IPv6 Suomessa

[JiiPee]

Onko kenelläkään kokemusta Fortigate tuottiesta WAN puolelle saa kiltisti ipv6 autoconfig asetukssilla , elisa mobiili liitymä kyseessä. Lan puolelle ei , mitä asetuksia pitäisi muokata jotta onnistuisi saamaan ipv6 käyttöön.

Jos ellu jakelee /64 prefiksiä niin sitten on samat haasteet kuin dna:n mobiilissa, eli ilman purkka virityksiä ei saa toimimaan. OpenWRT:ssä on relay purkkaviritys jolla saa toimimaan.

 

[mikajh]

OpenWRT:ssä on relay purkkaviritys jolla saa toimimaan

Ilmeisesti tuossakaan ei saa mitään palomuurisääntöjä aikaiseksi, koska WAN-interfacessa on pelkkä link local -osoite. Tietysti jos LANiin tekee ULA-avaruuden niin sitten voi, mutta sitten LANissa ei ole globaalisti routattavia osoitteita ollenkaan

 

[Pakana]

Ilmeisesti tuossakaan ei saa mitään palomuurisääntöjä aikaiseksi, koska WAN-interfacessa on pelkkä link local -osoite. Tietysti jos LANiin tekee ULA-avaruuden niin sitten voi, mutta sitten LANissa ei ole globaalisti routattavia osoitteita ollenkaan

Öö, mä en ole joutunut tuota noin toteuttamaan, kun saan 56 prefixin, mutta kyllä sen palomuurin siihen mielestäni pystyy asettamaan rajoittamalla liikennettä interfacesta tai zonesta.

 

[JiiPee]

Ilmeisesti tuossakaan ei saa mitään palomuurisääntöjä aikaiseksi, koska WAN-interfacessa on pelkkä link local -osoite. Tietysti jos LANiin tekee ULA-avaruuden niin sitten voi, mutta sitten LANissa ei ole globaalisti routattavia osoitteita ollenkaan

Jos nyt kyse openwrt:stä niin kyllä itkumuuri virityksiä pystyy tekemään tuon purkan kanssa.

 

[love_doctor]

Onko tosta muuten arvauksia, miksi Suomessa on nyt 2024 lähtenyt IPv6-adoptio laskuun esim. Facebookin mukaan? Luvut on nyt 31-37 %:ssa, kun parhaimmillaan ollut 50%. Tänä vuonna on päästy niin alas, että adoptiokäyrissä palattu noin 5-6 vuotta taaksepäin päivästä riippuen. Ilmeisesti operaattorit ovat oletusasetuksista säätäneet pois IPv6:n ? Tuntuu oudolta kun samaan aikaan esim. Elisa on tuonut IPv6:n kiinteisiin. Samoin uudempi laitekanta kai tukee paremmin. Jokin ei täsmää.

Samaan aikaan monessa muussa maassa on ollut pelkkää tasaista kasvua. 20 maassa jo yli puolet FB-yhteyksistä vaikuttaisi olevan IPv6:lla. Suomea edellä on 32 maata eli 16,6% maailmasta.

 

[Mco]

Onko tosta muuten arvauksia, miksi Suomessa on nyt 2024 lähtenyt IPv6-adoptio laskuun esim. Facebookin mukaan? Luvut on nyt 31-37 %:ssa, kun parhaimmillaan ollut 50%. Tänä vuonna on päästy niin alas, että adoptiokäyrissä palattu noin 5-6 vuotta taaksepäin päivästä riippuen. Ilmeisesti operaattorit ovat oletusasetuksista säätäneet pois IPv6:n ? Tuntuu oudolta kun samaan aikaan esim. Elisa on tuonut IPv6:n kiinteisiin. Samoin uudempi laitekanta kai tukee paremmin. Jokin ei täsmää.

Samaan aikaan monessa muussa maassa on ollut pelkkää tasaista kasvua. 20 maassa jo yli puolet FB-yhteyksistä vaikuttaisi olevan IPv6:lla. Suomea edellä on 32 maata eli 16,6% maailmasta.

Veikkaisin, että tämä oli korona-ajan aiheuttama vääristymä. Ihmiset olivat kotonaan IPv6-mobiilinettien kanssa. Nyt osa on siirtynyt takaisin toimistolle, jossa on edelleen kiinteät liittymät ja todennäköisesti pelkkä IPv4.

