V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
HawkinsSherpherd
V2EX  ›  宽带症候群

这样的网络安全设施是否已经存在了?

  •  
  •   HawkinsSherpherd · 2022-01-19 07:44:15 +08:00 · 4250 次点击
    这是一个创建于 1065 天前的主题,其中的信息可能已经有所发展或是发生改变。
    设想:
    在未来 IPv6 广泛部署的背景下,端到端的通信不再是难事,但在外部访问内网服务的安全问题也随之而来。我们不会为此重返到 NAT 的时代,也不需要繁杂的隧道配置。
    有这样的设施,它会在默认情况下阻挡目的地为受保护的网络的来自外部网络的访问。当你想要从外部网络访问受保护的网络时,可以访问一个认证站点(也可以是别的服务),它会记录通过认证的终端的 IPv6 地址,将这个终端的地址放入受保护网络的访问白名单中。而且为了安全,这个设施会阻止不安全的协议(比如 HTTP )。
    我可以想象到这样的具体使用情景:
    我在外面想要看家里的监控摄像头,我不希望让别的人能够有机会访问到我的摄像头,所以它会阻拦所有不在白名单里的主动传入连接。我登录到自己的认证服务,它记录下了我的 IPv6 地址并为我放行。
    尽管有点像 IPSec 传输模式而且不如它安全,但是对于访问内部的带加密的服务来说是足够安全的,而且对于客户端来说非常轻量级。
    现在有没有厂商提供这种方案?
    21 条回复    2022-01-22 01:15:53 +08:00
    ltkun
        1
    ltkun  
       2022-01-19 07:53:22 +08:00 via Android
    简单的解决方案就是 摄像头放局域网 局域网设置 vpn 或者其他可以访问内网的服务 需要的时候登录 vpn 查看 外网不能访问很安全 我现在所有应用基本上都是这么干的
    kokutou
        2
    kokutou  
       2022-01-19 08:05:33 +08:00
    只要是个防火墙都是默认阻止外部访问.

    自己搞个网站搞个 portal 认证, 开个 nginx 架上去, nginx 自己就会记录所有的访问日志
    fengchen0vr
        3
    fengchen0vr  
       2022-01-19 08:11:24 +08:00 via iPhone
    家庭网关应该带防火墙,重要的设备应该也带
    我 pc 的 eset ping6 都拦截,不晓得以后 ping6 会不会被滥用
    villivateur
        4
    villivateur  
       2022-01-19 08:29:04 +08:00 via Android
    openwrt 都是默认屏蔽传入 ipv6 连接的
    wslzy007
        5
    wslzy007  
       2022-01-19 08:43:15 +08:00
    @HawkinsSherpherd 安全访问摄像头这类需求没这么复杂,参考: https://cloud.tencent.com/developer/article/1926888
    Elissa
        6
    Elissa  
       2022-01-19 09:15:04 +08:00
    光猫拨号就是这样的,ipv6 是通,但是端口该拦截还是拦截,外面进不来。安全访问的话改桥接拨号,自己架设认证服务
    xiaooloong
        7
    xiaooloong  
       2022-01-19 09:44:50 +08:00
    你说的就是「防火墙」的功能。
    SkyFvcker
        8
    SkyFvcker  
       2022-01-19 09:53:11 +08:00
    我个人是 nginx 给内网服务(摄像头、Home Assistance )做了个反向代理,然后 cloudflare 转发到 Nginx 。Client 到 Cloudflare 用 SSL 双向认证。安装证书的 client 甚至不需要登录就能很安全的访问内网资源。
    LnTrx
        9
    LnTrx  
       2022-01-19 10:25:30 +08:00
    Port knocking 符合要求么
    PerFectTime
        10
    PerFectTime  
       2022-01-19 10:31:44 +08:00
    有没有一种可能?你说的这个东西叫防火墙
    kxuanobj
        11
    kxuanobj  
       2022-01-19 10:54:41 +08:00
    @PerFectTime 像是带 port knocking 的防火墙?

    你这种想法是会提高安全性。但没办法在大规模部署后还能提高安全性。因为 IP 路由协议的问题,**伪造 IP**是一件很容易的事。作为安全方案,这就是它的致命弱点。

    这样就很难把它作为一个正式的商业产品推广。
    kxuanobj
        12
    kxuanobj  
       2022-01-19 10:56:48 +08:00
    补充一下。伪造 IP 很容易是伪造数据包源 IP 。即可以很容易作为某个 IP 发数据,但很难按照 IP 路由收到回应包。
    Akiio
        13
    Akiio  
       2022-01-19 10:58:02 +08:00
    这不就是说的零信任吗,现在很多公司都在搞,以后甚至页面不需要写认证,只需要认证访客,系统层面的认证已经没有意义了。
    tankren
        14
    tankren  
       2022-01-19 12:43:58 +08:00
    我用 pfsense 防火墙
    acess
        15
    acess  
       2022-01-19 17:11:02 +08:00 via Android
    我以前都是在路由器上开 ssh 端口转发来访问内网的东西,不过很显然这样效率比较差,只是那个时候网速也不快所以问题不明显。
    ericww
        16
    ericww  
       2022-01-20 00:24:59 +08:00 via iPhone
    @xiaooloong 防火墙 +1
    geekvcn
        17
    geekvcn  
       2022-01-20 01:19:29 +08:00 via iPhone
    光猫,路由器 IPv6 防火墙都是默认禁止入站的,你能想到的,设备商早想到了
    xbiyy
        18
    xbiyy  
       2022-01-20 10:37:27 +08:00
    楼主的意思是自动配置的防火墙,认证过的设备可以在公网动态接入,而不用一条条配置防火墙规则

    如果 vpn 连接回家,每次需要挂 vpn ,或者一直挂着 vpn

    理想情况是对设备进行一次认证,然后就可以通过 ipv6 直连回家,而不用再挂 vpn ,而其他设备默认阻拦

    不知道 AD 域控+证书是不是能够实现
    thevita
        19
    thevita  
       2022-01-20 13:36:35 +08:00
    给 IP 授权需要解决的问题可能并不少,
    要不直接上零信任吧
    yundun2021
        20
    yundun2021  
       2022-01-20 14:23:50 +08:00
    零信任零信任,给用户加一层验证即可
    Archeb
        21
    Archeb  
       2022-01-22 01:15:53 +08:00
    挺有意思的,防火墙本身提供一个接入 Portal 这个想法我好像还没见过厂商做,可以算是加强版的 Port Knocking ?

    类似的东西倒是有,比如 Sakura Frp 的访问认证功能:开启之后在 Frp 映射的端口启动一个 Web ,让你输入密码,授权了当前访问的 IP 之后,客户端才会为这个 IP 提供映射转发。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5795 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:21 · PVG 14:21 · LAX 22:21 · JFK 01:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.