Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: kutildomaci 11. 10. 2023, 11:30:18
-
Příliš dlouho jsem se vyhýbal IPv6 a teď brouzdám po webu a marně se snažím zorientovat.
O tom, že IPv6 je úžasná budoucnost jsem četl přehršel článků, ale v žádném - i když tu a tam narazím na zajímavé informace - jsem nedokázal najít základní shrnutí pro mírně paranoidního, jen lehce pokročilého uživatele, jak IPv6 nastavit bezpečně. Všude se omílá to, jak není potřeba NAT (budiž) a jak lze adresovat i sebenepatrnější IOT (což nechci).
Moje základní požadavky jsou
- LAN striktně nepřístupná zvenku
- lokální IPv6 přiděluje lokální DHCP v privátním rozsahu, který lze filtrovat firewallem
Můj předpoklad, možná staromódní, je, že z internetu MUSÍ být vidět POUZE router. NIKDY zařízení za ním v LAN, dokud je explicitně nepovolím, nepřiřadím jim veřejnou IP adresu, nebo na ně nesměruji provoz z TCP portu.
Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?
Jdou moje požadavky tak moc proti filozofii IPv6?
Pokud ano, co bych měl pozměnit?
Co je praktické a co už ne?
Nyní, když koukám na svůj domácí router, kde je IPv6 stále zakázané pomocí iptables6, tak má adresy na vnějším i vnitřním rozhraní začínající fe80: atd... dočetl jsem se, že interní má začínat fd ... jak to zařídit?
Může být CZ, SK, EN, RU... další jazyky bych musel s překladačem.
-
Doporučuji přečíst knížku od Pavla Satrapy o IPv6. Dá se koupit papírová nebo stáhnout PDF z webu Edice CZ.NIC (https://knihy.nic.cz/). Tam je krásně popsáno úplně všechno včetně principů, adresace, použití firewallu a dalších témat.
-
Doporučuji přečíst knížku od Pavla Satrapy o IPv6. Dá se koupit papírová nebo stáhnout PDF z webu Edice CZ.NIC (https://knihy.nic.cz/). Tam je krásně popsáno úplně všechno včetně principů, adresace, použití firewallu a dalších témat.
da se cist i online, ale zena mi dala knihu k vanocum, paradni vec.
-
Odpověď na tvé otázky a požadavky: IPv6 neřeš. je zbytečné.
Jsi totiž pouze konzumentem nějaké základní služby, který nemá znalosti a očekává pouze elementární bezúdržbovou funkčnost. NAT založený na stávajícím TCP (tzn. IP verze 4) pro tvoji domácí LAN, je a bude plně dostačující a v dohledné době 10-20 let stále funkční.
Až budeš řešit ovládání žárovek přes internetové cloudy, IPTV a rádia s placenými tarify pro jednoznačnou identifikaci zařízení a domácnosti, ledničky pro objednávání zboží, různé spínače a vypínače pro ovládání něčeho placeného (opět komunikace na úrovni hardwarové autorizace proti nějaké službě) tak pak tě to začne zajímat. Samozřejmě těch aplikací (žaluzie, větrání a topení, zabezpečení) může být více stačí dohledat termín "chytrá domácnost". Umím si představit např. tiskárnu a její účtování, a samozřejmě práci odkudkoliv, na základě připojení pomocí IPv6, i když toto samozřejmě funguje i dnes pomocí stávajích protokolů.
-
Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?
- DHCPv6 v lokální síti nepoužívejte, spousta zařízení je nepodporuje (v čele s Androidem).
- Nepoužívejte ULA (adresy začínající na fd..:...) jako ekvivalent privátních IPv4 adres, tak to nefunguje.
- V lokální síti (LAN) normálně použijte globální IPv6 adresy. Nepoužívejte NAT66.
- Pro znepřístupnění LAN z Internetu použijte stavový firewall na routeru. Povolte pouze spojení iniciovaná z vnitřní sítě do Internetu, cestu naopak filtrem zablokujte.
- Pokud máte zařízení, kterým chcete zabráit přístup do Internetu, dá se to vyřešit buď oddělením do samostatné VLAN (která nemá přístup ven) nebo na firewallu přidejte pravidlo pro zabránění přístupu do Internetu s MAC adresou takových zařízení.
Na řeči "IPv6 nebude potřeba dalších 10-20 let" nedejte. Palec nahoru za odvahu zkusit něco nového.
-
Jsou to vhodné rady, ale jak se bez toho DHCPv6 v praxi obejít, pokud je připojen u "chytrého" ISP, který přidělí prefix /64?
-
Jsou to vhodné rady, ale jak se bez toho DHCPv6 v praxi obejít, pokud je připojen u "chytrého" ISP, který přidělí prefix /64?
