需求描述
兄弟們,如果我們家里路由器開通了ipv6之后�����,我們家庭的所有連接路由器的設(shè)備��,如路由器、手機�、電腦、電視��、家庭攝像頭等設(shè)備�����,都會獲取到公網(wǎng)的Ipv6地址�,那當(dāng)我們設(shè)備獲取了ipv6的公網(wǎng)地址,是不是所有設(shè)備都在互聯(lián)網(wǎng)上裸奔了����,那會不會存在很多的安全隱患?
解決過程
首先我們來做一個實驗���,將路由器的WAN口ipv6開啟�,開啟之后�����,可以看到使用的復(fù)用IPv4撥號鏈路��,這時在IPv6地址中����,可以看到獲取到了240e開頭的公網(wǎng)IP地址��,當(dāng)路由器WAN口獲取到了240e這個ipv6公網(wǎng)地址��,也就說明���,我們?nèi)嗽谌魏蔚胤蕉伎梢暂p松的通過這個公網(wǎng)的ipv6地址訪問到家里的路由器。
當(dāng)路由器的WAN口獲取了Ipv6公網(wǎng)地址���,就說明你的路由器WAN口就完全暴露在公網(wǎng)上面了�����,就有被掃描到的風(fēng)險。是不是感覺自己的路由器在互聯(lián)網(wǎng)上裸奔了�,這也是很多朋友不想開啟ipv6也是這個原因。但是有了ipv6地址�,也有好處,通過ipv6地方遠程訪問家里的路由器�����,再也不需要內(nèi)網(wǎng)穿透等技術(shù)����。每個設(shè)備都有了公網(wǎng)ipv6�����,這樣是不是非常不安全���,感覺黑客就能黑到你家里的設(shè)備了。電腦也可以獲取240e公網(wǎng)開頭的IP地址�。
?如果只開啟ipv4地址,可以看到wan口���,獲取的100開頭的大內(nèi)網(wǎng)地址��,公網(wǎng)是無法直接訪問到路由器wan口的Ip地址的�����。內(nèi)網(wǎng)電腦����,也是可以通過wan口地址登錄到路由器的�。在路由器的LAN設(shè)置里面,也可以看到ipv6地址����。內(nèi)網(wǎng)Lan口地址�,前綴授權(quán)接口����,使用的WAN的ipv6前綴地址。然后再加上自己的IP地址�����,就構(gòu)成了ipv6地址��。如果電腦想通過ipv6地址登錄到路由器的管理界面�,該如何登錄呢?如果是ipv4地址���,我們直接就http://192.168.1.1或者https://192.168.1.1����。如果是通過ipv6地址訪問路由器��,我們就需要把IPv6地址URL中需用方括號[]包裹���,并指定端口(默認(rèn)80/443可省略)����。
默認(rèn)HTTP http://[2001:db8::1]
默認(rèn)HTTPS https://[2001:db8::1]:8080 自定義端口
那我們來測試一下��,使用電腦訪問路由器LAN口ipv6地址�,發(fā)現(xiàn)無法正常訪問。
那就添加協(xié)議和端口號��,發(fā)現(xiàn)還是無法正常訪問���。于是我又查看了一下�����,我自己電腦的ip地址��,發(fā)現(xiàn)沒有配置Ipv6地址����。查看配置�����,發(fā)現(xiàn)我的網(wǎng)絡(luò)的IPv6地址被關(guān)閉了。重新勾選���。勾選ipv6之后�,可以看到獲取到了240e開頭的公網(wǎng)IP地址�����,這也說明����,這臺電腦在公網(wǎng)上就已經(jīng)是公開的了。再次嘗試使用ipv6訪問路由器�,發(fā)現(xiàn)這次真的可以正常通過ipv6訪問路由器了。那我再使用電腦訪問到路由器的WAN口的Ipv6地址����。發(fā)現(xiàn)也是可以正常登錄web網(wǎng)頁的,點擊高級�����。這時內(nèi)部電腦也可以通過ipv6地址正常訪問到路由器WAN口的ipv6地址了���。
當(dāng)我們知道路由器的ipv6地址之后����,在任何地方就可以直接通過IPv6����,訪問路由器的Web管理界面。
于是使用手機流量�����,訪問路由器wan口ip地址����。顯示瀏覽器打不開該網(wǎng)頁。錯誤是:“無法顯示URL”��。
后來發(fā)現(xiàn)是����,忘記加了中括號。加了中括號之后�,就可以正常通過路由器的wan口ipv6地址訪問到路由器了。開啟公網(wǎng)IPv6確實可能帶來潛在的安全風(fēng)險。因為IPv6公網(wǎng)地址分配在設(shè)備后���,就是全球唯一的公網(wǎng)地址�����,直接暴露在互聯(lián)網(wǎng)上���,無需要經(jīng)過NAT轉(zhuǎn)換,這時如果黑客就可以通過直接掃描公網(wǎng)IP地址�����,來掃描你的設(shè)備漏洞�����,尤其是一些路由器有沒防火墻功能的設(shè)備�。
所以,我感覺���,以后無論是家庭或者公司����,當(dāng)開啟了IPv6之后��,使用了ipv6地址����,還是建議購買防火墻設(shè)備,而不是使用單純的路由器����,來增加安全性。
對于電腦操作系統(tǒng)����,也需要開啟windows防火墻,系統(tǒng)最小化開放端口����,避免不必要的服務(wù)暴露(如遠程桌面、SSH等)��,若必須開放�,使用強密碼+IP白名單/VPN���。
定期更換ipv6地址:隱私擴展會周期性生成新ipv6地址,降低追蹤可能性���。
更新固件:確保路由器支持IPv6且固件為最新版本���,修復(fù)已知漏洞。
禁用遠程管理:關(guān)閉路由器的公網(wǎng)IPv6遠程訪問功能����,僅允許內(nèi)網(wǎng)管理。
強化認(rèn)證:修改默認(rèn)管理員密碼�,啟用WPA3加密的Wi-Fi網(wǎng)絡(luò)。
最小化服務(wù)暴露:僅允許必需的服務(wù)通過IPv6訪問�����。
應(yīng)用層防護:使用HTTPS���、SSH密鑰認(rèn)證�����、Web應(yīng)用防火墻(WAF)等����。
關(guān)閉UPnP(通用即插即用):防止惡意軟件自動開放危險端口。
僅允許 HTTPS登錄����,將將HTTPS默認(rèn)443端口更換掉。關(guān)掉HTTP服務(wù)���。
更改默認(rèn)用戶名admin,不要使用默認(rèn)的admin用戶�,更改其它用戶名,將密碼設(shè)置為復(fù)雜密碼�����。
總結(jié)&安全建議:
啟用并嚴(yán)格配置IPv6防火墻(路由器+主機級)�����。
使用隱私擴展地址避免設(shè)備追蹤����。
定期更新路由器固件和系統(tǒng)補丁���。
關(guān)閉不必要的IPv6服務(wù)與端口。
禁用路由器遠程管理�����,使用強密碼��。
監(jiān)控網(wǎng)絡(luò)流量��,警惕異常連接����。
閱讀原文:https://mp.weixin.qq.com/s/ODMbjI3Kho3PPr1GEG_8-w
該文章在 2025/5/6 11:56:12 編輯過
400 186 1886
