Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?


Anbefalte innlegg

1 hour ago, Serpentbane said:

Altså, hva er premissene for spørsmålet eller diskusjonen?

Jeg startet tråden, og hensikten var å se på hvordan man eventuelt kan implementere Ipv6 i forhold til de problemstillinger som følger av Norsk Industri sitt veikart og ellers det som går på "Cyber Security for Operasjonell Teknologi". 

Synes faktisk at bildet har begynt å klarne litt, etter det som har kommet fram.

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse
arne22 skrev (26 minutter siden):

Jeg startet tråden, og hensikten var å se på hvordan man eventuelt kan implementere Ipv6 i forhold til de problemstillinger som følger av Norsk Industri sitt veikart og ellers det som går på "Cyber Security for Operasjonell Teknologi". 

Det kommer vel ant på implementasjonen, hvordan den evt. vil gjøres forskjellig fra en IPV4 implementasjon, og hva man ønsker å oppnå med den?

Altså om det kun er adresseringen som endres så kan i praksis IPV6 bli mindre sikkert nå i "tidlig" fase, men... Likt for likt så er det i utgangspunktet likt. Altså om man setter opp et IPV6 subnet med en ULA. 

Nå er det en stund siden jeg leste veikartet, og har ikke tid nå, men jeg husker ikke at IPV6 ble lagt fram som et sikkerhetsproblem i seg selv?

Mener det sto en del om IoT og slike ting, men det er ikke veldig relevant her slik jeg forstår det, og selv der er ikke adresseringen i seg selv problemet. 

 

Endret av Serpentbane
Lenke til kommentar
4 hours ago, arne22 said:

Litt oppsummering av "bruk av IPv6 i kontrollnettverk". (Foreløpige konklusjoner.)

For IPv4:

  • IPv4 baserer seg på korte enkle IP adresser med lengde 32 bit, som kan være lokale og som vanligvis bare ha gyldighet inne på lokalnettverket.
  • IPv4 adresser kan enten settes opp automatisk ved bruk av DHCP eller manuelt. Begge deler er svært enkelt å konfigurere og sette opp. Automasjonsutstyret vil vanligvis ikke være tildelt IP adresser som kan rutes over Internett.
  • De fleste kjente systemer for HMI, logging, journalføring og de fleste typer PLS'er, med datakommunikasjon støtter IPv4, som har vært brukt i en årrekke.
  • Utstyret vil vanligvis ligge bak en NAT router som også har funksjoner for "anonymisering" og "firewalling".
  • Det vil være svært enkelt å teste ut eller å verifisere sikkerhet for kontroll-nettverket ved bruk av nettverksscanner og eventuelt packet sniffer.
  • Lite behov for opplæring. Stort opplæringtilbud.
  • Fordeler: Enkelt, robust, utprøvd. Ingen kjente utfordringer, lett å verifisere.

For IPv6:

  • IPv6 baserer seg på noe lengere adresser med lengde 128 bit. En node som skal kunne kommunisere ut i mot Internett, for eksempel for oppdatering vil ofte kunne ha 1 eller flere globale IPv6 adresser, som kan routes via Internett.
  • Det er mulig å bare å bruke "link-local" adresser som bare kan kommunisere lokalt. Link-local adressene settes opp automatisk av utstyret selv, slik at det vl være komplisert å sette opp kommunikasjon mellom forskjellig teknisk utstyr.  
  • Det er mulig å konfigurere slik at de globale IPv6 adressene settes opp automatisk ved hovedsakelig ved hjelp av to alternative metoder, SLAAC og DHCPv6 (Det ser også ut til å finnes flere metoder.)
  • Det er også mulig å konfigurere utstyrets globale IPv6 adresser manuelt, men dette må gjøres i samarbeid med ISP, ettersom utstyrets individuelle "tildelte lokale adresser", også skal være rutbare over internett.
  • Det utstyret som skal kobles opp i et IPv6 kontrollnettverk må være kompatibelt med IPv6. Pr i dag så er det kanskje mye utstyr som ikke støtter IPv6 (PLS, HMI, Scada(?), osv)
  • Det må undersøkes og verifiseres at utstyr for loggføring og bearbeiding av data også støtter IPv6. 
  • Verifisering av sikkerhet ved hjelp av portscanner blir vesentlig mye mer komplisert. Hver IPv6 node vil kunne inneholde mange forskjellige IPv6 adresser som må scannes individuelt, ettersom scanning av IP-range ikke er praktisk mulig. 
  • Tolkning av data fra packet sniffer blir svært komplisert, ved at det vil opptre et stort antall lange IPv6 adresser, uten at man vet hvilket utstyr hver enkelt adresse tilhører.
  • Stort opplæringsbehov. Foreløpig et forholdvis lite opplæringstilbud.
  • Fordeler: I forhold til industrielle kontrollnettverk - Ingen kjente.   

