Varför begränsar stadsnät/fibernät tillgängligheten på IPv6?

Permalänk
Medlem
Skrivet av jimnord:

Jag förstår problematiken med att ISPer kanske inte prioriterar att rulla it IPv6, även om jag tycker det är konstigt att de inte är aktivare då det löser en del andra problem som de stöter på (CG-NAT osv, peer-to-peer gaming). Om fler hade IPv6 så hade detta varit ett minne blott.

När jag hade IP-Only (och Bredband2) så skyllde bredband2 även de på att IP-only inte stödde IPv6. Men min fråga rör mer _varför_ själva nätet blir begränsande, varför fibernätet blandar sig in i IP-routingen då min utrustning får IP från Bahnhof, och således borde väl IP-routingen bara ske i Bahnhofs utrustning.

Det alla beskriver påvisar en inblandning från fibernätsägarna och man blir då beroende av deras utrustning och kompetens kring IP-routing vilket jag i min enfald inte trodde man var.

Det normala är att du får en IP från nätet och inte leverantörens DHCP. Kör nätet IPv4 CGNAT/privat adress så kan det inte magiskt göras om till IPv6 utan tunnel av leverantören. I de fall du får en publik IP-adress direkt till din utrustning så har alltså leverantören skickat över ett gäng adresser som tilldelas av nätets DHCP.

Permalänk
Medlem
Skrivet av Marida:

Svensson som bara betalar räkningar och läser Aftonbladet behöver inte IPv6 idag, däremot börjar det bli vanligt för de som jobbar hemifrån eller använder Internet på ett lite bredare sätt. Det mesta går dock fortfarande att lösa med IPv4 men det blir svårare.

När jag sshfsar till servrar brukar jag ansluta direkt med IPv6 om möjligt. Om jag bara har tillgång till IPv4 så blir jag genast hindrad. Antingen så löser jag port forward om jag har tillgång till en router med IPv4 i det nätverket, eller så löser jag det genom att sshfsa mot en dual stack-server jag har tillgång till och monterar IPv6-servern där i sin tur. Detta orsakar tredubbel trafik, segar ner och är inte bra intregritetsmässigt. För mig är detta ett av flera exempel. Bägaren har runnit över många gånger. Jag är beredd att betala extra för ett IPv6-block för att det är så viktigt för mig, nativt då, ej tunnel.

Själv skulle jag inte tillåta att köra SSH till en server som står publikt och jag har hittills aldrig stött på en enda kund som haft ett behov av IPv6. Inte en enda har någon enda gång beklagat att man inte har IPv6. Snarare tycker de flesta av mina kunder att det bara innebär en massa merjobb med DNS och annat. (Ja, om man bortser från när jag varit i Japan och jobbat med brandväggar.)

En kommun som körde IPv6 för eleverna var oerhört less på att eleverna inte kunde surfa då många DNSer som svarade på IPv6 pekade fel.

Skrivet av Marida:

15 år sedan var väl tiden inte mogen för IPv6, men 2012 var IPv6 world launch day och såhär 9 år senare så är det inte särskilt bra reklam för en ISP att inte erbjuda det. Är ett tecken på hur modern/omodern ISPn är.

Om något pekar det väl på hur lite det tillför. Hade det varit så nödvändigt som många vill ha det till, ja då hade det också funnits för länge sedan. Det säger sig självt.

Jag kommer såklart implementera det direkt jag får det via min internetleverantör, men jag har hört tugget om den extrema nyttan med IPv6 i femton år. Den första gången jag hörde om att det var på gång var på nittiotalet...

Permalänk
Medlem
Skrivet av Talisker00:

Själv skulle jag inte tillåta att köra SSH till en server som står publikt och jag har hittills aldrig stött på en enda kund som haft ett behov av IPv6. Inte en enda har någon enda gång beklagat att man inte har IPv6. Snarare tycker de flesta av mina kunder att det bara innebär en massa merjobb med DNS och annat. (Ja, om man bortser från när jag varit i Japan och jobbat med brandväggar.)

This is so true, dessutom skiter vissa företag att fixa sina ipv6 tjänster inom snabb framtid... kan ta dagar ibland.¨
IPSEC eller wireguard till burkar inte ssh öppet tack!

