Firewalls und IPv6: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 38: | Zeile 38: | ||
*Neighbor Solicitation (Typ 135) und Neighbor Advertisement (Typ 136): | *Neighbor Solicitation (Typ 135) und Neighbor Advertisement (Typ 136): | ||
*Router Solicitation (Typ 133) und Router Advertisement (Typ 134): | *Router Solicitation (Typ 133) und Router Advertisement (Typ 134): | ||
| − | |||
| − | |||
=IP6= | =IP6= | ||
==Von Innen nach Aussen== | ==Von Innen nach Aussen== | ||
| Zeile 46: | Zeile 44: | ||
*Immer alles verbieten und nach und nach bei Bedarf freischalten. | *Immer alles verbieten und nach und nach bei Bedarf freischalten. | ||
==Von Aussen zur Firewall== | ==Von Aussen zur Firewall== | ||
| + | *DHCPv6 Server-Antworten: ip6 dport 547 accept | ||
| + | *DHCPv6 Client-Anfragen: ip6 sport 547 accept | ||
*Immer alles verbieten und nach und nach bei Bedarf freischalten. | *Immer alles verbieten und nach und nach bei Bedarf freischalten. | ||
==Von der Firewall nach Aussen == | ==Von der Firewall nach Aussen == | ||
*Alles darf raus | *Alles darf raus | ||
Version vom 7. März 2024, 20:20 Uhr
Grundsätzliches
- IPv6 soll den ursprünglichen Ansatz der Ende zu Ende Verbindung wiederherstellen.
- Nat entfällt, da alle Adressen geroutet werden.
- Nat hat bei IPv4 für ein "gewisses" Mass an Sicherheit gesorgt.
- Dies muss jetzt durch ein Firewallregelwerk übernommen werden.
Proxymechanismus
- Ein weiterer Punkt ist der Proxymechanismus auf Applikationsebene.
- Dies hat nicht das Problem der begrennzten Anzahl an IP Adressen gelöst.
- Es kamen auch Filtermechanismen zum Einsatz.
- Wie sich die Sache mit IPv6 entwickelt wird man sehen.
ICMPv6
- ICMPv6 spielt eine viel grössere Rollen als ICMPv4.
- Unter IPv4 war es möglich ICMP komplett abzuschalten.
- Das geht bei ICMPv6 nicht mehr.
- ARP wurde durch NDP ersetzt und muss zwingend freigeschaltet sein.
- Die Fragmentierung soll nun der Absender übernehmen.
- Darum sollten auch Nachrichten vom problematischen Router zum Absender gelangen.
Einfacher Ansatz
- Von Aussen nur das nötigste reinlassen.
- Alles von Innen nach Aussen lassen.
Welche ICMPv6 Pakete soll man wo wie reinlassen
Von Aussen nach Innen
- Echo Request (Typ 128) und Echo Reply (Typ 129):
- Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
- Destination Unreachable (Typ 1):
- Time Exceeded (Typ 3):
Von Innen nach Aussen
- Echo Request (Typ 128) und Echo Reply (Typ 129):
- Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
- Destination Unreachable (Typ 1):
- Time Exceeded (Typ 3):
Von der Firewall nach Aussen
- Alles darf raus
Von Aussen zur Firewall
- Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
- Destination Unreachable (Typ 1):
- Time Exceeded (Typ 3):
- Neighbor Solicitation (Typ 135) und Neighbor Advertisement (Typ 136):
- Router Solicitation (Typ 133) und Router Advertisement (Typ 134):
IP6
Von Innen nach Aussen
- Nach Bedarf alles oder halt einschränken
Von Aussen nach Innen
- Immer alles verbieten und nach und nach bei Bedarf freischalten.
Von Aussen zur Firewall
- DHCPv6 Server-Antworten: ip6 dport 547 accept
- DHCPv6 Client-Anfragen: ip6 sport 547 accept
- Immer alles verbieten und nach und nach bei Bedarf freischalten.
Von der Firewall nach Aussen
- Alles darf raus