È pericoloso disabilitare il firewall IPv6 integrato in molti router domestici?

Question

È pericoloso disabilitare il firewall IPv6 integrato in molti router domestici?

#1 da (3 voti)
#2 da (0 voti)

4

Il router fornito dal mio ISP contiene un firewall IPv6. L'unica opzione di configurazione è se è acceso o spento. Apparentemente, questo firewall semplicemente nega tutte le connessioni in entrata.

Capisco che ciò impedisca di esporre tutti gli host e tutte le loro porte aperte all'intero Internet.

Se desidero ricevere una connessione IPv6 in entrata, dovrò disabilitare questo firewall.

È pericoloso disabilitarlo? Mi chiedo se dispositivi come PC e dispositivi mobili siano abbastanza sicuri da essere esposti a Internet. Sicuramente sono supposti per essere sicuri, ma sono sicuri in senso pratico?

ipv6 network firewalls isp

posta boot4life 11.07.2018 - 18:23

fonte

2 risposte

Leggi altre domande sui tag ipv6 network firewalls isp

Perché SMTP non controlla che gli utenti siano autenticati per l'invio da un indirizzo? L'impronta digitale certificato di Google non corrisponde alle impronte digitali nelle configurazioni "net-internals" di Chrome

score 3 · Answer 1

Sì, è pericoloso disabilitare un firewall senza alcun controllo di compensazione o filtro di sostituzione. È vero che un indicizzatore di indirizzi IP Internet per IPv6 ha molto altro da coprire, ma succede. Sans ha articoli su questo.

Uno dei problemi qui è che IPv6 consente un attacco diretto su un dispositivo interno. NAT non è usato (almeno questo è l'intento di ipv6) quindi un utente malintenzionato non scopre prima il router, sta tentando di inviare messaggi direttamente al dispositivo internamente.

Sebbene ci sia meno attenzione nell'attaccare ipv6, sta sicuramente accadendo. Nel mio lavoro giorno cerchiamo ipv6 su reti interne che sono ipv4 basate come segni di una culatta.

Un suggerimento per una risposta alla domanda "se spengo il blocco completo di ipv6 perché voglio usarlo, e allora?" sarebbe di correre attraverso una scatola pfsense. Ecco un articolo. link Ciò consentirebbe l'apertura di solo dispositivi e servizi che desideri vengano esposti a Internet, anziché tutti i dispositivi sulla tua rete, alcuni dei quali potrebbero presentare vulnerabilità o configurazioni errate.

score 0 · Answer 2

tu dici "SANS ha articoli sull'indicizzazione". Sembra una lettura interessante. Potresti per favore dare dei consigli su quegli articoli?

Motivo della richiesta: la mia opinione è che non è pericoloso disabilitare il firewall. Ma ancora, è un po 'imprudente.

Ho avuto dall'anno 2014 (se ricordo bene) direttamente connesso IPv6 senza alcun firewall, ma non ci sono mai stati tentativi di usare IPv6, anche se i dispositivi primari si trovano negli indirizzi :: 1 e :: 10 . Con IPv4 succede sempre, provando SSH, cercando vulnerabilità HTTP, provando nomi utente e password comuni, ecc. Io uso fail2ban e inoltre instrado un gruppo di blocchi / 12/16 IPv4 su / dev / null perché sono inutili per me Senza quelli il numero di righe di registro dai tentativi IPv4 sarebbe ben al di sopra di 100.000 al giorno. Ma come detto, mai niente con IPv6.

Non sto dicendo che i tentativi di IPv6 non verranno. Ma considero IPv6 molto più difficile per l'hacking a causa dello spazio degli indirizzi di trilioni di dimensioni.

Se avessi bisogno di entrare in una sottorete IPv6 / 64, non so da dove iniziare. Forse dovrei prima usare qualche altro mezzo (finta telefonata sul supporto?) Per trovare quale apparecchiatura si trova in quella destinazione, per poter indovinare intervalli di indirizzi MAC e gli indirizzi IPv6 calcolati, invece di scattare a caso il blocco 2 ** 64 . O concentrarsi su tali indirizzi MAC del fornitore in cui è noto che il fornitore ha determinate vulnerabilità.