Permalänk
Medlem
Skrivet av basn:

Alltså, ipv6 är OK... inte bra.
Vissa saker blir sämre med det, routing tex.
Vissa saker går inte nå för företag skiter i om ipv6 är nere för det är så få användare.

Ibland så vill jag med ha ipv6 på Karlstad stadsnät men det har aldrig hindrat mig något.

Dessutom kanske du borde kika på vpn istället för att köra portforwards.

Lägger alltid SSH öppet för inkommande anslutningar, har aldrig någonsin haft problem med intrång trots åtskilliga bottar som ligger och testar tiotusentals gånger mot porten varje dag. Beror framförallt på att kontosäkerheten ligger bra till. IPv6 skulle göra problemet än mindre då det är svårare att gissa sig till en dator att testa emot till att börja med. För den paranoida så finns SSH-nycklar och avstängd lösenordsautentisering.

VPN-tunnlar är bra i sig, men det är mest för att förhindra osäkra program från att hitta på dumheter. Att konstant köra VPN för att komma åt nätverk höll jag på med ett tag men insåg att det var galenskap när SSH är likvärdigt en VPN-tunnel i säkerhet. Speciellt när IPv6 löser problemet med åtkomst till alla datorerna på ett nätverk.

Ser inte varför routing skulle bli sämre med IPv6 när det tvärtom gör många saker som är problem i IPv4 mycket enklare.
- Globala routingtables blir mycket mindre.
- Lätt att splitta upp ett IPv6-nät i segment och mindre block
- Lättare att ordna grupper av datorer under samma IPv6-prefix baserat på nätverksgeografi, det finns helt enkelt alltid plats att flytta runt.

Skrivet av Talisker00:

Själv skulle jag inte tillåta att köra SSH till en server som står publikt och jag har hittills aldrig stött på en enda kund som haft ett behov av IPv6. Inte en enda har någon enda gång beklagat att man inte har IPv6. Snarare tycker de flesta av mina kunder att det bara innebär en massa merjobb med DNS och annat. (Ja, om man bortser från när jag varit i Japan och jobbat med brandväggar.)

En kommun som körde IPv6 för eleverna var oerhört less på att eleverna inte kunde surfa då många DNSer som svarade på IPv6 pekade fel.

Om något pekar det väl på hur lite det tillför. Hade det varit så nödvändigt som många vill ha det till, ja då hade det också funnits för länge sedan. Det säger sig självt.

Jag kommer såklart implementera det direkt jag får det via min internetleverantör, men jag har hört tugget om den extrema nyttan med IPv6 i femton år. Den första gången jag hörde om att det var på gång var på nittiotalet...

Problemet med varför det är problem med IPv6 är att många systemadministratörer ser IPv6 som ett problem och gör problematiska konfigurationer istället för att göra allt rätt från början. Korrekt använt är IPv6 enklare än IPv4 att hantera, men så länge som det insisteras på att allt ska köras via den gamla modellen att datorer ska ligga på "säkra nät" istället för att varje dator ska ha en adekvat skyddsnivå för att klara av att exponeras korrekt mot Internet så kommer IPv6 och dess "påträngande" egenskaper motarbetas och aldrig fungera korrekt.

För att dra ett exempel på motsatsen, så har mig veterligen flera av big tech-bolagen totalt rensat ut IPv4 från sina backends och kör endast på IPv6. Detta då all routing blev så hysteriskt komplicerad att det krävdes ett helt arbetslag för att sköta om allt. Efter bytet till IPv6 behövdes inte det arbetslagret längre och de faktiska problemen ut mot Internet reducerades.

Med andra ord, det hänger på hur tröga systemadministratörerna är att ta itu med IPv6 på riktigt.

Permalänk
Medlem
Skrivet av Marida:

Lägger alltid SSH öppet för inkommande anslutningar, har aldrig någonsin haft problem med intrång trots åtskilliga bottar som ligger och testar tiotusentals gånger mot porten varje dag. Beror framförallt på att kontosäkerheten ligger bra till. IPv6 skulle göra problemet än mindre då det är svårare att gissa sig till en dator att testa emot till att börja med. För den paranoida så finns SSH-nycklar och avstängd lösenordsautentisering.

