Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?


Anbefalte innlegg

On 1/18/2023 at 8:10 PM, tommyb said:

2: Grunnen til at du ikke finner utdanning for å bruke IPv6 er den samme som grunnen til at du ikke finner utdanning for å bruke IPv4 eller at du ikke finner utdanning for å bruke postkort.

Nei, det stemmer ikke i det hele tatt. Det finnes ekstremt mye innenfor IPv4 og generell Cyber Security. Kursleverandører er for eksempel Microsoft, Cisco, LinkedIn learning og hauger og lass med andre, pluss mye gratis på YouTube.  Har nok passert noen hundre slike kurs, men bare to av dem har handlet om IPv6. Syntes jeg skjønte litt i øyeblikket, men når det går et par uker, så er jo det meste glemt, hvis man ikke "praktiserer". 

On 1/18/2023 at 8:10 PM, tommyb said:

For de områdene man snakker om er det muligens noe innenfor automasjonsutdanning eller rett og slett elektrikerutdanning?

Nei, det er det rare. Læreplenene og lærebøkene inneholder nesten ingen ting om nettverk og nettverkssikkerhet, og IPv6 er ikke nevnt i det hele tatt. Det har kommet ett enkelt læreplanmål i læreplanen for VG3 automatiker, men det er i liten grad noe innhold i noen av lærebøkene som "matcher". Ett enkelt læreplanmål:

Quote

* installere bus-systemer og konfigurere digital og analog kommunikasjon i automatiserte anlegg, og gjøre rede for hvordan komponentene fungerer, hvordan datasignaler bearbeides og transporteres mellom nettverk, og vurderetiltak for å etablere et sikkert elektronisk kommunikasjonsnett

https://www.udir.no/lk20/aut03-04/kompetansemaal-og-vurdering/kv717

Det er jo så lite og så vagt at det er nesten ingen ting.

For elektriker, så er det så vidt at dette temaet er nevnt med et par ord, til tross for at man setter opp elektriske anlegg i smarte hus og intelligente bygninger.

https://www.udir.no/lk20/ele03-03/kompetansemaal-og-vurdering/kv725

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse
arne22 skrev (8 timer siden):

Nei, det stemmer ikke i det hele tatt. Det finnes ekstremt mye innenfor IPv4 og generell Cyber Security. Kursleverandører er for eksempel Microsoft, Cisco, LinkedIn learning og hauger og lass med andre, pluss mye gratis på YouTube.  Har nok passert noen hundre slike kurs, men bare to av dem har handlet om IPv6. Syntes jeg skjønte litt i øyeblikket, men når det går et par uker, så er jo det meste glemt, hvis man ikke "praktiserer". 

Nei, det er det rare. Læreplenene og lærebøkene inneholder nesten ingen ting om nettverk og nettverkssikkerhet, og IPv6 er ikke nevnt i det hele tatt. Det har kommet ett enkelt læreplanmål i læreplanen for VG3 automatiker, men det er i liten grad noe innhold i noen av lærebøkene som "matcher". Ett enkelt læreplanmål:

https://www.udir.no/lk20/aut03-04/kompetansemaal-og-vurdering/kv717

Det er jo så lite og så vagt at det er nesten ingen ting.

For elektriker, så er det så vidt at dette temaet er nevnt med et par ord, til tross for at man setter opp elektriske anlegg i smarte hus og intelligente bygninger.

https://www.udir.no/lk20/ele03-03/kompetansemaal-og-vurdering/kv725

Men det finnes ikke kurs som tar for seg sikkerheten i IPv6 spesifikt. Som egentlig er påstanden din.

Det finnes utallige kurs i nettverk og sikkerhet. Og mange av de går på IPv4 og noen tar for seg begge.

Men det er ikke relevant da sikkerheten du lærer om er like relevant på IPv4 som på IPv6.

Men siden du sier disse kursene finnes er det jo bare å linke til de her. Jeg er spent.

Lenke til kommentar

Jobber selv innen et beslektet område av automasjon hvor mye er IP-trafikk.

IPv4 eller v6 er ikke noe som man får noe særlig kursing innen verken innen telekom, elektro eller automasjonsutdanningen. Selv ikke på teknisk fagskole dykket vi særlig dypt i nettverksteknologi. Behovene spenner så vidt at dette er noe som er lastet over fra skoleverket til de enkelte bedriftene som skal lære opp lærlinger, montører, teknikere, programmerere og spesialister.

Innen utstyr som jeg nå setter opp har det meste IPv6 støtte så er ikke noe problem for meg å sette opp ett nyanlegg med full drift på IPv6. Så hvorfor har jeg ikke gjort dette enda?

  • Latskap
    • IPv4 er kjent av "alle" mens arbeidsmåtene til v6 er mer ukjent og fremmed
    • Kollegaer kjenner til v4
    • Kunder og driftspersonale kjenner til v4
    • Instruksjoner til leverandører er ikke så godt gjennomarbeidet for v6
  • Ikke behov for mulighetene IPv6 gir
    • Lukkede nett som fint kjører på en /24 og må økes til en /23 i verste fall
    • Skal ikke ut på internett/WAN
  • Slipper unna støttetjenester som DHCP og DNS (Latskap igjen.... 😅)
Lenke til kommentar
2 hours ago, Big_JT said:

Jobber selv innen et beslektet område av automasjon hvor mye er IP-trafikk.

