ความรับผิดชอบของเจ้าของ IPv6 คืออะไร

28

อาศัยอยู่หลังเราเตอร์ระดับผู้บริโภคสำหรับอดีตที่น่าจดจำฉันคิดว่าฉันได้รับผลข้างเคียงของ NAT สำหรับการอนุญาตซึ่งฉันมีภาระในการส่งต่อพอร์ตเมื่อฉันต้องการแทนที่จะต้องจัดการพวกเขาด้วยซอฟต์แวร์ไฟร์วอลล์

หากไม่มีปัญหาการแปลที่อยู่ในการแก้ปัญหาด้วย IPv6 และหากยังคงใช้พอร์ตอยู่ตอนนี้ฉันต้องรับผิดชอบในการจัดการหรือไม่? สิ่งใดที่เบี่ยงเบนการตรวจสอบปริมาณการใช้งานในโลก IPv6 โดยอัตโนมัติ

ฉันต้องพยายามป้องกันสิ่งต่าง ๆ เช่นการปิดกั้นการร้องขอ RPD หรือ SSH หรือไม่หรือฉันควรมั่นใจในระบบปฏิบัติการสมัยใหม่ที่ได้รับการปรับปรุงช่วยให้ฉันไม่ต้องคิดถึงสิ่งเหล่านี้หรือไม่?

หาก ISP กำลังส่ง IPv6 จำเป็นต้องเข้าใจว่าชาวเน็ตโดยเฉลี่ยก่อนที่จะเปิดใช้งานหรือไม่

security ipv6

— หลุยส์
แหล่งที่มา

4

ดู: serverfault.com/questions/184524/…

— Zoredache

@Zoredache ขอบคุณฉันจะใช้เวลาสักครู่เพื่อบริโภคทั้งหมดนี้

— หลุยส์

สิ่งที่ควรค่าแก่การค้นหาเมื่อคุณตัดสินใจตั้งค่า ipv6 เป็นกลไกที่ ISP ของคุณใช้ - Mine ใช้ ipv6rd บนสายเคเบิลและ SLAAC บน fibre นอกจากนี้ฉันยังทราบด้วยว่า ipv6 ไม่ใช่ทั้งหมดหรือไม่มีอะไรเลย - ฉันปิดการใช้งาน ipv6 บน ระดับต่อระบบ - หากคุณไม่ต้องการมันเป็นเรื่องเล็กน้อยที่จะปิดมัน ..

— Journeyman Geek

@ JourneymanGeek จะทำ ฉันได้ปิดการใช้งานที่เราเตอร์แล้วเพราะฉันรู้สึกได้ว่าไม่มีอะไรที่เหมือนกับการป้องกันตามปกติที่มีอยู่จริงซึ่งถูกเสนอให้เป็นบริการและฮาร์ดแวร์กำลังทำการตลาดให้ฉัน ฉันยังไม่กล้าที่จะปิดการใช้งานใน Windows แต่เนื่องจากที่อยู่ในท้องถิ่นนั้นเป็นที่ต้องการของบริการและซอฟต์แวร์บางอย่างและฉันไม่ทราบว่าการสร้างใหม่นั้นหมายความว่าอย่างไร

— หลุยส์

32

เมื่อใช้ IPv6 เพื่อส่วนที่ดีขึ้นของทศวรรษนี้และดูการเปลี่ยนแปลงที่ผ่านไปฉันมีมุมมองเล็กน้อยเกี่ยวกับเรื่องนี้

จุดที่สำคัญที่สุดคือ: NAT ไม่ใช่ไฟร์วอลล์ นี่คือสองสิ่งที่แตกต่างอย่างสิ้นเชิง ใน Linux นั้นมีการใช้งานเป็นส่วนหนึ่งของรหัสไฟร์วอลล์ แต่นี่เป็นเพียงรายละเอียดการติดตั้งและไม่จำเป็นต้องใช้กับระบบปฏิบัติการอื่น