VPN-tunnlar är bra i sig, men det är mest för att förhindra osäkra program från att hitta på dumheter. Att konstant köra VPN för att komma åt nätverk höll jag på med ett tag men insåg att det var galenskap när SSH är likvärdigt en VPN-tunnel i säkerhet. Speciellt när IPv6 löser problemet med åtkomst till alla datorerna på ett nätverk.

Att färre försöker hacka sig in i och med att det finns fler adresser är knappast någonting som hjälper särskilt mycket ur ett riskperspektiv. Framförallt är det ett helt värdelöst argument gällande säkskyddslagen.

SSH utifrån handlar också om säkerhet då det funnits många fler CVEr i SSH protokollet än IPSec med IKEv2. Visst blir det mycket säkrare om man låser på IP adresser, men SSH skulle jag inte tillåta.

Publika IP adresser på insidan är för övrigt någonting jag aldrig skulle rekommendera även om det finns IP adresser för det. Även i de fall man kör IPv6 så adressöversätter jag.

Men, nu kan det mycket väl vara så att jag jobbar med högre säkerhet och att det knappast är normen för de flesta företag.

Skrivet av Marida:

Ser inte varför routing skulle bli sämre med IPv6 när det tvärtom gör många saker som är problem i IPv4 mycket enklare.
- Globala routingtables blir mycket mindre.
- Lätt att splitta upp ett IPv6-nät i segment och mindre block
- Lättare att ordna grupper av datorer under samma IPv6-prefix baserat på nätverksgeografi, det finns helt enkelt alltid plats att flytta runt.

Problemet med varför det är problem med IPv6 är att många systemadministratörer ser IPv6 som ett problem och gör problematiska konfigurationer istället för att göra allt rätt från början. Korrekt använt är IPv6 enklare än IPv4 att hantera, men så länge som det insisteras på att allt ska köras via den gamla modellen att datorer ska ligga på "säkra nät" istället för att varje dator ska ha en adekvat skyddsnivå för att klara av att exponeras korrekt mot Internet så kommer IPv6 och dess "påträngande" egenskaper motarbetas och aldrig fungera korrekt.

För att dra ett exempel på motsatsen, så har mig veterligen flera av big tech-bolagen totalt rensat ut IPv4 från sina backends och kör endast på IPv6. Detta då all routing blev så hysteriskt komplicerad att det krävdes ett helt arbetslag för att sköta om allt. Efter bytet till IPv6 behövdes inte det arbetslagret längre och de faktiska problemen ut mot Internet reducerades.

Med andra ord, det hänger på hur tröga systemadministratörerna är att ta itu med IPv6 på riktigt.

Nej, det handlar fortfarande om att det ger MYCKET mindre än det ger. Vilka big tech-bolag har inte en websida eller mailserver på IPv4? Det hela är skitenkelt. Hade det funnits stora fördelar med IPv6, så skulle det införts. Svårare är det inte.

Permalänk
Medlem
Skrivet av Talisker00:

Att färre försöker hacka sig in i och med att det finns fler adresser är knappast någonting som hjälper särskilt mycket ur ett riskperspektiv. Framförallt är det ett helt värdelöst argument gällande säkskyddslagen.

SSH utifrån handlar också om säkerhet då det funnits många fler CVEr i SSH protokollet än IPSec med IKEv2. Visst blir det mycket säkrare om man låser på IP adresser, men SSH skulle jag inte tillåta.

Absolut. När det gäller maximal riskminimering så är en tunnel mellan nätverk ett utmärkt extra hinder för en angripare. Vad jag menar är att för den som inte har särskilt skyddsvärd information så är det overkill vägt mot att säkerheten i publikt exponerad SSH med en sansad och igenomtänkt konfiguration redan är hög.

Att göra något svårfunnet är en bra säkerhetsåtgärd i sig. Det är ju så krypteringsnycklar fungerar. Att hitta några datorer bland 2^64 olika adresser är galet svårt såvida det inte finns något som ger ledtrådar var de finns. Det är den sista biten som blir svår att hålla i, det brister om någon kan avlyssna trafiken till nätverket. Men det går att se det som ett försvårande komplement till befintligt skydd.