Andre problemstillinger:

Man må også ta hensyn til hvilken yrkesgruppe det er som er "maskinbyggere" og som skal sluttkontrollere og skrive samsvarserkæring etter Maskinforskriften og NEK EN 60204-1. Dette vil jo ofte være en automatiker. De to nye lærebøkene som ble gitt ut nå nylig, inneholder av det jeg kan se ikke et eneste ord om IPv6, eller konfigurering av eller sikkerhet for IPv6 nettverk 

Foreløpig konklusjon:

For industrielle kontrollnettverk, så er det i dag i liten grad behov for IPv6. Gjennomføring av IPv6 vil foreløpig skape mange flere nye problemer enn de som blir løst. For bruksområdet industrielle kontrollnettverk, så vil det by på mange fordeler å avvente IPV6 til teknologien og rutinene rundt bruken av IPv6 blir mer moden.  

Hva Industrien så gjør i praksis, det er det jo bare framtiden som kan vise.

En sak som ville være interessant å undersøke nærmere i den sammenheng det er hvordan denne problemstillingen fungerer i land som har kommet mye lengre i implementeringen av IPv6 i forhold til "nasjonalt og lokalt Internett".

Du bør kanskje jobbe litt med hvordan du formulerer deg, dette inlegget er skrevet på en måte som fremstår som "fakta". 

I beste tilfelle er dette veldig missvisende og inneholder flere direkte faktafeil.

Bra du ønsker å lære, men dette innlegget viser at du ikke har tatt til deg flere elementer mange har forklart i tråder du har diskutert i ang. IPv4/IPv6.

Det er ikke meningen å gå på person. Jeg kan godt ramse opp alle feil du tar, og vi kan diskutere sak.

Men det er lite givende for andre å diskutere med deg når du aldri tar til deg hva de andre sier og kjører på uten å vurdere / spørre opp hvorfor de andre sier det de sier.

Også fortsetter du med din "agenda", som virker å være at du prøver å "rettferdiggjøre" at IPv6 enten er mer usikkert, eller "så komplisert" at IPv4 er bedre.... Noe som er feil.

NAT er IKKE en sikkerhetsfunksjon, på samme måte som at Raid er IKKE en backupløsning.

  • Liker 4
Lenke til kommentar
1 hour ago, Serpentbane said:

Nå er det en stund siden jeg leste veikartet, og har ikke tid nå, men jeg husker ikke at IPV6 ble lagt fram som et sikkerhetsproblem i seg selv?

Mener det sto en del om IoT og slike ting, men det er ikke veldig relevant her slik jeg forstår det, og selv der er ikke adresseringen i seg selv problemet. 

Nei, tror ikke IPV6 er nent i det hele tatt i dette veikartet. Har også gått gjennom noen bøker om temaet som heller ikke nevnte problemstillingen. Samtidig så er det jo også slik at man behøver tilpasset utstyr, utdannet personell og en annen type konfigurering av utstyret, andre arbeidsrutiner og andre metoder for å verifisere sikkerhet for ferdig anlegg, når/hvis man går over fra IPv4 til IPv6.

Rent praktisk, så vil det vel oppstå en del praktiske problemstillinger, og mange av dem følger vel ikke bare bare av adressene selv men heller hvordan IPv6 protokollen krever endret utstyr, endret kompetanse og endrede arbeidsrutiner. 

En overgang fra IPv4 til IPv6 for industrielle kontrollnettverk vil medføre kostnader og den vil kanskje gi fordeler. Da er noe av spørsmålet: Hvilke fordeler vinner man som kan gjøre en overgang lønnsom og til fordel for bedriften?  

Lenke til kommentar
52 minutes ago, Terje2k said:

Du bør kanskje jobbe litt med hvordan du formulerer deg, dette innlegget er skrevet på en måte som fremstår som "fakta". 

