需求描述
兄弟們�,如果我們家里路由器開(kāi)通了ipv6之后,我們家庭的所有連接路由器的設(shè)備����,如路由器、手機(jī)�����、電腦�、電視、家庭攝像頭等設(shè)備��,都會(huì)獲取到公網(wǎng)的Ipv6地址��,那當(dāng)我們?cè)O(shè)備獲取了ipv6的公網(wǎng)地址�����,是不是所有設(shè)備都在互聯(lián)網(wǎng)上裸奔了�,那會(huì)不會(huì)存在很多的安全隱患?
解決過(guò)程
首先我們來(lái)做一個(gè)實(shí)驗(yàn)��,將路由器的WAN口ipv6開(kāi)啟���,開(kāi)啟之后����,可以看到使用的復(fù)用IPv4撥號(hào)鏈路��,這時(shí)在IPv6地址中�����,可以看到獲取到了240e開(kāi)頭的公網(wǎng)IP地址���,當(dāng)路由器WAN口獲取到了240e這個(gè)ipv6公網(wǎng)地址���,也就說(shuō)明,我們?nèi)嗽谌魏蔚胤蕉伎梢暂p松的通過(guò)這個(gè)公網(wǎng)的ipv6地址訪問(wèn)到家里的路由器��。
當(dāng)路由器的WAN口獲取了Ipv6公網(wǎng)地址���,就說(shuō)明你的路由器WAN口就完全暴露在公網(wǎng)上面了�����,就有被掃描到的風(fēng)險(xiǎn)���。是不是感覺(jué)自己的路由器在互聯(lián)網(wǎng)上裸奔了,這也是很多朋友不想開(kāi)啟ipv6也是這個(gè)原因����。但是有了ipv6地址,也有好處�,通過(guò)ipv6地方遠(yuǎn)程訪問(wèn)家里的路由器,再也不需要內(nèi)網(wǎng)穿透等技術(shù)��。每個(gè)設(shè)備都有了公網(wǎng)ipv6�����,這樣是不是非常不安全�,感覺(jué)黑客就能黑到你家里的設(shè)備了。電腦也可以獲取240e公網(wǎng)開(kāi)頭的IP地址����。
?如果只開(kāi)啟ipv4地址,可以看到wan口���,獲取的100開(kāi)頭的大內(nèi)網(wǎng)地址�����,公網(wǎng)是無(wú)法直接訪問(wèn)到路由器wan口的Ip地址的��。內(nèi)網(wǎng)電腦���,也是可以通過(guò)wan口地址登錄到路由器的��。在路由器的LAN設(shè)置里面�����,也可以看到ipv6地址���。內(nèi)網(wǎng)Lan口地址,前綴授權(quán)接口����,使用的WAN的ipv6前綴地址。然后再加上自己的IP地址����,就構(gòu)成了ipv6地址���。如果電腦想通過(guò)ipv6地址登錄到路由器的管理界面,該如何登錄呢����?如果是ipv4地址�����,我們直接就http://192.168.1.1或者h(yuǎn)ttps://192.168.1.1���。如果是通過(guò)ipv6地址訪問(wèn)路由器�����,我們就需要把IPv6地址URL中需用方括號(hào)[]包裹����,并指定端口(默認(rèn)80/443可省略)����。
默認(rèn)HTTP http://[2001:db8::1]
默認(rèn)HTTPS https://[2001:db8::1]:8080 自定義端口
那我們來(lái)測(cè)試一下,使用電腦訪問(wèn)路由器LAN口ipv6地址�,發(fā)現(xiàn)無(wú)法正常訪問(wèn)���。
那就添加協(xié)議和端口號(hào),發(fā)現(xiàn)還是無(wú)法正常訪問(wèn)����。于是我又查看了一下,我自己電腦的ip地址���,發(fā)現(xiàn)沒(méi)有配置Ipv6地址���。查看配置,發(fā)現(xiàn)我的網(wǎng)絡(luò)的IPv6地址被關(guān)閉了����。重新勾選。勾選ipv6之后���,可以看到獲取到了240e開(kāi)頭的公網(wǎng)IP地址�,這也說(shuō)明��,這臺(tái)電腦在公網(wǎng)上就已經(jīng)是公開(kāi)的了���。再次嘗試使用ipv6訪問(wèn)路由器�����,發(fā)現(xiàn)這次真的可以正常通過(guò)ipv6訪問(wèn)路由器了���。那我再使用電腦訪問(wèn)到路由器的WAN口的Ipv6地址�����。發(fā)現(xiàn)也是可以正常登錄web網(wǎng)頁(yè)的,點(diǎn)擊高級(jí)�����。然后點(diǎn)擊繼續(xù)訪問(wèn)���。這時(shí)內(nèi)部電腦也可以通過(guò)ipv6地址正常訪問(wèn)到路由器WAN口的ipv6地址了�。
