IPv6 + firewall a identifikace klientů

PanVP

IPv6 + firewall a identifikace klientů
« kdy: 08. 06. 2021, 18:18:26 »
Ahoj,

mějme dynamickou IPv6 získanou z SLAAC.
Všechno se mění, síť i adresy klientů.

Jak postavit pravidla centrálního linuxového firewallu, aby bylo možné jednoznačně říct, který klient má kam přístup?
Část klientů nesmí na internet vůbec, část může pouze navazovat spojení a na pouhé dva stroje je povolený port z internetu.

Identifikace klientů na základě MAC prý není optimální, což mohu potvrdit.
Jsou nějaké možnosti, jak klienty jednoznačně identifikovat jinak než podle MAC?

Někdo dělal chytrého, že stavět pravidla firewallu na MAC adresách je blbost, protože se zavádí "MAC Address Randomization", aby se zlepšila ochrana soukromí atd. Je k dispozici snad jiný, lepší, identifikátor?


Re:IPv6 + firewall a identifikace klientů
« Odpověď #1 kdy: 08. 06. 2021, 22:49:16 »
Třeba 802.1X nebo proxy s ověřením.
Chtít identifikovat na L2/L3 úrovni z IP nebo MAC adresy je kravina.
Kravina to byla odjakživa, ale MAC a IPv4 k tomu sváděly, takže spousta zoufalců to začala považovat za metriku zabezpečení.

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #2 kdy: 08. 06. 2021, 23:37:19 »
takže spousta zoufalců to začala považovat za metriku zabezpečení.

To si mám jako postavit Radius server?
Já chápu, že nejlepší nástroj na operování je kybernůž, ale chci si jen vymáčknout beďara.
Nechci implementovat Radius, byla by to hovadina, totální kravina.

Požadavek je opravdu triviální - podobně jako na IPv4, chci řídit přístup klientů do internetu.
Aktuálně mi stačí nastavit na DHCP rezervace a pro dané adresy nastavit pár snadných pravidel.
« Poslední změna: 08. 06. 2021, 23:40:17 od PanVP »

M_D

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #3 kdy: 09. 06. 2021, 00:05:34 »
Vidíš, jsou LAN, kde se uplatňuje plně i MACsec, takže komunikace mezi klienty se šifruje na L2. Pak kdo je kdo se poznává krásně. :-)

Pokud ti stačí ke štěstí systém jak v IPv4, že jsi dal klientovi v DHCPv4 pevnou IP dle MAC a na tu IP dával pravidla ve firewallu, tak pokud máš v síti jen klienty, kteří podporují stavové DHCPv6, tak jim úplně stejně nastav IPv6 adresu přes DHCPv6 plus přes ohlášení routeru vypni, aby klienti si přiřadili adresu dle SLAAC a máš to stejné. Pokud klienti umí jen SLAAC, tak jim nech SLAAC a vypni privacy extension a také budeš mít jasné, kdo je kdo na podobné úrovni, jak s tím DHCPv4 a firewallem na IPv4 (jen u toho SLAAC bez PE to bude kapánek i jasné dalším mimo tvou síť). :-(

Re:IPv6 + firewall a identifikace klientů
« Odpověď #4 kdy: 09. 06. 2021, 00:14:22 »
takže spousta zoufalců to začala považovat za metriku zabezpečení.

To si mám jako postavit Radius server?
Já chápu, že nejlepší nástroj na operování je kybernůž, ale chci si jen vymáčknout beďara.
Nechci implementovat Radius, byla by to hovadina, totální kravina.

Požadavek je opravdu triviální - podobně jako na IPv4, chci řídit přístup klientů do internetu.
Aktuálně mi stačí nastavit na DHCP rezervace a pro dané adresy nastavit pár snadných pravidel.

Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.

Rozchodit Radius není raketová věda a posune to z principu blbé řešení do normálu.
Jestli máte v síti Windows Server / AD, je to hotové za 15 minut i s vypitým kafem.

