Funderingar kring Byanätens säkerhet på Nivå 3-7 (OSI)

Funderingar kring säkerhets aspekterna i Byanäten

Utkast:

Kriterier för att framställa en säkerhetsplan på Layer 3-7 (ISO)

1. Det skall skrivas ned.
- Det måste godkännas av ledningen.
- Det måste godkännas av alla och har allmänt deltagande.
- Det måste vara tillräckligt kända och lätt tillgängliga.
- Det måste övervakas och genomföras.
- Det måste regelbundet ses över och uppdateras.

2. Nätverksområdet och dess yttregränser (IPv6)
Strategier som berör nätverksområdet och dess yttregränser kan inkludera följande:
- Filtrering av ICMPv6 meddelanden vid den yttregränsen.
- Tillåt inte Mobile IPv6 (MIPv6) vid den yttregränsen om det inte finns behov av det.
- Använd paket-filter och filter rutt-filter att avlägsna alla IPv6 Bogon adresser på alla nätverks nivåer.
- Förmedla endast paket som har källadresser, inom din tilldelade adressrymden
eller en-link-lokal adresser (i fall NDP).
- Ta emot endast paket som har en destinationsadress som ingår i nätverkets adressrymd från Internet och multicast-grupp-adresser eller länk-lokal adress (ifall NDP).
- Utför Unicast Reverse Path Forwarding (Unicast RPF) filtrering på nätverks
nivå och genom hela det övriga nätverket.
- inneha bara brandväggar som stöder Stateful filtrering av IPv6-paket och ICMPv6 meddelanden och analysera hela pakethuvudetsförlängning (headers extension).
- Använd host-baserade brandväggar som är IPv6-kapabla på alla datorer.
- Använd Intrusion Prevention Systems (IPS) som kan inspektera IPv6-paket på djupet.
- Filtrera multicastpaket på nätets yttregräns baserat på deras tillämpningsområde.

Hoppas med det här "grunden" få respons kring säkerhetsaspekterna kring övergången till IPv6 för Byanäten.

OBS! Komplementerar detta inlägg efterhand som synvinklar och kriterier uppmärksammas.

Syftet med denna tråd hoppas jag att skulle kunna vara en lista med RFC-dokument som bör beaktas vid skapandet av en säkerhetsplan för Byanäten. Även IPv4!

För oss skulle det främst vara ett papper att lägga i handen på den som driftar vårt nät. (Vi själva eller nån annan).

Vår uppgift är att flytta paket. Vi skall göra det i ur och i skur. Enda ingrepp vi får göra är när paketen slutar flyta, eller när risken är hög att dom slutar röra på sig.

Allt från att kabeln går av till att nån dränker nätet med paket som inte skall finnas där. Hårdvarufel, softafel, felkopplingar, felkonfigurationer, maskar och virus, fel som nån medvetet ställer till med, eller omedvetet. Strömavbrott.

Säkerhetsbegreppet innehåller allt det här.

Men, inte tror jag man måste skriva ner allt. Folk kan säkert tänka lite själv också. Principerna är viktiga och bör sättas på pränt.

Till sak.

Verkar som om din text avser en säkerhetsplan i ett företagsnätverk. Där är det viktigt att reglerna accepteras och känns meningsfulla. Annars bryter folk mot dem och firman mår dåligt.

Vår utgångspunkt är en annan eftersom vi ligger mellan hushållen och Internet. Vi skall varken synas eller höras. Vår uppgift är som sagt att flytta paket - inte fundera på vad de eventuellt innehåller. Paket som är dåligt adresserade kan vi förstås kasta.



Vår uppgift är att säkra Byanätets funktion. Hushållen sköter sitt, vi sköter vårt. Men, visst, vi måste hålla ett öga på hushållen (och Internet) att de inte börjar störa vår trafik.


Vår yttergräns till hushållen är en port i växeln. Allt vi skall göra är att de paket som kommer in/ut i den porten skickas rätt.

