Frågor kring IPv4 och IPv6 - Finlandssvenskt fiberforum (1)
Bredbandsgruppen  
Forum RSS feed    Forum - Svara - Statistik - Registrering - Sök -

Finlandssvenskt fiberforum / Byanät / Frågor kring IPv4 och IPv6
. 1 . 2 . >>
Författare Meddelande
Guje
Medlem
# Skrivet: 18 Nov 2012 00:12 - Editerad av: Guje
Svara 


Vi hade helt nyligen en intressant diskussion om NAT.

I sammanhanget nämdes att man egentligen borde ta i bruk den nya versionen 6 av IP numrorna,Sk. IPv6.

I den gamla versionen IPv4 finns det inte längre nya nummer. Alla är redan utdelade.

Den nya IPv6 har tillräckligt med IP-nummer åt var och en.

Men hur kommer vi över från de gamla IP-numrorna till de nya? De nya är inte bakåtkompatibla med de gamla och hittills är det bara nån liten procent som valt ipv6.

Eftersom inte all mjuk- och hårdvara ens klarar av ipv6 måste ipv4 hållas vid liv.

Men hur skall vi komma över till de nya numrorna om vi inte kan lämna de gamla? Eller kan vi?

Nisse
Medlem
# Skrivet: 18 Nov 2012 14:03
Svara 


Jag misstänker svagt att det blir att köra burkar som översätter IPv6 till IPv4 (lokalt) under en övergångsperiod men det är inte det stora problemet utan SÄKERHETEN. Hur sköter man säkerheten med IPv6 ? I varje maskin skillt ? Eller med brandmurar (som då i praktiken gör att vi får en massa lokala nät - liksom nu).

Guje
Medlem
# Skrivet: 18 Nov 2012 16:24
Svara 


Verkar ju nog lite skrämmande att alla skulle ha direktkontakt in i varandras datorer, kylskåp, mobiltelefoner, strömbrytare....

Vad är det där riktiga "killerargumentet" att vi borde gå över till IPv6? Att då skulle IP-numrorna räcka till?

Bredde
Admin
# Skrivet: 18 Nov 2012 19:02 - Editerad av: Bredde
Svara 


men om alla har sin egen ip så vet man ju vem som jävlas, ip:n=personid


"hej
jag såg att ditt kylskåp var tomt så jag beställde 3 ton julskinka åt dej

hälsningar
21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A
"

Nisse
Medlem
# Skrivet: 18 Nov 2012 19:52
Svara 


Googles snokande nu är rena leksaken mot vad de DÅ kan snoka upp om dej:

"Hej, jag såg att du tog en öl från kylskåpet klockan 03:33:45:36 - behöver du påfyllning så står AB MeraÖl till tjänst för det facila priset på 35 euro med hemleverans"

Johanh
Medlem
# Skrivet: 18 Nov 2012 20:12
Svara 


Verkar ju nog lite skrämmande att alla skulle ha direktkontakt in i varandras datorer, kylskåp, mobiltelefoner, strömbrytare....

Det kommer man inte att ha. Likadant som man kör med brandvägg i hemmaroutern nu, så kommer man att ha brandvägg med IPV6. Med den hårfina skillnaden att den gamla hade NAT. Den gamla routern hade port forwarding och den nya har istället port enabling. Apparater och applikationer som tidigare öppnade port forwarding med hjälp av IGD Upnp kommer fortfarande att kunna göra det, med hjälp av WANIPv6FirewallControl (IGD v2). Så inte ser jag någon skillnad...

Guje
Medlem
# Skrivet: 18 Nov 2012 20:48 - Editerad av: Guje
Svara 


Ok, då kan man väl också ta gammal hederlig paketfiltrering i bruk. Eller är det det som IGD går ut på?

Blir inte detta en belastning för hemanvändaren?

Tex. DoS attacker som idag avvärjs i byanätes brandmur måste väl i fortsättningen också plockas bort på den nivån. Eller skall vi låta alla paket rusa in till allas hemroutrar och låta bl.a. tant Gunhild försöka avvärja dem i stället?

Nisse
Medlem
# Skrivet: 18 Nov 2012 21:52
Svara 


Det är just det jag är rädd för. Tant Gunhild har inte skuggan av en chans att fixa till hemmaroutern så det fungerar. Och jag har inte tid att åka omkring till hundra tanter och farbröder för att ställa in deras router.

Det blir nog gemensam brandmur för hela nätet tills jag får sparken eller dör.

Johanh
Medlem
# Skrivet: 18 Nov 2012 23:12 - Editerad av: Johanh
Svara 


Jag förstår inte varför IPV6 hemmaroutrar skulle vara mindre säkra? Nu har jag inte testat IPV6 ännu, men varför skulle det vara mindre säkert?

Ponera att routern stoppar all trafik (vilket det gör by default i en stateful firewall):

# stoppa all trafik
ip6tables -F
ip6tables -X

# tillåt all trafik ut på nätet
ip6tables -A OUTPUT -o <interface> -j ACCEPT

(det behövs förstås lite till, som lokala interface, multcast, icmpv6 m.m. men detta är ett exempel)

Bombsäkert. Sedan kan man manuellt tillåta trafik in till servrar m.m. Och via IGDv2 -protokollet kan applikationer (t.ex. p2p-program) och mojänger (tex. VOIP-telefoner eller kylskåpet!) öppna de portar de behöver (precis som det fungerar på IPV4 NAT-routrar idag med IGD Upnp).

(Förutsatt förstås att routertillverkaren inte är totalt korkad och tillåter all trafik in också by default).

Edit: måste tillägga att jag inte menar att IPV6 skulle vara säkrare på något vis. En brandvägg behövs!

Nisse
Medlem
# Skrivet: 18 Nov 2012 23:46
Svara 


Det är inte alls frågan om det utan vi diskuterade (med Timmy) huruvida man skall ha någon router (brandmur) alls. Enligt hans tolkning (om jag förstod den rätt) så skall det INTE finnas stängda portar eller brandmurar.

Problemet med en hemmarouter är att den mte konfigureras och vi kan ju se hur de trådlösa routrarna fungerar. De är helt öppna för alla skurkar att komma in och härja fritt. Folk vet inte ens om att de borde konfigurera dem och de som säljer sätter inte in något för då blir det garanterat så att kunde ringer och klagar över att burken inte fungerar.

Hemma routern må vara hur fin som helst men i praktiken kan tant Gunhild inte konfigurera den utan jag skulle vara tvungen att åka omkring till hundra platser och konfigurera burkar.

Och det tänker jag inte göra. Jag har inget emot IPv6 men det skall INTE gå att komma in direkt till folks maskiner ! Då har vi bekymmer och riktigt stora bekymmer. Men visst kan jag låta sådana som behärskar tekniken att få öppen linje ut till Internet med global adress. Det kan de få redan nu.

Problemet är egentligen att folk i gemen inte behärskar konfigurering av en router - det må nu sedan vara IPv4 eller IPv6.

