Benytter Altibox seg av Carrier Grade NAT?

[arne22]

On 12/30/2022 at 10:38 PM, agvg said:

Hvorfor tror du NAT er bedre? på IPv6 så har du en brannmur som sperrer like godt som en NAT, du må åpne de portene på den for og slippe data inn, akkurat som på NAT, så hva er forskjellen?

NAT basert på IPV4 er mye enklere å, forstå, å sette opp og å konfigurere. Det finnes også ganske mye dokumentasjon rundt dette. Det finnes også portscannere og andre verktøy for å sjekke datasikkerhet, som er forholdvis enkle i bruk. Dette er jo redskaper som har blitt utviklet sånn ca i perioden fra år 2000 og fram til nå, der det finnes masser av erfaring literatur og praksis rundt bruken.

Hvis man skal konfigurere og sikre en teknologi som man ikke helt forstår, så ligger det både kostnader og sikkerhetsrisiko i dette.

Når man skal gjennomføre en sikkerhetsaudit på et IPV6 nettverk, da er man over på noe som er litt forskjellig og som representerer noe nytt. Da kan det være at gammel praksis rundt sikekrhetsaudit ikke fungerer like bra, og at metodene må utvikles på nytt, i en ny utgave tilpasset IPV6.

Hvis dette skal være "regningssvarende" så må fordlene med IPV6 i lokalnett oppveie kostander og risiko. Mitt inntrykk er at dette så langt ikke er tilfellet, slika t den naturlige utviklingstrenden vil være IPV6 i WAN/Internett og fortsatt IPV4 i lokalnett.

Time will show - Ti me vil sjå.

Spørsmålene er: Vil fordelene med IPV6 i lokalnett, medføre fordeler som kan rettferdiggjøre de ekstra kostnader og de nye krav til sikkerhet som følger med? Hva er i det hele tatt fordelene med IPV6 i lokalnett`?

Jeg vil vel mene at en sannsynlig utvikling det er at CGNAT etter hvert går over i IPV6 på WAN/Internettnivå, mens lokalnettende for en stor del blir værende på IPV4. Med andre ord: Utviklingen går sin gang, uten at sluttbruker vil merke så mye til det.

Endret 1. januar 2023 av arne22

[NULL]

7 hours ago, arne22 said:

NAT basert på IPV4 er mye enklere å, forstå, å sette opp og å konfigurere. Det finnes også ganske mye dokumentasjon rundt dette. Det finnes også portscannere og andre verktøy for å sjekke datasikkerhet, som er forholdvis enkle i bruk. Dette er jo redskaper som har blitt utviklet sånn ca i perioden fra år 2000 og fram til nå, der det finnes masser av erfaring literatur og praksis rundt bruken.

Nei, det er egentlig ikke enklere å forstå kontra det å bare måtte gjøre en brannmuråpning mot en ip/port. Det framstår som enklere fordi dette er noe du har gjort før.

Å kjøre en portskanning mot en IPv4-adresse er ikke noe forskjellig fra en IPv6-adresse. Jeg klarer heller ikke å se at tjenesten på et høyere lag her skal være så forskjellig.

Skal du imidlertid kartlegge hele nettverk, ved å skanne portene til alle ip-adresser uten å kjenne hva som er i bruk, vil det ta mer tid. Det er vel i såfall egentlig sikkerhetsmessig potensielt bedre.

Quote

Hvis man skal konfigurere og sikre en teknologi som man ikke helt forstår, så ligger det både kostnader og sikkerhetsrisiko i dette.

Man må lære seg teknologien. 

Quote

Når man skal gjennomføre en sikkerhetsaudit på et IPV6 nettverk, da er man over på noe som er litt forskjellig og som representerer noe nytt. Da kan det være at gammel praksis rundt sikekrhetsaudit ikke fungerer like bra, og at metodene må utvikles på nytt, i en ny utgave tilpasset IPV6.

Utdyp?

Skal man ikke la teknologiutviklingen gå videre, fordi det for noen er mer komplekst å forstå? 

