IPv6 - Pověry a fakta

[Mirek Prýmek]

Linksys WAG200G ho defaultne zapnuty ma. Predtim jsem mel nejaky D-Link, zapnuty byl take. Jakysi strasny Philips take. Videl jsem par dalsich a tusim zapnuto take. Asi ale existuji vyjimky, kde vyrobce je debil nebo debil je ISP, ktery to dodava tak inteligentne nakonfigurovane eventuelne to dodava s nejakym vlastnim, obzvlaste dobre vypecenym firmwarem.

A co přesně ten zapnutý firewall znamená, jaký jsou tam default pravidla?

[Reklama]

[JardaP .]

A co přesně ten zapnutý firewall znamená, jaký jsou tam default pravidla?

To by byl dost problem zjistit, leda tak reverse engineeringem firmware. Muzete se spolehnot tak na to, ze v poloze zapnuto se opravdu neco zapne. Podle ShieldsUp! blokuje vsechny prichozi pozadavky z venku. Jak presne, vi jen vyrobce. Je to black box neznameho obsahu.

[Mirek Prýmek]

To by byl dost problem zjistit, leda tak reverse engineeringem firmware. Muzete se spolehnot tak na to, ze v poloze zapnuto se opravdu neco zapne. Podle ShieldsUp! blokuje vsechny prichozi pozadavky z venku. Jak presne, vi jen vyrobce. Je to black box neznameho obsahu.

No tak tohle jestli je pravda, tak to je vrchol nechutnosti. I ten můj přiblblej Zyxel od O2 umí normálně nastavovat pravidla.

[franc]

- kam zmizel ipv5?
- proc jsou v tech ipv6 adresach silenosti v podobe hexa cisel, to je za trest!, dns a revezni veci nefunguji ve vetsine siti a to je proste fakt, admini se poserou
- masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu, pripadne mozna by se nasel system jak to dynamicky scalovat dle potreb
- bezstavova cfg. ipv6, zajimave, nicmene lze se s tim podle me dobre poprat i dnes a dhcp zna v podstate kazdy admin, radvd apod skodo nikdo krome par borcu
- multicast na ipv6, ok beru, to ze nema vlastne broadcast je, ale nahrazuje to multicast na ff02::1 taky clovek vydejcha
- mistni linky - zamota lidem hlavu?
- jumbo pakety - slo by v pohode vyresit v draftu ipv5, nic zasadni ani neprekonatelneho
- bezpecnost - mame ipsec jako defackto std, netreba nic moc resit
- vypusteni kontrolniho soucetu - snad dobry napad nedokazu uplne posoudit

Rekneme sami jak to vypada ?
http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/

Osobne nechapu proc se slo cestou drastickeho prekopani, jak je videt ipv6 neni uplne kladne prijimano a bude asi tlaceno silou, osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel), ja osobne se na ipv6 prilis netesim, kdesi jsem cetl ze neupdatove windows vydrzi na verejne IP pouze nekolik minut, osobne ve firewallove schopnosti krabice moc neverim.
Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky nebo pouze naroutuje rozsah a zakanicku porad si, mas preci osobni firewall na PC, tvuj boj.

[Rax]

1 proc jsou v tech ipv6 adresach silenosti v podobe hexa cisel
2 masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu
3 bezstavova cfg. ipv6
4 multicast na ipv6, ok beru, to ze nema vlastne broadcast je
5 vypusteni kontrolniho soucetu - snad dobry napad nedokazu uplne posoudit
6 http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/
7 Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky

1 Hexa cisla maji vetsi hustotu informace nez dec.
2 Pakety IPv4 se spatne zpracovavaji v hardware a proto se to konecne v IPv6 udelalo poradne, rozsireni by ponechalo predchozi spatny stav.
3 Diky novotam v DHCP muze stanice ziskat funkcni IP adresu i pri neexistenci DHCP serveru, to neni vubec spatna vlastnost
4 Neexistuje pouze broadcast 255.255.255.255, tedy na vsechny pocitace v internetu. Vsechny ostatni maji ekvivalent.
5 Kontrolni soucet v IPv4 je mimoradne hloupy a navic se musi prepocitavat s kazdou zmenou TTL. V IPv6 je kontrolni soucet az v TCP a UDP a pochopitelne CRC na konci paketu.
6 BFU pouziva DNS nazvy a profesional se s novym tvarem srovna
7 ISP tady neni od nejakeho zabezpecovani bezpecnosti, ISP je tady od routovani a smerovani paketu.

