V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gcod
V2EX  ›  宽带症候群

IPv6 大环境下如何保障联网设备的安全

  •  
  •   gcod · 2018-09-30 16:47:46 +08:00 · 5397 次点击
    这是一个创建于 2264 天前的主题,其中的信息可能已经有所发展或是发生改变。

    知道 v2 大佬们都懂得多
    只不过
    不知道是什么原因,
    有些好好的帖子画风说变就变
    隐喻也好,
    明说也罢
    世界并不是非黑即白的,
    没必要无休止的进行争论吧
    甚至话题已经开始相互针对起来了
    都在局域网之内呢 ,
    还整天担心这个关心那个的
    至于安全性,
    普通人比你们想象中的还要安全
    有点儿常识的都会装上安全软件,
    及时更新系统补丁 .
    没必要不停的互相抬杠吧。

    人就是这样,
    早先 运营商不给你公网 IP,
    就说运营商这样不好那样不好的
    给你了,
    又说如何如何不安全的,
    拜托,
    我们又不是巨婴
    理性一点儿又不会死
    何必呢
    我觉得大家可以换个话题
    比如讨论下如何加强设备的安全防护
    既能享受 ipv6 带来的便利
    又能保障自己的安全。
    欢迎各位积极发言
    分享各自的想法 大家取长补短
    共勉
    注意不要带偏话题的方向.

