IPv6 - Pověry a fakta

firewall

Re:IPv6 - Pověry a fakta
« Odpověď #60 kdy: 20. 09. 2012, 13:13:40 »
Jaké NIC? Naopak něco - řadoví zaměstnanci nemají co mít přístup na server připojený do internetu. Klasifikovat servery do bezpečnostních zón a podle toho se k nim chovat je základ. Server přímo připojený do internetu je vždy v nejnižší bezpečnostní zóně.
No tak jestli se bavíme o prostředí, kde uživatelé nemůžou žádným způsobem na internet, tak to pak ano. To ale není prostředí 99,9% podniků, natož domácností.

Nikdy jsem nenapsal že uživatelé nemůžou žádným způsobem na internet. Uživatelé mohou na internet, ale kontrolovaným způsobem. To nemá s divočinou shellových účtů na serveru přímo připojeném do internetu nic společného.


Re:IPv6 - Pověry a fakta
« Odpověď #61 kdy: 20. 09. 2012, 14:39:22 »
Ale u takového "kdokoliv" vím kdo to je - musím znát své uživatele. To je podstatný rozdíl proti útočníkovi který se mi dostal na server omylem, ale se kterým je nutno počítat - statisticky se to prostě jednou za čas stane, protože komplikovaný software bezpečnostní díry měl, má a bude mít.

Já tedy nevím, zda si rozumíme. Thread původně začal tím, že je třeba (podle vás) zabezpečit firewallem server tak, aby v případě jeho kompromitace (kompromitace jeho internetových služeb) stejně nemohl komunikovat.

Jenže co komukoliv brání si zřídit vlastní server (vpn, proxy relay, tor apod) a komunikovat z něj, bez složité kompromitace jiných služeb? Tam mířila moje námitka. Zkrátka jestliže budu skutečně chtít odstřelovat ostatní, tak mám asi tak mega jednodušších možností, než crackovat jiný server. Tím jako neříkám, že by tam ta obrana neměla být, ale jen je podle mě zbytečné bránit něčemu, co si dotyčný může udělat mnohem snadněji vedle. Taková obrana je zbytečná a komplikující. Nehledě na to, že i webové aplikace často potřebují komunikovat s venkem oboustraně.

Re:IPv6 - Pověry a fakta
« Odpověď #62 kdy: 20. 09. 2012, 14:52:46 »
Jenže co komukoliv brání si zřídit vlastní server (vpn, proxy relay, tor apod) a komunikovat z něj, bez složité kompromitace jiných služeb? Tam mířila moje námitka. Zkrátka jestliže budu skutečně chtít odstřelovat ostatní, tak mám asi tak mega jednodušších možností, než crackovat jiný server. Tím jako neříkám, že by tam ta obrana neměla být, ale jen je podle mě zbytečné bránit něčemu, co si dotyčný může udělat mnohem snadněji vedle. Taková obrana je zbytečná a komplikující. Nehledě na to, že i webové aplikace často potřebují komunikovat s venkem oboustraně.

Já jsem to pochopil tak, že dojde např. ke kompromitaci apache - tj. pod účtem apache můžu spustit vlastní proces. Ale s tím procesem nemůžu komunikovat, protože nemám jak.

Přijde mi to trochu naivní, ale budiž :)

Re:IPv6 - Pověry a fakta
« Odpověď #63 kdy: 20. 09. 2012, 14:54:42 »
P.S. jako ochrana před hromadnými útoky, kde se tím útočník dál zabývat nebude a útok hned vyhodnotí jako neúspěšný, je to samozřejmě dobrý, to jo. Ale spravovat bych to nechtěl.

Re:IPv6 - Pověry a fakta
« Odpověď #64 kdy: 20. 09. 2012, 15:12:22 »
to firewall, Tomáš Crhonek, Miroslav Prýmek:
  IPv6 a služby v cloudu na vás..... Nezapomněli jste na téma?

