Síťová bezpečnost a IPv6

Arthur

  • ***
  • 168
    • Zobrazit profil
    • E-mail
Síťová bezpečnost a IPv6
« kdy: 17. 09. 2012, 21:41:49 »
Ahojte,

vzhledem k aktuální situaci mi není z pohledu víceméně laika úplně jasná tato věc:

Dnes, když se vystaví nějaký server do internetu (má veřejnou IPv4 adresu), stává se téměř okamžitě terčem nějakého útoku. Proto se o něj stará profík, kdežto BFU je v klidu za NATem a skoro nic mu nehrozí.

Znamená to, že ve světě IPv6 budou stejně ohroženi všichni uživatelé všech počítačů a budou se muset o své stroje starat stejně jako dnešní serveroví admini ? To si nějak neumím představit. Ale umím si představit, že  firmy a provideři z tohoto důvodu zavedou NATy i do IPv6.  A nebo jsou ty útoky zaměřené spíše na serverové služby než na systém jako takový a tudíž se to uživatelů zas tolik nedotkne ?


DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Síťová bezpečnost a IPv6
« Odpověď #1 kdy: 17. 09. 2012, 22:13:30 »
NAT není ochrana. Pro opravdovou ochranu má i ten dnešní NAT router firewall. No a s IPv6 routerem to bude podobně, až na to, že tam nebude ten NAT.

KapitánRUMFree

Re:Síťová bezpečnost a IPv6
« Odpověď #2 kdy: 17. 09. 2012, 22:31:25 »
Přesně tak, až bude IPv6, tak buď na Vás bude moct střílet každý ňouma, co se domákne adresu, nebo budete ve stejné situaci jako teď, kdy firewall stejně v defaultu dropne každé spojení, které nebylo inicializované zevnitř, takže prakticky žádná změna oproti stávající situaci.
Bohužel NAT tu fungoval jako jistá forma ochrany, kdy skrýval topologii vnitřní sítě a pokud nebyl port protunelovaný až přímo k serveru a útočník nebyl dostatečně na výši, nemohl útočit třeba přímo na server, to teď bude snazší, protože všechno bude pěkně vystavené ven.
Například Váš NAS s privátníma fotkama, na ten se půjde připojit z celého světa a když ho nenastavíte dostatečně, každej se Vám tam bude moct hrabat. Což teď bylo o poznání těží.

KapitánRUMFree

Re:Síťová bezpečnost a IPv6
« Odpověď #3 kdy: 17. 09. 2012, 22:47:24 »
Doplním, že útok z vnější sítě na počítač za NATem (pokud nejsou protunelované porty) je poměrně složitá technika, kterou script kiddies obvykle nezvládají.

Rozdíl je cca následující:
Přímý útok na počítač s veřejnou adresou:
- pustím portscan z nějakého počítače, zjistím otevřené porty, AUTOMATICKY provedu jednoduchý port knocking na oblíbené číselné kombinace (funguje to sice zřídka, ale funguje, obvykle se blokuje SSH)
- sejmu bannery toho, co tam běží a porovnám to s těmi, které už mám
- pokud zjistím zranitelnost, můžu pokračovat

Počíták za NATem:
- musím nějak přesvědčit tu krabičku s NATem, že server chce komunikovat zrovna se mnou, což kolikrát není úplně jednoduché
- pokud se mi to povede udržet, sice se mi nepovede portscan, ale někdy se dá na určité služby dobouchat

Musím říct, že ale nejsem žádný úberhacker, možná že tu má někdo úber tool na přeskakování NATu.

Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty
Musím říct, že všechny zranitelnosti poctivě jako správný whitehat hlásím správcům těch strojů a že si nebuduju privátní zombie net.
Také mě to už nebere tolik co před pár lety.

Rax

Re:Síťová bezpečnost a IPv6
« Odpověď #4 kdy: 17. 09. 2012, 22:56:32 »
Znamená to, že ve světě IPv6 budou stejně ohroženi všichni uživatelé všech počítačů a budou se muset o své stroje starat stejně jako dnešní serveroví admini ? To si nějak neumím představit.

Odhadem polovina uživatelů internetu v ČR má PC s veřejnou IP již dnes s IPv4 a nic závažného se neděje. I integrovaný firewall ve Windows je značná překážka proti útokům zvenčí. Na PC se dneska útočí jiným způsobem.

Například Váš NAS s privátníma fotkama, na ten se půjde připojit z celého světa a když ho nenastavíte dostatečně, každej se Vám tam bude moct hrabat.

Situace bude obdobná, dříve se pro privátní NAS otevíraly porty na NATu, nyní budeme pro privátní NAS zakazovat IP adresy na firewallu. Připouštím, že výchozí bezpečnost NAT bez otevřených portů byla vyšší, než výchozí nastavení firewallu kdy se může všude a hodně BFU na to dojede, než si to přenastaví.

NAT není ochrana. Pro opravdovou ochranu má i ten dnešní NAT router firewall.

NAT není firewall, ale z principu je to účinná ochrana proti příchozím připojením a to je shodou okolností nejvíce používaná funkce firewallu.


Re:Síťová bezpečnost a IPv6
« Odpověď #5 kdy: 17. 09. 2012, 22:57:56 »
Náhodný útok na otevřenou IPv6 adresu je takřka nemožný. Pro každý koncový počítač musíte proscanovat rozsah /64 adres, což je 18446744073709551616 adres.

Pokud někdo zjistí vaši IPv6 adresu, ještě nemusí mít vyhráno. Jednak to nemusí být stejná adresa, na které máte otevřené služby (firewall). Za druhé, i Windowsy už mají firewall a v režimu "veřejná síť" nemají otevřený ven jediný port (vyjma portů, které explicitně povolíte). To je rozdíl od intranetového režimu, kdy otevírají ty svoje RPC porty. Tohle považuju za velice rozumný přístup od Microsoftu, který řeší dva protichůdné problémy. Firemní sítě vs veřejný internet.

I na Windows lze pro případ IPC otevírat porty bindované jen na localhost.

Na Linuxu žádné implicitní TCP porty snad nejsou, co ja vím.


Sten

Re:Síťová bezpečnost a IPv6
« Odpověď #6 kdy: 17. 09. 2012, 23:10:14 »
Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty

A kolik z nich bylo na IPv6?

KapitánRUMFree

Re:Síťová bezpečnost a IPv6
« Odpověď #7 kdy: 17. 09. 2012, 23:38:02 »
A kolik z nich bylo na IPv6?

Nula, nepoužívám IPv6, ale jakmile bude o mašině existovat záznam v DNSku, tak mi to je buřt jedno.
Bude stačit, když bude nějaké DNSko dostatečně sdílné, když se dostanu k paketům o přenosu zóny a pod.
Doménová jména se také nepoužívají náhodně generovaná, ale například FIRMAWKS046 a existují i slovníky.
Jinak s botnetem o cca 400 zombiích se dá proscanovat celkem slušný rozsah, hlavně když se nebudou scanovat všechny porty, ale jen ty obvyklé, zajímavé, na které člověk umí útočit. Ostatně k čemu Vám je to, že jste našli otevřený port s FTPčkem, když si zrovna s FTPčkem nedokážete poradit.
Dalším zdrojem jsou všelijaké logy toho, kdo kde byl.
Naštěstí hromada firem schraňuje seznamy aktivních IP adress.
Opravdu se nebojím, že by nebylo na co střílet.

Jak najít cíl v megarozsáhlé síti:
A) uděláte obrázek, třeba smajlík  ::)
B) ten obrázek umístíte POMOCÍ ODKAZU NA VÁŠ SERVER na fórum, kam cíl chodí, dá se poslat i poštou
C) ve chvíli, kdy si někdo zobrazí tu stránku, máte IP cíle

Tohle jsem měl pokusně udělané na jednom fóru, když tam někdo přišel, jeho prohlížeč obrázek stáhl, IP se objevila na listu a pustil se automatický portscan. Přiznám se, že ve světě IPv4, kdy většina lidí byla za NATem, to žádné ovoce nepřineslo, jak říkám, když není na co střílet, není na co střílet. Na druhou stranu, tím, že je vyjednané spojení mezí MÝM SERVEREM A KLIENTEM, dá se hodně omezeně střílet i PŘES NAT. A stejně jsem s tím úrodu nesklidil, jak byla cíl za NATem, po nějaké době se mi už nepovedlo spojení udržet a konec. Zato někdo pěkně vystavenej, kdo vystrkuje zadekku pěkně do netu, jo, to už je větší sranda.

...chudáci BFU....potěš koště, jestli budou dostávat krbičky bez Firewallu (což u ADSL pochybuji - tam to vždy bude krabička za tisku) a o SW firewallech si myslím svoje, některé SW firewally mají tu krásnou vlastnost, že než pecko najede úplně, jsou síťové služby už přístupné, ale Firewall ještě neběží....no a ještě v lepší případě ani nedojde k terminování už existujícího spojení :P

HW firewall je od toho, aby chránil před šmejdem z venčí.
SW firewall je od toho, aby chránil před úniky šmejdu zevnitř.

