Názory k článku Bezpečné IPv6: zkrocení zlých směrovačů

Ok ,tak si predstavte, ze do site pripojim lednicku (anebo mainframe) a ta vec ma management interface, ktery pres dhcp dostane IPcko. Na IPv4 se proste kouknu do logu DHCP serveru a vim jak se na nove zarizeni pripojit.

Jak to same udelam na IPv6? DHCPv6 server nemam a na sitove prvky nemam pristup.

Rovnaky problem je uz s telkami a tam to uz je vyriesene. Telka proste robi WIFI AP a na neho sa mas pripojit. Ked sa potom pripojis na tu WIFI siet, tak potom mozes cez proprietarny program od vyrobcu managovat veci co treba...

To ze je to to najdebilnejsie riesenie nie je pochyb, ale zial takto sa bude asi konzumny svet internet things uberat :-(

ip ne ls? Aha, to bys musel mit paru, jak veci fungujou.

> DHCP snooping a ARP poisoning pri IPv4 zvlada aj bezny manazovatelny switch.

Dobře, a proč nestačí stejné a technicky podobně náročné technologie u IPv6? (RA a ND guard)

mas to napisane v clanku.
Ak som spravne pochopil, tak s IPv6 neviem rovnako elegantne zabezpecit siet vynutenim pouzivania DHCP servera, nastavenim DHCP snooping a ARP poisoning ako v IPv4. Ak som to spravne pochopil, tak je to kvoli bezstavovej konfiguracii implementovanej v IPv6.

Místo vynuceného DHCP můžeš na daném portu vynutit IP adresu, která je pro danou povolenou MAC odvozena přes autokonfiguraci.

Vynutit pouzivanie DHCPv6 servera a zakazat stateless autokonfiguraciu vies aj v IPv6 sieti. Potrebujes do RA paketu nastavit M (Managed) a O (Other) bity. A dalej zakazat Autonomous bit v ND prefix casti RA paketu.

Nevím, jak příkazem na Ciscu ten Autonomous bit nastavit. Pro vynucení používání jen IP adres přidělených z DHCPv6 se mně spíše osvědčilo kromě nastavení bitu M a O neposílat v RA žádné prefixy. Router pak posílá jen svoji link-local adresu a OS není schopen si vygenerovat kompletní adresu podle SLAAC, protože nezná síťovou část IP adresy. Potom použije jen to, co dostane z DHCPv6. Funguje s defaultním nastavením Windows (asi i linuxu). Tím bude notebook fungovat i mimo firmu jako třeba doma nebo na služební cestě v hotelu apod., kde dostane IP podle místních podmínek. Ve firmě má IP podle DHCP serveru, kde se loguje jméno počítače, a IP se náhodně nemění v krátkých intervalech jako u SLAAC.
Na switchích/routerech Cisco pak je tato konfigurace:
ipv6 nd prefix default no-advertise ! router do not send any prefixes in RA messages
ipv6 nd managed-config-flag ! router sets M bit to 1
ipv6 nd other-config-flag ! router sets O bit to 1
ipv6 dhcp relay destination 2A00:XXXX:: ! definition of DHCP server. It uses UDP 546, 547.

V radvd (ne)nastavit Autonomous bit ide (moznost AdvAutonomous). Cisco v tomto smere nepoznam, ale internet hovori, ze by malo fungovat toto:

ipv6 nd prefix SOMETHING no-autoconfig

Neposkytovat ND prefix v RA ma jeden zasadny problem. Je to jedine miesto v IPv6 ako povedat prefix/rozsah (obdoba IPv4 masky) pre pocitace zapojene v sieti.

Spravne podla RFC-ciek by stroje nemali nastavovat ziadne /64 a pod. a to ani v pripade ked ND prefix v RA pakete nie je uvedeny... To ze to na windowse funguje je jedna vec, na linuxe to zavisi od userspacu a konkretne od DHCPv6 daemona (ktory nejaky prefix povie kernelu).

ISC dhcpv6 klient ma natvrdo zapisany "/64" v zdrojakoch (co je porusenie RFC3315) a uplne ignoruje prefix informaciu v RA.

Dibbler dhcpv6 klient porusje RFC3315 takiez, ak nie je zapnuta moznost "strict-rfc-no-routing".

dhcpv6 WIDE klient a aj dhcpcd 6 nastavi spravne prefix z RA a nepouziva ziadne hardcodovane veci ako "/64".

