IPv6 a řešení záložní konektivity

werwer

Re:IPv6 a řešení záložní konektivity
« Odpověď #30 kdy: 13. 01. 2019, 20:02:30 »
To, že NAT není zabezpečení, bylo už řečeno a dokázáno tolikrát – nechápu, že dneska ještě někdo může tvrdit opak.

kto to povedal a kto/ako to dokazal?

NAT nie je zabezpecenie pretoze NAT v prvom rade riesi uplne iny problem.
ak mam v LAN verejny subnet tak nebudem nasadzovat NAT ako prvu vrstvu zabezpecenia pretoze:
1. ako si sam povedal nie je to security feature ako taka
2. NAT vobec nepotrebujem ked mam v LAN verejny subnet
3. nasadim ACL, FW, IPS/IDS
4. ...

ak mam ale v LAN privatny subnet, prve co musim zabezpecit je konektivity pre zariadenia v LAN, tak ze nakonfigurujem NAT
a potom zabezpecenie podla toho co je dostupne a co potrebne.

podla mojho nazoru NAT nie je zabezpecenie ale minimalne vnasa istu prekazku(aj ked malu), ktoru utocnuk musi nejako obist
 



peter

Re:IPv6 a řešení záložní konektivity
« Odpověď #32 kdy: 13. 01. 2019, 23:13:56 »
Děláte si v tom sám zmatek tím, že nerozlišujete router, firewall a NAT....
Nemyslím si, že by som v tom mal zmätok, ale ospravedlňujem sa že som nedal kompletné vysvetlenie všetkých použitých pojmov na začiatku môjho príspevku  :).

NAT nechrání před žádným nebezpečím – jak jste sám správně uvedl, aby router začal vnitřní síť chránit, musíte přidat firewall, NAT síť před ničím neochrání.
Keď sme už pri tom slovíčkárení, tak potom by bolo správne tvrdiť že NAT nie je určený na ochranu pred nebezpečím, ale svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil. Verím že uznáte že je rozdiel mať počítače (napr. windows) vystrčené priamo s verejnou adresou na internete bez akýchkoľvek firewallov, a mať ich aspoň za zariadením ktorý nerobí nič iné len SNAT, prekladá súkromné adresy na svoju verejnú. V tom druhom to odreže "takmer" celý internet od možnosti vytvoriť spojenie na súkromnú adresu.

A keď ste už spomínali ten firewall, tak práve NAT je implementované ako modul do netfiltra. Teda nie je to vrstva, pred ním ani za ním, ale ako voliteľný krok v procesovaní packetov. Myslím že je to tak urobené z praktických dôvodov keďže aj pri najjednoduchšom NAT je potrebné vykonať filtrovanie packetov aby sa preklad adries robil len pre určité sieťové zariadenie, poprípade len pre definovaný rozsah adries.
Teda na nastavenie predtým spomínaného filtrovacieho pravidla nie je treba mať žiadny ďalší "firewall", stačí pridať pravidlo do vhodnej tabuľky netfiltra. Stane sa tak z hlúpeho-NAT firewall?

Každopádne nechcem tým obhajovať zneužitie NAT na zvýšenie bezpečnosti, len som Vás chcel trochu podpichnúť a ukázať že nie je všetko čierne a biele :). Nepredpokladám, že je niekto odkázaný na to aby musel používať preklad adries samotný na zvýšenie bezpečnosti. Neverím že akékoľvek lacný router by robil len samotný preklad adries bez akéhokoľvek iného pravidla v netfiltri. Veď predsa aj ten najposlednejší domáci router je postavený na linuxe kde je to všetko zadarmo.

Dúfam, že nie všetci krútia nad touto našou off-topic diskusiou hlavou :), a podaktorí si aspoň pre vlastnú predstavu skontrolujú aké pravidlá v tom svojom netfiltri majú.



Re:IPv6 a řešení záložní konektivity
« Odpověď #33 kdy: 14. 01. 2019, 07:31:52 »
svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil.
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

V tom druhom to odreže "takmer" celý internet od možnosti vytvoriť spojenie na súkromnú adresu.
To není pravda. A už jsem tu jmenoval například původní Skype nebo Teredo, které vytvořit spojení na soukromou adresu umí.