เมื่อคุณเข้าใจอย่างถ่องแท้แล้วว่าสิ่งที่เราเตอร์ปกป้องเครือข่ายในบ้านของคุณคือไฟร์วอลล์ไม่ใช่ NAT และที่เหลือก็จะเข้าที่

ในการตอบคำถามที่เหลือให้เราดูที่เฟิร์มแวร์เราเตอร์ IPv6 สดจริง OpenWrt เวอร์ชั่น 14.07 Barrier Breaker ในเราเตอร์นี้ IPv6 จะเปิดใช้งานตามค่าเริ่มต้นและทำงานนอกกรอบโดยใช้ DHCPv6 พร้อมการมอบคำนำหน้าวิธีที่พบได้บ่อยที่สุดที่ ISP จะกำหนดพื้นที่ที่อยู่ให้กับลูกค้า

การกำหนดค่าไฟร์วอลล์ของ OpenWrt เช่นไฟร์วอลล์ที่เหมาะสมจะบล็อกการรับส่งข้อมูลขาเข้าทั้งหมดตามค่าเริ่มต้น มันมีวิธีการตั้งค่ากฎการส่งต่อพอร์ตสำหรับการเชื่อมต่อ IPv4 NATted เนื่องจากเราเตอร์อื่น ๆ ส่วนใหญ่มีมานานหลายปี นอกจากนี้ยังมีส่วนกฎจราจรเพื่ออนุญาตให้ส่งต่อข้อมูลเฉพาะ นี่คือสิ่งที่คุณใช้แทนอนุญาตการรับส่งข้อมูล IPv6 ขาเข้า

เราเตอร์ในบ้านส่วนใหญ่ที่ฉันเคยเห็นด้วยการสนับสนุน IPv6 ยังไฟร์วอลล์ปริมาณการใช้ IPv6 ขาเข้าโดยค่าเริ่มต้นแม้ว่าพวกเขาอาจไม่ได้ให้วิธีง่าย ๆ ในการส่งต่อการรับส่งข้อมูลขาเข้าหรืออาจทำให้สับสน แต่เนื่องจากฉันไม่เคยใช้เฟิร์มแวร์จากโรงงานกับเราเตอร์ที่บ้าน (OpenWrt นั้นดีกว่ามาก ) มันไม่เคยส่งผลกระทบต่อฉัน

อันที่จริงหลายคนกำลังใช้ IPv6 ในขณะนี้และไม่ทราบว่าเป็นกรณีนี้ เมื่อ ISP ของพวกเขาเปิดใช้งานเราเตอร์ในบ้านของพวกเขาจะเลือกการตอบสนอง DHCPv6 และจัดสรรที่อยู่และทุกอย่างที่ใช้งานได้ หากฉันไม่ต้องการมากกว่า / 64 ฉันสามารถเสียบเข้ากับการกำหนดค่าเป็นศูนย์ ฉันต้องทำการเปลี่ยนแปลงหนึ่งครั้งเพื่อให้ได้คำนำหน้าคำที่ใหญ่ขึ้นแม้ว่ามันจะง่ายพอ

ในที่สุดก็มีอีกอย่างหนึ่ง: หากคุณมีระบบบนอินเทอร์เน็ต IPv4 ในวันนี้มันจะได้รับความพยายามในการเชื่อมต่อขาเข้าทุกประเภทในพอร์ตที่หลากหลายพยายามที่จะใช้ช่องโหว่ที่รู้จักหรือรหัสผ่านที่โหดร้าย ช่วงที่อยู่ IPv4 มีขนาดเล็กพอที่สามารถสแกนได้อย่างสมบูรณ์ในเวลาน้อยกว่าหนึ่งวัน แต่ใน IPv6 ในเกือบทศวรรษที่ผ่านมาฉันไม่เคยเห็นความพยายามในการเชื่อมต่อบนพอร์ตใด ๆ เลย ขนาดที่ใหญ่กว่าของส่วนโฮสต์ของที่อยู่ทำให้การสแกนเป็นไปไม่ได้ในช่วง แต่คุณต้องการไฟร์วอลล์ยัง; ความจริงที่ว่าคุณไม่พบจากการสแกนที่อยู่ IP ไม่ได้หมายความว่าคุณไม่สามารถกำหนดเป้าหมายโดยคนที่รู้จักที่อยู่ของคุณแล้วเพราะพวกเขาได้รับที่อื่น

