Hvordan fungerer overgangen fra IPv4 til IPv6 for hjemmenettverk, rent praktisk?

[arne22]

48 minutes ago, trrunde said:

Det er korrekt. En vil vanligvis få globalt routbare adresser på alle enhetene på lan.

Dersom en skal hoste webserver o.l. så åpnes det i brannmuren, men det er ingen portforwarding slik en typisk hadde på et hjemmenett med ipv4 og nat.

Det var det jeg trodde. Man skal vel vokte seg vel for å kalle dette for "redusert sikkerhet", for da er det vel noen IPv6 tilhengere som spretter opp, og så får man høre det ene og det ennet, men det er i alle fall en sikkerhetsmessig detalj som man så absolutt bør kjenne til og ta med i betrekning.

Hvis lokale noder på LAN vanligvis har globale IPv6 adresser, så gir i alle fall dette hackerne et par nye "muligheter" eller "parametere" å jobbe med, og så gir det også vedig mange nye positive muligheter for den som ønsker å sette opp lokale servere av ymse slag.

Har man en IPv6 brannmur som er feilkonfigurert så kan dette få ganske alvorlige konsekvenser ved at "lokale enheter" blir liggende "åpent ut" mot Internett.

For en IPv4 router/brannmur, så kan man ganske enkelt finne ut om den er riktig konfigurert ved en portscan fra utsiden.

For en IPv6 gataway, så fungerer det vel ikke med en slik portscan på grunn av at antallet tilgjengelige adresser blir for stort?

Rettelse: 

For IPv4 så holder det med en ekstern portscan (mot gatewayens globale IP) for å se "alt på LAN", som er tigjengelig fra Internett.

Har man for eksempel 5 "enheter" eller "noder" på et IPv6 LAN, så holder det med 6 portsvanninger, 1 for "utvendig ip" og en for hver av de "innvendige" men "globale" IPv6 adressene.

Slik må det vel bli? - Ikke helt umulig, men litt mer omstendig. Man behøver vel ikke å scanne alle mulige adresser som ikke er i bruk?!

 

Endret 15. januar 2023 av arne22

[trrunde]

7 hours ago, arne22 said:

Rettelse: 

For IPv4 så holder det med en ekstern portscan (mot gatewayens globale IP) for å se "alt på LAN", som er tigjengelig fra Internett.

Har man for eksempel 5 "enheter" eller "noder" på et IPv6 LAN, så holder det med 6 portsvanninger, 1 for "utvendig ip" og en for hver av de "innvendige" men "globale" IPv6 adressene.

Slik må det vel bli? - Ikke helt umulig, men litt mer omstendig. Man behøver vel ikke å scanne alle mulige adresser som ikke er i bruk?!

 

Her tar du utgangspunkt i at et typisk hjemmeoppsett, eventuellt små bedrifter. Det er ikke unormalt at en bedrift kan ha et større offentlig ipv4 prefix slik at de også kan sette offentlig rutbare adresser rett på pcene sine på sitt eget lan.

[arne22]

Utførte en test nå. Brukte en TP-link mobil 4G router. (TP-LInk M7350)

Først så støttet det ikke IPv6. Gjennomførte så firmware oppgradering og så konfigurerte jeg til at det skal støtte IPv4 og IPv6 dual-stack.

For IPv4 så støtter den NAT med mulighet for portforwarding.

For IPv6 så står det ingen ting annet i menyen enn at IPv6 at den støtter IPv6 og at IPv6 fungerer.

Så kjørte jeg i gang en webserver på min Windows(10)maskin.

Brukte så en ekstern portscanner til å scanne den automatisk tildelte IPv6 adressen til Windows 10 maskinen.

Denne portscanneren ble brukt: https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php

(Har ikke brukt den før så jeg vet ikke om den er pålitelig.)

Tilbakemeldingen fra portscanneren var at både port 80 og port 443 var synlige ute fra Internett og "klar for angrep" uten at det var noen IPv6 brannmur i 4G routeren som beskyttet de PC'ene som var koblet opp.

