Bezpieczeństwo IPv6 z Ubiquiti EdgeRouter X (zasady firewall)

Mam pewien dylemat z Ubiquiti EdgeRouter X. Chciałbym wiedzieć na ile jest bezpieczna jego domyślna konfiguracja IPv6, co muszę zmienić, oraz czy są jakieś kiepskie praktyki bezpieczeństwa tak ogólnie w tym systemie. Na IPv6 nie znam się prawie wcale. Wiem tyle że przepuszczanie ICMPv6 przez firewall jest konieczne do działania wielu usług, ale z drugiej strony ICMPv6 może być złośliwy, więc zasady dotyczące jego przepuszczania powinny być bardzo restrykcyjne. Poniżej zamieszczam domyślną konfigurację firewalla. Czy coś tutaj jest słabo zabezpieczone? A może czegoś nie da się np zmienić, lepiej zabezpieczyć w tym systemie? Wtedy można się pokusić o OpenWRT, ale wolałbym to zostawić jako ostateczność.

firewall {
all-ping enable
broadcast-ping disable
}
ipv6-name WANv6_IN {
    default-action drop
    description "WAN inbound traffic forwarded to LAN"
    enable-default-log
    rule 10 {
        action accept
        description "Allow established/related sessions"
        state {
            established enable
            related enable
        }
    }
    rule 20 {
        action drop
        description "Drop invalid state"
        state {
            invalid enable
        }
    }
}
ipv6-name WANv6_LOCAL {
    default-action drop
    description "WAN inbound traffic to the router"
    enable-default-log
    rule 10 {
        action accept
        description "Allow established/related sessions"
        state {
            established enable
            related enable
        }
    }
    rule 20 {
        action drop
        description "Drop invalid state"
        state {
            invalid enable
        }
    }
    rule 30 {
        action accept
        description "Allow IPv6 icmp"
        protocol ipv6-icmp
    }
    rule 40 {
        action accept
        description "allow dhcpv6"
        destination {
            port 546
        }
        protocol udp
        source {
            port 547
        }
    }
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
(...)
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable

}

Reguły generalnie przymują politykę drop (odrzuć wszystko) i zezwalają na:

  1. Pakiety przychodzące z połączeń nawiązanych i powiązanych;
  2. Odrzucanie uszkodzonych pakietów;
  3. Zezwalanie na ICMP;
  4. Zezwalanie na rozgłaszanie DHCPv6 w sieci LAN.

To są raczej wyjściowe reguły, które stosuje się i przy IPv4. Jeśli nie korzystasz IPv6, wyłącz obsługę tego protokołu. Jak to się robi w Ubi, nie wiem, ja tam wolę Mikrotiki.

Po co wyłączać obsługę IPv6, jeśli nie korzystam, skoro w takiej sytuacji i tak najprawdopodobniej nie dociera do routera żaden ruch IPv6. Dodatkowo tak mniej więcej wygląda konfiguracja interfersu wan: https://pastebin.com/Nz1teY9K
W dashboard routera nie widać żeby jakikolwiek IPv6 był przypisany do interfejsu eth0.

Co do ICMP IPv6 to z tego co wiem jest on konieczny do poprawnego działania wielu usług IPv6. Ale z drugiej strony możliwe jest spreparowanie złośliwych pakietów ICMPv6, dlatego trzeba bardzo uważać na reguły zezwalające ICMPv6 i powinny być jakieś dodatkowe restrykcje dotyczące ICMPv6. Dlatego zastanawiam się na ile takie ustawienie jest bezpieczne.

Właśnie dlatego, aby nikt nie wykorzystał tego protokołu do ataku. Skoro nie masz pojęcia o IPv6 i firewallu, to wyłącz to. Jeśli znasz się lepiej, twoja sprawa.

Nie to że znam się lepiej, ale po prostu uważam/mam nadzieję że domyśla konfiguracja utworzona przez kreator konfiguracji początkowej, jest na tyle zabezpieczona że nie muszę nic zmieniać ani wyłączać. Przecież po to są kreatory żeby mniej techniczni użytkownicy nie musieli nic więcej zmieniać. Zresztą jeśli nie mam przypisanego żadnego adresu ipv6 to taki atak wydaje się mi nie możliwy, bo w takiej sytuacji zasadniczo ipv6 nie jest i tak wykorzystywane.

Firewall jak pisałem jest okej. Ja osobiście nie mam zaufania do USG czy ER od Ubi. AP robią swietne, ale reszta sprzętu to niedoróbki.

Prawda - idealne nie są, no ale router kosztował trochę ponad 200zł. Czy jakiś konsumencki w tej cenie może być lepszy od tego? Przed zakupem sprawdzałem i wszystkie konsumenckie które patrzyłem raczej kiepsko się zapowiadały. Szczególnie jeśli chodzi o wsparcie producenta.

Co do tych niedoróbek to prawda. Słyszałem że trzeba uważać na aktualizacje bo z tym trochę jak z beta testami. Albo będzie wszystko działać albo nie. Ale przynajmniej poprawiają błędy i regularnie aktualizują firmware. W razie czego zawsze OpenWRT można wrzucić. ER X jest całkiem mocny więc powinno fajnie działać.

Jeśli jakiś router w cenie około 200zl jest lepszy od ubi to jestem otwarty na propozycje :slight_smile:

@roobal
Jeszcze mogę chyba zwrócić ten router. Jeśli jest coś lepszego, oferującego wyższy poziom bezpieczeństwa od tego Ubiquiti, za okolo te 200zl to chętnie wymienię. Na wszelkie propozycje jestem otwarty. Raczej chciałbym pozostać przy oryginalnym sofcie jakby coś. Co o tym wszystkim sądzisz? Może jakis TP-Link/Asus z OpenWRT dostępnym, tak myśląc przyszłościowo.

Tak, Mikrotik produkuje sprzety SoHo i w mojej opinii są lepsze od Ubi. W mojej opinii system jest strasznie nie przemyślany i widać, że bardzo wzoruje się na innym znanym systemie. Podobno to Mikrotiki są trudne i padają jak muchy, czego nie zauważyłem, a mam sprzęty, które targają ruch po 10 lat. Jakoś w Ubi nie potrafię się odnaleźć. Jak pisałem, AP robią świetne, ale innych sprzętów od nich unikam.

Na TP Linki szkoda kasy. Tu to dopiero możesz zapomnieć o wsparciu producenta.

Ze swojej strony mogę polecić np. hAP AC2 od Mikrotika. Trochę ponad 200 zł, ale warto. Konfiguracja WiFi na MT jest dość zaawansowana i może na dzień dobry przerazić, ale od tego są wizardy :slight_smile:

@roobal
Myślałem nad MikroTikiem zanim wybrałem Ubiquiti, ale stwierdziłem że za dużo czasu będę potrzebował żeby ogarnąć MikroTika od 0. Zresztą jakbym miał wymieniać ten router to na coś prostego pokroju jakiś Asus, żebym mógł wyjąć z pudełka, pozmieniać adresację i gotowe. Ale mówisz że jak tak to lepiej zostać przy Ubiquiti?

Co do samego Ubiquiti to EdgeRouter X kiedyś był bardzo źle skonfigurowany na dzień dobry. Teraz niby są wizardy, ale powiem szczerze że i tak się boje trochę że to nie jest wszystko co trzeba. Przy takim Asusie przynajmniej bym wiedział że to jest jest w miarę zabezpieczone. Generalnie boję się że albo ja zelzulem konfigurację tego EdgeRoutera, albo domyślnie posiada one jakieś braki które powodują że moja sieć może być podatna na ataki. Albo co gorsza - że to ich niedbałe oprogramowanie miejscami niedomaga z bezpieczeństwem. W sumie sam nie wiem co jest gorsze, bo Asus z drugiej strony jakoś często nie będzie aktualizowany.

