it-swarm.com.de

Ist es gefährlich, die in vielen Heimroutern integrierte IPv6-Firewall zu deaktivieren?

Der von meinem ISP bereitgestellte Router enthält eine IPv6-Firewall. Die einzige Konfigurationsoption ist, ob sie aktiviert oder deaktiviert ist. Anscheinend verweigert diese Firewall einfach alle eingehenden Verbindungen.

Ich verstehe, dass dies verhindern soll, dass alle Hosts und alle ihre offenen Ports dem gesamten Internet ausgesetzt werden.

Wenn ich eine eingehende IPv6-Verbindung empfangen möchte, muss ich diese Firewall deaktivieren.

Ist es gefährlich, es zu deaktivieren? Ich frage mich, ob Geräte wie PCs und mobile Geräte sicher genug sind, um dem Internet ausgesetzt zu sein. Sie sind sicherlich angeblich sicher, aber sind sie im praktischen Sinne sicher?

4
boot4life

Ja, es ist gefährlich, eine Firewall ohne Ausgleichskontrollen oder Ersatzfilter zu deaktivieren. Es ist wahr, dass ein Internet-IP-Adressindexer für IPv6 viel mehr zu bieten hat, aber es passiert. Sans hat Artikel dazu.

Eines der Probleme hierbei ist, dass IPv6 einen direkten Angriff auf ein internes Gerät ermöglicht. NAT wird nicht verwendet (zumindest ist dies die Absicht von ipv6), sodass ein Angreifer den Router nicht zuerst erkennt, sondern versucht, Nachrichten intern direkt an das Gerät zu senden.

Obwohl dem Angriff auf IPv6 weniger Aufmerksamkeit geschenkt wird, geschieht dies definitiv. In meiner täglichen Arbeit suchen wir nach IPv6 in internen Netzwerken, die auf IPv4 basieren, als Zeichen eines Verschlusses.

Ein Vorschlag für eine Antwort auf die Frage: "Wenn ich die vollständige Blockierung von IPv6 deaktiviere, weil ich es verwenden möchte, was dann?" wäre, durch eine Pfsense-Box zu laufen. Hier ist ein Artikel. https://blog.joelj.org/setting-up-pfsense-with-ipv6/ Dies würde nur Geräte und Dienste zulassen, die dem Internet zugänglich gemacht werden sollen, anstatt aller Geräte in Ihrem Netzwerk Einige können Schwachstellen oder Fehlkonfigurationen aufweisen.

4
bashCypher

Meiner Meinung nach ist es nicht gefährlich, die Firewall zu deaktivieren. Trotzdem ist es etwas unklug.

Ich habe seit dem Jahr 2014 (wenn ich mich recht erinnere) IPv6 direkt ohne Firewall verbunden, aber es gab nie Versuche, IPv6 zu verwenden, selbst wenn sich die primären Geräte in den Adressen :: 1 und :: 10 befinden. Mit IPv4 passiert es ständig, versucht SSH, versucht HTTP-Schwachstellen, versucht allgemeine Benutzernamen und Passwörter usw. Ich verwende fail2ban und leite zusätzlich eine Reihe großer/12 .../16 IPv4-Blöcke nach/dev/null, weil sie sind für mich nutzlos. Ohne diese würde die Anzahl der Protokollzeilen aus IPv4-Versuchen deutlich über 100.000 pro Tag liegen. Aber wie gesagt, nie etwas mit IPv6.

Ich sage nicht, dass IPv6-Versuche nicht kommen werden. Ich halte IPv6 jedoch aufgrund des Adressraums von Billionen für viel schwieriger für das Hacken.

Wenn ich in ein/64 IPv6-Subnetz einbrechen müsste, weiß ich nicht, wo ich anfangen soll. Vielleicht sollte ich zuerst andere Mittel verwenden (gefälschter Anruf wegen Support?), Um herauszufinden, welche Geräte sich in diesem Ziel befinden, um Bereiche von MAC-Adressen und berechneten IPv6-Adressen erraten zu können, anstatt den 2 ^ 64-Block zufällig zu schießen. Oder konzentrieren Sie sich auf solche Hersteller-MAC-Adressen, bei denen bekannt ist, dass der Anbieter bestimmte Schwachstellen aufweist.

0
v6-engine