Hvordan konfigurere man en server på MS Azure med IPv6?

[arne22]

Tenkte jeg skulle forsøke meg på den oppgaven. 

Fant en guide på Internett.

https://www.51sec.org/2022/01/26/configure-ipv6-on-azure-virtual-machine/

Skal tro om den er riktig/oppdatert/brukbar? 

Endret 7. januar 2023 av arne22

[SnusBoks]

Har du lyst til å fortelle hva målet ditt med dette er? Jeg har drevet med serverdrift i ca 15 år, og kan helt sikkert hjelpe deg å sette opp hva det måtte være, men Azure holder man seg fryktelig langt unna, med mindre man har enormt mye penger å bruke på tull. 

 

 

[arne22]

Har hatt kjørende en eller flere servere i ca 24 år, sammenhengende, mest for å holde meg litt oppdatert.

For å sette opp en basic server på MS Azure, så er det jo egentlig bare å velge "innhold" og så velge neste-neste-neste. Sist jeg gjorde det, så fikk man alt sammen satt opp IPv4 som default. Brukte forskjellige varianter av virtuelle og fysiske servere hos OVH tidligere, og det fungerte jo egentlig ganske likt.

Har nok blitt litt lat med årene og er fornøyd når tingene kjører "lettvint og stabilt".

Kommer nok, når det kommer til stykket, å utsette overgangen til IPv6 til dette blir til en "klikk-klikk-neste" installasjon.

Ellers mange takk, hr Snusboks!

[germanwhip]

1 minute ago, arne22 said:

For å sette opp en basic server på MS Azure, så er det jo egentlig bare å velge "innhold" og så velge neste-neste-neste.

Og så renner pengene ut.

Er det ikke enklere og billigere å forske på ipv6 på maskinvare du selv eier?

[barfoo]

On 5/26/2023 at 11:50 PM, SnusBoks said:

men Azure holder man seg fryktelig langt unna, med mindre man har enormt mye penger å bruke på tull. 

Vas. Om du tar Lift'n'shit er det dyrt, men bruker du cloud native-ting er det billig. Vis meg korleis du vil drifte f.eks. Postgres for eit par tusenlapper i året og vere fullt ut oppdatert og integrert mot autentiseringsinfrastruktur uten sky?

Når det kjem til oppsett så er jo https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/create-vm-dual-stack-ipv6-cli grei intro til å sette opp VM med dual stack.

[SnusBoks]

barfoo skrev (11 minutter siden):

Vas. Om du tar Lift'n'shit er det dyrt, men bruker du cloud native-ting er det billig. Vis meg korleis du vil drifte f.eks. Postgres for eit par tusenlapper i året og vere fullt ut oppdatert og integrert mot autentiseringsinfrastruktur uten sky?

Når det kjem til oppsett så er jo https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/create-vm-dual-stack-ipv6-cli grei intro til å sette opp VM med dual stack.

Du kan fint gjøre samme jobben med 2 x $4 virtuelle maskiner ellers i verden. Båndbredde hos microsoft er så dyrt at det er ikke morsomt engang. 

[barfoo]

33 minutes ago, SnusBoks said:

Du kan fint gjøre samme jobben med 2 x $4 virtuelle maskiner ellers i verden. Båndbredde hos microsoft er så dyrt at det er ikke morsomt engang. 

Nei, du kan ikkje det. Då må du vedlikehalde løysinga sjølv. I tillegg skalerer Azure på ein måte du ikkje får til med vmane dine.

Vedlikehald tar tid. Timeprisen min er over tusenlappen timen internpris.

[Kakeshoma]

For å teste konsepter er guidene i MS Learn supre.

Men foreslår at du faktisk prøver å følge guidene du finner, i stedet for å lage tråder hvor du spør om guidene er oppdatert eller ikke.

[arne22]

On 5/29/2023 at 12:39 PM, barfoo said:

Når det kjem til oppsett så er jo https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/create-vm-dual-stack-ipv6-cli grei intro til å sette opp VM med dual stack.

Se der ja. Mange takk. Det var vel sånn midt i blinken i forhold til topic som denne tråden var ment å handle om. (Som inngang på en annen problemstiling.) Ettersom det står Microsoft som avsender for websiden. Vil teste ut løsningen nær jeg får litt god tid.

Det som i alle fall er helt sikert, det er at ingen av de rimelige server løsningene som jeg har brukt opp gjennom årene har hatt like mange forskjellige muligheter og like stort bredde i tilbudet som Microsoft Azure. Driver heller ikke noe kommersielt innefor IT, slik at prisen uansett ikke spiller så stor rolle. Faglig bredde i tilbudet er der imot en viktig positiv faktor.

Så kommer en problemstilling som egentlig er off-topic i forhold til headingen til denne tråden, men som alikevell er noe av grunnen til at denne tråden ble opprettet.

Da jeg (omsider) fikk begynt å sette meg inn i IPv6, etter å bare å ha fokusert på IPv4 i mange år (på grunn av at det er IPv4 som brukes innenfor "mitt fag", som er automasjonsfaget) så mente jeg å "se" et potensielt problem med å bruke IPv6 på lokale noder. (Enten det det dreier seg om servere eller automasjonsutstyr, så blir jo mange prinsipper de samme.)

Hvis man har satt opp lokale adresser bak en gateway, som i mange praktiske tilfeller (inklusive MS azure IPv4 server) vil være en "firewall gateway", ofte basert på NAT, og lokale adresser. I et slikt tilfelle så vil det jo være ganske enkelt og hurtig å portscanne gateway og eventuelt også interne adresser, med Nmap eller en annen sportscanner, for  se om det er noen "services" som ligger åpen mot Internett.

Hvis man har satt opp en "maskin" eller en "intelligent bygning" eller noe sikt, som skal kunne kobles opp mot Internett så vil det jo være "en enkel sak" å portscanne gatway fra utsiden (fra Internett) og finne ut om det finnes "åpne porter" som kan angripes. Når man har undersøkt det så kan man vel si at man har kommet et stykke vei på å risikovurdere og verifisere sikkerheten, ut i fra de forskriftene som gjelder, så lenge det dreier seg om IPv4.

Men det som jeg mente å kunne "se" som en problemstilling når man skal bruke IPv6 adresser på lokale noder, og verifisere sikkerhet gjennom en portscan, da må man faktisk ha en oversikt over alle de IPv6 adressene som brukes på alle de nodene som man har, og så må man scanne hver av disse adressene enkeltvis.

Den problemstillingen som jeg ser for meg, og som jeg foreløpig ikke ser noen enkel praktisk løsning på, den er nokså eksakt og praktisk beskrevet i denne bloggen, og den løsningen som forslås er også den løsningen som jeg ville forestille meg er "den best mulige".

https://www.dionach.com/blog/scanning-ipv6-networks/

Er det noen "IT faglige feil" i dette blogginnlegget, eller er det faktisk slik at man vil måtte portscanne hver enkelt IPv6 adresse brukt på det tekniske anlegget, hvis man skal skifte over fra bruk av IPv4 til IPv6 på de ulike nodene? Finnes det ellers noen enklere og raskere løsninger enn det som er beskrevet: Å først samle sammen alle IPv6 adressene fra "posisjon bak gateway" og så gjennomføre en  portscan fra "posisjon Internett" rettet mot hver enkelt av de IPv6 adressene som finnes på nettverket?

Noen syn på saken?

Forsøker egentlig bare å løse en praktisk problemstilling omkring hvordan man kan ta i bruk IPv6 i automatiserte systemer, intelligente bygninger og slik, og så fremdeles verifisre sikkerheten gjennom en portscan mot/gjennom installalasjnens gateway. (I en slik sammenheg, så vil jo en del være likt, når det gjelder sikkerhet/angrep mot PC/servere og forskjellig type automasjonsutstyr.)

Prinsippet med å kjøre webserver med IPv6 adresse, er ellers testet ut på en ganske enkel måte. Jeg satte bare opp en webserver på min Windows 10 PC, og lot den få tilordnet en IPv6 adresse, og vips, så hadde jeg en webserver med full tigang fra Internett via IPv6 adressen. Sikkerheten fra ISP var satt til 0, og "alle på internett" hadde så muligheten til "uhindret angrep". Det er jo akkurat dette som kan være en problemstilling. Når jeg scannet fra Internett, så kunne jeg jo straks se at "oi, der er TCP port 80 og 443 åpne, ut mot Internett. 

   

Endret 4. juni 2023 av arne22

[barfoo]

On 6/4/2023 at 6:29 PM, arne22 said:

Men det som jeg mente å kunne "se" som en problemstilling når man skal bruke IPv6 adresser på lokale noder, og verifisere sikkerhet gjennom en portscan, da må man faktisk ha en oversikt over alle de IPv6 adressene som brukes på alle de nodene som man har, og så må man scanne hver av disse adressene enkeltvis.

Det må du med IPv4 og. NAT er ikkje brannmur.

[nightowl]

arne22 skrev (På 4.6.2023 den 18.29):

Det som i alle fall er helt sikert, det er at ingen av de rimelige server løsningene som jeg har brukt opp gjennom årene har hatt like mange forskjellige muligheter og like stort bredde i tilbudet som Microsoft Azure. Driver heller ikke noe kommersielt innefor IT, slik at prisen uansett ikke spiller så stor rolle. Faglig bredde i tilbudet er der imot en viktig positiv faktor.

Så du var aldri innom AWS altså.

[process]

For å se hva som er åpent mot nett kan den som er ansvarlig for brannmuren lese brannmursreglene.

En portscan viser bare de porter som svarer til ip adressen du scanner fra og som har tjeneste kjørende på gjeldende tidspunkt, det er ingen erstatning for å holde regelsettet oppdatert.

[arne22]

9 hours ago, process said:

For å se hva som er åpent mot nett kan den som er ansvarlig for brannmuren lese brannmursreglene.

En portscan viser bare de porter som svarer til ip adressen du scanner fra og som har tjeneste kjørende på gjeldende tidspunkt, det er ingen erstatning for å holde regelsettet oppdatert.

Utarbeidelse og kontroll av riktig regelsett er jo "det første steg".

