האם ipv6 מסוכן ?

עמית שאל לגבי אבטחה NAT ו ipv6 השבוע, בה הוא אמר האם זה לא מסוכן לקבל ipv6 ברשת הפנימית ולגבי העובדה ש NAT היה נותן לנו אבטחה והגנה .

התשובה היא כן , אבל לא בדיוק , כי זה תלויי במספר גורמים.

מדוע כן , כי כל מחשב שמחובר לרשת כל שהיא צריך שתהיה עליו מספר מערכות הגנה:

• אם אין צורך תמידי שיעבוד, פשוט שיהיה מכובה פיזית (ניתוק גלווני מהחשמל).
• אם חייבים שיעבוד שיהיה את מינימום השירותים הנדרשים שיעבדו עליו.
• כל אחד מהשירותים צריך קודם כל לאסור הכל, ואז לאשר משהוא קטן.
• כל השירותים צריכים לרוץ תחת משתמש עם מינימום ההרשאות שנדרשות.
• חומת אש חובה על כל רכיב המחובר לרשת.
  
• IDS כמו snort רצויי שיהיה.
• גיבוי קר לכל מה שאפשר, עם עותק כפול מוצפן , ועותק קר לא מוצפן.

האות S ב IoT היא האחראית ל security, אתם יכולים להבין למה אני נגד מזגנים/ מקררים/ מערכות שו"ב שמחוברים לרשת האינטרנט. 

דוגמה מצויינת למה צריך להגן בתוך הרשת הפנימית שלכם תמיד היא מכשירים "חכמים" שמגיעים מחברות שונות, לא מזמן היה סיפור בו נתב היה דוגם את כל כתובת ה mac בתוך הרשת הפנימית והיה מאפשר שליטה "חכמה" דרך ענן (וכך היה נותן מידע שלכם לגוף חיצוני).

 

הרבה פעמים מכשירים חכמים מדברים יותר מדי עם הענן, וכל אחד מהם הוא ווקטור התקפה בתוך הרשת הפנימית שלכם.

אצלי למשל מדפסות מחוברות לרסברי פי , כי על הפיי שלי אני סומך על המדפסת לא ממש. 

 

המוח/מנוע של ה-RC שלי (שמריץ פייתון דרך אגב) מחובר למכונה וירטואלית דרך כבל USB שאין לה גישת אינטרנט.

ככל גם ברשתות ipv4 היינו עושים את זה בדרך כלל, והמדרין היו מחזיקים שתי רשתות נפרדות (רשת פנימית אחת מנותקת פיזית מהאינטרנט, ואחת נוספת שכל מחוברת לאינטרנט) בשביל לנהל את משאבי הרשת בבית.

מדוע לא בדיוק ?

 

כי האפשרות של התקשרות ב ipv6 למחשבים בתוך הרשת הפנימית שלכם סגורה כברירת מחדל ב openwrt (אני בטוח שיש לכם openwrt או pfSense ) ואם אין לכם , בחיאת תשקיעו תכסף בציוד שיכול להריץ את זה , זה שווה לכם את זה לאחר מכן.

כי יש ספקים שלא באמת נותנים לכם ipv6 .

איך אני מנהל את זה ? 

 

אני מקבל אזור של /64 שנותן לי יותר כתובת מאשר אני כנראה אצטרך בחיים, אבל רק מחשבים שצריכים לתקשר עם החוץ מורשים בנתב החיצוני. תודות ל PD החלוקה של כתובות ה ipv6 פשוט עובדת מהקופסא ללא שום בעיות.

מחשבי וינדוס מנותקים פיזית ממשהוא שיכול לספק כתובת ציבורית (מאחורי nat ipv4),בעתיד אני מתכנן לעבור להשתמש ב vlan.

שלום עולם IPv6

זה מעין פרסום תחקיר פדיחה עצמית , אני חושב שזה שווה לספר על טעויות של עצמנו כי לפעמים מישהוא יילמד מהם.