Skrivet av Talisker00:

Publika IP adresser på insidan är för övrigt någonting jag aldrig skulle rekommendera även om det finns IP adresser för det. Även i de fall man kör IPv6 så adressöversätter jag.

Du menar ULA? Tycker att det är praktiskt eftersom det gör den interna nummertilldelningen konsekvent oavsett vad som händer vid ändpunkterna. Av den erfarenhet jag har av det har jag stött på två ganska uppenbara för/nackdelar som hänger på just ULA.

Fördel: Många konfigurationer som hänger på fasta IP-adresser behöver inte göras om när ett helt nätverk flyttas mellan olika prefix.
Nackdel: Många program idag förstår inte att ULA är en adress som inte är global och tänker därför inte på att ta reda på den globala adressen till datorn/nätverket vid kommunikation med globala motparter. Motparten blir presenterad en ULA och måste på egen hand räkna ut att den måste använda den globala källadressen istället för den adress källan säger sig ha. Det funkar för det mesta. Men när motparten är tredje part skiter sig kommunikationen totalt. Detta skulle kunna lösas genom bättre förståelse för hur IPv6 fungerar. Eventuellt förbättringar kring ULA såsom att kunna fråga router/gateway efter nätverkets prefix.

Skrivet av Talisker00:

Men, nu kan det mycket väl vara så att jag jobbar med högre säkerhet och att det knappast är normen för de flesta företag.
Nej, det handlar fortfarande om att det ger MYCKET mindre än det ger. Vilka big tech-bolag har inte en websida eller mailserver på IPv4? Det hela är skitenkelt. Hade det funnits stora fördelar med IPv6, så skulle det införts. Svårare är det inte.

Då förstår jag din hållning i frågan bättre. Ja, IPv6 kräver ett helt annat sätt att tänka kring upplägg och säkerhetsperspektiv och det är inte nödvändigtvis motiverat i nuläget att ta itu med det i skyddsvärda nätverk.

Där är det än mer viktigt att få ut IPv6 till konsument, för att komma framåt i utvecklingen och därmed motivera övergången i ett senare skede. Mycket av det som är problem idag är en självuppfyllande profetia för att mer fokus läggs på att få IPv4 att fungera korrekt. Tyskarna och finnarna exempelvis ligger på cirka 40%-50% användningsgrad medan vi ligger på bara 10%. Uppenbarligen fungerar det där så om vi tog efter lite mer så skulle vi ligga bättre till.

Här är en källa till att flera big tech-bolag håller på att dumpa IPv4 i sina backends:

Citat:

As a result, many larger enterprises, such as Microsoft, are now taking steps to turn IPv4 off, running IPv6-only within the company.

https://en.wikipedia.org/wiki/IPv6_deployment#Coexistence_wit...

Permalänk
Medlem
Skrivet av Sions:

Kan de vara så att de har äldre utrustning som inte stödjer ipv6 eller bara inte kunskaperna?

Jag ser det som ett kompetensproblem.

Utrustningen borde inte vara ett problem längre. du kan fixa ipv6 i Cisco-utrustning som är äldre än 10 år. Nu kan vissa operatörer köra utrustning från andra leverantörer.

Men sedan bidrar det nog också att ipv6 har ändrat på en del saker som gör det svårare att migrera kompetens etablerad med ipv4. Det är många som ser t.ex. NAT som är vanligt i ipv4 som något som inte skall förekomma i ipv6, men med NAT så kan jag få större frihet när det gäller hur mitt nät är uppbyggt och även hantera flera olika ISP-anslutningar (för företag är redundans viktigt).

Och med ipv4 så kan man också lätt kommunicera sin IP-adress vid supportärenden, med ipv6 så blir det ganska traggligt att försöka kommunicera den. Kanske är ISPerna rädda att det skall bli dyrare med supporten när man drar igång ipv6, men de skyller på "låg efterfrågan" när man pratar med dem.

Skall vi organisera en "beställ native ipv6-dag" kanske? Alla ringer sin ISP samma dag och beställer native ipv6.

Permalänk
Medlem
Skrivet av ehsnils:

Jag ser det som ett kompetensproblem.

