IPv6 के मालिक की जिम्मेदारी क्या है?

यादगार अतीत के लिए उपभोक्ता-ग्रेड राउटर के पीछे रहते हुए, मुझे लगता है कि मैंने NAT का साइड-इफ़ेक्ट लिया, इसमें मेरे पास ज़रूरी पोर्ट्स का बोझ था जब मुझे ज़रूरत थी, इसके बजाय उन्हें एक सॉफ्टवेयर फ़ायरवॉल के साथ प्रबंधित करना था।

यदि IPv6 के साथ हल करने के लिए कोई पता अनुवाद समस्या नहीं है, और यदि यह अभी भी पोर्ट का उपयोग करता है, तो क्या अब इसे प्रबंधित करना मेरी जिम्मेदारी है? IPv6 दुनिया में स्वचालित रूप से जांच करने वाले ट्रैफ़िक को क्या दर्शाता है?

क्या मुझे आरपीडी या एसएसएच अनुरोधों को अवरुद्ध करने जैसी चीजों में सक्रिय रूप से बचाव करने की कोशिश करनी चाहिए, या क्या मुझे इन चीजों के बारे में सोचने से मुझे बचाने वाले अद्यतन आधुनिक ओएस में विश्वास होना चाहिए?

यदि कोई ISP IPv6 वितरित कर रहा है, तो क्या इसे सक्षम करने से पहले इसे औसत नेटिज़न द्वारा समझने की आवश्यकता है?

अब एक दशक के बेहतर हिस्से के लिए IPv6 का उपयोग किया है, और परिवर्तनों को देखते हुए, इस पर मेरा थोड़ा दृष्टिकोण है।

यहां सबसे महत्वपूर्ण बिंदु यह है: NAT फ़ायरवॉल नहीं है। ये दो पूरी तरह से अलग चीजें हैं। लिनक्स में यह फ़ायरवॉल कोड के हिस्से के रूप में लागू किया जाना है, लेकिन यह केवल एक कार्यान्वयन विवरण है, और जरूरी नहीं कि अन्य ऑपरेटिंग सिस्टम पर भी हो।

एक बार जब आप पूरी तरह से समझ जाते हैं कि राउटर में आपके होम नेटवर्क की सुरक्षा की बात फ़ायरवॉल है , और NAT नहीं है, तो बाकी जगह गिर जाती है।

आपके शेष प्रश्न का उत्तर देने के लिए, आइए हम एक वास्तविक लाइव आईपीवी 6 राउटर फर्मवेयर, ओपनवर्ट संस्करण 14.07 बारा ब्रेकर पर एक नज़र डालें। इस राउटर में, आईपीवी 6 डिफ़ॉल्ट रूप से सक्षम है और प्रीफिक्स डेलिगेशन के साथ डीएचसीपी 6 का उपयोग करके बॉक्स से बाहर काम करता है, आईएसपी ग्राहकों को पता स्थान प्रदान करने वाला सबसे सामान्य तरीका है।

OpenWrt का फ़ायरवॉल कॉन्फ़िगरेशन, किसी भी उचित फ़ायरवॉल की तरह, डिफ़ॉल्ट रूप से सभी इनबाउंड ट्रैफ़िक को रोकता है। इसमें नैटेड IPv4 कनेक्शन के लिए पोर्ट फ़ॉरवर्डिंग नियमों को स्थापित करने का एक तरीका है, जैसा कि हर दूसरे राउटर के पास सालों से है। विशिष्ट ट्रैफ़िक को अग्रेषित करने की अनुमति देने के लिए इसमें एक ट्रैफ़िक नियम अनुभाग भी है ; इसके बजाय आप इनबाउंड IPv6 ट्रैफिक को अनुमति देने के लिए इसका उपयोग करते हैं।

अधिकांश घरेलू राउटर जिन्हें मैंने IPv6 सपोर्ट के साथ देखा है, डिफ़ॉल्ट रूप से इनबाउंड IPv6 ट्रैफ़िक को फ़ायरवॉल करते हैं, हालाँकि वे इनबाउंड ट्रैफ़िक को अग्रेषित करने का एक आसान तरीका प्रदान नहीं कर सकते हैं, या यह भ्रामक हो सकता है। लेकिन जब से मैं वास्तव में किसी भी घर के राउटर पर फैक्ट्री फर्मवेयर का उपयोग नहीं करता हूं , (ओपनवार्ट इतना बेहतर है ) यह कभी भी मुझे प्रभावित नहीं करता है।

