Firewalls und IPv6: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 6: | Zeile 6: | ||
=Proxymechanismus= | =Proxymechanismus= | ||
*Ein weiterer Punkt ist der Proxymechanismus auf Applikationsebene. | *Ein weiterer Punkt ist der Proxymechanismus auf Applikationsebene. | ||
| − | *Dies hat nicht das Problem der begrennzten Anzahl an IP Adressen gelöst. | + | *Dies hat nicht nur das Problem der begrennzten Anzahl an IP Adressen gelöst. |
*Es kamen auch Filtermechanismen zum Einsatz. | *Es kamen auch Filtermechanismen zum Einsatz. | ||
*Wie sich die Sache mit IPv6 entwickelt wird man sehen. | *Wie sich die Sache mit IPv6 entwickelt wird man sehen. | ||
| + | |||
=ICMPv6= | =ICMPv6= | ||
*ICMPv6 spielt eine viel grössere Rollen als ICMPv4. | *ICMPv6 spielt eine viel grössere Rollen als ICMPv4. | ||
| Zeile 19: | Zeile 20: | ||
*Von Aussen nur das nötigste reinlassen. | *Von Aussen nur das nötigste reinlassen. | ||
*Alles von Innen nach Aussen lassen. | *Alles von Innen nach Aussen lassen. | ||
| + | =Welche ICMPv6 Pakete soll man wo wie reinlassen= | ||
| + | ==Von Aussen nach Innen== | ||
| + | *Echo Request (Typ 128) und Echo Reply (Typ 129): | ||
| + | *Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können. | ||
| + | *Destination Unreachable (Typ 1): | ||
| + | *Time Exceeded (Typ 3): | ||
| + | ==Von Innen nach Aussen== | ||
| + | *Echo Request (Typ 128) und Echo Reply (Typ 129): | ||
| + | *Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können. | ||
| + | *Destination Unreachable (Typ 1): | ||
| + | *Time Exceeded (Typ 3): | ||
| + | ==Von der Firewall nach Aussen== | ||
| + | *Alles darf raus | ||
| + | ==Von Aussen zur Firewall== | ||
| + | *Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können. | ||
| + | *Destination Unreachable (Typ 1): | ||
| + | *Time Exceeded (Typ 3): | ||
| + | *Neighbor Solicitation (Typ 135) und Neighbor Advertisement (Typ 136): | ||
| + | *Router Solicitation (Typ 133) und Router Advertisement (Typ 134): | ||
| + | =IP6= | ||
| + | ==Von Innen nach Aussen== | ||
| + | *Nach Bedarf alles oder halt einschränken | ||
| + | ==Von Aussen nach Innen == | ||
| + | *Immer alles verbieten und nach und nach bei Bedarf freischalten. | ||
| + | ==Von Aussen zur Firewall== | ||
| + | *DHCPv6 Server-Antworten: ip6 dport 547 accept | ||
| + | *DHCPv6 Client-Anfragen: ip6 sport 547 accept | ||
| + | *Immer alles verbieten und nach und nach bei Bedarf freischalten. | ||
| + | ==Von der Firewall nach Aussen == | ||
| + | *Alles darf raus | ||
| + | =Labornetz= | ||
Aktuelle Version vom 19. Februar 2025, 12:19 Uhr
Grundsätzliches
- IPv6 soll den ursprünglichen Ansatz der Ende zu Ende Verbindung wiederherstellen.
- Nat entfällt, da alle Adressen geroutet werden.
- Nat hat bei IPv4 für ein "gewisses" Mass an Sicherheit gesorgt.
- Dies muss jetzt durch ein Firewallregelwerk übernommen werden.
Proxymechanismus
- Ein weiterer Punkt ist der Proxymechanismus auf Applikationsebene.
- Dies hat nicht nur das Problem der begrennzten Anzahl an IP Adressen gelöst.
- Es kamen auch Filtermechanismen zum Einsatz.
- Wie sich die Sache mit IPv6 entwickelt wird man sehen.
ICMPv6
- ICMPv6 spielt eine viel grössere Rollen als ICMPv4.
- Unter IPv4 war es möglich ICMP komplett abzuschalten.
- Das geht bei ICMPv6 nicht mehr.
- ARP wurde durch NDP ersetzt und muss zwingend freigeschaltet sein.
- Die Fragmentierung soll nun der Absender übernehmen.
- Darum sollten auch Nachrichten vom problematischen Router zum Absender gelangen.
Einfacher Ansatz
- Von Aussen nur das nötigste reinlassen.
- Alles von Innen nach Aussen lassen.
Welche ICMPv6 Pakete soll man wo wie reinlassen
Von Aussen nach Innen
- Echo Request (Typ 128) und Echo Reply (Typ 129):
- Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
- Destination Unreachable (Typ 1):
- Time Exceeded (Typ 3):
Von Innen nach Aussen
- Echo Request (Typ 128) und Echo Reply (Typ 129):
- Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
- Destination Unreachable (Typ 1):
- Time Exceeded (Typ 3):
Von der Firewall nach Aussen
- Alles darf raus
Von Aussen zur Firewall
- Packet Too Big (Typ 2): Damit Router den Absender über zu große Pakete informieren können.
- Destination Unreachable (Typ 1):
- Time Exceeded (Typ 3):
- Neighbor Solicitation (Typ 135) und Neighbor Advertisement (Typ 136):
- Router Solicitation (Typ 133) und Router Advertisement (Typ 134):
IP6
Von Innen nach Aussen
- Nach Bedarf alles oder halt einschränken
Von Aussen nach Innen
- Immer alles verbieten und nach und nach bei Bedarf freischalten.
Von Aussen zur Firewall
- DHCPv6 Server-Antworten: ip6 dport 547 accept
- DHCPv6 Client-Anfragen: ip6 sport 547 accept
- Immer alles verbieten und nach und nach bei Bedarf freischalten.
Von der Firewall nach Aussen
- Alles darf raus