Trochu OT - IPv4 konci

[HW CNCnet.info]

Jenze tohle je jen to, ze IPv6 je naprosto neco jineho - nelze koukat na 
IPv6 ocima IPv4. Pak Vam z toho samozrejme vyjde ze je to zbytecna kravina.

IPv6 neresi "jen" nedostatek verejnych IP - hromada veci, kterou ted 
resite nejakyma obrzlickama a nadstavbama nad IPv4 jsou v IPv6 
zaimplementovane treba primo na urovni sitove vrstvy a ne az treba na 
aplikacni vrstve jako ted. To se treba tyka i SSL.

To, ze jste si zmenil defaultni porty na zarizeni a tim padem i na FW je 
sice hezke, ale krome pakarny kterou jste si tim pridelal, jste vubec 
nic nevyresil - jen jste pripadneho utocnika zdrzel, nez si proskenuje 
cely rozsah portu. Na tom zd ana vas nekdo utoci nebo ne je otazkou jen 
toho jak dalece mate tu verejnou IP proflaklou. Ted se divam na svuj 
server jen na Apache:
Server uptime: 41 days 21 hours 24 minutes 55 seconds
Total accesses: 1644203 - Total Traffic: 9.6 GB
logy na linuxovem firewallu uz ani nectu - maji nekolik MB za den. Za 
dnesni den do 17:04 ma jen log FW 35.000 zaznamu. Kontroluji uz jen 
namatkove logy z IDS, ktery je mnohem zajimavejsi - jsou to docela 
zverstva co se tam objevuje.

Hesla a jmena jsou kapitola sama o sobe - tam pokud nejedete na 
zasifrovanem protokolu tak je to jen otazka, kdy se nekomu povede 
presmerovat nejaky tok paketu tak, aby se k nim dostal.

Nicmene abych nebyl jen optimista... Problem samozrejme je v tom, ze tak 
jak dnes funguji napriklad prave FW a treba zminene IDS bude nemozne. Ty 
posuzuji pakety prave na zaklade TCP ci UDP portu, ale v IPv6 musite 
projit cely datagram a jeho hlavicky a take se vam muze stat, ze FW 
nejakou hlavicku nebude umet a co s tim ma udelat - pritom ale nemusi 
jit o nic zavadneho.
Tohle je ale jen ten mensi problem - prave k tomu, ze IPv6 je stvoren k 
pouzivani IPsec (protoze pak nebudete muset resit bezpecnost konektivity 
do domaci EZS z vasi dovolene - budete se tunelovat internetem primo na 
zarizeni) tak pro FW je to dost problem - tedy problem - on si do toho 
paketu vubec nesahne.

Tohle je dle meho zasadni zmena, ktera brzdi preklopeni na IPv6. Jde o 
zmenu bezpecnostniho modelu z centralizovaneho (tedy LAN strezena jednim 
FW) na decentralizovany, kdy svou bezpecnost resi kazde zarizeni 
samostatne. Kazde ma sve pro a proti - pokud vam nekdo prostreli FW tak 
je otevreno vse, pokud vam nekdo prostreli lednici tak vam necha zteplat 
pivo. ;-)

Ta problematika je pomerne rozsahla a nejde delat soudy jen podle toho 
co znate z IPv4. Osobne si myslim, ze IPv6 je dobra cesta, ale bohuzel 
to je dost radikalni rez.

Jinak koexistenci obou protokolu resi toto RFC: 
http://www.ietf.org/rfc/rfc4942.txt  nevim zda je k mani nejaka novejsi 
verze

-- 
S pozdravem
======================================================================
Radek Vicek
======================================================================
http://www.cncnet.info - problematika CNC a automatizace
http://www.jakjevenku.info - webová meteostanice

Dne 1.2.2011 13:42, Pavel Krafcik napsal(a):
> Asi jsem dost mimo, ale mám ten názor, že našemu domečku stačí jedna
> veřejná IP adresa, která je nastavená na routeru a zvenku se připojuji k
> vnitřním elementům sítě přes čísla portů a to pro jistotu změněná. Na
> standardních portech mám jen SMTP a HTTP. FTP je sprosté slovo a doma se
> neprovozuje. Je to pracné, člověk si musí při každé změně projít
> pravidla na routeru, ale připadá mi, že si kontroluji vstupy a sem tam i
> výstupy z domácí domény. Takové to domácí "security by obscurity". A já,
> narozdíl od hejhuly, znám správná čísla portů a kromě toho i jména a hesla.
>
> Pavel Krafčík