- 主题:IPV6时代的NFS安全隐患一则
都是2408::的/64地址,一个天津联通一个北京联通,22 端口双方互相都连不上
北京光猫是桥接的,路由器是 R6300v2(Merlin),PPP 端口上的原生 IPv6
路由器防火墙开了22
天津光猫是路由的,路由器是 K2p (Padavan),以太网上的原生 IPv6
路由器上没有单独的 IPv6 防火墙设置,光猫默认设置没改过
【 在 blitz (blitz) 的大作中提到: 】
: 难道我中大奖了(字面意思)?我的猫就是联通标配的烽火光猫,当年我和他们argue了很久让给我打开桥接模式未遂。
: 另外,你得确认两端的机器都有ipv6地址,而且ipv6不能是内网地址,我这边是以24开头的/64地址。
--
FROM 114.242.94.*
大半年前我在版上提醒过一次了
https://www.newsmth.net/nForum/#!article/DigiHome/946124
【 在 blitz 的大作中提到: 】
: 刚发现我的nfs裸奔了一年左右
: 也不知道什么时候开始北京联通启用了ipv6,然后我的内网(我以为的内网,但是ipv6无所谓内网外网)里的nfs的配置又有一个地方被我写错了,地址和参数之间多了一个空格比如
: ```
: ...................
--
FROM 61.49.153.*
聊个别的,说说企业安全配置。以前传统企业安全配置是搞个大内网,内网里面的机器互联互通,个别重要的节点加特别防护。外出进入流量全监控,做入侵检测。
这几年越来越搞不下去了,情况复杂的超出了掌握,特别是人员对于方便的需求导致各种设备横行。比如移动设备,还有各种usb热点,行政命令根本无效,再强的it人员也没有办法解决
所以现在都在向零信任架构转向,从网络为中心转变为以身份为中心,进行访问控制。这样方便又安全。
家用其实也可以参考这种模式
【 在 Dazzy 的大作中提到: 】
: 其实你的路由没有把内外管起来而已。无论ipv4还是v6,interface wan和lan是分开的,防火墙应该不转发来自wan的input,除非用户放开。
--
FROM 61.49.153.*
类似高校内部的h3c,锐捷拨号?这是个好事,以前高校网络乱象,arp攻击之类的,我还印象深刻。只是在家庭网络用这个技术代价有点高。现在不听话的iot设备越来越多,早晚得管起来。
【 在 leadu 的大作中提到: 】
: 聊个别的,说说企业安全配置。以前传统企业安全配置是搞个大内网,内网里面的机器互联互通,个别重要的节点加特别防护。外出进入流量全监控,做入侵检测。
: 这几年越来越搞不下去了,情况复杂的超出了掌握,特别是人员对于方便的需求导致各种设备横行。比如移动设备,还有各种usb热点,行政命令根本无效,再强的it人员也没有办法解决
: 所以现在都在向零信任架构转向,从网络为中心转变为以身份为中心,进行访问控制。这样方便又安全。
: ...................
--来自微水木3.5.2
--
修改:Dazzy FROM 113.119.11.*
FROM 113.119.11.*
对于不能主动认证的设备,这种模式很不友好唉
【 在 leadu (leadu) 的大作中提到: 】
: 聊个别的,说说企业安全配置。以前传统企业安全配置是搞个大内网,内网里面的机器互联互通,个别重要的节点加特别防护。外出进入流量全监控,做入侵检测。
: 这几年越来越搞不下去了,情况复杂的超出了掌握,特别是人员对于方便的需求导致各种设备横行。比如移动设备,还有各种usb热点,行政命令根本无效,再强的it人员也没有办法解决
: 所以现在都在向零信任架构转向,从网络为中心转变为以身份为中心,进行访问控制。这样方便又安全。
: ...................
--
FROM 123.118.26.*
另外这种信任模式的流控比以前那种更消耗处理器资源吧
【 在 rocsong (rocsong) 的大作中提到: 】
: 对于不能主动认证的设备,这种模式很不友好唉
--
FROM 123.118.26.*
用户体验上比较像,都要客户端做多次认证。
具体实现上稍有区别,之前的那种是接入控制,认证之后进入内网,内网里面全当是自己人,但有个间谍就被一锅端了。
新的是进了内网也不信任,能访问智能电视访问不了家用nas;想访问家用nas,第一次需要指纹验证(也可以每次,看自己配置);能访问家用nas访问不了笔记本;敏感数据访问来个二次验证什么的。
好处就是不管设备是不是在内网,反正身份验证通过,就可以使用对应的资源比如nas
这玩意在企业端也仅仅是这几年刚达成共识,大家认为是未来的方向。家用估计还是得过几年
【 在 Dazzy 的大作中提到: 】
: 类似高校内部的h3c,锐捷拨号?这是个好事,以前高校网络乱象,arp攻击之类的,我还印象深刻。只是在家庭网络用这个技术代价有点高。现在不听话的iot设备越来越多,早晚得管起来。
: --来自微水木3.5.2
--
FROM 61.49.153.*
主要看设计,比如家用智能电视保存ftp密码这种类型的事情,就得改成只能保存token,换个机器就用不了这个token。这个token就算泄露,也不能访问除了电视剧之外的内容。
思路从进了内网就是自己人,转变成不管在哪访问,认证通过才能访问它自己的数据,别人的数据休想访问
https://www.zhihu.com/question/324481184/answer/684128454
【 在 rocsong 的大作中提到: 】
: 另外这种信任模式的流控比以前那种更消耗处理器资源吧
:
--
FROM 61.49.153.*
一般路由器在启用ipv6后会附带启用ipv6的防火墙,不能从外向内发起ipv6连接
你加的路由器可以扔了
【 在 blitz 的大作中提到: 】
: 刚发现我的nfs裸奔了一年左右
: 也不知道什么时候开始北京联通启用了ipv6,然后我的内网(我以为的内网,但是ipv6无所谓内网外网)里的nfs的配置又有一个地方被我写错了,地址和参数之间多了一个空格比如
: ```
: ...................
--
FROM 123.126.43.*