A keď ste už spomínali ten firewall, tak práve NAT je implementované ako modul do netfiltra.
I tentokrát se mýlíte. Firewall i NAT jsou obecné pojmy vztahující se k síťovém komunikaci. Netfilter je jedna z implementací na Linuxu, ale firewall i NAT můžete provozovat i na *BSD, na Windows, na jednoúčelových zařízeních bez Linuxu. I na Linuxu se firewall a NAT dříve řešil pomocí ipchains, nyní máte k dispozici vedle netfilteru i nftables.

NAT je zkratka pro Network Address Translation, a je to prostě změna IP adres (zdrojové a/nebo cílové) v IP paketech. Není to firewall a nezáleží na tom, že je to v některých implementacích řešeno stejným nástrojem, jako firewall. Rozlišovat to můžete podle jednoduchého pravidla – když to podle určitých pravidel pakety zahazuje (nebo odmítá s ICMP zprávou, případně předá pakety k analýze), je to firewall, když to podle určitých pravidel mění zdrojovou a/nebo cílovou IP adresu v hlavičkách paketu, je to NAT.

aj pri najjednoduchšom NAT je potrebné vykonať filtrovanie packetov
Není. Filtrování paketů je jiná úloha, než NATování, a NAT funguje výborně i bez jakéhokoli firewallu.

Teda na nastavenie predtým spomínaného filtrovacieho pravidla nie je treba mať žiadny ďalší "firewall", stačí pridať pravidlo do vhodnej tabuľky netfiltra. Stane sa tak z hlúpeho-NAT firewall?
Ano, když filtrujete provoz, je to firewall. Na začátku komentáře jste psal, že v tom nemáte zmatek, ale tady už si v tom zase zmatek děláte. To, že často máte firewall a NAT na jednom zařízení a dokonce implementované jednou technologií, neznamená, že to můžete vzájemně zaměňovat. U dveří také často máte kliku a zámek v jednom „zařízení“, ale to neznamená, že byste mohl tvrdit, že klika slouží k zamykání a že pro zamezení vstupu neoprávněné osoby tudíž stačí klika a zámek není potřeba.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #34 kdy: 14. 01. 2019, 07:38:32 »
A co teda mam, kdyz mam firewall https://www.cisco.com/c/en/us/products/security/adaptive-security-appliance-asa-software/index.html , ktera mi NATuje a PATuje privatni IP na verejne ?

Jen ze bych si doplnil znalosti...


qweq

Re:IPv6 a řešení záložní konektivity
« Odpověď #35 kdy: 14. 01. 2019, 08:50:58 »
... 

https://www.youtube.com/watch?v=AOmtPLss9RQ

gratulujem ti, aspon si sa vyfarbil a je jednoduchsie identifikovat koho posty ignorovat
najsmutnejsie je ze si myslis aky si vtipny...

qweq

Re:IPv6 a řešení záložní konektivity
« Odpověď #36 kdy: 14. 01. 2019, 09:00:04 »
svojimi vlastnosťami by pred drvivou väčšinou automatizovaných útokov prichádzajúcich z internetu ochránil.
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

vies ale tu si vyberas specificke pripady ktore vyhovuju tvojim argumentom
to je to iste ako keby som ja tvrdil ze niekto z internetu cez NAT mi neoscanuje LAN, tym padom je NAT plnohodnotne security riesenie

^^^to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne

Re:IPv6 a řešení záložní konektivity
« Odpověď #37 kdy: 14. 01. 2019, 12:17:53 »
vies ale tu si vyberas specificke pripady ktore vyhovuju tvojim argumentom
to je to iste ako keby som ja tvrdil ze niekto z internetu cez NAT mi neoscanuje LAN, tym padom je NAT plnohodnotne security riesenie

^^^to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne
Nevybírám si specifické případy. Pokud podle vás některé vlastnosti NATu mají podobný efekt, jako základní firewall, napište které. Tady zatím nikdo takové vlastnosti nepopsal – akorát Peter napsal, že si vedle toho NATu může zapnout i firewall, a ten firewall pak blokuje nějaký provoz.