Det står vel "foreløpig konklusjon", og det er jo fritt fram for å si at denne ikke stemmer og å formulere en ny. "Foreløpig konklusjon". Den inneholder også en forholdvis stor feil vedrørende adressering som nå blir rettet opp. Det er slik det er ment å skulle fungere.

Det er opplysningen fra barfoo om ULA.

Hvis sluttresultatet skal bli riktig, så må man først gjøre noen feil.

Endret av arne22
Lenke til kommentar
arne22 skrev (20 minutter siden):

Nei, tror ikke IPV6 er nent i det hele tatt i dette veikartet. Har også gått gjennom noen bøker om temaet som heller ikke nevnte problemstillingen. Samtidig så er det jo også slik at man behøver tilpasset utstyr, utdannet personell og en annen type konfigurering av utstyret, andre arbeidsrutiner og andre metoder for å verifisere sikkerhet for ferdig anlegg, når/hvis man går over fra IPv4 til IPv6.

Rent praktisk, så vil det vel oppstå en del praktiske problemstillinger, og mange av dem følger vel ikke bare bare av adressene selv men heller hvordan IPv6 protokollen krever endret utstyr, endret kompetanse og endrede arbeidsrutiner. 

En overgang fra IPv4 til IPv6 for industrielle kontrollnettverk vil medføre kostnader og den vil kanskje gi fordeler. Da er noe av spørsmålet: Hvilke fordeler vinner man som kan gjøre en overgang lønnsom og til fordel for bedriften?  

Ja og nei. Det kommer som jeg skrev helt ant på implementasjon og hvordan du tenker deg bruken. 

Selv om IPV6 har mer kompliserte adresser så er det faktisk lettere å subnette enn IPV4 og CIDR, og IPV6 har som jeg skrev over ULA range med adresser som brukes internt, tilsvarende 10.x.x.x etc. Du kan lese mer om dette ved å søke opp subnet IPV6 prefix og ULA. 

Man må naturligvis lære seg dette, men det bringer ikke med seg all verden til konseptuelle forandringer, endringer i rutiner osv. fra dagens oppsett med IPV4 om man går for denne modellen. Støtte i utstyret man bruker er naturligvis en selvfølge. 

Derfor ser jeg ikke helt hva som er problemstillingen om målet da ikke er globalt rutbare enheter. 

Men, det er jo naturligvis ikke sånn at man må endre bare for å endre heller.

 

Endret av Serpentbane
Lenke til kommentar
3 minutes ago, Serpentbane said:

Pga. potensielle svakheta i implementasjon på maskinvare/FW/SW i brannvegga, routera etc. Men kan ikke si noe om hvor utbredt problem det er i praksis. 

Så som jeg skrev, i utgangspunktet er det ikke noen forskjell. 

Og på hvilken måte gjelder ikke dette for IPv4 også?

IPv6 er ikke noe "nytt" og uprøvd i nettverk/maskinvare/FW/SW.

Facebook har siden 2017, kjørt alle nye datasenter på IPv6, og siden jobbet med å flytte eksisterende datasenter over til IPv6 only infra.

UH-sektoren (universitet og høyskoler, med uninett, nå sikt i spissen) har kjørt IPv6 i "produksjon" siden 2006-2008? ish. Altså de har kjørt og kjører IPv6 på sin infrastruktur.

Kan du konkret peke på noen svakheter som kan ha betydning av sikkerhetsmessig årsak som IPv6 har som ikke IPv4 har?

Jeg opplever det sammenlignes eple og appelsin her, ikke eple til eple.

IP-laget er kun et nettverkslag, hovedformål er å få transportert pakker fra A til B, X til Y osv.. Dette gjør både IPv4 og IPv6. Hvis sikkerhetsmodellen din baserer seg på sikkerhet i nettverkslaget (uavhengig av IP versjon) så blir spørsmålet fort om du har feil grunnlag/oppbygging for din sikkerhet (security by obscurity blir fort aktuelt da).

  • Liker 2
  • Innsiktsfullt 1
Lenke til kommentar
Terje2k skrev (19 minutter siden):

Og på hvilken måte gjelder ikke dette for IPv4 også?

IPv6 er ikke noe "nytt" og uprøvd i nettverk/maskinvare/FW/SW.