כולנו בני אדם , כולנו עושים טעויות , החוכמה ללמוד מטעויות של אחרים.

בהפתעה מוחלטת ספק האינטרנט שלי התחיל פתאום לספק IPv6, מה שהזכיר לי שהגיע הזמן לבדוק את החוקים ברשת.

מי שהיה חבויי מתתחת לאיזה אבן, או סתם לא מכיר את IPv6 , ב IPv6 כל מחשב ואני מתכוון כל מחשב כולל המזגן הולכים לקבל עכשיו כתובת  IPv6 ציבורית ונגישה. הגיע שעה מצויינת לבודק את המצב אצלי.

מכיוון שיש לי נתב פשוט , ברגע שהופעל ipv6 ברמת הספק , הכל עבד בצורה חלוקה (תודות ל RFC 4861 ו המימוש של Router Advertisment ב NetworkManager). למה זה פשוט עובד? כי IPv6 תוכנן מזמן וכל נתב מסכן שמריץ openwrt כבר מגיע מוכן לתמוך בIPv6 בלי שום התעסקות.

המערכות שלי יחסית מוגנות,  אני עובד עם רשתות מופרדות פיזית, אבל גם אני עושה טעויות לפעמים אז בחרתי לבצע בדיקה ומעקב.  אני משתדל להמנע מחומרה שצריכה גישה לאינטרנט בשביל לתפקד.

עברתי מחשב מחשב וראיתי שבכולם ה privacy mode היה מופעל , שזה המצב התקין  פרט למכונת Win10 בה הגדרתי את המוד. מדוע ה privacy mode של IPv6 חשוב תשאלו ? כי אם לא תפעילו אIP שלכם יכיל את כתובת ה MAC שלכם .

 

בחלק המחובר לנתבים להם יש גישה לאינטרנט מצאתי פדיחה רצינית : 

מצאתי "מחשב" בו ה ssh היה מאזין ולא היה פיירוול מופעל, המחשב הזה היה raspberi pi המשמש כנקודת המרה לרכיבי USB על גבי IP.  נכון שהפיי הזה היה מעודכן , והיה רק מחובר לרכיבי USB שאני מעביר אותם למחשבים אחרים, אבל זה היה ווקטור התקפה על המערכת שלי.

הלכתי עמוק יותר למערכת שאין לה גישה לאינטרנט כלל, מערכת שנמצאת מאחורי נתב עצמאי שאינו מחובר כלל לאינטרנט ואף מחשב לו יש גישה לאינטרנט אין גישה ישירה פנימה. 

מצאתי שירות cups שאינו מספיק מאובטח מאחורי חומת אש אישית (והתבסס רק על חומת האש של הנתב) , נסגרה הרשאה הגבלתי גישה רק לכתובות ipv4 פנימיות. תוכננו חוקי חומת אש והותקנו על המחשב שמריץ cups (יש לי המרה כפולה של הדפסה אבל זה סיפור אחר לחלוטין).

שמתי לב ששירותי ה kdeconnect מאזינים לכל העולם (אבל מאחורי פיירוול מקומי) , הסרתי את השירות לחלוטין.

מצאתי שהמכונה העיקרית שלי שאוספת לוגים מהציוד (שירות syslog) לא הכילה חוקי פירוול טובים מספיק טובים על המכונה עצמה (היה בנויי בצורה של black list במקום white list).

מצאתי ששירות ה  SNMP שלי לא ישב מאחורי פיירוול עצמאי (ורק התבסס על פיירוול חיצוני) - כפתרון סגרתי את שירות ה SNMP כליל (בפועל אני רואה שאין לי יותר צורך בו, וזה היה סתם רץ ).

בתאוריה , המערכת אם באיזה שהוא יום הייתי מחבר בטעות את הנתב לאינטרנט היתה חשופה להתקפות מאוד גסות.