[Reklama]

[DgBd]

- kam zmizel ipv5?

Nikam. RFC 1819

- masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu, pripadne mozna by se nasel system jak to dynamicky scalovat dle potreb

Už to nepijte ani zředěný. Oktet má vždycky 8 bitů.

Rekneme sami jak to vypada ?
http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/

Stejně jako http://214.56.32.13/

Osobne nechapu proc se slo cestou drastickeho prekopani, jak je videt ipv6 neni uplne kladne prijimano a bude asi tlaceno silou,

To je ovšem jenom vaše neinformovanost. Stačilo by se pozeptat a dozvěděl byste se třeba o příliš velkých internetových tabulkách, které se nedají rozumně agregovat. O IP options, které se musejí zpracovávat v řídících procesorech, atd.

osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel)

Takových exotů, kteří něco takového navrhovali byl kopec, ale zatím to vypadá, že praktická realizovatelnost jejich návrhů je komplikovanější než IPv6.

, ja osobne se na ipv6 prilis netesim, kdesi jsem cetl ze neupdatove windows vydrzi na verejne IP pouze nekolik minut, osobne ve firewallove schopnosti krabice moc neverim.
Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky nebo pouze naroutuje rozsah a zakanicku porad si, mas preci osobni firewall na PC, tvuj boj.

Taky doufám, že se můj ISP nebude zabývat bezpečností mojí sítě a že nebudu muset zjišťovat, co všechno mi ISP zablokoval, když mi zrovna moje oblíbená aplikace nebude fungovat.

[Mirek Prýmek]

osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel)

No to by dopadlo jako SMTP. Parsovat email a myslet při tom na všechna přiblblá rozšíření je noční můra. Nebýt na to knihovny, sejde se půlka ajťáků na psychiatrii.

[JardaP .]

No tak tohle jestli je pravda, tak to je vrchol nechutnosti. I ten můj přiblblej Zyxel od O2 umí normálně nastavovat pravidla.

Tohle je BFU router, jako vetsina. Akorat se na tom da naklikat port forwarding, jen se tomu rika Applications &
Gaming.

[Zdenek]

Vo co tady sakriš jde??? Rada i pouhá informace se mě hodí.... Někdo mi podle všeho hrabe v compu... a nemám z toho zrovna dobrý pocit.... A už vůbec ne proto, že si myslím, že je to můj nejbližší tedy partner.....

Jak to zjistím pls??

Waterboarding?

http://cs.wikipedia.org/wiki/Waterboarding

a to myslis jako pouzit na pocitac, nebo na toho pritele?

[JardaP .]

http://cs.wikipedia.org/wiki/Waterboarding

a to myslis jako pouzit na pocitac, nebo na toho pritele?

Po waterboardingu z PC vetsinou uz nic nedostanes.

[Sten]

- kam zmizel ipv5?

IPv5 je Internet Streaming Protocol, který se ale moc nepoužívá.

- proc jsou v tech ipv6 adresach silenosti v podobe hexa cisel, to je za trest!, dns a revezni veci nefunguji ve vetsine siti a to je proste fakt, admini se poserou

Protože hexadecimální zápis má větší hustotu a je bližší síťovým maskám. DNS (dopředné i reverzní) v IPv6 funguje prakticky stejně jako v IPv4, s tím rozdílem, že reverzní DNS v IPv6 není vázáno na třídy, které se v IPv4 už nepoužívají, a tak je občas problém reverzní záznamy pro IPv4 udržovat, protože nejdou delegovat jinak než po třídách.

- masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu, pripadne mozna by se nasel system jak to dynamicky scalovat dle potreb

Ne tak úplně, páteřní routery mají omezený výkon. IPv6 také reorganizuje hlavičky a nepoužívá kontrolní součty, takže jej routery zvládají o dost lépe.

- bezstavova cfg. ipv6, zajimave, nicmene lze se s tim podle me dobre poprat i dnes a dhcp zna v podstate kazdy admin, radvd apod skodo nikdo krome par borcu

Nastavit RA je stejně složité jako nastavit dynamické DHCP(v4). Bez bezstavové autokonfigurace by bylo problematické implementovat privacy extensions, multihoming nebo zeroconf.