Btw, NetworkManager, ktory pouziva ISC dhcpv6 klienta prefix "/64" v novsich verziach uz zahadzuje a nahrazduje ho prefixom z RA.

Takze to ze ti to funguje na linuxe je dovod skor ten, ze pouzivas niektory z "nespravne nakodenych" (rozumej porusu rfc) dhcpv6 klientov a je dost mozne ze sa to v buducnosti opravi (ako v pripade najviac rozsireneho NetworkManager, ktory uz opravili).

K tejto teme som nasiel este toto:

If you use the no-advertise, the prefix will not be included on the RA. What's the problem with that? Host not only use the prefix on an RA to generate addresses for SLAAC, but also to know which destinations are local and which ones aren't. Check RFC-4861, section 6.3.4. If the router advertise the prefix with the on-link flag set, hosts will consider destinations within the prefix as being present on the link - and will do NS to reach them, forward directly to destination. If you do NOT advertise the prefix, then the host has no clue that the prefix is local - and will forward packets to destination within its same prefix to the default router. Remember that DHCPv6 doesn't provide any information about the prefix length - just the address.

So unless you want to see a lot of redirects from your router to your DHCPv6 clients - advertise the prefix, but with no-autoconfig :)

http://blog.ipspace.net/2012/01/ipv6-nd-managed-config-flag-is-just.html?showComment=1327558667992#c2743074537075942857

A tu je dost dobra tabulka pre vsetkych 8 moznych kombinacii Managed, Other a Autonomous flagov:

http://blogs.cisco.com/enterprise/ipv6-automatic-addressing
http://blogs.cisco.com/wp-content/uploads/IPv6-picture.jpg

Zdá se, že to musím ještě trochu promyslet. IPV6 je ve zkušebním provozu pro pár lidí.
Ten Autonomous bit se nastavuje pro každý prefix, takže v konfiguraci rozhraní to nešlo zadat.
Určitě jsem ověřil, že pokud funguje SLAAC a DHCP, tak PC sice dostane IP podle DHCPv6, ale používají jen pro příchozí provoz a pro odchozí používá ty náhodně vygenerované. Nastavení prefix v RA jsem asi neměnil.

Díval jsem se ted ve Wiresharku na to, co posílá DHCP server, a opravdu je tam jen IP adresa, prefix tam není.

Ktora IPv6 adresa sa pouzije pre odchadzuje pakety je popisane v tom routovaciom IPv6 algoritme (trochu komplikovane). Ten algoritmus ma este dalsie systemove pravidla (v linuxe prikaz: ip addrlabel).

Ano Autonomous bit je sucastou prefixu, ktory je sireny v RA pakete. Do jedneho RA je mozne vlozit viacero prefixov a kazdy prefix moze mat (ne)nastaveny Autonomous bit (ci to nejaky SW vie robit, je uz druha vec, teoreticky RA paket je mozne vytvorit).

A ano DHCPv6 server nema v sebe nic ako prefix a jeho dlzku (obdoba masky v IPv4). Proste DHCPv6 nejde pouzivat bez RA. RA musi posielat informaciu o prefixe a DHCPv6 o adresach (priradene IPv6, DNS adresy, ...).

Odkazy viz výše a například kniha od Pavla Satrapy říkají to samé: nastavit bity M, O, a bit A. Protože přidělování IP adres fungovalo i pokud router posílal jen info o bráně a prefix ne, tak jsem už nad tím dále nehloubal. Po změně s posíláním prefixu s bitem A se počítač (Win 7) chová stejně - použije IP adresu z DHCP, SLAAC nepoužije.

Nastavení ve Windows je ve výchozím stavu - automatická konfigurace IP adresy i DNS. S tímto nastavením se podaří vyhnout se náhodným IP adresám podle SLAAC, aniž by bylo nutné něco nastavovat ve Windows. A pokud někdo přijde s notebookem mimo firemní síť, tak se připojí pomocí SLAAC. Pro větší společnosti je to asi ideální způsob - IP adresa se nemění, jednodušší hledání v logách, pokud běží DHCP na doménovém serveru, může jméno počítače přiřadit do DNS (ještě prakticky neprověřeno - DHCP běží zatím na serveru mimo doménu). A pokud zvládne (mě by) i zpětné DNS, bude v logách firewalu vidět jméno počítače ve tvaru pc.windomena.cz.