Kan dette stemme? Hvis dette stemmer så fungerer jo dette noe annerledes enn for IPv4 på det samme modemet, som i praksis har en brannmurfunksjon. (I alle tilfeller så ligger den bak CGNAT, slik at den uansett er beskyttet.)  

Endret 19. januar 2023 av arne22

[Marinade87]

IPv4 og IPv6 er vel i prinsippet ikke så forskjellige når det kommer til dette med lokale og offentlige nett. Opprinnelig var vel IPv4 også slik at alle maskiner fikk en offentlig IP-adresse og det ikke var forskjell på "LAN" og "WAN". I tidene hvor man vanligvis bare hadde 1 PC på nett om gangen (dialup og tidlige USB ADSL-modem) så fikk man jo en offentlig IP rett på maskinen slik IPv4 også var tenkt.

Dette med NAT som skiller på lokale og offentlige nett er jo egentlig bare en konsekvens av at vi har gått tom for IPv4-adresser samtidig som man vil ha mulighet til å koble flere enheter på nett samtidig. Normalen har da blitt å supplere kun 1 IP-adresse, med NAT som en nødløsning/hack for å kunne dele den på flere enheter. Men dette var aldri intensjonen. Og som en bi-effekt av det har man fått en form for "brannmur" med på kjøpet.

Men de fleste som jobber med IT-sikkerhet vil nok si at man aldri skal anse en enkel NAT-ruter som et lag med beskyttelse. For selv om NAT fungerer som en viss barriere, så er det vanligvis ikke designet med sikkerhet i tankene, og det kan være svakheter som aldri har vært vektlagt å tette. Skal man ha en brannmur som et lag med sikkerhet, så må man ha en brannmur designet for sikkerhet, og oppsett her vil jo være ganske likt både for IPv4 og IPv6. Videre så bør sikkerheten ligge i tjenestene man kjører på enheter i seg selv, istedenfor at man har en usikker tjeneste bak en brannmur.

[trrunde]

17 hours ago, arne22 said:

Utførte en test nå. Brukte en TP-link mobil 4G router. (TP-LInk M7350)

Først så støttet det ikke IPv6. Gjennomførte så firmware oppgradering og så konfigurerte jeg til at det skal støtte IPv4 og IPv6 dual-stack.

For IPv4 så støtter den NAT med mulighet for portforwarding.

For IPv6 så står det ingen ting annet i menyen enn at IPv6 at den støtter IPv6 og at IPv6 fungerer.

Så kjørte jeg i gang en webserver på min Windows(10)maskin.

Brukte så en ekstern portscanner til å scanne den automatisk tildelte IPv6 adressen til Windows 10 maskinen.

Denne portscanneren ble brukt: https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php

(Har ikke brukt den før så jeg vet ikke om den er pålitelig.)

Tilbakemeldingen fra portscanneren var at både port 80 og port 443 var synlige ute fra Internett og "klar for angrep" uten at det var noen IPv6 brannmur i 4G routeren som beskyttet de PC'ene som var koblet opp.

Kan dette stemme? Hvis dette stemmer så fungerer jo dette noe annerledes enn for IPv4 på det samme modemet, som i praksis har en brannmurfunksjon. (I alle tilfeller så ligger den bak CGNAT, slik at den uansett er beskyttet.)  

Kjenner ikke til denne tp-link routeren, men det er mye mulig den mangler brannmur og bare router trafikken rett igjennom.

Dersom du i tillegg mangler brannmur på pcen din (jeg trodde windows brannmur var standard på for tiden, så da må du vel manuellt ha skrudd av) eventuellt om webserver programvaren din modifiserer din lokale brannmur automatisk slik at trafikken er tillatt på 80/443 så er det fullt mulig at webserveren var eksponert på nett.
Det bør jo være relativt lett å finne utav, er jo bare å få noen andre på internett til å prøve å åpne http://[min:ipv6:adresse]

[nomore]

arne22 skrev (18 timer siden):

Utførte en test nå. Brukte en TP-link mobil 4G router. (TP-LInk M7350)

Først så støttet det ikke IPv6. Gjennomførte så firmware oppgradering og så konfigurerte jeg til at det skal støtte IPv4 og IPv6 dual-stack.