 

[love_doctor]

Veikkaisin, että tämä oli korona-ajan aiheuttama vääristymä. Ihmiset olivat kotonaan IPv6-mobiilinettien kanssa. Nyt osa on siirtynyt takaisin toimistolle, jossa on edelleen kiinteät liittymät ja todennäköisesti pelkkä IPv4.

Niin voi olla. Luku on silti aika matala. Esim. DNA:lla ja Elisalla on kai kaikissa mobiililiittymissä IPv6 ja Telian markkinaosuus noin 30%. Telialla on 6rd, mutta se on kai vähän heikosti käytössä ainakin mobiilissa. DSL/kaapelipuolella voi osa käyttääkin, jos laitteissa on tuki. Eli kaiken kaikkiaan penetraation pitäisi omien laitteiden osalta olla luokkaa 66%.

 

[Obi-Lan]

Elisan kaapelimodeemi liittymässä lähti IPv6 pelittämään OPNsense muurin kanssa. Se on neuvotellut oman verkon WAN interfaceen /128 prefixillä ja LAN interfaceen sitten oman /56 prefixillä. Vähän kiinnoistaisi tietää millä logiikalla noi tulee, hakeeko OPNSense Elisalta verkkoja interfaceille ja Elisalla slaac/dhcpv6 sitten päättää että mitä verkkoja jokainen interface saa?

 

[mikajh]

Se on neuvotellut oman verkon WAN interfaceen /128 prefixillä ja LAN interfaceen sitten oman /56 prefixillä.

Vai onko se WAN-interfacen osoite kuitenkin link local, jolloin sinulla on jaettavana täydet 2^(64-56) = 256 globaalisti reititettävää subnetia. Jokaisessa subnetissa on 2^64 interfacelle osoitteita. Jos muutat LAN:in käyttämään /64 -kokoista prefixiä, niin saat lisäksi 255 muuta samanlaista. Kaikki on kiinni siitä, miten konffaat OPNsensen, Elisalla ei ole mitään tekemistä enää tuon /56:n viipaloinnin kanssa.

 

[Obi-Lan]

Vai onko se WAN-interfacen osoite kuitenkin link local, jolloin sinulla on jaettavana täydet 2^(64-56) = 256 globaalisti reititettävää subnetia. Jokaisessa subnetissa on 2^64 interfacelle osoitteita. Jos muutat LAN:in käyttämään /64 -kokoista prefixiä, niin saat lisäksi 255 muuta samanlaista. Kaikki on kiinni siitä, miten konffaat OPNsensen, Elisalla ei ole mitään tekemistä enää tuon /56:n viipaloinnin kanssa.

WAN interface saa sekä link local että julkinen /128 prefixin ja se ei itseasiassa ole samassa subnetissä tuon /56 kanssa.

Nyt ehkä tajusin OPNSensen logiikka, eli WAN interfacen alla on "Prefix delegation size" mikä on oletuksena 64 ja vaikka operaattori antaa 56 niin OPNsense käyttäytyy niin kuin se olisi 64. Muutin tuon asetuksen -> 56 jolloin OPNsense alkoikin automaattisesti pilkkoa sitä /64 verkkoihin. Useamman interfacen kanssa pitää antaa "IPv6 Prefix ID" minkä se laittaa subnetin osoitteeksi.

 

[Marquette]

Ipv6 Suomessa, oma havainto

Mulla on ollut jo kauan Dna,Elisa 4G liittymissä. Nyt kun halusin tehdä yhden testailun johon tarvin toista tuttavaa kotikäyttäjää, niin hämmästyin kovasti .. kenelläkään 6-7:stä jolta kysyin, ei ollut ipv6 käytössä. Eivätkä nämä olleet mitään mökin mummoja ja vaareja, vaikkei nyt parikymppisiäkään.

Yleisin syy oli se, että firma maksaa liittymän ja firman tietoturvapolitiikan mukaan ipv6 ei saa olla päällä ja se on sieltä operaattorin puolesta kai disabloitu. Toiseksi yleisin tuntuu olevan, että valokuitu omakoti/rivi/kerrostaloon ei sisällä ipv6 syystä tai toisesta.