Konfigurace na routeru / L3 switchi Cisco:
interface Vlan100
ipv6 address 2A00:XXXX:/64
ipv6 enable
ipv6 nd prefix 2A00:XXXX::/64 30000 30000 no-autoconfig ! set A bit in the prefix in RA to 1
ipv6 nd managed-config-flag ! set M bit in RA to 1
ipv6 nd other-config-flag ! set O bit in RA to 1
ipv6 dhcp relay destination 2A00:YYYY:::X ! definition of DHCP server. DHCP relay uses UDP 546, 547.
end

Zajímavé je, že DHCP relay agent posílá informaci o MAC adrese klienta, ale v logu Windows DHCPv6 tam MAC adresa není, je tam jen DUID a IAD a jméno počítače. Jak si řada lidí stěžuje, že by chtěli na DHCP serveru přidělovat podle MAC adresy, tak by to možná šlo, ale DHCP server tuto MAC adresu nejspíše nijak nevyužívá.

Z odchytaných dat:
DHCPv6
Message type: Relay-forw (12)
Hopcount: 0
Link address: 2a00:XXXX::
Peer address: fe80::74f1:ef­b7:d17b:6693 (fe80::74f1:ef­b7:d17b:6693)
Relay Message
Option: Relay Message (9)
....
Client Identifier
Option: Client Identifier (1)
Length: 14
Value: 000100011b91f­fe6705ab6b5345d
DUID: 000100011b91f­fe6705ab6b5345d
DUID Type: link-layer address plus time (1)
Hardware type: Ethernet (1)
DUID Time: Aug 28, 2014 16:57:42.000000000 Central Europe Daylight Time
Link-layer address: 70:5a:b6:b5:34:5d

Pokud mám správné informace (a zkušenosti), tak věc se má tak, že Windows berou náhodné přidělení IPv6 jako ochranu, a proto jako odchozí používají tu náhodnou, kterou ještě čas od času obměňují. Linux si myslím vezme jako primární tu od DHCP a Android jen SLAAC, protože nic jiného neumí.

Říká se tomu Privacy Extensions a v Linuxu to jde zapnout a ve Windows vypnout.

A pokud je to zaply, a aplikace to nepouziva, tak je spatne napsana. Kdyz sem to jen tak prozajimavot testil, tak trebas vadnej byl fillezilla klient pro widle, pouzival statickou adresu misto ty random.

Pouziva se to pak predevsim proto, aby neslo zarizeni identifikovat v jiny siti. Protoze jinak by melo poslednich 64bitu vzdy stejnych a bylo by jednoznacne identifikovatelny kdekoli.

Tomu Privacy extension rozumím. Pokud chodím do Internetu, tak at se IP adresa mení. Ale řešit v práci např. problém uživatele, kterému něco nefunguje a potřebuju ho dohledat v nějakém logu podle IP adresy, když se IP cca každých 10 minut mění, by bylo dost obtížné. Ne každý, kdo něco řeší s IP adresami, má přístup k ARP tabulce (Neighbor cache je myslím správný název pro IPV6), aby si našel aktuální IP podle MAC adresy.

Vynuceni DHCPv6 bez SLAAC adresy ma dva podstatne problemy:

- DHCPv6 je pouze volitelny, takze na takove siti jsou napriklad Androidi bez IPv6 konektivity.

- Staci jeden zbloudily paket s RA (napriklad z Windows z Internet Sharing), ktery nema vynulovany A Flag a razem maji vsichni klienti nakonfigurovanou adresu podle SLAAC.

Jasne, dovody su uvedene v clanku. Treba si ale uvedomit, ze je to rovnako ako aj v IPv4. Ak proste nejaky klient nepodporuje DHCP (v4) tak proste adresu z DHCP (v4) servera neziska... A rovnako je to s RA od Windows Sharing. V IPv4 staci aby nejaky Windows zacal posielat DHCP offer pakety...

Ak uz raz clovek potrebuje pevne mapovanie IPv6 <--> MAC <--> stroj tak mu neostava nic ine iba 1) pouzit staticke IPv6 adresy alebo 2) pouzit DHCPv6. A zial stroje co nepodporuju ani 1) a ani 2) maju smolu.

