Gå til innhold

Hvordan konfigurere man en server på MS Azure med IPv6?


Anbefalte innlegg

7 hours ago, barfoo said:

Jamen... det finst brannmurer for IPv6 og? Dønn oppriktig: det finst ikkje forskjell.

Det som er forskjellen det er først og fremst den praktiske gjennomføringen av scanningen.

7 hours ago, barfoo said:

Du har vel gjerne ei adresseliste du kan bruke?

Der ligger litt av det praktiske problemet. Hvis man har en liste over interne IPv6 adresser, og det dreier seg om forholdvis få adresser, så kan det vel la seg gjøre. HVis det dreier seg om PC'er og servere, så er det vel også rimelig enkelt å hente dem ut. Hvis det dreier seg om for ekempel 40-50 komponenter i et automatisert system, der komponenten ikke har noe betjeningspanel, så kan det vel bli komplisert og krevende å hente dem ut.

Lenke til kommentar
Videoannonse
Annonse
7 hours ago, process said:

Brannmursregler er ikke så kompliserte at man ikke kan forstå hvilke porter til hvilke ip adresser man åpner.  Vil du validere noe kan du benytte nmap / nc etter behov.

Nå er det vel et krav i en del sammenheng at det skal gjennomføres en verifisering av sikkerhet som egen aktivitet i form av en pentest eller tilsvarende, og da er jo en portscan en normal og vanlig framgangsmåte.

Lenke til kommentar
16 minutes ago, arne22 said:

NAT routerne

Det er bare en router - consumer devices er ofte en brannmur, switch og router i ett. 

12 minutes ago, arne22 said:

Hvis man scanner for en bestemt port,

Da verifiserer du ikke feilkonfigurasjon, som var premisset her. Dette er akkurat det samme på V6

12 minutes ago, arne22 said:

Dette er hva man kan kalle "trivielt", for IPv4, men det fungerer ikke fior IPv6.

Igjen. Det samme på v6 - hva mener du er forskjellen her?

Lenke til kommentar
7 hours ago, process said:

Å scanne et IPv4 subnett på minutter tyder på at man bare sjekker default porter og ikke gjør en UDP scan i det hele tatt. 

Man gjennomfører scanningen i flere "trinn". Først så kan man for eksempel bare sjekke hvilke adresser som er "live". Så kan man gå inn på en detalscan mot den enkelte host. alt etter hvor interessante de ser ut til å være. Hvis man er ute etter å sjekke etter "noe spesielt" så kan man også scanne bare en eller to porter på hver host, og da kjører man gjennom mange tusen adresser på ganske kort tid. Dette lar seg gjøre med Ipv6 men ikke IPv6.

Lenke til kommentar
8 minutes ago, arne22 said:

Hvis man har en liste over interne IPv6 adresser

Akkurat like mange addresser som på v4. Det er like mange hosts.

2 minutes ago, arne22 said:

Først så kan man for eksempel bare sjekke hvilke adresser som er "live".

Ping sweep funker også, og fra lenken du postet over kan du sende icmp echo til broadcast. 

Jeg angrer på at jeg meldte meg på igjen, målstengene endres hele tiden og det er veldig uredelig.

  • Liker 1
Lenke til kommentar
1 minute ago, process said:

Det er bare en router - consumer devices er ofte en brannmur, switch og router i ett. 

Ja det stemmer. Statefull inspection firewall kom som standard for mer enn 20 år siden.

3 minutes ago, process said:

Igjen. Det samme på v6 - hva mener du er forskjellen her?

Forskjellen er at den ene adresserangen har tusener av adresser slik at man godt kan scanne nettverksegmenter. IPv6 har millioner eller trillioner av adresser, eller hva det nå er, slik at det skal ta flere år å scanne adresseranger. Da blir det i praksis umulig.

Lenke til kommentar
6 minutes ago, process said:

Akkurat like mange addresser som på v4. Det er like mange hosts.

Med IPv4 så kan man scanne og "oppdage" samtidig. Man behøver ingen "liste over hosts".

Hvis det dreier seg om en "nattrouter mot omverdenen", så kan det i praksis holder med å scanne den globale IP adressen  fra utsiden. Det behøves portforwarding for å komme inn på lokale serverfunksjoner og de interne lokale IPv4 adressene er ikke "rutbare" over Internett. Hvis det dreier seg om IPv6 så må man scanne hver enkelt IPv6 adresse brukt på det lokale nettet, på grunn av at disse adressene er rutbare.

