Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?

[nomore]

Jeg skjønner ikke hva IPv4 vs IPv6 har noe med dette å gjøre i det hele tatt.

Det er kun adressering det er snakk om.

De andre spørsmålene og vinklingene er nok tidsrelevante men lite opp i mot trådens tittel.

Kan ikke du @arne22 etter nå gjentatte oppfordringer komme med dine betraktninger og forklaring på hvorfor du mener dette er relevant? Du poengterte tidligere at dette var et diskusjonsforum. Ta egen oppfordring. Det du driver med nå med gjentatte spørsmål minner mest om gish gallop som andre har vært inne på.

[barfoo]

13 hours ago, arne22 said:

Hva er vanlige løsninger?

Du har tidligere henvist til lærebøker og avhandlinger. Jeg foreslår du leser de. I tillegg bør du kanskje skaffe deg en bok om nettverk.

Det er himmelropende åpenbart ut fra tråden at du har små eller ingen kunnskaper om nettverk, når du spør om man bruker vlan eller rutere for å dele inn i soner. Når du mangler det grunnleggende om nettverk er det vanskelig å ha en meningsfull diskusjon om nettverkssikkerhet.

Videre ser argumentasjonen (og påstandene) ut til å være rettet mot å bevise at IPv6 av en eller annen grunn ikke er egnet, heller enn vilje til å faktisk undersøke det. Det går igjen fra andre tråder om IPv6.

Det å ikke kunne noe er helt OK. Det er mange ting jeg ikke kan. Det er helt OK å ønske å lære mer om ting - det er direkte prisverdig. Men. Da bør man være litt ærlig om at man ikke kan spesielt mye om temaet, og ikke gå ut med skarpe påstander og henvise til at man har lest akademiske tekster om temaet.

I sum gjør det at jeg ikke gidder forklare deg hva som er vanlige løsninger.

Endret 12. januar 2023 av barfoo

[arne22]

4 hours ago, barfoo said:

vlan eller rutere for å dele inn i sone

Det var da i den forbindelse snakk om rutere med brannmurfunksjonalitet som for eksempel Linux/Netfilter.

Kan ikke si at jeg kjenner til at jeg har kommet med noen påstander i det hele tatt, det er jo bare å finne ut av hvordan tingene fungerer.

Forutsetningen for å lære noe, det er jo at man ikke kan det fra før av. Hvis man kan alle tingene fra før av, da lærer man ingen ting. 

[tommyb]

On 1/8/2023 at 10:51 AM, barfoo said:

Når det kommer til IPv6 vs. IPv4 greier jeg imidlertid ikke å se at det skal utgjøre en relevant forskjell på noe som helst vis.

Jeg skjønner denne tråden er på ville veier allerede, og at jeg nå tilfører oksygen til brannen men...

Indirekte og uavhengig av settingen til OT, er min forståelse at IPv6 har en sideeffekt der en rekke enheter er eksponert/adresserbare fra internett over IPv6 der IPv4 ville ha stoppet opp i NATen. La meg sjekke denne forståelsen mot dere som kan noe.

Gjennom mange år har det primært blitt solgt trådløsrutere i Norge der brannmuren er slått av, spesielt til konsumermarkedet. Disse trådløsruterne sto tidligere som første ledd etter et modem som ikke hadde brannmur. De står nå typisk som første ledd etter en noe bedre "hjemmesentral" eller rutermodem. Sannsynligvis også endel i små bedrifter, selv om de oftere har gjort vurderinger og fått brannmur slått på.

Vi kan alle være enige om at NAT ikke er laget for sikkerhet, og også at det ikke bør brukes som sikkerhet, men i praksis er NAT det som har forhindret millioner av Windows 98- og nyere enheter fra å bli tatt ned av Blaster eller nyere virus. Nesten som en bivirkning av at enheter bak NAT ikke er direkte adresserbare fra internett, har man hatt en stor sikkerhetsgevinst her. På tross av at dette i utgangspunktet er et feil, usikret oppsett.

Vi vet videre at mange enheter som ikke er ment for å stå åpent på nett, likevel står åpne på grunn av feil konfigurerte nett, altså ikke bak brannmur i det hele tatt. Det gjelder jo alt fra vannverk til signalanlegg, og jeg vil tro også endel "dont touch"-enheter innenfor kontrollstyring.

En lang rekke dårlig sikrede enheter som både støtter IPv4 og IPv6 vil gå fra ikke adresserbar til adresserbar når lagene i mellom åpner opp IPv6. Dette vil kunne berøre store mengder hardware, spesielt der man ikke har gjort noen form for sikkerhetsvurderinger - i private hjem.

Samtidig er nok denne problemstillingen mindre og mindre relevant, med utrulling av bedre hardware i alle ledd.

Stemmer min oppfatning?

[barfoo]

1 hour ago, tommyb said:

Stemmer min oppfatning?

Ja og nei.

I praksis har NAT fungert som en brannmur fordi alle rutere før den i kjeden dropper pakker med RFC1918-adresser. Det kan man ikke på samme vis anta når angriperen er i stand til å spise seg innover i lagene, og derfor bør man ikke betrakte NAT som sikkerhetsfunksjon, selv om det i enkelte tilfeller kan ha det som konsekvens.