Re:Síťová bezpečnost a IPv6
« Odpověď #8 kdy: 17. 09. 2012, 23:52:54 »
Ach jo. Co je na tom tak složitého/magického/fascinujícího?

Když nějaká služba nemá být veřejně dostupná, nemá být veřejně dostupná - tj. nemá vůbec poslouchat na veřejně vystaveném rozhraní/adrese.

Pokud mám software, který tohle nerespektuje, neumím ho nastavit nebo chci mít systém "pásek a kšandy", mám firewall.

Pokud žádné služby ven poskytovat nechci, mám firewall zvenku zavřený.

Rozdíl situace "IPv6+zvenku_zavreny_firewall" a "IPv4+NAT" je v tom, že když za tím zařízením budou dva lidi, kteří si budou oba chtít explicitně povolit port 22, tak v první situaci si ho prostě povolí (oba), ve druhé si ho (oba) nepovolí i kdyby se rozkrájeli.

Fakt nechápu pointu těchle debat.

Stanley

Re:Síťová bezpečnost a IPv6
« Odpověď #9 kdy: 18. 09. 2012, 07:02:47 »
Já si myslím, že debata je vedena v tom smyslu, že drtivá většina běžných uživatelů o bezpečnosti a nastavení sítě nemá ponětí, prostě jsou to jen spotřebitelé internetu. Bude tedy záležet na tom, jak nastaví bezpečnost jejich provider. Vem si třeba nějaký větší panelák, kde je natahaná od providera strukturka, v síti se používají většinou neveřejné adresy, dál si většina uživatelů v bytě dá vlastní malý router (většinou kvůli WiFi) a zkus se na to dostat z venčí. Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost? Je to povinnost providera? Asi o tom nemá ve smlouvě ani zmínku a určitě si to nikdo z nich dobrovolně na triko nevezme. O tom je celá debata.

Re:Síťová bezpečnost a IPv6
« Odpověď #10 kdy: 18. 09. 2012, 07:46:54 »
Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost? Je to povinnost providera? Asi o tom nemá ve smlouvě ani zmínku a určitě si to nikdo z nich dobrovolně na triko nevezme. O tom je celá debata.
A kdo si bere na triko, když si k UPC modemu (bridge, veřejná IP) nepřipojím router, ale jeden počítač?

Jednu dobu to UPC dokonce mělo v podmínkách, že tam může být jenom jeden.

Kde se bude starat? Nikdo. Když si koupím soustruh, tak taky nikdo nebude kontrolovat, jestli u soustružení nosím brýle - a myslím, že lidské zdraví je daleko větší hodnota, než bezpečnost našich domácich PC.

Re:Síťová bezpečnost a IPv6
« Odpověď #11 kdy: 18. 09. 2012, 07:50:23 »
P.S. navrhuju založit nové téma "Kdo si vezme na triko, aby lidi neklikali na prilohu i_love_you" :)

Rax

Re:Síťová bezpečnost a IPv6
« Odpověď #12 kdy: 18. 09. 2012, 09:05:13 »
Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost?

50 % uživatelů internetu v ČR nemá doma žádnou krabičku ani NAT ani firewall, prostě má UTP kabel z modemu do počítače nebo z routeru ve sklepě přímo do počítače a to už několik let a nic zvláštního se neděje.
ISP je tady od routování a směrování paketů. Bezpečnost internetu si každý účastník internetu musí řešit sám.

Rax

Re:Síťová bezpečnost a IPv6
« Odpověď #13 kdy: 18. 09. 2012, 10:01:53 »
Omlouvám se :(
Samozřejmě že většina uživatelů má doma ADSL modem s aktivovaným NAT.
Nějak se mi to všechno plete.


Rax

Re:Síťová bezpečnost a IPv6
« Odpověď #14 kdy: 18. 09. 2012, 11:08:04 »
Samozřejmě že většina uživatelů má doma ADSL modem s aktivovaným NAT.

Nechutné kradení nicků, patrně došly argumenty a tak si tu někdo honí ego.
Uživatelů ADSL je sice spousta ale ani náhodou to není většina, ADSL se používá jenom ze zoufalství jako poslední možnost, to ví každé malé dítě. Větší množství lidí používá jiné ISP, kde je to jak píšu modem nebo port na routeru bez jakékoliv "chytrosti".