<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<p>NAT a firewall. To je jako se bavit jaky je rozdil mezi ochranou
a plastenkou.<br>
<br>
Na skole Vas uci, ze firewall neni NAT. Ale urcitou ochranu dela
napr. nemuzete zvenci zahltit vnitrni PC, kdyz jeho adresu
neznate. To, ze tato ochrana NAT dnes uplne nestaci je vec jina,
ale vytvari barieru.<br>
</p>
<p>Jirka<br>
</p>
<pre class="moz-signature" cols="72">
</pre>
<div class="moz-cite-prefix">Dne 09.10.2017 v 10:09 hwnews
konference napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:CAFMbtH_BTinCO2o8PBG+yHP=4nowN=VKhkgJ4-KOGs+_fBYKyw@mail.gmail.com">
<meta http-equiv="Context-Type" content="text/html; charset=UTF-8">
<div dir="ltr">Me prijde, ze stale hromada lidi nechape (z toho co
zde ctu a nereaguji tim jen na p. Lukeshe) jaky je rozdil mezi
FW a NATem.
<div><br>
</div>
<div>NAT je jen technicka obezlicka jak zvysit pocet PC v
omezenem adresnim prostoru.... NIC VIC. </div>
<div><br>
</div>
<div>Neni tam kvuli tomu, abyste meli svoji nezavislou a
oddelenou sit. Od toho jsou routery, ktere oddeluji jednotlive
site od sebe. Soucasna praxe v IPv6 je takova, ze se prideluji
koncovemu uzivateli site masce /48-64 - v podstate standardne
64b - tedy dostanete pro sebe adresni prostor 2x vetsi nez je
cely soucasny verejny internet. Neni tedy problem ani pro
obrovske firmy si zridit v ramci tohoto rozsahu sve site a
nastavit si routovani mezi nimi. To je standardni praxe i v
ramci IPv4.<br>
</div>
<div><br>
</div>
<div>Na vsechno ostatni je firewall a FW je to zarizeni, ktere
zajistuje bezpecnost tim, ze filtruje komunikaci - vetsinou v
nejakem uzlovem bodu.</div>
<div><br>
</div>
<div>Pokud tedy mame resit nejakeho bezneho uzivatele co si
koupi wifi router tak paradoxne je pro neho vsechno mnohem
jednodussi. Krabicka si pres DHCP vyzada od providera
prideleni sveho rozsahu IP adres, ktere se zpropaguji na
koncova zarizeni a ta "nejakou" metodou ziskaji IP v ramci
zminene site. IPv6 firewall bude standardne nastaven tak, ze
je povolena veskera odchozi komunikace a s ni spojena
prichozi. No a navazovani komunikace zvenci bude zakazano. Vse
bude fungovat naprosto stejne jako driv a naprosto stejne
bezpecne.</div>
<div><br>
</div>
<div>Doufam, ze z tohoto je jasne, ze NAT je naprosto zbytecna
zalezitost - nijak s bezpecnosti nesouvisi. </div>
<div><br>
</div>
<div>Bezpecnost vasi site je urcovana jen kvalitou FW a potom
kvalitou aplikace, ktera bezi na koncovem zarizeni. Hlavne tam
kde se oteviraji porty na FW smerem do vasi site. Z vnejsku se
jevi situace naprosto stejne...ostatne viz. priloha.</div>
<div><br>
</div>
<div>Takze pane Lukeshi jak zjistite na me IPv6 siti, kde mam
jaka zarizeni (krome tech co jsou vystrceny ven a ktere jsem
vedome povolil)? ;-)</div>
<div><br>
</div>
<div>Chapete to, ze tim, ze zacneme pouzivat routovatelne adresy
se vlastne nic nemeni?</div>
<div><br>
</div>
<div>RV</div>
<div><br>
</div>
<div><br>
<div class="gmail_extra"><br>
<div class="gmail_quote">Dne 9. října 2017 3:09 Jaroslav
Lukesh <span dir="ltr"><<a
href="mailto:lukesh@seznam.cz" target="_blank"
moz-do-not-send="true">lukesh@seznam.cz</a>></span>
napsal(a):<br>
<blockquote class="gmail_quote">Fajn, tak když NAT je tak
děravý, tak jak byste postupoval, abyste zjistil IP
adresu mé tiskárny?<br>
<br>
Skype a pod. to řeší jako PUSH<span class="gmail-im
gmail-HOEnZb"><br>
<br>
<blockquote class="gmail_quote">
To ze NAT funguje zaroven jako vstupni firewal snad
nepoprete nebo ano ?<br>
</blockquote>
<br>
Znovu opakuji. NAT nemá s firewallem absolutně nic
společného. Ano, zabrání z venku iniciovat spojení s
privátní adresou, ale to je ochrana naprosto nulová,
ba naopak zcela záporná, protože jak je vidět, i lidi
technicky zaměřené a svým způsobem IP znalé lidi pěkně
uchlácholí.<br>
Útočník si jen mne ruce a přemýšlí, co by vám domů
připravil, aby si nechráněnou sítí otevíral cesty kam
potřebuje přímo od vás. A že se mu to dařilo už před
mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka
je vidět například z velmi populární aplikace Skype (a
jistě bylo a je i mnoho dalších takových fajnovostí).
IoT na IPv4 je pro tyhle věci naprosto živná půda.<br>
<br>
</span>
<div class="gmail-HOEnZb">
<div class="gmail-h5">
______________________________<wbr>_________________<br>
HW-list mailing list - sponsored by <a
href="http://www.HW.cz" rel="noreferrer"
target="_blank" moz-do-not-send="true">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank"
moz-do-not-send="true">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list"
rel="noreferrer" target="_blank"
moz-do-not-send="true">http://list.hw.cz/mailman/list<wbr>info/hw-list</a><br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
HW-list mailing list - sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>
<a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
</blockquote>
<br>
</body>
</html>