[linux] Re: IPv6 en radvd op een vreemd netwerk...
Robin van Leeuwen
robinvanleeuwen op gmail.com
Wo Nov 3 14:13:45 CET 2010
Op 3 november 2010 11:45 heeft Micha Kersloot <micha op kovoks.nl> het
volgende geschreven:
> Hoi,
>
> ----- Oorspronkelijk bericht -----
>> Op 2 november 2010 10:59 heeft Hugo van der Kooij
>> <hvdkooij op vanderkooij.org> het volgende geschreven:
>> >> voorziet deze dan het hele netwerk van de betreffende ineens van
>> >> ipv6
>> >> adressen? Althans alle
>> >> Linux clients die zichzelf dan autoconfiggen ...
>>
>> >> En zijn dus ineens alle computers waarop geen firewall draait
>> >> volledig
>> >> toegankelijk vanaf buiten?
>>
>> > Dat heb je inderdaad correct gezien. Met IPv6 is het beschermen van
>> > elke machine dus iets wat nu echt moet gebeuren. NAT is dan ook
>> > nooit
>> > een bescherming geweest. Maar alleen schijn veiligheid.
>>
>> Maar dan is dat in de overgangsfase dus best nog wel tricky waar veel
>> bedrijven nog niet al hun interne
>> clients met firewall hebben voorzien, hoeft er maar 1 linkmiechel te
>> zijn die even een netbookje met
>> radvd en een ipv6 tunneltje in het net plugt en je complete bedrijf
>> ligt open... Of mis ik hier iets?
>
> Niet zo heel bijzonder hoor.. Een linkmiechel met een netbookje, een ipv4 tunneltje naar buiten en een dhcp server kan eigenlijk wel dezelfde ellende veroorzaken. Gelukkig kan je momenteel met een dichtgespijkerde firewall + proxy het opbouwen van de tunnels tot op zekere hoogte nog wel tegen houden.
Maar het verschil zit hem erwel in dat als ik in de bestaande IPv4
configuratie ga rotzooien met een eigen DHCP server en bestaande
routes ga rerouten via mijn netbookje het veel eerder opgemerkt zal
gaan worden. Je helpt de bestaande configuratie om zeep. Terwijl
nu bijna niemand nog intern ipv6 draait en dus het 'toevoegen'
van een ipv6 netwerk (wat bijna geheel automatisch gaat met radvd dus)
bijna onzichtbaar blijft...
Daarnaast zullen bestaande firewalls
misschien wel goed ingesteld zijn voor het tegenhouden van ipv4
spullen terwijl ze nog geheel openstaan voor ipv6
netwerken (want die waren er niet tijdens het configureren van de
firewall). Dit laatste was bij mijn laptopje het geval , de ip6tables
van mijn laptop stond policy op INPUT ACCEPT terwijl de iptables
op policy INPUT REJECT stond.
More information about the Linux
mailing list