Vil man ha en brannmur så må man sette opp en brannmur.

Derfor bør standard hjemmeutstyr by default droppe innkommende trafikk på IPv6, og det har jeg inntrykk av at er tilfellet. Derfor bør du også bruke ISPens ruter fremfor å kjøpe egen. Norske ISPer oppdaterer rutere de gir kundene sine.

Jeg tror heller ikke det er veldig mye utstyr stom støtter IPv6 som ikke har brannmur som standard.

Det er imidlertid ikke en relevant innvending for kontrollsystemer. Antar man der at NAT er sikkerhet... vel. Assumptions is the mother of all fuckups.

Endret 12. januar 2023 av barfoo

[tommyb]

Ja, jeg sier ikke at det kan regnes som sikkerhet, mer at det tilfeldigvis har vist seg å ha en positiv effekt som man enda mindre kan stole over tid fordi mange av de samme enhetene også begynner å være tilgjengelig over IPv6.

Edit: jeg tror alle Asus-ruterene jeg har hatt har kommet med avslått brannmur og IPv6 slått på eller av, litt sånn avhengig av hvor i IPv6-hypekurven man var på produksjonstidspunkt. Bruker de fortsatt som spredernett, men har noe annet foran. 

Endret 12. januar 2023 av tommyb

[arne22]

2 hours ago, tommyb said:

Jeg skjønner denne tråden er på ville veier allerede, og at jeg nå tilfører oksygen til brannen men...

Jeg startet tråden og for meg er den ikke på ville veier. Jeg er ingeniør og jeg er tunglært, jeg har vanskelig for å forstå. Mye av det som jeg har jobbet med eller lekt med gjennom de siste 20 årene forstår jeg fremdeles ikke, og da vil jeg selvfølgelig sette pris på å bli forklart av de som forstår tingene bedre.

Når det gjelder de to bøkene som jeg selv refererer til over så kar jeg nå kikket gjennom "Industrial Cybersecurity, second edition", og nei, finner ikke noe om IPv6,

Spør jeg en av de som gidder å høre på meg som heter Openai, så får jeg et svar, som jeg synes høres litt fornuftige ut.

**********

Gir IPv6 en sikkerhetsrisiko i industrikontrollsystemer?

Som alle teknologier kan IPv6 introdusere visse sikkerhetsrisikoer i industrikontrollsystemer (ICS) hvis det ikke er riktig konfigurert og sikret. Her er noen eksempler på IPv6-spesifikke sikkerhetsrisikoer i ICS:

IPv6 Neighbor Discovery (ND) -protokollen har flere funksjoner som kan brukes til rekognosering og avvisningsangrep (DoS).

IPv6-adresser kan autokonfigureres, noe som betyr at en angriper kan bruke dette til å opprette en ekte enhet på nettverket.

IPv6-aktiverte enheter kan være utsatt for angrep på grunn av mangel på sikkerhetsfunksjoner i firmware.

Det er verdt å merke seg at disse risikoene kan reduseres gjennom riktig konfigurasjon, sikkerhetsbest practices og bruk av sikkerhetverktøy spesielt designet for IPv6.

Det er viktig å merke seg at sikkerhetsproblemer i ICS ikke er unike for IPv6, og mange av risikoene knyttet til IPv6 er også til stede med IPv4. Nøkkelen til å sikre industrikontrollsystemer er å implementere en omfattende sikkerhetsstrategi som tar hånd om alle potensielle sårbarheter, uavhengig av om de er spesifikke for IPv4 eller IPv6.

*************

Hvis dette stemmer så har vi jo å gjøre med en økt angrepsflate og så har vi jo også problemstillingen rundt ikke kompatibelt utstyr.

  

Endret 12. januar 2023 av arne22

[arne22]

8 hours ago, barfoo said:

Det er himmelropende åpenbart ut fra tråden at du har små eller ingen kunnskaper om nettverk, når du spør om man bruker vlan eller rutere for å dele inn i soner. Når du mangler det grunnleggende om nettverk er det vanskelig å ha en meningsfull diskusjon om nettverkssikkerhet.

Jeg er som sagt ganske tunglært og jeg bruker ganske lang tid til å forstå. Men det kan se ut som at det finnes en som tenker litt likt med meg som heter OpenAI. 

********

Hvordan segmentere et nettverk i sikkerhets soner ved hjelp av rutere og VLANer?

Å segmentere et nettverk i sikkerhets soner ved hjelp av rutere og VLANer kan gjøres på flere måter, men en vanlig tilnærming er som følger:

1. Opprett VLANer for hver sikkerhetssone på nettverksswitchene. For eksempel kan du opprette en VLAN for det interne nettverket, en VLAN for DMZ (demilitarized zone) og en VLAN for gjestenettverket.

2. Tilordne hver enhet i nettverket til den riktige VLANen basert på dens sikkerhetssone. For eksempel vil servere og andre viktige enheter bli tilordnet den interne VLANen, mens servere som er tilgjengelige for offentligheten vil bli tilordnet DMZ VLANen.