Téma je o tvrzení "uživatel nepotřebuje žádný počet veřejných adres, protože mu stačí NAT" a že "NAT je lepší než neNAT".

Co takhle přirovnat NAT ke garáži a zamknuté auto k firewallu. Garáž odradí NÁHODNÉHO útočníka od cíle, protože neví co v té garáži je. Nicméně toho kdo chce ukrást Vaše auto to neodradí, jenom to znesnadní (stejně jako NAT). Lidé si v garáži auto často nezamikají, ale to nezmanená, že nezamčené auto nemá žádný význam. Oproti tomu zamčené auto je na parkovišti nutnost, byť to ne všechny zloděje odradí. Otázka je, jestli NAT lze dostatečně nahradit externím firewallem, který je součástí routeru (jako zamknout si auto za vratama na dvorku u baráku (vrata jsou tedy jako externí firewall)).

Prostě si myslím, že neNAT je vzhledem k možnostem a důsledkům PŘÍPUSTNÉ RIZIKO výměnou za globálně dostupnou adresu na PC (stejně jako zamčené auto na parkovišti, raději to, než 2 km od baráku garáž, navíc kdybych chtěl můžu kolem auta na parkovišti rozmístit senzory ;) ). Ale chápu, že ne všichni budou souhlasit.

Proti mnoha argumentům lze oponovat, že domácím zařízením, které nechceme mít na netu stačí komunikovat pomocí LL adres. Ty zařízení které mají být přístupné přes Inet je třeba aby zabezpečil výrobce (aby rozlišoval domácí komunikaci od té z netu (to lze, například televize by mohla mít pro youtube komunikovat pakety s ttl 128, oproti tomu pro vzdálené ovládání by se musela použít menší hodnota TTL, autentizace, explicitní povolení uživatele lokálně, ssl atd... samozřejmě v kombinaci.)


Re:IPv6 - Pověry a fakta
« Odpověď #65 kdy: 20. 09. 2012, 15:19:33 »
to firewall, Tomáš Crhonek, Miroslav Prýmek:
  IPv6 a služby v cloudu na vás..... Nezapomněli jste na téma?
Ano ano, omlouvám se a už opravdu k OT mlčím :)

Re:IPv6 - Pověry a fakta
« Odpověď #66 kdy: 20. 09. 2012, 16:32:07 »
to firewall, Tomáš Crhonek, Miroslav Prýmek:
  IPv6 a služby v cloudu na vás..... Nezapomněli jste na téma?

Téma je o tvrzení "uživatel nepotřebuje žádný počet veřejných adres, protože mu stačí NAT" a že "NAT je lepší než neNAT".

Co takhle přirovnat NAT ke garáži a zamknuté auto k firewallu. Garáž odradí NÁHODNÉHO útočníka od cíle, protože neví co v té garáži je. Nicméně toho kdo chce ukrást Vaše auto to neodradí, jenom to znesnadní (stejně jako NAT). Lidé si v garáži auto často nezamikají, ale to nezmanená, že nezamčené auto nemá žádný význam. Oproti tomu zamčené auto je na parkovišti nutnost, byť to ne všechny zloděje odradí. Otázka je, jestli NAT lze dostatečně nahradit externím firewallem, který je součástí routeru (jako zamknout si auto za vratama na dvorku u baráku (vrata jsou tedy jako externí firewall)).

Prostě si myslím, že neNAT je vzhledem k možnostem a důsledkům PŘÍPUSTNÉ RIZIKO výměnou za globálně dostupnou adresu na PC (stejně jako zamčené auto na parkovišti, raději to, než 2 km od baráku garáž, navíc kdybych chtěl můžu kolem auta na parkovišti rozmístit senzory ;) ). Ale chápu, že ne všichni budou souhlasit.