Danno
Medlem
# Skrivet: 19 Nov 2012 12:27
Svara 


Konstaterande 1: Byanäten har en väldigt enkel struktur och enda uppgift är att paketen skall komma fram och se likadana ut när de kommer fram som när de skickades.
Konstaterande 2: IPv4 adresserna är slut eller nästan slut.
Konstaterande 3: De stora teleoperatörerna har svårt att införa NAT i sina nät på grund av orsak, tangerad tidigare i tråden.
Konstaterande 4: IPv4 går att köra "på" IPv6 och tvärtom.
Konstaterande 5: Brandmur behövs.
Konstaterande 6: Var brandmuren placeras är ingen skillnad, bara alla portar och protokoll fungerar.
Konstaterande 7: Om ett nät skall vara dumt kan man inte integrera en brandmur i det.
Konstaterande 8: Om nätet skall vara öppet behöver ISP:n både Globala IPv4 och IPv6 adresser.
Konstaterande 9: Säkerheten är viktig och det är nätoperatören som har ansvaret för att nätet skall fungera i ALLA situationer.
Konstaterande 10: Det finns tekniska lösningar till allt, huvudsaken för Byanäten är att de är lätta att sköta.
Konstaterande 11: Ser ingen skillnad angående säkerheten mellan IPv4 och IPv6 utan att båda är osäkra (båda har stora utmaningar ännu framför sej för att ens komma nära något som är säkert).
Konstaterande 12: Säkerheten hänger i slutändan på den som använder en port eller ett protokoll.

Frågeställning 1: Så varför inte använda IPv6 från början med globala adresser åt alla som utdelas automatiskt nu när det är enkelt (när elektroniken köps in som ny, konfigureras från början och allt görs på en gång)?

Frågeställning 2: Hur sköta säkerheten när man kör IPv4 på IPv6?

Frågeställning 3: Vilken roll har ISP:n när det gäller att stänga linjen till en burk p.g.a. säkerhetsrisk (vad har ISP:n för befogenheter)? En automatisk funktion borde finnas för att "stänga" en enskild burk till uppkoppling om säkerhetsrisk finns. Men vad bör kriterierna vara för att kunna stäng en enskild burk?

Svar: Huvudsaken är att det är lättskött och är något sådär säkert!

Nisse: Problemet med en hemmarouter är att den mte konfigureras och vi kan ju se hur de trådlösa routrarna fungerar. De är helt öppna för alla skurkar att komma in och härja fritt. Folk vet inte ens om att de borde konfigurera dem och de som säljer sätter inte in något för då blir det garanterat så att kunde ringer och klagar över att burken inte fungerar.
Brandmuren bör ligga mellan ett trådlöstnät och burken som är kopplad till nätet för att vara säkert. Med andra ord i burken som kopplas till det trådlösa nätverket och då är det inte någon nytta med en brandmur på linjen ut till Internet.

Framtida behovet kommer att vara mjukvarubaserade brandmurar i varenda en burk som kopplas till Internet precis som moderna telefoner redan idag har ett behov av. Det är enda sättet att kunna säkerställa en något sånär säkerhet, genom att endast de portar, protokoll och paket som behövs för burkens funktioner är öppna och alla andra stängda (bortplockade).

Nisse: Hemma routern må vara hur fin som helst men i praktiken kan tant Gunhild inte konfigurera den utan jag skulle vara tvungen att åka omkring till hundra platser och konfigurera burkar.
Dessa routrar behövs inte i ett enkelskött nät och ett lättillgängligt Internet. Varje burk bör konfigureras skilt för sej. Precis som vilken modern burk som helst (smartfon, pad, kylskåp och termometer o.s.v.). Du har helt rätt i det att du har en omöjlig uppgift om du skall göra det. Min point är att det är försäljaren till burken som skall göra det eller åtminstone slut användaren som skall bekosta kalaset att få den ny inköpta burken konfigurerad så att den fungerar till det nät användaren har där den skall användas (teleoperatörerna har skött det här med ett SIM-kort). Hur skall Byanäten sköta det här? Min mening är åtminstone skall det inte behövas skild hårdvara för att kunna sköta det utan med mjukvara.

Guje
Medlem
# Skrivet: 19 Nov 2012 21:07
Svara 


Jag tror också att alla IPv6 prylar kommer att skydda sig själva.
De ligger tryggt i sina ägares krypterade VPN-nät.

Nånting....

Problemet är bara att vi till nästa vecka skall ha ihop ett offertunderlag för konkurrensutsättning på Hilma för hur nätet skall byggas. Nånting i stil med det vi hade för stamnätet.


IPv4 måste vara med. IPv6 borde vara med.

Danno, du skrev "IPv4 på IPv6"

Kan du eller nån annan utveckla tanken lite. Efterlyser goda länkar.

Öppnar samtidigt en ny tråd där vi kan konstruera det ultimata byanätet.

Johanh
Medlem
# Skrivet: 19 Nov 2012 21:31
Svara 


Hur skall Byanäten sköta det här? Min mening är åtminstone skall det inte behövas skild hårdvara för att kunna sköta det utan med mjukvara.

Nästan alla byanät i Österbotten har skaffat likadana hemmaroutrar åt alla i sitt nät (typ Packetfront, CTS m.m.). Dessa innehåller mediakonverter och en konfigurerbar router/switch med stöd för VLAN och NAT m.m. Dem kan man köra in samma konfiguration i innan den installeras hos användaren. Dessutom kan de administreras (och i teorin också övervakas) på avstånd och är också en förutsättning för layer-2 tjänsterna (med olika tjänst i varje port). Men jag tycker det är fel att kräva att slutanvändaren ska ha en viss hårdvara av en viss tillverkare. Det hamnar i en laglig gråzon och är inte riktigt försvarbart att byanätet "går in" och ändrar i routern hos slutanvändaren. Jag vill inte att utomstående ställer om mina apparater i mitt hus. Rent tekniskt kan man lika gärna ställa in VLAN i den sista switchen innan huset (ifall det måste göras). Dock kan man i detta fall leverera bara ett VLAN till huset. Då kan också slutanvändaren ha vilken router han vill. Eller så är alla i byn på samma VLAN. Och alla kan ha vilken router de vill ha hemma. Men då borde nog byanätet ha egen brandvägg för att undvika problem. Svårt, svårt....

Danno
Medlem
# Skrivet: 19 Nov 2012 22:06
Svara 


Enklast att hänvisa till Wikin: http://en.wikipedia.org/wiki/IPv6#Tunneling och http://en.wikipedia.org/wiki/4in6

och till RFC dokument: tools.ietf.org/html/rfc3056 , http://tools.ietf.org/html/rfc2473 , http://tools.ietf.org/html/rfc5572 och http://tools.ietf.org/html/rfc4213

såhär i förbifarten...

Guje
Medlem
# Skrivet: 19 Nov 2012 22:11 - Editerad av: Guje
Svara 


Johanh: "... Svårt, svårt....".
Jo, nyckelhålsfenomenet. Ju närmare man kommer desto mer ser man.


Dannos länkar:
Lite fläktar genom tunnlar. Tack för länkarna - kvällen räddad.

Danno
Medlem
# Skrivet: 19 Nov 2012 23:41
Svara 


Den som är utreserad av IPv6 och inte har haft något mera med fenomenet att göra föredrar jag E-utbildnings videon från Stiftelsen för Internetinfrastruktur https://www.iis.se/lar-dig-mer/ipv6/e-utbildning/ . Kort och koncist.

