Pravidla domácího IPv6 firewallu

[Whocares]

Ahoj,
dneska jsem si rozchodil na domácí síti s Mikrotik routerem nativiní IPv6 přes ADSL od T-Mobilu. Všechno funguje pěkně, akorát si moc nevím rady s pravidly na firewallu a potřeboval bych s nimi pomoci. Jedná se o domácí síť, klientům na interfacu LAN_WLAN věřím, ti si mohou posílat co chtějí kam chtějí. Z internetu (interface adsl) nepotřebuju mít přístupné žádné služby na domácí síti a krom trochu ICMPv6 chci všechno zahazovat. Jiné interfacy na tom Mikrotiku nemám. Vytvořil jsem si podle inspirace na netu následující konfiguraci a nejsem si jist, jestli je tam pokryto vše... Budete někdo prosím tak hodný a hodíte na to očko?

Díky moc!

Kód: [Vybrat]

add chain=input limit=100,5 protocol=icmpv6
add action=drop chain=input protocol=icmpv6
add chain=forward limit=100,5 protocol=icmpv6
add action=drop chain=forward protocol=icmpv6
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input dst-port=546 in-interface=adsl protocol=udp
add action=drop chain=input in-interface=adsl
add chain=forward connection-state=established
add chain=forward connection-state=related
add action=drop chain=forward in-interface=adsl
add action=drop chain=input in-interface=adsl

[Reklama]

[Mirek Prýmek]

Vypadá to dobře, akorát nerozumím tomu portu 546. Opravdu IPv6 nastavuješ pomocí DHCPv6?

[Whocares]

Díky za reakci! Ten port 546 jsem pravda dogooglil, protože Mikrotik nedostával od T-Mobilu rozsah,což tohle spravilo..

[Mirek Prýmek]

Díky za reakci! Ten port 546 jsem pravda dogooglil, protože Mikrotik nedostával od T-Mobilu rozsah,což tohle spravilo..

Hm, je to možný, že to tak T-mobile má. Běžnější je použití router solicitation, který běží přes icmp6 ( http://wiki.mikrotik.com/wiki/Manual:IPv6/ND#Stateless_address_autoconfiguration ).

Pokud T-mobile autokonfiguraci nepodporuje, tak nevím, jestli by to nechtělo ten port ještě nějak omezit, aby ti na něj nemohl posílat kdokoli cokoli. To teď z hlavy nevím, jak by se dalo udělat, třeba poradí někdo jinej. Pokud by autokonfiguraci podporoval a nepoužíváš jejich DNS, tak bych rozjel radši autokonfiguraci, je to přinejmenším robustnější řešení.

Teď ještě jak na to koukám, nevidím tam povolení odchozích paketů. To asi chceš, ne?

[Kolemjdoucí]

Díky za reakci! Ten port 546 jsem pravda dogooglil, protože Mikrotik nedostával od T-Mobilu rozsah,což tohle spravilo..

Hm, je to možný, že to tak T-mobile má. Běžnější je použití router solicitation, který běží přes icmp6 ( http://wiki.mikrotik.com/wiki/Manual:IPv6/ND#Stateless_address_autoconfiguration ).

Vůbec nevíte o čem mluvíte. DHCPv6 je dnes jediný standardizovaný protokol umožňující autokonfiguraci veřejných IPv6 adres v LAN (viz RFC 3769). Nechcete přeci připojit jen ten router, nebo snad nedejbože zavádět NAT?

[Reklama]

[Mirek Prýmek]

Vůbec nevíte o čem mluvíte. DHCPv6 je dnes jediný standardizovaný protokol umožňující autokonfiguraci veřejných IPv6 adres v LAN (viz RFC 3769). Nechcete přeci připojit jen ten router, nebo snad nedejbože zavádět NAT?

