OT IPv6 - prakticke zkusenosti

František Burian BuFran na seznam.cz
Pondělí Říjen 9 12:24:21 CEST 2017 

Zdravím osazenstvo při pondělku,

  Já se zeptám z jiného soudku. Nejsem zbhlý v ipv6, takže mě nekamenujte, a
rád se přiučím jak to má být správně. Ve škole máme firewall, myslím si že 
dobře nastavený, a právě proto ve cvičeních jako první věc kterou uděláme se
studenty je, že zakážeme na robotech IPv6. Proč ? Protože to pak s ipv6 
nejede, objevují se špatně diagnostikovatelné problémy.

  Správný firewall by měl dovnitř propustit jen ty data, která dovnitř 
projít můžou, tedy jen povolené porty a related komunikaci (zahájenou 
zevnitř). Jenže internet (a obzvláště Linux) je plný protokolů, které 
vyžadují spojení zvenčí na jiném portu než byla zahájena komunikace. 

  Vezměme si takový obecně rošířený a spolehlivý protokol FTP. Ten v 
aktivním režimu na hlavním portu 21 jen vyjednává komunikaci, na kterém 
portu bude naslouchat obsahu souboru a řekne serveru ať mu na něj začne 
posílat data. No jo, jenže pokud je na cestě firewall, tak ten tu komunikaci
zařízne takže nic nestáhnete. U NAT řešení existují moduly do jádra, které 
toto řeší, modifikují provoz a automaticky otevírají porty ve firewallu a 
doplňují conntrack tabulku, takže je v každém okamžiku jasné která data mají
jít na který pc za NATem. Pravda, se šikovným softwarem na pc uvnitř 
dokážete takto dostat dovnitř libovolná data na libovolný port, což je 
bezpečnostní riziko.

  U ipv6 tohle udělat nejde, protože nejde vytvořit conntrack tabulka na 
routeru. Směrování v ipv6 se provádí pomocí RA, takže obecně se může ohlásit
více routerů a každý packet může jít přes libovolný z nich. Řeší se tak load
balancing i spolehlivost výpadku. Díky tomu nelze automaticky otevírat porty
ve firewallu a FTP tedy je nefunkční protokol.

  Když jsem takhle u piva toto řešil s nejvyšším ze správců sítě, tak 
koncenzus byl, že protokoly jako FTP apod se prostě musí přestat používat, 
jiné řešení neexistuje. Akceptuji-li tento koncensus, pak musím počkat, než 
mi balíčkovací systém Linuxu přestane nabízet FTP jako zdroj aktualizací v 
defaultu. A jelikož majorita těchto mirrorů právě v současnosti využívá 
protokol FTP, navíc jsou tyto mirrory dle IP nejblíž páteři (ftp.cvut.cz) 
nemám jinou možnost než zakázat tento jistě progresivní protokol ipv6.

  Jistě, můžu nastavit __každému programu__ který má implementovaný protokol
FTP aby používal pasivní režim. To ale znamená hromadu konfigurací na mnoha 
místech, a pokud to nebude v defaultu v čisté instalaci, tak to dělat 
nebudu. Těch protokolů je víc, které to takto mají, musel bych je takto 
konfigurovat všechny.

Co Vy na to ?

František Burian
---------- Původní e-mail ----------
Od: Jiří Nesvacil <nesvacil na posys.eu>
Komu: hw-list na list.hw.cz
Datum: 9. 10. 2017 11:56:14
Předmět: Re: OT IPv6 - prakticke zkusenosti 
" 

Zakladni nepochopeni veci je vsem zapnout ipv6 poskytovatelem. A budou se 
dit veci. Vetsina se spoleha, ze jejich zarizeni neni z venci videt ... . 
To, ze lednicka dnes muze posilat ven data i bez IPv6 je sice pravda a asi 
to tak i dela. Jde to postupne se zavadenim techto technologii. Stejne jako 
TV,.. proste spyware zevnitr.


Nicmene si dat klapky na oci a rikat, ze NAT nedela zadnou ochranu je ... .

Jirka




Dne 09.10.2017 v 10:32 hwnews konference napsal(a):
" 
To je prece blbost! To je presne to nepochopeni. 



I kdyz vam napisu moji IPv6 tak se pres FW na moje PC nemate jak dostat! 
Komunikaci zarizne prave FW jeste nez se k PC dostanete. Navic firewally 
maji nastroje proti DoS utokum (jestli se da o necem takovem mluvit). 
 






RV



Dne 9. října 2017 10:22 Jiří Nesvacil <nesvacil na posys.eu
(mailto:nesvacil na posys.eu)> napsal(a):
" 

NAT a firewall. To je jako se bavit jaky je rozdil mezi ochranou a 
plastenkou.

Na skole Vas uci, ze firewall neni NAT. Ale urcitou ochranu dela napr. 
nemuzete zvenci zahltit vnitrni PC, kdyz jeho adresu neznate. To, ze tato 
ochrana NAT dnes uplne nestaci je vec jina, ale vytvari barieru.


Jirka





" 








_______________________________________________
HW-list mailing list  -  sponsored by <a href='http://www.hw.cz'>www.HW.cz</a>
<a href='mailto:Hw-list na list.hw.cz'>Hw-list na list.hw.cz</a>
<a href='http://list.hw.cz/mailman/listinfo/hw-list'>http://list.hw.cz/mailman/listinfo/hw-list</a>

" 

_______________________________________________ 
HW-list mailing list - sponsored by www.HW.cz 
Hw-list na list.hw.cz 
http://list.hw.cz/mailman/listinfo/hw-list 
"
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/34dd67a3/attachment.html>

Další informace o konferenci Hw-list