Kdyz ti nekdo neprideli zadne adresy, tak proste zadne nemas. /64 je v ipv6 presne totez.
-
zkousel jsem na openwrt zapnout ipv6 relay, od Starnetu mam /64.
Nejak to funguje, jak zarizenim vyprsel ipv4 lease tak se poznalo, ktere umi ipv6 a ktere ne.
ipv6 je super, ze zarizeni jsou dostupna pres lokalni a globalni adresu, takze i kdyz se neco podela, vetsinou se v LAN da ke vsemu nejak pripojit. Stavajici nastroje co pouzivam neumi pres ipv6 zjistit hostname zarizeni v LAN, je potreba si s tim nejak poradit.
Muj zamestnavatel VPN podporuje jen na ipv4, byl jsem prvni exot co hlasil, ze mi nejde z ipv6 pracovat.
Takze ipv6 mam aktualne vypnute, protoze spousta veci ma nefunkcni ipv6 implementaci (androidy, iot krabicky) a na dalsi experimentovani si udelam separatni VLAN, abych si nerozbil fungujici sit.
-
> Petr Krčmář: Díky, Satrapou se zkusím prokousat, ale teď po prvních pár desítkách stránek se obávám, že to je víc informací, než potřebuju. Spousta pěkné teorie, ve které se zahrabu a bude mi k (převážně) ničemu.
> Radek Zajíc: Díky. Zhruba tak jsem si představoval stručné "nasměrování" z praxe. Nicméně, na každou radu mi napadá několik zpřesňujících otázek, počínaje Proč?
Ad DHCPv6 - jak si zařízení vymýšlejí svou adresu, když ne podle DHCP?
Proč bych neměl používat rozsah fd00::/8? Povede to k něčemu špatnému? Znamená to, že v IPv6 neexistuje rozsah pro LAN funkčně ekvivalentní těm třem z IPv4?
Proč bych se měl za každou cenu vyhýbat NATu? Já považoval ten "strašně nežádoucí" důsledek, že zařízení ve vnitřní síti nelze díky firewallu s NATem adresovat přímo za docela dobrou vlastnost (resp. dobrou možnost).
V LAN mohu mít připojená zařízení, která nejsou dost aktuální, mohou mít lokálně zneužitelné bezpečnostní chyby a není žádoucí, aby k nim byl jiný přístup než lokální (IOT, ale bez spojení ven). Ale protože do LAN je omezený přístup, tak to nemusí vadit. Nechci tuhle možnost s IPv6 ztratit.
Jak se řeší potřeba připojit zařízení, která umí pouze IPv4, ale router má vnější IPv6 adresu a poskytovatel nenabízí dualstack?
Jak to, že rozsah /64 dále nedělitelný, když celá adresa má 128 bitů, ale zrovna jsem se k tomu dočetl v té Satrapově knize... jak tohle hodnotit slušně? Chápu tedy správně, že když mi poskytovatel přidělí IPv6 s rozsahem /64, tak připojím jen jedno koncové zařízení a opět musím použít NAT? (nepodaří-li si vymámit /56?) Nebo si s těmi 64 bity v dolní části adresy pořád můžu dělat cokoli?
-
Opravdu doporučuju tu knihu od pana Satrapy. Tam najdete odpovědi na všechny otázky. ;-) Mít IPv6 a toužit po NATu, to je vyloženě proti logice IPv6. Prakticky všude, kde mám domácí připojení, mám IPv6 a jediné, co mne trošku irituje, je výkon Mikrotiku s IPv6, ne IPv6tka samotná. :-)
-
Opravdu doporučuju tu knihu od pana Satrapy. Tam najdete odpovědi na všechny otázky. ;-) Mít IPv6 a toužit po NATu, to je vyloženě proti logice IPv6. Prakticky všude, kde mám domácí připojení, mám IPv6 a jediné, co mne trošku irituje, je výkon Mikrotiku s IPv6, ne IPv6tka samotná. :-)
Upřímně, já víc toužím po soukromí než po IPv6. A pokud by IPv6 bez NATu znamenala ztrátu soukromí, tak bude NAT i kdyby to bylo rouhání a hereze proti celé filozofii... ať už se pod tím skrývá cokoli. Vlastně se v tom vrtám jen proto, že se to zdá být nevyhnutelné a je lépe být připraven.
Ale knihu se pokusím dočíst celou a možná opakovaně (protože zaručeně napoprvé leccos přehlédnu). To mi nějaký čas zabere. Pak se budu možná ptát znovu a rozumněji :) Možná.
