Ipv6 firewall, Mikrotik, Network

Kako zavarovati IPv6 omrežje na RouterOS

Na zadnjem MUM na Poljskem, je imel Wardner Maia (md brasil) iz Brazilije zelo zanimivo predavanje o varnosti v IPv6 omrežjih. Zato smo se odločili da povzetek objavimo tudi na našem blogu.S povečevanjem števila uporabnikov v IPv6 omrežju se povečujejo tudi verjetnost napadov preko tega protokola. Ker se počasi že bliža dan World IPv6 launch in Mikrotikov RouterOS že skoraj popolnoma podpira protokol IPv6, je zelo pomembno, da pri implementaciji le-tega ustrezno zaščitimo naše omrežje.
Nasveti se nanašajo na zaščito omrežja iz stališča ISP operaterja:

Minimalna zaščita domačih/SOHO uporabnikov:

  • Dovolimo le povezave, ki izvirajo iz domačega (lokalnega) omrežja. Torej naši klienti lahko dostopajo do interneta in ne obratno. S tem preprečimo nepridipavom, da skenirajo naše omrežje.
  • kot izvorni naslov dovolimo le Ipv6 naslove iz domačega omrežja. S tem se izognemo težavam z nepravilno  konfiguracijo klientov, nekaterimi virusi ipd,..
  • Blokiramo ves »inbound« in »outbound« multicast promet, da deluje avtokonfiguracija le znotraj njihovega omrežja.
  • Selektivno filtriramo ICMPv6 pakete po priporočilu RFC 4890 (napr. nujno moramo spuščati icmp tip “packet too big”, ipd,.

Minimalni filtri na RouterOS

Zaščita lastnega omrežja (ISP):

  • Blokiramo vse povezave, ki izvirajo iz t.i. “bogon” omrežij. To so omrežja oz subneti, katerih nobeden od RIR registrarjev še ni podelil. Ti IP-ji se navadno uporabijo za izvajanje raznih napadov, spamov, phishing,…. Seznam teh omrežij najlažje dobimo tako, da vzpostavimo BGP peering z organizacijo Cymru, ki konstantno osvežuje seznam (http://www.team-cymru.org/ ). Za filtriranje teh IP-jev moramo na RouterOS narediti skripto, ki iz BGP prefiksov naredi address listo, katero nato uporabimo na firewallu. Skripto najdete na: http://mdbrasil.com.br/curso-treinamentos-mikrotik/downloads-mikrotik/17

navodila za pridobitev peeringa:

  • Poleg “bogon” IP naslovov na robnem routerju blokiramo tudi nekatere rezervirane naslove namenjene posebnim aplikacijam.

  • Selektivno filtriranje ICMPv6 paketov.

  • Filtriramo multicast pakete. S tem se izognemo nepotrebnem prometu iz robnih usmerjevalnikov (nad katerimi nimamo nadzora – napčna konfiguracija ipd.)
  • Nazadnje filtriramo še promet proti našim strežnikom. To najlažje storimo tako, da najprej ustvarimo nove “server chaine”:

  • Nato še v posameznem “server chainu” ustvarimo ustrezne filtre:

Web Servers

Email Servers

DNS Servers

 

Celotna predstavitev si lahko ogledate na naslovu http://www.tiktube.com/video/KJfl3eKGdJELJKKlIqIwlvouKlCoKmKC=

Konfiguracijske skripte:

 

 

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja