Varför begränsar stadsnät/fibernät tillgängligheten på IPv6?

Det normala är att du får en IP från nätet och inte leverantörens DHCP. Kör nätet IPv4 CGNAT/privat adress så kan det inte magiskt göras om till IPv6 utan tunnel av leverantören. I de fall du får en publik IP-adress direkt till din utrustning så har alltså leverantören skickat över ett gäng adresser som tilldelas av nätets DHCP.

Själv skulle jag inte tillåta att köra SSH till en server som står publikt och jag har hittills aldrig stött på en enda kund som haft ett behov av IPv6. Inte en enda har någon enda gång beklagat att man inte har IPv6. Snarare tycker de flesta av mina kunder att det bara innebär en massa merjobb med DNS och annat. (Ja, om man bortser från när jag varit i Japan och jobbat med brandväggar.)

En kommun som körde IPv6 för eleverna var oerhört less på att eleverna inte kunde surfa då många DNSer som svarade på IPv6 pekade fel.

Om något pekar det väl på hur lite det tillför. Hade det varit så nödvändigt som många vill ha det till, ja då hade det också funnits för länge sedan. Det säger sig självt.

Jag kommer såklart implementera det direkt jag får det via min internetleverantör, men jag har hört tugget om den extrema nyttan med IPv6 i femton år. Den första gången jag hörde om att det var på gång var på nittiotalet...

This is so true, dessutom skiter vissa företag att fixa sina ipv6 tjänster inom snabb framtid... kan ta dagar ibland.¨
IPSEC eller wireguard till burkar inte ssh öppet tack!

Att färre försöker hacka sig in i och med att det finns fler adresser är knappast någonting som hjälper särskilt mycket ur ett riskperspektiv. Framförallt är det ett helt värdelöst argument gällande säkskyddslagen.

SSH utifrån handlar också om säkerhet då det funnits många fler CVEr i SSH protokollet än IPSec med IKEv2. Visst blir det mycket säkrare om man låser på IP adresser, men SSH skulle jag inte tillåta.

Publika IP adresser på insidan är för övrigt någonting jag aldrig skulle rekommendera även om det finns IP adresser för det. Även i de fall man kör IPv6 så adressöversätter jag.

Men, nu kan det mycket väl vara så att jag jobbar med högre säkerhet och att det knappast är normen för de flesta företag.

Nej, det handlar fortfarande om att det ger MYCKET mindre än det ger. Vilka big tech-bolag har inte en websida eller mailserver på IPv4? Det hela är skitenkelt. Hade det funnits stora fördelar med IPv6, så skulle det införts. Svårare är det inte.

Absolut. När det gäller maximal riskminimering så är en tunnel mellan nätverk ett utmärkt extra hinder för en angripare. Vad jag menar är att för den som inte har särskilt skyddsvärd information så är det overkill vägt mot att säkerheten i publikt exponerad SSH med en sansad och igenomtänkt konfiguration redan är hög.

Att göra något svårfunnet är en bra säkerhetsåtgärd i sig. Det är ju så krypteringsnycklar fungerar. Att hitta några datorer bland 2^64 olika adresser är galet svårt såvida det inte finns något som ger ledtrådar var de finns. Det är den sista biten som blir svår att hålla i, det brister om någon kan avlyssna trafiken till nätverket. Men det går att se det som ett försvårande komplement till befintligt skydd.

Du menar ULA? Tycker att det är praktiskt eftersom det gör den interna nummertilldelningen konsekvent oavsett vad som händer vid ändpunkterna. Av den erfarenhet jag har av det har jag stött på två ganska uppenbara för/nackdelar som hänger på just ULA.

Fördel: Många konfigurationer som hänger på fasta IP-adresser behöver inte göras om när ett helt nätverk flyttas mellan olika prefix.
Nackdel: Många program idag förstår inte att ULA är en adress som inte är global och tänker därför inte på att ta reda på den globala adressen till datorn/nätverket vid kommunikation med globala motparter. Motparten blir presenterad en ULA och måste på egen hand räkna ut att den måste använda den globala källadressen istället för den adress källan säger sig ha. Det funkar för det mesta. Men när motparten är tredje part skiter sig kommunikationen totalt. Detta skulle kunna lösas genom bättre förståelse för hur IPv6 fungerar. Eventuellt förbättringar kring ULA såsom att kunna fråga router/gateway efter nätverkets prefix.

Då förstår jag din hållning i frågan bättre. Ja, IPv6 kräver ett helt annat sätt att tänka kring upplägg och säkerhetsperspektiv och det är inte nödvändigtvis motiverat i nuläget att ta itu med det i skyddsvärda nätverk.

Där är det än mer viktigt att få ut IPv6 till konsument, för att komma framåt i utvecklingen och därmed motivera övergången i ett senare skede. Mycket av det som är problem idag är en självuppfyllande profetia för att mer fokus läggs på att få IPv4 att fungera korrekt. Tyskarna och finnarna exempelvis ligger på cirka 40%-50% användningsgrad medan vi ligger på bara 10%. Uppenbarligen fungerar det där så om vi tog efter lite mer så skulle vi ligga bättre till.

Här är en källa till att flera big tech-bolag håller på att dumpa IPv4 i sina backends:

Det finns utrustning idag som inte stödjer IPv6. Exempelvis en av de vanligaste IdPerna på dem svenska marknaden som väldigt många kommuner, regioner och myndigheter använder.

Då kan de helt enkelt inte gå över till IPv6 i och med att väldigt många tjänster ligger bakom en produkt som inte klarar det.

Och anledningen är såklart att leverantören inte sett behovet och att alldeles för få kunder kräver det.

Och... Jag har klagat på leverantören, för även om jag inte själv ser supernyttan med IPv6 ännu, så borde det fasen i mig stödjas av en så central del av väldigt många i offentlig sektors infrastruktur.

Det låter som att du tänker på ULA, prefix fc00::/7, och prefixmappning där exempelvis globalt prefix 2001:db8:aa01:dc01::42/64 blir fd14:db8:39fc:2a00::42/64. Resultatet är att klientadress ::42/64 är samma och individuellt nåbar oavsett globalt prefix. ULA är en del av specifikationen för att det är tänkt att kunna fungera i dessa scenarier och bland annat möjliggöra redundans. ULA fungerar även för isolerade nätverk.

Det till skillnad från NAT i den bemärkelsen som förekommer i IPv4. Där är det att hela nätverket delar på en eller ett fåtal IP-adresser och alla datorer bakom saknar individuella (globalt åtkomliga) adresser. Det är detta tilltag som inte skall förekomma i IPv6.

Notera att isolerade nätverk med exempelvis en tunnelserver som har en publik IPv6 som brygga är ett tillåtet exempel då datorerna i isolerade nätverk saknar åtkomst till Internet - ingen gateway. Då är det heller inte NAT per definition.

Ett problem som har varit är exempelvis att iptables tog så hårt på att NAT inte ska förekomma att de en period helt exkluderade NAT för IPv6 från programmet. Detta är fixat nu men tilltaget satte krokben för det tillåtna exemplet ULA då prefixmappning inte var möjligt utan NAT. Återigen handlar det om ett kompetensproblem, det är inte uppenbart att det är skillnad på NAT (á la IPv4) och NAT (prefixmappad ULA).

Jag är på! Vilken dag?

Det är klart att jag kommer att använda NAT. Allt annat vore vansinne ur mitt säkerhetsperspektiv oavsett vad RFC säger.

Jag är ingen expert på hur stadsnäten designas, men jag förutsätter att saker som att faktiskt veta vem som är källan till trafiken (något bara stadsnätsoperatören vet) och att hålla kunder separerade från varandra i stadsnätet åtminstone är en delorsak till att man väljer den typen av upplägg.

Sedan kan jag misstänka att stadsnätsoperatören kanske snarare agerar DHCP-relay där de bara hjälper till lite än att helt själva dela ut adresser (antar att det senare också skulle gå om internetleverantören på förhand ger dem en hög adresser som de får dela ut, känns dock som att det blir mer spill på det viset)...

Skulle säga att det normala är att de delar ut adresserna, leverantörerna skickar då bara över en lista på adresser som de kan dela ut. DHCP-problem blir alltså något kommunikationsoperatör får hantera.

