¿Es IPv6 con NAT menos seguro que IPv4?

Navega tus respuestas
9

Este es un seguimiento de un fragmento de otra respuesta .

Allí, el usuario Ninefingers escribe:

  

(...) solo permite conexiones salientes, siempre. Haga esto a pesar de NAT, ya que IPv6 hará que esas defensas NAT desaparezcan .

¿Alguien puede explicar qué significa esto? O, más bien, cómo afecta esto al usuario promedio que tiene su (s) PC (s) Windows 7 funcionando detrás de su enrutador local que está haciendo NAT y conectándose al módem DSL.

    
pregunta Martin 03.10.2011 - 10:12
fuente

3 respuestas

8

Sí, puedo.

IPv4, debido al tamaño del grupo de direcciones, siempre ha tenido una técnica llamada Traducción de direcciones de red. En una vista simplista, supongamos que se le asigna la dirección IP (no válida) para su enrutador 256.10.20.30 (uso direcciones no válidas para que la gente no haga ping a ellos, etc.). Localmente, su enrutador es 192.168.0.1 y su host es 192.168.0.2 así: 

/----------\       /-------------------------------\       /----------------\
| Internet |-------| Your router                   |-------| A computer     |
\----------/       | Internet sees as 256.10.20.30 |       | has only:      |
                   | You see as 192.168.0.1        |       | 192.168.0.2    |
                   \-------------------------------/       \----------------/

Como tal, su enrutador aparece en Internet como una dirección IP pública; sin embargo, a menos que enrute conexiones en puertos desde el enrutador a una computadora en el rango de direcciones IP privadas, las computadoras en el lado de la LAN privada no son direccionables directamente desde Internet. La ruta realiza dos funciones: NAT y enrutamiento.

En IPv6 hay muchas direcciones. La idea fundamental es que no hay rangos de direcciones IP privadas (lo que no es exactamente cierto; existe un RFC para eso) y, como tal, la situación de IPv6 se ve así: 

/----------\       /-------------------------------\       /----------------\
| Internet |-------| Your router                   |-------| A computer     |
\----------/       | Internet sees as 2000::...    |       | has:           |
                   | You see as 2000::...          |       | 2001::...      |
                   \-------------------------------/       \----------------/

En realidad, no hay suficiente espacio en estos cuadros para escribir las direcciones completas, pero en el modelo IPv6, el enrutador realiza su función de enrutamiento (lleva los paquetes a las computadoras en la LAN), pero de manera crucial aquí, ambos enrutan y a Internet, en lugar de enrutar / NATing hacia afuera.

El efecto de esto es que el caso predeterminado para IPv4, es decir, que las computadoras domésticas no son accesibles directamente por el hecho de que no tienen una dirección IP a menos que el enrutador sepa que la conexión se desactiva. La computadora se vuelve direccionable desde Internet, como un servidor.

Claramente, dichas conexiones aún pueden tener firewall, y los firewalls niegan todas las conexiones entrantes (no iniciadas por el cliente), sin embargo, ha perdido la necesidad de configurar explícitamente su enrutador para enrutar paquetes de Internet hacia usted. Si el cortafuegos no filtra el paquete entrante, el cliente debe poder manejarlo. Por lo tanto, existe un riesgo de seguridad ligeramente mayor para los usuarios domésticos que utilizan IPv6.

Espero (¿espero?) la mayoría de los enrutadores domésticos se configurarán con esta configuración de firewall. Como tal, si bien el riesgo aumenta ligeramente, es probable que la amenaza de las vulnerabilidades de los navegadores (las "cosas salientes") empequeñezca.

    
respondido por el user2213 03.10.2011 - 18:09
fuente
4

NAT es una solución al problema de escasez de direcciones IPv4: ocultas muchos sistemas detrás de una dirección IP. Con IPv6, un usuario final tendrá muchas direcciones, por lo que la necesidad de NAT desaparecerá. Esto es genial desde el punto de vista de la red, ya que NAT es un truco feo (desde la perspectiva de la red) que dificulta muchas aplicaciones.

Sin embargo, desde un punto de vista de seguridad, NAT proporciona cierta seguridad al ocultar sus sistemas detrás de un firewall (ese enrutador NAT). Este enrutador NAT debe configurarse explícitamente para reenviar las conexiones entrantes a los hosts internos (sin tener en cuenta UPnP). Cuando NAT desaparece y todos sus sistemas tienen una dirección IPv6 única, accesible globalmente, el malware puede abrir una conexión de escucha para la conexión.

    
respondido por el chris 03.10.2011 - 11:39
fuente
3

El primer problema, que me viene a la mente, es que puedes tener una conexión IPv6 de la que ni siquiera estás enterado.

Microsoft Windows tiene soporte integrado para Teredo . Teredo tuneliza IPv6 a través de paquetes UDP de IPv4. Esto proporciona conectividad IPv6 dúplex completa.

Además, Teredo está diseñado para funcionar a través de NAT IPv4: el cliente envía regularmente consultas al relé Teredo más cercano. Si este relé tiene paquetes para el cliente, responderá y el NAT dejará pasar la respuesta. Estos paquetes pueden contener un intento de conexión desde el exterior.

Algunos programas pueden activar el soporte de Teredo, uTorrent (ver Anuncio de la versión 1.8 Build 7237 ) incluso lo hizo automáticamente por defecto.

    
respondido por el Hendrik Brummermann 03.10.2011 - 11:29
fuente

Lea otras preguntas en las etiquetas

¿Existe alguna distribución de Linux o parche de kernel que borre el espacio de la memoria del proceso después de que el proceso finalice? ¿Alguna falla en este modelo de seguridad para un servicio web REST?