arne22

Vel, vel, når en klientmaskin får installert malware som setter opp trafikk tilbake til hacker slik at hacker har tilgang til og overta kontroll over noden (Windows maskin) bak brannmur, så vet jeg ikke helt hvordan man regner dette som "tillatt". (For eksempel hackingen av Norsk Hydro i 2019.) Det har du vel jammen rett i. Her var det nok jeg selv som glemte meg litt bort og ikke AI som tok feil. Har aldri brukt link-local adresser på den måten, men det ser jo ut til å være mulig. https://en.wikipedia.org/wiki/Link-local_address Det blir vel parallet sett noe av det samme. Ny ting lært 😀 Ellers litt om angrepet mot Norsk Hydro: https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/ Her var det kanskje ikke snakk om noen "åpen port" eller "tillatt trafikk" men "phishing" og installasjon av maware med påfølgende full tilgang bak brannmur. (Og så er det spørsmål om hva slags angrepsflate man finner videre innover i systemet, om det er IPv4/IPv6 dual stack, eller hva det nå er.)

Nei, det har jeg jo aldri ment eller tenkt. Tanken var vel heller den at hvis man tar i bruk IPv6 som dualstack til IPv4, uten å kunne noe større om det, så var mangelen på tilstrekkelig kompetanse på IPv6, og kunnskaper om likheter og forskjeller kunne være et sikkerhetsmessig problem. Hele trådens hensikt var/er jo å få litt klarhet i hva man bør lære seg for å kunne forstå de sikkerhetsrelatere problemstillingene, i alle fall et stykke på vei. Problemet er jo sånn sett bare å skaffe seg nødvendig kompetanse. Derfor ble denne tråden opprettet. Moderne hacking, skjer vel ofte ikke gjennom åpne porter, selv om det også kan skje. Ved hjelp av "phishing" og påfølgende installasjon av uønsket programvare så kan jo hackere skaffe seg tilgang til nettverket dypt bak brannmurer, slik som det for eksempel skjedde hos Norsk Hydro i 2019. Når hacker så skal bevege seg videre ut i nettverket for videre angrep, så vil det være av betydning hva slags angrepsflater som finnes inne på nettverket. Dual stack IPv4 og IPv6 vil da utgjøre en større angrepsflate enn bare en av delene, slik at dette vil utgjøre en forskjell. Kort sagt man kan benytte hackermetoder tilpasset IPv4 og hackermetoder tilpasset IPv6 slik at "angrepsflaten" eller "mulighetene for angrep" blir flere. Når det gjelder "zero trust" så må vel noe av forutsetningen være at man har "noder" (utstyr) som er egnet for det. Hvis man i et automatisert anlegg bare har IPv4 utstyr med et svært lavt sikkerhetsnivå ,for utstyret selv, da kan man vel ikke akkurat ha "zero trust", før utstyret eventuelt er byttet ut. Da er vel løsningen sannsynligvis å "stenge inne" det utstyret som har lavt sikkerhetsnivå i egne sikkerhessoner og ha en god kontroll på trafikken inn og ut. Ellers i følge min gode venn OpenAI, somfaktisk vil diskutere med meg, så forholder det seg slik at IPv6 har en deltalj i forhold til sikkerhet som IPv4 ikke har. Utstyr med (bare) lokale IPv6 adresser skal i følge OpenAI ikke kunne kommunisere ut til Internett, i motsetning til ved bruk av lokale adresser i IPv4, der dette er mulig (via NAT). Man skulle jo tro at dette var en positiv sikkerhetsmessig detalj ved IPv6, ved at man kan ha nettverkssegenter der "nodene" bare kan kommunisere lokalt. Poenget mitt er vel bare det at IPv4 og IPv6 dreier seg om to forskjellige protokoller, med hver sine egenskaper, og enten man skal brtuke det ene eller det annet, eller begge, så bør man ha en tilstrekkelig kunnkskap om hvordan disse protokollene fungerer. Trådens hensikt var/er å få litt lys på det. Min diskusjon skyldes ikke at jeg kan dette veldig godt, den skyldes jo bare at jeg ønsker å lære litt om dette temaet, selv om jeg kanskje synes at mesteparten av de konkrete tekniske opplysningene kom i fra OpenAI, og det er jo egentlig i seg selv ganske "snodig". IPv4 og IPv6 er sikkert like enkelt og like sikkert, eller i hvert fall "sikkert nok" hvis man kan begge disse protokollene. Hvis man tror eller mener at "IPv6 er IPv4 protokoll med lange adresser", da er vel situasjonen kanskje ikke helt god.

