ipv6 in t-2

[gulikoza]

1. Kako urediš IPSEC?

2. Kako imam povsod isti IP? Če grem z laptopom v siol omrežje bom dobil od t-2 ip?

3. Ne vem, ampak če imam neko embedded napravo, jo bom raje priklopil na NAT kot pa direkt na mrežo. Kako bom na TVju nastavljal firewall? Jasno, FW na prehodu opravlja enako (oz. boljšo) funkcijo kot sam NAT ampak kot že rečeno, če blokiraš vse, potem si pri IPv6 na istem kot z NATom...

4. Ja single point of failure je T-2 oprema to je jasno...ampak zraven dodam pa še svojo. Če predvidevam, da ima T-2 switche na zalogi, naj jaz še router kupim in konfiguriram na zalogo? Ok, da, lahko to naredim če mi je visok uptime pomemben...ampak dal sem lep primer - sedaj ko rebootam router zato ker spremenim wifi geslo, mi pade dol samo ta del mreže...potem mi odleti cela mreža.


Glede stateful konfiguracije pa sem dobil občutek da je vse nekaj na pol narejeno...danes vsaka, še tako glupa naprava podpira dhcp. Ali vsaka naprava, ki podpira ipv6, podpira tudi dhcpv6?

[OmegaBlue]

Embeded naprave še nekaj časa ne bojo bevskale na ipv6, zadeva se pa reši tako da napravi pridobi samo local-link address in tako komunicira samo s tvojim lokalnim omrežjem, ali pa če želiš da imaš globlani naslov omejevanje incoming povezav by default na prehodu. Zadeva ni preveč drugačna kot do sedaj.

Nihče ti ne preprečuje da domaš laufaš 3 routerje ali pa imaš vštekan en segment mimo routerja v switch.

Sorry dokončam kasneje moram letet.

[DC]

IPv6 se je treba navadit.
Tistim, ki se ukvarjamo z administracijo in nam je to jasno bo ščasoma prišlo v kri.

Ne morem si pa zamišljati kako bo to pri navadnih uporabnikih.
Že samo pritisk na podporne centre bo nenormalen. Predstavljajte si čisto običajno vprašanje "gospod mi poveste svoj IP".

[JanZorz]

1. Kako urediš IPSEC?

2. Kako imam povsod isti IP? Če grem z laptopom v siol omrežje bom dobil od t-2 ip?

3. Ne vem, ampak če imam neko embedded napravo, jo bom raje priklopil na NAT kot pa direkt na mrežo. Kako bom na TVju nastavljal firewall? Jasno, FW na prehodu opravlja enako (oz. boljšo) funkcijo kot sam NAT ampak kot že rečeno, če blokiraš vse, potem si pri IPv6 na istem kot z NATom...

4. Ja single point of failure je T-2 oprema to je jasno...ampak zraven dodam pa še svojo. Če predvidevam, da ima T-2 switche na zalogi, naj jaz še router kupim in konfiguriram na zalogo? Ok, da, lahko to naredim če mi je visok uptime pomemben...ampak dal sem lep primer - sedaj ko rebootam router zato ker spremenim wifi geslo, mi pade dol samo ta del mreže...potem mi odleti cela mreža.


Glede stateful konfiguracije pa sem dobil občutek da je vse nekaj na pol narejeno...danes vsaka, še tako glupa naprava podpira dhcp. Ali vsaka naprava, ki podpira ipv6, podpira tudi dhcpv6?

1. IPsec imaš v samem IPv6 stacku, ker je mandatory. Samo poveš mu, kaj naj počne, lahko ga imaš pa v transport ali tunnel mode. Google is your friend, par komand imas s katerimi poves kako bos s katerim dest. naslovom kriptiral.

2. MIP6. Imam postavljen Home Agent in DSMIP6-TLS na nekaj napravah, povsod po svetu imam isti IPv4 in IPv6 naslov. Deluje, ni pa še za široko uporabo (Nokia ja dala zadevo pod brutalen NDA).

3. Traparija. NAT ni security mehanizem, ampak translacija. Nabavi si firewall. BTW, moja televizija, DVD player in vse naprave pri meni doma, ki imajo ETH port in/ali znajo komunicirati preko IP protokola imajo javne IPv4 (in če znajo IPv6) naslove. NAT je "chicken way out" za tiste, ki samo mislijo da vedo, kaj počnejo.