กล่าวโดยทั่วไปแล้วคุณไม่ต้องกังวลเกี่ยวกับปริมาณการใช้งาน IPv6 ที่เข้ามามากเกินไปเพราะจะถูกไฟร์วอลล์โดยค่าเริ่มต้นและเนื่องจากช่วงที่อยู่ IPv6 ไม่สามารถสแกนได้อย่างง่ายดาย และสำหรับคนจำนวนมาก IPv6 จะมาโดยอัตโนมัติและพวกเขาจะไม่สังเกตเห็น

— Michael Hampton
แหล่งที่มา

ฉันจะเพิ่มด้วยเฟิร์มแวร์ของบุคคลที่หนึ่งที่ฉันใช้ฉันต้องเปิด IPv6 อย่างชัดเจนและอย่างน้อยหนึ่งในนั้นไม่มีไฟร์วอลล์ ipv6 อย่างน้อยกับ ISP และเราเตอร์ของฉันไม่น่าเป็นไปได้ที่คุณจะเพียงแค่รับ ipv6 แล้วเริ่มใช้งาน

— Geek

อืมฉันดูเหมือนจะจำบางอย่างจาก ASUS (อาจจะ) ปิดใช้งาน IPv6 ตามค่าเริ่มต้นและไม่มีไฟร์วอลล์ที่ชัดเจน นั่นมัน

— Michael Hampton

ไม่มีไฟร์วอลล์ ฉันคิดว่าคุณคงจำได้ว่าจากปัญหาที่ฉันมีกับลูกค้า 802.11g

— Geek

OpenWRT เป็น plug-n-play จริงๆ (เกือบ?) ตีถนนออกจากกล่อง: i.stack.imgur.com/cZ0hC.png

— Louis

BTW มันอยู่นอกเหนือประเด็น แต่ฉันชอบ "ที่สุด" ของคุณ ฉันรับรู้ถึง ZMap และพื้นที่แอดเดรส IPv4 ที่สามารถสแกนได้อย่างรวดเร็วด้วยทรัพยากรเพียงเล็กน้อยและฉันสามารถเข้าใจขนาด 2 ^ 32 และคิดถึงสิ่งที่ฉันสามารถใช้เพื่ออธิบาย แต่แม้ว่าที่อยู่ที่เปิดเผยต่อสาธารณชนเป็นเพียงส่วนเล็ก ๆ ของพื้นที่ IPv6 ฉันสามารถเข้าใจได้ว่าฉันไม่เข้าใจขนาด 2 ^ 128

— หลุยส์

13

NAT ทำเรื่องความปลอดภัยน้อยมากจริงๆ ในการใช้ NAT คุณจะต้องมีตัวกรองแพ็คเก็ตที่เป็นของรัฐ

การมีตัวกรองแพ็กเก็ตแบบ stateful ยังคงเป็นข้อกำหนดที่แข็งแกร่งในการรักษาความปลอดภัยด้วย IPv6 คุณไม่จำเป็นต้องแปลที่อยู่อีกต่อไปเนื่องจากเรามีพื้นที่ที่อยู่จำนวนมาก

ตัวกรองแพ็กเก็ต stateful คือสิ่งที่อนุญาตให้ทราฟฟิกขาออกโดยไม่อนุญาตทราฟฟิกขาเข้า ดังนั้นในไฟร์วอลล์ / เราเตอร์ของคุณคุณจะตั้งกฎที่กำหนดว่าเครือข่ายภายในของคุณคืออะไรจากนั้นคุณอาจอนุญาตให้เครือข่ายภายในของคุณทำการเชื่อมต่อขาออก แต่ไม่อนุญาตให้เครือข่ายอื่น ๆ เชื่อมต่อกับโฮสต์ภายในของคุณยกเว้นการตอบคำขอของคุณ . หากคุณใช้บริการภายในคุณอาจตั้งค่ากฎเพื่ออนุญาตการรับส่งข้อมูลสำหรับบริการเฉพาะนั้น