Především nechci, aby se mi adresy strojů v síti měnily jakkoli se ISP zachce. Chci, aby mi ISP řekl, že můj rozsah je XYZ/64 a na svém routeru si chci nastavit normální router solicitation. Dynamické nastavování adres přes DHCP je zlozvyk z v4 a nevidím důvod, proč by se měl tahat do v6.

Největší přínos v6 je v tom, že na libovolné ledničce nebo dveřnímu pantu můžu přidělit globálně dosažitelnou adresu a přímo se na ni připojit odkudkoli z celého světa. Pokud o tuhle možnost kvůli dynamickým adresám přijdu, nevím, k čemu by mi šestka byla dobrá (kromě možnosti připojit se na *statické* adresy v jiné síti).

[Kolemjdoucí]

Vůbec nevíte o čem mluvíte. DHCPv6 je dnes jediný standardizovaný protokol umožňující autokonfiguraci veřejných IPv6 adres v LAN (viz RFC 3769). Nechcete přeci připojit jen ten router, nebo snad nedejbože zavádět NAT?

Především nechci, aby se mi adresy strojů v síti měnily jakkoli se ISP zachce. Chci, aby mi ISP řekl, že můj rozsah je XYZ/64 a na svém routeru si chci nastavit normální router solicitation. Dynamické nastavování adres přes DHCP je zlozvyk z v4 a nevidím důvod, proč by se měl tahat do v6.

Největší přínos v6 je v tom, že na libovolné ledničce nebo dveřnímu pantu můžu přidělit globálně dosažitelnou adresu a přímo se na ni připojit odkudkoli z celého světa. Pokud o tuhle možnost kvůli dynamickým adresám přijdu, nevím, k čemu by mi šestka byla dobrá (kromě možnosti připojit se na *statické* adresy v jiné síti).

Evidentně nevíte jak to chodí ve světě velkých ISP. Ti trvají na autokonfiguraci (i když běžně přidělují stále stejné adresy a to je to co ve skutečnosti potřebujete, nikoliv statickou konfiguraci!), protože každý zákazník který si cokoliv nastavuje manuálně je potenciální zdroj problémů které je třeba draze řešit (je potřeba větší callcentrum nebo helpdesk). Je potřeba aby zákazník zapojil koupenou krabičku (router) a ta okamžitě fungovala bez jakéhokoliv donastavování. Berte nebo nechte být, ale umožňovat zrovna vám s DSL přípojkou za pár korun nějaké speciální nastavování je nereálné.

[Mirek Prýmek]

Evidentně nevíte jak to chodí ve světě velkých ISP.

To nevím a ani jsem o tom nic netvrdil. Řekl jsem, že pokud T-mobile statické nastavení adres v lokální síti umožňuje, tak bych ho využil raději než dhcp.

Je potřeba aby zákazník zapojil koupenou krabičku (router) a ta okamžitě fungovala bez jakéhokoliv donastavování. Berte nebo nechte být, ale umožňovat zrovna vám s DSL přípojkou za pár korun nějaké speciální nastavování je nereálné.

Zajímavé je, že ve smlouvě statické v4 IP adresy často bývají uvedeny. Nechápu, jaký by měl být rozdíl v tom, kdyby tam měl být v6 rozsah. DHCPv6 samozřejmě pro BFU v síti může běžet, ale z toho nijak neplyne, že ho musím používat. Tím spíš, pokud

běžně přidělují stále stejné adresy

Takže tím bych uzavřel diskusi nad tím, čemu nerozumím a co vůbec netuším, protože to myslím tazatele ani nikoho jiného moc nezajímá.

[Whocares]

Pokud T-mobile autokonfiguraci nepodporuje, tak nevím, jestli by to nechtělo ten port ještě nějak omezit, aby ti na něj nemohl posílat kdokoli cokoli. To teď z hlavy nevím, jak by se dalo udělat, třeba poradí někdo jinej. Pokud by autokonfiguraci podporoval a nepoužíváš jejich DNS, tak bych rozjel radši autokonfiguraci, je to přinejmenším robustnější řešení.
Teď ještě jak na to koukám, nevidím tam povolení odchozích paketů. To asi chceš, ne?

Tak to omezení jsem udělal tak, že jsem tam přidal ještě src-address=fe80::/64, čímž by se to mělo vyřešit,ne?

Ještě jsem našel jednu konfiguraci, se kterou to taky funguje pěkně a přijde mi trochu přehlednější.

Kód: [Vybrat]

add chain=input comment="Router - Allow IPv6 ICMP" protocol=icmpv6
add chain=input comment="Router - Accept established connections" connection-state=established
add chain=input comment="Router - Accept related connections" connection-state=related
add action=drop chain=input comment="Router - Drop invalid connections" connection-state=invalid
add chain=input comment="Router- UDP" dst-port=546 protocol=udp src-address=fe80::/64
add chain=input comment="Router - From our LAN" in-interface=LAN_WLAN
add action=drop chain=input comment="Router - Drop other traffic"
add action=drop chain=forward comment="LAN - Drop invalid Connections" connection-state=invalid
add chain=forward comment="LAN - Accept ICMPv6 " protocol=icmpv6
add chain=forward comment="LAN - Accept established Connections" connection-state=established
add chain=forward comment="LAN - Accept related connections" connection-state=related
add chain=forward comment="LAN - Internal traffic" in-interface=LAN_WLAN
add action=log chain=forward comment="LAN - Log everything else" log-prefix="Log IPv6"
add action=drop chain=forward comment="LAN - Drop everything else" connection-state=new in-interface=adsl


[Mirek Prýmek]

Tak to omezení jsem udělal tak, že jsem tam přidal ještě src-address=fe80::/64, čímž by se to mělo vyřešit,ne?

To prave z hlavy nevim, odkud tam ty packety putuji. Pokud je to vzdycky po link-local, tak by to takhle bylo asi ok.

Ještě jsem našel jednu konfiguraci, se kterou to taky funguje pěkně a přijde mi trochu přehlednější.

Jo. Už tam máš i to propouštění packetů zevnitř, takže myslím, že je to cajk.

[Whocares]

Nechal jsem si ty packety logovat a vypadá to, že jsou fakt jen z link-local, i když to resetnu, tak ten rozsah znovu dostane.
Tak diky moc za pomoc!

[Martin]

Zdravim
Par poznamek k firewallu:

# add chain=input action=accept in-interface=LAN_WLAN  # s routerem budes asi z vnitrni site chtit komunikovat.
add chain=input comment="Router - Allow IPv6 ICMP" protocol=icmpv6
add chain=input comment="Router - Accept established connections" connection-state=established
add chain=input comment="Router - Accept related connections" connection-state=related
add chain=input action=drop comment="Router - Drop invalid connections" connection-state=invalid # toto pravidlo je splneno poslednim pravidlem, odstranit, pokud te nezajima counter.
add chain=input comment="Router- UDP" dst-port=546 protocol=udp src-address=fe80::/64
add chain=input comment="Router - From our LAN" in-interface=LAN_WLAN
add chain=input action=drop comment="Router - Drop other traffic"  # timto se zahodi i komunikace vnitrni sit -> router, viz pridane pravidlo na radku 1.

add chain=forward comment="LAN - Accept ICMPv6 " protocol=icmpv6
add chain=forward comment="LAN - Accept established Connections" connection-state=established  # zbytecne prohlizi pakety z vnitrni site, viz nasledujici poznamka
add chain=forward comment="LAN - Accept related connections" connection-state=related
add chain=forward comment="LAN - Internal traffic" in-interface=LAN_WLAN # toto pravidlo je nutne dat jako prvni z chainu FORWARD, LAN->WAN komunikace ma pak o 4 pravidla rychlejsi cestu.
add chain=forward action=log comment="LAN - Log everything else" log-prefix="Log IPv6"   # pravidlo bude logovat hromadu UDP paketu, logy budou nejspis k nicemu.
add chain=forward action=drop comment="LAN - Drop invalid Connections" connection-state=invalid # posunuto za log, pokud bude log fungovat je dobre vedet o invalidni komunikaci, pokud ne je potreba ho vyhodit.
add chain=forward action=drop comment="LAN - Drop everything else" connection-state=new in-interface=adsl


  Nijak se neomezuje UDP komunikace na stroje ve vnitrni siti (IPv6 jsou vsechny verejne, ze?) IPv6 obecne nema zadne solidni L2/L3 zabezpeceni, takze pokud na strojich ve vnitrni siti neni nasazeny kvalitni personal firewall s IPv6 funkci, doporucuji celou IPv6 vypnout.
  Navic zabezpeceni na urovni jakkoliv pridelenych IPv6 adres neni opravdu funkcni, stroj muze mit statickou/DHCPv6/SLAAC IP, plus k tomu ma jeste automatickou privatni zalozenou na MAC (EUI-64), plus jeste dalsi docasnou automatickou ktera na MAC zalozena neni a prubezne se meni (diky privacy extension v IPv6). NEDA se urcit kterou z techto IP stroj pouzije jako odchozi (vedou vsechny do stejne site), a pokud nechcete nastavovat i dynamicke DNS a resit firewall nejak nad hostname misto IP, coz uz je pro domaci sit s kanonem na vrabce. Pokud nemate nejaky OPRAVDU dobry duvod proc pouzit IPv6, pak mate OPRAVDU dobry duvod proc ho nepouzit.

[Martin]

mala oprava, prehlednul jsem predposledni pravidlo v INPUT chainu. Bude fungovat, ale stejne jako u FORWARD je zbytecne pozde, ma byt na zacatku.

[Mirek Prýmek]

IPv6 obecne nema zadne solidni L2/L3 zabezpeceni

Tim myslíš jenom to, co píšeš níž, nebo ještě něco jinýho?

  Navic zabezpeceni na urovni jakkoliv pridelenych IPv6 adres neni opravdu funkcni, stroj muze mit statickou/DHCPv6/SLAAC IP, plus k tomu ma jeste automatickou privatni zalozenou na MAC (EUI-64), plus jeste dalsi docasnou automatickou ktera na MAC zalozena neni a prubezne se meni (diky privacy extension v IPv6). NEDA se urcit kterou z techto IP stroj pouzije jako odchozi (vedou vsechny do stejne site), a pokud nechcete nastavovat i dynamicke DNS a resit firewall nejak nad hostname misto IP, coz uz je pro domaci sit s kanonem na vrabce. Pokud nemate nejaky OPRAVDU dobry duvod proc pouzit IPv6, pak mate OPRAVDU dobry duvod proc ho nepouzit.

A on snad existuje nějaký OPRAVDU dobrý důvod, proč na domácí (koneckonců i jakékoli jiné) síti firewallovat odchozí provoz?

[Martin]

ale ten firewall nefiltruje ani prichozi UDP a koncove stanice budou mit verejnou IP...
navic odchozi komunikace tak nejak definuje i tu navratovou, ze, takze v pripade ze udelam restrikci na IP/port v routeru, nikde nemam jistotu, ze to pravidlo bude fungovat protoze stroj muze komunikovat na minimalne trech IP, pricemz dve z nich jsou nepredikovatelne.
Filtrovani odchozi komunikace rozhodne smysl ma, pokud se bavime o zabezpecene siti ze ktere nechci ven poustet spam/zombie a podobne. Realnemu napadeni pres diry v systemu totiz uplne zabranit nelze, lze jen minimalizovat nasledky.
Ale asi mame kazdy uplne jiny nazor na zabezpeceni site.
Pochopitelne, pokud vam nevadi vyuzivani vaseho pripojeni k netu treti stranou, jen do toho.