多くのホームルーターに組み込まれているIPv6ファイアウォールを無効にするのは危険ですか？

はい、補完的な制御や置換フィルターなしでファイアウォールを無効にすることは危険です。 IPv6のインターネットIPアドレスインデクサーがカバーすることはまだまだたくさんありますが、それは実現しています。 Sansはこれに関する記事を持っています。

ここでの問題の1つは、IPv6が内部デバイスへの直接攻撃を可能にすることです。 NATは使用されていません（少なくともipv6の意図です）ため、攻撃者は最初にルーターを発見せず、内部で直接デバイスにメッセージを送信しようとしています。

Ipv6への攻撃にはあまり注意が向けられていませんが、確実に起こっています。私の今日の仕事では、内部ネットワーク上で、IPV4ベースの違反の兆候としてIPv6を探します。

「使用したいためにipv6の完全なブロックをオフにした場合、それではどうなりますか？」という質問に対する回答の提案pfsenseボックスを実行することになります。こちらが記事です。 https://blog.joelj.org/setting-up-pfsense-with-ipv6/ これにより、ネットワーク上のすべてのデバイスではなく、インターネットに公開したいデバイスとサービスのみを開くことができます、脆弱性や設定ミスがある可能性があります。

ファイアウォールを無効にすることは危険ではないというのが私の意見です。しかし、それでも、それは少し賢明ではありません。

私は2014年以来、ファイアウォールを使用せずにIPv6を直接接続していましたが（ただし、プライマリデバイスがアドレス:: 1および:: 10にある場合でも）、IPv6を使用する試みはありませんでした。 IPv4では、SSHの試行、HTTPの脆弱性の試行、一般的なユーザー名とパスワードの試行など、常に発生します。私はfail2banを使用しています。さらに、大きな/ 12 .../16 IPv4ブロックの束を/ dev/nullにルーティングしています。私には役に立たない。これらがなければ、IPv4試行からのログ行の数は1日あたり100.000をはるかに超えます。しかし、言ったように、IPv6では何もしません。

IPv6の試みがなくなると言っているのではありません。しかし、私はIPv6をハッキングするのははるかに難しいと考えています。

/ 64 IPv6サブネットに侵入する必要がある場合、どこから始めればよいかわかりません。おそらく、2 ^ 64ブロックをランダムに撃つ代わりに、最初に他の手段（サポートについての偽の電話？）を使用して、その宛先にある機器を見つけ、MACアドレスの範囲と計算されたIPv6アドレスを推測できるようにする必要があります。または、ベンダーに特定の脆弱性があることがわかっているベンダーのMACアドレスに集中します。