वास्तव में, बहुत से लोग अभी IPv6 का उपयोग कर रहे हैं और बिल्कुल नहीं जानते कि यह मामला है। जब उनके आईएसपी ने इसे सक्षम किया, तो उनके घर के रक्षकों ने डीएचसीपीवी 6 प्रतिक्रियाओं को उठाया और पते और सब कुछ काम किया। यदि मुझे / 64 से अधिक की आवश्यकता नहीं थी, तो मैं इसे शून्य कॉन्फ़िगरेशन के साथ प्लग कर सकता था। मुझे एक बड़ा उपसर्ग प्रतिनिधिमंडल प्राप्त करने के लिए एक बदलाव करना पड़ा, हालांकि यह काफी आसान है।

अंत में एक और बात है: यदि आपके पास आज आईपीवी 4 इंटरनेट पर एक प्रणाली है, तो यह विभिन्न प्रकार के बंदरगाहों पर सभी प्रकार के इनबाउंड कनेक्शन प्रयासों को ज्ञात कमजोरियों या पाशविक बल वाले पासवर्ड का फायदा उठाने का प्रयास करता है। IPv4 एड्रेस रेंज इतनी छोटी है कि इसे एक दिन से भी कम समय में पूरी तरह से स्कैन किया जा सकता है। लेकिन IPv6 पर, लगभग एक दशक में मैंने कभी भी किसी पोर्ट पर इस तरह के कनेक्शन का प्रयास नहीं देखा है। पते के होस्ट-भाग का बहुत बड़ा आकार, स्कैनिंग को लगभग असंभव बना देता है। लेकिन आपको अभी भी फ़ायरवॉल की आवश्यकता है; तथ्य यह है कि आप एक आईपी पते स्कैन से नहीं मिल सकते हैं इसका मतलब यह नहीं है कि आप किसी ऐसे व्यक्ति द्वारा लक्षित नहीं हो सकते हैं जो पहले से ही आपका पता जानता है क्योंकि उन्हें यह कहीं और मिला है।

संक्षेप में, आम तौर पर, नहीं, आपको आने वाले IPv6 ट्रैफिक के बारे में बहुत अधिक चिंतित होने की आवश्यकता नहीं होगी क्योंकि यह डिफ़ॉल्ट रूप से फ़ायरवॉल हो जाएगा, और क्योंकि IPv6 एड्रेस रेंज आसानी से स्कैन नहीं किए जा सकते हैं। और कई लोगों के लिए IPv6 अपने आप आ जाएगा और वे कभी नोटिस नहीं करेंगे।

NAT वास्तव में सुरक्षा के लिए बहुत कम किया था। NAT को लागू करने के लिए आपको मूल रूप से एक पैकेट वाला फिल्टर होना चाहिए।

एक स्टेटफुल पैकेट फ़िल्टर होने के बाद भी IPv6 के साथ सुरक्षित रहना एक मजबूत आवश्यकता है; आपके पास अब पते के अनुवाद की आवश्यकता नहीं है क्योंकि हमारे पास बहुत सारे पते की जगह है।

एक स्टेटफुल पैकेट फ़िल्टर वह है जो आने वाले ट्रैफ़िक की अनुमति के बिना आउटगोइंग ट्रैफ़िक की अनुमति देता है। इसलिए अपने फ़ायरवॉल / राउटर पर आप ऐसे नियम स्थापित करेंगे जो आपके आंतरिक नेटवर्क को परिभाषित करते हैं और फिर आप अपने आंतरिक नेटवर्क को आउटबाउंड कनेक्शन बनाने की अनुमति दे सकते हैं, लेकिन आपके अनुरोधों के जवाब के अलावा, किसी अन्य नेटवर्क को अपने आंतरिक होस्ट से कनेक्ट करने की अनुमति नहीं देंगे। । यदि आप आंतरिक रूप से सेवाएं चला रहे हैं, तो आप उस विशिष्ट सेवा के लिए यातायात की अनुमति देने के लिए नियम निर्धारित कर सकते हैं।

मुझे उम्मीद है कि IPv6 उपभोक्ता रूटर्स या तो पहले से ही ऐसा कर रहे हैं, या भविष्य में इसे लागू करना शुरू कर देंगे। यदि आप कुछ कस्टम राउटर का उपयोग कर रहे हैं, तो आपको इसे स्वयं प्रबंधित करना पड़ सकता है।

