Veřejná IPv4 a IPv6 a bezpečnost

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #45 kdy: 30. 10. 2022, 00:34:06 »
aby překážka zvyšovala bezpečnost, musí působit systematicky

Dostaceny pocet vhodnych  prekazek muze utocnika odradit. Naopak dobre namotivovaneho utocnika neodradi ani systematicka bazpecnost.


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #46 kdy: 30. 10. 2022, 01:06:05 »
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #47 kdy: 30. 10. 2022, 01:08:06 »
Dostaceny pocet vhodnych  prekazek muze utocnika odradit.
Ano, ale pořád se to netýká překážek, na které útočník narazí spíš omylem.

Naopak dobre namotivovaneho utocnika neodradi ani systematicka bazpecnost.
To je ale něco jiného. Teprve když mám vůbec nějaké překážky, začne se rozhodovat o tom, zda jsou dostatečné, aby zastavily daného útočníka.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #48 kdy: 30. 10. 2022, 10:47:22 »
NAT není ani překážka , IMO.

Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
Musíme si ujasnit o jakém NATu se vlastně bavíme. jestli one-to-many, kdy lezete ze sítě na internet schováni za veřejnou IP brány, tak se na váš počítač z internetu nejde dostat,(tím míním připojit) . Velká většina uživatelů NAT ani veřejnou IP neřeší, tohle jim úplně stačí.

Ale je to na nic lidem, kteří se na něj chtějí dostat z internetu, proto chtějí mít veřejnou adresu aspoň pro bránu. Pak už se na svoje hejblata dostanou aspoň přes přes port NAT.
Pokud těch adres mají víc, můžou je nastavit ideálně v DMZ přímo na hosty, nebo jejich IP NATovat na bráně.  Bránou myslím samozřejmě firewall.
P.S. velcí provideři dávají na router  u zákazníka dle mých zkušeností veřejnou IP adresu, s tím, že nezaručují její neměnnost, mj. taky proto aby ještě trochu víc vydělali .
« Poslední změna: 30. 10. 2022, 10:52:44 od FKoudelka »

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #49 kdy: 30. 10. 2022, 10:58:37 »
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.

Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #50 kdy: 30. 10. 2022, 11:02:57 »
NAT není ani překážka , IMO.

Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
Musíme si ujasnit o jakém NATu se vlastně bavíme. jestli one-to-many, kdy lezete ze sítě na internet schováni za veřejnou IP brány, tak se na váš počítač z internetu nejde dostat,(tím míním připojit) . Velká většina uživatelů NAT ani veřejnou IP neřeší, tohle jim úplně stačí.

Ale je to na nic lidem, kteří se na něj chtějí dostat z internetu, proto chtějí mít veřejnou adresu aspoň pro bránu. Pak už se na svoje hejblata dostanou aspoň přes přes port NAT.
Pokud těch adres mají víc, můžou je nastavit ideálně v DMZ přímo na hosty, nebo jejich IP NATovat na bráně.  Bránou myslím samozřejmě firewall.
Nicméně v tom druhém případě není “překážkou” NAT, ale firewall.
Rozumíme si ?

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #51 kdy: 30. 10. 2022, 11:07:36 »
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.

Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
Pakety chodí oběma směry.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #52 kdy: 30. 10. 2022, 11:07:40 »
Nicméně v tom druhém případě není “překážkou” NAT, ale firewall.
Rozumíme si ?
smazano, omyl
« Poslední změna: 30. 10. 2022, 11:10:44 od neregistrovany »

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #53 kdy: 30. 10. 2022, 11:09:42 »
Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?
NAT je komplikace pro uživatele, není to překážka pro útočníka.

Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
Pakety chodí oběma směry.

bavime se celou dobu VYHRADNE o smeru dovnitr (v verejne site smerem do privatni), reagoval jsem na to, ze tui nekdo zacal rozlisovat pakety uzivatele (ktery potrebuje ke sve siti vzdalene pristoupit) a utocnika.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #54 kdy: 30. 10. 2022, 12:49:21 »
Takze packet ktery posle utocnik projde, zatimco paket ktery posle uzivatel neprojde? Zajimave...
Omlouvám se, myslel jsem, že chcete věcně diskutovat. Vy chcete jen trolit a podsouvat něco, co jsem nenapsal. Tak si to užijte, ale beze mne.

Re:Veřejná IPv4 a IPv6 a bezpečnost (NATu)
« Odpověď #55 kdy: 18. 05. 2023, 16:54:22 »


*) IIRC při čistém NAT bez firewallu stačí routeru poslat zvenku packet na vnitřní IP adresu, a jsem za NATem. Základní firewall tomu může zabránit.
Pro ujißtění, řeší to
-I FORWARD -m ctstate --ct-state INVALID -j DROP?