ฉันคาดหวังว่าเราเตอร์สำหรับผู้บริโภค IPv6 จะทำสิ่งนี้อยู่แล้วหรือจะเริ่มใช้สิ่งนี้ในอนาคต หากคุณใช้เราเตอร์ที่กำหนดเองคุณอาจต้องจัดการด้วยตัวเอง

— Zoredache
แหล่งที่มา

ขอบคุณสำหรับลิงก์ cannocal และแบ่งปันสิ่งนั้น ฉันคิดว่าฉันเข้าใจ. เราเตอร์ของฉันไม่รองรับ IPv6 อย่างไรก็ตามมันรันเคอร์เนล Linux และความประทับใจของฉันจากการตั้งค่าก็คือผู้ใช้ที่ได้รับงานนี้มีทั้งผู้เชี่ยวชาญในหลายสิ่งที่ไม่เป็นที่รู้จักกันดีหรือแค่ทดลองแบบสุ่มสี่สุ่มห้า ฉันจะปล่อยให้เรื่องนี้ออกไปเที่ยวสักหน่อย แต่ฉันจะบอกว่าสิ่งใดก็ตามที่ NAT ทำน้อยฉันไม่เคยเห็นโพรบที่ไม่มีที่สิ้นสุดในบันทึกของฉันที่ฉันเห็นบนเครื่องสาธารณะในที่ทำงาน

— หลุยส์

ดังนั้นโดยสรุป: ไม่มีอะไรเปลี่ยนแปลง Consumer IPv6 จะมีการตั้งค่าที่ปลอดภัยอย่างน่าเชื่อถือ ผู้คนที่ต่อโมเด็มโดยตรงจะมีความรับผิดชอบเหมือนกันกับ IPv4 ...

— หลุยส์

1

ไฟร์วอลล์ไม่จำเป็นต้องเป็นของรัฐ ภัยคุกคามส่วนใหญ่ที่ผู้คนกังวลเกี่ยวกับการปรับใช้ไฟร์วอลล์สามารถแก้ไขได้โดยการปฏิเสธแพ็คเก็ต SYN ที่เข้ามาและอนุญาตให้ทุกอย่างอื่น แน่นอนว่าคุณสามารถทำได้ดีกว่าด้วยการใช้ไฟร์วอลไฟร์วอลล์ แต่คุณก็สามารถทำได้ดีกว่า มีหลายกรณีที่การโจมตี DoS ทำให้ไฟร์วอลล์เกิดขึ้นเนื่องจากไฟร์วอลล์มีหน่วยความจำไม่เพียงพอสำหรับการติดตามการเชื่อมต่อ โดยปกติแล้วไฟร์วอลล์จะไม่ทราบว่าการเชื่อมต่อนั้นยังคงอยู่บนเซิร์ฟเวอร์ที่มีการป้องกันอยู่หรือไม่ดังนั้นจึงไม่ทราบว่าการเชื่อมต่อใดที่สามารถลืมได้อย่างปลอดภัยและต้องจดจำ

— kasperd

8

NAT ไม่ใช่ความปลอดภัยจริง ๆ ยกเว้นความสับสนบางอย่างอินเทอร์เน็ตและเครื่องมือส่วนใหญ่ได้รับการออกแบบให้ใช้ตั้งแต่ต้นจนจบอย่างไรก็ตาม ฉันจะปฏิบัติต่อระบบใด ๆ ที่อยู่เบื้องหลัง nat แบบเดียวกับที่ฉันจะปฏิบัติต่อระบบบนอินเทอร์เน็ตเปิด