"Vårt moln", vårt byanät, är egentligen ganska magert. Där finns några växlar, en DHCP-server, och konfigurationssofta som får paketen att åka rätt. Så mycket mer finns där inte.

Eftersom myndigheterna ställer krav på oss, måste vi också fixa:

- Tjuvlyssning mellan grannarna skall inte gå att göra
- Vi måste peka på "den skyldiga" om polisen ger en IP
- Vi måste blocka tex. PirateBay.


Men så mycket mer skall vi inte pynja med.

Säkerhetenssytsemen i vårt dumma nät behöver inte vara så rigorösa: Loggning, lite portlåsning och så isolering av hushåll.

Förslag till åtgärder:

- Byanätet håller alla utportar öppna.
- Byanätet hålle de flesta inportar stängda. Öppna endast portar som hushållen faktiskt behöver. VPN, Fjärstyrningar av PC, VoIP.
På begäran öppnas tex. web-porten 80.

- Isolera hushållen på L2.

- Spara DHCP-loggen tillräckligt länge

- Blocka vissa web-sidor (de sidor som myndigheterna uppmanat oss att blocka)

- Om så önskas kan många hushålls IP-adresser gömmas bakom NAT utan några problem. NAT fungerar som en brandmur som många kan vara intresserade av. En "tjänst" som byanätet kan bjuda på.


- Utöver dethär kan byanätet köra nån nätövervakningssofta som kan varna om svagheter i nätet.

Jag vill nog påpeka att systemet INTE FÅR kräva nånting annat av abonnenten än att han kan sätta i stöpslar av den enkla orsaken att inget annat fungerar.

Guje: För oss skulle det främst vara ett papper att lägga i handen på den som driftar vårt nät. (Vi själva eller nån annan).
Är syftningen att ha det till pappers onödigt arbete eller en sak som kan möjligtvis vara bra att ha som verktyg?

Guje: Vår uppgift är att flytta paket. Vi skall göra det i ur och i skur. Enda ingrepp vi får göra är när paketen slutar flyta, eller när risken är hög att dom slutar röra på sig.
Det här var grundorsaken till att jag började fundera på de här sakerna och baktanken var då att det skall finnas ett verktyg för att lyfta alla parter till samma diskussions nivå (främsta till dem som sitter i styrelser eller andra arbetsgrupper inom Byanätens organisationer).
Men även det att kunna få ett dokument som innehåller alla de viktigaste säkerhets aspekter och att de är hänvisade till standard lösningar när det finns ett behov av det. Samt att det också skall vara enkelt att efterfölja och dokumentera över tid (jag menar att det skall finnas en plats att skriva in det på för annars glöms det fort bort av olika orsaker). Så hur sköter Byanäten dokumentationen i dessa sammanhang?
Dels kan det vara enklare nästa gång det är aktuellt för Byanätetatt att införskaffas elektronik, om det finns dokumenterat på något sett!?

Guje: Allt från att kabeln går av till att nån dränker nätet med paket som inte skall finnas där. Hårdvarufel, softafel, felkopplingar, felkonfigurationer, maskar och virus, fel som nån medvetet ställer till med, eller omedvetet. Strömavbrott.
Jepp, i rubriken skrev jag Nivå(Layer) 3-7 för att annars blir aspekterna så mångfacetterat att det är omöjligt att föra en diskussion om det. Men annars var det bra att du lyfte upp: fel som nån medvetet ställer till med, eller omedvetet för t.ex. uppgradering av switcharna och övrig softa kan ställa till med ett jäkla elände. Hur har burkarna fungerat vid softa uppgraderingar hos er andra som driftar dylika nät?

Guje: Verkar som om din text avser en säkerhetsplan i ett företagsnätverk. Där är det viktigt att reglerna accepteras och känns meningsfulla. Annars bryter folk mot dem och firman mår dåligt.
Bra fråga! Min baktanke var: Vem står för ansvaret när nätet inte fungerar? Hoppeligen kommer det inte att uppstå en sådan situation för något Byanät men man vet ju aldrig. Så det kan kanske vara bra att aspekten finns med i bakgrunden och skapar diskussion kring ansvarsfrågorna? Skyddsvägsprincipen: Bättre vara förberedd än överkörd eller hur det nu var?

