IPv6 大环境下如何保障联网设备的安全

2018-09-30 16:47:46 +08:00
 gcod

知道 v2 大佬们都懂得多
只不过
不知道是什么原因,
有些好好的帖子画风说变就变
隐喻也好,
明说也罢
世界并不是非黑即白的,
没必要无休止的进行争论吧
甚至话题已经开始相互针对起来了
都在局域网之内呢 ,
还整天担心这个关心那个的
至于安全性,
普通人比你们想象中的还要安全
有点儿常识的都会装上安全软件,
及时更新系统补丁 .
没必要不停的互相抬杠吧。

人就是这样,
早先 运营商不给你公网 IP,
就说运营商这样不好那样不好的
给你了,
又说如何如何不安全的,
拜托,
我们又不是巨婴
理性一点儿又不会死
何必呢
我觉得大家可以换个话题
比如讨论下如何加强设备的安全防护
既能享受 ipv6 带来的便利
又能保障自己的安全。
欢迎各位积极发言
分享各自的想法 大家取长补短
共勉
注意不要带偏话题的方向.

5405 次点击
所在节点    宽带症候群
21 条回复
flynaj
2018-09-30 18:29:19 +08:00
一般人防火墙打开就可以了,以前拨号的时候也是有公网地址,路由器还不普及,都过来了。实在不行 IP V6 关闭,没有 3,5 年 V6 还是普及不了
webjin1
2018-09-30 18:31:23 +08:00
不怕。
orangeade
2018-09-30 18:33:33 +08:00
不就是公网 IP 么,之前服务器上怎么做安全措施,现在个人这杯上一样做,都是程序员了,多少都懂一些安全知识
cwbsw
2018-09-30 18:46:17 +08:00
大家可以测试一下手头各种声称支持 IPV6 的设备,看看有没有做好基本的安全防护工作,例如是否支持隐私扩展、是否还在使用 EUI-64、是否默认开启防火墙等等。将结果汇总一下便于共同声讨某些欠缺安全意识的厂商。
lvybupt
2018-09-30 18:46:26 +08:00
大部分网络嗅探方式的攻击在 ipv6 下会失效。
针对特定地址的攻击,打开防火墙,及时打补丁就可以了。
一般人的 PC 远没有上报一个 0day 漏洞的价值大,没必要恐慌。
wtks1
2018-09-30 18:48:33 +08:00
对于电脑来说,顶多就是回到当年 adsl 的时代而已,防火墙打开就没事了
flyfishcn
2018-09-30 19:07:28 +08:00
防火墙啊,除非嵌入式设备为了节省空间阉割了防火墙的部分功能,常用的操作系统基本都是支持 IPv6 防火墙的。只是需要自己设置一下安全策略。
gamexg
2018-09-30 19:22:13 +08:00
桌面系统一般没什么问题。
容易出问题的是其他设备,例如监控、nas 等。
t6attack
2018-09-30 19:29:47 +08:00
干嘛要盼着安全?我倒是希望普遍不安全。这才有利可图。黑白两道都有暴富机会。学术界也有大量的研究课题可做。
“物联网安全”这块蛋糕越大越好。
t6attack
2018-09-30 19:58:51 +08:00
ms03-026、ms04-011 时,我读初中。在电视上看到了“冲击波”、“震荡波”爆发的新闻。
ms06-040 时,我读高中。忙着学习,无暇顾及。最有名的相关蠕虫应该是“魔鬼波”。
ms08-067 时,我读大学。终于赶上了一班车。狼牙抓鸡器。。那种一扫一大片,踏平互联网的感觉,至今难忘。
伴随着 IP 地址枯竭,联网 PC 越来越多隐藏于 NAT 之后。十年前这一切,已变成遥远的回忆。
ipv6 & 物联网 时代,这样的好日子会回来吗?
xxhjkl
2018-09-30 20:00:38 +08:00
默认 ipv6 的防火墙开着的呀,你想访问,防火墙不放行还访问不到的。
wazon
2018-09-30 20:17:30 +08:00
@t6attack 把时间相关性简单当作因果关系的范例
huskar
2018-09-30 22:39:25 +08:00
有 NAT 就是被保护的巨婴?上 ipv6 你就长大了?
我问你哈,你觉得各大网站的数据库服务例如 mysql,你能从公网上访问到吗?你不能。为什么他们这么巨婴要把自己藏起来,不自由一点把他们的数据库对公网暴露了出来,那多方便啊。
为什么呢?因为数据库本不该对外开放,只要 web 服务能访问他们就够了,而对外开放的只要一个 web 服务。
好比现在的家庭网络环境,你家的打印机、电视机、你笔记本上开发时打开的 http 服务、mysql、redis、智能家电的某个调试端口,他们本不该让外界访问,应该只能被内网访问,应该有一个网关防火墙把他们保护起来,明白吗?
ipv4 的 NAT,本意是为了缓解地址衰竭的问题,但是在事实上刚好承担了网关防火墙的责任,防止了内网的机器被外部直接访问,就好比“堡垒机”或“跳板机”的作用,所有对内访问在网关上做统一管理,默认拒绝所有内连,只有被明确允许的才放行。这和你 pc 上的防火墙的干的不是一件事,明白吗?
现在 ipv6 不需要 NAT 了,所以这个自带的网关防火墙也就没了,原先被保护的内网设备和端口就都暴露了。这不是 ipv6 的缺点,因为这本来就不是 ipv6 所要考虑的事情,NAT 也不过是“顺便”提供了这个功能。
怎么提高安全性?很简单,在你的网关设备上用 iptables 加几条规则,就能起到和原来 NAT 网关防火墙一样的作用了。但如果你想要的就是你家的全部设备都有一个公网 ip 可供人随便访问,这样你才觉得不巨婴,那你什么都不必做,目前的状况正适合你。
Cu635
2018-09-30 22:53:54 +08:00
问题就是,讨论这些并不是“巨婴”,正式看穿了“推广 IPv6 ”背后的司马昭之心才这么说的。
bao3
2018-09-30 22:59:22 +08:00
看了前面楼层关于安全的回复,你就知道他们对安全的理解多么差。 你要懂得怎么设定家庭路由,才能保证家里的嵌入设备安全,你应该不希望你那台带摄像头的电视因为有了 v6 公网地址而被人利用吧?
cqu1980
2018-09-30 23:14:16 +08:00
宽带路由器即便成为桥接,也回提供防火墙吧。
oovveeaarr
2018-09-30 23:23:13 +08:00
不过 OpenWRT 之类的路由,规则都是基于 Zone 的安全策略
不管是 ipv6 还是 ipv4 都有默认安全的防火墙规则哦
Archeb
2018-10-01 00:38:50 +08:00
@t6attack v6 地址太多,你扫不过来~而且临时地址随时变化
121121121
2018-10-01 01:00:39 +08:00
嵌入式设备的安全问题不是硬件厂家的责任吗
iRiven
2018-10-01 10:12:55 +08:00
论路由器网关之类的重要性,不过你家装个监控什么分配外网 IP 一个也不太好,感觉这时候应该网关 + VPN,当然我现在还没分配到 IP v6

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/494221

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX