Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Jakke77 - 07.06.12 - klo:11.45

Otsikko: miredo
Kirjoitti: Jakke77 - 07.06.12 - klo:11.45
nyt kun tuli tämä ipv6 ja luin toisesta ketjusta, että ipv6:n saa toimimaan miredon avulla ja päätin sitten asentaa. uudelleen käynnistyksen jälkeen netti kuitenkin alkoi katkeilemaan.
osaisiko joku kertoa miten tämä pitäisi conffata että toimii moitteettomasti
Otsikko: Vs: miredo
Kirjoitti: odysseus - 07.06.12 - klo:17.40

Mikäs tää on? Eikös linukka nyt osaa IPv6:n lennosta? -onhan se ollut mukana jo vuosia..

Siellä on siis jokin välissä oleva laite, joka ei osaa (=ADSl-modeemi/reititin)!


http://test-ipv6.com
Otsikko: Vs: miredo
Kirjoitti: Tomin - 07.06.12 - klo:17.48
Siellä on siis jokin välissä oleva laite, joka ei osaa (=ADSl-modeemi/reititin)!

Miten olisi operaattori? Tosin luultavasti täällä talossa ei ole yhtään IPv6 kykyistä reitiintä (ADSL: Telewell EA-501v3 ja WLAN: D-Link DIR-615).

Joku osaava voisi päivittää uudet ohjeet Linux.fi:hin: http://linux.fi/wiki/IPv6-tunneli Itse en ole vielä kokeillut IPv6:sta missään muodossa.
Otsikko: Vs: miredo
Kirjoitti: Sami Lehtinen - 07.06.12 - klo:19.15
Halpis vehkeet kannattaa pistää siltaavaksi, jolloin poistuu tuo ongelma ja samalla voi käyttää myös omaa 6to4 reititintä tarpeen niin vaatiessa.
Otsikko: Vs: miredo
Kirjoitti: Tomin - 07.06.12 - klo:19.47
Halpis vehkeet kannattaa pistää siltaavaksi, jolloin poistuu tuo ongelma ja samalla voi käyttää myös omaa 6to4 reititintä tarpeen niin vaatiessa.
Mitenkäs sillon onnistuu sisäverkko? Jos se ei enää reititä, osaavatko paketit mennä oikealle koneelle kulkematta nettiliittymän kautta?
Tuohon D-Linkin (DIR-615) tuesta en tiedä kun en ole kysellyt (tosin siihen voi ilmesesti asentaa DD-WRTn eli ehkä sillä sitten), mutta Telewelliin (EA-501v3) ei saa, kuulemma liian vähän muistia. Tuossa sähköpostilla samani vastaus: http://pastebin.com/8g1WQRvz

Mitenkäs muuten suojaus kannattaisi IPv6:ssa toteuttaa sitten joskus kun siihen asti päästään? Nythän Internetin ja kotiverkon välissä on NAT, joten ulkoverkosta ei pääse suoraan koneille, mutta IPv6:ssa kaikilla koneilla on oma osoite (mitä en ole ihan sisäistänyt, eli millä perusteella noita osoitteita sitten jaetaan, operaattoriltako?). Voiko sittenkin ulkoverkon liikenteen jotenkin suodattaa vai pitääkö alkaa asentelmaan palomuurin (netfilter) hallintaan softat kaikille koneille?
Otsikko: Vs: miredo
Kirjoitti: Sami Lehtinen - 07.06.12 - klo:20.38
Mitenkäs sillon onnistuu sisäverkko? Jos se ei enää reititä, osaavatko paketit mennä oikealle koneelle kulkematta nettiliittymän kautta?

Osaa, kunhan käytetään vain paikallisia osoitteita. Toimii ihan hyvin IPv4:lla ja IPv6:lla. Kysehän on siitä ohjataanko liikenne broadcastina tai gatewaylle vai osoitetaanko se suoraan MACiä käyttäen lähiverkossa olevalle laitteelle. Jolloin el-cheapo kytkinkin osaa ohjata liikenteen ihan oikeaan paikkaan, eikä se edes mene muihin portteihin jakeluun.

Monesti tuntuu siltä, että useimmat NATin hehkuttajat eivät tiedä miten IP protokolla toimii ja sen takia vannovat NATin nimiin ja uskovat sen tuomaan vaheelliseen turvallisuuteen.

NAT on oikeasti paha keksintö ja tuli käyttöön osoitepulan vuoksi. Monessa monessa organisaatiossa oli ennen NAT aikaa myös "sisäverkoissa" käytössä "ne pahat julkiset ip:t".

Useimmat NAT ihmiset eivät todennäköisesti koskaan ole edes nähneet kunnollista palomuuria. Useimpia  el-cheapo laitteita kun ei saa luopumaan NAT roolistaan millään ilveellä ja toimimaan siltaavana (eli liikennettä suodattavana) palomuurina. ;(

Samalla koneella voi todellakin olla useita erilaisia IP-osoitteita (eri interface) ja kaikkiin niihin voidaan määritellä omat ja eri palvelut ja omat tietoturva-asetuksensa.

Toisaalta, olen sitä mieltä että nykyjään olisi järkevämpää kehittää  lähtökohtaisesti turvallisia ja oikein toteutettuja palveluita ja sovelluksia, jolloin sillä tuleeko yhteydet "lähiverkosta", "intranetistä" vai "internetistä" ei ole oikeasti yhtään mitään merkitystä kun autentikointi suoritetaan kunnolla aina.


Netissä onkin ollut jo kirjoituksia siitä, että kuinka IPv6 vaarantaa koko internetin turvallisuuden (http://www.esecurityplanet.com/network-security/world-ipv6-launch-day-a-security-risk.html) kun ihmiset eviät tee asioita oikein, eivätkä ymmärrä mitä ovat tekemässä. (Tämä tosin liittyy kaikkiin muihinkin asioihin.)

Jos haluaa turvallisen verkon, NAT ei todellakaan riitä. Vaan kannattaa ehdottomasti käyttää protokollakohtaisia proxyjä, jotka osaavat todella tarkasti seuloa liikenteen. Monilla on harha siitä, että NAT suojaa verkon. Sitä se ei tee. mm. selaimen / exploittien kautta koneelle luikerrellut haittakoodi nauraa ilkeästi NATille. Vaikka ulosmenevät portit olisi tukittu, on todennäköisesti kuitenkin https ja dns jätetty auki joka on jo massiivinen fail, koska se tarkoittaa sitä että tiedot voidaan vuotaa ihan mihin vaan maailmassa. Nuokin pitäisi rajoittaa ja liikenteen sisältöä valvoa (eli käytännössä liikenne purkaa omalla sertifikaatilla ja DNS liikenne analysoida.) Noin saadaan täysi näkyvyys ja logitettavuus kaikkeen liikenteeseen palomuurin rajalla. Helpointa on käyttää mm. Linux purkkia ja sopivia softia. Rauta laitteina näillä ominaisuuksilla varustetut vehkeet tahtoo olla kalliita, ainakin jos kuluttajan lompakkoa ajattelee.

Monet halvat NAT laitteet on myös suorituskyvyltään niin huonoja, että kun niille tuuppaa paljon pieniä paketteja ne kyykkää ihan totaalisesti. Taas yksi hyvä syy olla käyttämättä niitä. Koska tässä tapauksessa tietokone selviäisi hyvin näistä turhista pienistä paketeista, mutta surkea NAT vehje jumittuu niistä näin aiheuttaen DoS tilanteen verkon rajalle.

Kannattaa myös ihan aikansakuluksi märehtiä  Wikipediasta IPv6 artikkeli (https://en.wikipedia.org/wiki/IPv6_address) ja siihen liittyvät linkit.

p.s. DoS asioista muuten on juttua mun blogissa (http://www.sami-lehtinen.net/blog/google-chrome-os-browser-passwords-hulk-hushmail-ssl-ipv6-rfid-shell), kannattaa katsoa HULK kohta, koskee myös cachea ja yleisesti web-palveluiden / verkkojen optimointia.
Otsikko: Vs: miredo
Kirjoitti: ditl - 08.06.12 - klo:15.43
Hieman aiheen ohi mutta tuo NAT turvallisuus kiinnostaa kun minullakin on ADSL mod/reititin NAT moodissa.
Olen siinä käsityksessä että internetin puolelta tulevat "koputtelut" eivät pääse NAT-cheapo-purkista sisään koska purkki pitää kirjaa sisäpuolelta avatuista yhteyksistä ja päästää sisään vain näihin yhteyksiin kuuluvat paketit. Jos yhteyksiä ei ole avattu niin paketit ei pääse sisään. Jos yhteyksiä on avoinna, on koputtelijan teoriassa  mahdollista avatun yhteyden aikana lähettää selaimelle oikeiden pakettien väliin jotain.
Voiko selaimen kautta saada koneelle jotain sisään? Jätetään nyt käsittelemättä tapaukset joissa sisään on päästy jonkin ladatun ohjelman tai muun kylkiäisenä.
Millä tavoin voi tulla NAT-purkista sisään IPv4? Eroaako IPv6?
Otsikko: Vs: miredo
Kirjoitti: Sami Lehtinen - 12.06.12 - klo:19.32
Jos nyt en ihan väärin muista (en jaksanut luntata), niin Teredo aka Miredo kuuluvat nimen omaan NAT:in sukulaisiin. Eli eivät tarjoa kaksisuuntaista liikennettä.