For IPv4 så støtter den NAT med mulighet for portforwarding.

For IPv6 så står det ingen ting annet i menyen enn at IPv6 at den støtter IPv6 og at IPv6 fungerer.

Så kjørte jeg i gang en webserver på min Windows(10)maskin.

Brukte så en ekstern portscanner til å scanne den automatisk tildelte IPv6 adressen til Windows 10 maskinen.

Denne portscanneren ble brukt: https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php

(Har ikke brukt den før så jeg vet ikke om den er pålitelig.)

Tilbakemeldingen fra portscanneren var at både port 80 og port 443 var synlige ute fra Internett og "klar for angrep" uten at det var noen IPv6 brannmur i 4G routeren som beskyttet de PC'ene som var koblet opp.

Kan dette stemme? Hvis dette stemmer så fungerer jo dette noe annerledes enn for IPv4 på det samme modemet, som i praksis har en brannmurfunksjon. (I alle tilfeller så ligger den bak CGNAT, slik at den uansett er beskyttet.)  

Grunnen til at det ikke står noe om port forwarding (NAT) er fordi det ikke det ikke trengs. Og CGNAT må ikke blandes med brannmur, for det er det ikke.

Hvorvidt denne saken har en brannmur eller ikke kan jeg ikke uttale meg om. Men for å oppnå resultatet ditt så har du først installert en webserver på Windows 10 PC'en, og deretter har du (aktivt eller ved installasjon av webserver) åpnet port 80 og 443 inn til webserveren.

Samme resultat ville du ha fått med IPv4, men du måtte ha NATet portene i tillegg dersom du kun hadde privat adresse på maskinen.

Så jeg forstår ikke helt hvorfor du mener dette fungerer så fryktelig annerledes.

[arne22]

Jeg har opprettet en ny tråd for å få mer fokus på å klare opp i de tekniske problemstillingene, slik som meningen var:

 

[Janvik]

On 1/15/2023 at 1:23 PM, arne22 said:

Har man for eksempel 5 "enheter" eller "noder" på et IPv6 LAN, så holder det med 6 portsvanninger, 1 for "utvendig ip" og en for hver av de "innvendige" men "globale" IPv6 adressene.

Om noen på utsiden ikke allerede vet nøyaktig hvilke adresser som er i bruk så er det ikke nok tid/båndbredde til å skanne alle mulige adresser på et typisk /64 LAN

 

 

Jeg har et testnettverk gående med globale v4/v6 adresser, brannmur/sikkerhet er forholdsvis likt. 

^unntaket er at v6 trenger en del ICMP protokoller for å fungere. (det folk for det meste kjenner som ping) 

v4 nettet skannes fra utsiden hele tiden mens lignende v6 trafikk er nærmest fraværende. 

[arne22]

1 hour ago, Janvik said:

Om noen på utsiden ikke allerede vet nøyaktig hvilke adresser som er i bruk så er det ikke nok tid/båndbredde til å skanne alle mulige adresser på et typisk /64 LAN

Da jeg opprettet denne tråden, så hadde jeg ikke fått satt meg inn i teknologien rundt IPv6 og tanken var jo å få opp en tråd, der jeg selv og folk flest kunne få en enkel oversikt over hvordan IPv4 og IPv6 fungerer. Synes tråden kom til å handle om litt annet enn "teknisk opplysning". Jeg har opprettet en ny tråd for "teknisk opplysning" og så har jeg fått satt meg litt inn i IPv6 og så har jeg også fått satt opp et lite testnettverk.