Guje
Medlem
# Skrivet: 20 Nov 2012 08:37
Svara 


Kikade som hastigast på en av filmerna. Visst får man den uppfattningen att när man ändå bygger nytt så lönar det sig att ha IPv6 med från början. Annars köper man nytt pånytt om en tid.

Ok - vi sätter IPv6 med i köplistan.

Guje
Medlem
# Skrivet: 20 Nov 2012 09:04 - Editerad av: Guje
Svara 


Johanh: Jag vill inte att utomstående ställer om mina apparater i mitt hus.

Av samma åsikt. Handlar om den personliga integriteten hos oss propellerhattar.


Men ser man det ur administratörens och betalarens synvinkel så är det viktigt att nätet kan underhållas på ett effektivt sätt. Personalkostnaderna måste vara minimala. Man kan inte ha nån att kuta runt i stugorna bara för att kolla om stöpseln är ansluten och att burken i övrigt mår bra.

Det i sin tur kräver nån form av inbyggd intelligens i hemmaroutern. Vilket i sin tur betyder att riktigt vad som helst kan man inte koppla in i hemändan.

Folk måste naturligtvis få köpa vad dom vill - bara det funkar upp mot byanätet. I praktiken tror jag ändå att byanätet ställer fram några burkar som kan köpas.

Åtminstone har vi ett krav:

1) IPv6

Finns det nån färdig standard på vad burkar skall klara av?

Guje
Medlem
# Skrivet: 20 Nov 2012 09:14 - Editerad av: Guje
Svara 


VLAN är en fråga för sig.

Jo: Man kan organisera sitt nät i lämpliga VLAN delar/byar så att bara en del av nätet faller ifall det tex. händer nåt med nån swith eller så.

Nä: Man skall inte köra tjänster genom VLAN. Använd tex. VPN i så fall. En sak för tjänsteleverantören. Finns förstås till salu för den som vill bära kostnaden.

Nja: En kund kan behöva ett eget VLAN. Men ett VPN kan också funka. Eller så ger man henne en egen "färg" i fibern. (tex. sjukvårdstjänster)

Guje
Medlem
# Skrivet: 20 Nov 2012 09:34 - Editerad av: Guje
Svara 


Jo - en sak till om tjänsterna. De skall levereras på layer 3. Inte sant Johanh?

Nisse
Medlem
# Skrivet: 20 Nov 2012 13:11 - Editerad av: Nisse
Svara 


Enligt min mening ligger hemmaroutern UTANFÖR nätet. Vi bara rekommenderar folk att skaffa en hemmarouter men det är inget krav. Å andra sidan har jag meddelat alla att om deras linje börjar sprida skurkvara så stängs anslutningen av omedelbums utan något som helst förhandsmeddelande och öppnas inte förrän problemet är fixat.

I verkligheten kör en del utan router men så småningom skaffar de flesta router i alla fall. Speciellt då man påpekar att att en utmatning kan gå till grannbyn ifall systemet är fel konfigurerat - det har faktiskt hänt (Windows sökte efter en skrivare på nätet och hittade en i grannbyn). Men det är fritt fram för t.ex. de spelsugna att köra över nätet till varandra hur mycket de vill - utan router.

Nätet skall definitivt INTE gå in och peta i folks router. Sedan är det förstås fritt fram att beställa fjärrkonfigurering av den egna routern via nätet. Men det hör egentligen inte till nätägarens problem.

Jag tror nog att vi måste stöda IPv6 i framtiden - åtminstone släppa fram alla IPv6-paket. Frågan är bara HUR säkerheten skall lösas. Jag vill inte vara med om att hela nätet stängs ned på nytt för att en anslutning började skicka ut skräp med 100 Mbit/s så nätopertörens switch kraschade. Man får göra vad man vill men inte något som skadar andras anslutning till Internet.

Guje
Medlem
# Skrivet: 20 Nov 2012 13:55 - Editerad av: Guje
Svara 


Som sagt var, vill man inte sträcka ute i byarna för att kolla kundens ändutrustning måste den vara intelligent. Och i vårt fall klara IPv6.

Enklast är att pinga och klocka pongen. Är den längre än några ms så har Houston problem.
Men, får man inget svar alls så vet man inte ens om sladden är urdragen eller i vilken ända felet ligger. Kan ju också vara SFP:n i växeln som slutat funka.

Så det blir att kuta runt, och det vill vi inte. Alternativet är en intelligent dosa i abbonentens ända som svarar då man talar till den. Gärna med sådana koder vi kan förstå. Finns det nån standard?

Hur som helst tror jag vi snackar layer 3 och inte 2. Annars får vi problem med att gå genom routrar.

Att komma in på grannens skrivare är kanske inte så farligt. Men, om grannarna börjar kika i mitt kylskåp "i misstag" då där finns 3 ton julskinka så är man illa ute! Före jul i alla fall.

En sån säkerhetsrisk måste elimineras. Inga grannar i kylskåpen!

Trafiken mellan hushållen måste isoleras. Och det är byanätets sak att göra det. Finns visst inskrivet i FINLEX nånstans.

Nisse
Medlem
# Skrivet: 20 Nov 2012 15:30
Svara 


Det är ganska så farligt att mata ut på fel skrivare - speciellt känslig information !

Jag är skeptisk till intelligent burk som hela tiden är uppkopplad. Åskan förstör en hel del varje sommar ! Och är de inte hela tiden inkopplade så vet man inte (som Guje påpekar) om det är något fel eller inte. Jag har bara riktigt dumma och billiga burkar för det är liksom ingen idé med annat. Varje sommar måste jag ändå åka omkring och byta burkar för folk är inte alltid hemma då det blir åska. Och det enda som hjälper är att dra ur ALLA stöpslar (utom fibern). Vi har ett verkligt problem här.

Det bör vara grisbilliga burkar som är MYCKET lätta att byta ! Kan jag säja efter nio år med en stor hop åskbrända burkar i verkstaden.

Johanh
Medlem
# Skrivet: 20 Nov 2012 15:32
Svara 


Trafiken mellan hushållen måste isoleras. Och det är byanätets sak att göra det. Finns visst inskrivet i FINLEX nånstans.

Isolera vad? Det är en bra fråga. Isolera all trafik och förstöra principen för ett datanätverk? Det kan man t.ex. göra med olika VLAN åt varje användare (extremt exempel). Nej, man måste göra det där på rätt sätt.

Operatörerna gör det genom att inte routa trafiken på lokalnivå. Trafiken går då ut genom byanätets Internetanslutning varje gång grannarna kommunicerar.

Vad jag skulle vilja göra är att ha egen router för byn så att trafik från ett hushåll till ett annat inte tar omvägen via Internet.

Är det här nu då förenligt med lagen? Om jag minns rätt står det något i stil med att grannar inte ska kunna se varandras trafik. Men trafik som är _ämnad_ för grannen måste ju kunna ta sig dit på kortast vettiga sätt. Och det gör det i ett nät som är rätt uppbyggt.

Vad är det då lagen syftar på? Grannens skrivare och utdelade nätverksskivor? Dem kan man stänga av med ACL i byaswitcharna (blockera smb trafik). Köp switchar som stöder ACL. I princip är inte nätet helt öppet då, men vissa saker kan man säkert komma överens om att stänga av. Vill folk dela filer finns det säkrare sätt än Windows SMB.

