Vlákno názorů k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od Pavel Tavoda - A to ked si takto nastavim tak moje...

"Ne, v IPv6 se používá stejný firewall jako v IPv4."

Ano a stejne jako u IPv4 defaultne povoli cokoli. Prave tak jsou defaultne vsechny krabky nastavene, aby to bylo jinak, musi to nekdo nastavit. Tudiz na IPv4 s NATem ta krabka naprosto vpohode odroutuje paket se src 8.8.8.8 a dst 192.168.1.2 a ten bude dorucen cily. Presne totez plati pro IPv6. Jenze v pripade IPv6 ma clovek uvnitr nejaky svuj unikatni rozsah, a nemusi resit ze ktere ...le ten paket prisel a jestli takhle prijit spravne muze nebo nemuze a kde vsude potencielne ten NAT prepise adresu, protoze se nikde nic neprepisuje.

Jinak receno, firewall ktery dela totez je na IPv6 zhruba 1/3 toho, co na IPv4 s NATem. Pricemz ten FW musi nekdo nastavit, a tim nekym typicky neni a nebude ISP, protoze ten si nechce pridelavat potize s tim, ze pak bude resit, ze nekomu neco nefunguje. Stejne jako vyrobce/prodejce soho krabek.

V tomhle ohledu je prave mikrotik dost vyjimka i tim, ze pokud se ty dva kabely zapoji spravne, tak bydefalt neni dostupny z netu sam. Sposuta jinych hrabek ma verejen port 80 (a 443 nemaji, protoze selfsign je prece strasne nebezpecna vec, zatimco http a hesla pres nej jsou zcela koser, vase chrome browsery).

Jak „pošlete do té sítě za NATem jediný paket“ pokud nejste v segmentu hned za tím NATem
Jak víte, že v segmentu hned za tím NATem není zařízení, které ovládá útočník? Vždyť za tím NATem můžou být třeba stovky domácností. Dal byste ruku do ohně za to, že všichni sousedé ve vaší ulici mají všechna zařízení ve svých sítích dobře zabezpečená? Já ani náhodou.

Jednak na k tomu patří druhá část příspěvku: zařízení uvnitř sítě domácnosti takový paket poslat nedokáže, protože ho router domácnosti pošle na svoji defaultní GW (router ISP), ne na router jiné domácnosti; musel by být kompromitován přímo ten router. A jednak čistě pozorováním: kdyby se to dělo, tak by se o tom psalo a věděl bych o tom. Zato automatické skeny na všechno možné i nemožné na serveru s veřejnou IP mám furt.

Jednak na k tomu patří druhá část příspěvku: zařízení uvnitř sítě domácnosti takový paket poslat nedokáže, protože ho router domácnosti pošle na svoji defaultní GW (router ISP)
Nikoli, router domácnosti ho pošle podle své routovací tabulky. Pokud má ISP switch, do něj píchnutou bránu a do dalších portů zákaznické routery, nemá zakázanou komunikaci mezi porty na switchi a tohle celé je síť třeba 10.0.0.0/24, tak když někdo odkudkoli z téhle sítě pošle paket na 10.0.0.12, tak to v jeho síti půjde na domácí router, router najde v routovací tabulce záznam 10.0.0.0/24, zjistí, že je to soused v síti, přes ARP si adresu přeloží a pošle to na router jiné domácnosti.

Nemá to tak každý ISP, ale jsou tací, kteří to tak mají.

A jednak čistě pozorováním: kdyby se to dělo, tak by se o tom psalo a věděl bych o tom. Zato automatické skeny na všechno možné i nemožné na serveru s veřejnou IP mám furt.
To je právě ten problém jehly v kupce sena. Když zaznamenáte denně 10000 útoků na veřejnou IP adresu, je snadné přehlédnout jeden útok na IP adresu „za NATem“. Jenže i ten jeden útok denně stačí na pořádný průšvih. I kdyby se takový útok odehrál jen jednou ročně, pořád to není něco, co lze přehlížet.

A ono se to děje a píše se o tom. Snad u většiny útoků je mechanismus napadení popsán tak, že se útočník k cíli dostal přes jiné zařízení v téže síti. Ransomware? Dostal se na jedno zařízení ve „vnitřní“ síti a odsud se šířil na další zařízení v síti.

NAT ISP, za kterým je někdo „schovaný“ spolu s neznámým množstvím dalších neznámých klientů, přičemž ta síť za NATem je nakonfigurována (klientovi) neznámým způsobem a konfigurace se může kdykoli změnit – takové prostředí může za bezpečné považovat jenom šílenec.

Můžete namítat, že vy jste ještě za druhým, svým domácím NATem. Dejme tomu, že zařízením ve své domácí síti věříte. Ale nemáte za tím domácím NATem také hostovskou WiFi? A zařízením v té WiFi také věříte? Asi ne, asi ji máte oddělenou firewallem – a pak tu bezpečnost nezajišťuje NAT, ale firewall. Navíc tak to mají nastavené lidi, kteří vědí, co dělají. Drtivá většina domácností pouští hosty do své WiFi, a ani ta domácí zařízení bych nepovažoval za bezpečná.

> Nikoli, router domácnosti ho pošle podle své routovací tabulky. Pokud má ISP switch, do něj píchnutou bránu a do dalších portů zákaznické routery, nemá zakázanou komunikaci mezi porty na switchi a tohle celé je síť třeba 10.0.0.0/24, tak když někdo odkudkoli z téhle sítě pošle paket na 10.0.0.12, tak to v jeho síti půjde na domácí router, router najde v routovací tabulce záznam 10.0.0.0/24, zjistí, že je to soused v síti, přes ARP si adresu přeloží a pošle to na router jiné domácnosti.

Ale my mluvíme o tom co je za tím routerem té jiné domácnosti.

> Snad u většiny útoků je mechanismus napadení popsán tak, že se útočník k cíli dostal přes jiné zařízení v téže síti. Ransomware? Dostal se na jedno zařízení ve „vnitřní“ síti a odsud se šířil na další zařízení v síti.

Co jsem viděl tak tohle bylo vždy nějakým „aplikačním“ způsobem (typu makrovirus, exploit na starý PDF prohlížeč, nebo .exe v RARu které uživatel spustil na základě sociálního inženýrství) nesouvisejícím se síťovou dostupností.

> Jenže i ten jeden útok denně stačí na pořádný průšvih. I kdyby se takový útok odehrál jen jednou ročně, pořád to není něco, co lze přehlížet. [...] NAT ISP, za kterým je někdo „schovaný“ spolu s neznámým množstvím dalších neznámých klientů, přičemž ta síť za NATem je nakonfigurována (klientovi) neznámým způsobem a konfigurace se může kdykoli změnit – takové prostředí může za bezpečné považovat jenom šílenec.

Proto jsem napsal že „to dost pomáhá“ -- prostě když teď objevím díru u populárního výrobce ledniček, tak nemůžu triviálně proskenovat internet (použít Shodan) a na všechny se připojit a nakazit je. Nebo když dneska připojím do zaNATované sítě Windows XP, nic se nestane - když bych to dal na veřejnou adresu, tak to nejspíš do pár minut někdo napadne.

Ale my mluvíme o tom co je za tím routerem té jiné domácnosti.
Vy tam asi očekáváte NAT. Ale on tam být nemusí. Navíc zranitelnost může být i na tom routeru.

Co jsem viděl tak tohle bylo vždy nějakým „aplikačním“ způsobem (typu makrovirus, exploit na starý PDF prohlížeč, nebo .exe v RARu které uživatel spustil na základě sociálního inženýrství) nesouvisejícím se síťovou dostupností.
Souvisí to se síťovou dostupností. Protože útočník se na cílové zařízení nebyl schopen dostat přímo (neprošel přes fireweall), ale dokázal se dostat na nějaké jiné zařízení za firewallem a cílové zařízení napadl odsud – firewall mu už nestál v cestě.

Proto jsem napsal že „to dost pomáhá“ -- prostě když teď objevím díru u populárního výrobce ledniček, tak nemůžu triviálně proskenovat internet (použít Shodan) a na všechny se připojit a nakazit je.
Vy to udělat nemůžete. Ale ten, kdo ovládá botnet, ve kterém už má spoustu jiných domácích zařízení, takhle může proskenovat „své“ domácnosti. A to mu stačí.

Nebo když dneska připojím do zaNATované sítě Windows XP, nic se nestane - když bych to dal na veřejnou adresu, tak to nejspíš do pár minut někdo napadne.
To není pravda, že se nic nestane. Nic se nestane, pokud v té síti za NATem není jiné napadené zařízení. Když budete za NATem ISP a nebudete mít domácí NAT, tak jste v jedné síti se spoustou dalších zařízení.

Aby to tvrzení o NATu bylo pravdivé, potřebujete k tomu přidat spoustu dalších podmínek. No a daleko lepší, než specifikovat a pak ověřovat všechny ty podmínky, je prostě NAT vůbec nepovažovat za bezpečnostní prvek.

> Vy tam asi očekáváte NAT. Ale on tam být nemusí.

To víte že je.

> Navíc zranitelnost může být i na tom routeru.

Bývají, byť z WAN napadnutelné málokdy, a používané pro pestré útoky dovnitř sítě ještě méně málokdy.

> Protože útočník se na cílové zařízení nebyl schopen dostat přímo (neprošel přes fireweall), ale dokázal se dostat na nějaké jiné zařízení za firewallem a cílové zařízení napadl odsud – firewall mu už nestál v cestě.

Tam už prostor pro „běžný síťový firewall“ nebyl, typický další krok byl zašifrování dat na tom počítači, na připojených síťových discích, nebo šíření ve Windows doméně přes nějaké ty NTLM pass-the-hash bizarnosti kterým nerozumím.

> Ale ten, kdo ovládá botnet, ve kterém už má spoustu jiných domácích zařízení, takhle může proskenovat „své“ domácnosti. A to mu stačí.

Nemůžete rovnou uvést nějaké profláklé případy kdy se tohle stalo? (případy kdy někdo takhle sklízí „veřejný internet“ předpokládám známe oba, takže bych chtěl něco s podobnou závažností/roz­šířením)

> Nic se nestane, pokud v té síti za NATem není jiné napadené zařízení.

I když bude, tak bude zkoušet výrazně menší paletu exploitů než co mi chodí po internetu.

> Aby to tvrzení o NATu bylo pravdivé, potřebujete k tomu přidat spoustu dalších podmínek. No a daleko lepší, než specifikovat a pak ověřovat všechny ty podmínky, je prostě NAT vůbec nepovažovat za bezpečnostní prvek.

S tím souhlasím, ale pořád si myslím, že se současnými NATy je napadených třeba 5% zranitelných ledniček a vysavačů (viz první reakce) a v případě volné skenovatelnosti (která ovšem ani v IPv6 není zaručena, protože je složité uhodnout adresu) by to bylo 100% (prostě by je někdo všechny proskenoval a sklidil).

To víte že je.
Ne, nemusí tam být. Když vám ISP přiděluje IP adresy z privátních rozsahů, klidně vám adres přidělí víc.

Nemůžete rovnou uvést nějaké profláklé případy kdy se tohle stalo? (případy kdy někdo takhle sklízí „veřejný internet“ předpokládám známe oba, takže bych chtěl něco s podobnou závažností/roz­šířením)
Vy u těch případů, kdy takhle někdo sklízí internet, víte, že se tak děje jenom u veřejných IP adres? Obvykle to stejně dělají botnety – myslíte, že mají v kódu speciální výjimku, aby privátní rozsahy vynechávaly?

Co se týče rozšíření – je pro vás rozdíl, když někdo napadne vaše zařízení, nebo když napadne vaše zařízení a k tomu ještě dalších tisíc jiných zařízení jinde na internetu? Já pořád odmítám za bezpečnost označovat přístup „snad se to sem netrefí“.

S tím souhlasím, ale pořád si myslím, že se současnými NATy je napadených třeba 5% zranitelných ledniček a vysavačů (viz první reakce) a v případě volné skenovatelnosti (která ovšem ani v IPv6 není zaručena, protože je složité uhodnout adresu) by to bylo 100% (prostě by je někdo všechny proskenoval a sklidil).
Tohle máte něčím podložené, nebo je to jen odhad? Nic proti odhadům, někdy nic lepšího nemáme. Ale můj odhad by byl diametrálně odlišný, tak by mne zajímalo, zda ho mám výrazně korigovat, nebo zda prostě máme dva různé ničím nepodložené odhady.

Jiný můj odhad je, že drtivá většina SOHO routerů, které dělají ten domácí NAT, má rovnou od výrobce nastaven firewall, který blokuje příchozí spojení. A bude to tak i u IPv6, dokud se neukáže, že to nedává smysl. Takže ten domácí NAT nemá šanci se jako bezpečnostní prvek předvést, protože vedle něj působí mnohem mocnější firewall. A pokud je ten NAT jinde, třeba u ISP, shodli jsme se snad už na tom, že ten opravdu není možné považovat za jakoukoli ochranu.

> Ne, nemusí tam být. Když vám ISP přiděluje IP adresy z privátních rozsahů, klidně vám adres přidělí víc.

To je hodně neobvyklé, to jste fakt někde viděl? ISP přímo dodá uživateli switch nebo si ho uživatel pořídí sám? A když má uživatel wifi, tak je tam navíc bridgovaný segment přes desatero wifi sítí?

> Obvykle to stejně dělají botnety – myslíte, že mají v kódu speciální výjimku, aby privátní rozsahy vynechávaly?

Skoro bych věřil že to bude implementované tak, že bot skenuje náhodné rozsahy a do 192.168.x nebo 10.x se trefí jenom občas :). Důležité ale je že v síti budete mít nejspíš klienta 1-2 botnetů zkoušející každý třeba 3 útoky které tam autoři zadali, zatímco na internetu je toho hromada (většinu ani nevidíte, protože útočníci si oběti vyfiltrují podle bannerů, takže nikdo nezkusí útok na službu, kterou neprovozujete).

> Já pořád odmítám za bezpečnost označovat přístup „snad se to sem netrefí“.

Ale to bylo přesně to, na co jsem reagoval. Například pro DDoS, spam a pod. je to rozšíření důležité (čím víc, tím silnější problémy pro oběť).

> Tohle máte něčím podložené, nebo je to jen odhad?

Jen odhad. Váš odhad by vyžadoval, aby to zařízení s botnetem co se k vám dostane do sítě následně zkoušelo tisíce specifických útoků na různé zranitelnosti všeho možného. Ale nevím, možná se provozovatelé botnetů sdružují do takto hromadných skupin a všichni si navzájem zkouší všechno?

> Jiný můj odhad je, že drtivá většina SOHO routerů, které dělají ten domácí NAT, má rovnou od výrobce nastaven firewall, který blokuje příchozí spojení.

Ano, to si také myslím…

> A bude to tak i u IPv6, dokud se neukáže, že to nedává smysl.

…a tohoto se bojím -- protože pokud se z toho stane standard a nerozšíří se žádný standardní protokol / znalost pro koncového uživatele, jak si zařízení, které komunikovat potřebuje, spolehlivě zařídí povolení takové komunikace, tak budeme přesně tam, kde jsme teď - stejně pořád budeme muset mít „cloudy od výrobce“, protože end to end komunikace nebude fungovat. V tom lepším případě alespoň budou na zařízení dvě volby (komunikace přes cloud / komunikace přímo), v tom horším to bude úplně jako dneska (mnoho zařízení komunikuje přes „cloud“ i když jsou ve stejné LAN a stačilo by zjistit že se vidí jako 192.168.0.65 a 192.168.0.237).

To je hodně neobvyklé, to jste fakt někde viděl?
Mají to tak třeba sítě typu CZFree. Dají uživateli třeba 3 IP adresy – a když uživatel nemá víc zařízení, nepotřebuje žádný router. Nebo má třeba jeden počítač a jeden domácí WiFi router, tak ten počítač může být přímo za NATem spolku.

Důležité ale je že v síti budete mít nejspíš klienta 1-2 botnetů
To je ale pořád o 1–2 víc, než aby bylo možné považovat síť za bezpečnou.

Například pro DDoS, spam a pod. je to rozšíření důležité (čím víc, tím silnější problémy pro oběť).
To už jsou ale sekundární oběti. Navíc pokud někomu nevadí, že má záškodníka ve své domácí síti, tuplem mu nebude vadit, že jeho zařízení rozesílají spam nebo se podílejí na DDoSu.

…a tohoto se bojím -- protože pokud se z toho stane standard a nerozšíří se žádný standardní protokol / znalost pro koncového uživatele, jak si zařízení, které komunikovat potřebuje, spolehlivě zařídí povolení takové komunikace, tak budeme přesně tam, kde jsme teď - stejně pořád budeme muset mít „cloudy od výrobce“, protože end to end komunikace nebude fungovat.
Cesta ale přece není zařizovat si nějaké povolení komunikace. Správný přístup je, že zařízení musí být bezpečná – a pak k žádnému zakazování na firewallu není důvod. Pokud by situace byla taková, že si každé zařízení vyjedná na firewallu povolení komunikace, tak tam ten firewall bude úplně zbytečně.

Doufám, že se toho chopí třeba EU, protože spotřebitelé nemají šanci řešit, zda je nějaké zařízení síťově bezpečné. Stejně, jako neřeší, zda je bezpečné zapojit ho do elektricné zásuvky, neměli by řešit, zda je bezpečné připojit ho do internetu.

stačilo by zjistit že se vidí jako 192.168.0.65 a 192.168.0.237
Jen drobná odbočka – také doufám, že se i v SOHO sítích začne používat DNS. Pořád se tváříme, jak musí být všechno pro koncové uživatele blbuvzdorné, návody mají jenom obrázky, aby tam nebyl pro někoho příliš složitý text – a pak považujeme za normální, že bude uživatel k domácím zařízení přistupovat přes IP adresy. Možná to je jeden z důvodů, proč musí mít každé zařízení svoji mobilní aplikaci – protože ta tu IP adresu schová, kdežto kdyby to měl uživatel ovládat přes prohlížeč, bude muset pořád používat tu IP adresu.