3. Bruk rutere for å skille VLANene og kontrollere trafikken mellom dem. For eksempel kan du bruke en ruter for å koble den interne VLANen til DMZ VLANen, men bare tillate spesifikke typer trafikk (som HTTP eller HTTPS) å passere gjennom.

4. Konfigurer tilgangs kontroller på ruteren for å begrense trafikken ytterligere mellom VLANene. For eksempel kan du bruke tilgangskontrollister (ACLer) for å kun tillate trafikk fra spesifikke IP-adresser eller undernett å passere gjennom.

5. Bruk brannmurer eller andre sikkerhet enheter mellom VLANene for å gi ytterligere beskyttelse. For eksempel kan du plassere en brannmur mellom den interne VLANen og DMZ VLANen for å beskytte det interne nettverket mot eksterne angrep.

Ved å bruke denne tilnærmingen kan du skille de forskjellige sikkerhets sonene i nettverket ditt og kontrollere trafikken mellom dem, noe som hjelper til å redusere risikoen for uautorisert tilgang og potensielle brudd.

 

************

Er dette feil? For meg så framstår disse utsagnene som riktige nok, men det kan meget vel være noe som jeg ikke har forstått.

 

 

 

Endret 12. januar 2023 av arne22

[nomore]

Sitatene er ikke feil men de er veldig forenklet. Og til tider viser de en gammel måte å tenke på.

Men det ene sitatet sier jo og det samme som sies her. At de samme utfordringene med IPv6 er og i IPv4. Det er altså ikke noe unikt. Så da regner jeg med at den ballen er lagt død?

En av de større risikoene vi har i dag er «skal bare»-tankegang, for mye tillit og mangel på forståelse for hva som faktisk skjer i nettverket.

Zero trust. Ikke stol på noe eller noen. Alle vellykkede angrep skjer i tillatt trafikk.

[arne22]

2 hours ago, nomore said:

Men det ene sitatet sier jo og det samme som sies her. At de samme utfordringene med IPv6 er og i IPv4. Det er altså ikke noe unikt. Så da regner jeg med at den ballen er lagt død?

Konklusjonen er vel sånn omtrent akkurat motsatt. Denne tråden var da ikke ment som noe annet enn en måte å hente inn et par gode råd og tips, før man begynte å se litt nærmere på sikketsforholdene rundt IPv4 vs IPv6 og hva dette eventuelt dreide seg om, altså et slags lite "forstudie".

Jeg har nok gjennomført et par onlinekurs i IPv6, men jeg syntes det var mye som jeg ikke helt forsto og veldig mange detaljer, uten at jeg helt forsto sammenhengen.

Så tenkte jeg at en liten diskusjon på diskusjon.no kunne sikkert få noen brikker til å falle på plass, men det ble nå heller til mange negative kommentarer og påstander som så vidt jeg kan forstå må være feilaktige.

For å klare opp i uklarheter og få litt bedre forståelse, så videreførte jeg heller diskusjonen opp mot OpenAI sin chatrobot.

Her kom avklaringene på rekke og rad, og de tingene som var litt vanskelig å forstå i onlinekursene, de fikk sin enkle avklaring. Det var/er jo også mulig å sjekke opp svarene til OpenAI mot andre kilder på Internett. (For den svarer jo til tider feil, eller den tolker spørsmål annerledes enn man hadde tenkt.)

Det forholder seg ikke slik at "IPv6 er en måte å adressere på", det forholder seg heller slik at IPv6 er en protokoll med sine spesielle egenskaper som er helt forskjellig fra tilsvarende protokoll for IPv4. Når man skifter over fra IPv4 til IPv6, så skifter man i praksis ut et helt lag i TCP/IP modellen, og disse to lagene er helt forskjellige og har forskjellige egenskaper. Når man kjører "dual stack" så kjører man med to forskjellige sett med protokoller samtidig. Hver av disse settene med protokoller har helt forskjellige egenskaper.

https://en.wikipedia.org/wiki/Internet_protocol_suite

https://en.wikipedia.org/wiki/IPv6

"Datapakkene" ser også helt forskjellige ut i forhold til de to forskellige protokollene, og mange faktorer som påvirker sikkerheten fungerer helt forskellig.

Dette gjelder for eksempel prinsippene rundt bruk av globale og lokale IP-adresser, og prinsippene for automatisk tildeling av adresser er helt forskjellig og også muligheten for å lese avsender ip som er helt forskjellig, innfor de to protokollene.

Hvis en hacker kommer seg inn på innsiden av et nettverk, slik som det for eksempel skjedde ved angrepet mot Norsk Hydro i 2019 og mange andre tilsvarende angrep, så vil den videre angrepsflaten som hackeren ser eller kan arbeide videre opp i mot, være hel del forskjellig avhengig av om nettverket baserer seg på IPv4 eller IPv6 protokollen, eller en kombinasjon av begge protokoller. 

For en "dual stack" med IPv4 og IPv6 så vil angrepsflaten være mye større og muligheten for å etablere nye angrepsvektorer og videre angrep vil være mange flere.

Etter dette lille "forstudiet" er gjennomført, så var det da tanken å komme i gang med å se litt nærmere på disse problemstillingene og å lære litt om temaet. 

Jeg vil anta at Cisco Packet tracer vil kunne fungere relevante nettverksmodeller for IPv4 og IPv6.

https://www.netacad.com/courses/packet-tracer

Hvis det er noen som vet om noen gode kurs hos Cisco Netacad eller andre steder som kan gi et godt og helhetlig bilde rundt de sikkerhetsmessige problemstillingene rundt IPv4 og IPv6 protokollene, så ville det være meget hyggelig og bra med et tips.

 

 

Endret 13. januar 2023 av arne22

[nomore]

Men IPv4 og IPv6 er to måter å adressere ting på i lag 3. Det er jo hele poenget. Ingen her har sagt noe annet. Og når versjon 6 krever mer plass til å lagre data på så er det åpenbart at pakkene må se annerledes ut (som et minimum "større"). Og siden IPv6 tross alt er en del nyere enn IPv4 så er det og naturlig å se på hvilke nye funksjoner man kan implementere som man savnet fra IPv4. Helt naturlig.

Det som er problemet i diskusjonen her er å sannsynliggjøre konklusjonen som du virker å ha om at IPv6 utgjør en større sikkerhetsrisiko enn IPv4.

Det du tar opp som sikkerhetsrisiko i siste innlegg der handler om segmentering. Altså hva en enhet på et subnett "ser" av andre enheter. Det er like reelt og stor utfordring på IPv4 som i IPv6. Og du må ikke falle for fristelsen til å tro at det først er et problem nå.

Når jeg begynte med nettverk var segmentering stress. Man kunne segmentere nettverket, men fra et driftsståsted var det enklere og raskere å koble opp alt i samme subnet. Da var feilkildene færre og mindre risiko for problemer. Og dette var åpenbart penger spart for bedriften.

Så begynte en å se problemer med dette og at det var for åpent. Da ble det vanlig å skille ut servere og brukere i hvert sitt subnet (segmentering). Og siden trafikken nå gikk via default gateway så kunne en og slå på accesslister (ACLs) for de som var hyperavanserte eller kritiske til sikkerhet. Veldig sjeldent det ble spurt etter var min erfaring. Men trafikken fløyt fortsatt fritt, men en kunne ikke videre "se" de andre enhetene.

Så kom "brannmurene". I første omgang ren iptables på routeren som kun tillot trafikk på enkelte porter. Så i stede for at en enhet i brukernettet hadde tilgang til alle porter på en enhet i servernettverket, så var det kun enkelte porter som ble tillatt. Kombinert med ACL så hadde en plutselig mulighet for å si at kun Kåre og Kamilla på IP x.x.1.11 og x.x.1.18 fikk lov til å nå server på IP x.x.2.201 på port 80.

Men en hadde ingen kontroll på at det var Kåre som hadde IP x.x.1.11, eller at det var kun ufarlig trafikk på port 80.

I dag bør en dra sikkerheten igjennom alle lag i OSI modellen. Og vi har verktøy for å gjøre det.

For eks vil "brannmuren" vår i dag vite at Kåre sitter på IP x.x.x.19 selv om den i går var .78 eller .154. Den er altså kjent med brukerlaget i nettverket. Samtidig så kan Kåre en dag sitte på et godkjent internt nettverk som er låst ned til kontorbygget, mens i morgen er han på hjemmekontor. Dette kan gi ulike regler og tillate eller nekte trafikken ut fra det. Eller legge på krav om MFA fordi en vil forsikre seg om at det er Kåre som faktisk sitter der. Eller kanskje nekte Kåre å hente ut filer der han sitter fordi maskinen er ukryptert (mangler bitlocker)?

Og på toppen av det igjen så ser en og på den faktiske trafikken. Man åpner gjerne port 80 fordi det er det tjenesten trenger for å fungere, men så spesifiserer en og at det er ren nettleser trafikk som skal gå der. Forsøker noen seg på å kjøre en tunnell via port 80 for å omgå regler så vil det oppdages og blokkeres (og kanskje og varsles om).

Zero trust. Mye har skjedd.

Men IPv6 kan jeg ikke se at påvirker sikkerheten her, og jeg skulle gjerne sett reelle eksempler på at det er et problem ut over segmentering. For segmentering har alltid vært et problem. Og jobber man med nettverk (og sikkerhet) og mener at det er først ved IPv6 det blir et problem så vil jeg påstå at man har sovet i timen. Ja pakken ser annerledes ut og har flere funksjoner - men hva er det faktiske problemet?

[arne22]

1 hour ago, nomore said:

Det som er problemet i diskusjonen her er å sannsynliggjøre konklusjonen som du virker å ha om at IPv6 utgjør en større sikkerhetsrisiko enn IPv4.

Nei, det har jeg jo aldri ment eller tenkt. Tanken var vel heller den at hvis man tar i bruk IPv6 som dualstack til IPv4, uten å kunne noe større om det, så var mangelen på tilstrekkelig kompetanse på IPv6, og kunnskaper om likheter og forskjeller kunne være et sikkerhetsmessig problem.

Hele trådens hensikt var/er jo å få litt klarhet i hva man bør lære seg for å kunne forstå de sikkerhetsrelatere problemstillingene, i alle fall et stykke på vei. Problemet er jo sånn sett bare å skaffe seg nødvendig kompetanse. Derfor ble denne tråden opprettet.