Dessutom, har man hemmarouter med brandvägg (och/eller NAT) så är det ingen risk att grannen kikar in i kylskåpet.

Guje
Medlem
# Skrivet: 20 Nov 2012 16:22 - Editerad av: Guje
Svara 


Borde väl räcka med att grannarna ligger i olika broadcast domain. Dvs. att de inte kan se varandras MAC-adresser. Att man går över från layer 2 till layer 3 i en router.

Därför kan man inte heller använda regelrätta switchar för att koppla ihop hushållen. I så fall borde tant Gunhilds router ligga inlåst i byanätet så att barnbarnet inte kan plugga ur den och placera sig själv i samma broadcast domain som hushållen. Man-In-The-Middle mha. ARP-poisoning lyckas alltför bra i det egna nätet.


Idag borde switcharna dock vara så fiffiga att de inte går över i grannens nät. Men man måste skilt fråga efter en sån modell. Åtminstone är det dehär jag tror att man menar då lagen säger att hushållen inte skall kunna avlyssna varandra.

På dethär sättet håller du också den inre trafiken inom nätet.

Ett annat knep jag hörde om var att först rutta trafiken till en annan intern router som sedan i sin tur kör ut på internet om det behövs. Annars stannar trafiken hemma.

Guje
Medlem
# Skrivet: 20 Nov 2012 16:38 - Editerad av: Guje
Svara 


Johan: "Dessutom, har man hemmarouter med brandvägg (och/eller NAT) så är det ingen risk att grannen kikar in i kylskåpet."

Det har du säkert rätt i att ingen ser in i kylskåpet. Men om gubben i mitten står på utsidan av din router - på WAN sidan sas. - så ser han all din ut- och in- trafik. Pga. av en designmiss i https ser han tom. din krypterade banktrafik då du betalar skinkorna. Är han påpasslig fixar han mottagarkontot och en enkel biljett. Efter det behöver han inte fixa nånting längre.

Kika på det här! http://www.oxid.it/downloads/apr-intro.swf

Kollade med Cain&Abel hur den skrev ut i klartext tom. bankens engångs lösenord.
http://bredband.selfip.net/forum/filebox/dokument/ nordeacrack.pdf


Vad lära vi härav? Jo, släpp inte gubben in i byanätets broadcast domain!


Skall kolla om det funkar i IPv6 också.

Guje
Medlem
# Skrivet: 20 Nov 2012 17:38
Svara 


Vad tror ni - är det tillräckligt med att isolera hushållen från varandra på layer 2 nivå?

Johanh
Medlem
# Skrivet: 20 Nov 2012 17:49
Svara 


Vad tror ni - är det tillräckligt med att isolera hushållen från varandra på layer 2 nivå?

Jag trodde att du var emot VLAN?

De flesta (nya) nätverksswitchar har layer 3 funktionalitet, men i praktiken betyder det bara att olika VLAN separerar broadcast domäner. Samma VLAN, eller IP subnät, ligger i samma broadcast domän.

Såvitt jag vet kan man inte sätta någon i olika broadcast domain på annat sätt. Ja, förstås med olika subnet.

Danno
Medlem
# Skrivet: 20 Nov 2012 21:44 - Editerad av: Danno
Svara 


Guje: Skall kolla om det funkar i IPv6 också.
IPv6 saknar ARP delen men istället har den NDP som inte är något bättre.
Funkar nog, du kan t.ex. använda Scapy http://www.secdev.org/projects/scapy/
Man bör använda IPsec (http://tools.ietf.org/html/rfc4309) och SEND (http://tools.ietf.org/html/rfc3971) för att det skall vara lite säkrare...

Guje
Medlem
# Skrivet: 20 Nov 2012 21:46 - Editerad av: Guje
Svara 


Johan, jag tror du får kolla upp VLAN. Det är bara ett protokoll för att köra layer 2-trafik genom layer 3. Kolla samtidigt upp begreppet broadcast domain area (BDA heter det visst). Det du skriver får mig att tro att du blandar ihop begreppen.

Det där med taggningar od. hör till VLAN-protokollet och inte till OSI-modellen. På layer 2 adresseras nätverkskorten med MAC-adresser - inte IP-adresser. IP-adresserna kommer med i bilden först på layer 3.

Nä - inte har jag nånting emot VLAN som protokoll och som ett bra administrativt verktyg i byanätet. Men jag är emot att tjänster måste skickas över VLAN. T.ex. att en TV-kanal knyts till en port på routern och att kunden i sin tur knyts till leverantörens port - rent fysiskt alltså. DET är inget öppet koncept!

I Finland motiverar tjänsteleverantörerna VLAN-konstruktionen med att de måste identifiera sin SetTopBox med MAC-adressen. Vilket kräver access in i vardagsrummet. En ful baktanke att få komma ända hem till kunden alltså. Lika bra kan de ju identifiera boxarna med andra metoder, men då kommer operatören inte fram till kundens sladd. Eftersom konkurrensen ökar om alla tjänster levereras genom samma port så är intresset lågt på tjänsteleveratörs håll att bli av med VLAN. Provisionering ála "öppna nät" heter det.

Johanh
Medlem
# Skrivet: 20 Nov 2012 22:19
Svara 


Johan, jag tror du får kolla upp VLAN. Det är bara ett protokoll för att köra layer 2-trafik genom layer 3. Kolla samtidigt upp begreppet broadcast domain area (BDA heter det visst). Det du skriver får mig att tro att du blandar ihop begreppen.

Med hjälp av VLAN man kan dela upp broadcasting domains, eftersom man med hjälp av VLAN kan skapa virtuella subnets. Det är sådant som nätverksadministratörer sysslar med. T.ex. om man har tusentals datorer i en broadcast domän, så kan det bli hög belastning eftersom alla hela tiden skall anropa alla. Då kan man sätta t.ex. servrar i skilt VLAN, eller dela upp nätet i flera broadcast domains, vilket minskar på belastningen. Det går bra att routa mellan olika VLAN, så trafik som skall fram lider inte.

Ett annat sätt är att skapa "riktiga" subnets med en router. En broadcast area tar alltid slut vid en router.

Men kanske det finns andra sätt också?

Nisse
Medlem
# Skrivet: 20 Nov 2012 22:50
Svara 


Vänta nu, en switch har ju en adresstabell och skickar paketen bara till en port (som har rätt adress). De flesta moderna switchar lär sej snabbt var en viss mottagare finns (i motsats till hubbar). Vi har en hel hierarki av (fiber)switchar i vårt nät och jag tror inte det behövs VLAN för trafikbelastningen. Paketen går mest uppåt eller nedåt i hierarkin utan att störa annan trafik.

Guje har helt rätt i att det är rent svinaktig beräkning bakom VLAN-tjänster. Jag satt med i arbetsgruppen då frågan diskuterades och orsaken var helt klar: Att låsa in kunden. Förutom att det är ren idioti att bygga identifiering på MAC-adressen. Varje burk har numera verktyg för att ställa in MAC-adressen till vad man vill ... Ibland blir man bara med munnen öppen över fjantarnas korkskallighet. "Experter" kantänka ...