Facebook har siden 2017, kjørt alle nye datasenter på IPv6, og siden jobbet med å flytte eksisterende datasenter over til IPv6 only infra.

UH-sektoren (universitet og høyskoler, med uninett, nå sikt i spissen) har kjørt IPv6 i "produksjon" siden 2006-2008? ish. Altså de har kjørt og kjører IPv6 på sin infrastruktur.

Kan du konkret peke på noen svakheter som kan ha betydning av sikkerhetsmessig årsak som IPv6 har som ikke IPv4 har?

Jeg opplever det sammenlignes eple og appelsin her, ikke eple til eple.

IP-laget er kun et nettverkslag, hovedformål er å få transportert pakker fra A til B, X til Y osv.. Dette gjør både IPv4 og IPv6. Hvis sikkerhetsmodellen din baserer seg på sikkerhet i nettverkslaget (uavhengig av IP versjon) så blir spørsmålet fort om du har feil grunnlag/oppbygging for din sikkerhet (security by obscurity blir fort aktuelt da).

Altså, det er bare å søke, står masse om det, og jeg skriver potensielt, fordi det ikke nødvendigvis vil gjelde alle oppsett og miljøer. Jeg påpeker også at det i utgangspunktet ikke skal utgjøre noen forskjell. Tror du legger for mye i hva jeg skrev, det var mer en "om det skulle være noen forskjell så..." respons i forhold til tematikken i denne tråden. 

Og, det er ikke nødvendigvis knyttet til selve protokollen i sin enkelhet. 

Noen poenger trekkes fram her. 

https://www.internetsociety.org/deploy360/ipv6/security/faq/#:~:text=Executive Summary

Endret av Serpentbane
Lenke til kommentar
5 minutes ago, Serpentbane said:

Altså, det er bare å søke, står masse om det, og jeg skriver potensielt, fordi det ikke nødvendigvis vil gjelde alle oppsett og miljøer. Jeg påpeker også at det i utgangspunktet ikke skal utgjøre noen forskjell. Tror du legger for mye i hva jeg skrev, det var mer en "om det skulle være noen forskjell så..." respons i forhold til tematikken i denne tråden. 

Det kan godt være jeg legger for mye i det du skriver ja, isåfall virker det som vi er enige.

Da er dette likt for hele nettverkslaget, svakheter kan gjelde, både IPv6 og IPv4.

Noen, har brukt slike "potensielt" argumenter som et argument i mot IPv6, noe som blir feil.

Endret av Terje2k
Lenke til kommentar
Terje2k skrev (12 minutter siden):

Det kan godt være jeg legger for mye i det du skriver ja, isåfall virker det som vi er enige.

Da er dette likt for hele nettverkslaget, svakheter kan gjelde, både IPv6 og IPv4.

Noen, har brukt slike "potensielt" argumenter som et argument i mot IPv6, noe som blir feil.

Oppdaterte posten og la inn en link, men du rakk å svare først. Handler ikke nødvendigvis om protokollen i seg selv, men implementasjon og det rundt. 

https://www.internetsociety.org/deploy360/ipv6/security/faq/#:~:text=Executive Summary

Er på ingen måte motstander av IPV6 nei. Vi har ikke tatt steget i den retningen enda, men det handler vel mer om det praktiske mer enn noen følelser ene eller andre veien. 

Endret av Serpentbane
Lenke til kommentar
49 minutes ago, arne22 said:

Det står vel "foreløpig konklusjon", og det er jo fritt fram for å si at denne ikke stemmer og å formulere en ny. "Foreløpig konklusjon". Den inneholder også en forholdvis stor feil vedrørende adressering som nå blir rettet opp. Det er slik det er ment å skulle fungere.

Det er opplysningen fra barfoo om ULA.

Hvis sluttresultatet skal bli riktig, så må man først gjøre noen feil.

Enig i at under en læreprosess er det helt greit å gjøre feil.

Men, opplever argumentasjonen min fortsatt står, det har noe med hvordan man formulerer seg også. Spesielt sånn som nå, du uttaler jo enkelte ting som det er "fakta" for så litt senere snu 180 grader når du oppdager noe. Problemet er ikke at du tok feil, det er helt greit, men problemet er at du er så skråsikker på forhånd og velger å overse / ikke høre på enkelte helt essentiele elementer fra andre som er "basis" for det du spør om.

