Freitag, 1. Juni 2012

Next Generation CPE Firmware Swisscom

IPv6, der nächste Schritt


6 Juni 2012, IPv6 World Launch Day. An diesem Datum wird das Internet der zweiten Generation "eingeschaltet". Bereits am 3 . Februar 2011 wurde von der IANA der letzte freie IPv4 Adressraum vergeben, dennoch funktioniert das Internet noch immer :) also, kein Grund zur Panik
Gerade weil es für den normalen Gebrauch noch keinen Effekt hat, kümmert es den normalen User nicht ob er nun IPv6 ready ist oder nicht. Trotzdem, Swisscom ist seit einiger Zeit bereit ihren Kunden eine IPv6 Verbindung zu ermöglichen.

IPv6 bei Swisscom



Am 21.04.2011 startete der offizielle Trial für Privatkunden um IPv6 zu erproben bzw zu nutzen.
Als Technik setzt Swisscom momentan auf 6RD. Wie es der Name schon sagt ist 6 rapid deployment eine Technik, um Kunden durch einen Provider durch relative einfache Art und Weise, schnell kostengünstig eine IPv6 Konnektivität zu geben. Entwickler Rémis Després (6RD kann auch für seine Initialen stehen) hat bereits 2007 bei Free, einem Französischen Provider bewiesen das er dies innert 5 Wochen einführen konnte!

Auch Swisscom verwendet diese Tunneltechnik erfolgreich um den Privatkunden IPv6 anzubieten.
Bei den Centro Routern haben die Kunden seit einiger Zeit die Möglichkeit IPv6 zu aktivieren. Dies muss bewusst via Kundencenter geschehen (auch wenn es natürlich andere Möglichkeiten dazu gibt). Durch die Aktivierung wird dies dem Router provisioniert. CWPM sei Dank :)
In einer späteren Phase wird IPv6 per Default aktiviert sein!

Es spielt dabei keine Rolle ob man einen Centro Grande oder einen Centro piccolo besitzt. Anfänglich war nur der Centro Grande von Pirelli/ADB in der Lage eine 6RD Verbindung herzustellen. Mittlerweile sind die Motorola Router dazu aber auch fähig.
Auf die Technik selber möchte ich hier an dieser Stelle nicht weiter eingehen.
Wer sich dafür interessiert dem empfehle ich mal die Swisscom labs und deren Trial zu besuchen. http://labs.swisscom.ch/de/trial/ipv6-sneak-preview

IPv6 ist das sicher?

Genau diese Frage stellt sich relativ bald, sofern man sich etwas mit IPv6 beschäftigt. Schauermärchen des übelsten tun noch ihr übriges um ein mulmiges Gefühl zu hinterlassen.
Bisher war man sich gewohnt das man durch das NAT eines Routers zumindest einigermassen sicher im Internet unterwegs ist. Im Zusammenhang mit IPv6 wird auch immer wieder die Privatsphäre genannt.
Heikle Themen, für die es Lösungen gibt, unerfahrene Anwender aber mal zunächst sicher abhalten IPv6 anzuwenden bzw zu aktivieren.
Daher auch der primäre Wunsch der Anwender, dass das CPE des Provider, zumindest mal für den grundsätzlichen Schutz sorgen soll. Hier war bisher wenig bis gar nichts vorhanden. So verteilt der Centro Grande von Pirelli/ADB zwar fleissig Adressen, lässt aber sämtlichen IPv6 Traffic ungehindert durch. Beim Centro von Motorola sah es bisher etwas "besser" aus. Dieser Verteilt auch seine Adressen, blockiert aber sämtlichen nicht aus dem LAN initiierten Verkehr. Ausnahmen sind auf einfache Art keine zu realisieren.
Kein Zustand der wirklich Freude macht.
Schritt 1, die Adressverteilung und ein funktionierendes 6RD wurden also schnell mal erreicht.
Zeit nun für Schritt 2. Gewinne die normalen User durch Sicherheit.

Sicherheit durch Router

Um Sicherheit bei IPv6 zu gewährleisten gehören sauber konfigurierte Client Firewalls zum wichtigsten.
Mit einer  aktivierten Windows Firewall ist man also schon mal gut unterwegs.
Um einen ähnlichen Schutz zu haben wie bei NAT, braucht es aber eine Hardware Firewall, zB im Router.

