IPv6 firewalli.
Ob porastu zanimanja in implementacij IPv6 pri nas sem opazil tudi vedno več vprašanj, predvsem pa zapisov o IPv6 firewallih. Poleg komercialnih, ki to že imajo (Palo Alto Networks, Cisco, Juniper/NetScreen, Cloud Shield in ostali) imajo podporo za IPv6 statefull firewall tudi že nekatere nizkocenovne naprave kot tudi firewalli za linux/BSD/Win na PC platformi…
Začnimo z Mikrotikom. Uporabljam ga za domačo povezavo, na njemu imam dva /28 IPv4 segmenta in en /48 IPv6 segment. Na 20/20 optiki se super obnese. Fantje v supportu so zelo odzivni, nekatere napake (buge) v IPv6 firewallu, katere sem jim poslal so odpravili v nekaj dneh. Pohvalno. Jernej iz podjetja Virtua, ki je eden od zastopnikov Mikrotika pri nas je napisal lep blog post, kako si je skonfiguriral IPv6 firewall. Zanimivo pa je, da se da dobiti cenovno ugodnega Mikrotika že za okrog 40-50EUR, za kar dobimo najcenejši gigabitni MPLS router na tržišču.
Na Linuxu imamo ip6tables, z njimi se je poigral Jernej iz Amisa in o tem nekaj napisal. Tu še ni kakšnih hudih grafičnih vmesnikov, treba je zadevo upravljati v text datotekah.
Kako na BSD-ju? Tudi ta ima podporo za IPv6 in njihov pf čisto lepo dela. SANS je izdelal kratek dokument, kako si postaviti IPv6 firewall na OpenBSD platformi. NA BSD-ju temelji tudi M0n0Wall in njegov derivat pfSense. M0n0Wall podpira IPv6, razvijalce pfSensa pa nikakor ne morem prepričati, da bi s tem začeli. Scott je malenkost konzervativen, a bo že zagrabil – prej ali slej.
Celo na Windows platformi si lahko zgradimo IPv6 firewall, o tem so se razpisali na windowsecurity.com.
DD-WRT in Open-WRT tudi podpirata IPv6 že nekaj časa in oba sta kompatibilna s kar širokim spektrom naprav.
Kakšen lahko potegnemo zaključek? IPv6 firewalle imamo za vsak žep in vsako potrebo. Od dražjih naprav, ki delujejo na principu L7 deep-packet inspection-a, pa do še vedno dragih “port blocking” naprav, imamo tudi cenovno ugodne “port blocking” naprave pa do programskih rešitev, ki tečejo na PC platformi.
Nekega lepega dne (upam da že letos) bodo naši najljubši ponudniki dostopa do interneta uvedli IPv6 in takrat bomo vsaj eno od teh naprav potrebovali, če smo se do danes zanašali na to, da smo varni za NAT-om. Če takšno napravo že imate, potem je čas, da začnete raziskovati IPv6 firewall. Če je nimate, pa sami razmislite, ali jo boste potrebovali ali ne in koliko časa boste rabili, da boste imeli dovolj izkušenj, da ji boste zaupali varnost svojega lokalnega omrežja.
Jan Žorž
Vaš IP naslov (ali ste na IPv6 ?):
3.129.71.217
Naj k temu dodam, da mi je danes nek “high-end” router za nekaj 10K dolarjev odrekel namestitev zelo zelo osnovnega IPv6 filtra v hardwer, saj je bila s tem presežena zmogljivost strojne opreme. Ugotovil je, da bo s tem dodatno nameščenim filtrom za IPv6 moral promet usmerjati s CPU-jem, kar je “ISP core” opremo katastrofa. Skoraj me je kap!
Če se bo izkazalo, da gre za mojo napako v konfiguraciji, se bom na tem mestu javno opravičil, v nasprotnem pa posredujem kakšen detajl več.
log?
Interface X hardware TCAM LOU usage capability exceeded
Interface X routed traffic will be software switched in egress direction
Pravkar sem zadevo še enkrat poskusil v konfiguraciji, iz katere sem odstranil en večji – bolj kompleksen – filter. Sedaj vse deluje v hardveru. Očitno smo bili nekje blizu roba zmogljivosti kište…
Kaj pa Check Point? Meni je zanimivo, kako tega nihče nikoli ne omenja, glede na to, da ga imajo recimo vse banke pri nas in večina velikih podjetij. (Tudi od Fortune 100 jih ima 99 Check Point.)
S Check Pointom se zgleda tu nihče ne ukvarja, oziroma se ukvarja pa nič na go6.si ne napiše… Če imaš kakšne izkušnje s tem, go ahead…