Quote

Hvis dette skal være "regningssvarende" så må fordlene med IPV6 i lokalnett oppveie kostander og risiko. Mitt inntrykk er at dette så langt ikke er tilfellet, slika t den naturlige utviklingstrenden vil være IPV6 i WAN/Internett og fortsatt IPV4 i lokalnett.

Du mener at man skulle kjørt IPv6 på WAN-siden, så hatt kompleksitet for å konvertere - NAT46/NAT64-type løsninger? Dette gir egentlig økt kompleksitet. 

Quote

Time will show - Ti me vil sjå.

Spørsmålene er: Vil fordelene med IPV6 i lokalnett, medføre fordeler som kan rettferdiggjøre de ekstra kostnader og de nye krav til sikkerhet som følger med? Hva er i det hele tatt fordelene med IPV6 i lokalnett`?

Jeg vil vel mene at en sannsynlig utvikling det er at CGNAT etter hvert går over i IPV6 på WAN/Internettnivå, mens lokalnettende for en stor del blir værende på IPV4. Med andre ord: Utviklingen går sin gang, uten at sluttbruker vil merke så mye til det.

Hvilke nye ekstra kostnader og krav til sikkerhet? 

På en måte er det i lokalnettverk nødvendigvis ikke så store fordeler med IPv6 i seg selv, men man får redusert ytelse, kompleksitet av dual-stack og evt. ekstra løsninger for traversal "både her og der". Skal man støtte begge teknologiene, har man også kompleksistet i utvikling, testing osv. 

Men ja, mitt inntrykk er at det p.t. er en del løsninger som har en "dårlig" IPv6-implementasjon, som også kan gå ut over sikkerheten. Dette blir vel en slags høna-og-egget-situasjon, der IPv6 i praksis er lite brukt og ikke får fokuset det burde ha i en del sammenhenger.

Endret 1. januar 2023 av NULL

[sk0yern]

Her er "Completing the Transition to Internet Protocol Version 6 (IPv6)" fra det hvite hus i 2020: https://www.whitehouse.gov/wp-content/uploads/2020/11/M-21-07.pdf

 

Sitat

Preparing for an 1Pv6-only Infrastructure
0MB previously issued policy discussing the expectation for agencies to run dual stack (IPv4 and IPv6) into the foreseeable future; however, in recent years it has become clear that this approach is overly complex to maintain and unnecessary. As a result, standards bodies and leading technology companies began migrating toward IPv6-only deployments, thereby eliminating complexity, operational cost, and threat vectors associated with operating two network protocols.

 

Sitat

Develop an IPv6 implementation plan9 by the end of FY 2021, and update the Information Resources Management (IRM) Strategic Plan10 as appropriate, to update all networked Federal information systems (and the IP-enabled assets associated with these systems) to fully enable native IPv611 operation. The plan shall describe the agency transition process and include the following milestones and actions: 12
a. At least 20% of IP-enabled assets on Federal networks are operating in IPv6-only environments by the end of FY 2023;13
b. At least 50% of IP-enabled assets on Federal networks are operating in IPv6-only environments by the end of FY 2024;
c. At least 80% ofIP-enabled assets on Federal networks are operating in IPv6-only environments by the end of FY 2025; and
d. Identify and justify Federal information systems that cannot be converted to use IPv6 and provide a schedule for replacing or retiring these systems;

Vil si det er ganske ambisiøse mål.
Dette vil definitivt ha en stor betydning for videre utrulling av IPv6.

Tilsvarende i Norge: https://lovdata.no/forskrift/2013-04-05-959/§12

Sitat

Offentlige virksomheter skal sette krav til støtte av både IPv4 og IPv6 i alt nytt nettverksutstyr og all IP-avhengig programvare som anskaffes.
Offentlige virksomheter skal gjøre alle nye og eksisterende, eksternt publiserte tjenester tilgjengelig både på IPv4 og IPv6, med unntak av peer to peer kommunikasjon mellom offentlige virksomheter, der man kan legge om på best egnet tidspunkt.
Alle interne klienter i offentlige virksomheter skal ha tilsvarende tilgang til eksterne tjenester publisert på IPv4 og IPv6.
Nye interne nett og løsninger i offentlige virksomheter skal ha støtte for IPv6. Det er tillatt å støtte IPv4 i tillegg.