VLAN för tjänster borde helt enkelt förbjudas. Annars också jamsar konkurrensmyndigheterna över bristen på fri konkurrens.

Det är inget som hindrar att man kör med flera delnät i ett byanät. Man kan mycket väl routa trafiken mellan dessa. Poängen är att trafiken INTE går utanför nätet t.ex. till något operatörs router varvid den räknas som Internettrafik - och kostar pengar. Vi har ett så litet nät att det inte lönar sej att dela upp det men med tiotusentals abonnenter kan man mycket väl dela upp nätet utan att för den skull göra nätet mindre öppet. Klart man kan använda VLAN också men jag kan inte se nyttan med det (och då bryr jag mej inte om "nyttan" av att binda kunderna). VLAN bör i alla fall vara en intern mekanism i nätet.

Själva Internet är ju uttryckligen konstruerat för att binda ihop flera mindre nät - därav namnet !

Johanh
Medlem
# Skrivet: 20 Nov 2012 23:00
Svara 


Jo, själva trafiken genom moderna switchar hålls ju inom Collision Domain (som mest bestod av hubbar som inte mera används). Broadcast Domain innefattar alla datorer som är ihopkopplade med samma switchar. Där sänds broadcasting på layer 2 mellan alla dessa datorer (i huvudsak ARP). Det brukar inte vara ett problem förrän det handlar om tusentals datorer. Eller om det blir någon loop någonstans. Då dras hela broadcast domänen med. Då Guje föreslog att man skulle separera grannarna på denna nivå så undrar jag bara om det är möjligt. Jag tror hellre då på att begränsa högre protokoll med ACL, t.ex. Men jag kan ta reda på hur internetoperatörerna gör.

Guje
Medlem
# Skrivet: 20 Nov 2012 23:07
Svara 


Vi talar lite om olika saker.

När jag menade att man isolerar hushållen från varandra så säger jag att de skall ligga i skilda BD.

Du talar om hur nätet ser ut inne i byanätets BD. Om hur olika "byar" och resurser kombineras på ett bra sätt. Vi är helt över ens om att VLAN är ett alldeles utmärkt verktyg i det sammanhanget.

Det jag undrade var om vi uppfyller lagens krav då hushållen ligger isolerade i sina egna BD:n? Räcker det alltså att hushålen ser bara sina egna MAC-adresser och inte några andra?

Den enda utomstånde MAC-adress tant Gunhilds router ser är porten till byanätet. Inget VLAN iblandat alltså. Men växeln/switchen kan förstås jobba på layer 2 i byanätet, med specialfunktionen att inte släppa hushållens layer 2 paket in i byanätet. Det var den stopp-funktionen jag menade att man skilt skall be om då man köper sin switch.

Med en sån här konstruktion kan man låta tant Gunhilds barnbarn fritt härja på med routrar och felsvängda dhcp-servrar utan att det stör byanätet. Arp spoofing göre sig icke heller besvär.

Visst borde väl det här räcka till enlig lagen?

Johanh
Medlem
# Skrivet: 20 Nov 2012 23:14
Svara 


Det jag undrade var om vi uppfyller lagens krav då hushållen ligger isolerade i sina egna BD:n? Räcker det alltså att hushålen ser bara sina egna MAC-adresser och inte några andra?

Ah, OK, vi pratade lite förbi varann. Du antar här att alla har en hemmarouter inkopplad. Ja, då är de ju i skilda BD. Men det är ju jättelätt att koppla bort hemmaroutern och koppla i direkt i mediakonvertern. Eller i en "bridged" port i hemmaroutern. Och då är man ute på byanätets BD.

Men växeln/switchen kan förstås jobba på layer 2 i byanätet, med specialfunktionen att inte släppa hushållens layer 2 paket in i byanätet.

Och det var denna specialfunktion som jag undrade om det är möjligt utan att ha ett skilt VLAN ELLER subnät från switchen till hushållet. Men det kan jag kolla upp.

Danno
Medlem
# Skrivet: 20 Nov 2012 23:17
Svara 


Guje: Vad tror ni - är det tillräckligt med att isolera hushållen från varandra på layer 2 nivå?
Varför inte bara kräva att alla burkar som ansluts direkt till nätet använder någon sorts kryptering på IPnivå? Eller är det något jag missat?

Guje
Medlem
# Skrivet: 20 Nov 2012 23:22
Svara 


För några år sen fanns funktionen inte. Men nu har jag förstått att den finns att få. Bara man förstår att begära en sån switch. Det här är inte enligt standarden alltså.

Och då kommer inte heller barnbarnet in i byanätets BD, hur mycket han än ropar direkt i mediekonvertern.

Johanh
Medlem
# Skrivet: 20 Nov 2012 23:28
Svara 


Men växeln/switchen kan förstås jobba på layer 2 i byanätet, med specialfunktionen att inte släppa hushållens layer 2 paket in i byanätet.

Jag tror att ACL är lösningen till detta. Då kan man välja vad man blockerar men fortfarande ha routing inom nätet kvar.

Man kan också helt blockera ARP requests och ha en statisk ARP tabell i närmaste gateway/router. Men då är man ute efter att blockera all trafik inom byanätet, då fungerar bara trafik ut till internet --> gillar inte.

Guje
Medlem
# Skrivet: 20 Nov 2012 23:31 - Editerad av: Guje
Svara 


Danno, det hjälper inte alltid att kryptera - kolla nordea-länken i mitt inlägg om arp poisoning.

Vi snackar om trafik som ligger under den nivå som eventuella krypterade ip-paket går på. Om vi lyckas attakera nätet på den här nivån skickar vi ip-paketena precis vart vi vill.

Guje
Medlem
# Skrivet: 20 Nov 2012 23:49 - Editerad av: Guje
Svara 


Lite till.

Eller så kopplar man bara ur "burken som krypterar" och pluggar in sin egen arp attackerare, som Johan tipsade om. Jättelätt sa han.

Men man kan fälla nätet i ren oförsikt också bara genom att koppla routerns LAN sida ut mot byanätet. Är dhcp servern påslagen börjar den sälja sina egna ip nummer ute i byanätet. Det blir ett jädrans ip-krig ute i byanätet när maskinerna börjar flaxa med ip-nummer än härifrån och än därifrån.

Nisse kan berätta hur kul det är då man inte vet var den felsvängda routern finns.

Johanh
Medlem
# Skrivet: 20 Nov 2012 23:56
Svara 


Men man kan fälla nätet i ren oförsikt också bara genom att koppla routerns LAN sida ut mot byanätet. Är dhcp servern påslagen börjar den sälja sina egna ip nummer ute i byanätet. Det blir ett jädrans ip-krig ute i byanätet när maskinerna börjar flaxa med ip-nummer än härifrån och än därifrån.

Det kan man förhindra med ACL i switchen också.

Guje
Medlem
# Skrivet: 20 Nov 2012 23:59
Svara 


Ok, jag skall kika på ACL. Men alltför jobbigt får det inte vara för då blir det lönekostnader.

Man kunde ju tycka att vi inte är helt ensamma om problematiken.