Neznám ale use case, takže možná by se dalo vůbec najít lepší řešení na danou situaci. Vím jen to, že chcete filtrovat provoz podle identifikace, ale vlastně nevím proč (už zde se může nabízet třeba lepší řešení, než filtrování provozu), nevím pro kolik klientů, kolik je různých sad pravidel atd.


M_D

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #5 kdy: 09. 06. 2021, 07:04:59 »
Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.
Nemusí SLAAC vypínat, pokud v sítí má věci, co DHCPv6 neumí. I u SLAAC je přidělená  IPv6 adresa pevně jasná (a u klasická implementace má v sobě MAC adresu stroje ve formě EUI-64). Stačí vypnout privacy extension pro randomizaci adres pro odchozí spojení.
Ono ani samotné 802.1x nic neřeší. Z něho se nedozvím jakou kdo má IPv4/6 adresu. Jenže ono to pak potřebuje spolupráci víc zařízení na víc vrstvách, aby se to správně celé poskládalo.

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #6 kdy: 09. 06. 2021, 08:13:08 »
blááábláááblááá

To jako si má každá domácnost postavit svůj Rádius, když chce tiskárně zakázat přístup na net úplně a zakázat navazování spojení z vnějšku? Nezlobte se, ale pochybuji o vaší příčetnosti.
Nechci se hádat, jen vás prosím, ocením, pokud už nebudete reagovat na moje příspěvky.
Děkuji.

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #7 kdy: 09. 06. 2021, 08:24:40 »
nastav IPv6 adresu přes DHCPv6 plus přes ohlášení routeru
To není možné, část klientů umí jen SLAAC.
Mimo to, čas od času se mění celá adresa sítě, nejsem si jistý, jestli by to nenarušilo fungování DHCPv6.

Pokud klienti umí jen SLAAC, tak jim nech SLAAC a vypni privacy extension a také budeš mít jasné, kdo je kdo na podobné úrovni, jak s tím DHCPv4 a firewallem na IPv4
A není tedy menší zlo použít filtry na zdrojové MAC adresy?

Já tímhle způsobem fungoval, ale při aktualizaci jednoho Debianího serveru se to "zase samo zapnulo".
Když jsem to tenkrát v diskuzích řešil, tak prý "neměl jsem to vypínat" a "it should be enabled by default", "turn it off is a stupid idea" a nejlepší "you should find a proper way to implement your firewall setting".

Takže...jsem z toho nějaký smutný.
Nastavení pravidel na základě MAC adresy (asi??????) není dobrý nápad.
Vypnutí PE není dobrý nápad...  >:(

U babči, strejce a dalších příbuzných určitě nebudu nasazovat Rádius kvůli tomu, abych zakázal přístup jejich tiskáren a laciných IP kamer do netu. Jistě, ZATÍM ZŮSTÁVÁM NA IPV4, protože mi přijde IPv6 rozjebaná a nedotažená.
Jen jsem myslel, že po deseti letech už byly všechny problémy vychytány.  :-\
Domníval jsem se, že bych třeba mohl zapnout alespoň dualstack... ::)

Každopádně tohle není vaše chyba, děkuji za váš názor.

M_D

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #8 kdy: 09. 06. 2021, 08:43:54 »
Ono to chce specifikovat pro jaké prostředí to řešíš a co v něm je za techniku na straně klientů i síťové infrastruktury. Pokud píšeš v prvním o centrálním linux firewallu, tak to také není výbava každé domácnosti, takže člověk čekal nějakou malou firmu. :-(
Pokud řešíš jen domácí síťku, tak asi půjdu to řešit jinak, než firemní prostředí.

