█ 15.08.2018 11:27
Независимо от того, как считаете вы, IPv6 достаточно стремительно развивается. Думаю, что в ближайшие несколько лет этот протокол будет играть значительно большую роль, чем сейчас. Соответственно, надо бы разобраться, как оно работает и принципы защиты в этой сети. О защите я и предлагаю поговорить.
Особенность IPv6, среди прочего, в том, что NAT там отсутствует в принципе. Т.е. все устройства раз, внезапно, оказываются голым задом в интернет. Это забывать нельзя. Соответственно, надо бы как-то на шлюзе основное позакрывать.
Обязательно прикрыть 445 и 22 порты, как наиболее часто атакуемые.
Соответственно, если у вас в сети есть прокси и RDP, то лучше бы в цепочке FORWARD упомянуть и их. Обратите внимание, что речь идет не о том Firewall, который работает в обычном IPv4, стенка для IPv6 другая. И не надо закрываться на каждом устройстве, управление должно быть централизованным, т.е. на рутере, через который проходит весь IPv6 траффик.
Настоятельно рекомендую отключать всякие Teredo и 4to6 на серверах и рабочих станциях. Пропустите зловреда в сеть - замучаетесь потом его выковыривать.
Если в сети есть что-то беспарольное для внутреннего доступа, например, SMTP (почтовик) или какие-то веб-интерфейсы, их тоже надо закрыть. Возможно, что какие-то порты лучше сменить с умолчательных.
Можно наставить ловушек для тех, кто исследует диапазон. Делаются они элементарно просто, подключения на наиболее часто атакуемые порты должны вести к бану IP, как для INPUT, так и для FORWARD цепочек. Например, если кто-то проверил у вас 3128 снаружи - в бан его на неделю.
Подскажите, если я что-то забыл, что надо сделать на рутере?
Особенность IPv6, среди прочего, в том, что NAT там отсутствует в принципе. Т.е. все устройства раз, внезапно, оказываются голым задом в интернет. Это забывать нельзя. Соответственно, надо бы как-то на шлюзе основное позакрывать.
Обязательно прикрыть 445 и 22 порты, как наиболее часто атакуемые.
Соответственно, если у вас в сети есть прокси и RDP, то лучше бы в цепочке FORWARD упомянуть и их. Обратите внимание, что речь идет не о том Firewall, который работает в обычном IPv4, стенка для IPv6 другая. И не надо закрываться на каждом устройстве, управление должно быть централизованным, т.е. на рутере, через который проходит весь IPv6 траффик.
Настоятельно рекомендую отключать всякие Teredo и 4to6 на серверах и рабочих станциях. Пропустите зловреда в сеть - замучаетесь потом его выковыривать.
Если в сети есть что-то беспарольное для внутреннего доступа, например, SMTP (почтовик) или какие-то веб-интерфейсы, их тоже надо закрыть. Возможно, что какие-то порты лучше сменить с умолчательных.
Можно наставить ловушек для тех, кто исследует диапазон. Делаются они элементарно просто, подключения на наиболее часто атакуемые порты должны вести к бану IP, как для INPUT, так и для FORWARD цепочек. Например, если кто-то проверил у вас 3128 снаружи - в бан его на неделю.
Подскажите, если я что-то забыл, что надо сделать на рутере?
█ 15.08.2018 11:34
А есть ввод в курс дела для совсем чайников?)
Вот например для домашнего использования. Я на днях переехал, достал из пыльной коробки роутер, а им, к моему удивлению, оказался Keenetic Ultra, которому уже много лет и я вообще забыл, что когда то покупал его.
Завёл, накатил последнюю прошивку от конца 17! года, т.е. девайс либо еще поддерживается или только недавно перестал поддерживаться. А там ппц тьма всякого в этом роутере. И ВПНы и IPV6 и куча всякого, что может быть и нужно, но хрен знает как настроить и пользоваться.
Даже вот про закрытие портов по умолчанию - я, будучи полу чайником, понимаю о чем речь и зачем оно. А как сделать и с умом - вообще не алё :)
Вот например для домашнего использования. Я на днях переехал, достал из пыльной коробки роутер, а им, к моему удивлению, оказался Keenetic Ultra, которому уже много лет и я вообще забыл, что когда то покупал его.
Завёл, накатил последнюю прошивку от конца 17! года, т.е. девайс либо еще поддерживается или только недавно перестал поддерживаться. А там ппц тьма всякого в этом роутере. И ВПНы и IPV6 и куча всякого, что может быть и нужно, но хрен знает как настроить и пользоваться.
Даже вот про закрытие портов по умолчанию - я, будучи полу чайником, понимаю о чем речь и зачем оно. А как сделать и с умом - вообще не алё :)
█ 15.08.2018 11:40
Ты спрашивай, я либо сразу отвечу, либо самому будет интересно разобраться в том, что это и как настраивается.
VPN сразу убери в сторону, если не знаешь, что это, то тебе это не надо пока.
Первое - свяжись с провайдером и уточни, будет ли тебе IPv6, в каком виде и когда? Не все провайдеры (но вы удивитесь, что многие) предоставляют IPv6, который у нас все больше популярен из-за активности некоторых позорных ведомств. Если провайдер не предоставляет IPv6 то надо валить к другому настраивать, собственно, нечего.
С умом там в целом нечего делать, втыкаешь - оно либо работает, либо нет :) Просто, если в IPv4 у тебя один на один с интернетом, например, рутер, то в IPv6 все устройства являются частью интернета и к ним можно подключиться снаружи, что вызывает некоторые вопросы безопасности у редкообновляемой винды, например.
VPN сразу убери в сторону, если не знаешь, что это, то тебе это не надо пока.
Первое - свяжись с провайдером и уточни, будет ли тебе IPv6, в каком виде и когда? Не все провайдеры (но вы удивитесь, что многие) предоставляют IPv6, который у нас все больше популярен из-за активности некоторых позорных ведомств. Если провайдер не предоставляет IPv6 то надо валить к другому настраивать, собственно, нечего.
С умом там в целом нечего делать, втыкаешь - оно либо работает, либо нет :) Просто, если в IPv4 у тебя один на один с интернетом, например, рутер, то в IPv6 все устройства являются частью интернета и к ним можно подключиться снаружи, что вызывает некоторые вопросы безопасности у редкообновляемой винды, например.
█ 15.08.2018 11:51
Ок, я тогда вечерами из дома озадачусь с вопросами :)
Часовой пояс GMT +3, время: 17:37.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.