Du durchsuchst das Archiv für IPv6.

von Thomas

fail2ban und IPv6

15. Januar 2017 in IT

fail2ban ist eine der bekanntesten Lösungen um dynamisch Einbruchversuche in Server zu erschweren. Dazu werden die Logdateien der Serverdienste auf auffällige Einträge überwacht. Erscheinen solche in entsprechender Häufigkeit kann man die verursachenden IP-Adressen durch die Firewall zeitweise sperren lassen. Die Lösung ist sehr flexibel und lässt sich somit gut an die speziellen Bedürfnisse anpassen.

Leider warten alle Nutzer, wie auch ich, sehnsüchtig auf die Unterstützung des IPv6-Protokolls. Dies ist für die kommende Version 0.10 geplant. Aber leider dauert es voraussichtlich noch eine Weile bis die neue Version veröffentlicht wird. Die Nutzung von IPv6 ist im Internet aber bei einigen Statistiken bereits bei fast 40% angekommen. Die Bösewichte aus aller Welt, die versuchen Server zu kapern, nutzen nach meinen Erfahrungen zwar noch fast ausschließlich IPv4, aber ich denke dass es nur ein Frage der Zeit ist, bis dies sich auch ändert. Deshalb war ich zu ungeduldig auf fail2ban 0.10 zu warten und habe einen im Netz bereits existierenden Patch von crycode für meine Bedürfnisse erweitert. Die Lösung ist nicht vollständig IPv6-tauglich. Aber ich kann dadurch meinen eigenen Server vor Angriffen per IPv6 schützen. Ich habe es als Paket für meine Lieblingsdistribution ArchLinux im AUR zur verfügung gestellt.

von Thomas

IPv6 im Unternehmensnetzwerk

15. Februar 2015 in IT

IPv6Wir schreiben das Jahr 2015. Ich beschäftige mich aktuell damit IPv6, den kommenden Standard für die Kommunikation im Internet, bei mir auf Arbeit einzuführen. Für mich als langjährig erfahrenen IT-ler hat sich herausgestellt, dass ich mich an einige konzeptionelle Grundgedanken des Nachfolgers von IPv4 erst gewöhnen muss. Die größte Hürde ist für mich dabei die Idee, dass im IPv6 NAT nicht mehr existieren soll. Alle Netzwerkteilnehmer sollen weltweit über eine eindeutige Adresse adressierbar sein. In IPv4 hatte sich NAT eigentlich als Lösung des knappen Adressraumes etabliert, so dass mehr als ein Teilnehmer eines privaten Netzes über eine global eindeutige Adresse im Netz weltweit kommunizieren kann. Der Nebeneffekt ist natürlich, dass in den internen Netzen unabhängig vom öffentlichen Netz adressiert und kommuniziert werden kann. Genau diesen Effekt vermisse ich in dem ursprünglichen Konzept für IPv6. Zwar wurden auch bei IPv6 private Adressbereiche (ULA – unique local addresses) definiert, doch wenn man komplett auf NAT verzichtet, müssen Systeme, die im Internet kommunizieren, öffentliche Adressen (GUA – global unicast addresses) haben. Hier ist nach meinem Verständnis das IPv6-Konzept nicht konsistent. Denn mit dem absoluten Verzicht auf NAT sind ULA’s komplett sinnfrei.

Anscheinend ist das auch anderen aufgefallen. Deshalb wurde als Kompromiss NPT (network prefix translation) mit RFC-6296 nachgereicht. Hiermit ist es nun möglich den Prefix einer internen ULA-Adresse durch den einer öffentlichen GUA-Adresse zu ersetzen. Der Host Identifier (im Allgemeinen die unteren 64 Bit der Adresse) bleibt unverändert. Nun ist es möglich wie gewollt jeden Host in privaten Netzen direkt zu adressieren und trotzdem das interne Netz unabhängig vom öffentlichen Prefix zu verwalten. Warum ist das so wichtig. Ganz einfach. Ohne NPT müssten allen Host eines privaten Netzes beim Wechsel des Providers neue Adressen zugewiesen bekommen. Die Verwaltung der internen Kommunikation wäre also vom Provider abhängig. Anders als in Heimnetzwerken sind die Unternehmensnetze aber nicht nur zum Zugriff auf das Internet gedacht. Hier sind interne Server für verschiedenste Zwecke eingerichtet. Der Zugang zum Internet ist hier nicht der Zweck sondern nur eine Option des Netzes. Weiterhin ist es auch üblich mehr als einen Internetzugang zu haben um Ausfälle abzufangen. Da diese Zugänge aber mit unterschiedlichen Prefixen versehen sind, müssten alle Systeme des internen Netzes zwei GUA’s zugewiesen haben. Das ist erstmal kein großes Problem. Aber woher sollen die Systeme jetzt wissen wann sie mit welcher Adresse auf das Internet zugreifen sollen.

Als Fazit muss ich festhalten, dass IPv6 in Unternehmensnetzes nur mit Hilfe von NPT sinnvoll angewendet werden kann. Ich werde die Einführung vorantreiben und meine Erfahrungen hier weiter festhalten.