Konklusjonen er vel sånn omtrent akkurat motsatt. Denne tråden var da ikke ment som noe annet enn en måte å hente inn et par gode råd og tips, før man begynte å se litt nærmere på sikketsforholdene rundt IPv4 vs IPv6 og hva dette eventuelt dreide seg om, altså et slags lite "forstudie". Jeg har nok gjennomført et par onlinekurs i IPv6, men jeg syntes det var mye som jeg ikke helt forsto og veldig mange detaljer, uten at jeg helt forsto sammenhengen. Så tenkte jeg at en liten diskusjon på diskusjon.no kunne sikkert få noen brikker til å falle på plass, men det ble nå heller til mange negative kommentarer og påstander som så vidt jeg kan forstå må være feilaktige. For å klare opp i uklarheter og få litt bedre forståelse, så videreførte jeg heller diskusjonen opp mot OpenAI sin chatrobot. Her kom avklaringene på rekke og rad, og de tingene som var litt vanskelig å forstå i onlinekursene, de fikk sin enkle avklaring. Det var/er jo også mulig å sjekke opp svarene til OpenAI mot andre kilder på Internett. (For den svarer jo til tider feil, eller den tolker spørsmål annerledes enn man hadde tenkt.) Det forholder seg ikke slik at "IPv6 er en måte å adressere på", det forholder seg heller slik at IPv6 er en protokoll med sine spesielle egenskaper som er helt forskjellig fra tilsvarende protokoll for IPv4. Når man skifter over fra IPv4 til IPv6, så skifter man i praksis ut et helt lag i TCP/IP modellen, og disse to lagene er helt forskjellige og har forskjellige egenskaper. Når man kjører "dual stack" så kjører man med to forskjellige sett med protokoller samtidig. Hver av disse settene med protokoller har helt forskjellige egenskaper. https://en.wikipedia.org/wiki/Internet_protocol_suite https://en.wikipedia.org/wiki/IPv6 "Datapakkene" ser også helt forskjellige ut i forhold til de to forskellige protokollene, og mange faktorer som påvirker sikkerheten fungerer helt forskellig. Dette gjelder for eksempel prinsippene rundt bruk av globale og lokale IP-adresser, og prinsippene for automatisk tildeling av adresser er helt forskjellig og også muligheten for å lese avsender ip som er helt forskjellig, innfor de to protokollene. Hvis en hacker kommer seg inn på innsiden av et nettverk, slik som det for eksempel skjedde ved angrepet mot Norsk Hydro i 2019 og mange andre tilsvarende angrep, så vil den videre angrepsflaten som hackeren ser eller kan arbeide videre opp i mot, være hel del forskjellig avhengig av om nettverket baserer seg på IPv4 eller IPv6 protokollen, eller en kombinasjon av begge protokoller. For en "dual stack" med IPv4 og IPv6 så vil angrepsflaten være mye større og muligheten for å etablere nye angrepsvektorer og videre angrep vil være mange flere. Etter dette lille "forstudiet" er gjennomført, så var det da tanken å komme i gang med å se litt nærmere på disse problemstillingene og å lære litt om temaet. Jeg vil anta at Cisco Packet tracer vil kunne fungere relevante nettverksmodeller for IPv4 og IPv6. https://www.netacad.com/courses/packet-tracer Hvis det er noen som vet om noen gode kurs hos Cisco Netacad eller andre steder som kan gi et godt og helhetlig bilde rundt de sikkerhetsmessige problemstillingene rundt IPv4 og IPv6 protokollene, så ville det være meget hyggelig og bra med et tips.