Dette gjør det vanskelig å faktisk diskutere sak / givende for andre.

Og hvis du ikke ønsker å ta det innover deg, er det lite givende for meg å ville bruke tid på å prøve å lære opp deg ved å sløse bort min egen tid.

Lenke til kommentar
15 minutes ago, Serpentbane said:

Oppdaterte posten og la inn en link, men du rakk å svare først. Handler ikke nødvendigvis om protokollen i seg selv, men implementasjon og det rundt. 

https://www.internetsociety.org/deploy360/ipv6/security/faq/#:~:text=Executive Summary

Er på ingen måte motstander av IPV6 nei. Vi har ikke tatt steget i den retningen enda, men det handler vel mer om det praktiske mer enn noen følelser ene eller andre veien. 

Supert, tror vi er helt enige!

Den du lenker til er jo primært et argument FOR IPv6 , at alle som drifter nettverk, må snarest sette seg inn i IPv6 for å forså konsekvensene av at man kan ha enheter i nettverket som kan bruke IPv6 uten at man selv har "aktivt" skrudd det på.

I det minste konfigurere alle grenseenheter / rutere / brannmurer til å blokkere IPv6 inntil man har lært det selv.


Men igjen, din kontekst er litt merkerlig eller feil formulert:

2 hours ago, Serpentbane said:

Det kommer vel ant på implementasjonen, hvordan den evt. vil gjøres forskjellig fra en IPV4 implementasjon, og hva man ønsker å oppnå med den?

Altså om det kun er adresseringen som endres så kan i praksis IPV6 bli mindre sikkert nå i "tidlig" fase, men... Likt for likt så er det i utgangspunktet likt. Altså om man setter opp et IPV6 subnet med en ULA. 

Gitt din egen kilde, satt på spissen, blir sikkerheten økt ved å bytte addresseringen til kun IPv6, da man ikke trenger å forholde seg til IPv4 og en potensielt sett IPv6 som har autokonfigurert. Det betyr også at de som drifter dette utstyret/nettverket må lære seg IPv6, først som sist.

Uansett, vi kan godt legge den død, jeg tror vi er enige! IPv6 utgør ikke noen større sikkerhetsrisiko enn IPv4 sånn direkte basert på protokollen. Det handler mer om "det rundt", noe som også gjelder for IPv4.

Det eksisterer tonnevis av usikre IPv4 implementasjoner også...

  • Innsiktsfullt 1
Lenke til kommentar
Terje2k skrev (6 minutter siden):

Supert, tror vi er helt enige!

Den du lenker til er jo primært et argument FOR IPv6 , at alle som drifter nettverk, må snarest sette seg inn i IPv6 for å forså konsekvensene av at man kan ha enheter i nettverket som kan bruke IPv6 uten at man selv har "aktivt" skrudd det på.

I det minste konfigurere alle grenseenheter / rutere / brannmurer til å blokkere IPv6 inntil man har lært det selv.


Men igjen, din kontekst er litt merkerlig eller feil formulert:

Gitt din egen kilde, satt på spissen, blir sikkerheten økt ved å bytte addresseringen til kun IPv6, da man ikke trenger å forholde seg til IPv4 og en potensielt sett IPv6 som har autokonfigurert. Det betyr også at de som drifter dette utstyret/nettverket må lære seg IPv6, først som sist.

Uansett, vi kan godt legge den død, jeg tror vi er enige! IPv6 utgør ikke noen større sikkerhetsrisiko enn IPv4 sånn direkte basert på protokollen. Det handler mer om "det rundt", noe som også gjelder for IPv4.

Det eksisterer tonnevis av usikre IPv4 implementasjoner også...

😁

Jeg var ikke ute etter å gi en link som disser IPV6, men heller en relevant sammenligning.

Som sagt, jeg diskuterer ikke for eller mot. Begge kan gjøres dårlig, begge kan gjøres bra. Men det har vært og er noen iboende risikoer ved å implementere IPV6, og det har gjennom de siste årene vært et reelt problem, selv om det ikke nødvendigvis er dirkete knyttet til protokollen i seg selv, og dette har man sett noen eksempler på i markedet. 

Lenke til kommentar
6 hours ago, arne22 said:

Litt oppsummering av "bruk av IPv6 i kontrollnettverk". (Foreløpige konklusjoner.)

