Win7 firewall a IPv6

Mrkev

Win7 firewall a IPv6
« kdy: 29. 07. 2016, 04:07:44 »
Ahoj

Resim problem ze potrebuji pro jednu aplikaci povolit pouze jednu IP adresu napr. "100.100.100.101" a veskera ostatni komunikace na jine IP adresy IN/OUT byla blokovana.

Tu jednu IP adresu povolim timto rozsahem ve windows firewall (Na jine reseni jsem neprisel)
0.0.0.0-100.100.100.100,100.100.100.102-255.255.255.255

Ale co se stane kdyz aplikace pouziva pripojeni ve windows pomoci IPV6 nebo nejak komunikuje pomoci tunelu pres IPV6? (Muze komunikovat mam nejak pridat block pro IPV6 jak to vlatne je?)

A jak je to potom u linuxu kdybych chtel tohle udelan pro nejakou aplikaci napr v Ubuntu
« Poslední změna: 29. 07. 2016, 07:12:45 od Petr Krčmář »


Medo

Re:Win7 firewall a IPv6
« Odpověď #1 kdy: 29. 07. 2016, 09:22:40 »
1. Zalezi ci na tom rozsahu mas deny alebo allow :-)
Nebolo jednoduchsie len allow na tu jednu ?
2. Pravidlo vo FW je pre Ipv4, ked chces ist na v6, musi na sietovke byt sestkova ipcka, a aj pravidla vo fw budu 6-kove ...

Re:Win7 firewall a IPv6
« Odpověď #2 kdy: 29. 07. 2016, 09:46:42 »
Ale co se stane kdyz aplikace pouziva pripojeni ve windows pomoci IPV6 nebo nejak komunikuje pomoci tunelu pres IPV6? (Muze komunikovat mam nejak pridat block pro IPV6 jak to vlatne je?)
Stane se úplně to samé, jako když ta aplikace bude komunikovat přes nějaký IPv4 tunel nebo přes proxy server – prostě se na cílovou adresu dostane. Aplikaci můžete úplně zakázat přístup na internet, nebo jí dovolit komunikovat jen s důvěryhodnými adresami, kde víte, že tam běží jen bezpečné služby. Pokud chcete jen zakázat přístup k nějaké konkrétní službě, ale ostatní povolit, bude to fungovat jen u naivní aplikace, která zkouší přístup přímo. Jakmile se pokusí vaši blokaci obejít, a vy jí dáte přístup k celému internetu, tak vaši blokaci prostě snadno obejde.

A jak je to potom u linuxu kdybych chtel tohle udelan pro nejakou aplikaci napr v Ubuntu
V linuxu se primárně aplikace neřeší, povoluje nebo zakazuje se komunikace podle IP adres a portů, ale pro všechny. Můžete psát pravidla podle ID procesu, ale to je jiné při každém spuštění aplikace. Je možné, že nějaký bezpečnostní modul umožňuje vázat pravidla firewallu na proces spojený s konkrétní binárkou na disku – v posledních letech se v této oblasti udělalo v Linuxu hodně práce. Ale nevím o tom, že by už existovalo řešení, které by umožnilo tohle někde naklikat – bylo by nutné si nastudovat příslušnou dokumentaci a ručně to nakonfigurovat.

WaCGG

Re:Win7 firewall a IPv6
« Odpověď #3 kdy: 29. 07. 2016, 10:28:18 »
Ted nechapu...

Chcete mi rict ze kdyz zakazu tento rozsah adres: 0.0.0.0-100.100.100.100,100.100.100.102-255.255.255.255
A dam povoleni pouze na IP "100.100.100.101"

Ze aplikace dokaze pres tunel se napojit na adresu "100.100.100.102"???

Medo

Re:Win7 firewall a IPv6
« Odpověď #4 kdy: 29. 07. 2016, 13:32:39 »
Hlbsie som sa zamyslel s tym blokovanim vo win firewalle.
Mas to dobre - co nie je blokovane, to je dovolene ... Logika bezpecnosti u mrkvosoftu jak prasa :-)


Re:Win7 firewall a IPv6
« Odpověď #5 kdy: 29. 07. 2016, 18:32:25 »
Ted nechapu...

Chcete mi rict ze kdyz zakazu tento rozsah adres: 0.0.0.0-100.100.100.100,100.100.100.102-255.255.255.255
A dam povoleni pouze na IP "100.100.100.101"

Ze aplikace dokaze pres tunel se napojit na adresu "100.100.100.102"???
Samozřejmě. Aplikace se totiž vůbec nespojí s IP adresou 100.100.100.102. Aplikace se spojí s nějakou jinou IP adresou na internetu - a ta se pak připojí na 100.100.100.102.