4. Dobi si ASN in PI naslovni prostor, dobi si redundanten link in bodi multihomed. Easy ko pasulj

Jan

[JanZorz]

Malo razmišljam in se mi zadeve zdijo vedno manj rožnate:

snip/snap

(malo sem se razpisal...če se moderatorjem zdi primerno, se lahko odpre tudi nova tema - IPv6 Best Practices )

A lahko dam ta tvoj zapis na go6.si?

Se mi zdi krasen primer razmišljanja in vprašanj, katera začnejo rojiti po glavi ljudem, ki se začnejo z IPv6 ukvarjat.

May I?

Jan Žorž

[AndraZ]

Načeli ste precej različnih novosti, pogledanih v praksi, upam da ta tema ne zamre

Sam sem se poigral s tunelom, ga dal na domači strežnik/gateway in zaenkrat me najbolj matra ravno vprašanje s centraliziranim firewallom. Vse moje ipv6 naprave dobijo dinamične ipje z autokonfiguracijo, zato pojma nimam, kako bi na gatewayu realiziral firewall/nadzor z izjemami za posamezne naprave... to se bo pomoje moralo rešiti, ne moremo se zanašati samo na računalnike in njihove uporabnike? Ali pač?
Zanima me tudi odgovor na že podano vprašanje, ali so vse ipv6 enabled naprave tudi kompatibilne z dhcpv6? Oziroma, ali se dhcpv6 smatra kot slaba ipv6 praksa? dhcpv6 bi pomoje omogočil praktično statiko oziroma območja s podobnimi firewall dovoljenji...

[krho]

umm.. elaborate... kako ne bodo dobival mailov? če je nekdo proper postavu poštni strežnik je poskrbel za pripadajoč MX, A, AAAA ter vse PTR recorde.. če je pa mal bolj ozaveščen, je porihtal tudi kak SPF... kakorkoli... če si kaj MX gledal, si lahko videl, da so smtp-good-* in smtp-bad-* serverji... no.. good-i prejmejo pošto *takoj* od vseh proper pošiljateljev, bad-i pa jo prejmejo tudi od tistih, ki imajo kaj narobe, vendar.. with a twist... greylisting. vsekakor pa končni uporabniki dobijo pošto.

Pojdite se kregat s bedaki na easyjet.com, še na mail ne odgovarjajo. www strežniki iz katerih se pošlje ticket confirmation imajo sicer nastavljen PTR, vendar za taisti PTR ne obstaja A zapis.

[gulikoza]

1. IPsec imaš v samem IPv6 stacku, ker je mandatory. Samo poveš mu, kaj naj počne, lahko ga imaš pa v transport ali tunnel mode. Google is your friend, par komand imas s katerimi poves kako bos s katerim dest. naslovom kriptiral.

Ok, da, imam ipsec6 v xp...slabo dokumentirano, ampak xp tudi ni state-of-the-art ipv6. Vzamem na znanje da je 10 let star.

2. MIP6. Imam postavljen Home Agent in DSMIP6-TLS na nekaj napravah, povsod po svetu imam isti IPv4 in IPv6 naslov. Deluje, ni pa še za široko uporabo (Nokia ja dala zadevo pod brutalen NDA).

OmegaBlue je napisal: "kjerkoli si imaš isti IP (tudi že v praksi lepo deluje)." Glede na to, da se ISPjem dodeljuje /32 subnete, da ti praviš da je stvar pod NDA mi nikakor ni jasno kako bi svoje IPv6 naslove kamorkoli prenašal. Razen če imam svoj AS

3. Traparija. NAT ni security mehanizem, ampak translacija. Nabavi si firewall. BTW, moja televizija, DVD player in vse naprave pri meni doma, ki imajo ETH port in/ali znajo komunicirati preko IP protokola imajo javne IPv4 (in če znajo IPv6) naslove. NAT je "chicken way out" za tiste, ki samo mislijo da vedo, kaj počnejo.

