OT IPv6 - prakticke zkusenosti
František Burian
BuFran na seznam.cz
Pondělí Říjen 9 12:24:21 CEST 2017
Zdravím osazenstvo při pondělku,
Já se zeptám z jiného soudku. Nejsem zbhlý v ipv6, takže mě nekamenujte, a
rád se přiučím jak to má být správně. Ve škole máme firewall, myslím si že
dobře nastavený, a právě proto ve cvičeních jako první věc kterou uděláme se
studenty je, že zakážeme na robotech IPv6. Proč ? Protože to pak s ipv6
nejede, objevují se špatně diagnostikovatelné problémy.
Správný firewall by měl dovnitř propustit jen ty data, která dovnitř
projít můžou, tedy jen povolené porty a related komunikaci (zahájenou
zevnitř). Jenže internet (a obzvláště Linux) je plný protokolů, které
vyžadují spojení zvenčí na jiném portu než byla zahájena komunikace.
Vezměme si takový obecně rošířený a spolehlivý protokol FTP. Ten v
aktivním režimu na hlavním portu 21 jen vyjednává komunikaci, na kterém
portu bude naslouchat obsahu souboru a řekne serveru ať mu na něj začne
posílat data. No jo, jenže pokud je na cestě firewall, tak ten tu komunikaci
zařízne takže nic nestáhnete. U NAT řešení existují moduly do jádra, které
toto řeší, modifikují provoz a automaticky otevírají porty ve firewallu a
doplňují conntrack tabulku, takže je v každém okamžiku jasné která data mají
jít na který pc za NATem. Pravda, se šikovným softwarem na pc uvnitř
dokážete takto dostat dovnitř libovolná data na libovolný port, což je
bezpečnostní riziko.
U ipv6 tohle udělat nejde, protože nejde vytvořit conntrack tabulka na
routeru. Směrování v ipv6 se provádí pomocí RA, takže obecně se může ohlásit
více routerů a každý packet může jít přes libovolný z nich. Řeší se tak load
balancing i spolehlivost výpadku. Díky tomu nelze automaticky otevírat porty
ve firewallu a FTP tedy je nefunkční protokol.
Když jsem takhle u piva toto řešil s nejvyšším ze správců sítě, tak
koncenzus byl, že protokoly jako FTP apod se prostě musí přestat používat,
jiné řešení neexistuje. Akceptuji-li tento koncensus, pak musím počkat, než
mi balíčkovací systém Linuxu přestane nabízet FTP jako zdroj aktualizací v
defaultu. A jelikož majorita těchto mirrorů právě v současnosti využívá
protokol FTP, navíc jsou tyto mirrory dle IP nejblíž páteři (ftp.cvut.cz)
nemám jinou možnost než zakázat tento jistě progresivní protokol ipv6.
Jistě, můžu nastavit __každému programu__ který má implementovaný protokol
FTP aby používal pasivní režim. To ale znamená hromadu konfigurací na mnoha
místech, a pokud to nebude v defaultu v čisté instalaci, tak to dělat
nebudu. Těch protokolů je víc, které to takto mají, musel bych je takto
konfigurovat všechny.
Co Vy na to ?
František Burian
---------- Původní e-mail ----------
Od: Jiří Nesvacil <nesvacil na posys.eu>
Komu: hw-list na list.hw.cz
Datum: 9. 10. 2017 11:56:14
Předmět: Re: OT IPv6 - prakticke zkusenosti
"
Zakladni nepochopeni veci je vsem zapnout ipv6 poskytovatelem. A budou se
dit veci. Vetsina se spoleha, ze jejich zarizeni neni z venci videt ... .
To, ze lednicka dnes muze posilat ven data i bez IPv6 je sice pravda a asi
to tak i dela. Jde to postupne se zavadenim techto technologii. Stejne jako
TV,.. proste spyware zevnitr.
Nicmene si dat klapky na oci a rikat, ze NAT nedela zadnou ochranu je ... .
Jirka
Dne 09.10.2017 v 10:32 hwnews konference napsal(a):
"
To je prece blbost! To je presne to nepochopeni.
I kdyz vam napisu moji IPv6 tak se pres FW na moje PC nemate jak dostat!
Komunikaci zarizne prave FW jeste nez se k PC dostanete. Navic firewally
maji nastroje proti DoS utokum (jestli se da o necem takovem mluvit).
RV
Dne 9. října 2017 10:22 Jiří Nesvacil <nesvacil na posys.eu
(mailto:nesvacil na posys.eu)> napsal(a):
"
NAT a firewall. To je jako se bavit jaky je rozdil mezi ochranou a
plastenkou.
Na skole Vas uci, ze firewall neni NAT. Ale urcitou ochranu dela napr.
nemuzete zvenci zahltit vnitrni PC, kdyz jeho adresu neznate. To, ze tato
ochrana NAT dnes uplne nestaci je vec jina, ale vytvari barieru.
Jirka
"
_______________________________________________
HW-list mailing list - sponsored by <a href='http://www.hw.cz'>www.HW.cz</a>
<a href='mailto:Hw-list na list.hw.cz'>Hw-list na list.hw.cz</a>
<a href='http://list.hw.cz/mailman/listinfo/hw-list'>http://list.hw.cz/mailman/listinfo/hw-list</a>
"
_______________________________________________
HW-list mailing list - sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list
"
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/34dd67a3/attachment.html>
Další informace o konferenci Hw-list