La oss bryte det ned:

6 hours ago, arne22 said:

For IPv4:

  • IPv4 baserer seg på korte enkle IP adresser med lengde 32 bit, som kan være lokale og som vanligvis bare ha gyldighet inne på lokalnettverket.

Når det komer til lengde, alt er relativt, man kan fint lage korte IPv6 adresser også, det har du blitt forklart tidligere. ULA kan for eksempel være "fd10::1", på samme måte som "10.0.0.1".

Quote

"som kan være lokale og som vanligvis bare ha gyldighet inne på lokalnettverket."

Gjelder også for IPv6.

6 hours ago, arne22 said:
  • IPv4 adresser kan enten settes opp automatisk ved bruk av DHCP eller manuelt. Begge deler er svært enkelt å konfigurere og sette opp. Automasjonsutstyret vil vanligvis ikke være tildelt IP adresser som kan rutes over Internett.

Dette gjelder også for IPv6.

6 hours ago, arne22 said:
  • De fleste kjente systemer for HMI, logging, journalføring og de fleste typer PLS'er, med datakommunikasjon støtter IPv4, som har vært brukt i en årrekke.

Det er helt sant.

6 hours ago, arne22 said:
  • Utstyret vil vanligvis ligge bak en NAT router som også har funksjoner for "anonymisering" og "firewalling".

Den samme routeren har nok støtte for dette for IPv6 også.

Kjører man et IPv4 industrielt kontrollnettverk bak NAT, er ikke dette noe mer usikkert enn IPv6.

Begge er tilkoblet til internett.

Det handler da om hvordan man setter opp router/brannmur og hvordan man sikrer alle enhetene koblet til dette nettverket.

Uavhengig av IP versjon.

Anonymisering kan være enklere å sette opp med IPv6. NAT er ikke et verktøy for å anonymisere klientene bak.

6 hours ago, arne22 said:
  • Det vil være svært enkelt å teste ut eller å verifisere sikkerhet for kontroll-nettverket ved bruk av nettverksscanner og eventuelt packet sniffer.

Jeg kjøper ikke dette argumentet. Bruker du kun en nettverksscanner+pakkesniffer for å sjekke sikkerhet på ditt IPv4 nettverk i dag, er det mest sannsynlig usikkert og kanskje noen andre bør ta over.

Pakkesniffer fungerer ikke noe spesielt for IPv4, den fanger opp IP (v4 & v6), ARP / NDP, ICMP, PIM, EGP, EIGRP, IGP, IGMP, OSPF, IPIP, ISIS, jeg kan fortsette...

6 hours ago, arne22 said:
  • Lite behov for opplæring. Stort opplæringtilbud.

 

Beste fall misvisende.

Hvis du tar en som går i skole (17-20 åring), så kunne man fint ha lært opp  i IPv6 på samme måte som han kan få opplæring i IPv4.

IPv4 må også læres opp.

Det er alt for mange som konfigurerer/setter opp IPv4 nettverk som ikke forstår hva de setter opp og hvilke konsekvenser dette har.  

Jeg har blant annet sett hele automasjonsnettverk eksponert på internett, ikke direkte, men bak NAT. Som noen (de som hadde satt opp) trodde betydde at det var sikkert da de ikke hadde ipadresser som kunne "nås fra internett" (insert facepalm).

Long story short: En enhet ble hacket i nettverket (som ikke var eksponert via NAT), deretter tok de kontroll over hele scadasystemet.

Du har også blitt forklart om stuxnet før.

Å tenke IPv4 ikke trenger sikkerhetsmessig opplæring er 90-tallstenking. Er det NOEN som virkerlig trenger opplæring i dette, så er det de som setter opp industrielle kontrollnettverk. Uavhengig av om det er IPv4, eller IPv6.

Når man før hadde 4-20mA / Profibus / Fieldbus / Modbus RTU, så var de lokale. Men med en gang man hopper over på IP (uavhengig av versjon), må man begynne å tenke på sikkerhet, dette er en fordel og ulempe med IP-basert kommunikasjon.

 

6 hours ago, arne22 said:
  • Fordeler: Enkelt, robust, utprøvd. Ingen kjente utfordringer, lett å verifisere.

Beste fall misvisende.