Guje
Medlem
# Skrivet: 21 Nov 2012 00:03 - Editerad av: Guje
Svara 


Tack Johanh,alla så här långt! Det är sällan jag haft glädjen till diskussioner på denna layer.

Nisse
Medlem
# Skrivet: 21 Nov 2012 00:27
Svara 


Vi använder fasta IP-adresser för att hindra krig mellan flera DHCP-servrar. Även om nån kopplar in en egne DHCP-server så inverkar det inte på dem som har fasta adresser. Dessutom ser jag direkt vem som möjligtvis har en infekterad maskin då jag vet vem som har fasta adresser. Det gör felsökningen enklare. MAC-adresser är inte "bättre" eftersom de kan ändras mycket enkelt.

Men - för allt i världen - kom ihåg KISS !

Och beakta att allt som finns att köpa kommer att kopplas in. För vanligt folk är det switch som switch. De konfigurerar inte nånting (så länge det fungerar).

Guje
Medlem
# Skrivet: 21 Nov 2012 07:59 - Editerad av: Guje
Svara 


Överväger att köra med fasta IP. Fantiserar att livet skulle bli lättare. Tänker lite högt här nedan...

MAC-låsningen görs så att hemrouterns MAC-adress skrivs in i switchen. Därefter är det bara trafik från den MAC-adressen som går genom switchen.

ARP-protokollet kastreras och arp spoofning inte möjlig. Det är väl också den enda fördelen med arrangemanget? Förr i världen tror jag man också ville försäkra sig om att ändutrustningen inte blev utbytt. Men, som Nisse säger, idag kan man ge vilken burk som helst vilken MAC-adress som helst.

MAC-låsningen blir egentligen bara tungrodd. Genast när nån köper ny ändutrustning (tex. efter åskans framfart) skall MAC-adressen låsas pånytt. Nä - driften har nog annat att syssla med. Ingen MAC-låsning! Säkerheten måste fixas på betydligt effektivare sätt.

Fasta IP-adresser har lite samma underhållsproblem som MAC-låsningen. Den dag IP-adresserna skall ändras är det ett helsikes jobb när man skall åka runt i stugorna och ändra IP-nummer. (för nog var det väl i hemroutern du matar in IP-numror och gejtvejar, Nisse?)

En DHCP-server skulle allt göra livet lite lättare. Den sköter ju samtidigt om andra konfigurationer också som DNS, nätnamn, gateway...SIP

Lutar nog lite mot DHCP sen också. Det är ju ändå ett standard verktyg.


Så har vi ju alla IPv6 inställningar. Ok, det får nog bli en DHCPv6 också. Man kan inte ha driftpersonalen att konfigurera varje burk i nätet. Standard-inställningen i burkarna brukar ju vara DHCP.

DHCP är KISS.

Håller resonemanget?

Danno
Medlem
# Skrivet: 21 Nov 2012 08:20
Svara 


Guje: Danno, det hjälper inte alltid att kryptera - kolla nordea-länken i mitt inlägg om arp poisoning.
Jaa, de va ju sant, vi pratade IPv4...

Desto mera du tänker högt, desto flera fördelar kommer fram att ha stommen i nätet att bottna på IPv6.

Guje: MAC-låsningen görs så att hemrouterns MAC-adress skrivs in i switchen. Därefter är det bara trafik från den MAC-adressen som går genom switchen.
Så jag efterlyser fortfarande den delen som skriver in MAC-adressen i switchen, när kunden registrerat den och även att den inte är låst till en enda port utan att MAC-adressen finns inskriven i alla switchar i nätet.

Nisse
Medlem
# Skrivet: 21 Nov 2012 08:40
Svara 


Jo, den fasta IP-adressen är inmatad i hemmaroutern. Om den byts så programmerar jag färdigt en ny och folk hämtar den och pluggar i den själv. Det går ganska bra. Tillika sätter jag in DNS som är vår stora router mot Internet. Det är bra för vid fail-over så byter den automatiskt DNS till den trådlösa reservlinjen. Vi har faktiskt en DHCP-server i vår stora router som kan dela ut ett litet antal adresser. Det är praktiskt då folk byter grunkor eller testar nånting så fungerar det direkt. Litet av det bästa från två världar ... Hemma kör ju folk med DHCP så de bara pluggar in burkarna i hemmaroutern.

Jag har funderat på att börja köra fjärradmin på hemmarouters. Det skulle fungera bra men problemet är att det också måste ställas in i början och då kan jag lika väl sätta in IP-adress och DNS på en gång. Egentligen behöver man aldrig titta på hemmaroutern utom då åskan slår sönder den. Och då måste man åka dit i alla fall.

Vad vi än väljer för system så har det sina nackdelar.

Guje
Medlem
# Skrivet: 21 Nov 2012 09:09
Svara 


Det är sant. + och - hur man än gör.

Danno: "Så jag efterlyser fortfarande den delen som skriver in MAC-adressen i switchen, när kunden registrerat den och även att den inte är låst till en enda port utan att MAC-adressen finns inskriven i alla switchar i nätet."

Men är inte detta ARP-protokollets uppgift? Inbyggt i själen på varje grunka.

Eller tänker du dej nån styrnings/övervakningsapplikation på layer 7, typ SNMP?

Nisse
Medlem
# Skrivet: 25 Nov 2012 07:48
Svara 


Jag kollade litet på nätet och så här skriver IPv6-forum i Sverige:

"Det blir fler och fler som använder IPv6 i Sverige men utvecklingen går fortfarande väldigt långsamt. En handfull operatörer kan erbjuda IPv6 till sina kunder i Sverige men det är fortfarande bara bråkdelar av en procent av Internetanvändarna som faktiskt använder det nya protokollet. Detta trots att IPv4-adresserna som det ser ut nu kommer att ta slut redan i år i vår del av världen."

Bråkdelar av en procent låter absolut inte som en teknik jag skulle införa i vårt nät just nu. Men det kan vara bra att följa med utvecklingen mycket noggrannt så man inte blir tagen i sängen.

(Forumet har ett tryckfel: Första gången hänvisar de helt riktigt till RFC6540 men sedan blir det RFC5640 som är ett helt annat papper ..)

Så här skrev IETF i april i år:

"This lack of support is making the eventual IPv6 transition
considerably more difficult, and drives the need for expensive and
complicated transition technologies to extend the life of IPv4-only
devices as well as to eventually interwork IPv4-only and IPv6-only
hosts."

Det låter absolut inte bra ... Jag gillar inte alls "lack of support" och inte heller "expensive and complicated" ... Här väntar vi absolut tills det blir andra bullar av på IPv6-sidan.

På wikipedia finns en lista på IPv6-routrar men den är sorgligt kort. Jag konstaterar att vår huvudsakliga router D-link DIR-100 inte finns med men nog DIR-655 som vi också använder (men bara revision B ...). Få se om nästa år innebär en allmän övergång till IPv6 routrar ? Men så bör man INTE köpa IPv6-"ready" utan kolla NOGA att de är dual-stack. Det finns ett direktiv:

" Nya implementationer av IP måste stödja IPv6
Uppdateringar av befintliga IP-stackar måste stödja IPv6
IPv6-stödet måste vara bättre eller minst på samma nivå som nuvarande IPv4-stöd
Nya och uppdaterade IP-implementationer bör stödja IPv4 och IPv6 samexistens (dual-stack), men måste inte kräva IPv4 för att fungera. Det ska gå att köra IPv6 only.
Användare uppmuntras att uppdatera hård- och mjukvara för att kunna slå på IPv6 där det är tekniskt möjligt

Det här är något som kunder kan använda i upphandlingar – från och med nu. Det är en IETF BCP, Best Current Practise – BCP 177."

