IPv6 + firewall a identifikace klientů

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #15 kdy: 09. 06. 2021, 15:52:07 »
pouzit ULA v siti
ULA je pro vnitřní komunikaci snad ne? Neroutovatelné do internetu = potřeboval bych NAT  ::) nebo Proxy a podvrhovat certifikát = fuj.

s takovým režimem počítá
Super, stojí to za zkoušku.

Mimochodem, z IPv6 jsem poměrně zklamaný.
Je to složitější, zato výrazně horší.
A aby toho nebylo málo, šmejdští výrobci, kteří kašlou na bezpečností updaty, tomu rozhodně nepomáhají.


Re:IPv6 + firewall a identifikace klientů
« Odpověď #16 kdy: 09. 06. 2021, 17:23:12 »
Jak postavit pravidla centrálního linuxového firewallu, aby bylo možné jednoznačně říct, který klient má kam přístup?
Část klientů nesmí na internet vůbec, část může pouze navazovat spojení a na pouhé dva stroje je povolený port z internetu.

Identifikace klientů na základě MAC prý není optimální, což mohu potvrdit.
Jsou nějaké možnosti, jak klienty jednoznačně identifikovat jinak než podle MAC?
Je to jednoduché. Základním stavebním prvkem v IPv6 je podsíť. V jedné podsíti mají platit pro všechna zařízení stejná pravidla. Nesnažte se nastavovat různá pravidla pro zařízení, která sdílí stejnou podsíť. To je anti-vzor i v IPv4 a IPv6 vás svou podstatou nutí toto nedělat.

Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi. Pokud máte pro každé zařízení speciální požadavky, nezbývá než každé zapojit do své vlastní podsítě, kde nebude nic jiného.

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #17 kdy: 09. 06. 2021, 18:29:18 »
Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi.

Ale to je jen jinak popsané řešení VLAN (byť třeba VLAN nahradí jiná fyzická síť).
Bez routeru to nepůjde.


M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #18 kdy: 10. 06. 2021, 07:42:10 »
Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.
No, opět, jsme v SOHO - switche s podporou 802.1x jsou relativně dostupné (vlastně i Miktrotik krabičky umí už nějakou dobu fungovat s 802.1x i na metalickém ethernetu). S trochu štěstí mají i možnost lokálního Radius serveru, že do něj namlátím uživatele/hesla, pokud nemám externí Radius třeba v AD.
Ale tiskárna s 802.1x? Zase jich moc nevidím, co by to uměla, to je spíše doména až větších oblud, často třeba umí i IPsec, takže mezi tiskovým serverem a tiskárnou do provozu nikdo nevidí a neumí zasáhnout. Ale opět u tiskáren pro SOHO nějak nevidím. :-( A vedle tiskárny můžu doma řešit VoIP telefon, STB pro IPTV, autodráhu, .... Takže tam bude u řady zařízení fallback na max ověření MAC adresy a dle ní do určené VLAN.

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #19 kdy: 10. 06. 2021, 07:51:15 »
pouzit ULA v siti
ULA je pro vnitřní komunikaci snad ne? Neroutovatelné do internetu = potřeboval bych NAT  ::) nebo Proxy a podvrhovat certifikát = fuj.
Zařízení, co nemá  být dostupné z netu a ani do něj lézt, tak můžu mít v segmentu, kde jsou jen ULA adresy. Ostantí zařízení, která lezou ven/jsou dostupná, tak vedle ULA mají i globální adresu (případně víc, pokud mám víc linek a prefixů). Vnitřní komunikace se odehrává na ULA adresách, co jde ven po těch globálních. IPv6 stack tohle umí rozumně rozhodnout, kdy má jakou použít. Taktéž v interním DNS mám jména vázané na ULA adresy a jsme tak imunní proti případnému změnu IPv6 globálnímu prefixu, nemá to na vnitřní provoz vliv.

s takovým režimem počítá
Super, stojí to za zkoušku.

Mimochodem, z IPv6 jsem poměrně zklamaný.
Je to složitější, zato výrazně horší.
A aby toho nebylo málo, šmejdští výrobci, kteří kašlou na bezpečností updaty, tomu rozhodně nepomáhají.
Jak jsme psal, specifikace je udělaná dobře, implementace váznou. :-( Ale u DHCPv6 jsme neověřoval. Respektive jim přiděluji ULA adresy a nemusím tak řešit renumbering u DHCPv6.
Naopak je to uděláno tak, aby typické end user nemusel do ničeho sahat a nastavovat ve svém koncovém routeru pokud nezačne mít přání ohledně filtrování provozu ven.
Zkrátka je to uděláno dost jinak, než u IPv4.



M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #20 kdy: 10. 06. 2021, 08:03:17 »
Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi.