Utrustningen borde inte vara ett problem längre. du kan fixa ipv6 i Cisco-utrustning som är äldre än 10 år. Nu kan vissa operatörer köra utrustning från andra leverantörer.

Men sedan bidrar det nog också att ipv6 har ändrat på en del saker som gör det svårare att migrera kompetens etablerad med ipv4. Det är många som ser t.ex. NAT som är vanligt i ipv4 som något som inte skall förekomma i ipv6, men med NAT så kan jag få större frihet när det gäller hur mitt nät är uppbyggt och även hantera flera olika ISP-anslutningar (för företag är redundans viktigt).

Och med ipv4 så kan man också lätt kommunicera sin IP-adress vid supportärenden, med ipv6 så blir det ganska traggligt att försöka kommunicera den. Kanske är ISPerna rädda att det skall bli dyrare med supporten när man drar igång ipv6, men de skyller på "låg efterfrågan" när man pratar med dem.

Skall vi organisera en "beställ native ipv6-dag" kanske? Alla ringer sin ISP samma dag och beställer native ipv6.

Det finns utrustning idag som inte stödjer IPv6. Exempelvis en av de vanligaste IdPerna på dem svenska marknaden som väldigt många kommuner, regioner och myndigheter använder.

Då kan de helt enkelt inte gå över till IPv6 i och med att väldigt många tjänster ligger bakom en produkt som inte klarar det.

Och anledningen är såklart att leverantören inte sett behovet och att alldeles för få kunder kräver det.

Och... Jag har klagat på leverantören, för även om jag inte själv ser supernyttan med IPv6 ännu, så borde det fasen i mig stödjas av en så central del av väldigt många i offentlig sektors infrastruktur.

Permalänk
Medlem
Skrivet av ehsnils:

Det är många som ser t.ex. NAT som är vanligt i ipv4 som något som inte skall förekomma i ipv6, men med NAT så kan jag få större frihet när det gäller hur mitt nät är uppbyggt och även hantera flera olika ISP-anslutningar (för företag är redundans viktigt).

Det låter som att du tänker på ULA, prefix fc00::/7, och prefixmappning där exempelvis globalt prefix 2001:db8:aa01:dc01::42/64 blir fd14:db8:39fc:2a00::42/64. Resultatet är att klientadress ::42/64 är samma och individuellt nåbar oavsett globalt prefix. ULA är en del av specifikationen för att det är tänkt att kunna fungera i dessa scenarier och bland annat möjliggöra redundans. ULA fungerar även för isolerade nätverk.

Det till skillnad från NAT i den bemärkelsen som förekommer i IPv4. Där är det att hela nätverket delar på en eller ett fåtal IP-adresser och alla datorer bakom saknar individuella (globalt åtkomliga) adresser. Det är detta tilltag som inte skall förekomma i IPv6.

Notera att isolerade nätverk med exempelvis en tunnelserver som har en publik IPv6 som brygga är ett tillåtet exempel då datorerna i isolerade nätverk saknar åtkomst till Internet - ingen gateway. Då är det heller inte NAT per definition.

Ett problem som har varit är exempelvis att iptables tog så hårt på att NAT inte ska förekomma att de en period helt exkluderade NAT för IPv6 från programmet. Detta är fixat nu men tilltaget satte krokben för det tillåtna exemplet ULA då prefixmappning inte var möjligt utan NAT. Återigen handlar det om ett kompetensproblem, det är inte uppenbart att det är skillnad på NAT (á la IPv4) och NAT (prefixmappad ULA).

Skrivet av ehsnils:

Skall vi organisera en "beställ native ipv6-dag" kanske? Alla ringer sin ISP samma dag och beställer native ipv6.

Jag är på! Vilken dag?

Permalänk
Medlem
Skrivet av Marida:

Det till skillnad från NAT i den bemärkelsen som förekommer i IPv4. Där är det att hela nätverket delar på en eller ett fåtal IP-adresser och alla datorer bakom saknar individuella (globalt åtkomliga) adresser. Det är detta tilltag som inte skall förekomma i IPv6.

Det är klart att jag kommer att använda NAT. Allt annat vore vansinne ur mitt säkerhetsperspektiv oavsett vad RFC säger.

Permalänk
Medlem

Känns som det spårade ur lite här, grundfrågan kvarstår ju här:

Varför måste fibernäten hantera layer 3-trafik och jag tycker det verkar helt bananas att OpenInfra i mitt fall skulle vara ansvariga för DHCP-tilldelning? Hur skulle det ens fungera, rent logistiskt, undrar jag.

Fattar inte varför jag inte rent krasst bara får trafik VLAN-taggad med Bahnhofs VLAN på min fibertåt, sen så blir allting Bahnhofs ansvar...?

Permalänk
Medlem
Skrivet av jimnord:

Känns som det spårade ur lite här, grundfrågan kvarstår ju här:

Varför måste fibernäten hantera layer 3-trafik och jag tycker det verkar helt bananas att OpenInfra i mitt fall skulle vara ansvariga för DHCP-tilldelning? Hur skulle det ens fungera, rent logistiskt, undrar jag.

Fattar inte varför jag inte rent krasst bara får trafik VLAN-taggad med Bahnhofs VLAN på min fibertåt, sen så blir allting Bahnhofs ansvar...?

Jag är ingen expert på hur stadsnäten designas, men jag förutsätter att saker som att faktiskt veta vem som är källan till trafiken (något bara stadsnätsoperatören vet) och att hålla kunder separerade från varandra i stadsnätet åtminstone är en delorsak till att man väljer den typen av upplägg.

Sedan kan jag misstänka att stadsnätsoperatören kanske snarare agerar DHCP-relay där de bara hjälper till lite än att helt själva dela ut adresser (antar att det senare också skulle gå om internetleverantören på förhand ger dem en hög adresser som de får dela ut, känns dock som att det blir mer spill på det viset)...

Permalänk
Medlem
Skrivet av evil penguin:

Jag är ingen expert på hur stadsnäten designas, men jag förutsätter att saker som att faktiskt veta vem som är källan till trafiken (något bara stadsnätsoperatören vet) och att hålla kunder separerade från varandra i stadsnätet åtminstone är en delorsak till att man väljer den typen av upplägg.

Sedan kan jag misstänka att stadsnätsoperatören kanske snarare agerar DHCP-relay där de bara hjälper till lite än att helt själva dela ut adresser (antar att det senare också skulle gå om internetleverantören på förhand ger dem en hög adresser som de får dela ut, känns dock som att det blir mer spill på det viset)...

Skulle säga att det normala är att de delar ut adresserna, leverantörerna skickar då bara över en lista på adresser som de kan dela ut. DHCP-problem blir alltså något kommunikationsoperatör får hantera.

Permalänk
Medlem
Skrivet av Petterk:

Skulle säga att det normala är att de delar ut adresserna, leverantörerna skickar då bara över en lista på adresser som de kan dela ut. DHCP-problem blir alltså något kommunikationsoperatör får hantera.

Fast det kan ju inte riktigt stämma. DHCP-tilldelningar sker ju antingen via mac-adress på den efterfrågande enheten (dvs, min router), alternativt baserat på source LAN vid tex DHCP Relay.

När jag skaffade Bahnhof så fick jag då en CGNAT address, men bad om en publik IP pga behov att nå mitt eget nät utifrån vilket då krävde att jag uppgav MAC för min brandvägg/router för att de skulle kunna tilldela mig det. Alltså kunde bahnhof pinna dhcp-tilldelning via min MAC, vilket får mig att tro att Bahnhof i allra högsta grad sköter sin egen DHCP...

Permalänk
Medlem

Det har i huvudsak med att göra med lastbalansering och avancerad skötsel av ett nätverk. Traditionellt sett har det krävts L3-routing för detta men på senare år har L2-routing via SPB seglat upp som ett överlägset alternativ. Varför det inte implementerats i större utsträckning har förmodligen med tre saker att göra:
* I skrivande stund väldigt dyra switchar
* Det befintliga nätverket fungerar
* Okunskap

Om jag haft råd (och switcharna inte vore så högljudda) skulle jag byggt upp mitt eget nät med SPB-switchar och dragit kablar i godtyckliga loopar för redundans och prestanda. Det + VLAN är en enastående kombination.