I privat sektor går det nok tregere, rett og slett fordi det er vanskelig å selge inn kostnaden det er å innføre dual-stack.
Forhåpentligvis blir jobben de gjør i offentlig sektor en vekker for en og annen IT-leder.

[arne22]

On 1/1/2023 at 10:31 AM, NULL said:

Skal man ikke la teknologiutviklingen gå videre, fordi det for noen er mer komplekst å forstå? 

Ja, men mesteparten av det som finnes at kursopplegg for nettverksikkerthet er jo basert på IPV4 teknologi.

Har du noen gode eksempler på tilsvarende kursopplegg for IPV6 teknologi?

Hvilken kurtslevarandør er det som leverer brukbare kursopplegg for nettverkssikkerhet i forhold til lokale IPV6 nett?

Konkrete kurs?

Hva med kurs i "security audition" for lokale IPV6 nett?

For IPV4 nett, så finnes dette jo i bøtter og spann, dvs det har blitt utviklet i perioden fra ca år 2000 til i dag.

Endret 2. januar 2023 av arne22

[agvg]

arne22 skrev (4 minutter siden):

Ja, men mesteparten av det som finnes at kursopplegg for nettverksikkerthet er jo basert på IPV4 teknologi.

Har du noen gode eksempler på tilsvarende kursopplegg for IPV6 teknologi?

Hvilken kurtslevarandør er det som leverer brukbare kursopplegg for nettverkssikkerhet i forhold til lokale IPV6 nett?

Konkrete kurs?

Hvis man ikke finner IPv6 på kursplanen bør man finne noen andre, er de så utdatert så er de nok like utdatert på IPv4.

Og hva mener du med lokalnett? Er det private nett i hjemmet går jo nesten all trafikk over IPv6 så sant man streamer eller bruker større tjenester. 

Windows foretrekker IPv6, hva er utfordringen med at min PC snakker IPv6 med skriveren?

 

Endret 2. januar 2023 av agvg

[agvg]

Jeg har brannvegg på IPv6, den sperrer for alt som prøver og innlede en forbindelse inn mot mitt nett, hva mer trenger jeg? Jeg har ikke sykelig paranoia så jeg anser at jeg ikke er spesielt interessant.

IPv6 i seg selv har jo ett enormt antall IPer, det i seg selv er jo litt beskyttelse. Du må finne IPen til devicen på baksiden av routeren.

[arne22]

Just now, agvg said:

Hvis man ikke finner IPv6 på kursplanen bør man finne noen andre, er de så utdatert så er de nok like utdatert på IPv6.

Har forsøkt å følge med på det som har vært tilgjengelig av kursopplegg fra ca år 2000 fram til nå. Synes ikke at jeg har sett noe brukbart på IPV6 og lokale IPV6 nett.

Tenker nok mest på noe i retning nettverk ut i fra Purdue modellen, men mange av disse prinsippene vil jo også være relevante fro andre typer nettverk også.

https://www.zscaler.com/resources/security-terms-glossary/what-is-purdue-model-ics-security

Hadde jeg visst om et brukbart IPV6 kurs så hadde jeg nok likt å kikke litt på det.

[agvg]

Trenger du noe kurs da? YouTube og Google knuser da det meste av halvdårlige kursledere.

[arne22]

Det aller meste av den klassiske teorien rundt "The Cyber Kill Chain" er jo også for en stor del skrevet ut i fra IPV4 teknologi.

https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

Man kan ikke bare kunne "et tilfeldig utvalg av teknologi". Skal man kunne teknologien ut i fra et noenlunde "komplett helhetsbilde", da er man fortsatt over i IPV4, intil tilsvarende har blitt utviklet for IPV6.

Hvis IPV6 inneholder problemstillinger man bare forstår sånn delvis, da kan denne teknologian ikke brukes der det stilles forholdsvis høye grad  til sikkerhet. Man må ha nær 100% kontroll på alle feilkilder.

