IPv6 firewall en NAT discussie (was: WAN to LAN acces)

[ITnetadmin]

Zelfs als je router zijn ipv6 adres mooi aan een ddns server vertel, kan je daarmee enkel *je router* bereiken.
Ipv6 doet standaard niet aan NAT, je kan het ip6 van de router dus niet gebruiken om een toestel achter de router te bereiken.
Daarvoor moet je rechtstreeks het ip6 van dat toestel aanspreken.

[Mod] afgesplist van: https://userbase.be/forum/viewtopic.php ... 61#p806728

[Sinna]

Ipv6 doet standaard niet aan NAT, je kan het ip6 van de router dus niet gebruiken om een toestel achter de router te bereiken.
Daarvoor moet je rechtstreeks het ip6 van dat toestel aanspreken.

En dat wil ik nu net niet: mijn router moet (ook) een eerste (vuur)muur zijn voor de achterliggende toestellen. NAT doet dat van NATure uit.
Wel vreemd dat de ZyXEL met zijn LAN-IPv6 vanaf het internet bereikbaar is. Dit lijkt mij niet wenselijk.

[GuntherDW]

NAT is geen firewall,
Bij IPv6 kan je gewoon de volledige range poorten/protocols/... toelaten of blocken op je modem aangezien elk apparaat een extern IP kan hebben.

Het is niet omdat je niet aan NAT zou doen dat je geen dingen kan blokkeren.

Je kan wel aan NAT doen over IPv6 maar dat is niet echt aangeraden indien je een /64 of meer krijgt. Beter gewoon ineens goed doen.

[Sinna]

NAT is inderdaad geen firewall, en zolang ik geen weg weet met mijn dual-homed netwerk (Telenet en edpnet) blijf ik liefst zo lang mogelijk op IPv4.

[ITnetadmin]

En dat wil ik nu net niet: mijn router moet (ook) een eerste (vuur)muur zijn voor de achterliggende toestellen. NAT doet dat van NATure uit.
Wel vreemd dat de ZyXEL met zijn LAN-IPv6 vanaf het internet bereikbaar is. Dit lijkt mij niet wenselijk.

Nat heeft idd het neveneffect van als een stateless firewall te fungeren voor incoming connecties (nooit voor outgoing).
Als een home router (incl die van providers) beweert een firewall te hebben, dan is dat altijd gewoon die nat.
Elk intern toestel dat een ipv6 heeft gaat dus ook geen firewall protection hebben.
Het enige dat je kan doen is een echte firewall installeren (bv een pfsense).

Dat die zyxel met zijn lan ip6 op internet bereikbaar is is normaal; geen firewall he, en elk ip6 adres is publiek.

De discussie of nat bij ipv6 wenselijk is of niet is achterhaald.
Uiteraard gaat dat er komen, er zijn té veel nadelen aan het gebrek van nat.
Zonder NPT is multihoming en vooral static ips instellen moeilijk (want je kan geen static suffix instellen in combinatie met een dynamic prefix op heel veel devices).
Zonder NAT66 kan iedereen zien welk device in je netwerk welke service draait (een no-no die vooral de high security wereld zoals banken absoluut niet wil accepteren).

PS: waarom kunnen we hier nog altijd niet quoten bij post edit?

[GuntherDW]

@NAT discussie: https://www.internetsociety.org/blog/20 ... -security/
Static IP's (of suffixes) kan je met DHCPv6 bereiken.

"IPSEC, DNSSEC en Geolocation werken niet door NAT", excuseer?
IPSEC dat niet werkt is partially true, maar daar heb je een workaround voor welke tegenwoordig ook een standaard feature geworden is, namelijk het encapsulaten van het IPSEC verkeer in UDP Port 4500.
Dit heeft wel als nadeel dat je maar 1 endpoint in je netwerk kan hebben, maar dat het niet werkt is ook niet correct.
Het is beter als het zonder kan sure, maar het is niet nodig.

DNSSEC dat niet werkt heb ik geen antwoord op, hoezo zou dit niet werken? Dat hangt gewoon van je resolver af. Inkomend evenzeer. Het zijn gewoon een paar extra records basically om de authenticity van deze records te kunnen valideren. Meer niet.

Als je wil kijken of je huidige resolver DNSSEC ondersteunt zijn er medio test sites om dit na te kijken. Caching nameservers kunnen soms roet in het eten gooien.
https://dnssec.vs.uni-due.de/ bijvoorbeeld. of http://conn.internet.nl/connection/

Geolocation dat niet zou werken.. Als je enkel op basis van IP gaat kijken ben je sowieso vaak al slecht af, maar wat dit met NAT te maken heeft tenzij je via een tunnel werkt ofzo I have no idea...

All in all stel ik me wel vragen bij wat hij zegt in die pagina.

Qua "welke apparaten je in je netwerk hebt zitten" heb je ook al tijdenlang gewoon privacy extentions welke om de zoveel tijd je een semi-random IP adres geeft. Je hebt dan beide je assigned (of via RA/RD) IP en je PE IP welke gebruikt wordt voor uitgaande connecties.
Dit wordt zelfs standaard gebruikt in een windows omgeving. In Linux moet je het zelf nog aanzetten dmv sysctl. Al kan het wel zijn dat er distro's zijn welke deze standaard aangezet hebben.

[ITnetadmin]

@NAT discussie: https://www.internetsociety.org/blog/20 ... -security/

Het klassieke, en verkeerde, argument dat security through obscurity geen security is, en daarom geen plaats heeft.
Uiteraard werkt security through obscurity niet als het je *enige* security layer is.
Maar het is wel degelijk een belangrijke layer in security.

Als je me niet gelooft, ga dan maar ns aan een bank vragen hoe hun security in mekaar zit, hoe hun badgesysteem werkt, en welke beveiligingen er exact op hun geldsystemen zitten.

Zelfde dus hier; zonder nat66 kan je afleiden hoeveel servers er gebruikt worden, en welke servers welke services runnen.
En dus willen veel banken ipv6 zonder nat niet implementeren omdat het voor hen te veel inzicht biedt in hun interne systemen.

Ook bij bv websites vind je dit terug; veel cms based sites verbergen welke versie van cms of forum ze draaien, teneinde het hackers toch een beetje moeilijker te maken.
Webservers hetzelfde, niet allemaal vertellen ze zomaar exact welke apache of nginx versie er aan het draaien is.

[CCatalyst]

Mijn laatste post hierover wegens off topic gehalte.

NAT is een techniek ontworpen om de uitputting van IPv4 adressen te vertragen. Het is geen security feature, de enige benefit is het verbergen van adressen, maar security through obscurity is geen duurzame beveiligingsstrategie. De ervaring leert dat mensen die op NAT vertrouwen vaak geen enkel idee hebben van de data die naar binnen en naar buiten stroomt op hun LAN. Daarvoor heb je immers een firewall (met logging) nodig.

Stateful firewalls zijn de aangewezen manier om de perimeter te beveiligen.

Bovendien lijkt men nog altijd niet te beseffen hoe groot IPv6 is. Een recon uitvoeren op een /48 (wat een bank zou kunnen hebben), zou aan een rato van 100 IP's per seconde, 383093340000000 jaar duren om af te ronden. Tegen dat het 2 seconden ver is, heeft een goede firewall het source adres al geblokkeerd. En het feit dat een netwerk publiekelijk adresseerbaar is, betekent nog niet dat het ook publiekelijk bereikbaar is, dat is net de taak van de firewall. Bovendien kan (en moet) kritieke infrastructuur dat geen internetverbinding vereist steeds met een ULA adres geconfigureerd worden.