IPv4 eller v6 er ikke noe som man får noe særlig kursing innen verken innen telekom, elektro eller automasjonsutdanningen. Selv ikke på teknisk fagskole dykket vi særlig dypt i nettverksteknologi. Behovene spenner så vidt at dette er noe som er lastet over fra skoleverket til de enkelte bedriftene som skal lære opp lærlinger, montører, teknikere, programmerere og spesialister.

Innen utstyr som jeg nå setter opp har det meste IPv6 støtte så er ikke noe problem for meg å sette opp ett nyanlegg med full drift på IPv6. Så hvorfor har jeg ikke gjort dette enda?

  • Latskap
    • IPv4 er kjent av "alle" mens arbeidsmåtene til v6 er mer ukjent og fremmed
    • Kollegaer kjenner til v4
    • Kunder og driftspersonale kjenner til v4
    • Instruksjoner til leverandører er ikke så godt gjennomarbeidet for v6
  • Ikke behov for mulighetene IPv6 gir
    • Lukkede nett som fint kjører på en /24 og må økes til en /23 i verste fall
    • Skal ikke ut på internett/WAN
  • Slipper unna støttetjenester som DHCP og DNS (Latskap igjen.... 😅)

Dette er nokså likt med kanskje litt egne erfaringer og eget syn på saken, bortsett fra opplysningen om at det er mye automasjonsutstyr som støtter IPv6. Har du noen opplysninger eller linker til produkter? Er ganske nyskjerrig på det..! 🙂

Ville trodd at det som ville sinke implementeringen av IPv6 i særlig grad er mangelen på egnet utstyr, men det behøver jo ikke å stemme.

Endret av arne22
Lenke til kommentar
6 hours ago, nomore said:

Men det er ikke relevant da sikkerheten du lærer om er like relevant på IPv4 som på IPv6.

Men siden du sier disse kursene finnes er det jo bare å linke til de her. Jeg er spent.

Det jeg jo egentlig mener, det er jo "hvordan gjennomfører man en penetrating testing i et IPv6 miljø". Med å "kunne" IPv6 så mener jeg ikke for eksempel "å forstå" prinsippene rundt adressering, men heller det å ha kompetanse og utstyr til å gjennomføre en penetration test i et IPv6 miljø. 

Man kunne vel egentlig formulere problemstillingen som så konkret som: Hvordan bruker man pen test redskapene i Kali LInux i et IPv6 miljø? (Slik at man kan ivareta sikkerheten i nettverket, enten det nå dreier seg om Industriell automasjon eller noe annet.)

https://www.kali.org/tools/

De aller fleste av disse pen test redskapene er jo laget for IPv4, og de fleste kursene om Kali LInux og andre pen test redskaper handler jo enten bare eller alt vesentlig om bruk i IPv4 miljøer.

6 hours ago, nomore said:

Men siden du sier disse kursene finnes er det jo bare å linke til de her. Jeg er spent.

Ja, det finnes generelle kurser og mer spesielle kurser for eksempel spesifikt rettet mot Kali Linux, gi meg litt tid, så skal jeg legge ut en del linker.

Det kan ellers hende at det også skulle vært opprettet en ny tråd med en tittel av typen: "Hvordan gjennomfører man penetration testing i et IPv6 miljø?".  

Her blir det nok neppe helt likt i forhold til IPv4 og IPv6 protokoll.

Edit:

Her er da et folerøpig eksempel på et kurs som handler om penetrtation testing med Kali Linux. Det testmiljøet som brukes i kurset er IPv4 og de reskapene som brukes er basert på IPv4. Spørsmålet blir da: Hvordan gjennomfører man en tilsvaredne penetration testing innenfor et IPv6 miljø? (Slik at man oppnår en tilsvarende grad av sikkerhet.)

Learning Kali Linux Online Class | LinkedIn Learning, formerly Lynda.com

Ser det også finnes et Kali Linux tool kit, og spørsmålene blir jo da: Hvilke funksjoner der det som dekkes av dette tool kittet, og hvordan går man fram for å bruke disse? Hvilke funksjoner er bare tilgjengelig for IPv4?

ipv6-toolkit | Kali Linux Tools

Dette er jo ikke bare en problemstilling som gjelder bare industielle kontrollnettverk, men også det som generelt går på penetration testing i forhold til IPv6 nettverk.

Endret av arne22
Lenke til kommentar
arne22 skrev (55 minutter siden):

Det jeg jo egentlig mener, det er jo "hvordan gjennomfører man en penetrating testing i et IPv6 miljø".

Om DETTE var det du egentlig mente fra starten av så må du virkelig ta til deg at budskapet på ingen måte har kommet frem. Du har faktisk ikke nevnt pentesting med et eneste ord tidligere. Ei heller Kali. Så hvordan mener du egentlig at dette skulle ha kommet frem tidligere? Jeg sier ikke dette for å være stygg, men jeg synes det er litt kjipt å kaste bort tiden min (og andres) på å gå rundt grøten. Noe det virker som vi gjør her.

 

arne22 skrev (55 minutter siden):

De aller fleste av disse pen test redskapene er jo laget for IPv4, og de fleste kursene om Kali LInux og andre pen test redskaper handler jo enten bare eller alt vesentlig om bruk i IPv4 miljøer.

Nå tror jeg du misforstår noe veldig.