Jeg pleier å skrive: "Jeg hater chatteroboter. Gi meg et menneske". Litt lengre, men det gir en god følelse 😀

Jeg er som sagt ganske tunglært og jeg bruker ganske lang tid til å forstå. Men det kan se ut som at det finnes en som tenker litt likt med meg som heter OpenAI. ******** Hvordan segmentere et nettverk i sikkerhets soner ved hjelp av rutere og VLANer? Å segmentere et nettverk i sikkerhets soner ved hjelp av rutere og VLANer kan gjøres på flere måter, men en vanlig tilnærming er som følger: Opprett VLANer for hver sikkerhetssone på nettverksswitchene. For eksempel kan du opprette en VLAN for det interne nettverket, en VLAN for DMZ (demilitarized zone) og en VLAN for gjestenettverket. Tilordne hver enhet i nettverket til den riktige VLANen basert på dens sikkerhetssone. For eksempel vil servere og andre viktige enheter bli tilordnet den interne VLANen, mens servere som er tilgjengelige for offentligheten vil bli tilordnet DMZ VLANen. Bruk rutere for å skille VLANene og kontrollere trafikken mellom dem. For eksempel kan du bruke en ruter for å koble den interne VLANen til DMZ VLANen, men bare tillate spesifikke typer trafikk (som HTTP eller HTTPS) å passere gjennom. Konfigurer tilgangs kontroller på ruteren for å begrense trafikken ytterligere mellom VLANene. For eksempel kan du bruke tilgangskontrollister (ACLer) for å kun tillate trafikk fra spesifikke IP-adresser eller undernett å passere gjennom. Bruk brannmurer eller andre sikkerhet enheter mellom VLANene for å gi ytterligere beskyttelse. For eksempel kan du plassere en brannmur mellom den interne VLANen og DMZ VLANen for å beskytte det interne nettverket mot eksterne angrep. Ved å bruke denne tilnærmingen kan du skille de forskjellige sikkerhets sonene i nettverket ditt og kontrollere trafikken mellom dem, noe som hjelper til å redusere risikoen for uautorisert tilgang og potensielle brudd. ************ Er dette feil? For meg så framstår disse utsagnene som riktige nok, men det kan meget vel være noe som jeg ikke har forstått.

Jeg startet tråden og for meg er den ikke på ville veier. Jeg er ingeniør og jeg er tunglært, jeg har vanskelig for å forstå. Mye av det som jeg har jobbet med eller lekt med gjennom de siste 20 årene forstår jeg fremdeles ikke, og da vil jeg selvfølgelig sette pris på å bli forklart av de som forstår tingene bedre. Når det gjelder de to bøkene som jeg selv refererer til over så kar jeg nå kikket gjennom "Industrial Cybersecurity, second edition", og nei, finner ikke noe om IPv6, Spør jeg en av de som gidder å høre på meg som heter Openai, så får jeg et svar, som jeg synes høres litt fornuftige ut. ********** Gir IPv6 en sikkerhetsrisiko i industrikontrollsystemer? Som alle teknologier kan IPv6 introdusere visse sikkerhetsrisikoer i industrikontrollsystemer (ICS) hvis det ikke er riktig konfigurert og sikret. Her er noen eksempler på IPv6-spesifikke sikkerhetsrisikoer i ICS: IPv6 Neighbor Discovery (ND) -protokollen har flere funksjoner som kan brukes til rekognosering og avvisningsangrep (DoS). IPv6-adresser kan autokonfigureres, noe som betyr at en angriper kan bruke dette til å opprette en ekte enhet på nettverket. IPv6-aktiverte enheter kan være utsatt for angrep på grunn av mangel på sikkerhetsfunksjoner i firmware. Det er verdt å merke seg at disse risikoene kan reduseres gjennom riktig konfigurasjon, sikkerhetsbest practices og bruk av sikkerhetverktøy spesielt designet for IPv6. Det er viktig å merke seg at sikkerhetsproblemer i ICS ikke er unike for IPv6, og mange av risikoene knyttet til IPv6 er også til stede med IPv4. Nøkkelen til å sikre industrikontrollsystemer er å implementere en omfattende sikkerhetsstrategi som tar hånd om alle potensielle sårbarheter, uavhengig av om de er spesifikke for IPv4 eller IPv6. ************* Hvis dette stemmer så har vi jo å gjøre med en økt angrepsflate og så har vi jo også problemstillingen rundt ikke kompatibelt utstyr.

Det var da i den forbindelse snakk om rutere med brannmurfunksjonalitet som for eksempel Linux/Netfilter. Kan ikke si at jeg kjenner til at jeg har kommet med noen påstander i det hele tatt, det er jo bare å finne ut av hvordan tingene fungerer. Forutsetningen for å lære noe, det er jo at man ikke kan det fra før av. Hvis man kan alle tingene fra før av, da lærer man ingen ting.

Barfoo -> Har du noe syn på dette? Vil man normalt dele et ICS inn i sikkerhetssoner ved hjelp av routere eller ved hjelp av VLAN? For VLAN som kjører layer 2 i OSI modellen så er den vel like glad med om det er IPv4 eller IPv6? (Her går det jo på MAC adressser.) For routere og eventuelle layer 3 VLAN, så vil det vel behøves "dual stack" både i forbindelse med routere/brannmurer og i forbindelse med eventuelle layer 3 VLAN? Hva er vanlige løsninger?

Nei, det var delt opp i sikkerhetssoner, men alt sammen var kontrollert av den samme Microsoft Active Directory og hacker fikk kontroll over denne. (Ved å først hacke en ordinær desktop PC, og så videre der i fra.) Tilsvarende skjedde vel også ved det store angrepet mot Maersk i 2017. https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-how-notpetya-accidentally-took-down-global-shipping-giant-maersk/ Angrepet mot Østre Toten kommune var vel så vidt jeg husker også ved å ta kontroll over Microsoft Active directory. (Via en dårlig konfigurert VPN tilgang som første angrepsflate.) https://www.nrk.no/innlandet/ostre-toten-kommune-far-fire-millioner-i-bot-etter-dataangrepet-mot-kommunen-1.15695776

Ja, men hvordan løser man dette i forhold til det som går på sikkerhetssoner i et industrielt datanettverk? Vil man normalt dele inn i sikkerhetssoner ved hjelp av routere eller ved hjelp av VLAN? For VLAN som kjører layer 2 i OSI modellen så er den vel like glad med om det er IPv4 eller IPv6? (Her går det jo på MAC adressser.) For routere og eventuelle layer 3 VLAN, så vil det vel behøves "dual stack" både i forbindelse med routere/brannmurer og i forbindelse med eventuelle layer 3 VLAN? IPv4 og IPv6. det er vel ikke bare en "måte å adressere på", det er også snakk om to forskjellige protokoller. Når man endrer fra en til to protokoller, for dette laget, så øker man jo samtidig den tilgjengelige angrepsflaten som en hacker kan jobbe opp i mot. La oss for eksempel ta utgangspunkt i angrepet mot Norsk Hydro i 2019. Her klarte man vel å infisere en desktop PC ved klikkbart vedlegg, og så skaffet hackere seg i første omgang kontroll over en desktop PC. Der i fra så brukte hackerne denne "angrepsvektoren" til å undersøke "angrepsflater" i nettverket rundt og der i fra så klarte de å ta kontroll over hele nettverket. (Ved å hacke seg videre inn i Windows domenekontroller.) https://sikkerhet.el3.no/angrep-mot-norsk-hydro-19-mars-2019/ Man skulle jo tro at når man øker eller "dobler" angrepsflaten ved å kjøre doble protokoller, så svekker man også sikkerheten i det tekniske anlegge totalt sett. Ellers noen historiske utsagn fra den samme bloggen (år 2010) vedrørende IPv6: https://telenorsoc.blogspot.com/2010/04/den-kommende-ipv6-protokollen-og.html Fant ellers en veldig bra beskrivelse av "nettverkslagene", synes jeg. Men dette er jo IPv4. Blir beskrivelsen av IPv6 lik, bortsett fra at det det dreier seg om lengre adresser og forskjellig protokoll (eller dobbelt protokoll) for nettverkslaget? https://www.uio.no/studier/emner/matnat/ifi/IN1020/h20/foiler/uke-45-nettverk-lagdeling.pdf Spørsmålet er egentlig til alle som måtte ha greie på dette her. Edit: Ser at "packet header" for IPv4 og IPv6 ikke ser ut til å være like. Da blir vel det man kan filtrere i forhold til en brannmur også litt forskjellig, ved at det man kan filtrere i forhold til vel faktisk er innholdet i "packet header". (Ved ordinær pakkefiltrering.) https://docs.oracle.com/cd/E18752_01/html/816-4554/ipv6-ref-2.html