Scanning for å verifisere at brannmurreglene faktisk fungerer slik som man forventer er det neste.

Min erfaring det er at det er forholdsvis vanlig, spesielt ved litt kompliserte konfigureringer, at det viser seg at brannmurreglene ikke fungerer helt slik som man trodde.

Det vil vanligvis være et krav om at man gjennomfører en form for pen test, i tekniske anlegg med krav til sikkerhet. Gjennomføring av scanning vil være en metode for å verifisere at regelsettet i brannmurer og andre faktorer fungerer slik som forventet.

Endret 6. juni 2023 av arne22

[arne22]

9 hours ago, barfoo said:

Det må du med IPv4 og. NAT er ikkje brannmur.

NAT er ikke en brannmur, men de fleste moderne gatways med NAT er bygd over et prinsipp for statefull packet inspection, slik at NAT funksjonaliteten i praksis er bygd sammen med en brannmurfunsjon.

Å scanne et IPv4 subnett tar et minutt eller to, eller litt mer, litt avhengig av hvordan man scanner. Å scanne en IPv6 IP range skal ta mange år, slik at det ikke er praktisk mulig å gjennomføre. - Det er jo det som er problemstuillingen.

[nomore]

arne22 skrev (1 time siden):

NAT er ikke en brannmur, men de fleste moderne gatways med NAT er bygd over et prinsipp for statefull packet inspection, slik at NAT funksjonaliteten i praksis er bygd sammen med en brannmurfunsjon.

Nå må du opplyse meg (og sikkert flere).

Kan du forklare nærmere hvordan NAT funksjonaliteten er bygd sammen med brannmurfunksjonen?

[nightowl]

arne22 skrev (3 timer siden):

Å scanne et IPv4 subnett tar et minutt eller to, eller litt mer, litt avhengig av hvordan man scanner.

Da må det være snakk om lite subnett ...

[barfoo]

4 hours ago, arne22 said:

Å scanne et IPv4 subnett tar et minutt eller to, eller litt mer, litt avhengig av hvordan man scanner. Å scanne en IPv6 IP range skal ta mange år, slik at det ikke er praktisk mulig å gjennomføre. - Det er jo det som er problemstuillingen.

Du har vel gjerne ei adresseliste du kan bruke?

4 hours ago, arne22 said:

NAT er ikke en brannmur, men de fleste moderne gatways med NAT er bygd over et prinsipp for statefull packet inspection, slik at NAT funksjonaliteten i praksis er bygd sammen med en brannmurfunsjon.

Jamen... det finst brannmurer for IPv6 og? Dønn oppriktig: det finst ikkje forskjell. Du må verifisere at ruteren din faktisk ikkje ruter tilbake og bypasser brannmur på det viset om du har IPv4 NAT...?

Endret 6. juni 2023 av barfoo

[process]

Brannmursregler er ikke så kompliserte at man ikke kan forstå hvilke porter til hvilke ip adresser man åpner.  Vil du validere noe kan du benytte nmap / nc etter behov.

I større nettverk har du ikke nødvendigvis tilgang til å scanne fra et endepunkt - da må du ha kontroll på å skrive brannmursregler.

Formodentlig er nettverket sone-basert og da har man naturligvis oversikt over vertene som ligger i DMZ.  DNS er jo også til god hjelp.

Konseptet stateful brannmur er helt uavhengig av NAT og benyttes selvfølgelig også uten NAT.  Her ligger kanskje litt av forvirringen, NAT skriver bare om adressene og blokkerer på ingen måte trafikk eller routing.  Man kan godt route inn til private ip adresser på andre siden av en router med NAT dersom nettverksadmin ikke har kontroll på dette.

Å scanne et IPv4 subnett på minutter tyder på at man bare sjekker default porter og ikke gjør en UDP scan i det hele tatt. 

Endret 6. juni 2023 av process

[arne22]

10 hours ago, nomore said:

Nå må du opplyse meg (og sikkert flere).

Kan du forklare nærmere hvordan NAT funksjonaliteten er bygd sammen med brannmurfunksjonen?

Dette har vært standard funsjonalitet på de NAT routerne som har vært levert gjennom de siste 20 årene. En gang rundt år 2000 så begynte man å produsere NAT-routere med innebygd statefull packet inspection firewall. I starten så var dette "hitec" så man leste anmeldelser på NAT-routere, hvilke som hadde og ikke hadde, og etter hvert så ble det standard på alle sammen.

[arne22]

8 hours ago, nightowl said:

Da må det være snakk om lite subnett ...

Nei, det stemmer ikke helt. Det kan gå kjemperaskt. Hvis man scanner for en bestemt port, så kan man kjøre gjennom mange tusen adresser på veldig kort tid. For eksempel: Gi meg alle webservere i nettverkssegment x, alle tilgjengelig SSH servere, osv. Man kan også gjennomføre en scanning i flere omganger, slik at man for eksempel bare sjekker nettverkssegmentene om hvilke IP'er som er "live" og så kan man detaljscanne den enkelte adresse etterpå. Dette er hva man kan kalle "trivielt", for IPv4, men det fungerer ikke fior IPv6.