Endret av arne22
Lenke til kommentar
22 minutes ago, arne22 said:

de interne lokale IPv4 adressene er ikke "rutbare" over Internett.

Uten brannmur kan de kan rutes fra utsiden, men hindres av brannmur (som med v6) eller nullrouting.  "ip r add 10.0.0.0/8 via <nat ip>" 

Har de "private" adressene på innsiden en default route via nat gw svarer de og du kommuniserer helt fint med de. (som med v6). 

Det er ulike årsaker til at dette ikke alltid fungerer (ISP config, default drop martians, ulik router oppførsel) men det er viktig å være klar over at NAT overhodet ikke stopper dette.  Dette er gang nr 3 jeg påpeker dette. 

Endret av process
  • Liker 2
Lenke til kommentar
37 minutes ago, arne22 said:

Der ligger litt av det praktiske problemet. Hvis man har en liste over interne IPv6 adresser, og det dreier seg om forholdvis få adresser, så kan det vel la seg gjøre. HVis det dreier seg om PC'er og servere, så er det vel også rimelig enkelt å hente dem ut. Hvis det dreier seg om for ekempel 40-50 komponenter i et automatisert system, der komponenten ikke har noe betjeningspanel, så kan det vel bli komplisert og krevende å hente dem ut.

Om du ikkje har oversikt over adresser på komponentane i automasjonssystemet ditt er *minste* problemet ditt brannmurer.

Då mangler du enkelt og greit kontroll over nettverket, og må løyse det problemet først.

Vanlegvis med slike komponenter så gir du dei adresse manuelt i automasjonsnettverk, og frå ei liste.

14 minutes ago, process said:

Dette er gang nr 3 jeg påpeker dette. 

Mitt inntrykk er at arne22 ikkje forstår IPv4 eller IPv6, men har cargocult-tilnærming til sikkerhet og trur det er ekstreme forskjeller mellom IPv4 og IPv6. Den einaste relevante forskjellen eg kan komme på er strengt tatt lengda på adressene.

26 minutes ago, process said:

Jeg angrer på at jeg meldte meg på igjen, målstengene endres hele tiden og det er veldig uredelig.

Det som er illustrerande er at arne22 fullstendig ignorerte mitt svar på dette spørsmålet i ein annan tråd - og plutselig popper opp igjen med det i ein tråd der det er fullstendig off topic. Tidlegare har han jo veldig opptatt av å halde på tema for tråden.

Kort sagt håper eg inderleg @arne22 ikkje har jobb som har med sikring av nettverk å gjere, for dette er faktisk eit tema vedkommande ikkje forstår på eit grunnleggande plan.

Endret av barfoo
  • Liker 1
Lenke til kommentar
25 minutes ago, barfoo said:

Mitt inntrykk er at arne22 ikkje forstår IPv4 eller IPv6, men har cargocult-tilnærming til sikkerhet og trur det er ekstreme forskjeller mellom IPv4 og IPv6.

Det er litt mye fokus på ulikhetene, når det fundamentalt er akkurat det samme. 

Jeg tror det bunner i det har vært mer fokus på praktisk heller enn teoretisk lærdom. Begge deler er viktig, men folk er forskjellige. Øker man dog kompleksiteten er man nødt til å stole på det teoretiske.  Samtidig er det vanskelig om dette bare er en liten del av jobben.

Forøvrig helt enig i at man bør ha oversikt over komponentene sine. Ofte har man dette gratis via cmdb eller automasjon, men et excel ark har man vel i det minste. 

Det hjelper selvfølgelig ikke at denne diskusjonen har blitt hatt i det uendelige så lenge ipv6 har eksistert. Et element er også lav endringvilje og forståelse.

For oss som har kjørt det i produksjon i godt over 10 år er det bemerkelsesverdig. 

Endret av process
  • Liker 1
Lenke til kommentar
arne22 skrev (1 time siden):

Dette har vært standard funsjonalitet på de NAT routerne som har vært levert gjennom de siste 20 årene. En gang rundt år 2000 så begynte man å produsere NAT-routere med innebygd statefull packet inspection firewall. I starten så var dette "hitec" så man leste anmeldelser på NAT-routere, hvilke som hadde og ikke hadde, og etter hvert så ble det standard på alle sammen.

Du svarte overhode ikke på spørsmålet.