Translacijski mehanizem, ki za sabo potegne določen nivo varnosti. Poznam razliko med NAT in FW, imel sem FW na mašini ko so se ostali še nukali po ircu. Moj border FW ima preko 200 IPv4 pravil (od oka, iptables -nvL | wc -l javi 286, nekaj je praznih in naslovnih vrstic). Ampak vseeno - so bili časi ko Windows nisi mogel naložiti če nisi izklopil mreže in prenesel patche oz fw programa preko ključka/cedeja. Če si za NATom, brez kakršnegakoli firewalla, se ti mašina NE BO okužila sama od sebe. Ne vem, meni se zdi to bistvena izboljšava napram tistemu, da se mašina okuži preden uspeš naložiti firewall. Poleg (unpatched) Windows mašin so tu še ostale druge naprave - kako vem npr. da moj telefon nima nekje na portu 55000+ backdoor admin dostop, zato ker je nek developer pozabil vrstico zakomentirat pred buildanjem release firmwara? Samo z NATom take zadeve elegantno izključiš. Pa da ne bi spet predolgo...da NAT je sam po sebi pokvaril p2p connectivity, ki je bil osnova interneta, ampak je pa zahteval, da si o težavi malo premislil in protokol (upam) zdesigniral tako, da je šel čez NAT in FW. Na IPv6 je adminu enostavneje dati iptables -A FORWARD -j ACCEPT in pozabiti na vse skupaj...dokler ni kje kak backdoor ali pa ne pride spet kak nuke.

4. Dobi si ASN in PI naslovni prostor, dobi si redundanten link in bodi multihomed. Easy ko pasulj

Ja, to sem napisal da je možno. Ampak spet - zakaj komplicirate če bi to hotel naredi ono, nekaj drugega. Poglej - zdaj dobiš na T-2 statičen IP. IP lahko vpišeš v katerokoli napravo jo priklopiš na switch in dela. Še več, IPja mi sploh ni treba nastavljati, dobim kar prek dhcp. Če mi crkne IPv6 router, ne morem priklopiti laptopa na switch in surfati naprej, ne, rabim neko napravo, ki ji bom lahko konfiguriral statični naslov in routing in ki ima na drugi strani radvd ali pa dhcpv6 da se mi bo mreža sploh zbudila. Lahko pa od ponudnika vzamem statless autoconfig, ampak potem pa ne morem imeti routerja/firewalla sploh...razen na vsaki mašini posebej? Ali pa kompliciram z bridganjem, proxyarp in firewall delam na layer2 v ebtables oz. s hookom iptables...kar bistveno presega znanje in zmogljivosti povprečnega domačega routerja.

A lahko dam ta tvoj zapis na go6.si?

Zaradi mene lahko, rad pa bi da iz tega rata kaka konstruktivna debata. Pač, IPv6 širi obzorja, vsega ne vem, kakor kaže smo si več ali manj pred njim vsi zatiskali oči, letos pa bo naenkrat zadeva udarila na plan. Logično je, da zahteva nekoliko drugačno razmišljanje in na to se je treba pripraviti. Se pa bojim ravno to, da vkolikor se bo preveč izkoriščalo odprt p2p dostop, bo pljusknjil povsem nov val črvov, trojancev in vdorov preko undocumented backdoorov, ki so bili dosedaj večalimanj uspešno skriti za SOHO routerji in NATom. Ko bo hladilnik enkrat del botneta, zato ker si mel odprt dostop zaradi tega, da si iz trgovine pogledal koliko imaš še jogurta, se internetu pomojem ne piše dobro.

[SoLoR]

Sam sem se poigral s tunelom, ga dal na domači strežnik/gateway in zaenkrat me najbolj matra ravno vprašanje s centraliziranim firewallom. Vse moje ipv6 naprave dobijo dinamične ipje z autokonfiguracijo, zato pojma nimam, kako bi na gatewayu realiziral firewall/nadzor z izjemami za posamezne naprave... to se bo pomoje moralo rešiti, ne moremo se zanašati samo na računalnike in njihove uporabnike? Ali pač?
Zanima me tudi odgovor na že podano vprašanje, ali so vse ipv6 enabled naprave tudi kompatibilne z dhcpv6? Oziroma, ali se dhcpv6 smatra kot slaba ipv6 praksa? dhcpv6 bi pomoje omogočil praktično statiko oziroma območja s podobnimi firewall dovoljenji...

DHCPv6 imaš za stateful konfiguracijo (recimo temu statiko), lahko določaš IPje na podlagi DUIDa oz novejši DHCP (4.2+) podpira celo MAC addresse (ne verjamem da je to po kakšni specifikaciji ampak važno da podpira).

