Est-il dangereux de désactiver le pare-feu IPv6 intégré à de nombreux routeurs domestiques?
Le routeur fourni par mon FAI contient un pare-feu IPv6. La seule option de configuration est de savoir si elle est activée ou désactivée. Apparemment, ce pare-feu refuse simplement toutes les connexions entrantes.
Je comprends que cela vise à empêcher d'exposer tous les hôtes et tous leurs ports ouverts à l'ensemble d'Internet.
Si je souhaite recevoir une connexion IPv6 entrante, je devrai désactiver ce pare-feu.
Est-il dangereux de le désactiver? Je me demande si les appareils tels que les PC et les appareils mobiles sont suffisamment sécurisés pour être exposés à Internet. Ils sont certainement supposés pour être sécurisés mais sont-ils sécurisés dans un sens pratique?
Oui, il est dangereux de désactiver un pare-feu sans aucun contrôle de compensation ou filtrage de remplacement. Il est vrai qu'un indexeur d'adresses IP Internet pour IPv6 a beaucoup plus à couvrir, mais cela arrive. Sans a des articles à ce sujet.
L'un des problèmes ici est que IPv6 permet une attaque directe sur un périphérique interne. NAT n'est pas utilisé (du moins c'est l'intention d'ipv6) donc un attaquant ne découvre pas d'abord le routeur, il essaie d'envoyer des messages directement au périphérique en interne.
Bien que moins d'attention soit accordée à l'attaque d'ipv6, cela se produit définitivement. Dans mon travail de jour, nous recherchons ipv6 sur les réseaux internes qui sont basés sur ipv4 comme signes d'une culasse.
Une suggestion pour une réponse à la question "si je désactive le blocage complet d'ipv6 parce que je veux l'utiliser, quoi alors?" serait de parcourir une boîte pfsense. Voici un article. https://blog.joelj.org/setting-up-pfsense-with-ipv6/ Cela autoriserait uniquement les appareils et services que vous souhaitez voir ouverts à Internet, au lieu de tous les appareils de votre réseau , certains pouvant présenter des vulnérabilités ou des configurations incorrectes.
À mon avis, il n'est pas dangereux de désactiver le pare-feu. Mais c'est quand même un peu imprudent.
J'ai depuis l'année 2014 (si je me souviens bien) directement connecté IPv6 sans aucun pare-feu, mais il n'y a jamais eu de tentative d'utilisation d'IPv6, même si les principaux appareils se trouvent aux adresses :: 1 et :: 10. Avec IPv4, cela se produit tout le temps, en essayant SSH, en essayant des vulnérabilités HTTP, en essayant des noms d'utilisateur et des mots de passe communs, etc. J'utilise fail2ban, et en plus j'achemine un tas de gros blocs IPv4/12 .../16 vers/dev/null parce qu'ils sont inutiles pour moi. Sans ceux-ci, le nombre de lignes de journal des tentatives IPv4 serait bien supérieur à 100 000 par jour. Mais comme dit, jamais rien avec IPv6.
Je ne dis pas que les tentatives IPv6 ne viendront pas. Mais je considère IPv6 beaucoup plus difficile à pirater en raison de l'espace d'adressage de taille billion.
Si j'avais besoin de moi-même pour pénétrer dans un sous-réseau IPv6/64, je ne sais pas par où commencer. Je devrais peut-être d'abord utiliser un autre moyen (faux appel téléphonique à propos du support?) Pour trouver quel équipement se trouve dans cette destination, pour pouvoir deviner les plages d'adresses MAC et les adresses IPv6 calculées, au lieu de tirer au hasard le bloc 2 ^ 64. Ou concentrez-vous sur ces adresses MAC de fournisseur où le fournisseur est connu pour avoir certaines vulnérabilités.