在关闭光猫、路由器IPv6防火墙后可能遇到的安全问题

1.背景信息

随着IPv6的不断普及
目前三大运营商基本都已经提供了IPv6

IPv6 拥有海量的地址数 一般不需要NAT转换
传输效率提升 不需要开通“公网”
“公网地址”直接分配到设备
对bt下载 开放端口 提供了极大的便利

2.遇到的问题

但大部分的光猫和路由器对IPv6的管理还不完善
确切的来说是IPv6防火墙的管理不够完善
一般只有开和关两个选项
开启后会拦截所以主动入站流量即所以从外部主动发起的连接
而关闭后则不会有任何过滤作用
无法精确的开放端口
为了开放IPv6端口 供bt软件使用
我们目前在光猫/路由器上只能关闭整个IPv6防火墙

3.可能的危险

3.1网络攻击

在家庭网络环境中较常遇到是端口扫描攻击和暴力破解攻击

端口扫描 用于探测哪些端口上有程序正在运行
若发现可以用于获取用户数据或者设备控制权的程序
则会尝试暴力破解密码进行登录

若被扫描的端口上没有程序正在监听 则不会有危险
安卓手机一般不会 开启对外服务 不太需要担心
像bt客户端这类不能直接访问用户数据 获取设备控制权的程序
则不用不同太担心

需要注意下列这些类型的服务
其被破解后可能会造成数据泄露 和 设备被控制等风险
Windows远程桌面 SMB文件共享 NAS管理界面 网络摄像头 SSH登录 等

3.2 IPv6相比IPv4的安全优势

（1）巨大的地址数量
巨大的地址空间 使得逐个地址扫描 难以实现

（2）隐私扩展协议
在IPv6中，原本使用EUI-64标识生成的IPv6地址是基于网络适配器的物理地址（MAC地址），
这使得设备的全球唯一标识与其网络通信的IPv6地址相关联，但可能泄露用户的位置和设备信息。

为了提高隐私保护，IPv6隐私扩展协议引入了一种临时地址生成机制。在IPv6隐私扩展协议中，
设备会生成临时IPv6地址，这些地址与设备的MAC地址无关，且定期更换。
这样一来，设备的真实标识与其通信地址的关联性就被削弱，从而增强了用户的隐私保护。

IPv6隐私扩展协议有两种形式：

临时地址（Temporary Address）：由设备生成临时的IPv6地址，与其MAC地址无关。这些地址在设备连接到网络时动态生成，
并在一定时间后过期。每次重新连接到网络时，设备会生成新的临时地址。

随机地址（Random Address）：与临时地址类似，但使用了随机数生成更为随机的地址，进一步增强了隐私保护。
IPv6隐私扩展协议可以通过在IPv6配置中启用来使用。在大多数现代操作系统中，如Windows、
Linux和macOS，IPv6隐私扩展协议默认是启用的，以增强用户的网络隐私保护。

3.2 防护手段

在ipv4时主要依靠NAT
流量需要通过NAT处理后到达内网设备
内网设备隐藏在NAT后 外网设备是无法直发现内网设备
若没有设置转发规则以开放端口 这些从外部发起的扫描会被直接丢弃
不需要太担心 防火墙的存在感被弱化了
我们习惯了NAT的保护 以至于快忘记了防火墙的必要性

而在IPv6中一般没有NAT 主要依靠防火墙
包括光猫/路由器上的IPv6防火墙
和终端设备上的防火墙

默认情况下 光猫/路由器上的IPv6防火墙是开启的
会拦截所有IPv6主动入站流量 也不需要太担心

但由于之前所说的路由/光猫IPv6防火墙的管理不够完善
为了开放IPv6端口 供bt软件使用
我们目前在光猫/路由器上只能关闭整个IPv6防火墙
这样一来在路由设备上的防护就没有了

需要依靠终端设备上的防火墙拦截
或者使这些有风险的服务不监听IPv6地址

若使用软路由 可以对IPv6防火墙进行更细致的控制 可开放单个端口
目前已知 硬路由中 华硕路由器可以在IPv6防火墙中开放单个端口

请不要关闭终端设备上的防火墙

4. 目标与总结

从个人的经验和防火墙拦截记录来看
端口扫描的发起源主要是ipv4地址
而IPv6的几乎没有

在巨大的地址数量和隐私扩展协议的加持下
IPv6地址是不太容易被发现的

但在bt下载时向tracker服务器汇报ip以及与
其他DHT节点信息交换使得IPv6地址依然有可能被发现
仍需做好防护准备 用防火墙“关闭”那些可能有危险的端口
只要配置正确就不会有安全问题

目标：在已经关闭路由设备IPv6防火墙的情况下 设置好终端防火墙
以防止意料之外的连接