IPv6是否安全?IPv6哪些技术可防网络攻击?IPv6的安全使用方法

时间:2023-10-01 18:07:03编辑:路由君

--用IPv6多年的老Geek聊聊你们最关心的v6公网安全 【好玩的网络-IPv6专题2】

科技 计算机技术 NAS 网络安全 IPv6 软路由 内网穿透 校园网免流 好玩的网络

本期提要:

1.回顾上一期大家关注的问题并解答

(附上一期视频传送门)

每家每户都有的ipv6,你会用吗?下载加速?校园网免流?内网穿透 - 西瓜视频

2.网络攻击方式?

3.IPv6如何应对这些网络安全问题?

4.既想要IPv6的优点,又想远程安全访问,可以实现吗?

可以!(附赠两套方案供君食用)

本期视频传送门:

IPv6是否安全?IPv6哪些技术可防网络攻击?IPv6的安全使用方法! - 西瓜视频

Hi,各位小伙伴,我是旋律果子,一个专注于网络技术的Geek,也是科技类UP主。上一期我们介绍了一下IPv6的好处和玩法,没看过上一期的朋友,可以先去看一下上一期

(每家每户都有的ipv6,你会用吗?下载加速?校园网免流?内网穿透 - 西瓜视频)

上一期大家的关注点基本集中在:IPv6网络安全问题、如何获取IPv6,以及具体使用的问题上。我们先简单回复一下上一期的问题。

1.答疑

1.1家庭用户如何要到IPv6?

答:直接打电话给运营商,让运营商分配。

运营商不给或者说没有,请看果子的上一期(每家每户都有的ipv6,你会用吗?下载加速?校园网免流?内网穿透 - 西瓜视频)。IPv6已经发展了30多年,技术已经成熟,且GXB多次发文要求普及,几乎不可能没有。

运营商给了IPv6之后,内网如何设置?这些技术细节,请持续关注,后续会出一系列视频进行讲解。

1.2 IPv6和速度有什么关系?

答:首先,IPv6的公网属性,影响建立连接的难易程度,而用IPv4没公网就得打洞,这在上一期视频有提到(每家每户都有的ipv6,你会用吗?下载加速?校园网免流?内网穿透 - 西瓜视频),是IPv6连接数量比IPv4多的原因。其次,IPv6的路由表比IPv4精简,易做路由汇总,路由效率更高,所以IPv6网络性能更好。

1.3 开了IPv6,网络更卡,有些网页打不开?

答:这些不是IPv6本身的问题,是设置的问题,欢迎持续关注,后续会介绍设置问题。

1.4公网IPv6安全吗?我要不要开IPv6?

答:先说结论,(1)如果您的是标准化家用设备,没破解或者没有魔改过,比如光猫,家用路由器,可放心开IPv6,最多可能不太好用,但不会造成安全问题。(2)如果您的是openwrt之类的软路由,如果要开IPv6的话,一定要看完本期图文或本期视频。

果子本人至少使用IPv6六年,之前只有校园网有IPv6,2020年,果子的家庭宽带也要到了IPv6。

这期主要讲,要不要开启IPv6功能?IPv6有哪些安全措施来保障网络安全?为何果子从不担心IPv6的网络安全问题?这一期不讲技术细节,小白都可以看懂。看完之后,您马上能判断要不要使用IPv6。

提到网络安全,就要聊到网络攻击方式了。

2.网络攻击方式

2.1 可以忽略不计的攻击方式

局域网内的攻击方式。

对于IPv4网络,有arp攻击这种来自局域网的攻击,对于IPv6有类似的利用邻居发现协议来攻击的,这一类都是局域网内的,家用环境不太容易发生类似的攻击,所以我们不用管这些。

2.2 需要小心的攻击方式

来自公网的攻击。

来自公网的攻击有ddos攻击,以及端口扫描破解。

ddos这种攻击主要是发送大量的连接请求,让服务器处理不过来,把服务器直接给弄死机的。这个对于IPv4和IPv6来说都是一样的。

另外,如果攻击者使用ddos对家用设备攻击,没有任何的商业价值,所以家庭用户根本就不用担心这一点。

我们最关心的是端口扫描类的攻击,例如SSH,SMB,远程桌面,破解Web管理密码这种攻击,这些攻击会让你的设备彻底沦陷,成为攻击者的跳板机,或者肉鸡。这种攻击一旦成功,会造成信息泄漏的问题,例如获取NAS内的数据,获得监控摄像头的画面,非常危险。

3.IPv6如何应对这些网络安全问题?

