Verständnisfrage zu DS-Lite

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Verständnisfrage zu DS-Lite

Beitrag von geppi »

Wie sieht es mit dem Schutz des lokalen Netzwerks aus wenn das Routing über einen DS-Lite Tunnel ohne Maskierung eingerichtet wird, d.h. nur auf der Provider Seite NAT gemacht wird?

Beim "Full-Stack" mit öffentlicher IPv4-Adresse sind die lokalen Netzwerke ja durch das NAT und die Stateful-Inspection im Lancom geschützt, die für Zugriffe von aussen eine implizite "Deny-All"-Strategie implementieren.

Wird diese implizite "Deny-All"-Strategie bei DS-Lite auch vom CG-NAT auf der Provider Seite gewährleistet, wenn für die Routen über einen solchen Tunnel die Maskierung auf dem Lancom ausgeschaltet ist?

Die Lancom IPv4-Firewall arbeitet standardmäßig ja mit einer "Allow-All"-Strategie. Wenn ich es richtig verstehe heißt das, für alles was über einen unmaskierten Tunnel kommt stehen die Türen weit offen. Da sollte das CG-NAT dann schon den Schutz nach außen gewährleisten.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Verständnisfrage zu DS-Lite

Beitrag von backslash »

Hi geppi
Beim "Full-Stack" mit öffentlicher IPv4-Adresse sind die lokalen Netzwerke ja durch das NAT und die Stateful-Inspection im Lancom geschützt, die für Zugriffe von aussen eine implizite "Deny-All"-Strategie implementieren.
nein... Die Firewall hat keine implizite "Deny-All" Stategie. Den einzigen "Schutz" den die das NAT bietret ist der, daß Sessions nur von "innen" nach "aussen" aufgebaut werden können. Wenn aber über das NAT ein Port "geöffnet" wurde, so können theoretisch auch von "aussen" über diesen Port Pakete injiziert werden - insbesondere bei UDP-Sessions. Dagegen hilft nur eine korrekt implementierte Deny-All-Staretgie in der Firewall
Wird diese implizite "Deny-All"-Strategie bei DS-Lite auch vom CG-NAT auf der Provider Seite gewährleistet, wenn für die Routen über einen solchen Tunnel die Maskierung auf dem Lancom ausgeschaltet ist?
beim CG-NAT macht der Providr das NAT, d.ho auch er läßt nur Sessions von "innen" nach "aussen" zu, hat aber genau wie das NAT des LANCOMs u.U. das Problem, daß über geöffnete Ports Pakete injiziert werden können. D.h. auch hier ist eine korrekt implementierte Deny-All-Staretgie in der Firewall anzuraten.

Zudem könnte ja auch noch ein Angreifer beim Provider selbst sitzen - und der hätte vollen Zugriff auf dein Netz, wenn du keine explizite Deny-All-Stategie in der Firewall nutzt.

Gegen dan Angreifer beim Provider hilft natürlich im Rahmen der Möglichkeiten das NAT am LANCOM auch auf der DS-Lite Verbindung einzuschalten. Aber wie gesagt: es ist kein vollständiger Schutz - den bietet nur eine explizite Deny-All-Strategie

Als Beispiel kannst du dir ja die Default-Konfiguration der IPv6-Firewall (Forwarding-Regeln) anschauen. Die erlauben nur den Aufbau von "innen" nach "aussen" (und zu VPN-Gegenstellen) und verbieten jeden eingehenden Traffic (außer von VPN-Gegenstellen)

Weitere Regeln sind dann eine Frage der persönlichen Paranoia...

Gruß
Backslash
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Verständnisfrage zu DS-Lite

Beitrag von geppi »

Hallo backslash,
backslash hat geschrieben: 20 Feb 2023, 10:46 nein... Die Firewall hat keine implizite "Deny-All" Stategie. Den einzigen "Schutz" den die das NAT bietret ist der, daß Sessions nur von "innen" nach "aussen" aufgebaut werden können.
das ist mir schon klar, deswegen hatte ich ja auch weiter unten geschrieben, dass die Lancom IPv4-Firewall standardmäßig mit einer "Allow-All"-Strategie arbeitet, was mich ja letztendlich zu meiner Frage geführt hat. Meine Formulierung zur Situation beim "Full-Stack" mit NAT hatte ich übrigens extra dem LCOS Manual entnommen.
8.3.7.2 Sicherheit durch NAT und Stateful-Inspection
.... Für Zugriff von außen auf das lokale Netzwerk ergibt sich somit eine implizite “Deny-All”-Strategie.
Die Tatsache, dass ein Angreifer beim Provider aber vollen Zugriff auf das interne Netz hätte, wenn man nicht mindestens auch NAT im Lancom auf der DS-Lite Verbindung fährt, ist beunruhigend.

Allerdings ist mir nicht ganz klar, wie hoch das Risiko und Schadenspotenzial durch das injizieren von Paketen über geöffnete Ports ist. Den Begriff "packet injection" höhrt man immer wieder, um aber abschätzen zu können, ob sich das Implementieren einer "Deny-All"-Strategie in der Firewall gegenüber einfacher NAT auszahlt, muss man wohl etwas tiefer in das Thema einsteigen. Hättest Du da was zum Einstieg?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Verständnisfrage zu DS-Lite

Beitrag von backslash »

Hi geppi
Meine Formulierung zur Situation beim "Full-Stack" mit NAT hatte ich übrigens extra dem LCOS Manual entnommen.
8.3.7.2 Sicherheit durch NAT und Stateful-Inspection
.... Für Zugriff von außen auf das lokale Netzwerk ergibt sich somit eine implizite “Deny-All”-Strategie.
das ist zumindest mal unglücklich formuliert... aber am Ende stimmt es dennoch: solange kein "geöffneter" Port angesprochen wird, kommt man nicht rein...
Allerdings ist mir nicht ganz klar, wie hoch das Risiko und Schadenspotenzial durch das injizieren von Paketen über geöffnete Ports ist.
Das hängt davon ab, wie der Dienst, der die ursprüngliche Session geöffnet hat, selbst gehärtet ist... Wenn das ein Client ist, der einkommende Pakete nicht sauber prüft, kann ein Angreifer ein präpariertes Paket an den Port schicken und darüber z.B. einen Buffer-Overflow auslösen und ab da mit den "üblichen" Hackertricks weitermachen und das Netz übernehmen.

Eine Deny-All-Strategie sorgt dafür, daß der Angreifer nicht reinkommt - es sei denn er würde auch noch seine Absenderadresse und seinen Quellport passend "faken". Dann aber würde er keine Antworten bekommen und könnte somit höchstens versuchen, den Rechner zum Absturz zu bringen (DoS).

Der Punkt ist, daß die Firewall eine Sessionverwaltung hat und nur Pakete durchläßt, die zu aktiven Sessions gehören. Alles, was keiner Session zugeordnet werden kann, läuft in den Regellookup - und wenn es dann keine Allow-Regel gibt, gibt es auch keine Session...
Hättest Du da was zum Einstieg?
ehrlich gesagt: nein...

GrandDixence hätte vermutlich sofort passende Links parat, ich leider nicht...

Gruß
Backslash
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Verständnisfrage zu DS-Lite

Beitrag von geppi »

Danke backslash. Ich hatte bisher rein aus "Bequemlichkeit" dem Thema "Deny-All"-Strategie keine größere Beachtung geschenkt, da mir bei IPv4 mit NAT letzteres als ausreichend erschien. Jetzt mit IPv6 muss ich mich ja sowieso damit beschäftigen. :) Da könnte ich das auch gleich noch bei IPv4 anwenden.

Allerdings weis ich aus leidvoller Erfahrung mit VLANS und Schittstellen Tags, dass Firewall Regeln auch ihre Tücken haben, vor allem wenn es viele werden. :?
Gibt es zum Thema "Deny-All"-Strategie in der IPv4-Firewall denn irgendwelche KB Artikel oder sonstige Starthilfe?
OK, ich kann auch anfangen zu suchen, aber vielleicht hast Du oder GrandDixence ja was parat?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verständnisfrage zu DS-Lite

Beitrag von GrandDixence »

Eine ordentlicher Schutz eines internen Netzwerks (Firmennetzwerk oder Heimnetzwerk) erfolgt mit einer SPI-Firewall und einer "Deny-All"-Firewallregelstrategie. Siehe dazu:
fragen-zum-thema-firewall-f15/schulnetz ... 18890.html

fragen-zum-thema-firewall-f15/portscans ... ml#p104492

Der Schutz durch NAT muss immer als ungenügend erwachtet werden. Siehe dazu:
https://www.golem.de/news/it-sicherheit ... 43624.html
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Verständnisfrage zu DS-Lite

Beitrag von Jirka »

Der letzte Artikel ist leider hinter einer Paywall. Da hätte ich jetzt bessere Links aus Deiner "Link-Datenbank" erwartet. :?
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Verständnisfrage zu DS-Lite

Beitrag von geppi »

Jirka hat geschrieben: 20 Feb 2023, 21:08 Der letzte Artikel ist leider hinter einer Paywall. Da hätte ich jetzt bessere Links aus Deiner "Link-Datenbank" erwartet. :?
Dafür enthalten die Links in den Links jede Menge weiterführender Informationen.
Da hab' ich jetzt erst mal was "zu verdauen". :wink:

Danke!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verständnisfrage zu DS-Lite

Beitrag von GrandDixence »

Jirka hat geschrieben: 20 Feb 2023, 21:08 Der letzte Artikel ist leider hinter einer Paywall. Da hätte ich jetzt bessere Links aus Deiner "Link-Datenbank" erwartet. :?
Meiner Gesundheit und Freizeit zu liebe "reiss ich mir halt den Arsch auch nur noch gegen Kohle" auf. So ist die Welt nun mal: Umsonst gibt es nichts. Das gilt besonders im (schlecht bezahlten) Journalismus.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Verständnisfrage zu DS-Lite

Beitrag von Jirka »

GrandDixence hat geschrieben: 21 Feb 2023, 19:57 So ist die Welt nun mal: Umsonst gibt es nichts.
Na ja, ganz so schlimm sieht es ja nun noch nicht aus. Man findet schon etliche auch sehr gute Sachen für umsonst. Und auch ich selber mache im Schnitt jeden Tag eine Stunde was kostenfrei, hoffentlich nicht umsonst...
GrandDixence hat geschrieben: 21 Feb 2023, 19:57 Das gilt besonders im (schlecht bezahlten) Journalismus.
Grundsätzlich habe ich nichts gegen Abos und zahle sie gerne. Ich kann nur nicht 10 Stück abschließen. Wenn die wenigstens anbieten würden den einen Artikel fix zu zahlen, man wäre eher bereit, als jetzt ein Abo abzuschließen.

Wikipedia-Artikel gibst Du ja auch häufiger an, einige Teile von dem hier https://de.wikipedia.org/wiki/Firewall kann man bestimmt als Einstieg lesen.
Antworten