Verktøyene er ikke laget FOR IPv4. De fleste er laget nå når IPv4 er mest utbredt, og mange er laget før IPv6 fikk et reelt fotfeste. Dette er ikke det samme som at de er laget FOR IPv4. Så der har du misforstått.

Utviklerene pleier da som regel å komme med støtte for nye ting etterhvert som det får fotfeste. Dvs at først støtter verktøyet kun IPv4, etterhvert støtter det nok og IPv6. Og i fremtiden skal du ikke se bort fra at det støtter kun IPv6. Vil du da påstå at det samme verktøyet er laget FOR IPv6 og ikke IPv4? Nei, det er utvikling.

Og de fleste av verktøyene der (om ikke alle?) støtter nok både IPv4 og IPv6. Dersom de kun støtter IPv4 så er det nok fordi et underliggende bibiliotek er utdatert og kun støtter IPv4. At dokumentasjonen og eksempler viser IPv4 er mer en vanesak og det er det de fleste jobber med og mot.

Eller kan du peke på de verktøyene på listen til Kali Linux som kun går på IPv4?

 

 

arne22 skrev (55 minutter siden):

Ja, det finnes generelle kurser og mer spesielle kurser for eksempel spesifikt rettet mot Kali Linux, gi meg litt tid, så skal jeg legge ut en del linker.

Det kan ellers hende at det også skulle vært opprettet en ny tråd med en tittel av typen: "Hvordan gjennomfører man penetration testing i et IPv6 miljø?".  

Her blir det nok neppe helt likt i forhold til IPv4 og IPv6 protokoll.

Edit:

Her er da et eksepel på et kurs som handler om penetrtation testing med Kali Linux. Det testmiljøet som brukes i kurset er IPv4 og de reskapene som brukes er basert på IPv4. Spørsmålet blir da: Hvordan gjennomfører man en tilsvaredne penetration testing innenfor et IPv6 miljø? (Slik at man oppnår en tilsvarende grad av sikkerhet.)

Learning Kali Linux Online Class | LinkedIn Learning, formerly Lynda.com

Ser det også finnes et Kali Linux tool kit, og spørsmålene blir jo da: Hvilke funksjoner der det som dekkes av dette tool kittet, og hvordan går man fram for å bruke disse? Hvilke funksjoner er bare tilgjengelig for IPv4?

ipv6-toolkit | Kali Linux Tools

Nå dumper du egentlig bare enda større temaer inn i tråden før du egentlig har oppklart så mye av det du dumpet inn sist.

Penetrasjonstesting handler ikke om å teste IPv4 mot IPv6 i en bedrift. Det handler om å finne hvilke åpninger kan en uvedkommende bruke for å komme inn i nettverket ditt eller få tilgang til systemer, tjenester og data du har. Og i en slik prosess så kan man se på bruken av IPv4 og IPv6 og tilgjengeligheten og oppsettet av disse.

Pentesting kan blant annet inkludere test av åpne og upatchede sårbarheter på servere tilgjengelig i fra utsiden. Kan du forklare meg hvorfor det her vil være forskjell på IPv4 og IPv6? Som et konkret eksempel.

Men alt i alt minner dette meg mer og mer om gish gallopp. Begynn å diskuter det du har fått svar på i stede for å kaste ut mer og mer og videre og videre nett.

  • Innsiktsfullt 1
Lenke til kommentar
2 hours ago, nomore said:

Nå dumper du egentlig bare enda større temaer inn i tråden

Penetration testing må vel være en nokså sentral problemstilling rundt vurdering av sikkerheten for et automatisert anlegg, ettersom det er lovgitte krav om at dette skal gjennomføres for utstyr koblet opp mot internett. Mener at det samme gjeder vel sannsynligvis for smarthus, intelligente bygninger og ulike typer samfunnskritisk infrastruktur.

"Penertation testing" det er slik som jeg ser det mest av alt en måte å analysere eller vurdere og verifisere sikkerhet på.

Det stemmer at for å gjennomføre en helhetlig risikovurdering for en "maskin" eller et "automatisert anlegg", ut i fra de kravene som gjelder ut i fra lovverket, så er det ganske mange ulike fagområder, som man må kunne se i sin sammenheng.

Man kan ikke bare si at dette blir for omfattende, dette klarer jeg ikke å se i sin sammenheng. Skal man oppfylle kravene i lovverket, så må man se og forstå sammenhengen, og man må også kunne utarbeide dokumentasjon som viser hvordan risikovurderingen og jobben er gjort.

Nå har jeg vel lekt meg med eller brukt en noen av disse redskapene som inngår i Kali Linux i litt over 20 år, og min konklusjon det er at selv om man kan bruke dem under IPv4, så betyr ikke det at man kan bruke dem under IPv6. Jeg kan det i alle fall ikke. Da blir det jo å legge ut konkret beskivelse av hvordan bruke "Kali Linux Tool" undet IPv6.

Uten at man kan risikovurdere og verifisere sikkerheten til et teknisk anlegg, så oppfyller man ikke forskriftskravene, og man kan heller ikke skrive en samsvarserklæring eller overlevere det tekniske anlegget til en kunde.

For så vidt enda ett nytt tema: "De lovgitte krav", men alt det andre henger jo sammen med og har sin grunn i dette siste nye temaet.

Her behøves det nok litt godt humør, og gode konkrete tekniske løsninger 🙂 

Endret av arne22
Lenke til kommentar
7 hours ago, Big_JT said:

Latskap

  • IPv4 er kjent av "alle" mens arbeidsmåtene til v6 er mer ukjent og fremmed
  • Kollegaer kjenner til v4
  • Kunder og driftspersonale kjenner til v4
  • Instruksjoner til leverandører er ikke så godt gjennomarbeidet for v6

 

.. Og så har vi jo også å gjøre med det som går på risikovurdering, verifikasjon, dokumentasjon og samsvareklæring, å gjøre også. 

Av og til kanskje også tryggest med litt "latskap" eller "teknisk konservatisme".

Endret av arne22
Lenke til kommentar
5 hours ago, arne22 said:

Det jeg jo egentlig mener, det er jo "hvordan gjennomfører man en penetrating testing i et IPv6 miljø". Med å "kunne" IPv6 så mener jeg ikke for eksempel "å forstå" prinsippene rundt adressering, men heller det å ha kompetanse og utstyr til å gjennomføre en penetration test i et IPv6 miljø. 

NØYAKTIG SOM I ET IPv4-MIILJØ!

Du skjønner, TCP/IP er to protokoller. Det er IP og TCP - og til dels UDP. TCP og UDP er uendret. De er identiske. Det er lag 3 - IP - som er forskjellig. Alt over lag tre er identisk på IPv4 og IPv6. TCP er TCP er TCP. Det er en protokoll som har porter, three-way-handshake og alt annet man er vandt til  - enten det er IPv6 eller IPv4.

Det samme gjelder UDP. Det er fortsatt UDP.

Du utfører pentesting som med IPv6. Den eneste relevante forskjellen er at å ip-scanne et helt subnet ikke lenger er mulig, så man må bruke andre teknikker for å oppdage aktive dingser på nettverket. Brammurerer konfigurerer du på nær sagt nøyaktig samme måte, også videre.

Du påstår det er forskjeller, men faktum er at det er stortsett ikke det.

  • Liker 2
  • Innsiktsfullt 3
Lenke til kommentar
13 hours ago, barfoo said:

Du skjønner, TCP/IP er to protokoller.

Ville nok heller ha sagt at TCP/IP er en 4-lags modell som har sin parallell i en 7 lags OSI modell, slik som beskrevet her:

https://www.geeksforgeeks.org/tcp-ip-model/

Når man skifter ut IPv4 med IPv6 så skifter man ut hele layer 2 i TCP/IP modellen fra IPv4 til IPv6. Når man kjører "dual stack" så kjører man med dobbelt sett med protokoller på layer 2 i TCP/IP modelen.

Oppbyggingen av IPv4 og IPv6 datapakkene er noe forskjellig på grunn av at dette dreier seg om to forskjellige protokoller:

https://en.wikipedia.org/wiki/Internet_Protocol_version_4

https://en.wikipedia.org/wiki/IPv6_packet

Når oppbyggingen av pakkene er litt forskjellige, så gir det også en mulighet til at "firewalling" kan utføres litt forskjellig hvis man utnytter de forskjellene som er på detaljnivå. (Forutsatt at man har en firewall som har slike muligheter.)

Når det gjelder lovgitte krav til "cyber security for maskiner ogautomatiserte systemer" i Norge og i Europa, så er det så vidt vites Maskinforkriften som gjelder som "det grunnleggende kravet til sikkehet", slik at man utleder "krav til Cyber Security" ut i fra de generelle kravene til "maskinsikkehet". 

https://lovdata.no/dokument/SF/forskrift/2009-05-20-544

For mer samfunnskritisk infrastruktur så gjelder også denne forskriften:

https://lovdata.no/dokument/SF/forskrift/2021-05-11-1459

13 hours ago, barfoo said:

Du utfører pentesting som med IPv6. Den eneste relevante forskjellen er at å ip-scanne et helt subnet ikke lenger er mulig, så man må bruke andre teknikker for å oppdage aktive dingser på nettverket.

Nå er vel NMAP bare ett av ca 600 arbeidsredskaper for pen testing i Kali Linux. For flere av de forholdvis store og kjente angrepene mot industrielle tekniske anlegg, så ville "pen testing vha porscanner" ikke være i nærheten av å kunne forebygge eller å forhindre angrepet. Det ville kreve en type pen testing som går langt mer i dybden.

https://www.hydro.com/no-NO/media/pa-dagsorden/cyberangrep-pa-hydro/

https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know

For angrepet mot Norsk Hydro så ville jo ingen av de 600 redskapene i Kali Linux hjelpe hverken fra eller til.

Når man skal risikovurdere og gjennomføre tiltak for "Cyber Security" ut i fra de generelle kravene i Maskinforskriften, så vil det jo avhenge en del av hva slags "maskin" eller teknisk anlegg det gjelder, og hva slags risikonivå som finnes. For en enkel maskin eller et enkelt teknisk anlegg, så vil det kanskje være tilstrekkelig med en portscan fra utsiden. Når det er snakk om mer komplekse anlegg og forholdvis større risiko, så vil det jo kreves en helt annen type risikovurdering og en annen type pentesting.   