Jo, det er jo det man også må gjøre. Har vært i kontakt med noen og vil nok sjekke litt nærmere med tiden. Har stort sett vært borte i utstyr fra Siemens, Schneider, Unitronics og Omron, og har i alle fall ikke lagt merke til at noe av dette utstyret har støttet IPv6. (Men alt utstyret har ikke vært siste årgang.) Vil tro at den linken til Simens som jeg la ut over, indikerer en noenlunde rett status, altså en slags "oppstartfase".

Interessant nok, men brukes det UDP i forbindelse med automatiserte anlegg? Kan ikke huske det. Så vidt jeg mener å ha observert så kjører det meste på høyere nivå enn feltbuss TCP. Det samme gjelder vel bedriftens overordnede systemer. For automatiserte systemer så er det jo ofte (men ikke alltid) snakk om forholdsvis små datamengder, og så stilles det forholdsvis store krav til å verifisere at data har kommet korrekt fram. Assosierer UDP først og fremst med slike ting som VIOP og mediastream, og kanskje også VPN. Er dette korrekt nok, eller er det jeg som er akterutseilt?

Ja, det som nok jeg tenkte om den saken, sånn innledningsvis, og som min første tanke, det er at dette blir såpass komplisert at i forhold til den praktiske virkelighet, så blir ICS systemene for en stor del værende i IPv4 fortsatt i lang tid framover. Så får man jo litt input og så begenner man å tenke, at kanskje det ikke er slik allikevell. Jeg vet jo ikke svarene på disse tingene, men det er nok sannsynligvis problemstillinger som man jobber med "i den store verden", og kanskje også i den litt mindre lokale verden. På bedriftsnivå, så må det vel være overveiende sannsynlig at bedriftens overordenede systemer vil bevege seg mot IPv6, samtidig som det kanskje finnes en del produksjonsutstyr som ikke er særlig kompatibelt, og så skal man få det hele til å fungere og kommunisere som en helhet. Fant noe informasjon fra Siemens som kanskje indikerer at IPv6 og automatisering, kanskje ikke er så utenkelig, som jeg kanskje i utgangspunktet ville trodd at det var. Hele vitsen med å diskutere det er jo å lære noe nytt, og å oppdage at "det som man trodde" kanskje ikke er helt slik som man trodde. https://assets.new.siemens.com/siemens/assets/api/uuid:67742ab6-e541-48fa-bf89-6a4994368a9b/whitepaper-ipv6-6zb5530-0dh02-0ba0-en.pdf Bedriftene moderniserer jo ikke og de sikrer vel heller ikke sine ICS for moro skyld, men heller for at det er nødvendig både av hensyn til sikkerhet og effektivitet.

Hvis vi nå tar utgangspunkt i den første figuren i heftet til Schneider, som et lite eksempel (se vedlagt figur): Vil Scada-systemer normalt støtte IPv6? Hva med de PLS'ene eller "controllerne" som er tegnet inn. Vil de normalt støtte IPv6? Hvilke PLS'er er det eventulet som støtter IPv6? Hva med den HMI'en som er tegnet inn? Hvis man for eksempel har en del utstyr som ikke støtter IPv6, samtidig som man ønsker en gradvis overgang til IPv6 hvordan går man da for eksempel fram for å integrere "IPv4 utstyr" inn mot "IPv6 utstyr", deler man da nettverket inn i ulike segmenter, med ulik adressering, eller hvordan løser man dette i praksis? Dette var da et forholdsvis enkelt eksempel, men hva hvis man har flere nettverkssegmenter, der noe utstyr er gammelt, og så har man kanskje andre seksjoner/segmenter som er mer egnet for IPv6, hva blir da prinsippene for å få dette til å fungere som en helhet, selvfølgelig med tilstrekkelig grad av sikkerhet?

Han må gjerne fortelle litt. Hvilken bransje? Hvilken type anlegg? Hva slags risikovurderinger og hvilken type sikkerhet?