Kompleksiteten til IPV6 medfører rett og slett at en helhetilig risikovurdering blir mye mer komplisert, hvis IPV6 ligger til grunn for det bedriftinterne nettverket, og at det finnes flere "feilkilder", eller om man vil flere "angrepsvektorer".

Noen synspunkter her, som jeg kanskje synes har noe for seg:

https://nira.com/ipv6-security-risks/

Det kan nok ellers godt tenkes at lokale IPV6 kommer først i hjemmenettverk, på grunn av små krav til sikkerhet, selv om fordelene kanskje ikke er så lett å få øye på. 

Man skulle vel tro at den praktiske løsnigen vil være at i nettverk der det stilles forholdsvis store krav til sikkerhet, så beholder man IPV4 teknologien, fram til at IPV6 har nådd fram til en tilsvarende grad av "sikkerhetsmessig modenhet".

Hvis denne vurderingen eventulet skulle vise seg å være rett, da vil jo den enkle løsningen eller konklusjonen være at ISP gjennomfører IPV6 i sine nett, mens lokalnettverkene og bedriftinterne nett, blir som de er, basert på IPV4.

Endret 2. januar 2023 av arne22

[arne22]

Bruker foresten en skybasert løsning fra en av de store leverandørene og kjører noen servere der. Når jeg tenker meg om så kjører jo alt dette inklusive tilhørende brannmurer IPV4, i stedet for IPV6. Ville tro at grunnen til det er sikkerhetsmessige vurderinger rundt IPV6.

Hvillken forholdvis større leverandør av skybaserte tjenester, er det ellers som baserer sine løsninger på IPV6 i stedet for IPV4?

Kjenner ikke til en noen, men det kan jo værte at det finnes. (?!)

Endret 2. januar 2023 av arne22

[sk0yern]

arne22 skrev (1 time siden):

Det aller meste av den klassiske teorien rundt "The Cyber Kill Chain" er jo også for en stor del skrevet ut i fra IPV4 teknologi.

https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

Man kan ikke bare kunne "et tilfeldig utvalg av teknologi". Skal man kunne teknologien ut i fra et noenlunde "komplett helhetsbilde", da er man fortsatt over i IPV4, intil tilsvarende har blitt utviklet for IPV6.

Hvis IPV6 inneholder problemstillinger man bare forstår sånn delvis, da kan denne teknologian ikke brukes der det stilles forholdsvis høye grad  til sikkerhet. Man må ha nær 100% kontroll på alle feilkilder.

Kompleksiteten til IPV6 medfører rett og slett at en helhetilig risikovurdering blir mye mer komplisert, hvis IPV6 ligger til grunn for det bedriftinterne nettverket, og at det finnes flere "feilkilder", eller om man vil flere "angrepsvektorer".

Noen synspunkter her, som jeg kanskje synes har noe for seg:

https://nira.com/ipv6-security-risks/

Det kan nok ellers godt tenkes at lokale IPV6 kommer først i hjemmenettverk, på grunn av små krav til sikkerhet, selv om fordelene kanskje ikke er så lett å få øye på. 

Man skulle vel tro at den praktiske løsnigen vil være at i nettverk der det stilles forholdsvis store krav til sikkerhet, så beholder man IPV4 teknologien, fram til at IPV6 har nådd fram til en tilsvarende grad av "sikkerhetsmessig modenhet".

Hvis denne vurderingen eventulet skulle vise seg å være rett, da vil jo den enkle løsningen eller konklusjonen være at ISP gjennomfører IPV6 i sine nett, mens lokalnettverkene og bedriftinterne nett, blir som de er, basert på IPV4.

