Toon posts:

Aantal vragen over IPv6

Pagina: 1
Acties:

Onderwerpen

Ipv6

woensdag 27 april 2011 12:23

Acties:
  • 0 Henk 'm!
  • M.Koers
  • Registratie: December 2005
  • Laatst online: 11:06

M.Koers

Topicstarter
Voor studie ben ik bezig met IPv6.
Na hier erg veel over gelezen te hebben snap ik eht naar mijn idee wel.
Blijf alleen met een paar vragen zitten.
Aangezien ik op internet niks kan vinden probeer ik het hier.

Met IPv6 krijg je als bedrijf/gebruiker een IPv6 reeks toegekend.
Al je systemen binnen je eigen netwerk zullen dezelfde prefix delen en in principe rechtstreeks benaderbaar zijn vanaf internet. Er wordt immers geen gebruik meer gemaakt van NAT.

Hoe gaan we ervoor zorgen dat het netwerk veilig is. Geen direct verkeer van buiten naar binnen behalve naar de DMZ.
Naar mijn idee zullen we op de eerste router binnen het netwerk een Accesslijst moeten plaatsen die alles blokt. En vervolgens voor mail, citrix csg enzovoort regels toevoegen.
Klopt dit?

Roept gelijk de volgende vraag op:
Stel die accesslijst is er en ik ga met mijn pc het internet op.
De request aan www.tweakers.net zal aankomen. Maar de data die retour komt zal worden geblokkeert door de accesslijst.
Klopt dit?

Misschien hebben mensen links naar websites waar ik dit soort info kan vinden?

woensdag 27 april 2011 12:29

Acties:
  • 0 Henk 'm!
  • job
  • Registratie: Februari 2002
  • Laatst online: 17-09 08:24

job

Eigenlijk stel je 2 vragen. Het ipv6 verhaal staat los van het verhaal over het niet natten.
Zie het als 2 verschillende vragen.

Je kan ook met ipv4 al je pc's een publiek ip geven (op de rug hebben alle pc's een publiek ip adres).
Je kan ook met ipv6 gaan natten. Haal dus die twee zaken (nat en ipv6/4) los van elkaar.

[ Voor 8% gewijzigd door job op 27-04-2011 12:31 ]

woensdag 27 april 2011 12:34

Acties:
  • 0 Henk 'm!
  • M.Koers
  • Registratie: December 2005
  • Laatst online: 11:06

M.Koers

Topicstarter
Ja ok.

Maar met IPv4 werd NAT gebruikt om het tekort te bestrijden.
IPv6 heeft geen NAT omdat eht voor de aantallen niet nodig is.

Daarnaast ga je met een dual stack omgeving ga je geen NAT-PT gebruiken.

Met IPv4 kon je als je NAT gebruikt makkelijk jeomgeving dichtzetten omdat je alles via hetzelfde publieke IP liet communiceren.

Met IPv6 geef je alles een publiek adres omdat je geen NAT-PT gebruikt. (is ook niet de bedoeling).
De vraag is dus, hoe ga ik ervoor zorgen dat al mijn systemen in mijn prive netwerk veilig zijn?

woensdag 27 april 2011 12:37

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

NAT is geen firewall, en NAT gebruiken als zodanig is gemakzuchtig. IPv6 staat je die luiheid niet meer toe. Je zult gewoon een normale firewall in moeten zetten. Of je dat doet in de vorm van een volledige stateful firewall of een simpele router met access lists is je eigen zaak.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 27 april 2011 12:41

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 13:03

MAX3400

XBL: OctagonQontrol

Al eens gekeken naar Microsoft NAP, bijvoorbeeld?

Ik denk dat er wel 50 manieren/technologieen zijn om alleen "trusted" IPv6-adressen toe te staan om vanaf public/private connectie te maken/krijgen naar resources "binnen" een bedrijf/omgeving.

Ik zal de vraag ook wel niet geheel snappen... ;)

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 27 april 2011 12:47

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 10:30

Kabouterplop01

chown -R me base:all

wat je zoekt zijn ipv6 reflect access-lists dit is net zoiets als een established access list.

van binnen wordt een tcp sessie opgezet, 3way handshake dan heb je een established sessie. Als er dus van binnen uit een bestaande sessie is, dan kan die dus weer terug naar binnen. (ervan uitgaande dat de rest wel dicht zit, anders heeft het geen zin.
Stel die accesslijst is er en ik ga met mijn pc het internet op.
De request aan www.tweakers.net zal aankomen. Maar de data die retour komt zal worden geblokkeert door de accesslijst.
Klopt dit?
niet met een reflect .... (nu UDP nog, maar het voorzetje is er ;))

[ Voor 29% gewijzigd door Kabouterplop01 op 27-04-2011 12:48 ]

woensdag 27 april 2011 12:51

Acties:
  • 0 Henk 'm!
  • M.Koers
  • Registratie: December 2005
  • Laatst online: 11:06

M.Koers

Topicstarter
Gaat mij voornamelijk om de datastromen.

Bijvoorbeeld:

ik heb op dit moment 8 publieke IPv4 adressen.
Al deze adressen zijn gekoppeld aan onze firewall met adresobjecten.
3 adressen worden gebruikt om toegang te verlenen tot diensten.
1 -> Owa server (443)
2 -> Citrix CSG (443)
3 -> Emailsecurity (443, 25)
Dit zijn intern dus private IPv4 adressen.

Verkeersverloop is dan:
WAN -> WAN-IP -> NAT -> Betreffende server

Nu maak ik het interne netwerk dual stack.
Alle systemen hebben IPv4 en IP6 adressen.
IPv6 adressen zijn publiek.

Hoe kan ik ervoor zorgen dat alleen de 3 bovenstaande servers te bereiken zijn.
En de rest geblokkeert maar ze moeten wel op internet kunnen.

Lijkt me dat de firewall/router het volledige blok voor zijn rekening neemt en dat ik daar accesslijsten zal moeten inzetten?

Verkeersverloop is dan:
WAN -> Betreffende server (Rechtstreeks)

woensdag 27 april 2011 12:51

Acties:
  • 0 Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 09-09 15:29

Equator

Crew Council

#whisky #barista

Move naar Netwerken :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq