Privacy Extensions und Adressierung in der Firewall

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Privacy Extensions und Adressierung in der Firewall

Beitrag von rrr »

Gibt es mittlerweile die Möglichkeit in der IPv6-Firewall einzelne/mehrere Stationen - trotz am Client eingeschalteter Privacy Extensions - zu adressieren?

Ich würde gerne, wie bei IPv4, einzelnen Stationen den Zugriff aufs Internet beschränken. Bei IPv4 kann ich die Station problemlos via MAC oder IP-Adresse angeben.
Warum kann ich nicht zumindest in der IPv6-Firewall die MAC-Adresse verwenden? Diese ist dem LANCOM-Router ja bekannt...
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von GrandDixence »

MAC-Adressen sind leicht fälschbar. Die Google-Suche liefert genügend Anleitungen dazu. Deshalb sollten für sicherheitsrelevante Anwendungen, wie Firewall, keine MAC-Adressangaben verwendet werden. Für den Netzwerkzutritt und die Zutrittsregelung (Internetzugang ja/nein) sollte 802.1x in Verbindung mit VLAN/ARF verwendet werden. Siehe auch:
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98556

https://www.msxfaq.de/windows/sicherheit/8021x.htm
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von rrr »

Das MAC-Adressen fälschbar sind ist mir bekannt. Hier geht es aber vorwiegend um kleinere (iOT) Devices. Da bekomme ich in der Regel keine Zertifikate drauf installiert.
Bisher unter IPv4 funktionierte es prima den Internetzugriff für ein VLAN generell zu sperren und nur einzelnen MAC-Adressen speziellere Firewallregeln zu verpassen. So sollte es eigentlich auch unter IPv6 funktionieren...
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von GrandDixence »

Unterstützt ein Netzwerkteilnehmer kein 802.1x, so ist dieser Netzwerkteilnehmer mit einem eigenen VLAN und/oder eigener WLAN-SSID vom restlichen Netzwerk zu isolieren.
viewtopic.php?f=41&t=16109&p=90529&hili ... ise#p90529

viewtopic.php?f=15&t=17569&p=99671#p99671
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von rrr »

Das mag für einzelne Geräte mit wenig Traffic auch gehen. Aber ich brauche eine Lösung, ohne alle Teilnehmer in einzelne VLANs zu verfrachten.

Bspw. sollen einzelne Teilnehmer mit tendentiell hohem Traffic, bei Ausfall der Internetverbindung, nicht die Backupleitung belasten.
Die betreffenden TN kann ich nicht in ein separates VLAN packen, da sie bereits intern eine hohe Datenlast zu anderen internen Teilnehmern haben. Dann wäre der LANCOM-Router nur noch mit Inter-VLAN Routing beschäftigt.

Gibt es keine simple Möglichkeit, wie bei IPv4, einen Teilnehmer via MAC-Adresse in der IPv6-Firewall zu adressieren?
roell.f
Beiträge: 59
Registriert: 04 Okt 2014, 11:39

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von roell.f »

Welchen Netzwerkverkehr soll die IPv6-Firewall filtern (eingehenden, ausgehenden, beides)?
Zu welchem Zweck soll der Filter geöffnet / geschlossen sein für die jeweilige Station / den Stationstyp?
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von rrr »

Es geht dabei nur um ausgehenden Datenverkehr. Überwiegend für die SSH & HTTP/HTTPS-Ports, aber durchaus auch für andere Ports.
Der Filter soll nur aktiv sein, wenn auch die Backupverbindung aktiv ist, damit diese nicht von den Clients mit extrem hohem Traffic ausgelastet ist.
roell.f
Beiträge: 59
Registriert: 04 Okt 2014, 11:39

Re: Privacy Extensions und Adressierung in der Firewall

Beitrag von roell.f »

Für den Fall ,dass die Forderung nach aktivierten Privacy Extensions (PEs) aufrecht erhalten werden soll, finde ich keine Möglichkeit die betroffenen Stationen der IPv6-Firewall bekannt zu geben.

Falls sich in den IoT-Stationen die PEs überhaupt abschalten lassen, wäre abzuwägen was den größeren Nutzen bringt: die PEs oder die mit deaktivierten PEs einrichtbaren Firewall-Regeln. Bei deaktivierten PEs kann ein Server leichter einen Benutzer tracken. Aber in Ihrem Fall wird der Netzwerkverkehr von IoT-Stationen erzeugt, d.h. selbst im schlechtesten Fall nur mittelbar von einem Benutzer geprägt. Deshalb tendiere ich zum Abschalten der PEs.
Antworten