Mutta että 6-7 tuttavaa kysytty nyt ja ei uskoisi että eletään jo vuotta 2024 ja Dna:t ja muut kehuu sivuillaan, että jopa 97%:iin heidän liittymistään tulee jo ipv6.

Esim. Lounea valokuitu, siihen saa ipv6:n ilmaiseksi erillisellä pyynnöllä. Tämä on jotenkin järjenvastaista, jos ne ipv4-osoitteet on jo lähes loppu ja maailman pitäisi siirtyä ipv6:een niin tuohan jarruttaa kehitystä kovasti kun eihän niitä sitten ihmismassat osaa/jaksa pyytää.

 

[Marquette]

Onko tosta muuten arvauksia, miksi Suomessa on nyt 2024 lähtenyt IPv6-adoptio laskuun esim. Facebookin mukaan? Luvut on nyt 31-37 %:ssa, kun parhaimmillaan ollut

Ruotsissa käppyrä on ihan eri näköinen .. Suomen on tosiaan kummallinen. Valokuituun siirtyneitä entisiä 4G käyttäjiä?

 

[vesas]

Esim. Lounea valokuitu, siihen saa ipv6:n ilmaiseksi erillisellä pyynnöllä. Tämä on jotenkin järjenvastaista, jos ne ipv4-osoitteet on jo lähes loppu ja maailman pitäisi siirtyä ipv6:een niin tuohan jarruttaa kehitystä kovasti kun eihän niitä sitten ihmismassat osaa/jaksa pyytää.

Lounean kohdalla asia on hiukan ymmärrettävämpi kun tietää ko. kioskin historiaa. Eli Lounean netti on ollut alusta lähtien "ethernet portti seinässä" josta saa internetin as-is. Joten tuolla on paljon asiakkailla hyvinkin vanhaa palomuuri-reititin-wlan-ap töllkiä käytössä. IPv6 on tainut olla Lounealla tarjolla pyynnöstä myös noin aina sen julkisen IPv4 osoitteen lisänä. Lounean historia on Salon Seudun Puhelin Oy ja jo heillä oli IPv6 käytössä. On tunnettu tosiasia että melkoinen osa vanhoista kotikäyttötölkeistä tukee IPv6:sta mutta eivät toteuta mitään palomuuria sinne joten tälläisen asiakaskunnan kanssa yhtäkkinen IPv6 tulo toisi melkoisen ongelmakasan.

 

[love_doctor]

Yleisin syy oli se, että firma maksaa liittymän ja firman tietoturvapolitiikan mukaan ipv6 ei saa olla päällä ja se on sieltä operaattorin puolesta kai disabloitu. Toiseksi yleisin tuntuu olevan, että valokuitu omakoti/rivi/kerrostaloon ei sisällä ipv6 syystä tai toisesta.

Joo sama täällä. IT-ylläpito jossain vaiheessa sanonut, että vain kuolleen ruumiin yli ipv6. Nyt kuitenkin jossain vps-pannuissa on link local -osoitteet joten sitä ei ole täysin disabloitu.

Esim. Lounea valokuitu, siihen saa ipv6:n ilmaiseksi erillisellä pyynnöllä. Tämä on jotenkin järjenvastaista, jos ne ipv4-osoitteet on jo lähes loppu ja maailman pitäisi siirtyä ipv6:een niin tuohan jarruttaa kehitystä kovasti kun eihän niitä sitten ihmismassat osaa/jaksa pyytää.

Osalla kai väärin konffatut ja päivittämättömät laitteet aiheuttavat yhteyden katkeilua ipv6:lla. Lounealla ehkä politiikka, että jos haluaa ipv6:n, niin voi syy pätkimiseen on ihan oma.

Ruotsissa käppyrä on ihan eri näköinen .. Suomen on tosiaan kummallinen. Valokuituun siirtyneitä entisiä 4G käyttäjiä?

Luin keskustelua Telian foorumilta ja siellä tiedettiin, että Telia siirtyy Suomessa viimeisenä ipv6-aikaan pohjoismaista. Muualla on jo pidemmällä. Oliko nyt Norjassa vai Ruotsissa, kun viranomaisilta tullut jo vähän kepillä uhkailua.

Huikeasti adoptio kasvanut kyllä kun jo 20 maassa suurin osa käyttää FB:tä ipv6:lla. Noin 10 maata on lähellä myös tuota taitekohtaa. Noin sata maata on yhdessä prosentissa tai alle.

 

[ztec]

firman tietoturvapolitiikan mukaan ipv6 ei saa olla päällä

Jep, tähän on törmätty. Turvallisuusauditissa tullut huutoa, että koneella on IPv6 osoite. IPv6 on kuulemma vaarallinen protokolla ja pitää ehdottomasti kytkeä pois käytöstä. -> Näin on sittemmin aina toimittu.

 

[JiiPee]

Jep, tähän on törmätty. Turvallisuusauditissa tullut huutoa, että koneella on IPv6 osoite. IPv6 on kuulemma vaarallinen protokolla ja pitää ehdottomasti kytkeä pois käytöstä. -> Näin on sittemmin aina toimittu.

IPv6 on esim pimpotukselle aika resiili koska osoitteita on niin paljon että summamutikassa on turha alkaa pimpottaa.

 

[love_doctor]

Jep, tähän on törmätty. Turvallisuusauditissa tullut huutoa, että koneella on IPv6 osoite. IPv6 on kuulemma vaarallinen protokolla ja pitää ehdottomasti kytkeä pois käytöstä. -> Näin on sittemmin aina toimittu.

CGNAT ja tupla- tai triplanatti ilman porttien ohjausta vielä omille laitteille (esim. aina nettiin firman reitittimen läpi), niin on tietoturva kunnossa. /s

 

[Obi-Lan]

Yksi semi perusteltu syy on jos firmalla ei ole IPv6 verkkoa confattuna niin jokuhan voi tuoda siihen IPv6 only reitittimen millä voi luoda "varjoverkon" mitä IPv4 romut, ids tai palomuurivehkeet tunnista. Verkkojen kanssa on voinut vetää samoilla tiedoilla viimeiset 20 vuotta tai ylikin niin luulen, että suurin osa ei vaan jaksa opiskella tai panostaa ennen kuin on vihoviimeinen pakko.

 

[vesas]

Tuo yritysten suhtautuminen IPv6 maailmaan kyllä tosiaan vaihtelee. Eräässä Suomen mittakaavassa isohkossa yrityksessä IPv6 on ollut arkipäivää jo pitkään. Aiheuttaa jossain asiasta tietäväisissä aina ihmetystä kun esim. etätöissä kone saa VPN:än läpi vain IPv6 yhteyden. IPv6:della kun saa isommakin lafkan reitettyä näppärämmin kuin joka toimipisteen IPv4 NAT virityksillä. Samoin tuonne saa rakennettua palomuuraukset sinne minne tarttee eikä niihin puolipakollisiin NAT:eihin.

Mutta tämä on sillai että miten kukin osaa.

 

[pulatunnus]

CGNAT ja tupla- tai triplanatti ilman porttien ohjausta vielä omille laitteille (esim. aina nettiin firman reitittimen läpi), niin on tietoturva kunnossa. /s

(Joo, ymmärsin että sarkasmia, ) mutta tainnut näissäkin ketjussa noin moni tosissaan ajatella.

Mutta ymärtää senkin että monelle organisaatiolle IPv6 kyse asiasta mikä jonossa, huomenna, mutta ensin tämä kiireellisempi. Odottaa sitä että tehdään päätös että tärkeä ja sille annettaan resurssit mistä pidetään kiinni.

 

[Pakana]

Jep, tähän on törmätty. Turvallisuusauditissa tullut huutoa, että koneella on IPv6 osoite. IPv6 on kuulemma vaarallinen protokolla ja pitää ehdottomasti kytkeä pois käytöstä. -> Näin on sittemmin aina toimittu.

Mitenköhän ne tuon ipv6:n määrittelee vaaralliseksi?

 

[pulatunnus]

Mitenköhän ne tuon ipv6:n määrittelee vaaralliseksi?

Tuon firman vastausta odottellessa, Obi-Lan kommentoi riskejä yleisemmin. (lopussa lainaus*)

Eli jos verkko on IPv4, niin siellä mahdollisesti on puutteellisesti huomioitu IPv6 jutut, tai ainakin korkeampi riski että IPv6 liikenne pääsee läpi,jostain kytkimestä ym, ja seuranta ja hälyissä voi olla aukkoja. Siis en tarkoita etteikö olisi estetty, ja nuuskintaa, vaan sitä että riski kasvaa jos joku käyttäjä ruksii IPv6 päälle, tai kytkee verkkoon omatoimisesti laitteen jossa IPv6 käytössä.