Jeszcze do tego jak kiedyś miałem TP-Linka to te routery miały zakładkę"bezpieczeństwo" czy coś takiego i tam można było włączać/wyłączać rzeczy typu “ochrona przed atakami DoS” itd. Oczywiście nie widziałem takich rzeczy w Ubiquiti, ale czy to znaczy że on nie ma takich systemów bezpieczeństwa? Bo podejrzewam że to co było w TP-Linku to tylko jakaś ładna nazwa na trochę bardziej złożone reguły połączeń.

Myślę że może się przydać pełna konfiguracja. Byłbym wdzięczny gdybyś rzucił okiem i ocenił jej bezpieczeństwo, czy chronić przez atakami typu DoS itp itd. Chcę wiedzieć czy jest sens wymieniać tan router, a sam chyba zbyt mało się znam :confused:
Jeśli udostępniłem poufne informacje w konfiguracji to daj mi proszę znać

@roobal
Kończy mi się czas na zwrot i kompletnie nie wiem co z tym zrobić. Na pewno nie chce MikroTika, prędzej bym wymieniał na Asusa, ale czy Asus będzie bezpieczniejszy od EdgeRouter X? Wsparcie na pewno będzie miał gorsze. Docenię każdą sugestie i pomoc. Byłbym wdzięczny gdybyś przejrzał moją konfigurację którą wysłałem w wiadomości wyżej, bo nie ukrywajmy nie znam się aż tak żeby wychwycić problemy z bezpieczeństwem w tej konfiguracji.

EdgeRouter X jest ok. Nie musisz go zmieniać jeśli obawiasz się o bezpieczeństwo. Wsparcie też ma ok. Nie jest tylko tak wydajny jak MicroTik i nie ma tylu opcji.
Co do Asusów, to cóż… do 200zł nie kupisz nic wartego uwagi. Zresztą to są routery konsumenckie, gdzie bezpieczeństwo nie jest dla nich jakimś silnym priorytetem (szczególnie w tanich modelach). W routerach konsumenckich możesz poczytać o jakichś dziwnych zabezpieczeniach, ale to pic na wodę i fotomontaż.
Najważniejsze jest wsparcie, jeśli chodzi o aktualizacje. Tu Ubiquiti daje radę.

1lajk

@vries
Spoko. Jak już mówiłem nie ukrywam że się na tym jakoś bardzo nie znam. Szczególnie że jestem uczniem technikum informatyczne, a nie ukrywajmy technikum więcej niż podstawy podstaw nie uczy :slight_smile: Mógłbyś zerknąć na konfigurację i powiedzieć czy coś jest do zmiany? https://pastebin.com/LDU1cQmk
Wielkie dzięki za odp

@vries
Tak przy okazji to mam te role firewalla, które pozwalają na połączenie do drukarki oraz pozwalają drukarce odpowiadać. Przyoisane są one do każdego firewalla. Niby te pozwalające odpowiadać powinny być tylko do tego vlanu w którym jest drukarka, ale jeśli filtruję po macu to chyba nie robi to większej różnicy?
Do roli “Allow to printer” dodałem jako źródło grupę adresów RFC1918(adresy prywatne), a do roli “Allow printer reply” dodałem tą samą grupę adresów RFC1918 jako docelowe. Czy zrobiłem to poprawnie? I jakbym zamiast tych grup adresów wyżej zostawił puste pole, to miałoby to jakieś znaczenie dla bezpieczeństwa?

Router jest podłączony portem WAN do sieci dostawcy internetu. Widzę np po traceroute że w tej sieci są urządzenia zaadresowane adresami z puli adresów prywatnych. Czy to znaczy że takie urządzenia będą miały dostęp do drukarki, czy ewentualna próba połączenia zostanie zrzucona przez rolę zabraniającą połączeń nowych przychodzących na port WAN? Też zastanawiam się czy kolejność zbiorów ról (nie ról w zbiorach bo to wiem że ma znaczenie) ma znaczenie bo w takim razie to ten zbiór ról zawierający role zezwalające na połączenie z drukarką jest wyżej od tego zestawu ról dla WAN (ipv4)

Nie miałem za bardzo kontaktu z routerami Ubi, więc nie bardzo ci pomogę. Nie wiem jak tam wygląda firewall i jego ustawienia.

