NG-Firewall und IPv6
Hallo,
habt Ihr Erfahrungen damit, wie NextGen Firewalls damit umgehen, dass IPv6 Nodes mehrere IPv6-Adressen und eine IPv4 Adresse haben? Aus Sicht der Firewall sind das ja erst mal unterschiedliche Geräte?
Zum einen befürchte ich chaotische Auswertungen (der selbe Host taucht mehrfach auf). Zum anderen bekommt die Firewall kein „komplettes Bild“ der Aktivitäten des Hosts. Wobei meine Erfahrungen mit Suricata auf der OPNSense eher zeigen, dass die Regeln auf einzelne Verbindungen abstellen, nicht auf „Verbindungskombinationen“.
Genügt es da, für aktuelle DNS-Einträge zu sorgen? Oder wäre es besser, mit reinem stateful DHCPv6 zu arbeiten? Eigentlich will ich das nicht, lediglich einzelne Server haben feste IPv6 Adressen.
Zumindest werde ich meine normalen Firewallregeln auf DNS-Aliase für die Hosts umstellen müssen.
Hintergrund ist, dass ich gerade überlege, unsere Firewall zu erneuern. Ein spezielles Modell habe ich noch nicht im Blick. IPv6 habe ich jetzt für ein Teilnetz an einem Standort aktiviert und teste dort.
Grüße
lcer
habt Ihr Erfahrungen damit, wie NextGen Firewalls damit umgehen, dass IPv6 Nodes mehrere IPv6-Adressen und eine IPv4 Adresse haben? Aus Sicht der Firewall sind das ja erst mal unterschiedliche Geräte?
Zum einen befürchte ich chaotische Auswertungen (der selbe Host taucht mehrfach auf). Zum anderen bekommt die Firewall kein „komplettes Bild“ der Aktivitäten des Hosts. Wobei meine Erfahrungen mit Suricata auf der OPNSense eher zeigen, dass die Regeln auf einzelne Verbindungen abstellen, nicht auf „Verbindungskombinationen“.
Genügt es da, für aktuelle DNS-Einträge zu sorgen? Oder wäre es besser, mit reinem stateful DHCPv6 zu arbeiten? Eigentlich will ich das nicht, lediglich einzelne Server haben feste IPv6 Adressen.
Zumindest werde ich meine normalen Firewallregeln auf DNS-Aliase für die Hosts umstellen müssen.
Hintergrund ist, dass ich gerade überlege, unsere Firewall zu erneuern. Ein spezielles Modell habe ich noch nicht im Blick. IPv6 habe ich jetzt für ein Teilnetz an einem Standort aktiviert und teste dort.
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5359161928
Url: https://administrator.de/contentid/5359161928
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
1 Kommentar
Das "Problem", dass ein Host mehrere IP-Adressen haben kann, ist ja nicht exklusiv bei IPv6 sondern auch bei IPv4.
Deine Firewall kann ja normalerweise die MAC-Adressen der Geräte sehen (sofern da nicht noch Router zwischen sind) und kann ja auf dieser Basis erkennen, welche Adresse zu welchem Gerät gehört.
Deine Firewall kann ja normalerweise die MAC-Adressen der Geräte sehen (sofern da nicht noch Router zwischen sind) und kann ja auf dieser Basis erkennen, welche Adresse zu welchem Gerät gehört.