Die Zeit ist gekommen, auch Swisscom wird sie haben :)

In einer Vorversion der Centro Motorola Firmware, habe ich dieses neue Feature unter die Lupe genommen. Die Roadmap sieht momentan vor, dass ab Juli 2012 die Motorola Geräte mit dieser neuen Firmware ausgestattet werden. Bei Pirelli/ADB wird es länger dauern, man geht von November aus.
Interessierte müssen keine Beziehung zu Swisscom haben um diese Firmware von Motorola zu testen.
Das Wissen wie Swisscom die Firmwares speichert und ein wenig offene Augen an den richtigen Stellen reichen zum Download. Aus Integrität gebe ich den Link hier nicht an und bitte dies auch nicht in den Kommentaren zu tun. Mir hat keiner von Swisscom geholfen diese Firmware zu finden, es kann also nicht so schwer sein :D
Ansonsten abwarten und Tee trinken. Die Firmwares sollten ja bald mal ausrollen.

NAT IPv4

Wer den Centro Grande Motorola kennt, wird auch die gewohnte Portweiterleitung wieder finden. IPv6 bei Swisscom wird im Dual Stack angeboten. Sprich IPv4 steht immer noch zur Verfügung. Logisch, das Internet wäre teilweise noch relativ langweilig ;) Darum ist es auch wichtig und wird es auch noch lange bleiben, dass man seine IPv4 Server versorgen kann.
Unter Einstellungen > Port- Weiterleitung findet man das gewohnte Menü um vorkonfigurierte Dienste auf einen Host zu leiten.
Ist ein Dienst nicht vorhanden, kann man diesen im Menü Einstellungen > Dienste, eröffnen.
An dieser Stelle sei gesagt. Was man von jedem 08-15 Router gewohnt ist, dass sogenannte NAPT, steht im WUI immer noch nicht zur Verfügung. Einer der Hauptgründe warum die Centros als DAU Geräte angesehen werden. Es sind die DAU's die nicht verstehen das die Möglichkeit via Shell trotzdem besteht. Trotzdem unverständlich warum dies via WUI aber nicht möglich ist.
Swisscom, hier bitte endlich mal nachbessern! Früher war es ja auch möglich :) Die Router an sich, sind ja ansonsten i.O.


IPv6 Firewall

Soweit so gut. Nun aber zur Neuerung, der IPv6 Firewall. Sobald man im Kundencenter IPv6 aktiviert hat, steht im WUI ein neuer Menüpunkt zur Verfügung.
Dieser nennt sich Sicherheit.

Sicherheit in 3 Stufen




Mittel

Defaultmässig ist die IPv6 Firewall auf Mittel Hoch gestellt.

Falls die IPv6 Firewall Stufe ""Mittel"" aktiviert ist, wird der IPv6 Datenverkehr in beide Richtungen (ankommend und abgehend) zugelassen. Davon ausgenommen ist eine Gruppe von Standard Protokollen (Gruppiert in ""Fernwartungs-Protokolle"" und ""LAN-Protokolle) und alle benutzerdefinierten Regeln, welche Sie definieren. TCP Ports, welche zur Kategorie "Fernwartungs-Protokolle" gehören, werden nicht aus dem ankommenden Datenverkehr gefiltert. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Mittel" angewendet, welcher für die spezifizierten Ports den Datenverkehr in beiden Richtungen (ankommend und abgehend) erlaubt.

Hier ist das Standardverhalten auf "erlauben". Die Firewall lässt Traffic durch. Ausgenommen ist aber ein ganzes Set an wichtigen Protokollen, die eigentlich nur im LAN verwendet oder als Remote Zugang genutzt werden. Diese Protokolle und Ports sind gesperrt, lassen sich aber mittels einfachem Klick auf erlaubt setzen.
Wichtig: Erlaubter Traffic bezieht sich immer auf alle Hosts im LAN. Erlaubt man zB. FTP wird dies für alle Adressen nicht mehr geblockt. Darum ist Client Sicherheit immer nach das A und O.
Hier die gesperrten Dienste und Protokolle

Fernwartungs-Protokolle    

AktivierenDienstProtokollPortsBlockieren
Secure Shell (SS)TCP22Eingehend
TelnetTCP23Eingehend
Apple Airport PPP Status etc.TCP192Eingehend
Mac OS X Server AdminTCP311Eingehend
rloginTCP513Eingehend
TCP ShellTCP514Eingehend
Mac OS X Server AdministrationTCP660Eingehend
Mac OS X Server AdministrationTCP687Eingehend
Samba Web Administration ToolTCP901Eingehend
Telnet over TLS/SSLTCP992Eingehend
QT Server AdministrationTCP1220Eingehend
VNC ListenerTCP5500Eingehend
VNC over HTTPTCP5800Eingehend
VNC remote desktop protocolTCP5900Eingehend
TeamViewer remote desktop proto.TCP5938Eingehend
WBEM HTTP, Apple Remote DesktopTCP5988Eingehend