มันคุ้มค่าที่จะพิจารณากลไกที่แตกต่างกันในการเข้าถึง ipv6 จาก native น้อยที่สุด (Teredo), Tunnels (และมีโปรโตคอลที่แตกต่างกันที่ทำงานได้ดีในสถานการณ์ที่แตกต่างกัน), ipv6rd (เป็นอุโมงค์เรียกใช้ ISP) เป็นวิธีที่ดี เครือข่าย ipv4 ที่มีอยู่) เป็นเจ้าของภาษา (เราใช้ SLAAC และ NDP ที่ฉันเชื่อ)

หากคุณอยู่ในน้อยกว่าอย่างเต็มที่หน้าต่างโบราณกล่อง (XP หรือดีกว่า - แต่ผมไม่ได้มีอะไรเลวร้ายยิ่งกว่ากล่อง SP3 และว่าภายใต้การข่มขู่) คุณอาจจะมีตัวเลือกของที่ไม่ใช่ของพื้นเมืองสนับสนุนเพรียง คุณอาจใช้ ipv6 แล้วและไม่ทราบ ชนิดของ Teredo sucks และยกเว้นในบางสถานการณ์มันมีค่าปิดอย่างชัดเจน

Tunnels ต้องการไคลเอนต์บางประเภทและทำงานได้ดีกว่าการติดตั้งแบบดั้งเดิม

นอกสถานที่นี้แทบจะเป็นไปไม่ได้เลยที่จะตั้งค่าipv6 ดั้งเดิมโดยไม่ได้ตั้งใจ แม้ว่าเราเตอร์ที่ทันสมัยของคุณรองรับคุณจะต้องตั้งค่าอย่างชัดเจนและมีกลไกที่แตกต่างกัน 3-4 อย่างในการใช้งานทั่วไป ISP ของฉันใช้ ipv6rd และ SLAAC ในการเชื่อมต่อทางกายภาพที่แตกต่างกันและคำแนะนำอยู่ในตู้เก็บเอกสารในห้องน้ำ ทางเลือกคืออุโมงค์และนั่นคืองานอย่างน้อยหนึ่งชั่วโมง

ฉันจะปฏิบัติต่อระบบใด ๆ ที่เปิดให้เครือข่าย IPV6 เหมือนกับที่ฉันทำกับระบบอื่น ๆ ที่อยู่บนอินเทอร์เน็ตเปิด หากไม่ต้องการ ipv6 ให้ปิดการใช้งาน มันไม่สำคัญและฉันได้ทำสิ่งนี้กับระบบ XP ของฉันแล้ว ถ้าเป็นเช่นนั้นตรวจสอบให้แน่ใจว่ามันปลอดภัย มีน้อยมากที่ต้องพึ่งพา ipv6 ในช่วงการเปลี่ยนภาพปัจจุบันซึ่งไม่สามารถถอยกลับไปเป็น ipv4 ได้ ข้อยกเว้นหนึ่งที่น่าสังเกตคือโฮมกรุ๊ปใน windows 7 หรือใหม่กว่า

ข่าวดีก็คือระบบปฏิบัติการที่ทันสมัยที่สุดพร้อมด้วยการสนับสนุน ipv6 มีไฟร์วอลล์ของตัวเองสำหรับ IPV6 และคุณไม่ควรมีปัญหามากเกินไปในการล็อคพวกเขาลง

IPv6 ยังมีข้อได้เปรียบแปลก ๆ ด้วย ipv4 คุณมักจะมีช่องโหว่มากมายที่สแกนแบบสุ่มสำหรับพอร์ตเปิด IPv4 NAT ลดผลกระทบเล็กน้อยโดยซ่อนไคลเอ็นต์ไว้หลังที่อยู่ IP หลัก IPv6 ลดผลกระทบจากการมีพื้นที่ที่อยู่จำนวนมากทำให้ไม่สามารถสแกนได้อย่างสมบูรณ์