我们站在攻击者的角度来看看IPv6是怎么应对这些网络安全问题的。

3.1使攻击者难以获取您的IP地址

3.1.1攻击者要找到IP地址进行攻击,约等于在沙漠里找到特定的那一枚沙子

首先,攻击这些设备,最基本的是,要找到IP地址。

IPv4地址是32位的二进制数字,而IPv6地址是128位的二进制数字,两者相差96位,这是什么概念呢?也就是说IPv6地址的数量是IPv4的2的96次方倍。这个数量,足够给全世界的每一粒沙子都分配一个不同的IPv6地址。

如果进行盲目扫描的话,攻击者干的事情就是沙漠里找到特定的那一枚沙子的事情,相比攻击家庭用户来说,值得嘛?

这里我就拿我这边22号端口的扫描日志来举个例子,这个服务器是IPv4和IPv6双栈放到公网上的,发现大部分攻击者都是针对IPv4的,拿IPv6来扫描攻击的,一个都没有。

3.1.2用户主动暴露IP地址

攻击者想要获取到IP地址,第二种方式,就是用户自己主动暴露地址,比如当你无意间通过IPv6访问某非法站点时,这个站点就知道了你的IPv6地址。

IPv6应对这类攻击的方法是,可以自动配置临时IPv6地址。有时候你会观察到自己的网卡上有3个IPv6地址,第一种是FE80开头的这种,这种叫链路本地地址,只能在同一个交换机相连的情况下进行通讯,也无法被路由,在外面根本就访问不到。

还有两个地址都是被路由器分配或者设备根据路由通告协议自动配置的,都可以是公网IPv6地址。

一种是临时地址,一种是稳定的地址。

其中,我们使用临时地址进行访问,这也是攻击者看到的地址。但这个地址是经常变化的。所以攻击者没法长久抓到你的地址。

如果咱们想从外面访问进来,可以使用这个稳定的地址回来。

这个是IPv6本身的安全策略。另外,对于家庭用户而言,运营商分配的也是动态公网IPv6地址,这在安全层面又多了一份保障。

总结:IPv6地址多,而且还经常变,攻击者根本就找不到你。这就是IPv6在第一层的防御,相比IPv4来说,是更安全的。

假设攻击者通过某种手段,获得了您的公网IPv6地址,这种情况是否容易受到攻击呢?

3.2封闭高危端口、限制主动转发

果子之前出过网络安全相关的视频,欢迎感兴趣的朋友私信果子要链接合集。

这里,我们只需要知道,针对“破解”或者说是“端口扫描”这一类的攻击,至少都要到传输层才有可能被攻击。

也就是说,获得IPv6地址的主机必须有服务是开启的状态,并且监听了对应的端口。

例如,服务器22号端口远程登陆的ssh服务,群晖NAS的5001端口的web管理后台,监控摄像头554端口的rtsp流媒体,445端口的smb共享等。

大家想想,家里有哪些设备是开启服务的呢?常见的,如,NAS,网络摄像头,网络打印机,以及开启了远程登录功能的电脑等等。这些设备需要特别注意网络安全问题。

而像手机这种设备就不会对外开启服务。而且,当你的手机开流量时,本来就有IPv6地址。你也无法关闭IPv6。但手机没有开启对外服务,所以是安全的。

那么当局域网有NAS这种服务器设备时,安全问题是怎么解决的呢?