Moderne hacking, skjer vel ofte ikke gjennom åpne porter, selv om det også kan skje. Ved hjelp av "phishing" og påfølgende installasjon av uønsket programvare så kan jo hackere skaffe seg tilgang til nettverket dypt bak brannmurer, slik som det for eksempel skjedde hos Norsk Hydro i 2019.

Når hacker så skal bevege seg videre ut i nettverket for videre angrep, så vil det være av betydning hva slags angrepsflater som finnes inne på nettverket. Dual stack IPv4 og IPv6 vil da utgjøre en større angrepsflate enn bare en av delene, slik at dette vil utgjøre en forskjell. Kort sagt man kan benytte hackermetoder tilpasset IPv4 og hackermetoder tilpasset IPv6 slik at "angrepsflaten" eller "mulighetene for angrep" blir flere.

Når det gjelder "zero trust" så må vel noe av forutsetningen være at man har "noder" (utstyr) som er egnet for det.

Hvis man i et automatisert anlegg bare har IPv4 utstyr med et svært lavt sikkerhetsnivå ,for utstyret selv, da kan man vel ikke akkurat ha "zero trust", før utstyret eventuelt er byttet ut. Da er vel løsningen sannsynligvis å "stenge inne" det utstyret som har lavt sikkerhetsnivå i egne sikkerhessoner og ha en god kontroll på trafikken inn og ut.

Ellers i følge min gode venn OpenAI, somfaktisk vil diskutere med meg, så forholder det seg slik at IPv6 har en deltalj i forhold til sikkerhet som IPv4 ikke har. Utstyr med (bare) lokale IPv6 adresser skal i følge OpenAI ikke kunne kommunisere ut til Internett, i motsetning til ved bruk av lokale adresser i IPv4, der dette er mulig (via NAT). Man skulle jo tro at dette var en positiv sikkerhetsmessig detalj ved IPv6, ved at man kan ha nettverkssegenter der "nodene" bare kan kommunisere lokalt.

Poenget mitt er vel bare det at IPv4 og IPv6 dreier seg om to forskjellige protokoller, med hver sine egenskaper, og enten man skal brtuke det ene eller det annet, eller begge, så bør man ha en tilstrekkelig kunnkskap om hvordan disse protokollene fungerer.

Trådens hensikt var/er å få litt lys på det. Min diskusjon skyldes ikke at jeg kan dette veldig godt, den skyldes jo bare at jeg ønsker å lære litt om dette temaet, selv om jeg kanskje synes at mesteparten av de konkrete tekniske opplysningene kom i fra OpenAI, og det er jo egentlig i seg selv ganske "snodig". 

IPv4 og IPv6 er sikkert like enkelt og like sikkert, eller i hvert fall "sikkert nok" hvis man kan begge disse protokollene. Hvis man tror eller mener at "IPv6 er IPv4 protokoll med lange adresser", da er vel situasjonen kanskje ikke helt god.

Endret 13. januar 2023 av arne22

[nomore]

arne22 skrev (22 minutter siden):

Moderne hacking, skjer vel ofte ikke gjennom åpne porter, selv om det også kan skje. Ved hjelp av "phishing" og påfølgende installasjon av uønsket programvare så kan jo hackere skaffe seg tilgang til nettverket dypt bak brannmurer, slik som det for eksempel skjedde hos Norsk Hydro i 2019.

ALLE vellykkede angrep skjer igjennom tillatt trafikk. Merk at jeg skriver "tillatt trafikk". Det handler i 2023 ikke lenger bare om porter selv om blokkerte porter er en del av det.

 

arne22 skrev (22 minutter siden):

Når hacker så skal bevege seg videre ut i nettverket for videre angrep, så vil det være av betydning hva slags angrepsflater som finnes inne på nettverket. Dual stack IPv4 og IPv6 vil da utgjøre en større angrepsflate enn bare en av delene, slik at dette vil utgjøre en forskjell. Kort sagt man kan benytte hackermetoder tilpasset IPv4 og hackermetoder tilpasset IPv6 slik at "angrepsflaten" eller "mulighetene for angrep" blir flere.

Joda. Større angrepsflate er negativt. Men så lenge utstyret uansett er på nettverk kan jeg ikke helt forstå at du kan påstå at dualstack med IPv4 og IPv6 utgjør større angrepsflate. Samme mengde utstyr er der jo? Du vil jo sannsynligvis ikke oppleve at en enhet på nettverket har ulik sikkerhetsnivå på IPv4 og IPv6 interfacet?

Mangel på segmentering må jo være mangel på kompetanse hos den eller de som satte opp nettverket, ikke mangel med IPv4.

 

arne22 skrev (22 minutter siden):

Når det gjelder "zero trust" så må vel noe av forutsetningen være at man har "noder" (utstyr) som er egnet for det.

Hvis man i et automatisert anlegg bare har IPv4 utstyr med et svært lavt sikkerhetsnivå ,for utstyret selv, da kan man vel ikke akkurat ha "zero trust", før utstyret eventuelt er byttet ut. Da er vel løsningen sannsynligvis å "stenge inne" det utstyret som har lavt sikkerhetsnivå i egne sikkerhessoner og ha en god kontroll på trafikken inn og ut.