    21 条回复    2018-10-01 22:49:40 +08:00
    flynaj
        1
    flynaj  
       2018-09-30 18:29:19 +08:00 via Android
    一般人防火墙打开就可以了,以前拨号的时候也是有公网地址,路由器还不普及,都过来了。实在不行 IP V6 关闭,没有 3,5 年 V6 还是普及不了
    webjin1
        2
    webjin1  
       2018-09-30 18:31:23 +08:00 via Android
    不怕。
    orangeade
        3
    orangeade  
       2018-09-30 18:33:33 +08:00 via Android
    不就是公网 IP 么,之前服务器上怎么做安全措施,现在个人这杯上一样做,都是程序员了,多少都懂一些安全知识
    cwbsw
        4
    cwbsw  
       2018-09-30 18:46:17 +08:00
    大家可以测试一下手头各种声称支持 IPV6 的设备,看看有没有做好基本的安全防护工作,例如是否支持隐私扩展、是否还在使用 EUI-64、是否默认开启防火墙等等。将结果汇总一下便于共同声讨某些欠缺安全意识的厂商。
    lvybupt
        5
    lvybupt  
       2018-09-30 18:46:26 +08:00
    大部分网络嗅探方式的攻击在 ipv6 下会失效。
    针对特定地址的攻击,打开防火墙,及时打补丁就可以了。
    一般人的 PC 远没有上报一个 0day 漏洞的价值大,没必要恐慌。
    wtks1
        6
    wtks1  
       2018-09-30 18:48:33 +08:00 via Android
    对于电脑来说,顶多就是回到当年 adsl 的时代而已,防火墙打开就没事了
    flyfishcn
        7
    flyfishcn  
       2018-09-30 19:07:28 +08:00
    防火墙啊,除非嵌入式设备为了节省空间阉割了防火墙的部分功能,常用的操作系统基本都是支持 IPv6 防火墙的。只是需要自己设置一下安全策略。
    gamexg
        8
    gamexg  
       2018-09-30 19:22:13 +08:00 via Android
    桌面系统一般没什么问题。
    容易出问题的是其他设备,例如监控、nas 等。
    t6attack
        9
    t6attack  
       2018-09-30 19:29:47 +08:00
    干嘛要盼着安全?我倒是希望普遍不安全。这才有利可图。黑白两道都有暴富机会。学术界也有大量的研究课题可做。
    “物联网安全”这块蛋糕越大越好。
    t6attack
        10
    t6attack  
       2018-09-30 19:58:51 +08:00
    ms03-026、ms04-011 时,我读初中。在电视上看到了“冲击波”、“震荡波”爆发的新闻。
    ms06-040 时,我读高中。忙着学习,无暇顾及。最有名的相关蠕虫应该是“魔鬼波”。
    ms08-067 时,我读大学。终于赶上了一班车。狼牙抓鸡器。。那种一扫一大片,踏平互联网的感觉,至今难忘。
    伴随着 IP 地址枯竭,联网 PC 越来越多隐藏于 NAT 之后。十年前这一切,已变成遥远的回忆。
    ipv6 & 物联网 时代,这样的好日子会回来吗?
    xxhjkl
        11
    xxhjkl  
       2018-09-30 20:00:38 +08:00 via iPhone
    默认 ipv6 的防火墙开着的呀,你想访问,防火墙不放行还访问不到的。
    wazon
        12
    wazon  
       2018-09-30 20:17:30 +08:00
    @t6attack 把时间相关性简单当作因果关系的范例
    huskar
        13
    huskar  
       2018-09-30 22:39:25 +08:00 via Android   ❤️ 1
    有 NAT 就是被保护的巨婴?上 ipv6 你就长大了?
    我问你哈,你觉得各大网站的数据库服务例如 mysql,你能从公网上访问到吗?你不能。为什么他们这么巨婴要把自己藏起来,不自由一点把他们的数据库对公网暴露了出来,那多方便啊。
    为什么呢?因为数据库本不该对外开放,只要 web 服务能访问他们就够了,而对外开放的只要一个 web 服务。
    好比现在的家庭网络环境,你家的打印机、电视机、你笔记本上开发时打开的 http 服务、mysql、redis、智能家电的某个调试端口,他们本不该让外界访问,应该只能被内网访问,应该有一个网关防火墙把他们保护起来,明白吗?
    ipv4 的 NAT,本意是为了缓解地址衰竭的问题,但是在事实上刚好承担了网关防火墙的责任,防止了内网的机器被外部直接访问,就好比“堡垒机”或“跳板机”的作用,所有对内访问在网关上做统一管理,默认拒绝所有内连,只有被明确允许的才放行。这和你 pc 上的防火墙的干的不是一件事,明白吗?
    现在 ipv6 不需要 NAT 了,所以这个自带的网关防火墙也就没了,原先被保护的内网设备和端口就都暴露了。这不是 ipv6 的缺点,因为这本来就不是 ipv6 所要考虑的事情,NAT 也不过是“顺便”提供了这个功能。
    怎么提高安全性?很简单,在你的网关设备上用 iptables 加几条规则,就能起到和原来 NAT 网关防火墙一样的作用了。但如果你想要的就是你家的全部设备都有一个公网 ip 可供人随便访问,这样你才觉得不巨婴,那你什么都不必做,目前的状况正适合你。
    Cu635
        14
    Cu635  
       2018-09-30 22:53:54 +08:00   ❤️ 1
    问题就是,讨论这些并不是“巨婴”,正式看穿了“推广 IPv6 ”背后的司马昭之心才这么说的。
    bao3
        15
    bao3  
       2018-09-30 22:59:22 +08:00 via iPhone
    看了前面楼层关于安全的回复,你就知道他们对安全的理解多么差。 你要懂得怎么设定家庭路由,才能保证家里的嵌入设备安全,你应该不希望你那台带摄像头的电视因为有了 v6 公网地址而被人利用吧?
    cqu1980
        16
    cqu1980  
       2018-09-30 23:14:16 +08:00
    宽带路由器即便成为桥接,也回提供防火墙吧。
    oovveeaarr
        17
    oovveeaarr  
       2018-09-30 23:23:13 +08:00
    不过 OpenWRT 之类的路由,规则都是基于 Zone 的安全策略
    不管是 ipv6 还是 ipv4 都有默认安全的防火墙规则哦
    Archeb
        18
    Archeb  
       2018-10-01 00:38:50 +08:00
    @t6attack v6 地址太多,你扫不过来~而且临时地址随时变化
    121121121
        19
    121121121  
       2018-10-01 01:00:39 +08:00 via Android
    嵌入式设备的安全问题不是硬件厂家的责任吗
    iRiven
        20
    iRiven  
       2018-10-01 10:12:55 +08:00 via Android
    论路由器网关之类的重要性,不过你家装个监控什么分配外网 IP 一个也不太好,感觉这时候应该网关 + VPN,当然我现在还没分配到 IP v6
    flyfishcn
        21
    flyfishcn  
       2018-10-01 22:49:40 +08:00
    恐怕楼上有某些人连 NAT 的概念都搞不清楚吧。NAT 可不仅只能转换私网 IP。说 NAT 之后的主机无法被访问都搞不清楚 NAT 有几种形式吧?还有某些人连内网和私网都分不清楚吧。手动狗头
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3123 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:52 · PVG 12:52 · LAX 20:52 · JFK 23:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.