Når man skal implementere IPv6 så vil det ikke være tilstekkelig "å ha en generell oversikt". Man må også ha en oversikt over og kunne forstå og dokumentere alle detaljer reatert til sikkerhet, for eksempel slik som beskrevet her:

https://www.linux-magazine.com/Online/Features/IPv6-Penetration-Testing

http://ipv6now.com.au/security.php

Man må hele tiden vite at det man gjør ikke kan ha noen "sideeffekter" som man ikke har tenkt på.

Når det for eksempel gjelder bruken av de ca 600 arbeidsredskapene for pen testing som finnes hos Kali Linux, så er det vel slik at de fleste i større eller mindre grad støtter IPv6, samtidig som "den praktiske bruken" (kommandoer, etc) er forskjellig, for IPv4 og IPv6, slik at man på et vis må lære å bruke dem på nytt. Det kan vel være at en bil med høyreratt og venstreratt fungerer likt, men for sjåføren så blir jo kjøringen litt forskjellig. Man må på et vis lære seg å bruke arbeidsredskapet på nytt.

Når det gjelder det som går på loggføring og "digital forensics" så vil jo systemer for loggføring og for bearbeiding av loggdata kunne være forskjellig i forhold til IPv4 og IPv6.

En annen problemstilling det er jo hvilken praktisk mulighet man har for å følge opp situasjonen når man har mistanke om at man har hackere inne på anlegget, hvordan man rent praktisk går fram for å identifisere trafikken tilhørende hackere, og hvordan man identifiserer dem som "angripere" og stenger ned prosessene deres og tilhørende trafikk. Eller man lar den holde på, mens man overvåker situasjonen.

For å kunne oppfylle de lovgitte kravene til Cyber Security for tekniske anlegg med en forholdvis høy grad av kompleksitet og høy risiko, så vil det kreves mye mer enn en grunnleggende forståelse av TCP/IP. Man må kunne gjennomføre en risikovurdering og påfølgende verifikasjon av Cyber Security (PEN Testing) som i prinsipp omfatter alle mulige og praktisk forekommende angrepsmåter, inklusive, men ikke begrenset til de allerede kjente angrepene som har skjedd mot industrielle anlegg nå i dag.

Man må også ha klar en plan for hvordan man håndterer angrepene når de kommer.

Endret av arne22
Lenke til kommentar
3 hours ago, arne22 said:

Når oppbyggingen av pakkene er litt forskjellige, så gir det også en mulighet til at "firewalling" kan utføres litt forskjellig hvis man utnytter de forskjellene som er på detaljnivå. (Forutsatt at man har en firewall som har slike muligheter.)

Kan, men stortsett ikke. Det aller meste av filtrering går på TCP eller UDP-nivået. - eller source og destination på pakken. Når filtrerte du sist på noen andre flagg i IP-headeren?

3 hours ago, arne22 said:

Når det gjelder lovgitte krav til "cyber security for maskiner ogautomatiserte systemer" i Norge og i Europa, så er det så vidt vites Maskinforkriften som gjelder som "det grunnleggende kravet til sikkehet", slik at man utleder "krav til Cyber Security" ut i fra de generelle kravene til "maskinsikkehet". 

Det er i beste fall i overført betydning, og kravene i maskinforskriften går utelukkende på å forebygge skade på tredjeparter, ikke maskinen selv. IEC62443 er nok langt mer sentral enn begge de to forskriftene du henviser til. Men hva har noe av dette med IPv6 å gjøre? Det er pissprat som etterlater inntrykk av at du vet hva du snakker om.

3 hours ago, arne22 said:

Nå er vel NMAP bare ett av ca 600 arbeidsredskaper for pen testing i Kali Linux. For flere av de forholdvis store og kjente angrepene mot industrielle tekniske anlegg, så ville "pen testing vha porscanner" ikke være i nærheten av å kunne forebygge eller å forhindre angrepet. Det ville kreve en type pen testing som går langt mer i dybden.

Jeg nevnte ikke nmap. Jeg nevnte ingen spesifikke verktøy. Jeg nevnte ikke en gang angrep. Jeg påpekte at subnetscanning utgår - av opplagte årsaker - med IPv6. Du velger å tvære det ut til en stråmann. Hvorfor? Svaret ditt er ikke relevant for det jeg skrev.

Men igjen: du påstår det er en relevant forskjell. Kan ikke du forklare hva den relevante forskjellen er? Jeg har spurt deg om det en del ganger. Forrige gang avviste du at du hevdet det var forskjeller, men at du bare var ute etter å lære - for å så gjenta at joda, det er forskjeller.

Så hva er forskjellene? Hvordan er de relevante?

Jeg vil oppfordre deg til å lære deg IPv6 før du fortsetter å påstå ting. For det er fullstendig  åpenbart at du ikke kan nettverk, og ei heller IPv6. Tråden er ikke et forsøk på å lære, men på å fortelle hvor forskjellig IPv6 er.

Endret av barfoo
  • Liker 2
Lenke til kommentar
11 hours ago, barfoo said:

Når filtrerte du sist på noen andre flagg i IP-headeren?

Statefull inspection. Har testet litt i dag og ser at det fungerer likt. Ellers ut over det, så er det nok litt lenge siden.

11 hours ago, barfoo said:

Det er i beste fall i overført betydning, og kravene i maskinforskriften går utelukkende på å forebygge skade på tredjeparter, ikke maskinen selv. IEC62443 er nok langt mer sentral enn begge de to forskriftene du henviser til. Men hva har noe av dette med IPv6 å gjøre? Det er pissprat som etterlater inntrykk av at du vet hva du snakker om.