Bare hobby og dette er jo diskusjon.no Vitsen var jo å lære litt og å få opplyst litt om det som går på. Har ikke fått rotet fram de bøkene som jeg refererer til (litt for mye annet å holde på med), men noe annet stoff inntil videre: Noen litt generelle betraktninger omkring eller relatert til temaet: https://www.tu.no/artikler/industrielle-nettverk-har-utfordringer-med-cybersikkerhet-allerede-fra-start/512948/ Lit mer i samme gata, rundt det som går på generelle prinsipper/betraktninger: https://www.norskindustri.no/bransjer/teknobedriftene/cybersikkerhet-og-industri-4.0/veikartet/7/#part0 Så litt over mot det litt mer praktiske/konkrete: https://download.schneider-electric.com/files?p_Doc_Ref=STN+v2 Noe av problemstillingen er altså: Hvordan vil overgangen til IPv6 eventuelt berøre de problemstillingene som er nevnt i linkene over, og hvordan og i hvilken grad vil det utstyret som beskrives av Schneider være kompatibelt med IPv6? Her er et par bøker. Den første boken kan man lese gratis online. Bok no 2 koster penger, men jeg ser at de nå har satt ned prisen, slik at det bare er snakk om 5 dollar eller tilnærmet gratis: Bok 1: https://www.packtpub.com/product/industrial-cybersecurity/9781788395151 Bok 2 (Til dels revisjon og videreføring av den første.) https://www.packtpub.com/product/industrial-cybersecurity-second-edition/9781800202092 IPv4 og IPv6 er jo sånn sett bare en liten del av en litt større og mer sammensatt problemstiling, men det må stadig vekk være slik at alle enkeltdelene i et "system" må passe sammen til en helhetlig god nok løsning både i forhold til til funksjonalitet og sikkerhet. Rettelse: Det står da "read for free" på begge. Da jeg kikket på disse bøkene så fikk jeg opp den første på et nokså dårlig webformat, uten å betale, og så fikk jeg opp den andre på et ganske godt e-bok format etter å ha betalt noen hundrelapper.

Joda. Refererer til et par lærebøker i "Cyber Security for Industrial Control Systems" og et par masteroppgaver innenfor samme tema, pluss ogaå litt annet lærestoff. Det som jeg er på jakt etter det er å få utdypet inholdet i disse "lærekildene" i forhold til problemstillingen rundt IPv6. Synes faktisk at jeg har lært en hel del allerede. Kommer tilbake om litt med opplysninger om hvilke lærebøker og hvilke masteroppgaver det dreier seg om. En av de to lærebøkene ligger åpent på nett, og den andre må man kjøpe tilgang til. Masteroppgavene ligger åpent. Kommer tilbake med nærmere info, når det blir litt ledig tid.

Her var det mange interessante opplysninger og synspunkter. Grunnen til at tråden ble opprettet er jo ikke at jeg vet svarene på forhånd, men heller at jeg synes det er interessant å forsøke å finne dem. En annen side ved saken, det er jo at når man kanskje forsøker å spå om framtiden, så følger jo "riktig løsning" sånn litt etter hvert. For den som kan begge deler like godt så kan det vel de ut som at der er slik. For IPv4 så har det imidlertid blitt utviklet kurs/opplæring/dokumentasjon, i stort omfang over en periode på 30 år eller så, slik at det er lett å utvikle kompetanse innenfor denne genereasjonen av teknolog. For IPv6, så synes jeg ikke opplæringstilbudet er like omfattende og like komplett. Jeg etterlyste i tåden over linker eller eksempler på for eksempel online kursressurser som ikke bare gir "en introduksjon til IPv6", men også litt mer generelt omkring bruken av IPv6, sånn i en litt større sammenheng, gjerne med fokus på sikkerhet. Så langt har det ikke blitt lagt ut noen slike opplysninger, og spørsmålet "hvor finner man nødvendige ressurser for opplæring omkring IPv6 med vekt på sikkerhet og praktisk anvendelse" slik at denne problemstillingen fortsatt står ubesvart. (Det ble lagt ut en link, men jeg oppfatter det som et kurs som ført og fremst gir en introduksjon til IPv6.) Jeg googlet ellers opp et par dokumenter og problemstillinger som jeg synes det kan være interessant å ta vare på, sånn i et litt helhetlig perspektiv. IIOT eller "Industrial Internet of Things" er jo også en problemstilling som vil være relevant og som vil påvirke kompleksiteten i et samlet risikobilde. https://www.novotek.no/insights/hva-er-iiot/ https://www.osti.gov/servlets/purl/1642737 https://citeseerx.ist.psu.edu/document?repid=rep1&type=pdf&doi=09c6f20848d28fb97b942a78199cf163832211b5 Sammenkoblingen mellom ICS (Industrial Control Systems) og skybaserte systemer er også en del av en litt større problemstilling, der alle delene i et helhetlig system skal "henge sammen" på en sikker måte. Når sant skal sies så peker jo mye av dette i retning av at det faktisk er nødvendig å komme over i IPv6 baserte løsninger, selv om det kanskje kommer til å finnes en del "lappetepper" på veien.