ในตอนท้ายของวัน NAT ไม่ใช่เครื่องมือรักษาความปลอดภัย - หนึ่งในนั้นหมายถึงการแก้ปัญหาที่เฉพาะเจาะจงมาก (ความยากลำบากในการกำหนดที่อยู่ IP สาธารณะ) ทำให้การเข้าถึงเครือข่ายจากภายนอกค่อนข้างยากขึ้นเล็กน้อย ในยุคที่แฮ็กเราเตอร์เฟิร์มแวร์และบอตเน็ตขนาดใหญ่ฉันขอแนะนำให้ทำการรักษาระบบใด ๆ , ipv4 หรือ 6 ราวกับว่ามันเป็นบนอินเทอร์เน็ตที่เปิดปลายถึงปลายอินเทอร์เน็ต ล็อคมันเปิดสิ่งที่คุณต้องการและไม่ต้องกังวลมากเพราะคุณมีความปลอดภัยที่แท้จริงมากกว่าตำรวจกระดาษแข็ง

— คนงาน Geek
แหล่งที่มา

"NAT ไม่ใช่ความปลอดภัยจริง ๆ ยกเว้นความสับสนบางอย่าง" มันจะสับสนอย่างไรเมื่อพูดถึงเราเตอร์บรอดแบนด์ทั่วไปที่ใช้ NAPT ตัวอย่างเช่นลิงค์อ้างอิงเกี่ยวกับการเข้าถึง NAS ที่บ้าน (เฉพาะ IP ที่ไม่สามารถกำหนดเส้นทางได้) จากภายนอกโดยไม่มีการตั้งค่าที่ชัดเจน? หรือจำเป็นต้องมีอะไรเพิ่มเติมนอกจาก NAPT เพื่อปกป้อง NAS บ้านหลังเราเตอร์ NAPT ทั่วไป

— hyde

2

ดูsecurity.stackexchange.com/questions/8772/... superuser.com/questions/237790/does-nat-provide-securityและipv6friday.org/blog/2011/12/ipv6-nat สาเหตุที่แท้จริงของ Nat นั้นไม่ใช่ความปลอดภัยที่มักจะจับคู่กับไฟร์วอลล์ซึ่งน่าเศร้าที่ไม่ได้รับความเคารพอย่างเพียงพอ ส่งต่อพอร์ตหรือไม่ มันเป็นไฟร์วอลล์ วางแพ็กเก็ตหรือไม่ ไฟร์วอลล์ แน็ตนั้นเป็นบุรุษไปรษณีย์ที่จะส่งมอบจดหมายอย่างมีความสุข ไฟร์วอลล์คือคนที่ได้ยินเสียงฟ้องและเรียกทีมระเบิด

— Geek

2

หากไม่มีปัญหาการแปลที่อยู่ในการแก้ปัญหาด้วย IPv6 และหากยังคงใช้พอร์ตอยู่ตอนนี้ฉันต้องรับผิดชอบในการจัดการหรือไม่?

หากไม่มี NAT ทุกอย่างที่อยู่หลังเราเตอร์ของคุณจะมีที่อยู่ IP สาธารณะที่ไม่ซ้ำใคร

เราเตอร์ทั่วไปสำหรับผู้บริโภคทำหน้าที่หลายอย่างนอกเหนือจากการกำหนดเส้นทาง:

การกรองไฟร์วอลล์ / แพ็คเก็ต / "การตรวจสอบแพ็คเก็ตแบบ stateful"
NAT
DHCP
เป็นต้น

หากไม่จำเป็นต้องใช้ NAT จะไม่จำเป็นต้องใช้แม้ว่าไฟร์วอลล์จะยังคงสามารถใช้งานได้ หากอุปกรณ์ที่ทำการกำหนดเส้นทางไม่ได้ทำการไฟร์วอลล์ (อาจไม่ใช่กรณียกเว้นว่าเป็นเราเตอร์ระดับองค์กร) คุณจะต้องเพิ่มอุปกรณ์แยกต่างหากเพื่อทำเช่นนั้น

ดังนั้นหากคุณต้องการ "เปิดพอร์ต" บนเราเตอร์ IPv6 และถ้าเราเตอร์นั้นทำงานเหมือนกับเราเตอร์ทั่วไปส่วนใหญ่คุณจะบอกส่วนไฟร์วอลล์ของเราเตอร์ของคุณเพื่อให้ทราฟฟิกเข้ามาบนพอร์ต / โปรโตคอลที่คุณต้องการ ความแตกต่างหลักที่มองเห็นได้สำหรับคุณคือคุณไม่จำเป็นต้องระบุ IP ส่วนตัวในเครือข่ายของคุณอีกต่อไป

