<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>NAT a firewall. To je jako se bavit jaky je rozdil mezi ochranou
      a plastenkou.<br>
      <br>
      Na skole Vas uci, ze firewall neni NAT. Ale urcitou ochranu dela
      napr. nemuzete zvenci zahltit vnitrni PC, kdyz jeho adresu
      neznate. To, ze tato ochrana NAT dnes uplne nestaci je vec jina,
      ale vytvari barieru.<br>
    </p>
    <p>Jirka<br>
    </p>
    <pre class="moz-signature" cols="72">
</pre>
    <div class="moz-cite-prefix">Dne 09.10.2017 v 10:09 hwnews
      konference napsal(a):<br>
    </div>
    <blockquote type="cite"
cite="mid:CAFMbtH_BTinCO2o8PBG+yHP=4nowN=VKhkgJ4-KOGs+_fBYKyw@mail.gmail.com">
      <meta http-equiv="Context-Type" content="text/html; charset=UTF-8">
      <div dir="ltr">Me prijde, ze stale hromada lidi nechape (z toho co
        zde ctu a nereaguji tim jen na p. Lukeshe) jaky je rozdil mezi
        FW a NATem.
        <div><br>
        </div>
        <div>NAT je jen technicka obezlicka jak zvysit pocet PC v
          omezenem adresnim prostoru.... NIC VIC. </div>
        <div><br>
        </div>
        <div>Neni tam kvuli tomu, abyste meli svoji nezavislou a
          oddelenou sit. Od toho jsou routery, ktere oddeluji jednotlive
          site od sebe. Soucasna praxe v IPv6 je takova, ze se prideluji
          koncovemu uzivateli site masce /48-64 - v podstate standardne
          64b - tedy dostanete pro sebe adresni prostor 2x vetsi nez je
          cely soucasny verejny internet. Neni tedy problem ani pro
          obrovske firmy si zridit v ramci tohoto rozsahu sve site a
          nastavit si routovani mezi nimi. To je standardni praxe i v
          ramci IPv4.<br>
        </div>
        <div><br>
        </div>
        <div>Na vsechno ostatni je firewall a FW je to zarizeni, ktere
          zajistuje bezpecnost tim, ze filtruje komunikaci - vetsinou v
          nejakem uzlovem bodu.</div>
        <div><br>
        </div>
        <div>Pokud tedy mame resit nejakeho bezneho uzivatele co si
          koupi wifi router tak paradoxne je pro neho vsechno mnohem
          jednodussi. Krabicka si pres DHCP vyzada od providera
          prideleni sveho rozsahu IP adres, ktere se zpropaguji na
          koncova zarizeni a ta "nejakou" metodou ziskaji IP v ramci
          zminene site. IPv6 firewall bude standardne nastaven tak, ze
          je povolena veskera odchozi komunikace a s ni spojena
          prichozi. No a navazovani komunikace zvenci bude zakazano. Vse
          bude fungovat naprosto stejne jako driv a naprosto stejne
          bezpecne.</div>
        <div><br>
        </div>
        <div>Doufam, ze z tohoto je jasne, ze NAT je naprosto zbytecna
          zalezitost - nijak s bezpecnosti nesouvisi. </div>
        <div><br>
        </div>
        <div>Bezpecnost vasi site je urcovana jen kvalitou FW a potom
          kvalitou aplikace, ktera bezi na koncovem zarizeni. Hlavne tam
          kde se oteviraji porty na FW smerem do vasi site. Z vnejsku se
          jevi situace naprosto stejne...ostatne viz. priloha.</div>
        <div><br>
        </div>
        <div>Takze pane Lukeshi jak zjistite na me IPv6 siti, kde mam
          jaka zarizeni (krome tech co jsou vystrceny ven a ktere jsem
          vedome povolil)? ;-)</div>
        <div><br>
        </div>
        <div>Chapete to, ze tim, ze zacneme pouzivat routovatelne adresy
          se vlastne nic nemeni?</div>
        <div><br>
        </div>
        <div>RV</div>
        <div><br>
        </div>
        <div><br>
          <div class="gmail_extra"><br>
            <div class="gmail_quote">Dne 9. října 2017 3:09 Jaroslav
              Lukesh <span dir="ltr"><<a
                  href="mailto:lukesh@seznam.cz" target="_blank"
                  moz-do-not-send="true">lukesh@seznam.cz</a>></span>
              napsal(a):<br>
              <blockquote class="gmail_quote">Fajn, tak když NAT je tak
                děravý, tak jak byste postupoval, abyste zjistil IP
                adresu mé tiskárny?<br>
                <br>
                Skype a pod. to řeší jako PUSH<span class="gmail-im
                  gmail-HOEnZb"><br>
                  <br>
                  <blockquote class="gmail_quote">
                    To ze NAT funguje zaroven jako vstupni firewal snad
                    nepoprete nebo ano ?<br>
                  </blockquote>
                  <br>
                  Znovu opakuji. NAT nemá s firewallem absolutně nic
                  společného. Ano, zabrání z venku iniciovat spojení s
                  privátní adresou, ale to je ochrana naprosto nulová,
                  ba naopak zcela záporná, protože jak je vidět, i lidi
                  technicky zaměřené a svým způsobem IP znalé lidi pěkně
                  uchlácholí.<br>
                  Útočník si jen mne ruce a přemýšlí, co by vám domů
                  připravil, aby si nechráněnou sítí otevíral cesty kam
                  potřebuje přímo od vás. A že se mu to dařilo už před
                  mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka
                  je vidět například z velmi populární aplikace Skype (a
                  jistě bylo a je i mnoho dalších takových fajnovostí).
                  IoT na IPv4 je pro tyhle věci naprosto živná půda.<br>
                  <br>
                </span>
                <div class="gmail-HOEnZb">
                  <div class="gmail-h5">
                    ______________________________<wbr>_________________<br>
                    HW-list mailing list  -  sponsored by <a
                      href="http://www.HW.cz" rel="noreferrer"
                      target="_blank" moz-do-not-send="true">www.HW.cz</a><br>
                    <a href="mailto:Hw-list@list.hw.cz" target="_blank"
                      moz-do-not-send="true">Hw-list@list.hw.cz</a><br>
                    <a href="http://list.hw.cz/mailman/listinfo/hw-list"
                      rel="noreferrer" target="_blank"
                      moz-do-not-send="true">http://list.hw.cz/mailman/list<wbr>info/hw-list</a><br>
                  </div>
                </div>
              </blockquote>
            </div>
            <br>
          </div>
        </div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
HW-list mailing list  -  sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>
<a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>