एनएटी वास्तव में सुरक्षा नहीं है, सिवाय एक निश्चित प्रकार के अस्पष्टता के। इंटरनेट, और अधिकांश उपकरणों को किसी भी तरह से अंत तक उपयोग करने के लिए डिज़ाइन किया गया है। मैं किसी भी व्यक्ति के नेट सिस्टम के पीछे उसी तरह का व्यवहार करूंगा जिस तरह से मैं खुले इंटरनेट पर एक सिस्टम का इलाज करूंगा।

आईपीवी 6 एक्सेस प्राप्त करने के विभिन्न तंत्रों पर विचार करने के लायक है, कम से कम मूल (टेरेडो), सुरंगों (और अलग-अलग परिस्थितियों में अच्छी तरह से काम करने वाले अलग-अलग प्रोटोकॉल हैं), आईपीवी 6 आरडी (अनिवार्य रूप से एक आईएसपी रन सुरंग है, जो आईपीवी 6 को जल्दी से प्राप्त करने का एक अच्छा तरीका है। एक मौजूदा ipv4 नेटवर्क), देशी के लिए (हम SLAAC और NDP का उपयोग करते हैं, मेरा मानना ​​है)।

यदि आप पूरी तरह से प्राचीन विंडोज़ बॉक्स (एक्सपी या बेहतर - से कम पर हैं, लेकिन मेरे पास एसपी 3 बॉक्स की तुलना में कुछ भी बुरा नहीं है, और यह ड्यूरेस के अधीन है), तो आपके पास शायद गैर देशी, टेरेडो समर्थन का विकल्प है । आप पहले से ही आईपीवी 6 पर हो सकते हैं और इसे साकार नहीं कर सकते हैं। Teredo तरह बेकार है और कुछ स्थितियों को छोड़कर इसके लायक स्पष्ट रूप से इसे बंद कर रहा है।

सुरंगों को किसी प्रकार के ग्राहक की आवश्यकता होती है, और यह एक मूल स्थापित की तुलना में अधिक काम है।

इस टीएस के बाहर दुर्घटना से देशी आईपीवी 6 स्थापित करना लगभग असंभव है । यहां तक ​​कि जहां आपका आधुनिक राउटर इसका समर्थन करता है, आपको इसे आसानी से स्थापित करने की आवश्यकता है, और आम उपयोग में 3-4 अलग-अलग तंत्र हैं। मेरा आईएसपी विभिन्न भौतिक कनेक्शनों पर ipv6rd और SLAAC का उपयोग करता है, और निर्देश एक शौचालय में फाइलिंग कैबिनेट के बराबर में हैं। विकल्प एक सुरंग है, और यह अनिवार्य रूप से कम से कम एक घंटे का काम है।

मैं IPV6 नेटवर्क के लिए खुले किसी भी सिस्टम का इलाज करूंगा, क्योंकि मैं किसी भी अन्य प्रणाली को खुले इंटरनेट पर करूंगा। यदि इसे ipv6 की आवश्यकता नहीं है, तो इसे बंद कर दें। इसके तुच्छ, और मैंने अपने XP सिस्टम के साथ ऐसा किया है। यदि ऐसा होता है, तो सुनिश्चित करें कि यह सुरक्षित है। वहाँ बहुत कम है कि पूरी तरह से मौजूदा संक्रमण अवधि में ipv6 पर निर्भर करता है जो कि ipv4 पर वापस नहीं गिर सकता है। एक उल्लेखनीय अपवाद 7 या बाद की खिड़कियों पर होमग्रुप्स हैं

अच्छी खबर यह है कि सबसे आधुनिक OSV6 सपोर्ट वाले OSes के पास IPV6 के लिए अपने फायरवॉल हैं, और आपको उन्हें लॉक करने में बहुत अधिक परेशानी नहीं होनी चाहिए।

IPv6 का भी एक अजीब लाभ है। Ipv4 के साथ, आपके पास अक्सर कई कारनामे होते हैं जो खुले बंदरगाहों के लिए आपको अनियमित रूप से स्कैन करते हैं। IPv4 NAT एक मुख्य आईपी पते के पीछे ग्राहकों को छिपाकर थोड़ा कम करता है। IPv6 यह दर्शाता है कि एक विशाल पते की जगह होने से यह पूरी तरह से स्कैन करने के लिए अनुमानित है।

