Какие преймущества дает использование ipv6 в корпортивной сети?

Question

[m2_viktor]

Подключил ipv6, теперь все мои домашние устройства имеют публичный ip-адрес, что с одной стороны хорошо, но не безопасно, т.к. на ноутбуке родителей к примеру разрешен доступ по rdp и smb, и есть учетные записи без пароля или с простым паролем. Других преймуществ и недостатков для себя я не вижу, но на различных ресурсах живо обсуждают ipv6, но с какой целью? Что еще такого дает ipv6 кроме увеличения количества адресов и публичного адреса? Если бы я работал админом, то мне очень не хотелось бы, чтобы ПК главбуха, директора, да или просто рядового сотрудника был доступен по публичному адресу, не смотря на фаерволы и запрещающие правила. В интернете полно инфы, я знаю, про мультикасты, несколько адресов, и т.д. но хочу понять реальные преймущетсва, кроме тех, что я уже перечислил.

Answer 1

[Клёвый Админ]

Реальные преимущества ipv6:
1. Отсутствие NAT - а значит возможность достичь больших скоростей интернета (больше 300 мегабит на soho роутере)
2. Нет необходимости в DHCP - все сервисы настраиваются сами.
А на счёт защиты: несколько простых правил файрвола полностью защищают сеть внутри периметра
/ip firewall filter
add chain=forward comment="allow connections from lan" in-interface=lan
add chain=forward connection-state=established comment="allow established connections"
add chain=forward connection-state=related comment="allow related connections"
add chain=forward action=drop comment="drop othen connections"

Comments

[m2_viktor]

Это правила фаервола для рабочей станции, или маршрутизатора? Допустим на рабочей станции я включил файрвол, дропаю все входящие соединения, но в коде самого фаервола есть дыра, да еще и апдейтов давно не было, и злоумышленнико получает удаленный шелл через что делать? В ipv4 рабочая станция за натом, и дыра не проблема уже как и отсутствие апдейтов.

[none7]

m2_viktor: Обычно у роутера есть "белый" IPv4 адрес. И если этот роутер можно взломать, то проникновение в частную сеть это наименьшая из проблем и безо всякого IPv6. Дыры в примитивном фильтре пакетов, вещь крайне маловероятная. За всё время существования iptables было найдено всего 3 потенциальной уязвимости, из них только одна может позволить обойти правила. И данных правил эта уязвимость не затрагивает.

[m2_viktor]

none7: Конкретный пример, ПК главбуха с windows firewall после перехода на ipv6 молучил публичный адрес, а апдейты последний раз получал в 2008 году, и потому имеет множество дыр, которые активно используются win-хакерами.

[Клёвый Админ]

m2_viktor: правила выше для граничного шлюза. Они разрешают любой трафик наружу и пропускают внутрь только те пакеты, что были инициализированы внутри сети, т.е. просто так взять подключится к любому сервису внутри сети не получится.

[Клёвый Админ]

m2_viktor: компьютер вашего главбуха будет в безопасности если использовать правила на файрволе выше.

Answer 2

[look2009]

Так по идее протокол и был расширен до v6 для увеличения пулла адресов, единственно что плохо, то это реализация, старый добрый v4 очень хорошо интегрирован во все железки, что далеко не скажешь про v6 который реализован на скорую руку. Что может сказывается на работе сети, при hightload на ipv6 яндекс захотел его выкинуть.