To jest największy problem żeby zapytać kogoś kto miał kontakt

Kurcze byłem pewny, że Ci odpisałem. Reguły są okej. Osobiście, pomimo że uważam system ER za kompletne nieporozumienie, gdybym miał wybierać pomiedzy ER, a innym routerem SOHO, wybrałbym jednak Ubi z dwóch powodów:

  1. Aktualizacje;
  2. Większe możliwości - VLAN, firewall.

To tym bardziej powinieneś zostawić ER, aby mieć z nim doświadczenie, a tym bardziej powinieneś zainteresować się Mikrotikiem, aby z nim też mieć doświadczenie, ale tu zawsze możesz pobawić się CHR na VM.

Wiesz, jeśli chcesz kiedyś pracować jako sieciowiec czy administrator serwerów, podstawy sieci musisz znać. Szkoła jest jaka jest, ale w tym zawodzie wszystkiego musisz nauczyć się sam lub inwestować w szkolenia/kursy i certyfikaty. No bo sorry, ale co powiesz na rozmowie kwalifikacyjnej? Że niczego w szkole Cię nie nauczyli? Podziękują Ci na każdej rozmowie za poświęcony czas.

Nawet jeśli chcesz być programistą, tym bardziej powinieneś znać podstawy sieci. Jako serwisant również.

Dodam jeszcze, że w IT cały czas musisz uczyć się nowych rzeczy, jeśli chcesz się rozwijać i to jest piękne w tym zawodzie.

Jasne że próbuje sam się trochę uczyć. Z sieci jest zawsze trochę trudniej bo jednak nie mam tego sprzętu więc trzeba próbować z wirtualizacją. Co do ER to na razie zostanę na domyślnym systemie, może kiedyś OpenWRT, ale wszystko po kolei. Mam tylko nadzieję że niczego nie zepsuje i nie zarażę sieci domowej :joy: ale z drugiej strony musiałbym się czepiać reguł WAN_IN, i WAN_OUT, czego raczej unikam. Mam trochę problem ze zrozumieniem tego na czym polega IN i OUT. Na logikę przychodzące na interfejs i opuszczające, ale z tego co mi się wydaje po poczytaniu to jest trochę bardziej zawiła kwestia.

Nie wnikałem nigdy mocno w routery Ubi, bo mnie zwyczajnie nie pasują, a druga sprawa, w wielu lokalizacjach mam Mikrotiki. Jednak widząc system, podejrzewam, że opiera się trochę na podejściu Cisco. Reguły IN odnoszą się do ruchu przychodzącego do interfejsu, OUT do ruchu wychodzącego z interfejsu. Pewnie to nadal nie będzie jasne dla Ciebie, ale prosty przykład.

Masz LAN, chcesz coś wysłać do Internetu, tak więc ruch z interfejsu LAN wychodzi - OUT i wchodzi do interfejsu WAN - IN. Jeśli coś wraca z Internetu wchodzi do interfejsu WAN - IN i z niego wychodzi do LAN - OUT.

IN > LAN > OUT > IN > WAN > OUT > Internet
Internet > IN > WAN > OUT > IN > LAN > OUT

Mam nadzieję, że to rozumiesz.

Mikrotik zaś wykorzystuje w podobny sposób jak iptables filtr pakietów Linux. W tym przypadku RouterOS steruje filtrem pakietów prawie identycznie jak IPTables.

INPUT - wszystko co przychodzi tylko do routera;
FORWARD - wszystko co przychodzi do routera, ale nie jest do niego kierowane;
OUTPUT - wszystko co wygeneruje router.

Tak samo jest z mangle i NAT.