在 ipv6-test.com 上测试 ipv6 都正常了 然后我发现,一台路由器下的电脑如果访问了一个 ipv6 的网站,那么网站就知道了它的 ipv6 地址,并且可以通过这个地址来主动访问它,例如我们一个本来只是局域网可以访问的本地预览开发环境,就可以被外网访问到了,这是不是代表开启 ipv6 有巨大的安全风险?本来在路由器 nat 庇护之下的机器和服务拿到 ipv6 地址后就暴漏在外网了?

    27 条回复    2022-09-25 19:24:30 +08:00
    v2tudnew
        1
    v2tudnew  
       2022-09-24 10:23:45 +08:00
    月经贴....
    cev2
        2
    cev2  
       2022-09-24 10:40:30 +08:00
    [例如我们一个本来只是局域网可以访问的本地预览开发环境]
    监听端口时只监听局域网 IP 呀,又不是非得监听 0.0.0.0 或::,之前因为 NAT 的存在让一些不规范的危险操作藏在遮羞布下,现在只不过是把遮羞布扯掉了而已
    JamesR
        3
    JamesR  
       2022-09-24 10:40:41 +08:00   ❤️ 11
    这很正常啊,NAT 用惯了,都忘了啥是正常网络了。把防火墙开开吧,配一下。
    shanshuise
        4
    shanshuise  
       2022-09-24 10:43:25 +08:00
    有的地方入站封了。
    Livid
        5
    Livid  
    MOD
       2022-09-24 10:44:57 +08:00
    在 UniFi 的设置里默认是关的,需要单独在 firewall 规则打开。
    totoro625
        6
    totoro625  
       2022-09-24 10:57:03 +08:00
    光猫:默认关闭防火墙
    路由器:默认开启 ipv6 防火墙,部分路由器有关闭防火墙的选项
    littlewing
        7
    littlewing  
       2022-09-24 11:02:06 +08:00
    你不开 ipv6 防火墙的吗
    lmshl
        8
    lmshl  
       2022-09-24 11:07:51 +08:00
    有 SLAAC 和 临时 IPv6 地址了
    如有更细致的需求应该寻求防火墙规则
    Bingchunmoli
        9
    Bingchunmoli  
       2022-09-24 11:13:08 +08:00
    ipv4 安全性问题(公网 ipv4), 端口全都暴露在公网?
    miyuki
        10
    miyuki  
       2022-09-24 11:20:28 +08:00 via iPhone
    openwrt 反正默认是屏蔽入站
    mikewang
        11
    mikewang  
       2022-09-24 12:11:21 +08:00   ❤️ 9
    有没有一种可能,这才是互联网原本应有的样子:IP 唯一,端口开放,全球可见
    msg7086
        12
    msg7086  
       2022-09-24 12:11:50 +08:00
    你防火墙在转发公网 IPv6 包到你主机的时候,可以过滤入站连接。
    不要因为 NAT 不需要防火墙滤包就忘了防火墙是干嘛的了 = =
    LnTrx
        13
    LnTrx  
       2022-09-24 12:16:27 +08:00
    有没有一种可能,系统里的防火墙本来就是干这个的
    tunggt
        14
    tunggt  
       2022-09-24 12:17:11 +08:00 via Android
    给你开 80 端口,你还不乐意了。。。
    LnTrx
        15
    LnTrx  
       2022-09-24 12:57:43 +08:00
    稍微捋一下安全性问题:
    1. 公网 IPv4 最普遍的威胁是暴力扫段。IPv6 地址空间很大,SLAAC 地址很难从外部被扫出来。
    2. 主动外访可以暴露本机 IP 地址,现代操作系统会生成一个临时 IPv6 用于外访。这种暴露不是持续的,范围也是有限的。
    3. 如果有需要持续暴露 IP 的应用,可以利用虚拟化技术单独给它一个 IPv6 ,外部回访就不会威胁其他应用。https://www.v2ex.com/t/877910

    最后,IPv6 下本机的安全措施是最重要的。物联网设备不会没事去访问恶意网站,但用户日常使用的设备会。这些设备通常都有完善的防火墙机制,可以限定本机、本地子网、和公网的访问。个人认为,对于可外部访问的端口,应该基于“零信任”思想做好持续验证,而不是依赖网关提供安全性。一来威胁本来就容易通过内网蔓延,二来现在很多设备是移动的。习惯性把内网当成安全,可能只会导致翻车。
    lns103
        16
    lns103  
       2022-09-24 13:45:24 +08:00
    只能说明你的路由设备没有防火墙,一般都是默认开启的,很多光猫还找不到地方关闭
    BloodBlade
        17
    BloodBlade  
       2022-09-24 14:05:18 +08:00
    这不就是 IPv4 不够用之前的时代的情况吗,用防火墙呗。
    polinxia001
        18
    polinxia001  
       2022-09-24 14:32:47 +08:00 via iPhone
    @cev2😬
    docx
        19
    docx  
       2022-09-24 14:49:58 +08:00 via iPhone   ❤️ 1
    所以你觉得,公网 IPv4 被运营商搞成 NAT 反而是个好事?
    Autonomous
        20
    Autonomous  
       2022-09-24 14:57:40 +08:00
    请规范配置防火墙入站规则
    cloudsigma2022
        21
    cloudsigma2022  
       2022-09-24 15:08:29 +08:00
    @JamesR #3 认真测试过吗?

    路由器的 v6 防火墙是默认开启的。且只对当前路由器有用。

    路由器下的设备 v6 都是裸奔的。

    https://v2ex.com/t/875570
    cnbatch
        22
    cnbatch  
       2022-09-24 16:21:14 +08:00
    IPv6 有一种地址叫做“隐私地址”,也叫做“临时地址”,本机应用主动访问其他网站时用的就是这个地址。

    如果你用的是 Windows ,打开网卡的连接状态,再看看详细信息,就能看得到这种地址
    Jirajine
        23
    Jirajine  
       2022-09-24 16:44:55 +08:00
    @JamesR @docx 内网最大的意义是封装,很多设备就是不适合拥有公网地址。即使 ipv4 地址不缺,也是给你在网关上分配公网 IP ,内网暴露服务手动配置,这样做即使公网 IP/段变换,你的整个内网设备也不需要改变地址。当然 v6 下地址空间更多,每个人都能分配一个公网 IP 段,这样可以做 stateless prefix NAT 。直接给内网设备分配公网 IP 意味着一旦前缀变化,所有内网设备都需要变更 IP ,内网对外透明。dhcp-pd 这样的协议大部分应用都不支持,如 docker 、一些防火墙等,处理变更的前缀是很复杂的。
    flynaj
        24
    flynaj  
       2022-09-25 00:50:45 +08:00 via Android
    openwrt 默认配置是不可以外网访问内部的,建议路由器刷个 openwrt.
    LnTrx
        25
    LnTrx  
       2022-09-25 01:47:53 +08:00
    @Jirajine 如果希望端口只在本地网络互访,可以绑定本地链接 IPv6 地址,这个是相对稳定的。
    hanguofu
        26
    hanguofu  
       2022-09-25 04:51:09 +08:00
    楼主 用的是什么型号的光猫啊 ? 去看看里面有没有 只打开某个端口的防火墙设置吧。
    hez2010
        27
    hez2010  
       2022-09-25 19:24:30 +08:00   ❤️ 1
    NAT 用惯了,就会忘记软件防火墙的用处是什么。所以为什么各大安全厂商(尤其是国外的厂商)都有自己的软件防火墙用来防入侵呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2543 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:37 · PVG 23:37 · LAX 07:37 · JFK 10:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.