Proti mnoha argumentům lze oponovat, že domácím zařízením, které nechceme mít na netu stačí komunikovat pomocí LL adres. Ty zařízení které mají být přístupné přes Inet je třeba aby zabezpečil výrobce (aby rozlišoval domácí komunikaci od té z netu (to lze, například televize by mohla mít pro youtube komunikovat pakety s ttl 128, oproti tomu pro vzdálené ovládání by se musela použít menší hodnota TTL, autentizace, explicitní povolení uživatele lokálně, ssl atd... samozřejmě v kombinaci.)

Jo sorry, zpět do TopTopicu.

Přirovnání pokulhává. NAT (maškaráda) je jen překlad adres. Nic víc, nic méně. Bezpečnostní bariéra je nulová. Narozdíl od fyzické garáže. Pokud někdo chce skrýt interní implementaci, má k disposici proxy (afaik v OOP existuje návrhový vzor proxy přesně k tomuto účelu). Od bezpečnosti sítě je zde packetový filter, chcete-li firewall. Pojmy jako externí a interní firewall nechápu. Firewall prostě komunikaci propustí nebo ne, je jedno, kde je umístěn. Asi je tím myšlen fw umístěný na routeru (kde být může a nemusí) a přímo na síťovém hostu (kde být může a nemusí).

Bavit se o NATu a neNATU jako o přípustném riziku mi přijde takové... Prostě síť je o peer to peer komunikaci a Internet vznikl jako síť propojující sítě a přinesl tak možnost globální peer to peer komunikace (lokální tu byla od počátku). Bez ohledu na možnost si tu komunikaci filtrovat firewallem. To není popření globální komunikace.

Maškaráda vznikla mnohem později jako jedna z reakcí na docházející IPv4. Tím chci říct, že základ Internetu je v globálních routovacích adresách a tak prostě vznikl a funguje. IANA ani žádná jiná Internetová organizace maškarádu za připojení k internetu nikdy neuznala, protože technicky není (host za maškarádou je vyjmut z možnosti globální peer to peer komunikace). A trochu mě mrzí, že dneska je situace de fakto opačná, že se musí vysvětlovat, proč je potřeba mít globální adresu a mnoho lidí bere maškarádu jako default. Není a nikdy nebyl. Přináší to jen problémy, není to žádná bezpečnostní ani privátní bariéra.

Takže závěr. Globální routovaná adresa, ani IPv4 ani IPv6 není žádné ohrožení a žádné riziko. Je to naopak to, co je od počátku zcela integrální součástí sítě a je to to, co by každý síťový prvek měl mít by default. S bezpečností to nijak nesouvisí. S bezpečností souvísí to, jak jsou zabezpečené služby a jak jsou zabezpečené sítě.

Re:IPv6 - Pověry a fakta
« Odpověď #67 kdy: 21. 09. 2012, 11:18:41 »
Přirovnání pokulhává. NAT (maškaráda) je jen překlad adres. Nic víc, nic méně. Bezpečnostní bariéra je nulová. Narozdíl od fyzické garáže. Pokud někdo chce skrýt interní implementaci, má k disposici proxy (afaik v OOP existuje návrhový vzor proxy přesně k tomuto účelu). Od bezpečnosti sítě je zde packetový filter, chcete-li firewall. Pojmy jako externí a interní firewall nechápu. Firewall prostě komunikaci propustí nebo ne, je jedno, kde je umístěn. Asi je tím myšlen fw umístěný na routeru (kde být může a nemusí) a přímo na síťovém hostu (kde být může a nemusí).
Bavit se o NATu a neNATU jako o přípustném riziku mi přijde takové... Prostě síť je o peer to peer komunikaci a Internet vznikl jako síť propojující sítě a přinesl tak možnost globální peer to peer komunikace (lokální tu byla od počátku). Bez ohledu na možnost si tu komunikaci filtrovat firewallem. To není popření globální komunikace.....
Ano interní jsem myslel v koncovém komunikačním uzlu (host firewall). Externí jako síťový/network firewall.