Nu väntar jag bara på att det kommer en billig router som dokumenterat följer BCP 177 - sedan går vi över.

Guje
Medlem
# Skrivet: 25 Nov 2012 10:03 - Editerad av: Guje
Svara 


Idel öra!

Vi står ju inför denna upphandling eventuellt i år ännu.

En av mina bekanta på operatörssidan sa att "Vi går inte i täten, det får dom stora göra", och menade de små Sonera, Elisa.

Nån som hört nånting från det hållet?


Men visst jobbas det på IPv6 håll också.

"the Internet Society carried out a World IPv6 Launch day on June 6, 2012 which, instead of testing, planned to bring permanent IPv6 deployment for the products and services of the participants"

http://en.wikipedia.org/wiki/World_IPv6_Day_and_Wo rld_IPv6_Launch_Day

http://www.internetsociety.org/deploy360/blog/2012 /01/world-ipv6-launch-on-june-6-2012-to-bring-perm anent-ipv6-deployment/


Som Nisse säger: Man skall inte bli tagen på säng! Kom ihåg att S-kurvan för hur tekniska innovationer är brant -mycket brant. Först händer ingenting sen helt enkelt exploderar det, som tex. med mobiltelefonen


Här kan ni följa med IPv6-utvecklingen dirkt från IPv6 organisationens högkvarter
http://www.internetsociety.org/deploy360/resources /daily-ipv6-statistics-at-vyncke-org/


När jag vill veta hur det just nu ser ut på Daily IPv6 Statistics At Vyncke.org så får jag svaret:

"Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (111) in /var/www/ipv6status/- on line 29 Cannot connect to the database:Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (111)"


Och då vet man ju hur det står till. Idag, söndag, 25.11.2012. :O)

Guje
Medlem
# Skrivet: 14 Maj 2013 09:25 - Editerad av: Guje
Svara 


Kolla in vad RFC6104 berättar om riskerna med IPv6 tillsammans med IPv4-nät.
Precis som Nisse skrev i början av tråden: "säkerhetsrisker"!

http://tools.ietf.org/html/rfc6104


Men, det är inte bara säkerheten i IPv6 som är problemet. Det är också säkerhetssystemen i IPv4 som urholkas när man tar IPv6 i bruk.
Speciellt om man byggt sitt system med tjänster över VLAN.



PacketFront har inte varit sena med att berätta om vad som händer med IPv6 i tjänstebaserade VLAN (tripleplay konceptet)

Citerar:

En nygammal säkerhetsbrist uppstår

Vartefter allt fler operativsystem - exempelvis datorer, smarta telefoner och surfplattor -
som prioriterar att kommunicera via IPv6 finns i ett bredbandsnät baserat på tjänstevlan,
ökar risken exponentiellt för samma typ av säkerhetshot som var aktuella innan alla
säkerhetsmekanismer för IPv4 var på plats.
Dessa säkerhetshot kan exempelvis utgöras av attacker på vitala funktioner i
bredbandsnätet, avlyssning av telefonisamtal samt avlyssning av Internettrafik.
Exempelvis räcker det med att någon inom samma tjänstevlan med en Windows7 PC slår
på Internetdelningsfunktionen (ICS)4 för att säkerhetsbrister av denna typ ska exponeras.

http://packetfront.se/sites/default/files/public/f iles/wp_ipv6-sakerhet_i_bredbandsnat.pdf



Det betyder: Bygg om ert system om ni kör tjänste VLAN eller glöm IPv6.

Nisse
Medlem
# Skrivet: 24 Maj 2013 09:11
Svara 


Jo, det är ju logiskt att det går så. Det betyder att vi fortsätter med hemmarouter/brandmur. Möjligen uppgraderar vi dem til IPv6. Det borde gå att byta ut dem en och en anefter som det blir nödvändigt. Men vad jag sett på nätet så är all IPv6-utrustning inte alls IPv6-kompatibel. Vår huvudbrandmur/router RV042G har dubbla stackar så den BORDE fungera med bägge systemen men ho vet ... Det blir att testa för varje fall skilt. Problem i sikte.

Johanh
Medlem
# Skrivet: 19 Jan 2015 14:20
Svara 


Vi kan fortsätta IPV6-diskussionen. Det börjar bli allt mer aktuellt.

Är månne slutsatsen av tidigare diskussion att man måste ha ett ruttat nät för att ha säkerhet med IPV6? Om vi är överens om detta, så kommer nästa steg:

Hur fixar man till ruttning och prefix delegation med IPV6? Jo, i huvudsak med DHCPv6. Men, problemet är att dagens Layer2+ switchar inte har så bra stöd för det. Och dessutom är det bara dyra (t.ex. Cisco) switchar som har tillräckligt med interfaces osv. för att klara ruttning på IPV6.

En lösning som Markus I kastade fram är: Billiga Layer-2 switchar + en linuxburk för varje switch (t.ex. Edgerouter). Det vore den absolut billigaste lösningen. Linux har färdigt stöd för allt som har med IPV6 att göra.

Vad sägs? Andra lösningar?

MarkusI
Medlem
# Skrivet: 20 Jan 2015 01:40 - Editerad av: MarkusI
Svara 


Har ingen Ubiquiti Edgerouter att testa med men enligt dethär så finns allt som behövs för att använda ERLite-3 och uppåt som IPv6-router:

http://community.ubnt.com/t5/EdgeMAX/ipv6-Prefix-d elegation-for-a-other-Router-Fritzbox/m-p/937945#M 37351

Tydligen har dom någon bugg så man måste gå förbi Vyatta-språket och kniva i en fil för att få delegeringen på.

Den rätta metoden är nog att använda DHCPv6-PD men det går att sköta utan PD. Edgeroutrarna har inga begränsningar på antal VLAN-interfaces såvitt jag vet men jag vet inte heller hurpass många interfaces det är vettigt att slänga upp. Realistiskt så skall man inte behöva mera än 24 interfaces för en 24-portars switch med kunder. Tippar på att 24 skall funka helt okej.

Då bör man enligt rfc6164 skapa subnät med /127 -prefix på point-to-point länkar. Om man lägger varje kund på skillt VLAN så får man en massa point-to-point -länkar. Iochmed att kunden måste ha router så är detta inte ett problem. Det skall gå att autokonfigurera kundens router med hjälp av DHCPv6, så att denna får den andra lediga adressen i subnätet.

Iochmed att man publicerar dessa två-adressers subnät mot kunden så behövs inte Prefix-Delegation egentligen, man kan rutta statiskt. Dock så är det så att CPE-utrustning behöver PD för att kunna automatiskt konfigurera kundens LAN. Kunden får 256 subnät per default, alltså en /56:a.

Samma L2/L3-isolering gäller fortfarande vid IPv6 och då man låser subnätena så att dom endast kan finnas på en access-port så hjälper det till att hålla reda på saker och ting.

