Benytter Altibox seg av Carrier Grade NAT?

[Mato]

Altiboks har dog låst alt av porter på ipv6, så selv om man ville brukt det så har du ingen bedre kontroll over dette en cgnat 

Brannmur-funksjonalitet på IPv6

For å beskytte enheter på hjemmenettet, benyttes en såkalt brannmur. Brannmuren gjør at det ikke er mulig å nå IPv6-adresser fra internett. Det er ikke mulig å slå av brannmuren eller åpne porter på nåværende tidspunkt. Dersom dette er påkrevd, er det mulig å sette hjemmesentral i bromodus og benytte egen ruter som støtter mulighet til å nå IPv6-adresser fra internett.

[NULL]

34 minutes ago, Mato said:

Altiboks har dog låst alt av porter på ipv6, så selv om man ville brukt det så har du ingen bedre kontroll over dette en cgnat 

Brannmur-funksjonalitet på IPv6

For å beskytte enheter på hjemmenettet, benyttes en såkalt brannmur. Brannmuren gjør at det ikke er mulig å nå IPv6-adresser fra internett. Det er ikke mulig å slå av brannmuren eller åpne porter på nåværende tidspunkt. Dersom dette er påkrevd, er det mulig å sette hjemmesentral i bromodus og benytte egen ruter som støtter mulighet til å nå IPv6-adresser fra internett.

Er dette på alle ruterne eller på en spesifikk(e) modell(er)? Har kjørt bromodus på Altibox-aksessen i så mange år at jeg har aldri sjekket dette.

[arne22]

56 minutes ago, Mato said:

Brannmur-funksjonalitet på IPv6

For å beskytte enheter på hjemmenettet, benyttes en såkalt brannmur. Brannmuren gjør at det ikke er mulig å nå IPv6-adresser fra internett. Det er ikke mulig å slå av brannmuren eller åpne porter på nåværende tidspunkt. Dersom dette er påkrevd, er det mulig å sette hjemmesentral i bromodus og benytte egen ruter som støtter mulighet til å nå IPv6-adresser fra internett.

Står dette i dokumentasjonen til Altibox?

I så fall interessant, for IPv6 er jo ellers "ganske farlig", etter mitt syn, hvis det ikke er satt opp en brannmur.

Har lurt litt på hvordan internettleverandørene ville forholde seg til denne problemstillingen.

Noe av problemtillingen er jo da også være at man oppnår sikkerhet samtidig som man taper funksjonalitet.

En IPv6 brannmur er nok ellers etter all sansynlighet konfigurert slik at den i praksis fungerer noenlunde likt med en NAT router, dvs at det er full åpning for all utgpående trafikk, mens det er sperret for all trafikk som initieres fra utsiden.

(Man kan jo da ikke kjøre noen serverfunksjoner. En åpning i IPv6 firewall vil virke noenlunde likt som en port forwarding for IPv4)

Endret 5. mai av arne22

[Mato]

er kopiert her fra 

https://www.altibox.no/privat/ipv6/

[NULL]

1 hour ago, arne22 said:

Står dette i dokumentasjonen til Altibox?

I så fall interessant, for IPv6 er jo ellers "ganske farlig", etter mitt syn, hvis det ikke er satt opp en brannmur.

Har lurt litt på hvordan internettleverandørene ville forholde seg til denne problemstillingen.

Noe av problemtillingen er jo da også være at man oppnår sikkerhet samtidig som man taper funksjonalitet.

En IPv6 brannmur er nok ellers etter all sansynlighet konfigurert slik at den i praksis fungerer noenlunde likt med en NAT router, dvs at det er full åpning for all utgpående trafikk, mens det er sperret for all trafikk som initieres fra utsiden.

(Man kan jo da ikke kjøre noen serverfunksjoner. En åpning i IPv6 firewall vil virke noenlunde likt som en port forwarding for IPv4)

Så vidt jeg forstår, er det ikke alle porter som i mange "implementeringer" for "vanlige hjemmerutere" er lukket som standard. Dvs. de står som standard åpent. Så handler det da om litt varsomhet i hvordan man evt. bruker en "random port" i en slik situasjon.

Så er det vel da også forventet at en enhet også skal ha en egen brammur og aksessregler. F.eks. at det er kun enheter på samme subnet som den skal svare på forespørsler fra. Så det hviler et ansvar også på utviklere av produkter og operativsystemer her.

Så kan man strengt tatt også kjøre NAT med IPv6, gjennom løsninger som NAT6/NAT66. Og man kan ellers si at sikkerheten man fikk via NAT med IPv4 var vel egentlig ikke tenkt som en "feature" i utgangspunktet, men har vel slik sett også blitt en hvilepute.

 

[arne22]

3 hours ago, NULL said:

Så vidt jeg forstår, er det ikke alle porter som i mange "implementeringer" for "vanlige hjemmerutere" er lukket som standard.

Testet ut IPv6 via 4G hos Ice, altså nå samme firma som Altibox. Satte opp en webserver bare for testen. Det viste seg at den var tigjengelig og synlig ut til Internett umiddelbart. Ingen brannmur der. Men det er jo et lite stykke tid siden, og de kan jo ha satt opp tingene litt annerledes siden den gang.

3 hours ago, NULL said:

Så er det vel da også forventet at en enhet også skal ha en egen brammur og aksessregler.

En windows PC har jo det, men det er vel ikke alltid sjåføren av doningen har den helt store oversikten. Det er vel også en del saker og ting som ikke har brannmur.

[NULL]

1 hour ago, arne22 said:

Testet ut IPv6 via 4G hos Ice, altså nå samme firma som Altibox. Satte opp en webserver bare for testen. Det viste seg at den var tigjengelig og synlig ut til Internett umiddelbart. Ingen brannmur der. Men det er jo et lite stykke tid siden, og de kan jo ha satt opp tingene litt annerledes siden den gang.

En windows PC har jo det, men det er vel ikke alltid sjåføren av doningen har den helt store oversikten. Det er vel også en del saker og ting som ikke har brannmur.

Selv om ICE er en del av Lyse Tele, er det nok mye som fortsatt er forskjellig. Spørsmål her er jo også hva det er du bruker for å få webserveren på nett her - en 4G-ruter? Hvilken? Det er jo ikke på aksessen FW er, men som en del av eventuell ruter.

Det er ting som ikke har brannmur ja, og sikkert en del ting som benytter et standard SDK der potensielt IPv6 er på plass, men at det ikke er en brannmur som en del av SDK-et (og SDK-et kan egentlig også inkludere OS), eller at det er en konfig for å konfigurere det. Da tenker jeg mer på "smartenheter"/IoT fra en del leverandører.

Samtidig har man ikke helt de samme "skan hele internett"-mulighetene med IPv6 som for IPv4. Selv bare et subnett som deles ut for en bredbåndsforbindelse i privatmarkedet har vel omtrent samme størrelse som det norske aktører har av IPv4-adresser. Annet element her er jo også hvorvidt IPv6 Privacy Extentions benyttes som standard av enheten, der enheten skal bytte ip-adresse ved noen timers mellomrom.

 

[arne22]

4 minutes ago, NULL said:

Spørsmål her er jo også hva det er du bruker for å få webserveren på nett her - en 4G-ruter? Hvilken? Det er jo ikke på aksessen FW er, men som en del av eventuell ruter.

Dette var bare en test. Server var vel Windows 10 Home og siste router før server var vel en mobiltelefon. Ville bare gjøre en kjapp test og se om det var helt åpent fra internett og inn til PC, og det så vel ut som det var tilfellet. Webserver og TCP 80/443 var med en gang tilgjengelig fra Internett til IPv6 adressen.

Hvis Altibox filtrerer inngående trefikk, så behøver vel ikke det nødvendigvis å skje i siste router før kunde/bruker? 

Hvis det ikke er mulig å rekonfigurere og åpen for trafikk, er ikke det en liten indikasjon på at filtreringen sker et annet sted?

[NULL]

13 minutes ago, arne22 said:

Dette var bare en test. Server var vel Windows 10 Home og siste router før server var vel en mobiltelefon. Ville bare gjøre en kjapp test og se om det var helt åpent fra internett og inn til PC, og det så vel ut som det var tilfellet. Webserver og TCP 80/443 var med en gang tilgjengelig fra Internett til IPv6 adressen.

Hvis Altibox filtrerer inngående trefikk, så behøver vel ikke det nødvendigvis å skje i siste router før kunde/bruker? 

Hvis det ikke er mulig å rekonfigurere og åpen for trafikk, er ikke det en liten indikasjon på at filtreringen sker et annet sted?

Siden Altibox sier de p.t. ikke har mulighet for å gjøre åpninger på IPv6, kan det jo være at de gjør noe mer nettsentrisk for dette. Men vanlige ville jo være å ha dette på ruter. 

I ditt tilfelle, så vil det være mobiltelefonen som ikke har noe brannmur for IPv6 ville jeg anta.

[sk0yern]

NULL skrev (8 timer siden):

Er dette på alle ruterne eller på en spesifikk(e) modell(er)? Har kjørt bromodus på Altibox-aksessen i så mange år at jeg har aldri sjekket dette.

Ved bromodus er det full blås inn på IPv6. Ingen filtrering som jeg har klart å finne.

[sk0yern]

arne22 skrev (8 timer siden):

I så fall interessant, for IPv6 er jo ellers "ganske farlig", etter mitt syn, hvis det ikke er satt opp en brannmur.

Jeg ser svært lite scanning av IPv6 foreløpig, det er vel heller ikke særlig praktisk gjennomførbart.
Generelt hadde jeg vært lite bekymret for fravær av brannmur, og heller satset på at de enkelte devicene har en ok oppsatt lokal brannmur by default.

[arne22]

7 minutes ago, sk0yern said:

eg ser svært lite scanning av IPv6 foreløpig, det er vel heller ikke særlig praktisk gjennomførbart.

Nei, problemstillingen vil først og fremst være aktuell, hvis du først selv har lagt i fra deg IPv6 adressen ett eller annet sted. Hvis det da ikke finnes en brannmur, så har du ha åpnet for angrep.

Ett av angrepene mot Ukraina, i sin tid skjedde jo for eksempel via et lokalt webcam, så det er ikke alt i denne verden som bar brannmur. Noen ganger så er det også mulig å angripe gjennom en åpen port som skal være åpen for å få produktet til å fungere. 

Endret 5. mai av arne22

[agvg]

NULL skrev (21 timer siden):

Spørsmålet er jo da om det strider mot nettnøytralitet, da det kan være tjenester som ikke fungerer bak CGNAT.

Da er jo videre spørsmålet om man føler det riktig kun de med spesifikke behov skal betale for det, eller om kostnaden med å anskaffe flere IPv4-adresser skal fordeles på alle. Størst utfordring blir det for eventuelt nye internettleverandører. For de som har en god slump IPv4-adresser fra før, kan det jo også løses ganske så enkelt med at i utgangspunktet får man CGNAT, men så kan man velge å få public-adresse. Det er nok ikke så mange prosentene som vil ha behov for å gjøre denne endringen.

Så kan man også si at når IPv6 er på plass "over hele verden", kan man også legge fokus på at tjenester som trenger en offentlig IP, faktisk bruker IPv6. I dag kunne problemet vært løst for mange om tjenestene støttet både IPv4 og IPv6. 

Men det er vel neppe mulig og skaffe noe særlig med IPv4, I prinsippet vil det være umulig for noen og starte opp for en ny leverandør i og med man forlanger noe som ikke kan skaffes. Denne utrolige tregheten med IPv6 er åpenbart blitt ett stort problem og åpenbart burde man ha tatt tak i dette for mange år siden. Har vi forsatt ISPer som ikke har IPv6 som standard?

[Hedonism]

agvg skrev (8 minutter siden):

Men det er vel neppe mulig og skaffe noe særlig med IPv4, I prinsippet vil det være umulig for noen og starte opp for en ny leverandør i og med man forlanger noe som ikke kan skaffes. Denne utrolige tregheten med IPv6 er åpenbart blitt ett stort problem og åpenbart burde man ha tatt tak i dette for mange år siden. Har vi forsatt ISPer som ikke har IPv6 som standard?

Telenor kjører kun ipv4 (med offentlig adresse) på trådløst bredbånd, selv om de har ipv6-støtte på mobiltelefoner koblet til det samme mobilnettet. Dette skal mest sannsynlig komme i løpet av året ifølge @bmork som jobber hos Telenor og beskrev litt av årsaken til manglende ipv6-støtte i en annen tråd.

Jeg mister merkelig nok ipv6 etter noen dager på linjen vi har fra Bergen Fiber (Altibox), og for å få ipv6-adresse igjen så må jeg ta en restart av ruteren vi har fått fra dem. Kontaktet kundeservice om det men fikk ikke særlig med hjelp, så vet ikke om dette skyldtes noe på min side (ruteren) eller på deres side. 

