Bloqueo de paquetes ipv6 con firewall, si se usa un enrutador ipv4

1

Un enrutador no es compatible con ipv6. Hay una máquina conectada al enrutador, a la que el enrutador le asigna una dirección ipv4. La máquina utiliza software de cortafuegos.

Al configurar el servidor de seguridad de la máquina, todo el tráfico entrante debe estar bloqueado, excepto un servicio. ¿Es suficiente para que el servidor de seguridad de la máquina acepte / rechace paquetes ipv4 solamente, o también debe configurarse para aceptar / rechazar paquetes ipv6?

    
pregunta Aaron Thomas 24.11.2017 - 21:23
fuente

3 respuestas

2

Las otras respuestas son engañosas, así que aquí está mi opinión:

Sí, debe bloquear IPv6 en el firewall de la máquina o deshabilitar IPv6 en la máquina por completo.

Aquí es por qué:

Si bien el enrutador no es compatible con IPv6 (en este momento) y, por lo tanto, no se enruta el tráfico de IPv6 desde dispositivos externos, el enrutador también actúa como un conmutador de nivel 2, por lo que internamente, ya que IPv6 funciona bien sin un servidor DHCP. El tráfico IPv6 podría funcionar bien.

Ahora, dado que IPv6 es la única forma de acceder a algunos servicios hoy en día, uno de sus usuarios podría establecer un túnel IPv6 a través de IPv4 (lo cual es posible y no es muy difícil de hacer) para usar estos servicios.

Si ahora el túnel y / o la máquina están mal configurados, si puede actuar como un enrutador IPv6 a través de la conexión IPv4, cambiar las mareas en el conjunto de "paquetes IPv6 no puede alcanzar esa máquina".

También vale la pena señalar que incluso dejar los puertos abiertos para los usuarios internos puede suponer un riesgo para la seguridad. Por lo general, esto se aplica a las personas que ahora saben que IPv6 está habilitado y que definen las reglas de firewall para IPv4 y piensan que están listas, hasta que el malware (android? Esos son básicamente los portadores de malware sin parches) tenga acceso a su red.

    
respondido por el Tobi Nary 25.11.2017 - 08:20
fuente
1

Si el enrutador no admite IPv6, no enrutará los paquetes de IPv6, por lo que no tiene que preocuparse por los ataques de IPv6 desde Internet (como han dicho otros).

Sin embargo, es probable que aún valga la pena configurar las reglas de firewall para IPv6 para protegerse contra el tráfico malicioso que se origina en su red local (Smart TV, la computadora portátil infectada de su amigo, etc.).

Si en realidad no usas IPv6, solo necesitas una regla.

    
respondido por el dogoncouch 25.11.2017 - 07:00
fuente
-1

Si el enrutador no admite IPv6, no necesita hacer nada, ya que no puede enrutar esos paquetes en absoluto.

Puede comprobar fácilmente. Si su enrutador es compatible con IPv6, tendrá una serie de configuraciones relacionadas con él. Normalmente, también habrá una bandera que la apaga por completo.

También puede verificar en una PC conectándose al enrutador y reiniciando. Si su conexión de red tiene una dirección IPv6 que comienza en FE00 (enlace local) o FC00 o FDnn (Direcciones locales únicas - ULA), entonces tiene una dirección no enrutable que no se puede enrutar a través de Internet.

    
respondido por el Julian Knight 24.11.2017 - 21:46
fuente

Lea otras preguntas en las etiquetas