Sist men inte minst, ERLite-3 kostar ~80€ med moms idag och med en switch så torde den kunna betjäna 24st 100Mbit-kunder lätt (1Gbit delat på 24 kunder). Det kan dock vara helt värt med ER-8 iochmed att den har 2GB RAM jämfört med den mindres 512MB...

Denna setup skulle jag köra en pilot med. Kunde köra en Proof-of-Concept med hjälp av en hop med Debian-maskiner ovanpå KVM. Med fem maskiner får man simulerat trafik mellan grannars arbetsstationer. Lika många till så har man ett fullständigt byanät... Byanät v6 ;)

Edit: Kom ihåg att skaffa Provider Independent IPv6-adresser, så får ni ta dom med vid byte av ISP.

pdonner
Medlem
# Skrivet: 20 Jan 2015 01:54
Svara 


MarkusI: Kom ihåg att skaffa Provider Independent IPv6-adresser, så får ni ta dom med vid byte av ISP.

Har du en uppfattning om vad det kan kosta?

MarkusI
Medlem
# Skrivet: 20 Jan 2015 02:11
Svara 


Har du en uppfattning om vad det kan kosta?

Allt mellan himmel och jord, större ISP:n brukar var mer villiga att sälja tjänster.

Nisse
Medlem
# Skrivet: 20 Jan 2015 08:30
Svara 


Vi har diskuterat IPv6 förut och jag är ganska misstänksam ifråga om just säkerheten. Vi har till all tur 256 IPv4 globala adresser i vårt avtal med nätoperatören så jag tänkte vänta och se vilka problem som dyker upp då IPv6 kommer. Men det är klart att IPv6-stöd behövs i framtiden. Frågan är bara vad annat som behövs ? Tyvärr så vet vi inte med säkerhet innan de första problemen dyker upp. Förstås kan man alltid sätta in brandmurar likt IPv4 även om själva idén med IPv6 går förlorad då.

I alla fall tar jag det där med säkerheten på allvar. Vårt nät stängdes av i sin helhet en dag då vi fick en maskin infekterad som spydde ut massor av trafik så nätoperatörens ruoter kraschade (för flera år sedan). Nätet kopplades inte in på nytt innan jag hittat den infekterade maskinen och stängde av anslutningen.

Linuxburkar är bra på IPv6 och mycket flexibla men kräver en hel del av den som konfigurerar.

MarkusI
Medlem
# Skrivet: 20 Jan 2015 10:54
Svara 


jag är ganska misstänksam ifråga om just säkerheten

Kan du Nisse berätta mera om dina misstankar?

Frågan är bara vad annat som behövs ?

Byanätets ruttrar skall ha IPv6 ACL, DHCPv6-PD och gärna OSPF-stöd. Inget mer behövs.

Förstås kan man alltid sätta in brandmurar likt IPv4 även om själva idén med IPv6 går förlorad då.

Hur menar du att idén går förlorad? Idén är ju att NAT inte behövs mera. Jag tänkte nu aldrig släppa in Kineserna, Amerika och Sverige för att låta dem snoka runt i mitt hemmanät fritt. CPE-routern måste kunna filtrera inkommande paket och också filtrera bort onödigheter som är påväg utåt. IRC, SMTP, CIFS och RDP exempelvis ska man inte släppa ut om man inte vet vad man sysslar med. HTTP/S, DNS, och NTP räcker rätt långt i dags läge. Dock ska man ju inte filtrera bort all ICMPv6 på grund av hur IPv6 fungerar.

Infekterade maskiner är ett problem och sådana kommer att komma och gå. Jag ser dock inte någon skillnad på säkerhet med IPv4 och IPv6 iochmed att det är samma sak. Nog kan man ha Internet-ruttbara IPv4-adresser inruttade på ett LAN också...

Nisse
Medlem
# Skrivet: 20 Jan 2015 11:41
Svara 


Helt enkelt för att det inte finns någon erfarenhet kring IPv6 säkerheten. Skurkarna är förbaskat uppfinningsrika så vad de hittar på vete fåglarna.

Om man sätter in något NAT-liknande i IPv6 så ingen kommer åt adresserna utifrån så är det ju inte stor idé med hela IPv6. Att filtrera paket är en grymt svår sak som kräver massor av kapacitet. Det går nämligen lätt att gömma skumma paket inne i till synes oskyldiga paket. Så det kommer att bli problematiskt. Krypterade förbindelser med bra verifiering är troligen enda möjligheten. Men då är vi ganska långt ifrån dagens Internet.

MarkusI
Medlem
# Skrivet: 20 Jan 2015 14:35
Svara 


IPv6 i sig självt är lika osäkert som IPv4. Stora skillnaden är addresslängden och att det finns hjälpmedel för att ruttrarna skall kunna prata sinsemellan (ICMPv6). Jag är inte någon expert i L3-protokoll på den nivån men enligt min uppfattning så är det aivan sama vilket L3-protokoll det är sålänge apparaterna stöder det enligt RFC:n.

NAT66 kommer väl inte att komma fastän det finns några scenarion där det är sjukt behändigt att kunna översätta adresser lite.

Oberoende NAT så har vi mer befolkning på klotet än vad vi har adresser så IPv6 är ett måste. Att filtrera paket är inte problemet mera, fastän adresslängden gör att ruttning och filtering blir tyngre. Paketfiltrering går ju ut på att kolla käll och destinations ip-adress och att sen göra beslut på att rutta eller ej. En router kan alltså mycket enkelt tappa bort paket, iochmed att den gör dessa ruttningsbeslut per paket. NAT kräver utöver ruttningsbeslut att routern skriver om käll och destinationsadresser i varje paket, då lägger vi först till last på routern. Sen ovanpå paketfiltreringen kan man göra filtrering med basis på TCP-sessioner och lite vad som helst. Dessa operationer kostar också mera men vi har hårdvara i dag som klarar det.

Jo, jag vet att det går att smyga in maskar och virus (tillochmed genom IPS:ar (vissa hade lite för kort "attention span" så man kunde skicka 50% av Conficker ... vänta 7 sekunder ... skicka resten och IPS:en släppte igenom det)) i paket som ser helt snälla ut. Metoderna för "Evasion" är otaliga.

NAT har inte hjälpt oss säkra nät, det är en myt att det skulle ha hjälpt. Lika mycket kan skumma paket krypa passivt på returkanalen genom NAT. Port-forwarding är inte alls säkrare än att bara låta viss trafik ruttas fram.

Krypterade tunnlar finns jo men det är helt irrelevant i diskussionen angående IPv6 och säkerhet. Säkerheten kommer från att man på olika OSI-nivåer gör beslut om att låta trafiken gå eller att spärra den.

Häng inte upp er på "Det är farligt", lär er ruttning och ACL istället.

. 1 . 2 . >>
Ditt svar
Bold Style  Italic Style  Underlined Style  Image Link  URL Link     :) ;) :-p :-( :up: :down: :talk: :confused :cool: :sealed: :noway: ... Använd inte smilies

Kill your darlings


» Namn  » Lösenord 
Only registered users can post here. Enter your login/password correctly before posting a message, or register first.