Tiskárnu mám v samostatné VLAN (Brother umí IPv6) a filtruji na základě příchozího provozu z VLAN kam co ne/může, takže nemusím ani hledat, jak se v ní vypíná PE (a stejně má jen ULA adresu, takže ven nemůže, i kdyby chtěla). Podobně by šlo řešit další - tkrátka záleží, co máš za krabici u nich a co ne/umí. A doma pro prvotní filtr dle MAC v klidu použiju.
Ohledně změny IPv6 adresy - mám filtraci a spol udělánu na Mikrotik routerech s použitím address listů. Přímo používám dynamický renumbering (víc IPv6 uplinků a přepínám). Klienti mají jednak "fixní" ULA IPv6 adresu pro vnitřní provoz (a tyot adresy mám ve vnitřním DNS) a pak dynamickou globální dle právě aktivního IPv6 uplinku, což se něky změni i 3x za den. V Mikrotiku skript dle toho se přehodí obsahy address listů a jede se dál.

Jinak babču, dědu a spol řeším tak, že z jejich routerů mají VPNky ke mě domů, zde mám Radius, doménový řadič, ..., co řídí/aktualizuje/dohleduje jejich síťky a počítače na dálku. :-)

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #9 kdy: 09. 06. 2021, 08:51:18 »
Pokud píšeš v prvním o centrálním linux firewallu, tak to také není výbava každé domácnosti, takže člověk čekal nějakou malou firmu. :-(

Ano, je to primárně pro kancelář, ale požadavky domácností jsou v podstatě stejné, počet kusů je samozřejmě nižší, ale technika hodně podobná, včetně základních požadavků na zabezpečení.
Ad domácnost: Firewall, který to hlídá, pár (dvě) kamer, NAS pro kamery, tiskárna, nějaký dveřní systém, teploměr/kotel.
Ad firma: Firewall, který to hlídá, víc kamer, lepší NAS pro kamery, samostatný NAS, víc tiskáren.

M_D

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #10 kdy: 09. 06. 2021, 09:00:37 »
Je třeba si realisticky uvědomit, že pro běžný SOHO segment je už hodně nadstandartní to, že chci vůbec filtrovat nějaký odchozí provoz (a je jedno, zda IPv4 nebo IPv6). :-)
V podstatě platí, že v takévém prostředí se řeže příchozí provoz (a občas jen povolí příchozí port/přesměrování, v domácím prostředí to často si udělá konfové zařízení samo pomocí UPnP, NAT-PMT, ...) a odchozí ven je volně puštěn.

V klidu bych použil ty filtry dle MAC adres. Pokud mám prostředí s rozumnou podporou VLAN, tak rozhážu ty kategorie do VLAN a filtruji primárně dle toho z jaké VLAN to přichází, kam odchází.

M_D

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #11 kdy: 09. 06. 2021, 10:06:16 »
Mimo to, čas od času se mění celá adresa sítě, nejsem si jistý, jestli by to nenarušilo fungování DHCPv6.
DHCPv6 protokol s takovým režimem počítá. Takže pokud přijde změna adres, tak DHCPv6 server obešle klienty, že současná adresa již neplatí a mají požádat o novou. Bylo to tak navrženo zejména s ohledem na  SOHO segment.
Jiná věc je, jak moc to mají zvládnuty jednotlivé implemetace (netestoval jsem).

Re:IPv6 + firewall a identifikace klientů
« Odpověď #12 kdy: 09. 06. 2021, 10:25:15 »
blááábláááblááá

To jako si má každá domácnost postavit svůj Rádius, když chce tiskárně zakázat přístup na net úplně a zakázat navazování spojení z vnějšku? Nezlobte se, ale pochybuji o vaší příčetnosti.
Nechci se hádat, jen vás prosím, ocením, pokud už nebudete reagovat na moje příspěvky.
Děkuji.

Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

Re:IPv6 + firewall a identifikace klientů
« Odpověď #13 kdy: 09. 06. 2021, 10:37:19 »
Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.

Re:IPv6 + firewall a identifikace klientů
« Odpověď #14 kdy: 09. 06. 2021, 12:08:35 »
Pro dynamicky menici se prefixy pouzit ULA v siti. Nasazeni proxy je sice easy, ale nepokryje to vsechny typy protokolu.

Anebo DNS.
« Poslední změna: 09. 06. 2021, 12:10:16 od czechsys »