web-dev-qa-db-fra.com

Question sur IPv6, NAT, PAREWALL, Transfert de port, UPNP et Sécurité

Dans les prochains mois/années, mon fournisseur de services Internet pourrait me donner IPv6 pour ma connexion à la maison. Mais quelles sont les implications de sécurité? Les serveurs réseau locaux/embarqués seront-ils accessibles à partir de l'Internet entier?

Dans IPv4, vous avez été protégé par le NAT. De nombreux services et des périphériques incorporés tels que les imprimantes réseau ont une adresse locale mais écoutent toute connexion entrante (0.0.0.0 à IPv4). S'ils doivent être accessibles à partir d'Internet, de transfert de port ou d'UPNP étaient vos options (y compris certaines caméras de sécurité infâmees accessibles via UPNP sans mot de passe par défaut sur Internet).

Lorsque mon fournisseur d'accès ne m'allume pas à IPv6, sont ceux accessibles à partir d'Internet/DOI-VOUS DEVEZ Créer des règles de pare-feu sur mon routeur à domicile (similaire au transfert de port)/y aura-t-il quelque chose comme UPNP pour les programmeurs comme BitTorrent? Y a-t-il d'autres considérations de sécurité? Cela se terminera-t-il comme celui-ci https://serverfault.com/questions/766890/network-Printer-exploit-read-hacked-a-print-tatantisemitiques-documents-how-to ?

S'il s'agit de modèle/ISP spécifique, n'hésitez pas à assumer une configuration commune (préférable en Europe centrale).

4
H. Idden

Avec IPv6, vous ne pouvez pas compter sur NAT, et donc, oui, vous devez configurer des règles de filtrage de paquets raisonnables sur le routeur ou le pare-feu. Pour les filtres d'état, cela est facile à accomplir: permettez à tout le trafic sortant et permettre à tout le trafic entrant lié au trafic sortant, déposez tout autre chose. Pour les filtres apatrides, il y a un peu plus de choses à faire, en particulier, vous devez garder à l'esprit que IPv6 nécessite plusieurs types de paquets ICMPV6 pour son fonctionnement (principalement des messages d'erreur; par exemple, les messages "trop gros de paquets" depuis avec des routeurs IPv6 ne fragment comme ils le font avec l'héritage IP).

Sans NAT Vous n'avez pas besoin de transfert de port, vous ajoutez simplement la règle de filtre selon le trafic entrant.

3
countermode