Zero trust handler ikke nødvendigvis om funksjonalitet og støtte i utstyret, men om tankegang. Du skal ikke stole på noe eller noen. Sett opp regler og design ut fra minst mulig tilgang for å gjøre jobben, og helst litt mindre.

Om noen prøver å selge deg utstyr som støtter zero trust så takker du for praten og går i motsatt retning.

 

arne22 skrev (22 minutter siden):

Ellers i følge min gode venn OpenAI, somfaktisk vil diskutere med meg, så forholder det seg slik at IPv6 har en deltalj i forhold til sikkerhet som IPv4 ikke har. Utstyr med (bare) lokale IPv6 adresser skal i følge OpenAI ikke kunne kommunisere ut til Internett, i motsetning til ved bruk av lokale adresser i IPv4, der dette er mulig (via NAT). Man skulle jo tro at dette var en positiv sikkerhetsmessig detalj ved IPv6, ved at man kan ha nettverkssegenter der "nodene" bare kan kommunisere lokalt.

Vel nå vet ikke jeg hva din gode venn OpenAI har av erfaring men om man snakker om link-local adresser så finnes de også i IPv4 verden.

Så var det OpenAI som der fortalte deg at dette ikke eksisterte i IPv4 verden, eller bare konkluderte du med det?

 

arne22 skrev (22 minutter siden):

Poenget mitt er vel bare det at IPv4 og IPv6 dreier seg om to forskjellige protokoller, med hver sine egenskaper, og enten man skal brtuke det ene eller det annet, eller begge, så bør man ha en tilstrekkelig kunnkskap om hvordan disse protokollene fungerer.

Trådens hensikt var/er å få litt lys på det. Min diskusjon skyldes ikke at jeg kan dette veldig godt, den skyldes jo bare at jeg ønsker å lære litt om dette temaet, selv om jeg kanskje synes at mesteparten av de konkrete tekniske opplysningene kom i fra OpenAI, og det er jo egentlig i seg selv ganske "snodig". 

IPv4 og IPv6 er sikkert like enkelt og like sikkert, eller i hvert fall "sikkert nok" hvis man kan begge disse protokollene. Hvis man tror eller mener at "IPv6 er IPv4 protokoll med lange adresser", da er vel situasjonen kanskje ikke helt god.

Og der tror jeg nok vi alle er enige. En må tilegne seg kompetanse. Men jeg tror tråden gikk i feil retning fordi det virker som om du genuint mener og tror at IPv6 er sikrere enn IPv4 når du åpenbart (og er ærlig på) at du ikke kan dette.

Og så virker det nå som om du allerede har konkludert med at IPv6 er sikrere enn IPv4, og ser etter argumenter for dette. Inkludert å spørre OpenAI.

Det blir litt feil utgangspunkt, synes du ikke?

[arne22]

29 minutes ago, nomore said:

ALLE vellykkede angrep skjer igjennom tillatt trafikk. Merk at jeg skriver "tillatt trafikk". Det handler i 2023 ikke lenger bare om porter selv om blokkerte porter er en del av det.

Vel, vel, når en klientmaskin får installert malware som setter opp trafikk tilbake til hacker slik at hacker har tilgang til og overta kontroll over noden (Windows maskin) bak brannmur, så vet jeg ikke helt hvordan man regner dette som "tillatt". (For eksempel hackingen av Norsk Hydro i 2019.) 

29 minutes ago, nomore said:

Vel nå vet ikke jeg hva din gode venn OpenAI har av erfaring men om man snakker om link-local adresser så finnes de også i IPv4 verden.

Det har du vel jammen rett i. Her var det nok jeg selv som glemte meg litt bort og ikke AI som tok feil. Har aldri brukt link-local adresser på den måten, men det ser jo ut til å være mulig.

https://en.wikipedia.org/wiki/Link-local_address

Det blir vel parallet sett noe av det samme. Ny ting lært 😀

Ellers litt om angrepet mot Norsk Hydro:

Quote

In Oslo, a team of internal and external forensic investigators determined that in December 2018, the hackers had weaponized one email attachment sent by a trusted customer employee to an employee at Norsk Hydro – part of a legitimate conversation, Gimnes Are says.

“They equipped it with a payload to install a Trojan software on the PC of the Hydro employee,” Gimnes Are says. “This Trojan software was discovered by our antivirus a few days later. But that was already too late. By then, the attacker had built an initial foothold in our system.”

At first, the ransomware compromised standard users within the Norsk Hydro computer network. Then it captured administrative credentials, allowing the hackers to command the entire IT infrastructure, Moeller says.

“Once the attacker controlled the environment, they chose to deploy ransomware via a manual push from (Norsk Hydro’s) own domain controllers,” Moeller says.

https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/

Her var det kanskje ikke snakk om noen "åpen port" eller "tillatt trafikk" men "phishing" og installasjon av maware med påfølgende full tilgang bak brannmur. (Og så er det spørsmål om hva slags angrepsflate man finner videre innover i systemet, om det er IPv4/IPv6 dual stack, eller hva det nå er.)

Endret 13. januar 2023 av arne22

[arne22]

Ellers beskjed fra vår felles gode venn.

