Gibt es bereits ein empfohlenes IPv6-Firewall-Setup?

7

Ich möchte von privatem IPv4-Subnetz hinter NAT zu IPv6 wechseln, habe aber natürlich nicht die Absicht, die Arbeitsstationen meiner Benutzer "ungeschützt" dem Netz auszusetzen.

Einige offensichtliche Punkte im Vorfeld:

  • Ermöglichen Sie den Zugriff auf bereitgestellte Dienste
  • Verweigern Sie den Zugriff auf Workstations

Gibt es eine empfohlene Firewall-Setup-Richtlinie, die Details und Erfahrungen mit solchen Setups enthält?

firewall ipv6 best-practices David Schmitt
quelle

Antworten:

9

Der Rat ist weitgehend unverändert gegenüber öffentlichen IPv4-Subnetz-hinter-Firewall-Setups, die wir seit Beginn des kommerziellen Internets im EDU-Bereich hatten. Da die frühen .EDU-Subnetzzuweisungen recht großzügig waren (meine alte Arbeit hat eine IPv4 / 16-Zuweisung, und ich kenne eine andere Institution unserer Größe, die eine / 16 und eine andere / 18 hat), verfügen diese Institutionen über umfassende Erfahrung im Schutz öffentlich routbarer IP Adressen hinter Firewalls. Heck, dieses Setup war das, was die ursprünglichen IP-Ersteller im Sinn hatten.

Die Prinzipien (aus dem Gedächtnis):

  • Erlauben Sie keinen externen Zugriff auf interne IP-Adressen, es sei denn, es besteht ein spezifischer Geschäftsbedarf (Standardverweigerung).
  • Ermöglichen Sie ICMP interne Adressen, da die IP-Protokolle darauf angewiesen sind, um die Netzwerkbedingungen zu bestimmen.
    • Ping-Sweeps sollten von Ihrer IPS-Konfiguration blockiert werden.
    • Denken Sie daran, dass eine pingfähige Maschine nicht bedeutet, dass sie anschließbar ist!
  • Reverse DNS-Lookups sind für einige Anwendungsfälle von Bedeutung. Stellen Sie daher sicher, dass sie ordnungsgemäß funktionieren.

Eine kurze Liste, ich weiß. Das grundlegende Firewall-Prinzip aus 20 Jahren ist jedoch dasselbe: Erlauben Sie nur den Zugriff auf die IP: Port-Kombinationen, die Sie zulassen möchten, und verweigern Sie alles andere.

sysadmin1138
quelle
Ich mag kurze Listen :-) Der wichtigste Punkt, den ich hier wegnehme, ist, dass es keine grundlegenden Änderungen in der Sicherheit (Richtlinie) gibt. Zumindest solange NAT ein "Implementierungsdetail" ist ;-)
David Schmitt
An der Sicherheit hat sich nichts grundlegend geändert, das ist richtig. Verwenden Sie NAT jedoch nicht mit IPv6, auch wenn Ihre Routing-Geräte dies können - es ist hässlich. Es war hässlich (aber leider notwendig) für IPv4, es bleibt hässlich (aber absolut überflüssig) für IPv6. Wenn Sie eine einfache Möglichkeit benötigen, die Funktionalität in Bezug auf die Sicherheit nachzuahmen, verwenden Sie die statusbehaftete Filterung, die stattdessen nur "ausgehende" Verbindungen zulässt.
The-Wabbit
5

Wenn Ihre Regeln bisher aus "nur intern initiiertem Datenverkehr" (NAT) bestanden, mit einigen Ausnahmen für veröffentlichte Dienste (Portweiterleitung), können Sie sich daran halten und ihn einfach auf IPv6 übertragen.

Sie haben zusätzliche Auswirkungen auf die Tunneling- und Verschlüsselungsfunktionen von Version 6, die Sie ansprechen möchten. Im Allgemeinen gilt jedoch alles, was für Version 4 gilt, weiterhin für Version 6. Empfohlene Lektüre: Erstellen von Internet-Firewalls (Zwicky, Cooper, Chapman).

the-wabbit
quelle
+1 für ein interessantes Nachschlagewerk.
David Schmitt
4

Zusätzlich zu den Antworten hier sollten Sie sich RFC 4890 ansehen, das viele Informationen enthält, die Sie über Firewalls über ICMP6 verstehen müssen. Siehe auch das IPv6-Info-Center von Google

Mike Pennington
quelle
Sehr schön. Jetzt habe ich etwas für das Wochenende zu lesen ;-)
David Schmitt