Sånn i det daglige så merker jo ikke den gjengse bruker noe særlig rundt manglende ipv6-adresse men det hadde vært fint om alle fikk rullet ut støtte for det nå som det er tilnærmet tomt for ipv4-adresser, og cgnat ikke er ideell løsning inntil bredbåndsselskapene lager til støtte for portåpning over det.

[barfoo]

14 hours ago, NULL said:

Selv bare et subnett som deles ut for en bredbåndsforbindelse i privatmarkedet har vel omtrent samme størrelse som det norske aktører har av IPv4-adresser

Minste anbefalte til privatkunder er /56. Et /56 får plass til heile IPv4-adresseområdet ca. ein billion ganger. Mange ISPer gir ut /48, som har plass til IPv4-området 10^24 ganger.

[process]

1 hour ago, Hedonism said:

Jeg mister merkelig nok ipv6 etter noen dager på linjen vi har fra Bergen Fiber (Altibox), og for å få ipv6-adresse igjen så må jeg ta en restart av ruteren vi har fått fra dem. Kontaktet kundeservice om det men fikk ikke særlig med hjelp, så vet ikke om dette skyldtes noe på min side (ruteren) eller på deres side. 

Litt OT her, men jeg har opplevd samme symptomer før.  Nå husker jeg ikke detaljene, men mener å huske at dersom du filtrerer icmpv6 type 135 så får du status som unreachable etterhvert. 

Legger ved netfilter output fra en annen maskin dersom det skulle være nyttig.  De fire første er de icmp typene som er relevante.  Det forutsetter naturligvis at du har en egen router hvor slikt kan konfigureres. 

  303 19448 ACCEPT     58   --  *      *       ::/0                 ::/0                 ipv6-icmptype 136 
 1046 75312 ACCEPT     58   --  *      *       fe80::/10            ::/0                 ipv6-icmptype 135 
  385 45248 ACCEPT     58   --  *      *       ::/0                 ::/0                 ipv6-icmptype 134 
    0     0 ACCEPT     58   --  *      *       fe80::/10            ::/0                 ipv6-icmptype 133 
    0     0 ACCEPT     58   --  *      *       ::/0                 ::/0                 limit: avg 5/sec burst 5 ipv6-icmptype 128
    0     0 ACCEPT     58   --  *      *       ::/0                 ::/0                 limit: avg 5/sec burst 5 ipv6-icmptype 2 
    0     0 ACCEPT     58   --  *      *       ::/0                 ::/0                 limit: avg 5/sec burst 5 ipv6-icmptype 1
    0     0 ACCEPT     58   --  *      *       ::/0                 ::/0                 limit: avg 5/sec burst 5 ipv6-icmptype 3

 

Endret 6. mai av process

[agvg]

Er jo tragisk at det etter 20 år fortsatt kryr av nettsteder uten IPv6, finn.no var f.eks IPv4 for en liten stund siden, finnes det IPv6 nettbanken? Noen sider er IPv6 men linker inn alt mulig ræl som er rein IPv4 så kjører du reint IPv6 så kollapser det.

[sk0yern]

agvg skrev (1 time siden):

Er jo tragisk at det etter 20 år fortsatt kryr av nettsteder uten IPv6, finn.no var f.eks IPv4 for en liten stund siden, finnes det IPv6 nettbanken? Noen sider er IPv6 men linker inn alt mulig ræl som er rein IPv4 så kjører du reint IPv6 så kollapser det.

finn.no resolver fortsatt bare til IPv4 her, relativt pinlig for en bedrift som skal være veldig innovative.
Finner heller ingen norske banker i farten som har IPv6-støtte. Selv ikke DNB og Nordea som hostes bak akamai. 
Ser ikke helt hvorfor de ikke har enablet IPv6 da.

Ser ut som det offentlige er lengst framme. NAV, regjeringen.no o.s.v er klare.
Kommuner ser ut til å være litt 50/50.

Så er det et helt annet spørsmål hvor langt de har kommet i utrullingen på klienter og andre interne tjenester selvfølgelig.

[trrunde]

har inntrykket av at ipv6 støtten ofte forsvinner samtidig som de flytter ut i en sky. finn.no hadde vel ipv6 frem til til flytta til google, telenor.no hadde vel ipv6 frem til de flytta til microsoft azure.

[Mato]

kan melde at jeg fikk mail fra kundeservice i natt om at dynamisk ipv4 nå var fikset, virker som føreste nivå kundeservice ikke har mulighet til dette men når du får eskalert saken i systemt så får det fikset dette.