* Are local link addresses in ipv4 the same as local addresses in ipv6?

No, local link addresses in IPv4 are not the same as local addresses in IPv6.

In IPv4, the local link addresses are in the range of 169.254.0.0/16 and are used for Automatic Private IP Addressing (APIPA) when a device is unable to obtain a valid IP address from a DHCP server.

In IPv6, the local addresses are in the range of fe80::/10 and are used for link-local communication between devices on the same network segment, similar to the use of local link addresses in IPv4. However, in IPv6, these addresses are also used for stateless address autoconfiguration (SLAAC) when a device is unable to obtain a global address via DHCPv6.

* Are you sure that local link addresses can not be used for communication between nodes?

I apologize, I made a mistake in my previous answer. Local link addresses can be used for communication between nodes on the same network segment.

In IPv4, the local link addresses (169.254.0.0/16) are used for Automatic Private IP Addressing (APIPA) when a device is unable to obtain a valid IP address from a DHCP server. These addresses allow the device to communicate with other devices on the same network segment, but they cannot be used to communicate with devices outside of the local network.

In IPv6, the local link addresses (fe80::/10) are used for link-local communication between devices on the same network segment, and also for stateless address autoconfiguration (SLAAC) when a device is unable to obtain a global address via DHCPv6. These addresses allow the device to communicate with other devices on the same network segment, but they cannot be used to communicate with devices outside of the local network.

So, in both cases, local link addresses are used for communication between nodes on the same network segment but not for communication with nodes on different network segments.

********

Vi kan alle sammen gjøre feil, og noen ganger så gjør vi til og med den samme feil 😀
 

Endret 13. januar 2023 av arne22

[nomore]

arne22 skrev (19 minutter siden):

Vel, vel, når en klientmaskin får installert malware som setter opp trafikk tilbake til hacker slik at hacker har tilgang til og overta kontroll over noden (Windows maskin) bak brannmur, så vet jeg ikke helt hvordan man regner dette som "tillatt". (For eksempel hackingen av Norsk Hydro i 2019.) 

Det har du vel jammen rett i. Her var det nok jeg selv som glemte meg litt bort og ikke AI som tok feil. Har aldri brukt link-local adresser på den måten, men det ser jo ut til å være mulig.

https://en.wikipedia.org/wiki/Link-local_address

Det blir vel parallet sett noe av det samme. Ny ting lært 😀

Ellers litt om angrepet mot Norsk Hydro:

https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/

Her var det kanskje ikke snakk om noen "åpen port" eller "tillatt trafikk" men "phishing" og installasjon av maware med påfølgende full tilgang bak brannmur. (Og så er det spørsmål om hva slags angrepsflate man finner videre innover i systemet, om det er IPv4/IPv6 dual stack, eller hva det nå er.)

For å ta dette med tillatt trafikk.

Jo, når en maskin får installert malware som klarer å spre seg videre så snakker vi absolutt om tillatt trafikk. Dessverre.

Først må klienten laste ned malware. Første steg her er å ha en deny-regel i brannmuren mot kjente malware-adresser. Det andre steget er å ha antivirus sjekk på alle filer som lastes ned og nekte å kjøre disse. Ingen av disse to er garantert å sperre alt, men du får i stor grad tettet mange hull. Men uten disse får klientmaskinen snakke med kjente malware-adresser og nedlastingene blir ikke scannet. Dette er altså tillatt trafikk.

Deretter kjøres malwaren og malwaren oppretter en C&C (Command and control) link tilbake til eier. Hvorfor i alle dager skal en klientmaskin få lov til å opprette tunneller ut av nettverket? Eneste unntaket der må være konsulenter som skal koble seg opp mot kunders nettverk, men da er man tilbake på zero trust og sørger for at disse er i egen sone og segment og ikke kan nå interne ressurser. Så dette er og tillatt trafikk.

Deretter må malwaren spre seg. For eks til andre klienter i nettverket. Hvorfor får PC'er i nettverket/subnettet lov til å snakke sammen? Det er jo som regel unødvendig. Så dette er jo og tillatt trafikk.

Så er det interne ressurser. Naturlig nok må maskiner snakke med interne ressurser men da kun på de portene som er nødvendig for tjenesten de skal bruke, og kun med den applikasjonen som skal kjøre der. Så klarer de å nå andre porter enn de trenger er det tillatt trafikk. Klarer de å bruke porten til andre ting enn tenkt er dette også tillatt trafikk.

Og en enda større risiko vi ser i dag er jo at nesten all trafikk på nettet går i kryptert kommunikasjon. Ofte så tillater man da ukritisk all kryptert kommunikasjon ut av nettverket mot internett. Altså tillatt trafikk. Løsningen her er (krevende) men å dekryptere trafikken der hvor det er mulig, og isolere de tilfellene det ikke er mulig til kjente IP-ranges hos leverandøren.

Så jo - alle vellykkede angrep skjer i tillatt trafikk.

Derfor handler det om å minimere tillatt trafikk til et absolutt minimum, og så legge på ekstra tilltak i den trafikken som tillates. For eks antivirus på trafikken. Rettigheter på server. Rettigheter til å kjøre filer lokalt. Etc etc etc. Zero trust.