LAN Protokolle

AktivierenDienstProtokollPortsBlockieren
WINSBeide42Ankommend/Abgehend
TACACSBeide49Ankommend/Abgehend
Trivial File Transfer ProtocolBeide69Ankommend/Abgehend
Mac OS X Server Password ServerBeide106Ankommend/Abgehend
ONC RPC (SunRPC)Beide111Ankommend/Abgehend
SQL ServicesBeide118Ankommend/Abgehend
DCOM Service Control ManagerBeide135Ankommend/Abgehend
NetBIOS Name ServiceBeide137Ankommend/Abgehend
NetBIOS Datagram ServiceBeide138Ankommend/Abgehend
NetBIOS Session ServiceBeide139Ankommend/Abgehend
SQL ServiceBeide156Ankommend/Abgehend
SNMPBeide161Ankommend/Abgehend
SNMP TrapsBeide162Ankommend/Abgehend
Print-srv, Network PostScriptBeide170Ankommend/Abgehend
X Display Manager Ctrl (XDMCP)Beide177Ankommend/Abgehend
Service Location Protocol (SLP)Beide427Ankommend/Abgehend
Microsoft-DS SMB file sharingBeide445Ankommend/Abgehend
Kerberos Change/Set passwordBeide464Ankommend/Abgehend
Rexec, Remote Process ExecutionBeide512Ankommend/Abgehend
Line Printer DaemonBeide515Ankommend/Abgehend
RIPngBeide521Ankommend/Abgehend
RPCBeide530Ankommend/Abgehend
DHCPv6 clientBeide546Ankommend/Abgehend
DHCPv6 serverBeide547Ankommend/Abgehend
AFP over TCPBeide548Ankommend/Abgehend
Internet Printing ProtocolBeide631Ankommend/Abgehend
LDAP over TLS/SSLBeide636Ankommend/Abgehend
Kerberos administrationBeide749Ankommend/Abgehend
iSCSI (RFC 3720)Beide860Ankommend/Abgehend
MSSQL ServerBeide1433Ankommend/Abgehend
MSSQL MonitorBeide1434Ankommend/Abgehend
RADIUS authenticationBeide1812Ankommend/Abgehend
RADIUS accountingBeide1813Ankommend/Abgehend
SSDPBeide1900Ankommend/Abgehend
NFSBeide2049Ankommend/Abgehend
MySQL ServerBeide3306Ankommend/Abgehend
Web Services DiscoveryBeide3702Ankommend/Abgehend
UPnPBeide5000Ankommend/Abgehend
NAT Port Mapping ProtocolBeide5351Ankommend/Abgehend
NAT Port Mapping ProtocolBeide5353Ankommend/Abgehend
Link-Lcl Mcast Name ResolutionBeide5355Ankommend/Abgehend
WSDAPI over HTTPBeide5357Ankommend/Abgehend
WSDAPI over HTTPSBeide5358Ankommend/Abgehend
PostgreSQLBeide5432Ankommend/Abgehend

Hoch


Falls die IPv6 Firewall Stufe ""Hoch"" aktiviert ist, wird der IPv6 Datenverkehr nur in abgehender Richtungen zugelassen. Davon ausgenommen sind ""LAN-Protokolle"" und benutzerdefinierte Regeln, welche Sie definieren. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel, durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Hoch" angewendet, welcher für die spezifizierten Ports den Datenverkehr nur in abgehender Richtung erlaubt.
Benutzerdefinierte Regeln mit der Richtlinie "Erlaube ankommenden Datenverkehr" erlauben gleichzeitig Verkehr in abgehender Richtung, entsprechend dem Verhalten der Firewall in der Einstellung "Hoch".

Hier ist das Standardverhalten "verbieten" Auf Stufe Hoch agiert hier die Stateful Firewall ähnlich wie ein NAT Router. Nicht aus dem LAN initiierter Verkehr wird verworfen. Auch hier die Möglichkeit Dienste von extern zu erlauben, indem man auf einen der vordefinierten Dienste klickt oder selber eine Regel erstellt.