Jos yhteyksiä ei ole avattu niin paketit ei pääse sisään.

Aivan sama koskee kaikkia palomuureja. Täysin riippumatta siitä onko julkiset vai ei julkiset osoitteet käytössä.

Lainaus
Voiko selaimen kautta saada koneelle jotain sisään?

Kyllä valitettavasti. Softat on reikäisiä kuin mitkä. Selaimissa panostetaan monipuolisiin ominaisuuksiin, ei varmaan toimintaan ja luotettavuuteen. Kuten kovin monessa muullakin softasektorilla. Olisi taas legendaarisia tarinoita kerrottavaksi, mutta laittelen ne blogiini kun on sopiva fiilis.

Lainaus
Millä tavoin voi tulla NAT-purkista sisään IPv4? Eroaako IPv6?

Riippuu nyt taas niin skenaariosta, mutta vastaus on molemmissa tapauksissa kyllä ja ei. Noissa artikkeleissa viitattiin siihen, että monien tietoturvaratkaisuiden IPv6 tuki on surkea tai täysin olematon. Se tarkoittaa sitä että IPv6 toimii kiertotienä verkkoon turvajärjestelyjen ohi, vaikka normaali tilanteessa IPv4:lla turväjärjestelyt estäisi tuon liikenteen.

mm. 6to4 liikenne on IPv4 liikenteenä protokollan 41 liikennettä. Tarkoittaa sitä, että normaalit kuluttajien roskapalomuurit ei ymmärrä sen päälle yhtään mitään. Monissa sekunda palomuureissa ei ole edes tapaa määritellä protokolla kohtaisia sääntöjä. Tai säännöt rajoittuvat icmp, tcp, udp linjalle.

Samoin jos palomuurissa on normaalisti estetty liikenne osoitteeseen x.x.x.x tai porttiin y, mutta protokollaa 41 ei ole blokattu, niin käyttämällä tuota kiertotietä pääsee liikennöimään ulos. Mutta ihan sama pätee muihinkin juttuihin joita ei ole mietitty loppuun asti. mm. jos palomuurissa on portti 53 auki, mä voin tunneloida DNS:n yli ihan mitä haluan. Myös DNS liikenne pitäisi ohjata älykkänä purkin läpi, jossa on mm. flood controllit ja poikkeaan liikenteen tunnistus. (IDS)
Otsikko: Vs: miredo
Kirjoitti: Tomin - 12.06.12 - klo:20.20
Monet halvat NAT laitteet on myös suorituskyvyltään niin huonoja, että kun niille tuuppaa paljon pieniä paketteja ne kyykkää ihan totaalisesti. Taas yksi hyvä syy olla käyttämättä niitä. Koska tässä tapauksessa tietokone selviäisi hyvin näistä turhista pienistä paketeista, mutta surkea NAT vehje jumittuu niistä näin aiheuttaen DoS tilanteen verkon rajalle.

Olisi oikeastaan ihan mielenkiintoista testata tietokonetta tuossa tehtävässä kesän kuluessa jossain vaiheessa. Vapaata rautaa olisi lähinnä VIA C3 Nehemiah 997 MHz (133 MHz väylä) ja Intel Pentium III 550 MHz (100 MHz väylä) ja kaveriksi ainakin 256 megaa muistia. Hitaampiakin olisi ainakin 160 MHz:n Pentiumin muodossa, niihin ei ole muistia kuin ehkä 16 megaa. Riittääkö? Tavoite olisi saada aina 100 Mb/s nopeudella, koska lähiverkko on muutenkin sitä luokkaa eikä gigabitin erilliskortteja löydy.

En usko, että verkkokortteja löytyy kuin se kaksi kappaletta siihen, mutta voisihan sillä lähiverkon suojata. Tuskin kuitenkaan sähkölaskun vuoksi jätän pitemmäksi aikaa pyörimään, kokeiluna voisi mennä.

Toisaalta voisi kysyä millainen laite kotiin kannattaisi hommata Internetin ja kotiverkon väliin? Ihmiset haluavat luultavasti säästää rahaa, kun kuitenkin muutaman vuoden sisällä ukkonen sattuu pistämään sen vehkeen pas... siis hajottaa sen, joten sekin on aina otettava huomioon.

Nyt on vähän eksytty aiheesta, mutta jos tästä tulee keskustelua enemmänkin niin pitää jakaa aihe ja otsikoida se jotenkin.
Otsikko: Vs: miredo
Kirjoitti: mrl586 - 12.06.12 - klo:23.16
Jos nyt en ihan väärin muista (en jaksanut luntata), niin Teredo aka Miredo kuuluvat nimen omaan NAT:in sukulaisiin. Eli eivät tarjoa kaksisuuntaista liikennettä.
Valitettavasti muistat väärin. Pingit (ping6) toimivat molempiin suuntiin ja yhteydetkin toimivat molempiin suuntiin.
Otsikko: Vs: miredo
Kirjoitti: Sami Lehtinen - 13.06.12 - klo:10.18
Jos nyt en ihan väärin muista (en jaksanut luntata), niin Teredo aka Miredo kuuluvat nimen omaan NAT:in sukulaisiin. Eli eivät tarjoa kaksisuuntaista liikennettä.
Valitettavasti muistat väärin. Pingit (ping6) toimivat molempiin suuntiin ja yhteydetkin toimivat molempiin suuntiin.

Niin näköjään tein. Samalla tuli tuossa juuri todistettua se miten tavallisesta IPv4 natista pääsee nätisti läpi. Eli siitä pääsee läpi käyttämällä koneen IPv6 osoitetta silloin kun Teredo on käytössä.

Kirjoittelen tästä aiheesta lisää illemmalla.

Muistelin tuota ongelmaa sen suhteen, että Teredo tunnelihan aukeaa (Windowsissa) vasta kun sitä tarvitaan. Eli oletusarvoisesti kun kone on bootattu niin Teredo ei ole auki. Sitä en muista aukeaako se heti jos avaa IPv6 portin listen tilaan, todennäköisesti aukeaa.

Toinen asia on myös se että Teredoa varten joudutaan pitämään tuota udp hole punchingilla avattua reikää auki jatkuvilla refesheillä. Mutta se taas ei sinänsä ole Teredon vika, eikä sekään ole välttämätöntä, jos välissä ei ole NAT purkkia jonka sessiot expiroituu. Onhan toki mahdollista, että käytössä on kiinteä port forwarding tai esimerkisi one to one nat.

Nyt tässä tulikin jo ne kaikki olennaisimmat asiat. Eli IPv6 "tunneloinnin vaarat", Teredon haasteet ja epäsuorasti aiheuttamat tietoturva ongelmat, sekä se että natteja on monen tyyppisiä.

Laitoin eilen illalla testit virtuaalikoneisiin IPv6:n 6to4:lla ja Teredo:lla. Tein testit sekä Ubuntulla, että XP:llä (hih).

Teredolla oli selvästi isompi overheadi ja latenssi. Mutta molemmilla liikenne tietenkin kulki molempiin suuntiin tunneloinnin aikana. Jolloin täysin menetetään se NATin tuoma turva, koska nyt kaikki koneen IPv6 palvelut ovat tavoitettavissa NATista huolimatta. Toisaalta tuosta on myös etua, jos nimenomaisesti halutaan tarjota palveluita verkkoon päin, niin silloin NAT ei sitä estä. Tämä tietysti onnistuu millä tahansa muullakin tunneloinnilla, eli käytännössä olemassa oleva palomuuri ohitetaan.

Kivana lisähaasteena tuli se, että läheskään kaikki XP:n softat, kuten IIS (Internet Information Server) ei tukenut IPv6:sta. Piti käyttää taas vaihtoehtoisia softia. Tietysti olisi voinut selvittää saisiko jotenkin tuon IPv6 tuen käyttöön, mutta oli selvää että any interface ei tarkoittanut IPv6 interfaceja ollenkaan.

Tuokos huolettaa niitä ihmisiä jotka ovat aina luottaneet NATin tuomaan turvallisuuteen ja sitten jättäneet sisäverkon täysin levälleen ilman mitään autentikointeja tai palomuureja. Uhka on tietysti varsin varteenotettava ja todellinen.

Jos haluatte lukemista illaksi, niin kannattaa lukea Teredon RFC 4380 (http://www.ietf.org/rfc/rfc4380.txt) .

Microsoftin Teredo dokumentissa (http://technet.microsoft.com/en-us/library/bb457011.aspx) on myös kivat kuvat ja selvitykset.

Tässä vielä linkki Trex:in Teredo / Miredo gatewayhin (http://www.trex.fi/service/teredo.html).  Trex:in 6to4 gatewayn ip on 195.140.195.130.