Nei har helt ikke funnet på dette selv. Forsøker å videreformidle det jeg har oppfattet som budskapet fra norsk Nasjonal Sikkerhetsmyndighet og DSB, som er vår overornede myndighet for maskinsikkerhet. (Som i følge DSB også omfatter de fleste automatiserte anlegg.) Gikk et kurs i "Cyber Security" der Nasjonal Sikkerhetsmyndighet var foredragsholder, nå siste år, og så har så har denne problemstillingen blitt diskutert med DSB pluss også noen av de litt større private firmaene gjennom en del år.  

Maskinforskriften og EU sitt Maskindirektiv gjelder på overordnet lov eller forskriftsnivå, altså "de lovgitte kravene som man må følge" mens IEC62443 gjelder på "norm-nivå" altså som en praktisk og anbefalt løsning for hvordan man kan infri de overordnede kravene som er gitt på forskriftsnivå. Det er jo sånn sett ikke et spørsmål om å enten følge lovgitte krav eller normkrav. Man må oppfylle de lovgitte kravene, og så kan man bruke "normer" eller "standarder" som en praktisk måte å oppfylle de lovgitte kravene på.

Fra DSB sin side så har de pleid å henvise til de prinsippene som framgår av denne presentasjonen. som en slags "grunnstruktur" for regelverket rundt maskinsikkerhet. (Og så definerer man de fleste automatiserte anlegg som "maskiner".)

11 hours ago, barfoo said:

Men igjen: du påstår det er en relevant forskjell. Kan ikke du forklare hva den relevante forskjellen er? Jeg har spurt deg om det en del ganger. Forrige gang avviste du at du hevdet det var forskjeller, men at du bare var ute etter å lære - for å så gjenta at joda, det er forskjeller.

Så hva er forskjellene? Hvordan er de relevante?

Jeg vil oppfordre deg til å lære deg IPv6 før du fortsetter å påstå ting. For det er fullstendig  åpenbart at du ikke kan nettverk, og ei heller IPv6. Tråden er ikke et forsøk på å lære, men på å fortelle hvor forskjellig IPv6 er.

Det var grunnen til at tråden ble opprettet. Jeg kunne for lite om IPv6. Men nå har jeg fått lært meg litt, og jeg har også fått kjørt litt testlab og sett litt mer detaljert på dette "fenomenet" IPv6 og ikke minst dette med "dual stack". Denne beskrivelsen fra NSA ser ut til å treffe litt i konklusjon, av det som jeg selv ville konkludert med, når det gjelder dual stack og "generell nettverkssikkerhet".

Quote

Dual stacked networks (that run both IPv4 and IPv6 simultaneously) have additional security concerns, so further countermeasures are needed to mitigate these risks due to the increased attack surface of having both IPv4 and IPv6.

https://media.defense.gov/2023/Jan/18/2003145994/-1/-1/0/CSI_IPV6_SECURITY_GUIDANCE.PDF

Det er mitt foreløpige inntrykk at "NSA IPV6 Security Guidiance" beskriver situasjonen stort sett rett for "generelle nettverk" og så kommer da i tillegg det som gjelder spesielt for Industrielle kontrollsystemer, hernunder det som går på maskinsikkerhet og "Cyber Security".

 

 

Lenke til kommentar
arne22 skrev (21 minutter siden):

Det var grunnen til at tråden ble opprettet. Jeg kunne for lite om IPv6. Men nå har jeg fått lært meg litt, og jeg har også fått kjørt litt testlab og sett litt mer detaljert på dette "fenomenet" IPv6 og ikke minst dette med "dual stack". Denne beskrivelsen fra NSA ser ut til å treffe litt i konklusjon, av det som jeg selv ville konkludert med, når det gjelder dual stack og "generell nettverkssikkerhet".

https://media.defense.gov/2023/Jan/18/2003145994/-1/-1/0/CSI_IPV6_SECURITY_GUIDANCE.PDF

Det er mitt foreløpige inntrykk at "NSA IPV6 Security Guidiance" beskriver situasjonen stort sett rett for "generelle nettverk" og så kommer da i tillegg det som gjelder spesielt for Industrielle kontrollsystemer, hernunder det som går på maskinsikkerhet og "Cyber Security".

Jeg synes det er fasinerende at du tok den ene setningen som støtter opp om konklusjonen du allerede har bestemt deg for, og hopper mye av resten.

For eksempel: 

Sitat

IPv6 security issues are quite similar to those from IPv4.

Og ikke minst:

Sitat

The network architecture and knowledge of those who configure and manage an IPv6 implementation have a big impact on the overall security of the network. As a result, the actual security posture of an IPv6 implementation can vary.

Eller:

Sitat

When deploying a dual stack network, organizations should implement IPv6 cybersecurity mechanisms that achieve parity with their IPv4 mechanisms or better.

 

Det er godt mulig du har lært mye om IPv6 siden du startet denne tråden, men jeg føler at du mangler den store forståelsen for nettverk både i teori og praksis. Og at du derfor lett konkluderer uten å egentlig forstå hva som skrives.

