关于电信 sdn 网关 ipv6 网络裸奔问题

2022-09-03 18:32:21 +08:00
 jyeric

今天 bt 下载的时候看到了很多的 ipv6 网址(本来 ipv6 默认被电信 sdn 网关屏蔽)于是简单看了下。结果发现每个端都分配了 2 个公网 ip 地址。(我看网关运行时间应该是今天凌晨运营商重启网关发送更新的)

其他的最近 V2EX 帖子
https://v2ex.com/t/875489
https://v2ex.com/t/875570
https://v2ex.com/t/875608
https://v2ex.com/t/875719

感觉最近关于 ipv6 的帖子很多,不知道是不是最近运营商加大了对 ipv6 的下发。

关于裸奔问题其实问题挺大的,本来内网条件下可能的无密码 /默认密码(虽然本来也并非安全,但至少有内网的保护)也会直接映射到公网去。而且可能本来内网随便发的端口也可能会被 0day 漏洞攻破。

我看到有些说 ipv6 扫不到的。其实这个问题是很大的,尤其是对每个端都发配 ipv6 的情况下。视频网站、网盘可能会搞(或已经再搞) p2p ,不经意间就暴露了。普通下载 bt ,加入到 dht 网络,开个 ipfs ,也都会直接暴露你电脑的 ipv6 。特别是下载 bt,不少人喜欢搞 webui ,还是默认密码或无密码。直接就能成为 tcpflood 肉鸡一台。

因此目前有什么本机方案防火墙吗? sdn 网关无管理权限。可以在电脑上先设置一下。然后联系电信公司看看 sdn 网关怎么解决或者自己买路由器替代。

4343 次点击
所在节点    宽带症候群
33 条回复
jousca
2022-09-03 19:35:07 +08:00
你想多了!!!

我估计你 IPV6 协议都没耐心读完……
jyeric
2022-09-03 19:58:32 +08:00
@jousca 那我说的哪里存在问题了
geekvcn
2022-09-03 20:00:25 +08:00
运营商光猫,SDN 防火墙都是默认禁止 V6 入站流量的,家用路由器 OpenWrt 华为 中兴 华硕 小米 TP 也都是默认禁止入站。你实在不放心 IPv6 是支持 NAT 的,只是不推荐。另外 IPv6 无状态虽然后缀是固定算法生成的固定后缀,但是无状态一般都配合隐私扩展,隐私地址用来对外访问,服务方知道又如何?隐私地址也是默认禁用入站流量的。
geekvcn
2022-09-03 20:01:10 +08:00
@jyeric 全是问题
jyeric
2022-09-03 20:08:14 +08:00
@geekvcn 就是现在支持 v6 入站了 我才发的问题

我用手机流量测试过了 可以直接入
jyeric
2022-09-03 20:10:10 +08:00
@geekvcn 那么按这么说那应该是就是 sdn 网关配置问题了。我稍后去联系电信运营商
acbot
2022-09-03 20:20:40 +08:00
即使 SDN 没有防火墙,只要你不乱修改操作系统的防火墙配置,Linux 和 Windows 默认的防火墙配置都可以满足安全要求。另外,虽然没用过 SDN 这种设备但是基本的防火墙功能应该是有的估计只是他们默认配置关闭了而已,他们应该可以调整。不过很多用户应该是要求关闭的
v2tudnew
2022-09-03 21:07:06 +08:00
普通人你就放心好了,一定会装什么管家之类的,到时候肯定会默认禁止连入(就像现在不是白名单应用直接杀掉),你还得折腾允许某些应用连入。

