SAPPA och port forward

En riktig tjänstefördelare är bara en layer 3 kapabel switch, tjänstefördelare har vanligtvis inte exponerat webbgränssnitt ut mot dig som slutkund. Det du beskriver låter snarare som en av leverantör uppsatt router, om inte nätverket i din BRF är uppsatt annorlunda vis.

Sappa kör strikt CGNAT vad jag förstått. Då blir portforward omöjligt.

Det låter ju riktigt dumt med tanke på att det rör sig om en klar uppgradering. De kanske inte har någon mekanism för att ta extra betalt av enskilda personer som är delar av ett gruppavtal. Detta var ju något som ISP:er dock klarade av galant förut när folk kunde betalade extra för högre hastighet, innan standard blev att offerera 1000/1000 till BRF:er istället för att fjanta runt med lägre hastigheter som i praktiken knappt kostar mer för ISP:n.

Kanske kan vara värt att be om ett förtydligande där. Varför vill de inte ha extra pengar?

Förhandlar man ett bredbandsavtal för en BRF bör man numera se till att explicit skriva in att alla medlemmar ska få en publik IPv4 (och helst IPv6 också om ISP:n erbjuder det). Är ju dock tyvärr svårt att få med när styrelsen inte tar hjälp av personer med mer kompetens inom ämnet.

Antagligen för administrativa delen, kostar mer administrativt att ge en person publikt IP för ett hushåll i en gruppanslutning, då detta måste hanteras vid sidan av för det enskilda hushållet. Själva gruppanslutningen faktureras som en klump mot föreningen.

Hej!

Det verkar möjligtvis som vår kundtjänst har missförstått eran förfrågan.
Publik IP-adress är något vi nästan alltid kan erbjuda till bostäder som har Sappa bredband via sin BRF.

Skapa ett ärende via https://mitt.sappa.se/
Bredband - beställa eller uppgradera.

Ni kan använda referens "MSNOC" i textfältet.
Så ser jag till att detta blir hanterat.

Vad ni rör till det…

A. Att köra port forward är inte säkert, om inte syftet är att hosta en hemsida på port 443

B. Vad är syftet, komma åt några servrar? Köra Teamviewer? Sätt upp en VPN i din router eller kör enbart Tailscale eller liknande

C. Om B inte är intressant, varför?

Sällan man öppnar en port till sitt egna LAN om det inte fyller ett specifikt syfte, då du även öppnar upp risker. Arbetar själv med detta och den porten som är öppen hos oss ligger i planering för stängning, men den är också bara öppen från 1st publik IP adress.. och få pratar vi företagsmiljö

Han skriver specifikt att han vill komma åt servrar utifrån, då är publik ip och portforwarding ett måste (om man inte vill köra vpn)

Att portforwarda är i sig ingen säkerhetsrisk. Blanda inte ihop brandvägg med NAT.

Vpn är bara att alternativ om bara du ska få komma åt tjänsten du hostar, vill man att andra ska kunna nå tjänsten så är inte vpn ett alternativ.

Han skriver specifikt att han vill komma åt servrar utifrån, då är publik ip och portforwarding ett måste (om man inte vill köra vpn)

Att portforwarda är i sig ingen säkerhetsrisk. Blanda inte ihop brandvägg med NAT.

Vpn är bara att alternativ om bara du ska få komma åt tjänsten du hostar, vill man att andra ska kunna nå tjänsten så är inte vpn ett alternativ.

Att säga att port forward är ett måste och ”ingen säkerhetsrisk” stämmer inte. Vad hade då syftet varit med en krypterad VPN tunnel? VPN hade inte fyllt något syfte om man kunde köra portforward på allt för att det var ”lika säkert”. Enda anledningen att exponera en port är när man hostar något publikt, tex en hemsida som hela världen ska ha åtkomst till. I övrigt bör allt ligga bakom VPN, om man bryr sig om säkerhet. Vill man att andra ska komma åt resurser inom LANet som ändå inte ska exponeras till ”hela världen” är det fortfarande VPN som gäller med user auth, där varje person ansluter mot VPN tunneln…

Har själv satt upp en cloud vpn med user auth (sso) mot vår IdP, pushar ut vpn inställningarna via mdm/intune till företagetsdatorer, från cloud vpnen går en ipsec tunnel till LAN. Reglerna för cloudvpn går att styra på user nivå där tex utvecklare har åtkomst till resurser ekonomisvdelningen inte har. Låser vi ute en användare från vår IdP blir även VPNen låst för personen. Jag planerar även att låsa in andra SaaS appar bakom VPN, som Dropbox, Slack, OneDrive, Adobe, Business Dynamics, ChatGPT osv.. osv..

Har även satt upp ett skript i MDM lösningen som avgör om en dator är fysiskt i LANet eller utanför, för att avgöra om trafiken ska skickas lokalt eller över VPN, detta gör att användare kan låta VPN tunneln vara konstant påslagen, även när dom fysiskt befinner sig i nätverket.

Berätta gärna hur port forward ”inte är en säkerhetsrisk” och ”ett måste”. Ett tips, tanka nmap och kör mot några publika hemsidor så hittar du alltid nåt kul

Hans syfte är ju att exponera det för världen..

Du påstår alltså att IPv6 är en säkerhetsrisk? Dvs att det fungerar som internet var tänkt där alla enheter har en unik ip, och alla portar tilldelade till sig.

Som jag sa, blanda inte ihop NAT med brandväggar.
Alla portar ska inte vara öppna för att ta emot trafik, det är därför vi har brandväggar. Men finns det ingen applikation som lyssnar på porten så spelar det inte heller någon roll.

VPN'er har helt klart sitt syfte. Jag använder det i mitt nätverk för allt som enbart jag ska ha tillgång till. Men diverse annat är portforwardat. Framförallt diverse spel servrar, men framförallt port 80 och 443 som pekar mot min reverse proxy.