Hvilke OSI lag snakker vi om her? Dvs hvor i OSI modellen er NAT bygd sammen med brannmurrunksjonaliteten?

  • Liker 2
Lenke til kommentar
21 minutes ago, process said:

For oss som har kjørt det i produksjon i godt over 10 år er det bemerkelsesverdig. 

Jepp. Mitt inntrykk er at det einaste nye er adresseformat. Ruting fungerer som før. TCP og UDP fungerer som før. Brannmurer fungerer som før - også viare også viare.

Eg trur veldig mykje av forvirringa er fordi mange aldri har prøvd anna enn enkle subnet som har maskerade mot internett. Dei forstår ikkje korleis ruting fungerer med IPv4, og forstår ikkje ruting med IPv6.

Det er forøvrig eit bodskap underteikna har repetert ganske lenge i mange tråder @arne22 har starta om IPv6. I beste fall har han slutta å svare og laga ny tråd.

Endret av barfoo
Lenke til kommentar
10 minutes ago, barfoo said:

Ruting fungerer som før.

Ikke minst er det bakoverkompatibelt 😅 - du kan rute v4 over v6 og v6 over v4! 

10 minutes ago, barfoo said:

Eg trur veldig mykje av forvirringa er fordi mange aldri har prøvd anna enn enkle subnet som har maskerade mot internett.

100% - mange er vel også vant med /32 for innadgående. Går man over (under) det øker forståelsen for v6.

Endret av process
  • Liker 1
Lenke til kommentar
36 minutes ago, nightowl said:

Her mener du sikkert /24 ?

Mente /32, men oppdaterte for å spesifisere ingress. 

Edit: For å være tydelig - når man ruter subnett over /32 (altså en enkelt adresse) er det lettere å forstå hvordan man kan rute flere adresser også med v6 og hvordan man da må tenke brannmur.

1:N vs X:N

Endret av process
Lenke til kommentar

Det ser ut til at dette er det vanlege resultatet. @arne22 får ein del veldig gode tilbakemeledinger, og forsvinner frå tråden, utan å kommentere tilbakemeldingene. Så dukker det sikkert opp samme (eller nesten like) spørsmål i ein annan tråd, i håp om å få andre svar...

Lenke til kommentar
On 6/8/2023 at 9:03 AM, barfoo said:

Det ser ut til at dette er det vanlege resultatet. @arne22 får ein del veldig gode tilbakemeledinger, og forsvinner frå tråden, utan å kommentere tilbakemeldingene. Så dukker det sikkert opp samme (eller nesten like) spørsmål i ein annan tråd, i håp om å få andre svar...

Nå er den problemstillingen som denne tråden skulle handle om løst av hr barfoo i form av en link til en Microsoft side som sannsynligvis løser problemet, i alle fall hvordan man utfører en grunnleggende installasjon av en server på MS Azure. (Hele konfigureringen, det vil jo avhenge litt av hvilken server det er.)

Hensikten med å diskutere, det er jo ikke å diskutere, men å finne gode løsninger på konkrete praktiske problemer.

For meg så var det praktiske problemet å avklare dette med bruk av og verifisering av IPv6 addressering i forbindelse med operasjonell teknologi - OT. Parallellt med at man starter en diskusjon på diskusjon.no, så utreder man jo også samtidig den samme saken i andre faglige fora enn det som er på diskusjon.no, og så ser kan hva som leder fram til gode løsninger.

Det har fungert, det har framkommet en konklusjon, som i alle fall er god nok for meg, og den er postet til sist i denne posten:

Det er bra at det skjer et engasjement. Jeg vil også lese gjennom alle de postene som er postet over og se om det er noe som bør føres videre.

Endret av arne22
Lenke til kommentar

Du bruker veldig mange ord uten å faktisk formidle noko.

Det framstår som om du er fagleg naken, for du svarer ikkje på kritikken du får. Du raljerer i veg om noko heilt anna - og bytter plutseleg tråd.

For meg er det dønn åpenbart at du ikkje har overfladisk kunnskap om nettverk, og eg trur strengt tatt den einaste du lurer er deg sjølv. Dei fleste andre har gjennomskua det.

  • Liker 1
Lenke til kommentar
  • 2 uker senere...

Da er det i så fall helt OK. Så lenge serverne kjører som de skal så er alle tingene som de skal være.

Vil teste ut den linken du la ut over en gang det måtte passe. Vil tro at den fungerer.

Endret av arne22
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...