Cyber kill chain er ikke knyttet til IPv4 mer enn IPv6. At man typisk har brukt IPv4 i eksempler og dokumentasjon, er rett og slett bare fordi IPv4 har/er vært mer utbredt.
De aller fleste seriøse sikkerhetsprodukter i bedriftsmarkedet i dag, støtter IPv6 mer eller mindre like godt som IPv4.
IPv6 er nok ikke så mye mer komplisert enn IPv4, men IPv6 er "nytt", dermed er det fortsatt slik at mange kjenner IPv4 mye bedre enn de kjenner IPv6.
I tillegg kan man argumentere med at det blir mer komplisert å kjøre en dual-stack, men det er i en overgangsperiode (som kan bli lang..)
Enkelte bedrifter vil også ha stor nytte av å kunne gå over til IPv6, rett og slett bare for å få tilgang til flere adresser.
Dessverre er dette store og tunge prosjekter å få gjennomført. Vanskelig å få midler til sånt, der man ikke umiddelbart ser gevinsten.

[sk0yern]

arne22 skrev (1 time siden):

Bruker foresten en skybasert løsning fra en av de store leverandørene og kjører noen servere der. Når jeg tenker meg om så kjører jo alt dette inklusive tilhørende brannmurer IPV4, i stedet for IPV6. Ville tro at grunnen til det er sikkerhetsmessige vurderinger rundt IPV6.

Hvillken forholdvis større leverandør av skybaserte tjenester, er det ellers som baserer sine løsninger på IPV6 i stedet for IPV4?

Kjenner ikke til en noen, men det kan jo værte at det finnes. (?!)

Facebook er vel relativt kjent?
https://engineering.fb.com/2017/01/17/production-engineering/legacy-support-on-ipv6-only-infra/
 

Både AWS og Azure støtter selvfølgelig IPv6, på de aller fleste tjenester, riktignok mangler Azure støtte for enkelte viktige funksjoner.
https://docs.aws.amazon.com/general/latest/gr/aws-ipv6-support.html
https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/ipv6-overview
https://cloud.google.com/blog/products/networking/getting-started-with-ipv6-on-google-cloud

[HawP]

arne22 skrev (På 2.1.2023 den 16.58):

Man kan ikke bare kunne "et tilfeldig utvalg av teknologi". Skal man kunne teknologien ut i fra et noenlunde "komplett helhetsbilde", da er man fortsatt over i IPV4, intil tilsvarende har blitt utviklet for IPV6.

Hvis IPV6 inneholder problemstillinger man bare forstår sånn delvis, da kan denne teknologian ikke brukes der det stilles forholdsvis høye grad  til sikkerhet. Man må ha nær 100% kontroll på alle feilkilder.

Kompleksiteten til IPV6 medfører rett og slett at en helhetilig risikovurdering blir mye mer komplisert, hvis IPV6 ligger til grunn for det bedriftinterne nettverket, og at det finnes flere "feilkilder", eller om man vil flere "angrepsvektorer".

Lurer på om ikke det litt kan skyldes at mange ikke er så kjent med ipv6, og at det kanskje derfor ofte ender med at ipv4 fortsatt brukes/foretrekkes siden det er "det enkleste"?

Sitat

Hvis denne vurderingen eventulet skulle vise seg å være rett, da vil jo den enkle løsningen eller konklusjonen være at ISP gjennomfører IPV6 i sine nett, mens lokalnettverkene og bedriftinterne nett, blir som de er, basert på IPV4.

Hvis du med "ISP gjennomfører" tenker at alle ISP'er gjør dette, så vil vel det i praksis nesten bety at internett da blir mer eller mindre kun ipv6. Hvis ikke vil en jo mer eller mindre være like langt hva gjelder ipv4-adresser tilgjengelig, som jo er hovedårsaken til innføring av ipv6.

Så da vil man jo nesten være nødt til å ha en form for ipv4-til-ipv6 oversetting på routeren (eller hos ISP, noe jeg tviler litt på at de vil gjøre). Og jeg er ikke sikker på om det er noe bedre/lettere/sikrere enn å ta i bruk ipv6 også lokalt.

Jeg kjører også ipv6 lokalt (dual stack), og har (selvfølgelig) ipv6-brannmur i routeren.