Guje: Vi skall varken synas eller höras. Vår uppgift är som sagt att flytta paket - inte fundera på vad de eventuellt innehåller. Paket som är dåligt adresserade kan vi förstås kasta.
Antar du skrev det på grund av punkten: - inneha bara brandväggar som stöder Stateful filtrering av IPv6-paket och ICMPv6 meddelanden och analysera hela pakethuvudetsförlängning (headers extension). den är med för att Header Extension:en kan skapa problem omtrafiken av någon orsak skulle börja köras som QoS eller om man utnyttjar den till taggning av tunnlad IPv4 trafik. Jag antar att de flesta framtida switchar kommer att klara av att "granska" och sortera pakethuvudsförlängningen.

Guje: Eftersom myndigheterna ställer krav på oss, måste vi också fixa:
Det här behöver väl bara Byanätet fixa om det har en registrerad AS-nummer?

Jag har aldrig uppgraderat något (på 9 år). Dels inget behov för vi har så enkla burkar, dels vet jag från 30 år i Räknecentralen att uppgraderingar är en stor orska till problem, Om nånting inte är sönder - fixa det inte !

QoS är tve-eggat. Vi försöker ha så mycket kapacitet att det inte behövs.

Behöver vi alls bekymra oss över myndigheterna ? Jag räknar med att nätoperatören får sköta de problemen. Vi har inga tjänster - vi bara flyttar paket så man kan tänka sej att vi inte är någon operatör alls (i den gamla betydelsen) utan mera fungerar som "tråd".

Nisse: Jag vill nog påpeka att systemet INTE FÅR kräva nånting annat av abonnenten än att han kan sätta i stöpslar av den enkla orsaken att inget annat fungerar.
Det är här hemmaroutern med NAT:ning behövs, på IPv4. På IPv6 så "borde" det bara vara att sätta i stöpseln för vilken burk som helst utan att kunden behöver veta vilken port som är WAN-porten. Antingen fungerar det eller så inte och ingen DHCP i hemma routern som kan störa det övriga nätet.

Jo, men jag vill se ett fungerande IPv6-system förrän jag går in för det. Ett som är beprövat och har burkar på hyllorna i var och varannan butik.

Jag experimenterar gärna med nya prylar men INTE i vårt byanät. Där skall vi ha gammal teknik (men inte SÅ gammal som teleoperatörernas dvs. antik ...).

FYI, vi är en registrerad operatör. Och vill också vara det.

Myndighetskravet överensstämmer med mina egna värderingar.
Vår styrelse tycker lika, och jag tror våra andelslagsmedlemmar dessutom uppskattar det.

Att

- det skall vara omöjligt att tjuvlyssna på grannen
- om ordningsmakten behöver hjälp så får dom det
- vi följer lagar och förordningar


Dethär är själklara saker, även utan myndighetskrav och AS nummer

Vårt system måste börja funka när tant Gunhild pluggar sin dosa i väggen. Annars behöver hon installationshjälp.


QoS kan eventuellt behövas för VoIP. Ljud är besvärligt. Man hör genast om det knäpper och knastrar.
Men som Timmy sa, datamängderna är så små att det spelar ingen roll om ljudet prioriteras.

Å andra sidan har VoIP alltid funkat åt mig - utan QoS.

Danno,

Pappret med direktiv om hur vi vill att vårt nät funkar kallas avtal. Avtalet binder upp den som driftar nätet att ta ansvar för nätets funktion.

De som säljer grunkor åt oss ansvarar för att de fungerar enligt specifikationerna.

Styrelsen behöver inte förstå sig på bittar. Räcker att det finns en sådan resurs tillgänglig så att specifikationerna fås i skick. Finns den inte går den säkert att köpa.