Standardregeln  

LAN Protokolle

AktivierenDienstProtokollPortsBlockieren
WINSBeide42Blockiere gesamten Verkehr
TACACSBeide49Blockiere gesamten Verkehr
Trivial File Transfer ProtocolBeide69Blockiere gesamten Verkehr
Mac OS X Server Password ServerBeide106Blockiere gesamten Verkehr
ONC RPC (SunRPC)Beide111Blockiere gesamten Verkehr
SQL ServicesBeide118Blockiere gesamten Verkehr
DCOM Service Control ManagerBeide135Blockiere gesamten Verkehr
NetBIOS Name ServiceBeide137Blockiere gesamten Verkehr
NetBIOS Datagram ServiceBeide138Blockiere gesamten Verkehr
NetBIOS Session ServiceBeide139Blockiere gesamten Verkehr
SQL ServiceBeide156Blockiere gesamten Verkehr
SNMPBeide161Blockiere gesamten Verkehr
SNMP TrapsBeide162Blockiere gesamten Verkehr
Print-srv, Network PostScriptBeide170Blockiere gesamten Verkehr
X Display Manager Ctrl (XDMCP)Beide177Blockiere gesamten Verkehr
Service Location Protocol (SLP)Beide427Blockiere gesamten Verkehr
Microsoft-DS SMB file sharingBeide445Blockiere gesamten Verkehr
Kerberos Change/Set passwordBeide464Blockiere gesamten Verkehr
Rexec, Remote Process ExecutionBeide512Blockiere gesamten Verkehr
Line Printer DaemonBeide515Blockiere gesamten Verkehr
RIPngBeide521Blockiere gesamten Verkehr
RPCBeide530Blockiere gesamten Verkehr
DHCPv6 clientBeide546Blockiere gesamten Verkehr
DHCPv6 serverBeide547Blockiere gesamten Verkehr
AFP over TCPBeide548Blockiere gesamten Verkehr
Internet Printing ProtocolBeide631Blockiere gesamten Verkehr
LDAP over TLS/SSLBeide636Blockiere gesamten Verkehr
Kerberos administrationBeide749Blockiere gesamten Verkehr
iSCSI (RFC 3720)Beide860Blockiere gesamten Verkehr
MSSQL ServerBeide1433Blockiere gesamten Verkehr
MSSQL MonitorBeide1434Blockiere gesamten Verkehr
RADIUS authenticationBeide1812Blockiere gesamten Verkehr
RADIUS accountingBeide1813Blockiere gesamten Verkehr
SSDPBeide1900Blockiere gesamten Verkehr
NFSBeide2049Blockiere gesamten Verkehr
MySQL ServerBeide3306Blockiere gesamten Verkehr
Web Services DiscoveryBeide3702Blockiere gesamten Verkehr
UPnPBeide5000Blockiere gesamten Verkehr
NAT Port Mapping ProtocolBeide5351Blockiere gesamten Verkehr
NAT Port Mapping ProtocolBeide5353Blockiere gesamten Verkehr
Link-Lcl Mcast Name ResolutionBeide5355Blockiere gesamten Verkehr
WSDAPI over HTTPBeide5357Blockiere gesamten Verkehr
WSDAPI over HTTPSBeide5358Blockiere gesamten Verkehr
PostgreSQLBeide5432Blockiere gesamten Verkehr

Aus

Es ist nur eine grundlegende Datenverkehrs-Kontrolle aktiviert um vor ungültigem und schädlichem Verkehr zu schützen, da die IPv6 Firewall ausgeschalten ist. Schalten Sie die Firewall ein um sämtliche Funktionen des Experten Modus zu benützen.

Selbstverständlich kann man die Firewall auch deaktivieren und eine eigene Schutzlösung verwenden.

Regeln erstellen

Ähnlich wie bei der Portweiterleitung bei IPv4 kann man auch eigene Regeln für IPv6 erstellen um diese zu erlauben oder explizit zu blocken. Wie schon erwähnt leitet man hier nicht auf einen einzelnen Host, sondern schaltet diesen Traffic allgemein ein oder aus.


What else?

Hmm es gibt da schon noch was :)

Leider hat sich seit dem Update auf SOC OS 9.0.7 die IP-Weiterleitungs Funktion in eine Nichtfunktion verwandelt. Mann kennt die Workarounds und das ist auch gut so.
Allerdings ist der sogenannte Data pump ein wichtiger Teil eines DSL Routers. Es macht also durchaus Sinn auch einen Router der mal im Bridge Mode ist irgendwann wieder mal eine neue Version zu spendieren.
Nun gut, leider ist der Bridge Mode immer noch nicht vorhanden. Als Trostpflaster funktioniert nun aber die IP Weiterleitung wieder einwandfrei.
Dazu geht man unter Einstellungen auf das Menü IP-Weiterleitung und wählt, richtig, IP-Weiterleitung. Der gewünschte Host muss seine IP via DHCP beziehen und bereits an den Router angeschlossen sein. Ist dies der Fall, lässt sich der Host auswählen. Der Centro Router weisst noch darauf hin das der Centro Router selber einen neustart braucht, sowie der IP-Weiterleitungs Host einen neuen DHCP request machen muss.




Tux0ne machen die Centro Router selber wie auch die Witzboxen von AVM keine Freude. Klar, dass die ipfire für den Test hinhalten muss. Selbstverständlich funktioniert auch Swisscom TV in diesem Modus auch noch einwandfrei (hinter meiner ipfire).
Luft für Spielereien ist auch noch vorhanden. Da ipfire 2.11 noch nicht wirklich IPv6 ready ist (was aber in ipfire3 noch kommt), ist der Centro Router als IPv6 Gateway in meinem Netz durchaus vorstellbar.

Ansonsten sind auch Kommentare erlaubt.



Kommt Zeit, kommt Rat, kommt Attentat.