Kör du IPv6 slipper du NAT, men du behöver fortfarande öppna i brandväggen för att få access till enheter i LANet..

Vad menar du lyssnar på porten? Öppnar du port ”X” kommer den attackeras av trafik oavsett vad du försöker göra. I övrigt, du kan sätta DNS skydd framför porten tex Cloudflare och endast tillåta cloudflares publika IPs få åtkomst till den öppnade porten via din brandvägg, vilket tvingar externa att ansluta via din domän istället för direkt IP via Cloudflares bot/ddos skydd. Du kan dessutom sätta in andra säkerhetsmjukvaror på servern som exponeras för att få en översikt kring trafiken som ansluter mot servern. Samt IPS/IDS på brandväggen för att filtrera skadlig trafik..

Jag antar du har segmenterat dina spelservrar från ditt övriga LAN också? något jag misstänker OP inte kommer göra i sin setup då jag har svårt att se att hans Asus router har stöd för detta - vilket öppnar upp ett säkerhetshål. Större företag kör tom två fysiska switchar bakom brandväggen för att segmentera mer än vad VLAN gör med tex LAN1, LAN2 och DMZ där DMZ är exponerat och det andra har skyddade resurser.

Varför tror du min första post var ”vad ni rör till det”

Mitt dilemma är att jag hemskt gärna skulle vilja kunna köra lite servrar som är tillgängliga utifrån, så jag behöver
port forward till mina små servrar.

Skicka gärna över din domän eller publik IP så kan jag undersöka lite

exakt, brandvägg ingen nat = allt är "port forwardat"

Om ingen applikation lyssnar på porten på den host du har forwardat till så kommer det inte hända någonting.
en "port" när man pratar OSI stacken är en applikation. ingen applikation = ingen port. om du i din NAT forwardar en port så säger du bara att applikationen med port x finns på host y. Om det inte finns någon applikation där, vad ska då "trafiken attackera"?

Nope, ingen segmentering ännu, planerar att segmentera ut IOT-prylar någon gång. Men är lite overkill i mitt nät.

Jag tycker nog att OP's inlägg var rätt tydligt, och att det är du som rör till det här.

Varsegod, den finns på omny.se

.. konsumentbrandväggar… När du gör en portforward lägger brandväggen automatiskt in en öppning i brandväggen (brandväggsregel). Bara för att du har enheter med IPv6 betyder det inte att alla portar är öppna.. du måste fortfarande öppna upp den specifika enheten och porten i brandväggen för åtkomst utifrån.

Varför skulle du öppna en port där du inte pekar på något? Det är väl hela syftet. Att exponera en port mot världen med en applikation/tjänst öppen på serversidan är en enorm risk, även om du inte verkar förstå detta.

Segmentering är inte bara för IOT ”avlyssning” du segmenterar även din egna exponerade enheter mot övriga. Dvs om din publika server blir hackad kan den roama fritt i ditt övriga nät och hitta andra enheter att attackera, tex din PC eller vad det nu kan vara. Hur tror du Evry fick sina kunders data krypterad.. (för övrigt EN säkerhetsbugg i Ciscos brandvägg som patchades dagen efter), varför så många kunders data drabbades berodde på att dom låg i samma subnät, dvs inte segmenterade från varandra.

Jag tycker det är komiskt att man är kaxig när man inte har en aning om vad man pratar om. Jag krånglar inte till det, jag förklarar att det är en säkerhetsrisk att göra det ni rekommenderar. Sen kan OP själv välja att göra vad som helst, men det är långt ifrån säkert.

Gör som ni vill, OP om du frågar mig. Sätt upp en VPN, tex Tailscale, lätt att installera. Vill du hosta en hemsida för att testa, sure, kör en portforward eller lägg servern i molnet. Jag kan inte rekommendera att ha en hemsida hostad hemma med en öppen port om man inte har stenkoll på vad man håller på med.

jag säger det igen. blanda inte ihop NAT med brandväggar...
ipv6 har inte NAT, ipv6 har därför inte något som kallas port forwarding. därför betyder det i praktiken att för ipv6 är alla portar alltid forwardade.
att en port är forwardad betyder inte att den är öppen i brandväggen. Det är inte brandväggar vi pratar om här.

Att öppna en applikation mot världen är en risk ja. men att det är lika stor risk att det är ett säkerhetshål i tex nginx som det är att öppna porten för din valda VPN tunnel.

OP har inte nämnt vilken typ av tjänst han vill exponera. Att du då kommer och säger att "portforwarding är en säkerhetsrisk" är fel.
Det kan vara en säkerhetsrisk, om applikationen han öppnar mot är sårbar/känslig. Men det skulle lika gärna kunna vara en VPN server han försöker forwarda till. Och även i det fallet, är en VPN server säkrare än tex nginx eller Apache?
Både hans host och router har säkert en brandvägg också som förhoppningsvis är aktiv, det vet vi inte, då tråden handlar om NAT.

Vad som skedde hos Tieto vet jag inte då jag inte har läst deras incidentrapport ännu.

Du behöver inte göra en port forward i brandväggen för IPV6 men du behöver fortfarande öppna porten...
Skriv det du skriver till mig till ChatGPT istället, så kan du argumentera med Ai:n istället för med mig

Vad har du för kul här?

https://cameras.omny.se/ (denna kan vara kul att sätta en crackande bot på för att se vad du gör )
https://filedrop.omny.se/
https://hassio.omny.se/
https://homebox.omny.se/
https://petro.omny.se/auth/login
https://ftp.omny.se/

Du menar att du anser att dessa är lika säkra nu som bakom VPN... suck. Laddade upp nåt kul på din ftp/filedrop