V IPv4 nestačí aby nějaký Windows začal posílat DHCP Offer. Klient kontaktuje původní server od kterého dostal adresu. Musel byste nabourat komunikaci při první výměně zpráv - bylo to popsané myslím i v minulém článku.

Mapování IPv6-mac-stroj u IPv6 pomocí DHCPv6 neuděláte. DHCPv6 klient nepoužívá jako identifikátor MAC adresu jako u IPv4 ale DUID. To je typicky buď náhodné nebo složené z časové značky a MAC adresy libovolného síťového rozhraní. Pokud byste si DUID rozparsoval na jednotlivé části (porušíte tím RFC, které to zakazuje), tak vám to taky nepomůže, protože MAC adresa nemusí být a často ani není toho rozhraní, přes které je zařízení do sítě připojeno.
Částečné řešení může být použít DHCPv6 relay, která tam tu informaci dokáže dostat, nicméně rozumná implementace zatím není (experimentální ji teď přidali do Cisco XE, ale na přepínačích, kde je třeba, není).

> V IPv4 nestačí aby nějaký Windows začal posílat DHCP Offer. Klient kontaktuje původní server od kterého dostal adresu.

Pokud je to omyl, tak o stáhne nové klienty.

Pokud je to útok, pomocí ARP poisoningu můžeme původní DHCP server vyřadit a DHCP provoz stáhnout na sebe.

Mac adresu treba vycitat z ethernetovej hlavicky a v pripade, ze paket nebol poslany priamo klientom, ale cez DHCPv6 relay, tak treba zaistit aby bola pridana informacia o povodnej mac adrese. Takze bud relay nepouzivat, kym to nebude podporovat alebo sa uspokojit s mapovanim cez DUID. V teoretickej rovine riesitelne to je, len treba mat SW pre to :-( snad bude dostupny.

Ale mapování přes DUID dnes právě nemůžete použít, protože neodpovídá realitě. Pokud si klient přeinstaluje systém, má jiné DUID. Pokud si klient přebootuje do jiného OS, má jiné DUID atp.

Na to, abyste mohl vyčíst MAC z Ethernet hlavičky musíte mít DHCPv6 server ve stejné L2 síti jako uživatele a DHCPv6 server to musí umět. Krom jedné opensource implementace v Pythonu, na kterou se půl roku nešáhlo, to nic jiného neumí. Navíc mít v každé VLAN vlastní DHCPv6 server je "poněkud" náročné.

Je moc pěkné, že to máte vyřešené teoreticky. Až někdy budete jako správce provozovat IPv6 síť, tak vám určitě teoretický plat za to bude taky stačit. Dostat něco prakticky na účet je přeci jedno, když víte, že to teoreticky na ten účet přijít může :)

Pre ISC dhcpv6 server existuju patche co vytiahnu MAC adresu z ethernetovej hlavicky. Mam ale pocit ze je to neverejne... Osobne mam stroj pripojeny na sieti, kde takto opatchovany dhcpv6 server bezi, takze mozem potvrdit, ze patche nie len ze existuju, ale aj funguju. A co sa tyka DHCPv6 relay, tak mam pocit, ze som nejaku open source implementaciu videl co podporuje OPTION_LINK_ADDRESS (to by malo byt pouzitelne na vytiahnutie MAC adresy). Nepamatam si ale ako sa volala.

A ve vsech teto pripadech to neni zadnej problem - respektive presne stejnej, jako na ipv4. Pokud trebas nechas lidi na wifine, a nevytvoris (protoze nemas jak) kazdymu vlanu, tak sou na stejnym "fyzickym drate" at chces nebo ne. Neexistuje zpusob jak bys moh zabranit tomu, aby ti tam nekdo poslal dhcpko. Co vic, dokonce ti jedinej klient to APcko muze klidne dosnout a taky stim nenadelas nic. Takhle to proste funguje.

Nehlede na to, ze se zase (prevazne) bavime o +-soho. Pokud nekdo provozuje wifi v kavarne, koupi si APcko za petikilo a tim to konci. Proste provozujes negarantovatelnou sit a tak to bylo je i bude. Pokud potrebujes provoz v siti garantovat, tak na to musis mit HW i prislusny paky.