Последствия ipv6 для безопасности локальной сети

У меня есть стандартная настройка с компьютерами за маршрутизатором netgear, на котором включена опция "auto config" ipv6. Насколько я понимаю, это означает, что он назначает локальные IPv6-адреса в локальной сети, а когда ipv6 доступен в глобальной сети, он назначает IPv6-адреса всем компьютерам в локальной сети, чтобы все они были доступны в глобальной сети ("Интернет"). Интернет-провайдер не поддерживает IPv6, но позволит ему в будущем.

также в настоящее время бытовых устройств, которые подключены к сети (принтер, файловый сервер, компьютеры с открытыми сетевыми папками). Это "хорошо", потому что есть ~10 устройств, подключенных к локальной сети, и все они доверяют друг другу (вы можете получить доступ к файлам на других компьютерах и/или печатать, пока вы подключены к локальной сети).

что меня интересует, так это то, что теоретически, когда интернет-провайдер включает ipv6, все устройства, подключенные к локальной сети, будут доступны в WAN (с настройками маршрутизатора потребителя netgear по умолчанию). Означает ли это, что любой пользователь, подключенный к интернету, теперь может печатать и/или получать доступ к файлам на компьютерах, подключенных к локальной сети? Я не знаком с сетевыми протоколами, поэтому теоретически это возможно.

Если это так, это, казалось бы, противоречит модели "подключи и играй", где компьютеры могут автоматически обнаруживать принтеры в локальной сети. И честно говоря, сделать LAN "без доверия" немного страшно.

этот вопрос действительно о этот вопрос в контексте типичной настройки модема + беспроводного маршрутизатора. Все предположили, что они безопасны из-за NAT + ipv4, но я больше не уверен в этом предположении.

Примечание: это единственный "брандмауэр", указанный в руководстве. Это действительно кажется, что потребительские маршрутизаторы не предоставляют межсетевой экран вне NAT.

enter image description here

15
задан xaav
22.04.2023 11:17 Количество просмотров материала 3152
Распечатать страницу

1 ответ

когда ipv6 доступен в глобальной сети, он назначает IPv6-адреса всем компьютерам в локальной сети, чтобы все они были доступны в глобальной сети ("Интернет").

глобально адресуемый не означает глобально достижимый.

любой маршрутизатор по пути (а также сам хост) может реализовать брандмауэр и блокировать определенные пакеты, например, те, которые пытаются установить новое входящее соединение. Это is уже сделано большинством интернет-провайдеров маршрутизаторы (NAT не всегда будет защищать вас от ваших соседей, но брандмауэр делает).

Это не ново для IPv6 в любом случае, форме или форме. Например, MIT имел 18.0.0.0 / 8 и предоставлял глобальные IPv4 адреса каждому компьютеру. Местный интернет-провайдер предоставляет публичные адреса для каждого устройства на их общегородском Wi-Fi. Раньше это было по умолчанию, прежде чем закончились пулы адресов.

действительно кажется, что маршрутизаторы потребителей не предоставляют брандмауэр за пределами нац.

нет, обычно так и делают. (Иногда брандмауэр всегда включен, а его конфигурация скрыта, и единственный способ добавить входящие исключения-добавить правило переадресации портов.) Найдите что-то вроде "входящих правил".

ну, конечно, есть are маршрутизаторы, которые утверждают, что поддерживают IPv6, но имеют только брандмауэр IPv4, а не IPv6. Но я бы не ожидал, что популярные бренды (такие как Asus или Mikrotik) с последней прошивкой будут иметь таких вопросов больше нет.

2
отвечен grawity 2023-04-23 19:05

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх