Ist der Windows-Firewall-Modus "Privat" mit IPv6 für Privatanwender obsolet?

1111
boot4life

Von Heimanwendern wird im Allgemeinen erwartet, dass die Windows-Firewall auf das private Profil gesetzt wird, wenn sie mit ihrem Heimnetzwerk verbunden sind. Am gebräuchlichsten ist die Verbindung mit dem vom ISP bereitgestellten Router.

Wenn der ISP IPv6-Konnektivität bietet, verfügt der angeschlossene Computer über eine global routbare IPv6-Adresse. Dies bedeutet, dass alle Ports und Anwendungen direkt mit dem Internet verbunden sind. Bei IPv4 gibt es normalerweise NAT, das als Firewall fungiert.

Die Sicherheit hängt davon ab, welche Anwendungen laufen und welche Ports geöffnet sind. In typischen Konfigurationen können einige Dinge verfügbar sein. Zumindest wird die Windows-Datei die RPC-Kommunikationsports gemeinsam nutzen. Diese Funktionalitäten wurden in der Vergangenheit von Sicherheitsfragen beeinflusst.

Einige Router (einschließlich meines) verfügen über eine "IPv6-Firewall", durch die der gesamte eingehende IPv6-Verkehr einfach verworfen wird. Wenn ich jedoch mindestens einen eingehenden Port für eine Anwendung öffnen möchte (z. B. Remote Desktop), habe ich keine andere Wahl, als alles für jeden zugänglich zu machen .

Bedeutet das nicht, dass ein IPv6-fähiger Computer das öffentliche Profil auswählen muss, da sich jeder (nicht nur vertrauenswürdige Geräte) verbinden kann?

6
NAT ist keine Firewall. Eine Firewall ist eine Firewall. Praktisch alle derzeit verkauften Heimrouter, die IPv6 unterstützen, unterstützen auch die Firewall IPv6. Dass eine Adresse _routable_ ist, bedeutet nicht, dass es _reachable_ ist. Natürlich verfügen viele Heimrouter über eine vollständig aus dem Internet verschobene IPv6-Firewall, wie z. B. Ihre. Erwägen Sie ggf. den Austausch der Firmware. Firmware von Drittanbietern hat eine viel bessere Unterstützung. Michael Hampton vor 5 Jahren 3
Ihre Behauptung, dass * "Wenn ich ... mindestens einen eingehenden Port öffne ... ich keine andere Wahl habe, als allen zu zeigen", ist falsch. Dies führt dazu, dass Sie zu Unrecht davon ausgehen, dass das private Profil unbrauchbar ist, obwohl dies nicht der Fall ist. Twisty Impersonator vor 5 Jahren 0

1 Antwort auf die Frage

11
grawity

Nein. Weder die Windows-Firewall noch die Firewall eines kompetenten Routers ist "alles oder nichts".

Von Heimanwendern wird im Allgemeinen erwartet, dass die Windows-Firewall auf das private Profil gesetzt wird, wenn sie mit ihrem Heimnetzwerk verbunden sind

Der "Private" -Modus erlaubt eigentlich nicht alle Verbindungen von überall : Die meisten Standardregeln sind auf "Dieses Subnetz" beschränkt, was für IPv6 bedeutet, dass auch in diesem Modus nur andere Hosts innerhalb derselben / 64-Klasse (z. B. nur Ihr Heimnetzwerk) wird akzeptiert. Ausländische Verbindungen bleiben gesperrt.

(Beachten Sie auch, dass die integrierte Windows-Firewall über höhere Schichten als nur TCP-Ports Bescheid weiß: Sie kann auch den Zugriff auf einzelne RPC-Dienste einschränken, auch wenn diese über einen gemeinsam genutzten Port ausgeführt werden. Dies bedeutet auch, dass der Zugriff auf die SMB-Dateifreigabe nicht möglich ist. t zwingend automatisch RPC-über-SMB-Zugriff.)

Es gibt Ausnahmen, dass "das gleiche Subnetz" standardmäßig verwendet wird (z. B. Remote Desktop ist weit geöffnet, da MS NLA vertraut), aber diese können leicht geändert werden wf.msc.

Das führt zum zweiten Grund: Selbst wenn das Profil schlechte Standardeinstellungen hatte, ist die Verwendung von zwei anpassbaren Profilen an sich ein nützliches Feature für viele fortgeschrittene Benutzer (die immer noch in der Lage sind, benutzerdefinierte Regeln für verschiedene Sicherheitsstufen zu konfigurieren).

Bei IPv4 gibt es normalerweise NAT, das als Firewall fungiert.

NAT fungiert nicht als Firewall. es wird zusätzlich zu einer Firewall verwendet. Ja, könnte man sagen, dass es eine zusätzliche Schicht gegen entfernte Angreifer ermöglicht - aufgrund von privaten LAN - Adressen unroutable im Internet zu sein - aber das hat nichts mit dem tatsächlichen Paket zu tun Filterung, die eine Firewall tut.

Wenn Sie nur NAT, aber keine andere Form der Paketfilterung haben, haben Ihre unmittelbaren WAN-Nachbarn immer noch Möglichkeiten, mit nur einem einzigen in Ihr LAN zu gelangen ip route add.

Einige Router (einschließlich meines) verfügen über eine "IPv6-Firewall", durch die der gesamte eingehende IPv6-Verkehr einfach verworfen wird. Wenn ich jedoch mindestens einen eingehenden Port für eine Anwendung öffnen möchte (z. B. Remote Desktop), habe ich keine andere Wahl, als alles für jeden zugänglich zu machen.

In der Firmware Ihres Routers ist das dann ein bedeutender Fehler. Wenn die Firewall benutzerdefinierte Regeln zum Zulassen von "Alle zulassen" für eingehende IPv4-Regeln unterstützt, gibt es keinen Grund, warum die gleichen Regeln für IPv6 nicht unterstützt werden können.

Sowohl in IPv4 als auch in IPv6 ist es für einen Router einfach, eine Firewall zu implementieren, die eingehende Verbindungen nur zu einem bestimmten Host und / oder nur zu einem bestimmten Port durchläuft. Die meisten Heimrouter implementieren nicht einmal ihre eigenen. Sie liefern Standard-Linux-Iptables, so dass sie keine Entschuldigung haben.

Wenn Sie ganz sicher, dass Ihr Router sind keine benutzerdefinierter IPv6 Regeln anbietet (sie werden könnte, genannt „virtueller Server“ oder „Port - Forwarding“ trotz nicht beteiligt DNAT), ob es ein Firmware - Update zur Verfügung steht.

Vielen Dank für diese ausführliche Antwort. Die Standard-Firewall-Regeln, die häufig nur für das lokale Subnetz gelten, sind ein sehr guter Punkt. Ich überprüfte dies auf meinem Computer, indem ich alle TCP-Ports von einem anderen lokalen Computer aus testete und einen einzigen IPv6-TCP-Port-Checker für diese Ergebnisse verwendete. Alle waren geschlossen, außer denen, die ich ausdrücklich geöffnet hatte. boot4life vor 5 Jahren 0
Dies ist ein guter Punkt, wenn Regeln für die IPv6-Firewall zulässig sind: Die Konfigurationsoption zum Zulassen von IPv6-Datenverkehr wird im Allgemeinen _not_ "Portweiterleitung" genannt, da dies nicht der Fall ist. Ich habe schon mehrere andere Namen gesehen, daher kann es schwierig sein, sie zu finden. Es kann hilfreich sein, das spezifische Routermodell zu kennen. Michael Hampton vor 5 Jahren 0