[arne22]

On 1/2/2023 at 6:50 PM, sk0yern said:

Både AWS og Azure støtter selvfølgelig IPv6, på de aller fleste tjenester, riktignok mangler Azure støtte for enkelte viktige funksjoner.

Men all default konfigurering slik det blir satt opp på mine servere, inklusive brannmur er basert på IPV4, hvis jeg nå har observert riktig.

Hvis man skal sette opp servere som skal snurre og gå og regelmessig angripes av hackere tusenvis av ganger, hvert eneste døgn, året rundt, så må man ha 100% kontroll på den sikkerhetsmessige konfigureringen.

Med all den dokumentasjon og erfaring som finnes rundt IPV4 så har man jo det.

Endret 3. januar 2023 av arne22

[arne22]

1 hour ago, HawP said:

Så da vil man jo nesten være nødt til å ha en form for ipv4-til-ipv6 oversetting på routeren (eller hos ISP, noe jeg tviler litt på at de vil gjøre).

Har inntrykk av at dette allerede er i bruk. (Men er ikke sikker i min sak. Er rimelig sikker på at det er teknisk mulig, men ikke at det brukes i noe større omfang.)

[arne22]

On 1/2/2023 at 6:45 PM, sk0yern said:

De aller fleste seriøse sikkerhetsprodukter i bedriftsmarkedet i dag, støtter IPv6 mer eller mindre like godt som IPv4.

For å kunne konfigurere en brannmur og å verifisere sikkerheten, så må man jo ha en forståelse av hvordan brannmuren fungerer som går litt i dybden. Allerede denne gamle boken fra år 2000 inneholder jo mesteparten av det man behøver å vite om IPV4 packet filtering, i alle fall det som går på grunnprinsipper. (Noe nytt har det vel kommet.)

https://www.oreilly.com/library/view/building-internet-firewalls/1565928717/

Hvis man skal kunne den grunnleggende teorien for IPV6 fitrering, slik at man kan gjennomføre dette på en noenlunde sikker måte, hvilken bok eller hvilken referanse er det da man skal bruke?

[process]

NAT gir ingen sikkerhet i seg selv. Den fungerer begge veier og dersom du ikke har v4 brannmur som del av ruteren, vil en angriper kunne sette en rute via ditt public interface til alle lokale nett. Dermed vil ruteren rute ut på riktig interface - så NAT tilbake. 

I praksis er det mange ISP som filtrerer bogons så ymmv, avhengig av hvilket nett angriper sitter på, men du har stort sett også en brannmur (og switch/bridge) i forbruker-"routere" og det bør du naturligvis ha på v6 også.

Edit: Grunnen til at du ikke ser dette er at forbruker-rutere gjerne skjuler brannmursreglene og gjør dem som del av "port-forwarding". 

 

Endret 3. januar 2023 av process
Typo

[process]

9 minutes ago, arne22 said:

Hvis man skal kunne den grunnleggende teorien for IPV6 fitrering, slik at man kan gjennomføre dette på en noenlunde sikker måte, hvilken bok eller hvilken referanse er det da man skal bruke?

Det er praktisk talt akkurat de samme regelsettene. 

[agvg]

arne22 skrev (1 time siden):

Har inntrykk av at dette allerede er i bruk. (Men er ikke sikker i min sak. Er rimelig sikker på at det er teknisk mulig, men ikke at det brukes i noe større omfang.)

Det har blitt brukt svjv på mobiler hvor man har ønsket reine IPv6 nett i mobilnettet, om dette noensinne ble så veldig utbredt vet jeg ikke.

Men i dag hvor fler og fler av tjenestene kjører rein IPv6 så kan det jo kanskje bli aktuelt for og slippe gnat og IPv4.

[arne22]

3 hours ago, process said:

NAT gir ingen sikkerhet i seg selv. Den fungerer begge veier og dersom du ikke har v4 brannmur som del av ruteren, vil en angriper kunne sette en rute via ditt public interface til alle lokale nett.

Nei, det stemmer ikke i det hele tatt. Når man verifiserer at en brannmur er konfigurert rett, så kontrollerer man da selvfølgelig at dette ikke er mulig.