1.背景信息

隨著IPv6的不斷普及
目前三大運(yùn)營商基本都已經(jīng)提供了IPv6

IPv6 擁有海量的地址數(shù) 一般不需要NAT轉(zhuǎn)換
傳輸效率提升 不需要開通“公網(wǎng)”
“公網(wǎng)地址”直接分配到設(shè)備
對bt下載 開放端口 提供了極大的便利

2.遇到的問題

但大部分的光貓和路由器對IPv6的管理還不完善
確切的來說是IPv6防火墻的管理不夠完善
一般只有開和關(guān)兩個(gè)選項(xiàng)
開啟后會攔截所以主動(dòng)入站流量即所以從外部主動(dòng)發(fā)起的連接
而關(guān)閉后則不會有任何過濾作用
無法精確的開放端口
為了開放IPv6端口 供bt軟件使用
我們目前在光貓/路由器上只能關(guān)閉整個(gè)IPv6防火墻

3.1網(wǎng)絡(luò)攻擊

在家庭網(wǎng)絡(luò)環(huán)境中較常遇到是端口掃描攻擊和暴力破解攻擊

端口掃描 用于探測哪些端口上有程序正在運(yùn)行
若發(fā)現(xiàn)可以用于獲取用戶數(shù)據(jù)或者設(shè)備控制權(quán)的程序
則會嘗試暴力破解密碼進(jìn)行登錄

若被掃描的端口上沒有程序正在監(jiān)聽 則不會有危險(xiǎn)
安卓手機(jī)一般不會 開啟對外服務(wù) 不太需要擔(dān)心
像bt客戶端這類不能直接訪問用戶數(shù)據(jù) 獲取設(shè)備控制權(quán)的程序
則不需要太擔(dān)心

需要注意下列這些類型的服務(wù)
其被破解后可能會造成數(shù)據(jù)泄露 和 設(shè)備被控制等風(fēng)險(xiǎn)
Windows遠(yuǎn)程桌面 SMB文件共享 NAS管理界面 網(wǎng)絡(luò)攝像頭 SSH登錄 等

3.2 IPv6相比IPv4的安全優(yōu)勢

（1）巨大的地址數(shù)量
巨大的地址空間 使得逐個(gè)地址的掃描 難以實(shí)現(xiàn)

（2）隱私擴(kuò)展協(xié)議
在IPv6中，原本使用EUI-64標(biāo)識生成IPv6地址

其是基于網(wǎng)絡(luò)適配器的MAC地址，這使得設(shè)備的全球唯一標(biāo)識與其網(wǎng)絡(luò)通信的IPv6地址相關(guān)聯(lián)，但可能泄露用戶的位置和設(shè)備信息。

為了提高隱私保護(hù)，引入了一種臨時(shí)地址生成機(jī)制。

在IPv6隱私擴(kuò)展協(xié)議中，設(shè)備會生成臨時(shí)IPv6地址，這些地址與設(shè)備的MAC地址無關(guān)，且定期更換。
這樣一來，設(shè)備的真實(shí)標(biāo)識與其通信地址的關(guān)聯(lián)性就被削弱，從而增強(qiáng)了用戶的隱私保護(hù)。

IPv6隱私擴(kuò)展協(xié)議有兩種形式：

臨時(shí)地址（Temporary Address）：由設(shè)備生成臨時(shí)的IPv6地址，與其MAC地址無關(guān)。這些地址在設(shè)備連接到網(wǎng)絡(luò)時(shí)動(dòng)態(tài)生成，
并在一定時(shí)間后過期。每次重新連接到網(wǎng)絡(luò)時(shí)，設(shè)備會生成新的臨時(shí)地址。

隨機(jī)地址（Random Address）：與臨時(shí)地址類似，但使用了隨機(jī)數(shù)生成更為隨機(jī)的地址，進(jìn)一步增強(qiáng)了隱私保護(hù)。

在大多數(shù)現(xiàn)代操作系統(tǒng)中，如Windows、Linux和macOS，IPv6隱私擴(kuò)展協(xié)議默認(rèn)是啟用的，以增強(qiáng)用戶的網(wǎng)絡(luò)隱私保護(hù)。

3.2 防護(hù)手段

在ipv4時(shí)主要依靠NAT
流量需要通過NAT處理后到達(dá)內(nèi)網(wǎng)設(shè)備
內(nèi)網(wǎng)設(shè)備隱藏在NAT后 外網(wǎng)設(shè)備是無法直發(fā)現(xiàn)內(nèi)網(wǎng)設(shè)備
若沒有設(shè)置轉(zhuǎn)發(fā)規(guī)則以開放端口 這些從外部發(fā)起的掃描會被直接丟棄
不需要太擔(dān)心 防火墻的存在感被弱化了
我們習(xí)慣了NAT的保護(hù) 以至于快忘記了防火墻的必要性