Det är precis därför NAT IPv4-style tas upp som ett dåligt exempel, för att det ger en känsla av falsk trygghet. Om du har datorer med nätverksåtkomst som inte har egna globala IP-adresser så är de lika oskyddade som de som har globala IP-adresser. Varför har de nätverksåtkomst alls om de är "skyddade" av NAT? Jo, för att vid anslutning öppnas det en port i routern som går direkt till den datorn och en angripare kan då ansluta bakvägen genom den porten till den datorn. Eller än värre, en angripare bryter sig in på en enda dator på ett NATat nätverk och kan därefter gå lös på alla andra datorer med undermålig säkerhet.

Det går visserligen att argumentera för att attackytan är reducerad på samma sätt som att datorerna i ett IPv6-prefix blir svåra att hitta, men som du själv säger så är det ensamt ingen hållbar säkerhetsåtgärd.

Om du vill ha ett ordentligt nätverksbaserat säkerhetsskikt så är det antingen isolerat nätverk som gäller, eller en rejäl brandvägg som router. En brandvägg som faktiskt begränsar obehörig trafik och inte låtsas som att nätverket är uppsäkrat med bara NAT. Eller till och med en brandvägg som klienterna måste kommunicera igenom för att kunna nå varandra.

Det bästa är egentligen att varje dator är tillräckligt uppsäkrad för att själv kunna ha en global IP utan någon som helst form av brandvägg emellan. Först då pratar vi riktig säkerhet. Men tyvärr så är många enheter så undermåliga i sin säkerhet så de helst ska sitta på ett isolerat nätverk, och när dessa i sin tur är komponenter till dyr utrustning som behöver samexistera med andra klienter så sitter vi i dilemmat mer eller mindre. Sådana komponenter borde egentligen inte få säljas från första början och gör de det ändå borde de klassas som defekta.

Jag kommer inte hindra dig om du vill bygga NAT IPv4-style på IPv6 för att skydda ditt nätverk, men kan du så bör du välja andra lösningar för NAT är egentligen inte ett bra skydd.

Räcker att det finns ett API så det kan mycket väl kommunikationsoperatören sköta. Finns APIer och administrationsverktyg som leverantörerna kan använda direkt mot kommunikationsoperatören.

Det är klart att jag har en riktig brandvägg. Anledningen till att jag vill ha NAT är för att exponera så lite information som möjligt.
(För övrigt så är en öppen port inte riktigt så enkel att exploatera. Den är bara öppen mellan de två kommunicerande enheterna och även om den i brandväggen är öppen, så kommer brandväggen inte tillåta att man öppnar förbindelser åt andra hållet i och med att den vägrar SYN och håller koll på sequence number).

På företaget jobbar vi med pentest/red teaming, vilket innebär social engineering och andra fula metoder för att ta oss in (givetvis avtalat med kunden). Ju mer information vi har, vilket vi får om alla datorer går ut via en separat IP, desto mer har vi att jobba med.

Och vi jobbar med zon-modell och segmentering just för att inte inte en angripare ska kunna ta sig vidare. Även där är det önskvärt att släppa till så lite information som möjligt.

De jag kommit i kontakt med kör Q-in-Q och separerar näten på så vis. Visst är det samma fysiska nät, men inte samma logiska.

Allt du kan köpa över 30 000 är lager 3. Sedan handlar det om vilka funktioner och hur mycket paket de orkar skyffla.

Det går mer åt lager 3 och routing. Då det är mer flexibelt och stabilare än spanningtree.

Sist jag kollade så låg en fullskalig Layer 2 SPB-switch (IEEE 802.1aq) på över hundratusen. Här är ett exempel: https://www.proshop.se/Switch/Extreme-Networks-ExtremeSwitchi... - nu går den att använda som en L3-switch också, men den som köper den bara för att använda den som det lär inte vara klok.

Tror tvärtom att L2 SPB kommer ta över i slutändan, men det är som med IPv6, det sitter långt inne att ändra på något som fungerar...

Ja vanligt RSTP är inget att förlita sig för hantera trafik, så jag förstår varför man kör L3-switchar + OSPF (eller något annat). Oftast är det ganska enkla L3-switchar i stadsnäten ibland så inget häftigt tunnlande, VPLS eller SPB-stöd där inte.

Här kör man produkter från waystream i fibernoderna. Modellnummer minns jag inte