-
V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)
-
V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)
ze kazda zarovka bude venku v internetu a bude dostupna odkudkoliv.
-
Ale na to je firewall, stejně jako v IPv4.
V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)
Lze diskutovat o tom, že pokud je použit CGNAT, je těch 32 bitů sdíleno větším množství lidí, zatímco 64 bitů u IPv6 bude často konstantních pro danou síť (třeba domácnost). Ale slyšel jsem i o tom, že v Německu (u některých ISP?) prý ty IPv6 /64 prefixy nejsou dlouhodobě konstantní u domácích přípojek, právě kvůli soukromí. Ovšem taková rotace by třeba pro mě byla komplikace, když chci používat ssh zvenku na některé stroje uvnitř.
-
Doporučuji přečíst knížku od Pavla Satrapy o IPv6.
Tazatel se ptá na lehký úvod. Tipl bych si, že čekal radu ve stylu tady Ondra Celetka napsal na Rootu krátký seriál na toto téma a ne tip na 450 stránkovou bichli. Ta bude super ve chvíli, kdy se bude chtít dozvědět víc.
BTW, kdy Root konečně nějak vyřeší to automatické odhlašování? Je hodně blbé, když napíšu příspěvek a místo toho se dozvím, že jsem byl v mezičase odhlášen.
-
ze kazda zarovka bude venku v internetu a bude dostupna odkudkoliv.
Koukam dalsi, ktery si mysli ze kdyz ma neco za NATem, tak je to zvenku nedostupny ...
Edit admin: Prosím bez urážek!
-
V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)
ze kazda zarovka bude venku v internetu a bude dostupna odkudkoliv.
Nebude. Od toho je firewall na routru, ktery si musite nastavit tak aby nepovolil komunikaci na zarizeni ve vnitrni siti.
Coz by se melo delat i s IPv6 a NATem :)
-
Koukam dalsi, ktery si mysli ze kdyz ma neco za NATem, tak je to zvenku nedostupny ...
Ano, některá zařízení(routery s NAT) mají přímo v manuálu napsáno že všechny packety přicházející z WAN a směrující na existující IP v LAN pokud nejsou nastavená v přesměrování jsou zahazovány. Tudíž jsou nedostupná. (např. v nějakém TP-Link jsem to četl )
-
Ano. To přesně dělá firewall, ne NAT. Ten samý firewall můžete mít (a asi i budete mít) i na IPv6.
-
Ano. To přesně dělá firewall, ne NAT. Ten samý firewall můžete mít (a asi i budete mít) i na IPv6.
Reagujete na mě? Nebo na koho ? Pokud na mě, byl jste někdy v GUI rozhraní TP-Link routeru?
např. https://www.tp-link.com/us/user-guides/tl-wr841n_v14/#ug-sub-title-7 cituji "The router’s NAT (Network Address Translation) feature makes the devices on the LAN use the same public IP address to communicate on the internet, which protects the local network by hiding IP addresses of the devices. "
V sekci firewall většinou bývá např. https://www.tp-link.com/us/user-guides/tl-wr841n_v14/#ug-sub-title-8
SPI Firewall - SPI (Stateful Packet Inspection, also known as dynamic packet filtering) helps to prevent cyber attacks by tracking more state per session. It validates that the traffic passing through the session conforms to the protocol. SPI Firewall is enabled by default.
Dle definic TP-Linku jsou "přesné chování" dost nejasná. Obecně je popis jasný ale jakými konkrétními kroky je to prováděno není nic zveřejněno. NAT oficiálně způsobuje neviditelnost(skrývání) zařízení na LAN tvz. dotazy na informace na zařízeních v LAN prostě ignoruje(nebo zahazuje) a SPI firewall provádí hlubší analýzu packetu které se chtějí připojit na zařízení na LAN, takže je blokuje(či zahazuje pokusy o jejich připojení).
Navíc jsem zažil routery, které tvz. SPI Firewall neměli a stejně to tak taky dělali.
-
Pozor, neplést si SPI (Statefull packet inspection = stavový firewall) s DPI (Deep packet inspection= hloubkové zkoumání co paket nese).
Vzhledem k tomu, že většina routerů bude postavena nad linuxovým jádrem, které stavový firewall má už mnoho let, tak budou SPI ať už to tam mají napsané či ne.
-
Je to tak, jak píše zapik1. V případě některých zařízeí pak může být dokonce problém vůbec stavový IPv6 firewall vypnout nebo v něm udělat výjimku - protože je "by default" zapnutý, aniž by uživatel chtěl.
Samozřejmě jsou i starší zařízení, která žádný IPv6 firewall nemají, a všechen provoz iniciovaný z internetu bez starostí propustí do vnitřní sítě.