而在IPv6中一般沒有NAT 主要依靠防火墻
包括光貓/路由器上的IPv6防火墻
和終端設(shè)備上的防火墻

默認(rèn)情況下 光貓/路由器上的IPv6防火墻是開啟的
會攔截所有IPv6主動(dòng)入站流量 也不需要太擔(dān)心

但由于之前所說的路由/光貓IPv6防火墻的管理不夠完善
為了開放IPv6端口 供bt軟件使用
我們目前在光貓/路由器上只能關(guān)閉整個(gè)IPv6防火墻
這樣一來在路由設(shè)備上的防護(hù)就沒有了

需要依靠終端設(shè)備上的防火墻攔截
或者使這些有風(fēng)險(xiǎn)的服務(wù)不監(jiān)聽IPv6地址

若使用軟路由 可以對IPv6防火墻進(jìn)行更細(xì)致的控制 可開放單個(gè)端口
目前已知 硬路由中 華碩路由器可以在IPv6防火墻中開放單個(gè)端口

請不要關(guān)閉終端設(shè)備上的防火墻

4. 目標(biāo)與總結(jié)

從個(gè)人的經(jīng)驗(yàn)和防火墻攔截記錄來看
端口掃描的發(fā)起源主要是ipv4地址
而IPv6的幾乎沒有

在巨大的地址數(shù)量和隱私擴(kuò)展協(xié)議的加持下
IPv6地址是不太容易被發(fā)現(xiàn)的

但在bt下載時(shí)向tracker服務(wù)器匯報(bào)ip以及與
其他DHT節(jié)點(diǎn)信息交換使得IPv6地址依然有可能被發(fā)現(xiàn)
仍需做好防護(hù)準(zhǔn)備 用防火墻“關(guān)閉”那些可能有危險(xiǎn)的端口
只要配置正確就不會有安全問題

目標(biāo)：在已經(jīng)關(guān)閉路由設(shè)備IPv6防火墻的情況下 設(shè)置好終端防火墻
以防止意料之外的連接

5.Windows 防火墻配置示例

在Windows上主要是封堵一些高危端口
TCP 135 139 445 3389
UDP 137 138

這些用于網(wǎng)絡(luò)共享功能和遠(yuǎn)程調(diào)用
以及遠(yuǎn)程桌面的端口 一般被視為高危端口

不過其中 139 137 138 為NetBIOS服務(wù)使用的端口
其在IPv6已經(jīng)不使用了 它們不會在IPv6地址上進(jìn)行監(jiān)聽

我們需要注意的是
TCP 135 445 3389

135 用于 Windows遠(yuǎn)程調(diào)用
3389 用于Windows遠(yuǎn)程桌面
445 用于smb文件共享

TCP 135和445端口 默認(rèn)只允許本地子網(wǎng)訪問

3389 TCP 端口 用于遠(yuǎn)程桌面服務(wù)
防火墻上的默認(rèn)規(guī)則允許所有地址訪問 需要注意

教程將展示通過配置Windows防火墻
阻止公網(wǎng)IPv6訪問3389端口

搜索欄搜索 檢查防火墻狀態(tài) 并打開

檢查防火墻是否啟用

并點(diǎn)擊左側(cè)的 高級設(shè)置 以打開高級widows防火墻

高級Windows防火墻

查看防火墻屬性

檢查 公用網(wǎng)絡(luò)配置 和 專用網(wǎng)絡(luò)配置
狀態(tài)中的選項(xiàng) 均為默認(rèn)

添加規(guī)則
Windows防火墻上的遠(yuǎn)程桌面默認(rèn)規(guī)則
是允許所有地址訪問的
通過添加規(guī)則 禁止使用公網(wǎng)IPv6連接到3389端口

選擇入站規(guī)則

新建規(guī)則

選擇自定義規(guī)則

保持默認(rèn)?

協(xié)議選擇TCP
本地端口選擇 特定端口
端口號 3389

遠(yuǎn)程IP 選擇 下列IP地址
并點(diǎn)擊 添加

填寫 2000::/3
此為 IPv6全球單播地址的前綴
可以理解為匹配所有公網(wǎng)IPv6地址
曾經(jīng)嘗試使用 :: 進(jìn)行匹配 但并不成功 其表示所有IPv6地址
IPv6前綴劃分：https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml

操作選擇 阻止連接

配置文件 保持默認(rèn)

名稱任意填寫
這里使用 Block IPv6 TCP 3389

點(diǎn)擊完成
規(guī)則已經(jīng)添加

端口檢查工具

https://zh.infobyip.com/tcpportchecker.php

可通過命令快速設(shè)置
需要管理員權(quán)限

啟用Windows防火墻

還原默認(rèn)入站策略
阻止與規(guī)則不匹配的入站連接

封堵 TCP 3389
拒絕公網(wǎng)IPv6地址連接到本地的TCP 3389 端口