<div dir="ltr">Me prijde, ze stale hromada lidi nechape (z toho co zde ctu a nereaguji tim jen na p. Lukeshe) jaky je rozdil mezi FW a NATem.<div><br></div><div>NAT je jen technicka obezlicka jak zvysit pocet PC v omezenem adresnim prostoru.... NIC VIC. </div><div><br></div><div>Neni tam kvuli tomu, abyste meli svoji nezavislou a oddelenou sit. Od toho jsou routery, ktere oddeluji jednotlive site od sebe. Soucasna praxe v IPv6 je takova, ze se prideluji koncovemu uzivateli site masce /48-64 - v podstate standardne 64b - tedy dostanete pro sebe adresni prostor 2x vetsi nez je cely soucasny verejny internet. Neni tedy problem ani pro obrovske firmy si zridit v ramci tohoto rozsahu sve site a nastavit si routovani mezi nimi. To je standardni praxe i v ramci IPv4.<br></div><div><br></div><div>Na vsechno ostatni je firewall a FW je to zarizeni, ktere zajistuje bezpecnost tim, ze filtruje komunikaci - vetsinou v nejakem uzlovem bodu.</div><div><br></div><div>Pokud tedy mame resit nejakeho bezneho uzivatele co si koupi wifi router tak paradoxne je pro neho vsechno mnohem jednodussi. Krabicka si pres DHCP vyzada od providera prideleni sveho rozsahu IP adres, ktere se zpropaguji na koncova zarizeni a ta "nejakou" metodou ziskaji IP v ramci zminene site. IPv6 firewall bude standardne nastaven tak, ze je povolena veskera odchozi komunikace a s ni spojena prichozi. No a navazovani komunikace zvenci bude zakazano. Vse bude fungovat naprosto stejne jako driv a naprosto stejne bezpecne.</div><div><br></div><div>Doufam, ze z tohoto je jasne, ze NAT je naprosto zbytecna zalezitost - nijak s bezpecnosti nesouvisi. </div><div><br></div><div>Bezpecnost vasi site je urcovana jen kvalitou FW a potom kvalitou aplikace, ktera bezi na koncovem zarizeni. Hlavne tam kde se oteviraji porty na FW smerem do vasi site. Z vnejsku se jevi situace naprosto stejne...ostatne viz. priloha.</div><div><br></div><div>Takze pane Lukeshi jak zjistite na me IPv6 siti, kde mam jaka zarizeni (krome tech co jsou vystrceny ven a ktere jsem vedome povolil)? ;-)</div><div><br></div><div>Chapete to, ze tim, ze zacneme pouzivat routovatelne adresy se vlastne nic nemeni?</div><div><br></div><div>RV</div><div><br></div><div><br><div class="gmail_extra"><br><div class="gmail_quote">Dne 9. října 2017 3:09 Jaroslav Lukesh <span dir="ltr"><<a href="mailto:lukesh@seznam.cz" target="_blank">lukesh@seznam.cz</a>></span> napsal(a):<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Fajn, tak když NAT je tak děravý, tak jak byste postupoval, abyste zjistil IP adresu mé tiskárny?<br>
<br>
Skype a pod. to řeší jako PUSH<span class="gmail-im gmail-HOEnZb"><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
To ze NAT funguje zaroven jako vstupni firewal snad nepoprete nebo ano ?<br>
</blockquote>
<br>
Znovu opakuji. NAT nemá s firewallem absolutně nic společného. Ano, zabrání z venku iniciovat spojení s privátní adresou, ale to je ochrana naprosto nulová, ba naopak zcela záporná, protože jak je vidět, i lidi technicky zaměřené a svým způsobem IP znalé lidi pěkně uchlácholí.<br>
Útočník si jen mne ruce a přemýšlí, co by vám domů připravil, aby si nechráněnou sítí otevíral cesty kam potřebuje přímo od vás. A že se mu to dařilo už před mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka je vidět například z velmi populární aplikace Skype (a jistě bylo a je i mnoho dalších takových fajnovostí). IoT na IPv4 je pro tyhle věci naprosto živná půda.<br>
<br></span><div class="gmail-HOEnZb"><div class="gmail-h5">
______________________________<wbr>_________________<br>
HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/list<wbr>info/hw-list</a><br>
</div></div></blockquote></div><br></div></div></div>