-
Pozor, neplést si SPI (Statefull packet inspection = stavový firewall) s DPI (Deep packet inspection= hloubkové zkoumání co paket nese).
Vzhledem k tomu, že většina routerů bude postavena nad linuxovým jádrem, které stavový firewall má už mnoho let, tak budou SPI ať už to tam mají napsané či ne.
Jestli jsi se podíval na ty odkazy tak vidíš že daný typ to DPI ani nemá k dispozici. A prakticky potvrzuješ že jejich popisy v manuálech jsou velmi povrchní a přesně podrobně nic nevysvětlují jak ve vnitřnostech daných zařízení to funguje.
-
Jaká je zavedená praxe u IPS (velkým i malých) ve smyslu přidělení statického/dynamického prefixu? Existují u IPv6 mechanismy, které si poradí s dynamickým prefixem, pokud člověk chce provozovat v sítí reverzní proxy, docker kontejnery s vlastní /64, Wireguard bez NATu?
Poradí si nějak automaticky firewall např. u mikrotiku, docker a wireguard? Zkušenost mám pouze s tunelem od HE.
-
V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)
Chápem, že náhodné bity sú pomerne značná prekážka pre prípadného útočníka.
Vôbec ovšem nerozumiem, ako ma môžu ochrániť pred špehovaním. Špehovač náhodné bity odignoruje. Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Môžeš prosím svoju argumentáciu rozviesť?
-
> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.
-
> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.
Nezáleží to spíš na tom, o jakém špehovači se bavíme?
Provozovatel webu se šmírovacími skripty (Google... a v podstatě kdokoli z bigtech) šmíruje podle uživatelských účtů, otisku prohlížeče, cookies... tam IPv6 nebude mít žádný efekt. Mnohem víc bude záležet, co mu v rámci služby poskytnu já a můj prohlížeč.
Poskytovatel připojení má jiné možnosti, do komunikace se službou vidět nesmí, ale vidí hlavičky procházejících packetů, DNS dotazy, IPv6 adresy (???). Tady mě asi zajímá nejvíc rozdíl IPv4 (síť za NATem) vs IPv6 (jen firewall).
Nebo to chápu špatně? Proč a v čem?
-
Chápeš to dobře, v případě NATu se všechny stroje z vnitřní sítě schovají za jednu IP a na rozlišení je potřeba použít jiné parametry (obsah packetů, nebo třeba i velikost MTU a TTL, pokud různá zařízení mají jiná nastavení). V případě čistě firewallu je podle IP identifikovatelný konkrétní stroj. Na druhou stranu, ten stroj může být zas jen router s NATem a teprv za ním další stroje, poznat to moc nepůjde.
-
Pokud je otázka špehování od ISP, tak IPv6 vs. IPv4 (+NAT) mi přijde jako nepodstatný detail. Ono za normální domácí přípojkou až tolik lidí nežije. (A šmírování od Facebooků a podobných mi přijde mnohem horší, taky proto že vidí obsah a nejen metadata.)
V případě ISP obav bych před ním spíš schoval DNS provoz, v extrémnějším případě tunelovat veškerý provoz na místo kterému v otázce soukromí věřím více (čemuž se často trochu divně říká VPN) nebo TOR.
-
Doporucuji IPv6 kurzy od AFRINIC - jsou zdarma
https://afrinic.academy/
-
Zatím jsem to tady neviděl, takže ve zkratce - v IPv6 existují privacy extensions, které při funkčním SLAAC fungují snad na všech systémech od Windows XP.
Tzn. počítač je pro ostatní počítače viditelný IPv6 adresou, přidělenou pomocí MAC adresy, ale pro komunikaci ven využívá náhodnou IPv6 z rozsahu dané /64. Ta se mění většinou 1x denně.
-
Pokud je otázka špehování od ISP, tak IPv6 vs. IPv4 (+NAT) mi přijde jako nepodstatný detail. Ono za normální domácí přípojkou až tolik lidí nežije. (A šmírování od Facebooků a podobných mi přijde mnohem horší, taky proto že vidí obsah a nejen metadata.)
V případě ISP obav bych před ním spíš schoval DNS provoz, v extrémnějším případě tunelovat veškerý provoz na místo kterému v otázce soukromí věřím více (čemuž se často trochu divně říká VPN) nebo TOR.
Dneska jsem si u Starnetu zkusil pingnout ipv4.google.com a ipv6.google.com
Prumerny ping na ipv4 mam 9ms a na ipv6 23ms.
Pak jsem pustil tracert a byla videt ta tragedie. (Praha - Viden - Mnichov - Praha)
Na ipv6 u nas asi neexistuje peering.