- multicast na ipv6, ok beru, to ze nema vlastne broadcast je, ale nahrazuje to multicast na ff02::1 taky clovek vydejcha

Aneb když víte, jak to udělat, tak broadcast vůbec nepotřebujete :-)

- mistni linky - zamota lidem hlavu?

Pochybuju, BFU budou používat tak maximálně mDNS/DNS-SD a bude jim úplně jedno, že to funguje na nějakých speciálních adresách.

- jumbo pakety - slo by v pohode vyresit v draftu ipv5, nic zasadni ani neprekonatelneho

IPv4 fragmentuje po cestě, což by pro jumbogramy mohl být problém. Ale samozřejmě to není nic převratného.

- bezpecnost - mame ipsec jako defackto std, netreba nic moc resit

IPsec v IPv4 je volitelný, takže jej máloco umí, a navíc je backportovaný z IPv6, takže v IPv4 úplně dobře nefunguje. V IPv6 je základním prvkem návrhu a je povinný.

- vypusteni kontrolniho soucetu - snad dobry napad nedokazu uplne posoudit

Kontrolní součty počítá linková vrstva (hardware) a TCP (UDP ne, ale to nezaručuje nic), tak není potřeba, aby to počítalo i IP, akorát to zdržovalo routery, protože každý router musí snížit hop limit (TTL v IPv4), tedy při každém routování se paket změní a tak bylo potřeba kontrolní součet (celkem zbytečně) přepočítat

Rekneme sami jak to vypada ?
http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/

Vypadá to nezvykle. Ale už dlouho máme fungující DNS a na tom stavěl i vývoj IPv6, takže s takovými zápisy byste se setkávat neměl.

Osobne nechapu proc se slo cestou drastickeho prekopani, jak je videt ipv6 neni uplne kladne prijimano a bude asi tlaceno silou, osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel), ja osobne se na ipv6 prilis netesim, kdesi jsem cetl ze neupdatove windows vydrzi na verejne IP pouze nekolik minut, osobne ve firewallove schopnosti krabice moc neverim.

Jakákoliv jiná změna by byla buď nekompatibilní nebo výkonově náročná (a to by neprošlo přes páteřní routery), takže ve výsledku by se stejně musela tlačit silou. Neupdatované Windows na IPv4 nevydrží moc dlouho, protože je celkem snadné prohledávat IPv4 adresy a hledat tam počítače. Ale najít jeden počítač v jedné IPv6 síti je jako hledat jedno konkrétní zrnko písku na Sahaře, nebo srovnáno s IPv4, jako najít jeden konkrétní počítač v jinak prázdném internetu, do kterého se dostanete před jednu konkrétní IP adresu jiného úplně prázdného internetu, a to ještě za předpokladu, že vůbec víte, ve které /64 síti máte hledat. Navíc díky privacy extensions to musíte stihnout prohledat do jednoho dne, neboť potom se ta adresa změní.

Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky nebo pouze naroutuje rozsah a zakanicku porad si, mas preci osobni firewall na PC, tvuj boj.

ISP budou bezpečnost ignorovat stejně, jako to úspěšně dělají dnes. Ale řešit to budou antiviry, které budou obsahovat i firewall, nakonec mnoho antivirů už to řeší i teď.

[Sten]

Kontrolní součty počítá linková vrstva (hardware) a TCP (UDP ne, ale to nezaručuje nic), tak není potřeba, aby to počítalo i IP, akorát to zdržovalo routery, protože každý router musí snížit hop limit (TTL v IPv4), tedy při každém routování se paket změní a tak bylo potřeba kontrolní součet (celkem zbytečně) přepočítat

Oprava: UDP kontrolní součty umí, ale nejsou povinné, tedy jiné vrstvy na ně nemohou spoléhat

[Tomáš Crhonek]

Kapitán se koukám napil asi trochu metylu.

Porty otevírat nechce (to je riziko na které se okamžitě někdo přilepí), to by mě zajímalo, na co se vlastně připojuje na síti, když by všechny porty nejraději zavřel a všechny sítě schoval za maškarádu. Nejspíš nikam.

