<html><body>Reakce v textu: <br><br><aside>
---------- Původní e-mail ----------<br>
Od: Petr Simek <psimek@jcu.cz><br>
Komu: HW-news <hw-list@list.hw.cz><br>
Datum: 9. 10. 2017 14:37:03<br>
Předmět: Re: OT IPv6 - prakticke zkusenosti
</aside><br><blockquote data-email="psimek@jcu.cz">
To zalezi na tom co nejede. OS pokud ma moznost pripojeni IPV4 i IPV6 tak 
<br>obvykle uprednostni IPV6 ale cilovy system to muze mit zase jinak takze
<br>pak treba tece jeden smer tak a druhy opak, to se musi vzdy analyzovat
<br>konkretni situace.
</blockquote><p><br></p><p>Naprosto souhlasím, ale pokaždé je chyba kryptická a její hledání při výuce zdržuje...<br></p><p> </p><blockquote data-email="psimek@jcu.cz">Ona ta myslenka sitoveho firewallu ktery vsechno zaridi je trochu zcestna,
<br>nejlepsi firewall je vzdy na tom konkretnim zarizeni, to spolehani se ze
<br>ochranu dokonale zajisti sitove prvky je chybne.
</blockquote><p><br></p><p>Souhlasím. Jenže tato konektivita je připojena do - řekněme tomu "živé" části sítě, <br></p><p>kterou nemůže správce vůbec nijak sledovat a dohledávat kdo co způsobil. Na tuto <br></p><p>síť chodí velké množství incidentů tak jak si studenti připojují své zavirované <br></p><p>notebooky, s backdoory scannery, ddos sondami apod. Tím firewallem se aspoň <br></p><p>zajistí, že ten notebook nikdo neovládá zvenčí, a pokud student něco způsobí, po</p><p>čem jde FBI nebo třeba jenom OSA apod tak je za to plně zodpovědný a data se <br></p><p>předávají dál. Navíc student nemůže nic sdílet na žádném portu (hudba, warez)</p><p>takže výrazně ubylo počet hlášení od OSy ...</p><p><br></p><p>Jelikož je tato síť na ipv4 za NATem, je jediný router, jde dělat conntrack a tudíž i</p><p>otevírat firewall na "related" komunikaci, současně s restriktivním firewallem. <br></p><p>To na ipv6 hardware firewallu nejde.</p><p><br></p><p>Z tohoto pohledu spoléhat se na zabezpečení koncového stroje (který může být <br></p><p>potencionální útočník) je též chybné.<br></p><p><br></p><p>Zaměstnanci mají síť jinou, tam samosebou ipv6 jede jak má, a mnohem lépe než <br></p><p>ipv4. Pokud tedy někdo neodešle do sítě svůj jediný packet RA. To pak lehne celá ipv6<br></p><p>podsíť (mám dojem že na univerzitě se to v počátcích stalo dvakrát, hodně se řešilo</p><p>jak to fixovat, teď je to snad nějak fixované). Lidí kteří rozumí ipv6 natolik aby odeslali</p><p>"vadný" packet je naštěstí málo takže se to už nestává.</p><p><br></p><p>S mírovým pozdravem,</p><p><br></p><p>  Franta Burian<br></p></body></html>