Dokumentationen av hur systemet funkar och styrs köper vi antagligen av driftaren.

Växlarna i byarna skall vara enkla att byta ut. Det är dom om de inte behöver konfigureras så mycke, dvs. Alltför många inställngar skall man inte behöva göra. Man vinner både i tid och funktionssäkerhet om man lyckas med det konsstycket.

Till slut packet inspection, deep inspection och vad allt det nu heter. Såna behov har vi inte och kommer inte att sätta en cent på det heller. Dessutom börjar ju trafiken vara krypterad och gå igenom port 80/443 som vanlig http(s), så det är ju omöjligt att inspektera ens.

Lite oroande är det att höra att dagens switchar kan missa på ipv6 paketen.

Jag tycker det låter bra i stora drag - detaljer kan man alltid diskutera och ändra. Jag har alltid varit på smma linje som Eirik i tiderna. Han tyckte att man köper en mängd billiga och enkla burkar och sedan byter man bara burkl då det behövs. Inga invecklade system.

Det man bör ställa sej in på från början är: Förändringar. Det här området utvecklas så snabbt att det helt enkelt inte är möjligt att satsa på något beständigt. Så det lönar sej inte att sätta ned tid och pengar på något - som troligen blir problemavfall inom kort. Och vanliga burkar (kom ihåg @450 och Flash-OFDM !).

Förändringar kommer från olika håll. Dels kommer det ny teknik och dels hittar skurkarna på nya fanstyg hela tiden. Då är det bra med ett system som är lätt och billigt att ändra enligt behov. Jag har gått in för skilda burkar av den anledningen (enkel mediakonverter + hemmarouter) av den anledningen. Mediakonvertern sitter fast med två skruvar och har fiberanslutning med standard SC-kontakt så man byter den med bara en skruvmejsel som verktyg (lossar skruvarna litet, lyfter bort konvertern och flyttar kontakten till den nya, som sätts på plats och skruvarna dras till). Hemmaroutern byts ännu enklare - bara att flytta sladdarna och i vårt fall att sätta in fast IP-adress och DNS men det kan man göra direkt med abonnentens datamaskin. I bästa fall kan abonnenten själv göra allting men knappast tant Gunhild.

Jag är väldigt förvånad över att vi har samma sorts burkar som vi började med för snart tio år sedan. Lite förbättringar har de nya och så är de billigare men i stora drag likadana. Ännu ser vi inte heller större behov av att byta teknik. Möjligtvis ifall det kommer enkla, bra och billiga IPv6-burkar men jag vill nog kolla in dem i ett år eller två innan jag tar dem i bruk så de är inte riktigt synliga vid horisonten än. IPv6 är mest bara prat tillsvidare och jag satsar inte nånting på prat i vårt nät (kom ihåg Flash-OFDM). Var finns den burk som tillverkas i stora serier och kostar 20-30 euro ?

Guje: FYI, vi är en registrerad operatör. Och vill också vara det.
Det uppskattar jag, dels för att det är bra att små Byanät bevisar att de kan vara det och dels för branschens utvecklingen i helhet.


Till slut packet inspection, deep inspection och vad allt det nu heter. Såna behov har vi inte och kommer inte att sätta en cent på det heller. Dessutom börjar ju trafiken vara krypterad och gå igenom port 80/443 som vanlig http(s), så det är ju omöjligt att inspektera ens.
Håller med, om att sådana behov har vi inte. Grunden ligger till den här punkten i att en "normal" granskning av IPv6 paket så granskas inte ext.headern och i dagsläget har jag för mej att det inte finns billiga switchar som har den här funktionen inbyggd, men om någon känner till det här bättre än mej är jag intresserad av svar.

Lite oroande är det att höra att dagens switchar kan missa på ipv6 paketen.
Jag antar att du syftade på det ovan. Till saken hör att om ext.headern inte "utnyttjas" av någon funktion i själva nätet så har det ingen skillnad för Byanätet. Men om man har möjlighet att utnyttja den till något så är det en behändig finess i IPv6:an.