Kort oppsummert, om vi ser på NSA linken, så går sikkerhetsutfordringene ut på at under utrulling av IPv6 så må en sørge for at de samme (eller bedre!) sikkerhetsmekanismer en har implementert fra før med IPv4 videreføres. Som eksempel at når en i brannmuren har regler som filtrerer trafikk så må en sørge for at regelen både treffer IPv4 og IPv6 trafikk, og ikke bare IPv4 da en da vil være sårbar. Rapporten tar i stor grad for seg at kompetansen på IPv6 må på plass hos personellet for at dette skal gjøres på en trygg måte. Rapporten spesifiserer IKKE at IPv6 i seg selv har sikkerhetsutfordringer.

Den nevner noe om SLAAC og personvern/identifisering av host/fingerprint, men så lenge en ikke tillater ekstern trafikk mot link local adresser eller unngår at disse blir opprettet i første omgang så er mye gjort. NSA vil nok ha et problem med det. De fleste andre ikke.

  • Liker 1
Lenke til kommentar

Dagen har blitt brukt til litt "laboppsett" og litt testing stort sett så har jeg bare brukt en vanlig Windows PC,  Wireshark, NMAPTCP-Wiew,  Process explorer, pluss noen dos shell kommandoer, og et 4G modem som kan konfigureres til å kjøre "bare IPv4", bare IPv6 og "dual stack". Dette ga litt "innledende innblikk" i hvordan denne trafikken fungerer.

Så vidt som jeg kan bedømme så medfører bruken av dual stack nye sikkerhetsmessige problemstillinger, slik som beskrevet i dokumentet fra NSA over, pluss også en del problemstillinger som gjelder spesielt for industrielle kontrollnettverk, slik at det etter mitt syn vil være fordelaktig å unngå å bruke "dual stack". Slik somjeg ser det så vil det være fornuftig å holde fast ved "ren IPv4", så lenge som det kan fungere, og så når den tid eventuelt kommer, å skifte over til ren IPv6.

Slik som jeg ser det så gir "dual stack" et trafikkbilde som er ganske "messy", altså mye mer uoversiktelig. Hvs man har å gjøre med et teknisk anlegg der det stiller store krav til "maskinsikkerhet" herunder også "Cyber Security", så vil alle arbeidsopereasjoner relatert til "Cyber security" bli mer arbeidskrevende, kompliserte og kostbare. Ved bruk av "dual stack" så bygger man inn økt risiko og kostnader, som ikke gir noen gevinst tilbake. Derfor så blir "dual stack" en forholdsvis lite aktuell løsning for indsustrielle kontrollsystemer.

Når man jobber med arbeidsredskaper som de som er nevnt over, så blir arbeidsmengden mangedoblet, når man jobber med "dualstack", i forhold til "rein IPv4" eller "rein IPv6". Når man kjører rein IPv4 så har man den aller enkleste og beste oversikten over trafikken.

Nå gjelder det jo et prisnipp, at nr man skal "spå for framtiden", så er det bare framtiden som kan gi et sikkert svar. Jeg ville tro at "dual stack" i forbindelse med industrielle kontrollnettverk, det er noe som vi ikke vil se så veldig myer til. IPv4 vil bli brukt i mange år framover og så vil det en gang i framtiden skje en overgang til IPv6, uten noen mellomperidode med "dualstack", slik som vi ellers har det i "generelle nettverk".

En problemstilling som jeg så langt ikke har fått testet ut er det som går på lagring i sikekrhets og access logger, og bearbeidelse av data fra disse, men det ligger jo også i sakens natur at også dette arbeidet må bli mer komplisert.

En ting som jeg ellers legger merke til, det er at når man kjører "dual stack" så er det utrolig mye av nettrafikken fra "IPv6 sites" (for eksmepel vg.no) som fortsatt kjører i IPv4.  

 

Lenke til kommentar
1 hour ago, arne22 said:

Statefull inspection. Har testet litt i dag og ser at det fungerer likt. Ellers ut over det, så er det nok litt lenge siden.

Det er ikke et flagg i IP-headeren. Det vil si at brannmuren husker tilstand. Kort sagt fører det til at du kan ha en "retning" på regler. Det fungerer forøvrig identisk på IPv6 og IPv4.

  

46 minutes ago, arne22 said:

Når man kjører rein IPv4 så har man den aller enkleste og beste oversikten over trafikken.

Grunnleggende feil. Med IPv4 er NAT vanlig. NAT obfuskerer potensielt destinasjon og kilde til trafikken. IPv6 vil gi bedre oversikt over trafikken.

Endret av barfoo
  • Hjerte 1
Lenke til kommentar
16 hours ago, barfoo said:

Det er ikke et flagg i IP-headeren.

Liten bagatell, men de var der nå sist jeg kikket etter dem. I tillegg så husker brannmuren trafikken. I følge noe info jeg fant på nett så er dette et problem for IPv6 at datatabellene for IPv6 statefull inspection blir mye større enn for Ipv6.

Quote

A TCP connection between client and server first starts with a three-way handshake to establish the connection. One packet is sent from a client with a SYN (synchronize) flag set in the packet. The server receiving the packet understands that this is an attempt to establish a connection and replies with a packet with the SYN and ACK (acknowledge) flags set. When the client receives this packet, it replies with an ACK to begin communicating over the connection.

https://www.checkpoint.com/cyber-hub/network-security/what-is-firewall/what-is-a-stateful-firewall/

Se også her:

https://www.imperva.com/learn/ddos/syn-flood/

16 hours ago, barfoo said:

IPv6 vil gi bedre oversikt over trafikken.

I følge dokmentet "NSA Security Guide" så kan IPv6 gi hackeren bedre oversikt over trafikken, dvs i visse situasjoner bedre oversikt over hva som befinner seg bak en brannmur.

Med "bedre oversikt" så mener jeg rett og slett hvordan det fungerer rent praktisk med å bruke redskaper som NMAP, TCP-view og Wireskark. Da har man mye bedre oversikt over trafikken med IPv4. Med IPv4 så gikk det bra å få til å resolve alle adressene automatisk, slik at jeg kunne se hvor alle ip pakkene hørte hjemme. For IPv6 fikk jeg bare fram disse ganske lange og nokså uleselige adressene.

Synes vi bør fokusere mer på "fag" og "sak" enn på person. Det er jo det som er å være saklig. Har jobbet og lekt litt med maskinbygging i 25 år, og når jeg får beskjed om at all den informasjonen jeg har fått fra Direktoratet for sikkerhet og beredskap, Nasjonal Kommunikasjonsmyndighet og Nasjonal sikkerhetsmyndighet, pluss divese private firma er feil, da vet jeg jo at det ikke stemmer helt. Det vil være bedre å diskutere regelverk og teknologi litt i dybden, i stedet for å diskutere person.

 

 

 

Lenke til kommentar
arne22 skrev (32 minutter siden):

I følge dokmentet "NSA Security Guide" så kan IPv6 gi hackeren bedre oversikt over trafikken, dvs i visse situasjoner bedre oversikt over hva som befinner seg bak en brannmur.

Antar du da tenker på SLAAC uten "privacy extensions", hvor mac blir en del av ipv6-adr. og en ut i fra mac (ofte) kan finne ut leverandøren av maskinen/utstyret (dersom mac ikke er "spoofet", f.eks. med LAA).
Men for maskiner/utstyr som ikke trenger/skal ha internett-tilgang, så må vel nesten hackerne allerede være på innsiden for å kunne plukke opp adressene (og dermed mac) som brukes ...?

  • Liker 1
Lenke til kommentar
24 minutes ago, HawP said:

Antar du da tenker på SLAAC uten "privacy extensions", hvor mac blir en del av ipv6-adr. og en ut i fra mac (ofte) kan finne ut leverandøren av maskinen/utstyret (dersom mac ikke er "spoofet", f.eks. med LAA).
Men for maskiner/utstyr som ikke trenger/skal ha internett-tilgang, så må vel nesten hackerne allerede være på innsiden for å kunne plukke opp adressene (og dermed mac) som brukes ...?

Ja, det stemmer vel det. Men for eksempel "tilfellet Norsk Hydro" så var man jo allerede bak brannmuren vha "phishing", og så var oppgaven "å hacke seg videre", slik som det skjedde. Tviler imidlertid på at det utgjør en veldig stor forskjell. Ville tro at den største praktiske forskjellen ligger i at alt fra scanning, til bruk av packet sniffer, resolving av ip adresser, lesing av logger, osv, osv, blir en heldel enklere med "ren IPv4". Det blir lettere "å ha full kontroll" og å verifisere sikkerheten og å vite at det ikke finnes noen faktorer man ikke har kontrol på. Det er jo det man skal skrive under på i samsvarserklæringen.

Ellers hvis man skal vurdere hvrdan den tekniske utviklingen blir, så kan man jo egentlig bare gjette, og så er det å vente å se.

Det er jo også en problemstilling rundt "IIoT - Industrial Internet og Things" og hvordan man eventuelt kobler sammen dette. Svaret er vel kanskje det at det er akkurat det man ikke gjør. Man kobler ikke sammen IIoT med "Industrial Control System", man lar dem heller leve hvert sitt liv, uten sammenkobling. IIoT med oppkobling mot skybasrte tjenester, vil nok for en stor del kjøre IPv6. (Det skulle man jo tro.) Hvis man kobler IIoT enheter inne i kontrollsystemet, så ville jo de kanskje kunne gi en "bakdør" inn til systemet.

Endret av arne22
Lenke til kommentar
arne22 skrev (På 20.1.2023 den 12.17):

Dette er nokså likt med kanskje litt egne erfaringer og eget syn på saken, bortsett fra opplysningen om at det er mye automasjonsutstyr som støtter IPv6. Har du noen opplysninger eller linker til produkter? Er ganske nyskjerrig på det..! 🙂

Ville trodd at det som ville sinke implementeringen av IPv6 i særlig grad er mangelen på egnet utstyr, men det behøver jo ikke å stemme.

Axis kamera, høytalere og adgangskontroll.

Milestone videosystem

Zenitel VoIP calling og høytalere

Lenel adgangskontroll

arne22 skrev (På 20.1.2023 den 16.48):

.. Og så har vi jo også å gjøre med det som går på risikovurdering, verifikasjon, dokumentasjon og samsvareklæring, å gjøre også. 

Av og til kanskje også tryggest med litt "latskap" eller "teknisk konservatisme".

Risikovurdering - Ingen forskjell fra IPv4 så ingen ekstra jobb her.

Verifikasjon - Likt som IPv4

Dokumentasjon - IP feltet vil se noe anerledes ut, men ellers ganske likt.

Samsvarsærklæring - Tror ikke jeg har nevnt eller sett IP på noen samsvarsærklering jeg har vært borte i.....

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...