会用防火墙的那就更不用担心了。
jyeric
2022-09-03 21:42:06 +08:00
@acbot 那不一定,smb 什么的不改防火墙都是危险东西
limon
2022-09-03 22:00:06 +08:00
网卡设置里直接取消 ipv6
Kunmona
2022-09-03 22:18:45 +08:00
如果用 openwrt ,是默认开启 IPv6 的防火墙的,阻断所有入站流量,当然也可以单独设备单独端口开放,就是有点麻烦,建议你光猫后再接一个例如 openwrt 一样带有 IPv6 的防火墙路由器,如果你嫌不安全又懒得折腾那就关了它
cnbatch
2022-09-03 22:29:43 +08:00
担心 SMB 纯属多余,与其在这里猜测还不如直接进入 Windows 自带的防火墙的“高级安全 Windows Defender 防火墙”设置望一眼。

进入设置后可以看到,SMB 在防火墙的默认设置当中并不对公网开放,无论 IPv4 还是 IPv6 。
LnTrx
2022-09-03 22:50:23 +08:00
用户设备很多是可移动的,把安全寄托于网关可能反而被偷袭
Windows 自带的防火墙就可以限制入站为本地子网
LnTrx
2022-09-03 23:40:56 +08:00
所谓“IPv6 扫不到”是跟 IPv4 相比的。在 IPv4 下,扫遍全网是可行的。如果常用端口配置薄弱,分分钟就被人端了。IPv6 地址空间非常大,除非掌握很具体的信息,扫段几乎是不现实的。

楼主指出 IPv6 可能通过应用主动暴露,这个风险是真实存在的。安装各类应用的设备,主要是有用户操作的( PC )或者本来就面向外网的设备( NAS ),这些设备基本都有安全机制。即便没有,攻击面相比公网 IPv4 还是小很多,攻击的实现和范围受到很多限制。就像是在 IPv4 下的 DMZ 主机,很多人把常用端口调到非标准端口就完事了。尽管十分草率,但被攻陷的概率也会小很多。

当然,更高的安全性是值得追求的。个人认为 IPv6 时代的不应该继续假设内网是安全的,而应该基于“零信任”,做好机器本身的安全防护和验证。特别是对于经常移动的设备,它们的上级网关本来就不可控,虚幻的安全感可能反而导致翻车。如果还是担心,也可以借助 IPv6 超大地址空间的优势,给 bt 、ipfs 这类应用分配独立的地址(如虚拟机),从而仅把安全的的、与敏感数据隔离的服务暴露给外部。
1423
2022-09-03 23:47:26 +08:00
PT 的 ipv6 peer 一扫一个准,门户大开
malash
2022-09-04 04:10:08 +08:00
我认为楼主的担忧是对的,在 IPv6 环境下对网关防火墙的依赖其实是大于 IPv4 的。

在 IPv4 下,NAT 其实起到了部分防火墙的功能,NAT 下的机器默认无法对外暴露端口,除非指定端口转发(相当于防火墙开放端口)或者 DMZ (相当于关闭防火墙)。而在 IPv6 下,是没有这层防护的,因此光猫路由器等设备普遍启用了 IPv6 防火墙默认阻止一切入站连接,但这种办法显然过于简单粗暴,很多情况下用户为了暴露一个服务就只能完全关闭防火墙,使内网所有设备都处于“裸奔”状态。当然,我绝对不是推荐在 IPv6 下再使用 NAT ,防火墙才是正确的选择。

IPv6 的确有一些安全方面的加强,如 @geekvcn 所说,理想状态下无状态的地址分配应配合隐私扩展,相当于分配了两个地址,一个用于入站一个用于出站。但我实际测试了一下,许多服务器操作系统——如 Ubuntu Server 、Windows Server 是默认不会开启隐私扩展的(在 Linux 下可以用 sysctl -a | grep use_tempaddr 进行验证),甚至 https://www.v2ex.com/t/833550#r_11359995 里提到群晖都默认不会开启隐私扩展。因此我们不能过于相信隐私扩展真的生效了。
又如 @acbot 所说,开启防火墙固然会默认禁用入站流量,但对于需要暴露的服务还是需要在防火墙上开放端口的。一旦放开端口,无论是哪种 IPv6 地址其实都开放了,我并没有找到能够“自动区分”隐私地址的规则?如果有可否提供下链接?我在 macOS 上实际测试了自带的防火墙,是没有这种功能的,两个 IPv6 都能被外网访问到
IPv6 地址众多,确实不用太担心被批量扫描的问题,但是对于 P2P 下载、DDNS 等场景下依然有地址泄露的风险。很多人喜欢搞 All in one ,一台机器既当下载机又当 NAS 又跑很多服务,它们都会共用一个 IPv6 地址,“门户大开”是很可能遇到的。