Er jo en del kjente utfordringer med IPv4 og sikkerhet i industrielle kontrollnettverk...

Jeg kan og ramse opp mer og gå igjennom din IPv6 seksjon, men stopper her tenker jeg!

Er en god start for videre diskusjon.
 

6 hours ago, arne22 said:

Andre problemstillinger:

Man må også ta hensyn til hvilken yrkesgruppe det er som er "maskinbyggere" og som skal sluttkontrollere og skrive samsvarserkæring etter Maskinforskriften og NEK EN 60204-1. Dette vil jo ofte være en automatiker. De to nye lærebøkene som ble gitt ut nå nylig, inneholder av det jeg kan se ikke et eneste ord om IPv6, eller konfigurering av eller sikkerhet for IPv6 nettverk 

Forøvrig, jeg har ikke betalt for de to bøkene du linker til her. Men nevner de noe om hvordan du konfigurerer sikkerhet for IPv4 nettverk?

  • Innsiktsfullt 1
  • Hjerte 1
Lenke til kommentar
Terje2k skrev (På 29.1.2023 den 17.15):

NAT er IKKE en sikkerhetsfunksjon

Det er helt riktig at NAT aldri var ment å ha en sikkerhetsfunksjon, samtidig er det ingen tvil om at den faktisk har (hatt) det.
Man kan sikkert argumentere med at hvis man ikke hadde hatt NAT, så hadde alle hatt en brannmur som blokkerte all inngående trafikk, men jeg tviler på at det hadde vært realiteten.
Mange hadde nok også trolig bare skrudd av brannmuren for å tilby tjenester ut på internett (NAS, web-servere o.s.v).

  • Liker 1
Lenke til kommentar
9 hours ago, sk0yern said:

Det er helt riktig at NAT aldri var ment å ha en sikkerhetsfunksjon, samtidig er det ingen tvil om at den faktisk har (hatt) det.

Enig i dette. Og for å sette det på spissen, har det vært en bjørnetjeneste? Feks. gjort at mange har mistet forståelsen for hvordan man faktisk blokkerer inngående trafikk vha. en brannmur?

9 hours ago, sk0yern said:

Man kan sikkert argumentere med at hvis man ikke hadde hatt NAT, så hadde alle hatt en brannmur som blokkerte all inngående trafikk, men jeg tviler på at det hadde vært realiteten.

Jeg tror det ville vært mer fokus på brannmur, iom. at man da åpner hele nettverket (alt eller ingenting) og man ville sett flere "satte opp server, hacket videoovervåking" eller tilsvarende skrekkhistorier. 

Altså at realiteten ville vært brannmur default, med default blokkering av alt innkommende. Husk det er produsentene av utstyr og ISP'er som stort sett setter føringer for dette, de ville da ha hatt en slik standardkonfigurasjon.

9 hours ago, sk0yern said:

Mange hadde nok også trolig bare skrudd av brannmuren for å tilby tjenester ut på internett (NAS, web-servere o.s.v).

De som har pr. dags dato konfigurert "port forwarding" likeså enkelt hadde klart å konfigurere en brannmur for å slippe igjennom spesifikk trafikk. Enkel brannmur er ikke særlig avansert, det er nesten mer avansert å forstå hvordan man konfigurerer en NAT.

Så jeg tror ikke det hadde vært mange av denne gruppen. Noen selvfølgelig, men det er jo de samme som i dag kjører alt rett ut på internett... og blir hacket.

Lenke til kommentar
23 hours ago, Terje2k said:

Enig i dette. Og for å sette det på spissen, har det vært en bjørnetjeneste? Feks. gjort at mange har mistet forståelsen for hvordan man faktisk blokkerer inngående trafikk vha. en brannmur?

Jeg tror det ville vært mer fokus på brannmur, iom. at man da åpner hele nettverket (alt eller ingenting) og man ville sett flere "satte opp server, hacket videoovervåking" eller tilsvarende skrekkhistorier. 

For "folk som setter opp industrielle kontrollnettverk", definitivt. Men ikke for milliarder av vanlige internett-brukere. Vi kan være enige om at utdaterte IoT-enheter og bestemors Windows-maskin ikke bør stå åpent på nett. Og vi kan være enige om at i dag får bestemor et rutermodem som gjør at hun ikke står rett mot nett. Og kanskje til og med har innebygget brannmur påslått.