Og jeg gjentar meg igjen siden du og gjør det - det er ikke noen økt risiko med bruk av dual stack kontra kun en av de.

[nomore]

arne22 skrev (5 minutter siden):

Ellers beskjed fra vår felles gode venn.

Is local link addresses in ipv4 the same as local addresses in ipv6?

No, local link addresses in IPv4 are not the same as local addresses in IPv6.

In IPv4, the local link addresses are in the range of 169.254.0.0/16 and are used for Automatic Private IP Addressing (APIPA) when a device is unable to obtain a valid IP address from a DHCP server.

In IPv6, the local addresses are in the range of fe80::/10 and are used for link-local communication between devices on the same network segment, similar to the use of local link addresses in IPv4. However, in IPv6, these addresses are also used for stateless address autoconfiguration (SLAAC) when a device is unable to obtain a global address via DHCPv6.

Are you sure that local link addresses can not be used for communication between nodes?

I apologize, I made a mistake in my previous answer. Local link addresses can be used for communication between nodes on the same network segment.

In IPv4, the local link addresses (169.254.0.0/16) are used for Automatic Private IP Addressing (APIPA) when a device is unable to obtain a valid IP address from a DHCP server. These addresses allow the device to communicate with other devices on the same network segment, but they cannot be used to communicate with devices outside of the local network.

In IPv6, the local link addresses (fe80::/10) are used for link-local communication between devices on the same network segment, and also for stateless address autoconfiguration (SLAAC) when a device is unable to obtain a global address via DHCPv6. These addresses allow the device to communicate with other devices on the same network segment, but they cannot be used to communicate with devices outside of the local network.

So, in both cases, local link addresses are used for communication between nodes on the same network segment but not for communication with nodes on different network segments.

********

Vi kan alle sammen gjøre feil, og noen ganger så gjør vi til og med den samme feil 😀
 

Kan du konkret fortelle meg hva det er i IPv4 og i IPv6 som gjør at det ikke er mulig for en med APIPA eller SLAAC å kommunisere med omverden?

[arne22]

12 minutes ago, nomore said:

det ikke er mulig for en med APIPA

Det har jeg faktisk aldri prøvd, så det vet jeg ikke. Utsagn fra vår venn OpenAI.

13 minutes ago, nomore said:

Jo, når en maskin får installert malware som klarer å spre seg videre så snakker vi absolutt om tillatt trafikk. Dessverre.

Jo hvis man definerer "tillatt" på den måten så blir det jo rett nok.

13 minutes ago, nomore said:

Derfor handler det om å minimere tillatt trafikk til et absolutt minimum, og så legge på ekstra tilltak i den trafikken som tillates.

Det er jo sant nok i forhold til sikkerhet. Men det er kankje ikke helt like sant i forhold til brukernes ønsker og behov. Det blir vel fort "mye styr" av å filtere utgående trafikk.

Dessuten så kan man bypasse alle/de fleste forhindringer via 4G/5G. (Med mindre at bedriften har et opplegg som ruter all "trafikk fra hjemme PC" via VPN og bedriftens nettverk og brannmur.) 

Endret 13. januar 2023 av arne22

[aklla]

Om man bruker f.eks 5g så vil jo det være en risiko uavhengig av IPv.

Men uten VPN får man ikke tilgang inn til nettverket og med VPN har man all sikkerhet en man trenger inn.

Uten VPN blir fortsatt maskinen scannet av antivirus og lignende som kjører lokalt. Det skal altså ikke være en vei inn. Men ja, slikt er en noe økt risiko helt uavhengig av IPv.

Men hvor mange kjører industrielle kontrollnettverk over 5g uten vpn?

[nomore]

arne22 skrev (19 minutter siden):

Det har jeg faktisk aldri prøvd, så det vet jeg ikke. Utsagn fra vår venn OpenAI.

Men du opprettet jo denne tråden for å lære. Så der har du en utfordring å finne ut av

 

arne22 skrev (19 minutter siden):

Jo hvis man definerer "tillatt" på den måten så blir det jo rett nok.

Tja, hvordan definerer du tillatt egentlig? Motsetningen er jo sperret trafikk.

 

arne22 skrev (19 minutter siden):

Det er jo sant nok i forhold til sikkerhet. Men det er kankje ikke helt like sant i forhold til brukernes ønsker og behov. Det blir vel fort "mye styr" av å filtere utgående trafikk.

 

Mye styr er kanskje nøkkelordet. Men det blir garantert styr om man får cryptovirus og. Og det må bedriften forstå.

Det finnes få (om noen) legitime grunner til at en PC eller server skal ha full tilgang til internett.

 

arne22 skrev (19 minutter siden):

Dessuten så kan man bypasse alle/de fleste forhindringer via 4G/5G. (Med mindre at bedriften har et opplegg som ruter all "trafikk fra hjemme PC" via VPN og bedriftens nettverk og brannmur.) 

Ja det kan man. Man kan og bypasse det med å kjøpe en privat PC å ta med på jobb. Eller formatere den man har. Nøkkelen her vil da være at den maskinen har da ikke lenger de samme tilgangene til interne ressurser som før, og får man da virus/malware så kan det ikke uhemmet spre seg i nettverket.