3.2.1封闭高危端口

在运营商层面是通过封闭高危端口来实现的,比如80,443端口等。2017年肆虐全球的勒索病毒就是通过445端口、永恒之蓝漏洞传播,造成了全球互联网的灾难。后面通过封闭445端口,在某种程度上阻断了这种病毒。

3.2.2限制主动转发

在设备层面,网关设备通过防火墙限制IPv6的wan to lan主动转发来保证内网安全。

网关设备就是连接内外网的设备,例如光猫以及家用路由器。

即便你的内网设备获取到了公网IPv6地址,外面的设备也不能主动访问进来。目前所有的标准化家用路由器和光猫,都是默认开启了此限制转发规则,并且无法关闭。这就是当你发现内网的NAS有公网IPv6,但是从外面访问不进来的原因。不过有一点比较坑的是,这个防火墙的规则用户无法自己设置,而且,防火墙也无法关闭。这种方式虽然安全,但是也严重限制了IPv6的使用,尤其是有远程访问需求的用户。

总结:运营商和消费级路由器厂商把转发关了,把端口封了,外面的人即使知道您的IPv6地址,也过不来。

但是,centos,openwrt,routeros等软路由,带有防火墙功能,是能详细控制防火墙规则的,这种需要好好设置,并得注意网络安全问题。后续的视频将会给大家介绍怎么设置这些规则,欢迎大家持续关注。

4.既想要IPv6的优点,又想远程安全访问,可以实现吗?

当然可以啦!

如果既想享受IPv6的优点,比如使用IPv6访问IPv6专属的网站,又想远程访问,还想网络安全,有没有什么办法解决呢?

4.1实现“既要...又要...”的Plan A

在IPv4里有一个技术,大部分粉丝应该都很熟悉,就是NAT,network address translation,网络地址转换,包括IP伪装和端口映射。

这项技术在发明之初不是为了解决IPv4枯竭的问题,而是为了解决内网安全问题。NAT技术能将很多内网地址伪装成公网IP地址,内网能访问出去,而从外网访问不到我们的内网设备,保障了内网设备的安全。如果在主路由中做了端口映射,那么从外网就能访问到特定的内网主机。

同样的,IPv6也可以使用这个技术。路由器可以给内网设备分配局域网IPv6地址,然后在主路由中做端口映射,这样从外网就能访问到内网设备了。这样既具备IPv6基本的访出功能,也保证了网络安全,又能从外网访问到内网的特定设备。目前Linux类的软路由,如centos,openwrt等,都能实现这个功能,具体细节后续更新的视频会进行介绍,欢迎持续关注。

利用IPv6实现远程访问,除了端口映射之外,还可以和IPv4地址配合使用实现远程访问。

4.2实现“既要...又要...”的Plan B

这种要求更低,只需要主路由有公网IPv6地址,而对内网设备是否有IPv6地址没有限制。内网设备是否有IPv6,只影响内网设备的IPv6访出功能。下面我们来看一下怎么实现。

利用wireguard、openvpn之类的工具在外网设备和主路由之间搭建一条IPv6的网络隧道,因为IPv6都是公网,所以隧道是可以直连的。在这个隧道内走IPv4,相当于两边的网络层是通的,只需要配置路由,IPv4可以互相访问。如果想要在外面访问内网的设备,直接访问局域网IPv4地址即可。刚才说的客户端几乎是全平台支持,无论是windows、macos、linux,还是ios、安卓,都能使用。而主路由也只需要用linux类的软路由即可,如centos,openwrt等。

这也是校园网免流的基础,实现校园网免流也很简单,只要在上面的基础上稍微修改一下静态路由和默认网关即可实现免流。

这种方式因为内网的设备没有获取到公网IPv6地址,所以不存在网络安全问题。

具体的技术大家可以先查一下资料,如果大家对IPv6感兴趣,希望多多支持,如果大家喜欢IPv6专题,后续果子可以与大家聊聊具体的技术。

最近,果子把与网络相关的教程整理成一个系统的文档,关注或者订阅后,可以向果子索要,建议使用电脑观看。如果有类似网络工程的需求,软路由NAS搭建,也可以直接联系果子。

这期,我们聊了一下IPv6的网络安全问题,现在,您清楚开启IPv6是否安全了吗?知道用什么方式使用IPv6了吗?有问题可以评论区留言,果子可能会通过直播或录制视频的方式进行回复。有需要可以私信,也可以从视频简介或者评论区(有联系方式)找到果子。

我是旋律果子,一个网络极客,我们下期再见。

图文编辑:旋律果子 猫小爪

上一篇:网络安全周 科普小贴士 路由器要增加密码强度

下一篇:家用路由器会遭受攻击吗?