因此对于目前的情况,我建议有对外暴露服务需求的用户最好自行选购一款能够具有高级防火墙功能的路由器 /网关,不用太复杂,可以按照端口进行放行基本就够用了。否则,一定不要轻易关闭光猫里的 IPv6 防火墙。同时也希望光猫的厂家能足够重视 IPv6 防火墙的重要性,把光猫里简陋的防火墙开关升级一下。

另外,安全从来不是只依靠一方面就可以的,内网每个设备的防火墙尽量都开启,网关的防火墙也一样重要,双重保险才是最安全的。只是很多场景下内网的服务无法做到足够安全,比如弱口令甚至无口令的 WebUI 、为了小米摄像头只能开启不安全的 SMB 1.0 等等,这些可都不是容易解决的,总不能让用户自己去这些服务的改源代码吧?网关防火墙作为最后一道防线,哪怕内网真的裸奔,也足够提供大部分人需要的安全性了。
jyeric
2022-09-04 09:47:01 +08:00
@cnbatch #12 感谢回复 当时测试了 SMB 确实不能通过外网访问,我原本以为是路由器防火墙设置,原来是 windows 的防火墙就禁止了。smb 只是举个例子。
@LnTrx #14 确实。我就比较偏向内网比较安全的人。因为我的设备都不怎么移动,而且很少联公用 wifi 。其实 windows 防火墙有针对专用网络、家庭网络、公用网络的防火墙设置,很多情况下即使连接公用 wifi ,也基本上不会暴露端口,因为防火墙堵住了。但在 ipv6 情况下可能暴露后就全部变为“公用网络”这种情况了。
@malash #16 我就想的是需要暴露端口的人直接零防火墙,直接裸奔。甚至路由器厂商想目前的电信 sdn 网关直接 ipv6 无防火墙设置,直接暴露公网裸奔。
另外关于隐私扩展,windows 好像已经是分配一个 ipv6 地址和一个临时 ipv6 地址了。临时 ipv6 地址用于出站访问网络。但比较奇怪的是临时 ipv6 地址仍然可以入站。可能就应该防火墙哪里设置一下阻止临时 ipv6 地址直接入站。


其实我在想有没有办法就是对专门的要映射的服务直接单独分配 ipv6 。比如 bt ,是否可以直接要求获取一个专门的 ipv6 地址专门映射,然后把 webgui 和 bt 端口分开。甚至于各个需要入站需求的服务全部让他们单独随机分配 ipv6 。
acbot
2022-09-04 10:06:00 +08:00
@cnbatch "...SMB 在防火墙的默认设置当中并不对公网开放,无论 IPv4 还是 IPv6..." 对啊,他连这个都不知道!
acbot
2022-09-04 10:12:34 +08:00
@malash 我感觉你的文字都是翻译过来的那种! 现在不论光猫还是很多国产路由器 v6 的端口开放支持都很差,很多设备连关闭或者是打开火墙的选项都没有只能用默认规则。这个时候有需要端口开放需求的能有一个关闭功能就觉得很不错了,不是他们不知道防火墙关闭的问题
jyeric
2022-09-04 10:23:37 +08:00
@acbot 确实不知道啊,我只看我用的服务中是否会产生什么问题。smb 我只是用于内网的文件共享,而且测了外网确实不通。本来举 smb 的例子也只是想说可能会有不安全的端口或内容直接暴露在 ipv6 中。然后通过 bt 下载或者 p2p 就暴露 ipv6 地址了。

smb 这点确实是说错了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/877492

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX