Pravidla domácího IPv6 firewallu

Martin

Re:Pravidla domácího IPv6 firewallu
« Odpověď #15 kdy: 22. 02. 2015, 19:32:07 »
IPv6 nema zadne zabezpeceni. Je to jen protokol. Neobsahuje zadne prvky ktere by mely zabranit nezadouci komunikaci.
Vetsina dnesnich domacich routeru (mtik je jedna z vyjimek) nema ani IPv6 pravidla ve svem firewallu a jede v rezimu pass-through. Pouziti kvalitni ochrany typu L2/L3 firewall a aplikacni firewall na koncovych strojich je prakticky jedina moznost jak chranit koncove stroje. Z toho vseho mi vyplyva ze pokud IPv6 opravdu nepotrebuji, nevidim duvod proc mit vubec IPv6, nebo 6to4 rozhrani vubec zapnute.


mimi

Re:Pravidla domácího IPv6 firewallu
« Odpověď #16 kdy: 22. 02. 2015, 20:47:35 »

  Nijak se neomezuje UDP komunikace na stroje ve vnitrni siti (IPv6 jsou vsechny verejne, ze?) IPv6 obecne nema zadne solidni L2/L3 zabezpeceni, takze pokud na strojich ve vnitrni siti neni nasazeny kvalitni personal firewall s IPv6 funkci, doporucuji celou IPv6 vypnout.
 

ne i u ipv6 existuji privatni rozsahy viz https://en.wikipedia.org/wiki/Private_network#IPv6 + jeste adresy zaciinajici :: ,
napr u 6to4

a jak zaznelo vys , k cemu filtrovat odchozi?

Re:Pravidla domácího IPv6 firewallu
« Odpověď #17 kdy: 22. 02. 2015, 21:01:29 »
Pouziti kvalitni ochrany typu L2/L3 firewall a aplikacni firewall na koncovych strojich je prakticky jedina moznost jak chranit koncove stroje.
Co na těch koncových počítačích běží za nebezpečné služby, že je potřeba je chránit firewallem? Není lepší služby, které tam běžet nemají, vypnout, a služby, které tam běžet mají (což v domácí síti bud možná nějaký NAS) zabezpečit?

Z toho vseho mi vyplyva ze pokud IPv6 opravdu nepotrebuji, nevidim duvod proc mit vubec IPv6, nebo 6to4 rozhrani vubec zapnute.
Já zase nevidím důvod, proč konfigurovat nějaký firewall, když tomu dotyčný nerozumí. V případě firewallu totiž vůbec nejde o to, zda ho někdo nebo nemá, ale jestli ho umí správně nastavit, správně používat. Nechápu tuhle módu, kdy každý, kdo umí něco naklikat, má pocit, že musí mít firewall. Řekl bych, že je to úplně stejné, jako se zbraní - když ji jenom máte a neumíte ji používat, může to být kolikrát horší, než ji nemít vůbec.

Re:Pravidla domácího IPv6 firewallu
« Odpověď #18 kdy: 22. 02. 2015, 21:25:56 »
ale ten firewall nefiltruje ani prichozi UDP a koncove stanice budou mit verejnou IP...
Jaky firewall?

navic odchozi komunikace tak nejak definuje i tu navratovou, ze,
Pokud vyjdeš z tohodle, tak samozřejmě nutně dojdeš k tomu závěru, ke kterému jsi došel. Kdybys postupoval opačně: 1) odchozí komunikace definuje příchozí a 2) veškerá odchozí je povolena, tak dojdeš k úplně jinému závěru.

Filtrovani odchozi komunikace rozhodne smysl ma, pokud se bavime o zabezpecene siti ze ktere nechci ven poustet spam/zombie a podobne.
A jak to zařídíš, aby ty zombie nekomunikovaly přes https na standardním portu? Nebo ten zakážeš taky? Nebo IDS s podvrhováním certifikátů?

Nebo jenom falešný pocit bezpečí?

Ale asi mame kazdy uplne jiny nazor na zabezpeceni site.
Tak aspoň na něčem se shodneme :)

Re:Pravidla domácího IPv6 firewallu
« Odpověď #19 kdy: 22. 02. 2015, 21:29:20 »
Pokud vyjdeš z tohodle, tak samozřejmě nutně dojdeš k tomu závěru, ke kterému jsi došel. Kdybys postupoval opačně: 1) odchozí komunikace definuje příchozí a 2) veškerá odchozí je povolena, tak dojdeš k úplně jinému závěru.
Pardon, přehlídl jsem se, tohle škrtám.


Někdo

Re:Pravidla domácího IPv6 firewallu
« Odpověď #20 kdy: 22. 02. 2015, 21:35:00 »
A on snad existuje nějaký OPRAVDU dobrý důvod, proč na domácí (koneckonců i jakékoli jiné) síti firewallovat odchozí provoz?

Ano. Je třeba mít zablokovaná odchozí TCP spojení na port 25 kromě vybraných důvěryhodných IP adres, jinak první nakažená stanice ve vnitřní síti která dostane v rámci botnetu příkaz rozesílat spamy dostane vaši IP adresu na spoustu SMTP blacklistů a pak se budete divit proč vám neodcházejí ani legitimní e-maily.

Re:Pravidla domácího IPv6 firewallu
« Odpověď #21 kdy: 22. 02. 2015, 21:39:20 »
Ano. Je třeba mít zablokovaná odchozí TCP spojení na port 25 kromě vybraných důvěryhodných IP adres, jinak první nakažená stanice ve vnitřní síti která dostane v rámci botnetu příkaz rozesílat spamy dostane vaši IP adresu na spoustu SMTP blacklistů a pak se budete divit proč vám neodcházejí ani legitimní e-maily.
Jasně, to je jediný port, u kterého to má smysl. A spousta ISP ho blokuje sama, takže to je docela bezpředmětný.

M.

Re:Pravidla domácího IPv6 firewallu
« Odpověď #22 kdy: 23. 02. 2015, 08:54:16 »
Nu, třeba odchozí firewall se hodí minimálně proto, že tím pouštím ven jen IPčko/blok mi přidělený a ostatní pakety se zdrojovou adresou mimo blokuji.
Například proto, že někteří ISP shodí vždy spojení, když jim pošlete paket, kde je jiná zrojová IPv4/6, než vám přidělená, což kapánek nabořuje komunikaci, pokud je to linka na bázi nějakého PPP/PPPoE. Přeci jen to obnovení PPP spojení moment trvá a obvykle popadá při tom aktivníé spojení...

j

Re:Pravidla domácího IPv6 firewallu
« Odpověď #23 kdy: 23. 02. 2015, 08:56:06 »
Největší přínos v6 je v tom, že na libovolné ledničce nebo dveřnímu pantu můžu přidělit globálně dosažitelnou adresu a přímo se na ni připojit odkudkoli z celého světa. Pokud o tuhle možnost kvůli dynamickým adresám přijdu, nevím, k čemu by mi šestka byla dobrá (kromě možnosti připojit se na *statické* adresy v jiné síti).

Chmm... kvuli tomu uz pred par mesici vymysleli DNS, a dokonce se umi samo aktualizovat. Cimz netvrdim, ze by adresy nemely bejt pridelovany vicemene staticky (minimalne co se rozsahu pro zakaznika tyce).


A on snad existuje nějaký OPRAVDU dobrý důvod, proč na domácí (koneckonců i jakékoli jiné) síti firewallovat odchozí provoz?
Existujou duvody, ale to, ze stroj pouzije pokazdy jinou IP tomu vubec nijak nebrani. Ipcka ktery lze pouzit pro komunikaci smerem ven jsou vzdy zcela jasne definovana pouzitym prefixem.

j

Re:Pravidla domácího IPv6 firewallu
« Odpověď #24 kdy: 23. 02. 2015, 08:57:42 »
Nu, třeba odchozí firewall se hodí minimálně proto, že tím pouštím ven jen IPčko/blok mi přidělený a ostatní pakety se zdrojovou adresou mimo blokuji.
Například proto, že někteří ISP shodí vždy spojení, když jim pošlete paket, kde je jiná zrojová IPv4/6, než vám přidělená, což kapánek nabořuje komunikaci, pokud je to linka na bázi nějakého PPP/PPPoE. Přeci jen to obnovení PPP spojení moment trvá a obvykle popadá při tom aktivníé spojení...

Kteri nekteri? U vetsiny ISP vpohode projde do site i privatni rozsah. A to pochopitelne i 4kovej. Na 6tce mi zcela bez problemu funguje komunikace se zcela jinym src.

M.

Re:Pravidla domácího IPv6 firewallu
« Odpověď #25 kdy: 23. 02. 2015, 09:07:29 »
Díky za reakci! Ten port 546 jsem pravda dogooglil, protože Mikrotik nedostával od T-Mobilu rozsah,což tohle spravilo..
Hm, je to možný, že to tak T-mobile má. Běžnější je použití router solicitation, který běží přes icmp6 ( http://wiki.mikrotik.com/wiki/Manual:IPv6/ND#Stateless_address_autoconfiguration ).

TMO samozřejmě má puštěno na těch DSL linkách i toto. Nicmémě specifikace IPv6 říká, že takto se může konfigurovat pouze koncová stanice, ne router, ten ho má ignorovat. A Mikrotik to tak v základu dělá. Takže to je pro případ, že budu mít tupý DSL modem a PPPoE spojneí ukončením přímo v jendom koncovém počítači, pak se dle toho nastaví.
Dneksa máme RFC pro domácí end user routery, kde se říká, aby akceptovaly na WAN portu ohlášení routeru (v Mikrotiku jde zapnout pod /ipv6 settings). Nicméně pro tu konfiguraci na LAN stranu potřebuji ten IPv6 prefix pomocí DHCPv6-PD od operátora získat. Takže ten port a DHCPv6-PD klient zapnutý na tom dsl portu je nutný (stačí omezit na link local adresy).




Re:Pravidla domácího IPv6 firewallu
« Odpověď #26 kdy: 23. 02. 2015, 09:17:49 »
Takže ten port a DHCPv6-PD klient zapnutý na tom dsl portu je nutný (stačí omezit na link local adresy).
Nebyl by nutný právě kdybych měl ve smlouvě, že můj rozsah je X. Ale dobře, už jsem vzal na vědomí, že se to tak u velkých ISP nedělá...

M.

Re:Pravidla domácího IPv6 firewallu
« Odpověď #27 kdy: 23. 02. 2015, 09:18:51 »
Kteri nekteri? U vetsiny ISP vpohode projde do site i privatni rozsah. A to pochopitelne i 4kovej. Na 6tce mi zcela bez problemu funguje komunikace se zcela jinym src.

Jak jsem psal, je to tam, kde se používá PPP, řešil jsme to několikrát u O2, kdy padající linka se vysvětlila tak, že odchází pakety s jinou zdrojovou adresou než přidělenou a PPP koncentrátor je nastaven, že má v tom případně spojení hnedka dropnout. Blbé je, když občas na IPv4 takto utíkají pakety, které se "zapomenou" NATnout. Když jsem pak chytka komunikaci v Mikrotiku na odchozím PPP spojení, tak to bylo krásně vidět, jak šel první paket s blbou adresou, bum disconnect.
Že někteří pustí cokoliv, to je věc jiná, neměli by to dneska dělat (BCP38?).

Re:Pravidla domácího IPv6 firewallu
« Odpověď #28 kdy: 23. 02. 2015, 09:21:18 »
Chmm... kvuli tomu uz pred par mesici vymysleli DNS, a dokonce se umi samo aktualizovat.
No jenže dynamicky aktualizované DNS je berlička kvůli nedostatku v4 adres a nenapadá mě žádný důvod, proč by se měl používat v šestce.

řešil jsme to několikrát u O2, kdy padající linka se vysvětlila tak, že odchází pakety s jinou zdrojovou adresou než přidělenou a PPP koncentrátor je nastaven, že má v tom případně spojení hnedka dropnout.
Ježkovanoho, bavíme se o domácím/zákaznickém hraničním firewallu, ne o tom, co si má nastavit ISP ::)

M.

Re:Pravidla domácího IPv6 firewallu
« Odpověď #29 kdy: 24. 02. 2015, 09:03:42 »
Takže ten port a DHCPv6-PD klient zapnutý na tom dsl portu je nutný (stačí omezit na link local adresy).
Nebyl by nutný právě kdybych měl ve smlouvě, že můj rozsah je X. Ale dobře, už jsem vzal na vědomí, že se to tak u velkých ISP nedělá...

Jak to popisuješ, tak je to u velkých ISP běžné, pokud jsi firemní zákazník se smlouvou, kde s ebavíme o SLA a cenách X.XXX Kč/měsíc a výše. Poklud jsi domácí masovka, tak jen dynamika.
U malých wiif ISP na bázi Mikrotik tu dynamiku potkáč, pokud používají PPPoE, tka jde dělat jendoduše, jinak to děljí jak píšeš, protože Mikrotik to nemá zaítm plně automatizovatelně použitelné.

Ježkovanoho, bavíme se o domácím/zákaznickém hraničním firewallu, ne o tom, co si má nastavit ISP ::)
Já jen vysvětluji, proč je žádoucí, aby domácí/zákaznický firewall dělal filtrování odchozích paketů, aby se předešlo zbytečnému shazování linky. :-)


Jinak ohledně trojkombinace DSL od TMO - IPv6 - Mikrotik, tak pokud budu těch linek nastavovat víc stylem, že si nastavím jedno RBčko, pak udělám backup konfigurace a import do dalších, tak IPv6 pojede jen na tom, který bude zapnut první. Při klonování konfigurace přes backup/import dojde k duplikaci DUID pro DHCPv6-PD klienta do všech těch RB a TMO to hlídá a přidělí blok jen jendomu (když ho vypnu, tak ten blok /56 dostane další zapnutý a tak se o něj tahají).
Je třeba dělat /export compact a /import konfigurace (jak velí kostelní pořádek pro přenos konfigurace u Mikrotiku), pak se na každém vytvoří DUID správně dle MAC adresy ether1 a vše jede jak má.