(Za předpokladu -P ACCEPT)

jjrsk

  • ****
  • 348
    • Zobrazit profil
Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #56 kdy: 18. 05. 2023, 20:28:49 »
Neresi, zjisti si co je to state, v tomhle pripade bude NEW.

Edit:
Resi se to tak, ze ty musis pridat pravidlo na iface a ip rozsah. Tzn pokud je eth0 ven, tak chces zahodit vse, co dorazi na eth0 a ma v dst nebo v src interni rozsah. Musis resit oboji, protoze pokud  v src neco zevnitr, tak router odpovi tomu zarizeni vevnitr = to taky nechces.
« Poslední změna: 18. 05. 2023, 20:36:09 od jjrsk »

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #57 kdy: 19. 05. 2023, 13:23:16 »
jjrsk:
Odpověď jsem pročetl, promyslel a zkonfrontoval se svým nastavením. Zabývám se částí  kdy pakety příchozí na  wan  mají dst  je v interní síti (a ne src).
.a nesedí mi tam tvoje odpověď vše co má interní rozsah zahodit -- Pokud si dám pravidlo DROP na -d 192.168.1.0/24, tak defacto odříznu internet. Pokud dám -d 10.0.0.45 (adresa na routeru na wanu), toto pravidlo je tam uplně hluché(souzeno dle counterů )

On totiž conntrack v PREROUTING  vrátí zpět natované adresy, takže  FORWARD u (všech spojení?) vidí interní adresy , ačkoli MASQUERADEP/SNAT je definován v POSTROUTING. (A drop nejde dát do prerouting, a do mangle se to taky nedává)


reálný výpis: (iptables -nvL FORWARD - výtah)
26  1560 DROP       all  --  *      *     85.207.103.194
 192.168.1.7
    0     0 DROP       all  --  *      *       85.207.103.194 10.1.0.42

Nebo jsem něco přehlédl? (pokud to nebude conntracku známé spojení, přepis se nekoná, ale stejně si takto odříznu kontektivitu) Simuloval jsem to spojením iniciovaným ze své sítě(klasicky curl 85....). Je možné, že pokud by mi 85.207... a záleží asi zase na pořadí pravidel...

řeší to tedy?
A FORWARD -d 192.168.1.0/24 -i waneth0 -o lan1 -m conntrack --ctstate  !RELATED,!ESTABLISHED -j DROP
(opět negované, za předpokladu P ACCEPT . Je to už správně?


Neřeším teď pakety co mají src interní rozsah (což to taky nechces),  a navíc to řeší rp_filter. (akorát by mě zajímalo, jestli když mám k rp_filtru i odpovíjící pravidlo DROP v FORWARD, co účinkuje dřív: zda)

Možná jsem to nepředvedl, ale router(čistý linux) mám nastaven bezpečně, ale je to tím, že mám -P FORWARD DROP,  takže pravidla diskutovaná nejsou 1:1, mají jiné pořadí, záměna ACCEPT-DROP, nevidím celý obrázek, všechna pravidla . Tady se diskutuje jen minimální příklad - jak zablokovat spojení s adresou obashující vnitřní síť na WAN. Ale s policy ACCEPT se to dá přepsat na komfortní ctstate ESTABLISHED -jACCEPT
« Poslední změna: 19. 05. 2023, 13:31:45 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #58 kdy: 19. 05. 2023, 14:46:43 »
Nezapomínáte na to, že NAT pravidla na linuxovém firewallu píšete jen pro první paket spojení, a jádro se postará o správnou modifikaci následujících paketů (včetně paketů v opačném směru)?

DROP se normálně dává do FORWARDu a dáte tam pravidlo, že se mají zahodit všechny pakety, které přišly z WAN, jako cíl mají interní IP adresy a nesouvisí s existujícím spojením. Nebo naopak před ten DROP dáte ACCEPT pravidlo, které vyřeší všechny pakety týkající se navázaných spojení. Bývá zvykem takovéhle pravidlo dávat hned na začátek FORWARDu, protože tím většinu paketů vyřídíte hned v prvním pravidlu a firewall se jimi dál nemusí zabývat.

Případně pokud v interní síti něco, co je dostupné z venku (DMZ), po povolení všech paketů z existujících spojení ještě povolíte komunikaci na tuto IP adresu (případně i omezíte porty) a pak zbytek DROPnete.

jjrsk

  • ****
  • 348
    • Zobrazit profil
Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #59 kdy: 22. 05. 2023, 10:17:15 »
jjrsk:
Odpověď jsem pročetl, promyslel a zkonfrontoval ...
Takze si to precti jeste jednou. Od kdy z internetu chodi privatni adresy? A ja ti tam jasne psal, ze v kombinaci z rozhranim.

FORWARD -i eth0 -s 192.168/16 -j DROP
FORWARD -i eth0 -d 192.168/16 -j DROP

Tohle nemuze odriznout nic at uz to v poradi das kamkoli. A samozrejme, spravnejsi reseni je nastavit na drop policy.