Ale to je jen jinak popsané řešení VLAN (byť třeba VLAN nahradí jiná fyzická síť).
Bez routeru to nepůjde.
Ano, pokud používáš jeden prefix v jedné VLAN. U IPv6 můžeš udělat snadno i to, že jeden prefix /64 sdílí víc VLAN. Pak je výhoda vynucovat pravidla na základě VLANy. Klienty nastrkáš nějak do VLAN (dle MAC, pevně dle portů, dle 802.1x, ...), tyto VLANy spojíš do jednoho fyzického bridge, který má na L3 jeden síťový prefix /64 a na L2 jsou od sebe klienti izolovaní. Router bude ohlašovat, že veškerá komunikace má procházet přes router (není možná bod-bod komunikace mezi koncovými klienty - on link) a IPv6 stack v klientech ti vše doručí už na bránu, kde to profiltruješ a případně přepošleš dál.
Toto je konfigurace, jak si doma udělat víc oddělených síti a vystačit od providera jen s jedním prefixem /64. Nevýhoda je, že to ten router musí ustát, kdy každá bod-bod komunikace v LAN jde skrz router. V SOHO segmentu tohle třeba jde s Mikrotikem.

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #21 kdy: 10. 06. 2021, 09:00:22 »
Mikrotikem

Takže vlastně k ničemu, když potřebuji komunikovat s NAS bez přístupu do internetu připojeným pomocí 2.5 GbE do sítě a počítačem s interní (vlastní) 2.5 GbE a Wi-Fi 6, které opět jede o něco málo rychleji než 2.5 GbE, protože to prostě neuroutuji.

Navíc bych měl velký, složitý a hnusný paskvil.

Jestli není lepší stávající stav, v laciné krabičce na DHCP nastavíš rezervace a ve firewallu nastavíš, jestli daná adresa může nebo nemůže na internetu.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #22 kdy: 10. 06. 2021, 09:12:03 »
Ale tiskárna s 802.1x? Zase jich moc nevidím, co by to uměla, to je spíše doména až větších oblud, často třeba umí i IPsec, takže mezi tiskovým serverem a tiskárnou do provozu nikdo nevidí a neumí zasáhnout. Ale opět u tiskáren pro SOHO nějak nevidím. :-( A vedle tiskárny můžu doma řešit VoIP telefon, STB pro IPTV, autodráhu, .... Takže tam bude u řady zařízení fallback na max ověření MAC adresy a dle ní do určené VLAN.

Pozerám na HP LaserJet M130nw (zadanie: čo najlacnejší ČB laser+scanner s ethernetom, driverless pod Linuxom) a 802.1x vie; preto si viem predstaviť, že v HP s LAN je to základná funkčnosť. Pri wifi tlačiarňach sa spraví extra SSID, ktorý hodí pripojených klientov do správnej VLAN (mnoho z nich má minimálny stack a nevie ani WPA Enterprise, ani 5 GHz).

Ale tú autodráhu by som riešil nastavením VLAN na port switchu, to vedia aj 20-eurové D-linky.

Re:IPv6 + firewall a identifikace klientů
« Odpověď #23 kdy: 10. 06. 2021, 09:18:21 »
Zbytecny tu cokoli radit.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #24 kdy: 10. 06. 2021, 09:24:08 »
Zbytecny tu cokoli radit.

Tiež si myslím; keď je niekto zabetónovaný vo svojich zvykoch, nech si teda rieši ako len chce.

PanVP

Re:IPv6 + firewall a identifikace klientů
« Odpověď #25 kdy: 10. 06. 2021, 10:58:00 »


Tak určitě, tak určitě.
Namazat si máslo na chleba POSTARU NOŽEM?
Nééé, moderní je si máslo na nůž patlat nožem nebo nanášet laserem.
Jste tupá telata.  ::)

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #26 kdy: 10. 06. 2021, 11:07:19 »
Tak určitě, tak určitě.
Namazat si máslo na chleba POSTARU NOŽEM?
Nééé, moderní je si máslo na nůž patlat nožem nebo nanášet laserem.
Jste tupá telata.  ::)

Vec nazoru - https://imgur.com/MlhcaPz

Re:IPv6 + firewall a identifikace klientů
« Odpověď #27 kdy: 10. 06. 2021, 11:24:36 »
Namazat si máslo na chleba POSTARU NOŽEM?

Problém je, že za ty roky už ani nevíte, co je pecen chleba, protože jste si zvykl konzumovat pečivo tvarované do tvaru úhlové výseče z rotačního hyperboloidu, a nevíte, co je nůž, protože jste si zvykl ten chleba rozlamovat rukama a namáčet do rozpuštěného másla.