สิ่งใดที่เบี่ยงเบนการตรวจสอบปริมาณการใช้งานในโลก IPv6 โดยอัตโนมัติ

ไม่มีอะไรนอกจากอุปกรณ์ที่มีฟังก์ชั่นไฟร์วอลล์และตั้งค่าเป็นค่าเริ่มต้นที่เหมาะสมซึ่งอาจเป็นกรณีของเราเตอร์ IPv6 สำหรับผู้ใช้ทั่วไป

ในการสรุปคุณต้องมีสิ่งที่ทำหน้าที่เป็นไฟร์วอลล์เพื่อกรองทราฟฟิกที่คุณไม่ต้องการย้ายผ่านเราเตอร์ของคุณด้วย IPv6

— LawrenceC
แหล่งที่มา

ขอบคุณฉันคิดว่าความสับสนของฉันคือเราเตอร์ของฉันไม่สนับสนุนหรือ บริษัท ไม่ทำเช่นนั้น ดังนั้นฉันจะได้รับที่อยู่ IPv ^ เท่านั้นโดยผ่านมันหรือเจาะเข้าสู่ * nix world ด้วย WW-DRT (ซึ่งก็ไม่สนับสนุน แต่ดูว่ามันทำงานอะไรอยู่) ดังนั้นดูเหมือนว่าการทำงานเป็นสิ่งที่มีความเสี่ยง ... คุณเห็นไหม จริงๆแล้วไม่รู้ว่าเราเตอร์ระดับผู้บริโภคมีอยู่ในใจ

— Louis

เราเตอร์ระดับผู้บริโภคที่ใหม่กว่ารองรับ - ฉันใช้ ipv6 มานานแล้วกับ asus ตัวแรกจากนั้นเราเตอร์ dlink ทั้งคู่พร้อมเฟิร์มแวร์หุ้น อย่างน่าประหลาดใจอัสซุส dosen ไม่มีไฟร์วอลล์ ip65 แน่นอนและฉันยังไม่ได้ตรวจสอบบน dlink เลย จะไม่เจ็บที่จะมีต่อไฟร์วอลล์ระบบ แต่

— Journeyman Geek

ฉันชอบคำตอบเหล่านี้ - ฉันรู้ว่าสิ่งที่ฉันต้องการในตัวต่อไปของฉัน - @ @ JourneymanGeek ที่น่าขบขันทำให้ฉันสงสัยว่าคำถามสุดท้ายของฉันได้รับคำตอบหรือไม่

— หลุยส์

0

เหมือนกับ ipv4 อย่าปล่อยให้คอมพิวเตอร์ของคุณติดมัลแวร์และเป็นส่วนหนึ่งของบ็อตเน็ตที่ใช้ส่งสแปมทำการโจมตี ddos และสิ่งอื่น ๆ ที่ไม่ดีต่ออินเทอร์เน็ต อย่าเรียกใช้บริการที่ไม่ปลอดภัยใด ๆ ที่เปิดเผยต่ออินเทอร์เน็ต และอื่น ๆ

คุณสามารถบล็อก ssh ได้ แต่ถ้าคุณบล็อกรูทล็อกอินและอนุญาตให้ใช้คีย์สำหรับล็อกอินเท่านั้นมันจะทำให้เป็นไปไม่ได้สำหรับทุกคนที่จะแฮ็ค (สมมติว่าคุณมีเวอร์ชั่นล่าสุดทั้งหมด นอกจากนี้คุณยังสามารถใช้สิ่งที่ชอบ fail2ban ซึ่งไม่ได้ปิดกั้นอย่างสมบูรณ์ แต่หลังจากพยายามเข้าสู่ระบบไม่ครบจำนวนหนึ่ง

— orange_juice6000
แหล่งที่มา