Questo è un seguito di uno snippet da altra risposta .
Lì, l'utente Ninefingers scrive:
(...) only allow outbound connections, ever. Do this in spite of NAT as IPv6 will make those NAT defences disappear.
Qualcuno può spiegare cosa significa? O, piuttosto, come questo influenza l'utente medio che ha il suo PC Windows 7 in esecuzione dietro il suo router locale che sta facendo NAT e si connette al modem DSL.
Sì, posso
IPv4, a causa delle dimensioni del pool di indirizzi, ha da tempo una tecnica chiamata Network Address Translation. In una vista semplicistica, supponiamo che ti venga assegnato l'indirizzo IP (non valido) per il tuo router 256.10.20.30 (utilizzo indirizzi non validi in modo che le persone non vadano a pingarli ecc.). A livello locale, il tuo router è 192.168.0.1 e il tuo host è 192.168.0.2 come questo:
/----------\ /-------------------------------\ /----------------\
| Internet |-------| Your router |-------| A computer |
\----------/ | Internet sees as 256.10.20.30 | | has only: |
| You see as 192.168.0.1 | | 192.168.0.2 |
\-------------------------------/ \----------------/
In quanto tale, il router appare su Internet come indirizzo IP pubblico; tuttavia, a meno che non si indirizzino deliberatamente le connessioni sulle porte dal router a un computer sull'intervallo di indirizzi IP privati, i computer sul lato della LAN privata non sono direttamente indirizzabili da Internet. La rotta sta eseguendo due funzioni: NAT e routing.
In IPv6 ci sono molti indirizzi. L'idea fondamentalmente è che non ci sono intervalli di indirizzi IP privati (che non è esattamente vero, esiste una RFC per questo) e come tale la situazione di IPv6 è simile a questa:
/----------\ /-------------------------------\ /----------------\
| Internet |-------| Your router |-------| A computer |
\----------/ | Internet sees as 2000::... | | has: |
| You see as 2000::... | | 2001::... |
\-------------------------------/ \----------------/
Non c'è abbastanza spazio in queste caselle per scrivere gli indirizzi completi, ma nel modello IPv6, il router esegue la sua funzione di routing (riceve i pacchetti dai computer sulla LAN) ma in modo cruciale qui indirizza entrambi da e su Internet, piuttosto che routing / NATing verso l'esterno.
L'effetto di questo è che il caso predefinito per IPv4, vale a dire che i computer di casa non sono direttamente accessibili per la natura del fatto che non hanno alcun indirizzo IP a meno che il router non sia a conoscenza della connessione. Il computer diventa indirizzabile da internet, proprio come un server.
Chiaramente, tali connessioni possono ancora essere protette da firewall, con firewall che negano tutte le connessioni in entrata (non avviate dal client), tuttavia, hai perso la necessità di configurare esplicitamente il router per instradare i pacchetti internet. Se il firewall non filtra il pacchetto in entrata, il client sarà in grado di gestirlo meglio. Esiste quindi un rischio di sicurezza leggermente maggiore per gli utenti domestici che utilizzano IPv6.
Mi aspetto (spero?) che la maggior parte dei router domestici venga configurata con questa impostazione del firewall. In quanto tale, mentre il rischio è leggermente aumentato, è ancora probabilmente sminuito dalla minaccia derivante dagli exploit basati su browser (la "roba in uscita").
NAT è una soluzione al problema di carenza di indirizzi IPv4: si nascondono molti sistemi dietro un indirizzo IP. Con IPv6, un utente finale avrà molti indirizzi, quindi scompare la necessità di NAT. Questo è ottimo dal punto di vista della rete, dal momento che NAT è un brutto attacco (dal punto di vista della rete) che rende più difficili molte applicazioni.
Tuttavia, dal punto di vista della sicurezza, NAT offre un po 'di sicurezza nascondendo i sistemi dietro un firewall (quel router NAT). Questo router NAT deve essere configurato in modo esplicito per inoltrare le connessioni in entrata agli host interni (non considerando UPnP). Quando il NAT scompare e tutti i tuoi sistemi hanno un indirizzo IPv6 unico e globalmente raggiungibile, il malware può aprire un socket di ascolto per la connessione.
Il primo problema, mi viene in mente, è che potresti avere una connessione IPv6 di cui non sei nemmeno a conoscenza.
Microsoft Windows ha sviluppato il supporto per Teredo . Teredo tunnels IPv6 attraverso i pacchetti UDP IPv4. Questo fornisce la connettività IPv6 full duplex.
Inoltre Teredo è progettato per funzionare tramite NAT IPv4: il client invia regolarmente query al relè Teredo più vicino. Se questo relay ha pacchetti per il client, risponderà e il NAT lascerà passare la risposta. Questi pacchetti potrebbero contenere un tentativo di connessione dall'esterno.
Alcuni software potrebbero attivare il supporto di Teredo, anche uTorrent (vedi Annuncio di rilascio 1.8 Build 7237 ) lo ha fatto automaticamente per impostazione predefinita.