I 2003 hadde ikke modem brannmur, og ikke trådløs-rutere heller. Man hadde ZoneAlarm på PCen, men den beskyttet ikke svakheter i operativsystemet, og Blaster-viruset ble en katalysator for trådløsrutere. NAT stoppet angrepet, der man tidligere kanskje hadde hatt en 5 ports 10Mbit hub som spredte innkommende trafikk til alle enheter i huset.

Helt klart at en riktig konfigurert brannmur er å foretrekke, men det fantes knapt da. Og bestemødrene kommer aldri til å ha en egen brannmur-enhet. Jeg tror at på privatmarkedet hadde hele Norges befolkning minus spesielt interesserte vært like sårbare i dag hadde det ikke vært for at nettverksleverandørene i dag gir et bedre konfigurert rutermodem enn de gjorde i 2003. Heldigvis er disse leverandørene i dag IPv6-kyndige, så jeg tror ikke vi går tilbake til pioneer-alderen igjen. Selv om det kanskje har vært noen feilskjær under uttesting av IPv6. 

Det jeg er mest redd for, utdaterte IoT-enheter, kommer til å være like problematiske om de støtter IPv6 eller ikke. Men de har jo ikke snudd opp ned på verden enda, så kanskje de som setter opp større nettverk av IoT-enheter allerede har forståelse for hvordan man setter opp sikrede nett? 

Endret av tommyb
Lenke til kommentar
  • 2 uker senere...

Da jeg startet opp denne tråden, så hadde jeg ikke satt meg inn i IPv6 i det hele tatt. Det hadde nok sant nok gått i IPv4 fra en gang på 90 tallet og fram til i dag, i forhold til det som går på automatiserte anlegg, og stort sett annen IT også. Gjennom denne tråden og et par andre tråder også og en nyanskaffet lærebok, så vil jeg si at også IPv6 nå framstår som et rimelig forståelig tema.

https://www.ciscopress.com/store/ipv6-fundamentals-a-straightforward-approach-to-understanding-9781587144776

Synes ellers denne læreboken treffer ganske presis når den forklarer likheter og forskjeller i innledningen til kapittel 3:  “It’s exactly the same, only completely different.”  Det kan se ut som at man ikke kommer utenom å måtte utføre de fleste jobbene innenfor automasjonsfaget på en litt annen måte, hvis man skal bruke IPv6 i kontrollnettverket.

For å holde meg litt oppdatert i forhold til "den siden av saken", så kjører jeg et par servere som er koblet opp mot Internett, men disse kjører fortsatt IPv4. Jeg postet en forespørsel om tips om hvordan man setter opp en server som kjører IPv6 på Microsoft Azure den 07 Januar, altså en konkret løsning for bruk av IPv6, men denne står fortsatt ubesvart. Er det noen som har en konkret IPV6 løsning for en server som kjører hos MS Azure? 

Vil sette opp en IPv6 basert server for videre testing så snart det foreligger en løsning som ikke tar for mye tid. (Når man klikker seg fram med automatisk installasjon, så får man jo IPv4. I alle fall så var det slik siste gang jeg gjorde det.)

Og så et kanskje litt mer sentralt spørsmål i forhold til trådens "topic".

La oss si at man skal bygge opp en "maskin" eller et "automatisert anlegg" som inneholder for eksempel 20-30 "noder" som for eksempel kan bestå av PLS'er, HMI'er, utstyr for logging av data, og kanskje noe SCADA som gjør det mulig å kontrollere maskinen fra/via Internett.

Gitt forutsetning at man har utstyr for automatisering som virkelig støtter IPv6 og at alle sensorer og pådragsorganer kjører feltbus, eller eventuelt strømsløyfer og/eller kablet 24V styresystem.

Er det noen som har et forslag til en konkret løsning for hvordan man løser dette ved bruk av IPv6? (Opplegg for kontrollnettverk, gateway, praktisk konfigurering, adressering, sikker (nok) fjernpålogging, osv.)  

(For IPv4 så er det jo slik at dette er det som "bransjen" har brukt gjennom de siste 20 årene, og før det, slik at dette ikke er noe problem. "Hyllevaren" fra leverandørene er jo stort sett basert på IPv4.)

Endret av arne22
  • Innsiktsfullt 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...