A teď trochu konstruktivnější odpověď. Síťové služby jsou přirozeně určené k tomu, aby se na ně někdo připojil. Tudíž je lze (resp. mají být nastavené s ohledem na bezpečnost) nastavit tak, aby byly bezpečné. Jestliže někdo provozuje OS, který je apriori nezabezpečený, tak mu nepomůže ani nat, ani fw. Není náhodou, že většina (skutečných) útoků pochází z LAN, která se bere jako bezpečná (stačí se dostat skulinkou do LAN a celá síť je vaše). Jinými slovy, problém je úplně jinde, než v NAT nebo FW. Velmi často poskytují jen pocit bezpečí.

Na svém serveru, světe div se, firewall nemám. Nemá totiž co filtrovat. Všechny služby jsou nutně dostupné z Internetu (od toho je to Internetový server) a tedy firewall by byl nastavený tak, aby propustil všechny naslouchající porty. Je tam prostě zbytečný. Ostatní služby na serveru stejně nemají co dělat.

Stejně jak v domácnosti. Většina klientských stanic žádné síťové služby (by default) neposkytuje. Dokonce tam často už není ani ssh. Takže stanice reaguje jen na ping. Naopak, každá síťová instalovaná služba, je instalována s cílem, že se na ní někdo připojí. Takže se v zápětí musí povolit ve FW nebo přidat port foward.

Navíc, lidé mají pocit, že je třeba vytvářet nějaké megahradby, fw, proxy apod. Opak je pravdou. Většinou ta nejjednodušší možnost je i ta nejbezpečnější. Vezměte si ssh. Vymýšejí se různé kraviny, jako změna portu, přejmenování roota, port knocking a já nevím co ještě. Jenže nakonec tohle všechno pouze zkomplikuje přístup na server tomu, kdo se tam dostat chce. A jsme na začátku, tak služba musí být dostupná a stejně je. Změna portu je pouze pocit, nikoliv bezpečnost.

Daleko nejlepší je použít přihlášení pomocí klíčů. RSA 2048b vám jen tak někdo necrackne. Rázem se přístup zjednodušší, bezpečnost se zvýší o několik řádů.

Viděl jsem servery, kde se provozuje FTP a protože je to "apriory nebezpečné" tak se vymýšlelo blokování ip po x pokusech apod. Většinou se takhle zablokoval ten, kdo tam něco chtěl dělat. Přitom je řešení triviální. FTP dát pryč a používat scp. S klíčema. Je to mnohem jednodušší a mnohem bezpečnější.

Takže tak. Viděl jsem mnoho sítí, které působily jako pevnost. Jenže jak jste jedou vevnitř, můžete cokoliv (i věci jako, přístup z LAN bez loginu apod). Je daleko lepší neoddělovat vnitřní a vnější síť a služby prostě nastavit pořádně. Místo login a heslo to může být právě SSL klíč. Používá se to pohodlně a ta služba se klidně může vystavit ven.

A jak to souvisí s IPv6? No prakticky nijak. IPv6 umožní si snadněji postavit sít, snadněji nastavit firewall a snadněji skrýt obsah sítě. Ale bezpečnost samotná na IP protokolu nezávisí.

[firewall]

Na svém serveru, světe div se, firewall nemám. Nemá totiž co filtrovat. Všechny služby jsou nutně dostupné z Internetu (od toho je to Internetový server) a tedy firewall by byl nastavený tak, aby propustil všechny naslouchající porty. Je tam prostě zbytečný. Ostatní služby na serveru stejně nemají co dělat.

Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou? Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.

[Mirek Prýmek]

A teď trochu konstruktivnější odpověď. Síťové služby jsou přirozeně určené k tomu, aby se na ně někdo připojil. Tudíž je lze (resp. mají být nastavené s ohledem na bezpečnost) nastavit tak, aby byly bezpečné.

No konečně někdo se zdravým selským rozumem!

Jediná poznámka: ve firemních sítích většinou člověk chce pásek i kšandy. Primárně proto firewall. Doma je to jinak - a o domácích uživatelích tady byla řeč především.

Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou?

To je argument jak noha

Mám podobný: root má mít rozumné heslo. Ale co když má omylem heslo prázdné?

Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.

Tak jako tak zkusí odchozí spojení - a tomu zabránit je v podstatě nemožné.