Ja niissä tilanteissa missä sinänsä on IPv6 liikenne estetty, ja päätelaitteista tuki ruksittu pois, niin silloin taasen viestii sitä että nimenomaan ne kuuluu olla pois ja sitä myös valvotaan. Jos käyttäjä voi omatoimisesti tuksiä päälle, niin sitten käyttäjä koulutetaan siihen ettei ruksi.

Yksi semi perusteltu syy on jos firmalla ei ole IPv6 verkkoa confattuna niin jokuhan voi tuoda siihen IPv6 only reitittimen millä voi luoda "varjoverkon" mitä IPv4 romut, ids tai palomuurivehkeet tunnista. Verkkojen kanssa on voinut vetää samoilla tiedoilla viimeiset 20 vuotta tai ylikin niin luulen, että suurin osa ei vaan jaksa opiskella tai panostaa ennen kuin on vihoviimeinen pakko.

Edit.
Eli vaikka verkko olisi suunniteltu ja toteutettu niin ettei sillä IPv6 liikenne liiku, niin silti perusteltu myös se että kielletään verkkoon kytkemästä IPv6 tuellisia laitteita, sillä piennenetään sitä riskiä jos jostain yksi kerros petää, niin seuraava kerros vielä jarrutaa. Ja jos joskus IPv6 otetaan käyttöön, niin tiedetään, tai oletetaan ettei verkossa ole enemmän tai vähemmän tuntemattomia riskialttiitan IPv6 komponentteja.

 

[JiiPee]

Eli vaikka verkko olisi suunniteltu ja toteutettu niin ettei sillä IPv6 liikenne liiku, niin silti perusteltu myös se että kielletään verkkoon kytkemästä IPv6 tuellisia laitteita, sillä piennenetään sitä riskiä jos jostain yksi kerros petää, niin seuraava kerros vielä jarrutaa. Ja jos joskus IPv6 otetaan käyttöön, niin tiedetään, tai oletetaan ettei verkossa ole enemmän tai vähemmän tuntemattomia riskialttiitan IPv6 komponentteja.

Noo siinähän on työmaata jos meinaa ruveta kieltämään IPv6 tuelliset laitteet. Monesta laitteesta kun ei nykyisin edes saa IPv6 tukea pois ainakaan kovinkaan helposti.

 

[mikajh]

Mitenköhän ne tuon ipv6:n määrittelee vaaralliseksi?

Tarjoaahan se uusia mahdollisuuksia töpeksiä. Esim. määritellä yrityksen toimistojen välillä liikenne niin, ettei se mene VPN-putkessa, vaan suoraan
E: Virtual Private Networks — IPv6 VPN and Firewall Rules | pfSense Documentation

 

[pulatunnus]

Noo siinähän on työmaata jos meinaa ruveta kieltämään IPv6 tuelliset laitteet. Monesta laitteesta kun ei nykyisin edes saa IPv6 tukea pois ainakaan kovinkaan helposti.

Tuossa oli vähän se ajatus että jos joku käyttäjä saa liittää omatoimisesti laitteen, niin se kielletty, jos ei osaa rapsia sitä (IPv6) pois käytöstä, niin sitten ei liitä, ennen kuin saanut luvan. Jos taasen kyse laitteista joille on pitänyt saada lupa muutenkin, niin se sitten hyväksytty (ja miten saa), tai sitten kielletty.

No talon tietokoneen osalta käyttäjän ei välttämättä tarvi miettiä, jos ei edes oikeuksia käpistellä verkkoasetuksia. Mutta jos tehtävän takia saanut tukevammat oikeudet, niin joutuu ottamaan myös vastuuta. Tai saanut luvan käyttää "omia" laitteita.

 

[Pakana]

Eikö se nyt että käyttäjät saavat liittää omia laitteitaan ole jo itsessään ihan helvetin iso turvallisuusriski verrattuna siihen että ipv6 on käytössä?

Firman it porukalla on kuitenkin kaikki työkalut hoitaa tuo ipv6 kuntoon, toisin kuin käyttäjien omat random laitteet, jossa voi olla jo ihan tehdasasenteisena putki maailmalle auki.

 

[JiiPee]

Tuossa kun aiemmin mainitsin että IPv6 verkossa pimpotus aika turhaa touhua niin tässähän on itseasiassa annettu hiukan aikojakin.

https://www.ietf.org/rfc/rfc5157.html#section-2.2

 

[pulatunnus]

Eikö se nyt että käyttäjät saavat liittää omia laitteitaan ole jo itsessään ihan helvetin iso turvallisuusriski verrattuna siihen että ipv6 on käytössä?

Se IPv6 toki riski jos ei ole IPv6 varauduttu ja käyttäjä saa kytkeä oman laitteen verkkoon.
Se mitä tuossa aiemmin, niin ei ihan selvinnyt oliko kyse siitä että käyttäjät noin yleensä saa käyttää esim omaa tietokonetta töissä jos noudattaa annettuja ohjeita. Vai oliko kyse tehtävästä missä tehtävän takia annettu keskiverto heppua enemmän vastuuta ja lupia. Vai oliko ihan IT porukkaa, jota oli pää konttorilta/ulkopioliselta taholta ohjeistettu, kun oli perehdetty porukan toimintaan.

Tuossa kun aiemmin mainitsin että IPv6 verkossa pimpotus aika turhaa touhua niin tässähän on itseasiassa annettu hiukan aikojakin.

https://www.ietf.org/rfc/rfc5157.html#section-2.2

Nopeasti lukastuna, niin ulkohyäkkäävän osalta pienestä ajasta (jos potenttiaaliset haarukoitu muutoin) aina oliko se viiteen miljardiin vuoteen 64 bitti aliverkon pimputtaminen sekuntti per IP.

Noin maalikkona pointti kai se että raalla kokeilulla tarttuu paljon helpommin eri tason suojiin. Maalikkona edelleen, jos miettii laitetta joka on yhteydessä ulos vihamielliselle näkyvästi, esim selaimella varustettu laite jolla käyttäjä yhteydess vihamieliselle palvelimelle, tai yhtes vihamielisen tahon läpi. Se vuotaa ko IPn ja voi joissain tapauksissa helpottaa löytämään muitakin potenttiaalisia IP osoitteita.

Ei tuo ole IPv6 heikkous.

 

[Obi-Lan]

Windowsissa on oletuksena IPv6 päällä ja se priorisoi IPv6 osoitteita. Eli jos kytkinverkossa ei ole porttiautentikointia tms (harvemmin on) niin siihen voisi kytkeä IPv6 reitittimen ja IPv6 DNS palvelimen kautta esim. ohjata liikennettä jonnekin muualle kuin pitäisi. Toki mikään ei estäisi myöskään kytkemästä IPv4 DHCP purkkia, mutta se huomattaisiin varmaan nopeammin.

Microsoftin Direct Access on/oli puhtaasti IPv6 pohjainen, silloin tuli huomattua kaikki ne softat joita ei oltu edes koodattu toimimaan IPv6 kanssa. Se oli ehkä vähän aikaansa edellä ja kovinkaan moni ei tuntunut tajuavan sen toimintaa.

10v sitten myytiin vielä palomuureja joiden spekseissä luki "IPv6 support", mutta joillakin laitteilla ei pystynyt edes tekemään IPv6 palomuurisääntöjä. Kunhan oli lisätty feature jotta saatiin jossain rasti ruutuun.

 

[JiiPee]

10v sitten myytiin vielä palomuureja joiden spekseissä luki "IPv6 support", mutta joillakin laitteilla ei pystynyt edes tekemään IPv6 palomuurisääntöjä. Kunhan oli lisätty feature jotta saatiin jossain rasti ruutuun.

No se support voi tarkoittaa ihan vaikka että se laskee IPv6 liikenteen läpi ;D

 

[mikajh]

10v sitten myytiin vielä palomuureja joiden spekseissä luki "IPv6 support", mutta joillakin laitteilla ei pystynyt edes tekemään IPv6 palomuurisääntöjä.

Eihän useimmilla rauta-SOHO-reititin/palomuureilla voi tehdä tänäkään päivänä

 

[pulatunnus]

Eihän useimmilla rauta-SOHO-reititin/palomuureilla voi tehdä tänäkään päivänä

Perus kotipurkissa tärkeintä kai että siellä on jonkinlainen palomuuri, joka noin oletuksena estää tulevan liikenteen ja onnistuu aukomaan tarvittavat portit auki, eli lähinnä vertautuu tuontason perus IPv4 reittimeen jossa kevyt palomuuri.

En tiedä, enkä väitä, mutta kuvitellut että aika yleistä että on myös jotain rukseja joilla voi vähän avittaa/säädellä. vaikka ihan monipuolisemmat säännöt puuttuisi. Niukkoja ne IPv4 puolellakkin perinteisesti.

Mikäs muuten laitteissa ja asiakkaissa on tuki näillä ohjaus protokollille millä niitä portteja voisi aukoa.

 

[Pakana]

Ei mun mielestä perustason kotireitittimessä tarvita muuta kuin palomuuri joka blokkaa kaiken liikenteen sisäänpäin.

Porttien avaaminen on kuitenkin jo sellainen asia että käyttäjän pitäisi tajuta hommasta jo jotain.

 

[pulatunnus]

Ei mun mielestä perustason kotireitittimessä tarvita muuta kuin palomuuri joka blokkaa kaiken liikenteen sisäänpäin.

Ymmärrän ettet ihan tuota sanatarkasti tarkoittanut, mutta kommentoin, jos ja kun jossain käyttöliitymässä voi olla noin tiukka toiminto. (osalla varsinkin se IPv6 käyttöön otto tökkää siihen että estetty kaikki tuleva liikenne, tulevaa IPv4 liikennettä ei yleensä estetä kokonaan oletuksena) (*

Eli jos ja kun tarkoitat sitä että se palomuuri oletusarvoisesti estää tuntemattoman tulevan ja automaattisesti availee portit, sen mukaan mitä ulospäin liikenteen perusteella voi arpoa. Kotireittimiin on nykyään entistä useammin leivottu "palvelu" pohjaisia ominaisuuksia, eli voivat olla jo aika kyvykkäitä arpomaan, tosin kyky voi tuoda myös estoja millä estetään jokin laitteen yhteyksiä. vaikka käyttäjä tietoisesti haluaisi.



(*
Yleistäen, on joo reittimiä missä oletuksen kaikki IP tuleva estetty eteenpäin.

 

[JiiPee]

Ymmärrän ettet ihan tuota sanatarkasti tarkoittanut, mutta kommentoin, jos ja kun jossain käyttöliitymässä voi olla noin tiukka toiminto. (osalla varsinkin se IPv6 käyttöön otto tökkää siihen että estetty kaikki tuleva liikenne, tulevaa IPv4 liikennettä ei yleensä estetä kokonaan oletuksena) (*

Eli jos ja kun tarkoitat sitä että se palomuuri oletusarvoisesti estää tuntemattoman tulevan ja automaattisesti availee portit, sen mukaan mitä ulospäin liikenteen perusteella voi arpoa. Kotireittimiin on nykyään entistä useammin leivottu "palvelu" pohjaisia ominaisuuksia, eli voivat olla jo aika kyvykkäitä arpomaan, tosin kyky voi tuoda myös estoja millä estetään jokin laitteen yhteyksiä. vaikka käyttäjä tietoisesti haluaisi.



(*
Yleistäen, on joo reittimiä missä oletuksen kaikki IP tuleva estetty eteenpäin.

Kyllä se monesti vaan on nimenomaan niin että kaikki sisään on estetty. Viimeistään sitten sen NAT:n toimesta jos ei itkumuurin.

Siinä esim OpenWRT vakio säännöt. Kaikki on siis estetty vvakiona paitsi nuo mitä on sallittu. Se ei ole paljon. IPSEC, DHCP ja hiukan ICMP:tä auki. Nihilistit blokkaa ICMP:n myös.

 

[pulatunnus]

Kyllä se monesti vaan on nimenomaan niin että kaikki sisään on estetty. Viimeistään sitten sen NAT:n toimesta jos ei itkumuurin.



Siinä esim OpenWRT vakio säännöt. Kaikki on siis estetty vvakiona paitsi nuo mitä on sallittu. Se ei ole paljon. IPSEC, DHCP ja hiukan ICMP:tä auki. Nihilistit blokkaa ICMP:n myös.

En ihan varma mitä kukin tarkoitetaan kun korostetaan kaikki sisäänpäin estetty, täytyyhän sen päästää läpi pakettiliikenteen selkeät vastaukset ja arpoa niiden lisäksi ei niin ilmeiset. Jos siis ei ole käyttöliittymää, niin sen palumuurin täytyy kyllä aika omatoimiesti hoitaa homma.

Jos käyttöliittymässä jotain niin se sitten antaa käytäjälle valinnan mahdollisuuksia, ja ainakin joskus ollut reittimiä jossa tosiaan kaikki tuleva IPv6 estetty oletuksena, mistä sitten niitä haasteita käyttöön otossa.

On IPv4 puolellakkin ollut kaikki oletuksen estettynä, mutta ainakin ennen moni toimi ihan narut ja sähköt kiinni, joissain sitten joku pakko velho mikä pitää kuittailla. sekin usein lähinnä wifi ja hallinnan pääsyjuttujen pokkomääritys.

 

[Obi-Lan]

En ihan varma mitä kukin tarkoitetaan kun korostetaan kaikki sisäänpäin estetty, täytyyhän sen päästää läpi pakettiliikenteen selkeät vastaukset ja arpoa niiden lisäksi ei niin ilmeiset. Jos siis ei ole käyttöliittymää, niin sen palumuurin täytyy kyllä aika omatoimiesti hoitaa homma.

Eiköhän suurin osa muureista nykyään ole jo tilallisia (statefull firewall) eli se muuri pitää kirjaa sessioista ja päästää vastauspaketit läpi, silloin ei tarvitse tehdä palomuurisääntöjä paluuliikenteelle. Ja tilallista muurausta voi tehdä myös IPv6 liikenteelle, esim. OPNSense voi tehdä palomuurisäännön IPv4, IPv6 tai IPv4+IPv6 pinoille. Mutta jotkut valmistajat eivät ole jaksaneet vieläkään toteuttaa täyttä IPv6 toiminnallisuutta ja erään yritysmuureja tekevän valmistajan eka IPv6 implementaatio oli pelkkä reititys.

 

[Frankie]

Niin kauan kuin mä olen muurien kanssa ollut tekemisissä, paluupaketit päästetään läpi. Ei siinä avata mitään portteja, vaan tutkitaan tilataulua. Joten oletuksena ulkoa päin tuleva liikenne hoituu yhdellä geneerisellä blokkaavalla säännöllä.

 

[Pakana]

No eihän nyt yleisesti sisäänpäin tulevalla liikenteellä vastauspaketteja tarkoiteta, vaan ulkopuolelta tulevia kyselyitä.

Tietysti myös ulospäin lähtevää liikennettä voidaan palomuurilla rajata, mutta siinä perus kuluttajareitittimessä ei ole tuollekaan tarvetta. Tai, windows jakojen portit on kai yleensä kiinni ulospäin...

 

[ztec]

Mitenköhän ne tuon ipv6:n määrittelee vaaralliseksi?

Sehän on hirvittävän helppoa. Vain välttämättömät ja tarpeelliset asiat on sallittu. Kaikki muu on kiellettyä, potentiaalisesti vaarallisena ja turhana. - Tuohan nyt on muutenkin ihan perus mantra. Koskee aivan kaikkea softista, hariksesta, konfiguraatioista ja käyttöoikeuksista alkaen (niin fyysiset kun virtuaalisetkin). Voitko perustella järkevästi miksi tämä asia on välttämätön liiketoiminnan kannalta? Onko se toteutettu turvallisesti ja aukottomasti? Ai ei ja ei? No, mitäpä luulet että vastaus on, se tietenkin kiellettyä ja vaarallista.

Tuossa mielessä nykyjään käyttikset ja melkein kaikki plattarit on ihan katastrofaalisia. Kun niissä on niin järjettömät määrät kakkaa valmiina. Ihan hirveä duuni poistaa kaikki. Oikein suunnitelluissa järjestelmissä ei ole mitään valmiina ja vain välttämättömät komponentit asennetaan järjestelmään. Alkaen ihan kernel moduleista. Jos IPv6 on kielletty, miksi kernelissä olisi tuki sille? Jokainen turha asia lisää hyökkäyspinta-alaa moneltakin kantilta.