Glede firewalla je pa tako načelno bo vsaka mašina skrbela za varnost s svojim firewallom, vendar ti pa nič ne prepričuje da kaj zapreš kaj FORWARD chainu in z tem onemogočiš dostop... Pač (tako si jaz razlagam) včasih si mel router in za njim NAT, takrat se s FORWARD chainom ni nihče ukvarjal ali si kaj zablokiral na INPUT chainu ali pa na OUTPUT in stvar je delala, tukaj imaš pa poleg INPUT ter OUTPUT chaina še nekaj dela z FORWARD chainom.... Ravno danes sem opazil neke pomanjklivosti ki sem jih imel z mojim firewallom, bila je neumnost in sem forwardal ipv6 traffic samo "ven", bogve koliko časa mi to ni pravilno delalo...

Ko bo hladilnik enkrat del botneta, zato ker si mel odprt dostop zaradi tega, da si iz trgovine pogledal koliko imaš še jogurta, se internetu pomojem ne piše dobro.

haha ta me je pa nasmejala se bodo hladilniki in televizije povezale v skynet pa bo konec človeštva

[pier]

a se maybe rab se kej testerjev

[NoName]

> host freeweb.t-2.net
freeweb.t-2.net has address 84.255.209.76
freeweb.t-2.net has IPv6 address 2a01:260:1:2::f2ee

[JanZorz]

Pač, IPv6 širi obzorja, vsega ne vem, kakor kaže smo si več ali manj pred njim vsi zatiskali oči, letos pa bo naenkrat zadeva udarila na plan. Logično je, da zahteva nekoliko drugačno razmišljanje in na to se je treba pripraviti. Se pa bojim ravno to, da vkolikor se bo preveč izkoriščalo odprt p2p dostop, bo pljusknjil povsem nov val črvov, trojancev in vdorov preko undocumented backdoorov, ki so bili dosedaj večalimanj uspešno skriti za SOHO routerji in NATom. Ko bo hladilnik enkrat del botneta, zato ker si mel odprt dostop zaradi tega, da si iz trgovine pogledal koliko imaš še jogurta, se internetu pomojem ne piše dobro.

Se zelo strinjam. Predolgo so (ste) si zatiskali oči pred IPv6.

Nov val črvov in vdorov naj pa kar pljuskne, se bo vsaj vse napake zelo hitro odpravilo. Brez prometa in izzivov tudi napak ne vidimo, da? Če bi to naredili zlagoma in v kontroliranih dozah do sedaj, ne bi imeli problemov. Tako pa naj vsak sam razmisli.

IPv6 imam postavljen v marsikaterem omrežju, pa nimam s tem nikakršnih težav. Verjamem pa, da je strah pred neznanim lahko velika zavora pred vpeljavo novih zadev. Za to pa obstajajo izobraževanja in tečaji.

Jan Žorž

[NoName]

ja, tkle mamo, fantje... L3/L4 firewally so počasi že obsolete... počasi bo treba začet razmišljat o L7 firewallih... načeloma je zadeva dosti trivialna v linuxu... http://l7-filter.sourceforge.net/ tole prolly še ne podpira šestke ane?

[AndraZ]

Kakšno security opremo (požarni zidovi) uporabljate na teh ipv6 omrežjih?
Jaz vsekakor ne mislim vsem napravam/mašinam omogočiti input na vse porte iz širnega sveta rad bi nek centraliziran nadzor nad tem. Zaenkrat vidim opcijo v dhcpv6 s statično dodelitvijo za servise, ki morajo biti dostopni od zunaj, ter običajni ip6tables firewall. Za ostale pa vse na noter blokirano, vse na ven (ali odvisno od želja/politike omrežja) pa dovoljeno...
Glavno težavo vidim v tem, da firewall ne more naslavljati/izbirati naprav pri postavljanju pravil... Bi si mislil, da bo tudi za to kakšen pripraven protokol v novejših security napravah?
Kako pa L7 firewall naslavlja hoste? Si bom jaz tole malo pogledal...

[GregecSLO]

Jap...

Softwer firewalli in AV-ji bodo postali še bolj nuja kot do sedaj
Samo da bo treba razmišljat wide in sicer da bo tak SW FW imal tudi raznorazne
IDS/IPS zaščite zmožnosti prepoznavanja raznih napadov itd...