Pořád jde o to, že někdo trochu míchá dohromady NAT, firewall a router, a vlastnosti, které má celé to řešení díky routování nebo firewallu připisuje NATu.

Jinak i pokud se na to díváte z toho pohledu, zda se útočník odkudkoli z internetu dostane do vnitřní sítě, pak NAT bezpečnost naopak snižuje. Když budete mít na hranici té sítě čistý router, ten bude pakety podle IP adresy směrovat do vnitřní sítě nebo do sítě ISP a na gateway ISP. V síti ISP by se ty pakety se zdrojovou IP adresou z privátního rozsahu měly zahodit. Pakety s cílovou adresou z privátního rozsahu útočník sedící kdekoli v internetu nedopraví ani do sítě vašeho ISP, natož na váš hraniční router. Takže bez NATu se ten útočník sedící obecně kdekoli v internetu nemá šanci do vaší sítě přímo dostat. Když tam přidáte NAT, situace se úplně změní – útočník dostane pakety odkudkoli z internetu až na váš hraniční router, a pak už záleží jenom na tom, jestli se mu podaří přesvědčit NAT, aby ty adresy přeložil.

Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje. A pokud chcete skutečné zabezpečení (tj. ne takové, že si k vašim opatřením zpětně vymodelujete nějakého extrémn ě neschopného útočníka, kterého ta opatření zastaví) té privátní sítě, potřebujete na tom hraničním routeru filtraci provozu, tj. buď alespoň routovací pravidla, nebo firewall.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #38 kdy: 14. 01. 2019, 12:24:23 »
Takže když to shrnu, proti útokům odkudkoli z internetu je privátní síť připojená k internetu routerem bez NATu odolná více, než privátní síť připojená k internetu routerem s NATem, NAT tedy „bezpečnost“ v tomto smyslu snižuje.

A jak potom funguji pocitace v LAN na privatnich adresach bez NATu jen za routerem?

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #39 kdy: 14. 01. 2019, 13:28:16 »
A jak potom funguji pocitace v LAN na privatnich adresach bez NATu jen za routerem?

Normálně komunikují mezi sebou v rámci sítě. Stroje mají IP adresu, které rozumí a IP stack neřeší privátní/veřejná, ale platná/neplatná adresa.

Bez NATu se jenom nedostanou do vnější sítě (protože pravidla na firewallech definují "privátní adresy nepouštěj dál").
A nebýt tam ty FW, tak to komunikuje i ven - jenom s tím, že routery by hledaly nejkratší cestu k nějakýmu stroji s tou IP adresou, takže mimo tu lokální síť bys neměl jistotu, s kým se vlastně bavíš. On totiž jediný rozdíl mezi veřejnou a privátní IP adresou je, že privátní IP adresu může sám sobě přiřadit kdokoliv a nevidí ji nikdo zvenčí.

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #40 kdy: 14. 01. 2019, 13:31:14 »
to tu ale nikto netvrdi, popierat ale ze niektore vlastnosti NATu maju podobny efekt ako zakladny FW mi pride zvlastne

Já zase myslím, že tvrdit, že NAT má podobný vlastnosti jako FW a nenapsat který a proč, je poněkud zvláštní. Žádná taková vlastnost není.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #41 kdy: 14. 01. 2019, 13:36:22 »
A jak potom funguji pocitace v LAN na privatnich adresach bez NATu jen za routerem?

Normálně komunikují mezi sebou v rámci sítě. Stroje mají IP adresu, které rozumí a IP stack neřeší privátní/veřejná, ale platná/neplatná adresa.

Bez NATu se jenom nedostanou do vnější sítě (protože pravidla na firewallech definují "privátní adresy nepouštěj dál").
A nebýt tam ty FW, tak to komunikuje i ven - jenom s tím, že routery by hledaly nejkratší cestu k nějakýmu stroji s tou IP adresou, takže mimo tu lokální síť bys neměl jistotu, s kým se vlastně bavíš. On totiž jediný rozdíl mezi veřejnou a privátní IP adresou je, že privátní IP adresu může sám sobě přiřadit kdokoliv a nevidí ji nikdo zvenčí.