Når det gjelder en av forskjellene mellom den måten som IPv4 og IPv6 kommuniserer ut mot internet, så vil det være slik at ute på internett så vil man ikke kunne "se" IP addressen som PC har, ut i fra "returtrafikken", når man  kommuniserer ut i mot internet.

Når man kommuniserer ut til Internett vha IPv6, så vil den PC man sitter på "alltid" eller "valigvis" ha en global IPv6 adresse, som i utgangspunktet er tilgjengelig for hele Internett. For IPv4/NAT så sender man i utgangspunnktet bare ut "beskjed" om hva som er "Gateway addresse".  Alle brukere på et "IPv4 LAN" vil normalt ha den samme "gateway adresse", slik at det ikke er mulig å se hvilken PC IPv4 datapakkene kommer i fra.

For IPv6 så vil det fungere slik at hver enkelt PC på LAN normalt har en global IP, som blir sendt ut til alle de eller det utstyret som man kommuniserer mot, ute på Internett, vil få beskjed om denne globale adressen, som hver enkelt PC har inne på LAN. Straks man har i gang en kommuniksjon, så vet også den man kommuniserer mot hva den den globale IPv6 adressen til PC (noden) er.

Ved bruk av IPv6 så behøver man ikke å portscanne noen range av IP adresser, det holder med å scanne den ene globale IPv6 adresse som hver enkelt PC har inne på LAN. For det modemet som jeg bruker, så kan det se ut som at det ikke finnes noen IPv6 brannmur, slik at alle PC'er og "noder" inne på LAN er åpne for angrep fra Internett, når man kjører med IPv6. (Jeg må teste ut med flere portscannere for å se om dette virkelig kan være samt. Første portscan viste at brannmur var åpen.) Staks jeg kommuniserer ut mot internett, så kan den jeg kommuniserer mot lese min gobale IPv6 adresse og så gjennomføre en portscan.

Når man kjører med CGNAT så går trafikken gjennom to "trinn" eller "nivåer" av anonymiserting ("Dobbelt natt"), slik at "de ute på internett" ikke har noen mulighet for direkte portscan av PC. (Ganske mange brukere deler på en felles global IPv4 adresse og det er denne adresse, som man deler med 100 eller 1000 andre brukere, som "hacker" får opplysning om.)

For IPv6 så får hacker beskjed om "veien til PC helt inne på LAN".

For å redusere denne risikoen noe så har man flere metoder forfor automatisert konfigurering ved bruk av IPv6. Man kan enten bruke metoder, som gir en forholdvis statisk global IPv6 adresse, som ikke endrer seg, eller man kan tildele globale IPv6 adresser "dynamisk", dvs at de endrer seg forløpende, slik at hackere ikke skal kunne bygge opp kunnskap av globalt tilgjengelige IPv6 adresser inne på LAN, over tid.

Ganske mange brukere og hjemmenettverk fungerer nå ut i fra "dual stack IPv4/IPv6". Hensikten med denne tråden og den neste som også er opprettet er å få ut litt teknisk kunnskap om hvordan dette fungerer, mht risoko, osv.

Man er for eksempel ikke beskyttet av "ip-anonymisering ut mot Internett" ved bruk av IPv6, borsett fra at noen automatiserte systemer for tildeling av globale IPv6 adresser kan være konfigurert slik at de "skifter om" på de globale IPv6 adressene. Mens man er på nettet med IPv6 så er man alltid "idividuelt tilgjengelig for angrep" gjennom den globake IPv6 adressen som man til enhver tid benytter seg av. Noen ganger så er disse adressene "statiske", dvs de blir ikke endret over tid.

Tanken med den neste tråden, var å fokusere litt mer på "tekniske prinsipper og detaljer rundt IPv4/IPv6".

 

Endret 26. januar 2023 av arne22

[cacb]

Fin tråd. Nyttig å lese om dette selv om jeg ikke har noe særlig å tilføre. Fortsett gjerne.