 
No a v tom se budete hádat s zastánci NATu. Symetrický nat, který právě bývá často zmiňován jako součást bezpečnosti, má 2 výhody
      a. není možné poznat jednoduše určit kolik uzlů jakého druhu je v síti pouze podle komunikace (pomiňme vyzrazení pomocí aplikací na hostu)
      b. když NAT přestane dělat svou funkci, není to (možná) takové riziko než když přestane dělat svoji funkci FIREWALL
2.
Na druhou stranu vzledem ke způsobu realizace většiny útoků na koncové stanice, není NAT bezpečnostním opatřením, protože napadnout koncového uživatele lze přes spojení které otevře sám zevnitř sítě.

Co se týče mého srovnání s garáží, tak faktor symetrického natu přirovnávám k zamčení, faktor neprůhlednosti vrat k skrytí vnitřku garáže, ale uznávám, že nemusí to srovnání být úplně košér, nebudu zde dále příkladovat, ohledně toho skrývání se doporučuji podívat na tento článek který polemizuje často zmiňované obscurity is not security.: http://packetpushers.net/obscurity-security-reality
s mnoha body v něm souhlasím.

Dalším argumentem který se objevuje je otázka migrace adres, které se díky NATU dá realizovat, a ke kterému prý pro velké firmy není adekvátní náhrada v IPv6.. ale to je na další dlouhý flame, protože jedna strana tvrdí, že nástroje jsou a druhá, že nejsou "stejné" jako NAT. Nicméně vzhledem k změnám na síti při změně adres i toto beru jako možné bezpečnostní riziko vzhledem k lidskému faktoru.

Posledním argumentem který chci zmínit je  statický překlad podle portu. Zaslechl jsem argument, že tím, že běží na jedné adrese víc služeb a tyto služby mohou být reálně na různých mašinách, tak se dos útok na stroj poskytující konkrétní službu může minou účinkem (například jedna adresa poskytuje službu http a zároveň sql, útokem na sql schodím sql server a ne http server, o čemž do chvíle útoku útočník nemusí vědět a tím získám informaci o útočníkovi v době kdy neohrožuje službu, na kterou měl původně zálusk). V tomto použití si osobně nemyslím, že by NAT byl spásou, ale chápu že argument použití "dražší varianty" jako 1. server jedna služba, předsazení aplikačního proxy, IPS apod. není to co chtějí všichni slyšet (Předpoklad je že NAT byla levná varianta).

Proto ještě jednou, myslím že NAT vzhledem k tomu, že je občas součástí bezpečnosti ve firmách, jeho zmizení je určité bezpčenostní riziko, které si vyžádá náklady, ale vzhledem k výhodám by toto riziko/náklady neměly odradit od zavádění veřejných adres, protože přínosy dle mého toto riziko vyváží.

Re:IPv6 - Pověry a fakta
« Odpověď #68 kdy: 21. 09. 2012, 11:23:39 »
Na druhou stranu vzledem ke způsobu realizace většiny útoků na koncové stanice, není NAT bezpečnostním opatřením, protože napadnout koncového uživatele lze přes spojení které otevře sám zevnitř sítě.
No právě! Typicky dneska útoky probíhají tak, že uživatele nějak motivuju spustit něco, čím si nainstalují do systému trojana. To je dneska zdaleka nejběžnější útok. Nikdo se nebude párat s nějakým překonáváním zámku, když mu velký množství lidí ochotně otevře dveře.

A proti tomuhle mi sebelepší firewall nepomůže, natož NAT.

Re:IPv6 - Pověry a fakta
« Odpověď #69 kdy: 21. 09. 2012, 11:25:13 »
sakra... odeslal jsem to dříve než si to zkontorloval. Mimo gramatických chyb bych rád upravil poslední tvrzení.
místo "neměly odradit od zavádění veřejných adres" jsem chtěl napsat, že "by neměli vést k zavedení NATu do IPv6".