Zpresnim svuj dotaz:

Jak se bez NATu dostanou pocitace z privatnich IP adres do internetu?
Vzdyt NAT je zbytecny, jak vsichni tvrdite...

A nepis nic o proxy typu squid apod., prosim

peter

Re:IPv6 a řešení záložní konektivity
« Odpověď #42 kdy: 14. 01. 2019, 13:59:12 »
Nikoli. To, co v tomto případě chrání, je konfigurace routování a absence NATu. Mimochodem, NAT může být třeba také 1:1, může přeposílat komunikaci na určité porty do vnitřní sítě atd. To, co má vliv na hloupé automatizované útoky, není NAT, ale jeho absence, tj. útok pak není veden proti zařízení ve vnitřní síti, ale proti routeru.

Mal som na mysli SNAT alebo MASQ (o portoch tu ešte reč nebola a netreba to komplikovať), to routovanie môže fungovať správne len vďaka tomu NAT. Vďaka tomu skenovanie vnútornej siete bude pre počítač napr. z Číny nedostupné a stále bude mať počítač vo vnútornej sieti možnosť browsovať na intrnete.
Na druhej strane keby všetky tie počitače mali verejnú adresu, pre pripojenie na internet by síce NAT nebol potrebný ale útočník z Číny by sa v pohode mohol pristupovať na zdieľané adresáre na windowsovej mašine.

To není pravda. A už jsem tu jmenoval například původní Skype nebo Teredo, které vytvořit spojení na soukromou adresu umí.
Skype a predpokladám aj Teredo potrebuje pomoc z vnútornej siete. Bez tejto pomoci nie je možné to čo popisujete. Inak táto možnosť bežne nebýva bežne filtrovaná ani v prípade firewalloch.

Ano, když filtrujete provoz, je to firewall. Na začátku komentáře jste psal, že v tom nemáte zmatek, ale tady už si v tom zase zmatek děláte. To, že často máte firewall a NAT na jednom zařízení a dokonce implementované jednou technologií, neznamená, že to můžete vzájemně zaměňovat. U dveří také často máte kliku a zámek v jednom „zařízení“, ale to neznamená, že byste mohl tvrdit, že klika slouží k zamykání a že pro zamezení vstupu neoprávněné osoby tudíž stačí klika a zámek není potřeba.

Neviem aké sú všeobecné dohody v terminológii, no ja si myslím že firewall je sieťový komponent, ktorý poskytuje služby filtrovania paketov, preklad adries a iné (zoznam schopností závisí od typu firewallu). Ale o tomto sa nemá zmysel hádať.

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #43 kdy: 14. 01. 2019, 14:17:51 »
Zpresnim svuj dotaz:

Jak se bez NATu dostanou pocitace z privatnich IP adres do internetu?
Vzdyt NAT je zbytecny, jak vsichni tvrdite...

A nepis nic o proxy typu squid apod., prosim
V jaké síti?

IPv4 - bez NATu smůla, nemáš veřejnou adresu

IPv6 - prostě si na základě RA nebo DHCPv6 obstará veřejnou IPv6 a pro komunikaci ven použije tu. Rozhraní v IPv6 může mít ( a mívá ) několik adres*. Privátní adresu použije jenom v privátní síti.

Co se tím snažíš dokázat? Že NAT zajišťuje bezpečnost, když bez něho nekomunikuješ ven? To je spíš naopak - nejlepší ochrana je odstřižení od internetu, takže jsi nahrál Jirsákovi na smeč.

----------
*) Pokud jsou dvě připojení, tak když už si to člověk platí, může mít stroj rovnou dvě veřejný IPv6 adresy s různým prefixem a vytěžovat dvě lajny - při výpadku prostě jenom spadne pár spojení a klesne rychlost.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #44 kdy: 14. 01. 2019, 14:25:13 »
Jirsak tvrdi, ze NAT je k nicemu, ze staci pouze router

Ja se opakovane ptam, jak se klient z vnitrni site na privatni IPv4 adrese dostane bez NATu na internet (jen s pomoci routeru).

Jsem hloupy  a rad se poucim