Det vil ikke være tilstrekkelig å forstå eller å kunne IPv6 eller noen annen enkeltfaktor, hver for seg. Man må kunne gjennomføre en helhetlig risikovurdering av hele det industrielle anlegget som helhet, og så må man gjennomføre nødvendige sikkerhetstiltak i forhold til det. Forutsetningen vil jo være at de som kan alt det andre også kan IPv6. Fant ikke noe her nei: https://www.glasspaper.no/ Hvem i Norge er det som gir opplæring i Cyber Security for ICS, med eller uten IPv6?

Hvem gir opplæring i sikker bruk av IPv6 for industrielle kontrollsystemer? Hvem gir i det hele tatt opplæring i cybersikkerhet for operasjonell teknologi? Hvordan gjennomfører man opplæringen for å nå disse målene? https://www.norskindustri.no/bransjer/teknobedriftene/cybersikkerhet-og-industri-4.0/veikartet/ Problemstillingen rundt IPv6 kommer jo sånn sett bare til som et tillegg til det øvrige, som også skal læres.

Det er nok slik at både utstyret og personellet må være kompatibelt med IPv6 før IPv6 kan bli tatt i bruk på en sikker måte. Hvis de som skal operere og drifte systemene ikke kan teknologien godt nok, så mener jeg at det i seg selv er en risikofaktor. Mener at disse to hackerangrepene er eksempler på nokså enkle feil ifb med konfigurering av brannmur: https://www.nrk.no/norge/dataangrep-mot-norkart_-3_3-millioner-kan-vaere-berort-1.15962268 https://www.nrk.no/innlandet/kan-ta-et-halvt-ar-for-ostre-toten-a-rette-opp-dataangrep-1.15364106 Teknologi kan ikke være mer komplisert enn at man har "full kontroll" slik at tingene blir gjort riktig. Sikkerhetsnivået avhenger ikke av en faktor, men av summen av alle faktorer til sammen. Menneskelige feil og kompetanse i forhold til teknologien utgjør vel kanskje en større risikofaktor enn teknologien selv. Vil forsøke å finne fram litt mer info, om litt.

Ja, det stemmer. Feilsøkte litt og fant ut at det var synderen. Men helt generelt: Når man har IPv6 inn fra ISP, betyr det at man har x-antall globale IPv6 adresser tigjengelige og at man kan sette opp x-antall servere som er tigjengelig fra Internett? Hvis så er tilfelle, finnes det noen guide som beskriver hvordan man kan sette opp servere på hjemmenettverket, slik at de er tigjengelig fra Internett? Noen som vet?

Og nå er jeg hjemme, og det litt vanvittige det er at på hytta så kjører alt i utgangspunktet IPv6 og hjemme så kjører absolutt alt IPv4. Her er det år 2001. Mye interessant over. Tenker nok at tingene er litt nyansert ja, og at det vil kreves "dual stack" et stykke tid.

Tenkte jeg skulle forsøke meg på den oppgaven. Fant en guide på Internett. https://www.51sec.org/2022/01/26/configure-ipv6-on-azure-virtual-machine/ Skal tro om den er riktig/oppdatert/brukbar?

Skal sjekke når jeg kommer hjem 🙂