IPv6 a zamezení přístupu bez MAC v adrese

Pjotr

IPv6 a zamezení přístupu bez MAC v adrese
« kdy: 22. 01. 2017, 15:02:46 »
Existuje mechanismus, kterym LAN router docili, ze neforwardne paket od hosta, ktery nema v IPv6 adrese svou MAC adresu? IP source guard na switchi nemohu nasadit vsude, kde bych si pral.

Jak je to s duplicitnimi MAC adresami?  Jaka je pravdepodobnost, ze se mi v siti vyskytnou dve zarizeni s totoznimi MAC  adresami?  Uz sem to zazil ve WLAN u nejakych cinskych sracek.
« Poslední změna: 22. 01. 2017, 19:15:44 od Petr Krčmář »


Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #1 kdy: 23. 01. 2017, 09:54:11 »
Třeba iptables na to má modul eui64. Ale nedělejte to, nebude to fungovat. Výjimkou mohou být možná datacentra, ale tam je asi praktičtější používat krátké ručně konfigurované adresy.

V podstatě všechna zařízení dnes adresu odvozenou z MAC adresy nepoužívají a (v rozporu s RFC4941) na nich nejde ani vypnout automatické měnění náhodných adres. Zařízení se nemají jak dozvědět, kterou adresu z přiděleného prefixu smí použít, takže filtrování určitých adres povede k nepříjemnému efektu rozbité konektivity, kdy zařízení se domnívá, že konektivitu má, ale data jdou přitom do černé díry.

pavlix

  • ****
  • 253
    • Zobrazit profil
Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #2 kdy: 23. 01. 2017, 11:28:29 »
Existuje mechanismus, kterym LAN router docili, ze neforwardne paket od hosta, ktery nema v IPv6 adrese svou MAC adresu?

V dnešní době, kdy MAC adresu už v automaticky konfigurované adrese prakticky nikdo nepoužívá, je nejjednodušší zaříznout všechno a jestli se tam náhodou vyskytne nějaký stroj, který MAC používá, tak ho prostě whitelistovat.


Santiago

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #3 kdy: 23. 01. 2017, 12:11:18 »
Nikdo nepouziva? Vzdyt to je defaultni chovani Linuxu.

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #4 kdy: 23. 01. 2017, 12:41:10 »
Dnes je výchozí použití privacy extension (PE), mnoho zařízení je dokonce neumí vypnout. Třeba v Androidu není možné dosáhnout toho, aby zařízení používalo adresu odvozenou z MAC. Zařízení s iOS jsou na tom zrovna tak. Stejně tak jsem musel ohnout NetworkManager, aby se nesnažil stále dokola PE vynucovat, abych používal pevnou adresu z DHCPv6 a ne náhodnou podle PE.

Takže vynucené použití IPv6 adresy s MAC skutečně věci rozbije a uživatelé nebudou mít často ani možnost to u sebe opravit.


j

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #5 kdy: 23. 01. 2017, 14:01:11 »
Nehlede na to, ze trebas widle MAC nepouzivaji vubec, a adresu generujou z UUID, takze pokud na stejnym stroji je dualboot, ma jinou IP ve widlich a jinou v tuxovi.

Jenda

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #6 kdy: 23. 01. 2017, 14:59:57 »
Nehlede na to, ze trebas widle MAC nepouzivaji vubec, a adresu generujou z UUID, takze pokud na stejnym stroji je dualboot, ma jinou IP ve widlich a jinou v tuxovi.
Nepleteš si to s DUID pro DHCP?

Pali

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #7 kdy: 23. 01. 2017, 16:53:17 »
Dnes je výchozí použití privacy extension (PE), mnoho zařízení je dokonce neumí vypnout. Třeba v Androidu není možné dosáhnout toho, aby zařízení používalo adresu odvozenou z MAC. Zařízení s iOS jsou na tom zrovna tak. Stejně tak jsem musel ohnout NetworkManager, aby se nesnažil stále dokola PE vynucovat, abych používal pevnou adresu z DHCPv6 a ne náhodnou podle PE.

Ak je dostupný A bit v RA daného prefixu, tak je to správne správanie..

Ak ale A bit nie je prítomný, tak SLAAC sa nesmie používať a jedniná cesta ako si nastaviť IPv6 adresu je DHCPv6 (alebo ešte statická konfigurácia).

Naozaj NetworkManager nastavuje SLAAC adresu aj keď RA neobsahuje A bit? To by ma zaujímalo, aby som sa prípadne tomu NM vyhol.

Inak podľa mňa ak je prítopný A bit, tak DHCPv6 v statefull móde nemá žiaden zmysel používať.

M

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #8 kdy: 23. 01. 2017, 17:13:44 »
Mám ověřeno na počítačích s OS Windows, že po nastavení bitů M, O a A na hodnotu 1 počítač používá jen jednu IP, co dostane z DHCP. Windows jsou ve výchozím nastavení - získání IP adresy automaticky.

Na DHCP serveru by se pak musel nastavit nějaký krátký rozsah přidělovaných IP adres tak, aby se tento rozsah povolil na routeru. Ostatní IP z této site by se zakázaly. Pak by router pustil jen ty počítače, co dostaly IP z DHCP serveru.

Pořád si ale může někdo nastavit IP adresu staticky. Implementace DHCPv6 je nepovinná a třeba Android to údajně nepodporuje.

pavlix

  • ****
  • 253
    • Zobrazit profil
Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #9 kdy: 23. 01. 2017, 18:10:26 »
Nikdo nepouziva? Vzdyt to je defaultni chovani Linuxu.

Asi máš namysli výchozí chování kernelové autokonfigurace, u které by bylo
nejlepší, kdyby v kernelu vůbec nebyla a jejíž podle mě nejlepší funkce je, že
jde vypnout a většinu řízeňí přesunout do userspace, jako to dělají všechny
nástroje, které vykazují alespoň elementární funkčnost a spolehlivost, že.

Sten

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #10 kdy: 23. 01. 2017, 18:58:50 »
Dnes je výchozí použití privacy extension (PE), mnoho zařízení je dokonce neumí vypnout. Třeba v Androidu není možné dosáhnout toho, aby zařízení používalo adresu odvozenou z MAC.

Mělo by to jít přes RADIUS, ale je s tím hodně os…travování.

Zařízení s iOS jsou na tom zrovna tak.

U iOS jde použít stateful DHCPv6.

Stejně tak jsem musel ohnout NetworkManager, aby se nesnažil stále dokola PE vynucovat, abych používal pevnou adresu z DHCPv6 a ne náhodnou podle PE.

NetworkManager.conf:
Kód: [Vybrat]
[connection]
ipv6.ip6-privacy=0

Stejně tak se nebude používat, pokud je nastaveno stateful DHCPv6.

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #11 kdy: 23. 01. 2017, 22:20:35 »
Naozaj NetworkManager nastavuje SLAAC adresu aj keď RA neobsahuje A bit?

Ne, to jsem to jen já popletl. Používal jsem to před DHCPv6, kdy jsem chtěl mít stabilní adresu odvozenou z MAC. Tehdy tam byla navíc nějaká chyba, která znemožňovala konfigurační volbou PE vypnout. Musel jsem tam přidávat skript, který po každém navázání spojení zase pěkně PE vypnul, protože Network Manager ho pokaždé houževnatě zapínal.

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #12 kdy: 23. 01. 2017, 22:24:32 »
Mám ověřeno na počítačích s OS Windows, že po nastavení bitů M, O a A na hodnotu 1 počítač používá jen jednu IP, co dostane z DHCP. Windows jsou ve výchozím nastavení - získání IP adresy automaticky.

Na DHCP serveru by se pak musel nastavit nějaký krátký rozsah přidělovaných IP adres tak, aby se tento rozsah povolil na routeru. Ostatní IP z této site by se zakázaly. Pak by router pustil jen ty počítače, co dostaly IP z DHCP serveru.
V takovém případě ale nedává žádný smysl mít nastavený flag A. Když ho vypnete, budou mít počítače jen jednu IPv6 adresu a to tu z DHCP serveru, stanice bez DHCP klienta nebudou mít žádnou.

Jinak to chování Windows se tedy zřejmě změnilo, já pamatuju, že dříve když bylo k dispozici DHCPv6 i SLAAC, byla preferována náhodná proměnlivá SLAAC adresa.

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #13 kdy: 23. 01. 2017, 22:32:05 »
Stejně tak se nebude používat, pokud je nastaveno stateful DHCPv6.
S chováním network manageru nemám úplně dobré zkušenosti - Mám síť, kde je funguje DHCPv6 i SLAAC, ovšem na konkrétní stanici chci používat výlučně adresu z DHCPv6, protože je hezká a krátká. Když zvolím v klikátku Network Manager volbu „Pouze DHCP“ na nějakém aktuálním Linux Mint, stane se to, že se adresa korektně z DHCP získá, ale zároveň se vypne v jádru volba accept_ra, takže počítač nemá žádnou bránu.

Nakonec musela ustopit síť a vypnuli jsme SLAAC na straně routeru. Připadá mi, že ta volba „Pouze DHCP“ nemůže nikdy nikomu fungovat.

Na své stanici používám dhcpcd, kde stačilo k dosažení kýženého efektu přidat volbu ipv6ra_noautoconf

Lol Phirae

Re:IPv6 a zamezení přístupu bez MAC v adrese
« Odpověď #14 kdy: 23. 01. 2017, 23:17:03 »
Jinak to chování Windows se tedy zřejmě změnilo, já pamatuju, že dříve když bylo k dispozici DHCPv6 i SLAAC, byla preferována náhodná proměnlivá SLAAC adresa.

Nezměnilo, stav je stále stejný jak popsáno výše (s tím rozdílem, že u W10 ve "výroční aktualizaci" rozjebali DHCPv6 úplně).