當(dāng)我們知道路由器的ipv6地址之后�,在任何地方就可以直接通過(guò)IPv6,訪問(wèn)路由器的Web管理界面��。
于是使用手機(jī)流量�����,訪問(wèn)路由器wan口ip地址。顯示瀏覽器打不開(kāi)該網(wǎng)頁(yè)���。錯(cuò)誤是:“無(wú)法顯示URL”�����。
后來(lái)發(fā)現(xiàn)是�����,忘記加了中括號(hào)���。加了中括號(hào)之后,就可以正常通過(guò)路由器的wan口ipv6地址訪問(wèn)到路由器了�。開(kāi)啟公網(wǎng)IPv6確實(shí)可能帶來(lái)潛在的安全風(fēng)險(xiǎn)。因?yàn)镮Pv6公網(wǎng)地址分配在設(shè)備后����,就是全球唯一的公網(wǎng)地址,直接暴露在互聯(lián)網(wǎng)上����,無(wú)需要經(jīng)過(guò)NAT轉(zhuǎn)換�����,這時(shí)如果黑客就可以通過(guò)直接掃描公網(wǎng)IP地址���,來(lái)掃描你的設(shè)備漏洞,尤其是一些路由器有沒(méi)防火墻功能的設(shè)備�����。
所以�����,我感覺(jué)���,以后無(wú)論是家庭或者公司,當(dāng)開(kāi)啟了IPv6之后���,使用了ipv6地址�����,還是建議購(gòu)買(mǎi)防火墻設(shè)備�,而不是使用單純的路由器,來(lái)增加安全性���。
對(duì)于電腦操作系統(tǒng)����,也需要開(kāi)啟windows防火墻�����,系統(tǒng)最小化開(kāi)放端口����,避免不必要的服務(wù)暴露(如遠(yuǎn)程桌面、SSH等)�,若必須開(kāi)放,使用強(qiáng)密碼+IP白名單/VPN�����。
定期更換ipv6地址:隱私擴(kuò)展會(huì)周期性生成新ipv6地址����,降低追蹤可能性�����。
更新固件:確保路由器支持IPv6且固件為最新版本���,修復(fù)已知漏洞。
禁用遠(yuǎn)程管理:關(guān)閉路由器的公網(wǎng)IPv6遠(yuǎn)程訪問(wèn)功能�����,僅允許內(nèi)網(wǎng)管理�����。
強(qiáng)化認(rèn)證:修改默認(rèn)管理員密碼����,啟用WPA3加密的Wi-Fi網(wǎng)絡(luò)。
最小化服務(wù)暴露:僅允許必需的服務(wù)通過(guò)IPv6訪問(wèn)�。
應(yīng)用層防護(hù):使用HTTPS�、SSH密鑰認(rèn)證、Web應(yīng)用防火墻(WAF)等���。
關(guān)閉UPnP(通用即插即用):防止惡意軟件自動(dòng)開(kāi)放危險(xiǎn)端口�����。
僅允許 HTTPS登錄���,將將HTTPS默認(rèn)443端口更換掉����。關(guān)掉HTTP服務(wù)����。
更改默認(rèn)用戶名admin,不要使用默認(rèn)的admin用戶��,更改其它用戶名��,將密碼設(shè)置為復(fù)雜密碼�。
總結(jié)&安全建議:
啟用并嚴(yán)格配置IPv6防火墻(路由器+主機(jī)級(jí))。
使用隱私擴(kuò)展地址避免設(shè)備追蹤���。
定期更新路由器固件和系統(tǒng)補(bǔ)丁���。
關(guān)閉不必要的IPv6服務(wù)與端口��。
禁用路由器遠(yuǎn)程管理�����,使用強(qiáng)密碼����。
監(jiān)控網(wǎng)絡(luò)流量���,警惕異常連接�。
閱讀原文:https://mp.weixin.qq.com/s/ODMbjI3Kho3PPr1GEG_8-w
該文章在 2025/5/6 11:56:12 編輯過(guò)
400 186 1886