Permalänk
Medlem
Skrivet av Talisker00:

Det är klart att jag kommer att använda NAT. Allt annat vore vansinne ur mitt säkerhetsperspektiv oavsett vad RFC säger.

Det är precis därför NAT IPv4-style tas upp som ett dåligt exempel, för att det ger en känsla av falsk trygghet. Om du har datorer med nätverksåtkomst som inte har egna globala IP-adresser så är de lika oskyddade som de som har globala IP-adresser. Varför har de nätverksåtkomst alls om de är "skyddade" av NAT? Jo, för att vid anslutning öppnas det en port i routern som går direkt till den datorn och en angripare kan då ansluta bakvägen genom den porten till den datorn. Eller än värre, en angripare bryter sig in på en enda dator på ett NATat nätverk och kan därefter gå lös på alla andra datorer med undermålig säkerhet.

Det går visserligen att argumentera för att attackytan är reducerad på samma sätt som att datorerna i ett IPv6-prefix blir svåra att hitta, men som du själv säger så är det ensamt ingen hållbar säkerhetsåtgärd.

Om du vill ha ett ordentligt nätverksbaserat säkerhetsskikt så är det antingen isolerat nätverk som gäller, eller en rejäl brandvägg som router. En brandvägg som faktiskt begränsar obehörig trafik och inte låtsas som att nätverket är uppsäkrat med bara NAT. Eller till och med en brandvägg som klienterna måste kommunicera igenom för att kunna nå varandra.

Det bästa är egentligen att varje dator är tillräckligt uppsäkrad för att själv kunna ha en global IP utan någon som helst form av brandvägg emellan. Först då pratar vi riktig säkerhet. Men tyvärr så är många enheter så undermåliga i sin säkerhet så de helst ska sitta på ett isolerat nätverk, och när dessa i sin tur är komponenter till dyr utrustning som behöver samexistera med andra klienter så sitter vi i dilemmat mer eller mindre. Sådana komponenter borde egentligen inte få säljas från första början och gör de det ändå borde de klassas som defekta.

Jag kommer inte hindra dig om du vill bygga NAT IPv4-style på IPv6 för att skydda ditt nätverk, men kan du så bör du välja andra lösningar för NAT är egentligen inte ett bra skydd.

Permalänk
Medlem
Skrivet av jimnord:

Fast det kan ju inte riktigt stämma. DHCP-tilldelningar sker ju antingen via mac-adress på den efterfrågande enheten (dvs, min router), alternativt baserat på source LAN vid tex DHCP Relay.

När jag skaffade Bahnhof så fick jag då en CGNAT address, men bad om en publik IP pga behov att nå mitt eget nät utifrån vilket då krävde att jag uppgav MAC för min brandvägg/router för att de skulle kunna tilldela mig det. Alltså kunde bahnhof pinna dhcp-tilldelning via min MAC, vilket får mig att tro att Bahnhof i allra högsta grad sköter sin egen DHCP...

Räcker att det finns ett API så det kan mycket väl kommunikationsoperatören sköta. Finns APIer och administrationsverktyg som leverantörerna kan använda direkt mot kommunikationsoperatören.

Permalänk
Medlem
Skrivet av Marida:

Det är precis därför NAT IPv4-style tas upp som ett dåligt exempel, för att det ger en känsla av falsk trygghet. Om du har datorer med nätverksåtkomst som inte har egna globala IP-adresser så är de lika oskyddade som de som har globala IP-adresser. Varför har de nätverksåtkomst alls om de är "skyddade" av NAT? Jo, för att vid anslutning öppnas det en port i routern som går direkt till den datorn och en angripare kan då ansluta bakvägen genom den porten till den datorn. Eller än värre, en angripare bryter sig in på en enda dator på ett NATat nätverk och kan därefter gå lös på alla andra datorer med undermålig säkerhet.

Det är klart att jag har en riktig brandvägg. Anledningen till att jag vill ha NAT är för att exponera så lite information som möjligt.
(För övrigt så är en öppen port inte riktigt så enkel att exploatera. Den är bara öppen mellan de två kommunicerande enheterna och även om den i brandväggen är öppen, så kommer brandväggen inte tillåta att man öppnar förbindelser åt andra hållet i och med att den vägrar SYN och håller koll på sequence number).