Re:IPv6 - Pověry a fakta
« Odpověď #70 kdy: 21. 09. 2012, 16:32:04 »
Dalším argumentem který se objevuje je otázka migrace adres, které se díky NATU dá realizovat, a ke kterému prý pro velké firmy není adekvátní náhrada v IPv6.. ale to je na další dlouhý flame, protože jedna strana tvrdí, že nástroje jsou a druhá, že nejsou "stejné" jako NAT. Nicméně vzhledem k změnám na síti při změně adres i toto beru jako možné bezpečnostní riziko vzhledem k lidskému faktoru.

Dělal jsem asi 3x přečíslování celé sítě včetně všech zákazníků u jednoho malého lokálního ISP a dvakrát na našem firemním hostingu s produkčními servery (a to včetně změny housingu). Změna adres přinese většinou daleko větší pořádek, protože se věci po létech udělají znovu a lépe a nastaví se to od nuly. Nebyl to žádný velký problém. Ale chápu, že přečíslování 10let staré sítě s několika tisíci hosty může být problém.

IPv6 má prostředky daleko silnější než je NAT. Chápu, že někdo může vidět eleganci v tom, že má tabulky se dvojicí vnitřní : vnější adresa (pro symetrický nat) a kteroukoliv stranu tak kdykoliv moci změnit bez dopadu na stranu druhou. V IPv6 se stejnou elegancí může mít každý host několik IPv6 adres z různých rozsahů, třeba pro různé účely. Pro přidělení další adresy do sítě stačí nastavit další RA. Takto lze například přeadresovat sít na jiný rozsah. Oznámí se nový router, zvýší se mu priorita, ohlásí se pomocí RA, hosté si automaticky změní default routu a aniž by to kdokoliv poznal (když se to udělá i se změnou DNS záznamů), během krátké chvíle mají všichni novou síť a novou gw. IPv6 má na tohle prostředky přímo, bez pomoci DHCP. Což by šlo použít samozřejmně též. Jinými slovy, pokud se používá RA a autokonfigurace, tak úplně stejně může existovat tabulka MAC - DNS záznam pro každého hosta přes všechny použité subnety. A kdykoliv to změnit. Je to něco jiného než symetrický nat, ale řeší to stejnou věc.

Když tak nad tím přemýšlím, tak si lidé asi zvykli na to, že tento konkrétní počítač má na věky věků adresu 192.168.0.1 a vše ostatní se "nějak" zařídí na routeru. IPv6 ale může být mnohem dynamičtější (privaci extension), host může mít každý den adresu z úplně jiného subnetu apod. Nic nového, u IPv4 to šlo také. Ale správci nejsou zvyklí pracovat se subnety (nikdy jich neměli dost na hraní), jen s jednotlivými adresami. Třeba se to změní.

Sten

Re:IPv6 - Pověry a fakta
« Odpověď #71 kdy: 21. 09. 2012, 17:41:37 »
Když tak nad tím přemýšlím, tak si lidé asi zvykli na to, že tento konkrétní počítač má na věky věků adresu 192.168.0.1 a vše ostatní se "nějak" zařídí na routeru. IPv6 ale může být mnohem dynamičtější (privaci extension), host může mít každý den adresu z úplně jiného subnetu apod. Nic nového, u IPv4 to šlo také. Ale správci nejsou zvyklí pracovat se subnety (nikdy jich neměli dost na hraní), jen s jednotlivými adresami. Třeba se to změní.

Dovolím si reagovat jenom na poslední odstavec, protože se zbytkem úplný souhlas.

Tu pevnou IP adresu samozřejmě může mít i v IPv6 díky ULA (nebo link-local, pokud mi stačí), rozdíl je, že to není jediná adresa. A tu předposlední větu bych zvýraznil, na nepochopení tohoto jsou totiž založeny argumenty většiny odpůrců IPv6.