दिन के अंत में NAT एक सुरक्षा उपकरण नहीं है - इसका मतलब एक बहुत ही विशिष्ट मुद्दे (सार्वजनिक आईपी पते को निर्दिष्ट करने में कठिनाई) को हल करना है, जो बाहर से एक नेटवर्क तक पहुंचने के लिए टिनि कठिन बनाता है। राउटर फर्मवेयर हैक के एक युग में , और बड़े पैमाने पर बॉटनेट, मैं किसी भी सिस्टम, आईपीवी 4 या 6 का इलाज करने का सुझाव दूंगा जैसे कि यह खुले, अंत इंटरनेट पर था। इसे लॉक करें, जो आपको ज़रूरत है उसे खोल दें, और चिंता न करें क्योंकि आपके पास वास्तविक सुरक्षा है, न कि कार्डबोर्ड पुलिस वाले की।

यदि IPv6 के साथ हल करने के लिए कोई पता अनुवाद समस्या नहीं है, और यदि यह अभी भी पोर्ट का उपयोग करता है, तो क्या अब इसे प्रबंधित करना मेरी जिम्मेदारी है?

NAT के बिना, आपके राउटर के पीछे सब कुछ एक अद्वितीय सार्वजनिक आईपी पता है।

विशिष्ट उपभोक्ता राउटर रूटिंग के अलावा कई कार्य करते हैं:

• फ़ायरवॉल / पैकेट फ़िल्टरिंग / "स्टेटफुल पैकेट निरीक्षण"
• नेट
• डीएचसीपी
• आदि।

यदि NAT की आवश्यकता नहीं है, तो इसका उपयोग करने की आवश्यकता नहीं है, हालांकि फ़ायरवॉल अभी भी हो सकता है और उपयोग किया जा सकता है। यदि राउटिंग करने वाला उपकरण फ़ायरवॉलिंग नहीं करता है (संभवतः ऐसा नहीं है जब तक कि यह एक एंटरप्राइज़ राउटर नहीं है), तो आपको ऐसा करने के लिए एक अलग डिवाइस जोड़ना होगा।

इसलिए यदि आप एक IPv6 राउटर पर "पोर्ट खोलना" चाहते हैं, और यदि वह राउटर सबसे आम उपभोक्ता राउटर की तरह व्यवहार करता है, तो आप अपने राउटर के फ़ायरवॉल वाले हिस्से को उस पोर्ट / प्रोटोकॉल पर आने वाले ट्रैफ़िक की अनुमति देने के लिए कहते हैं जो आप चाहते हैं। आपके लिए मुख्य अंतर यह होगा कि अब आपको यह निर्दिष्ट नहीं करना होगा कि आपके नेटवर्क पर कौन से निजी आईपी को जाना है।

IPv6 दुनिया में स्वचालित रूप से जांच करने वाले ट्रैफ़िक को क्या दर्शाता है?

कुछ भी नहीं, जब तक कि डिवाइस में एक फ़ायरवॉल फ़ंक्शन नहीं है और यह एक समझदार डिफ़ॉल्ट पर सेट है, जो संभवतः किसी भी उपभोक्ता IPv6 राउटर पर होता है।

संक्षेप में, आपको ट्रैफ़िक को फ़िल्टर करने के लिए फ़ायरवॉल के रूप में कार्य करने की आवश्यकता है जिसे आप अपने राउटर को IPv6 के साथ स्थानांतरित नहीं करना चाहते हैं।

Ipv4 के समान। अपने कंप्यूटर को मालवेयर से संक्रमित न होने दें और स्पैम भेजने के लिए इस्तेमाल किए जाने वाले बॉटनेट का हिस्सा बन जाएं, ddos ​​अटैक करें और कुछ भी जो इंटरनेट के लिए बुरा है। इंटरनेट के संपर्क में आने वाली किसी भी असुरक्षित सेवाओं को न चलाएं। और इसी तरह।

आप ssh को ब्लॉक कर सकते हैं, लेकिन अगर आप रूट रूट को ब्लॉक करते हैं और केवल लॉगिन के लिए कुंजियों की अनुमति देते हैं, तो यह किसी को भी हैक करने के लिए मूल रूप से असंभव बना देगा (यह मानते हुए कि आपके पास सभी नवीनतम संस्करण हैं या पुराने बग फिक्स के साथ पुराने हैं)। आप कुछ का उपयोग भी कर सकते हैं जैसे कि फेल 2 एबन जो इसे पूरी तरह से ब्लॉक नहीं करता है लेकिन केवल एक निश्चित संख्या में असफल लॉगिन प्रयासों के बाद।