På företaget jobbar vi med pentest/red teaming, vilket innebär social engineering och andra fula metoder för att ta oss in (givetvis avtalat med kunden). Ju mer information vi har, vilket vi får om alla datorer går ut via en separat IP, desto mer har vi att jobba med.

Och vi jobbar med zon-modell och segmentering just för att inte inte en angripare ska kunna ta sig vidare. Även där är det önskvärt att släppa till så lite information som möjligt.

Permalänk
Medlem
Skrivet av Marida:

Det har i huvudsak med att göra med lastbalansering och avancerad skötsel av ett nätverk. Traditionellt sett har det krävts L3-routing för detta men på senare år har L2-routing via SPB seglat upp som ett överlägset alternativ. Varför det inte implementerats i större utsträckning har förmodligen med tre saker att göra:
* I skrivande stund väldigt dyra switchar
* Det befintliga nätverket fungerar
* Okunskap

Om jag haft råd (och switcharna inte vore så högljudda) skulle jag byggt upp mitt eget nät med SPB-switchar och dragit kablar i godtyckliga loopar för redundans och prestanda. Det + VLAN är en enastående kombination.

Men kan inte se att en layer3 switch skulle vara dyrare än en managerad layer2 switch med stöd för VLAN, och då borde väl även den billigaste ha stöd för RSTP out of the box, om man nu vill kunna bygga ring-redundans på vägen (även om jag inte tror de bryr sig om det så långt ut).

Men rent krasst förstår jag faktiskt inte hur de separerar olika tjänsteleverantörer om allting sköts via layer3-routing. Måste ju betyda att de korsar en massa olika IP-segment över samma fysiska nät, måste bli ganska tjattrigt...

Permalänk
Medlem
Skrivet av jimnord:

Men kan inte se att en layer3 switch skulle vara dyrare än en managerad layer2 switch med stöd för VLAN, och då borde väl även den billigaste ha stöd för RSTP out of the box, om man nu vill kunna bygga ring-redundans på vägen (även om jag inte tror de bryr sig om det så långt ut).

Men rent krasst förstår jag faktiskt inte hur de separerar olika tjänsteleverantörer om allting sköts via layer3-routing. Måste ju betyda att de korsar en massa olika IP-segment över samma fysiska nät, måste bli ganska tjattrigt...

De jag kommit i kontakt med kör Q-in-Q och separerar näten på så vis. Visst är det samma fysiska nät, men inte samma logiska.

Permalänk
Medlem
Skrivet av jimnord:

Men kan inte se att en layer3 switch skulle vara dyrare än en managerad layer2 switch med stöd för VLAN, och då borde väl även den billigaste ha stöd för RSTP out of the box, om man nu vill kunna bygga ring-redundans på vägen (även om jag inte tror de bryr sig om det så långt ut).

Men rent krasst förstår jag faktiskt inte hur de separerar olika tjänsteleverantörer om allting sköts via layer3-routing. Måste ju betyda att de korsar en massa olika IP-segment över samma fysiska nät, måste bli ganska tjattrigt...

Allt du kan köpa över 30 000 är lager 3. Sedan handlar det om vilka funktioner och hur mycket paket de orkar skyffla.

Det går mer åt lager 3 och routing. Då det är mer flexibelt och stabilare än spanningtree.

Permalänk
Medlem
Skrivet av jocke92:

Allt du kan köpa över 30 000 är lager 3. Sedan handlar det om vilka funktioner och hur mycket paket de orkar skyffla.

Det går mer åt lager 3 och routing. Då det är mer flexibelt och stabilare än spanningtree.

Menade såklart billigare 😂

Men i ett nät med olika tjänsteleverantörer så ser jag det bara som mer problematiskt om man ska köra layer3 routing för alla sina tjänsteleverantörer.

Permalänk
Medlem
Skrivet av Talisker00:

De jag kommit i kontakt med kör Q-in-Q och separerar näten på så vis. Visst är det samma fysiska nät, men inte samma logiska.

Fast det låter som att det fungerar som VLAN, dvs transportnätet bryr sig då inte om IP-lagret. Men många här talar om att stads/fibernäten routar trafik på IP-nivå, ergo måste ju flera olika subnät gå i samma nät?