Naopak je potřeba se vrátit k tomu pecnu a noži. Kdybyste nezapomněl, jak je jednoduché nechat vytvarovat pecen, nemusel byste dál rozehřívat to máslo. Těžko přesvědčíte ostatní, že je skvělý způsob přidělovat nespolehlivě IPv4 adresy (může kdokoliv podvrhnout, změnit, může něco selhat) a na základě tohoto nespolehlivého údaje filtrovat na firewallu. Bývalo by stačilo se už kdysi dávno naučit používat VLAN i na IPv4 (ať už ručně, nebo pomocí 802.1X), protože to řeší ta primární rizika. Dnes byste nemusel složitě obhajovat filtrování podle IP adres.

Když vystoupím z příměru, tak se můžeme zamyslet nad původní otázkou. Ta zmiňovala ověření na L2 (zmínka o MAC). Pokud tedy hned jako premisu pokládáte zabezpečení na L2 úrovni, musíte nejprve vyřešit toto, než se dostanete k L3. L2 můžete zabezpečit pomocí identifikace MAC. To jste odmítl hned v dotazu. Pak už zbývá jedině VLAN. Tu můžete přiřadit ručně na switchi, nebo u WiFi odděleným SSID. Nebo ji můžete přidělovat po ověření - a k tomu slouží 802.1X. Tolik tedy k požadovanému ověření na úrovni L2.

Pokud máte vyřešenou otázku ověření L2, tak pak přichází otázka toho, jestli stále ještě potřebujete pravidla pro L3. Možná ano, možná ne - to se bude lišit od situace. Pro jednoduché zadání, které jste popsal, už podle mě nejsou potřeba pravidla L3, protože se dají odlišit jen tím, o jakou VLAN jde. Tím pádem odpadá vůbec úvaha o potřebě znát IP adresu.

Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.

Jestli to shrnu, tak jste asi blbě položil dotaz. Ptáte se na něco, co vlastně nepotřebujete / nechcete. Většina odpovědí se totiž moc neliší pro IPv4 / IPv6. Považuji za schizoidní uvažovat o tom, že MAC adresa se může změnit (být podvržena) a neuvažovat o tom, že tím lépe se může změnit (být podvržena) i IP adresa. Za schizoidní na kvadrát považuju dělat tak advanced věc, jako filtrovat odchozí provoz, když všechno ostatní popsané je na vodě.

Taková diskuse je zbytečná, jako je zbytečná diskuse o tom, jak z Trabanta vymáčknout 200 km/h. Určitě by šlo dát jiný motor a vše vyztužit, ale nikomu to nedává smysl, aby nad takovým Vaším hobby plezírem dál uvažoval.

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #28 kdy: 10. 06. 2021, 21:53:07 »
Pozerám na HP LaserJet M130nw (zadanie: čo najlacnejší ČB laser+scanner s ethernetom, driverless pod Linuxom) a 802.1x vie; preto si viem predstaviť, že v HP s LAN je to základná funkčnosť. Pri wifi tlačiarňach sa spraví extra SSID, ktorý hodí pripojených klientov do správnej VLAN (mnoho z nich má minimálny stack a nevie ani WPA Enterprise, ani 5 GHz).
Ano, HP je asi čestná vyjímka, co má podporu pro 802.1x v celém portfoliu.

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:IPv6 + firewall a identifikace klientů
« Odpověď #29 kdy: 10. 06. 2021, 22:03:05 »
Mikrotikem

Takže vlastně k ničemu, když potřebuji komunikovat s NAS bez přístupu do internetu připojeným pomocí 2.5 GbE do sítě a počítačem s interní (vlastní) 2.5 GbE a Wi-Fi 6, které opět jede o něco málo rychleji než 2.5 GbE, protože to prostě neuroutuji.

Navíc bych měl velký, složitý a hnusný paskvil.

Jestli není lepší stávající stav, v laciné krabičce na DHCP nastavíš rezervace a ve firewallu nastavíš, jestli daná adresa může nebo nemůže na internetu.
Nu, 2,5 Gbps LAN je stále trochu mimo běžné SOHO. Ale pokud mám na 2,5 Gbps, tak ten switch bude mít aspoň jeden 10 Gbps SFP+ uplink a budu mít i 4 kKč třeba na Mikrotika RB4011 a ten ti s rozumným firewallem to uroutuje s prstem v nose.
A pokud je ten switch slušnější, tak možná vše co potřebuješ se dá udělat v něm a bude ti také filtrovat na wire speed a nemusíš ho ani prznit VLANama na víc podsítí, pokud nechceš...
A pak stále máš tu možnost, že pokud věřím MAC adrese, tak filtrovat dle ni a síť v LAN nechat switchovat divoce a volně.