Trochu OT - IPv4 konci
HW CNCnet.info
hwnews na cncnet.info
Úterý Únor 1 17:21:05 CET 2011
Jenze tohle je jen to, ze IPv6 je naprosto neco jineho - nelze koukat na
IPv6 ocima IPv4. Pak Vam z toho samozrejme vyjde ze je to zbytecna kravina.
IPv6 neresi "jen" nedostatek verejnych IP - hromada veci, kterou ted
resite nejakyma obrzlickama a nadstavbama nad IPv4 jsou v IPv6
zaimplementovane treba primo na urovni sitove vrstvy a ne az treba na
aplikacni vrstve jako ted. To se treba tyka i SSL.
To, ze jste si zmenil defaultni porty na zarizeni a tim padem i na FW je
sice hezke, ale krome pakarny kterou jste si tim pridelal, jste vubec
nic nevyresil - jen jste pripadneho utocnika zdrzel, nez si proskenuje
cely rozsah portu. Na tom zd ana vas nekdo utoci nebo ne je otazkou jen
toho jak dalece mate tu verejnou IP proflaklou. Ted se divam na svuj
server jen na Apache:
Server uptime: 41 days 21 hours 24 minutes 55 seconds
Total accesses: 1644203 - Total Traffic: 9.6 GB
logy na linuxovem firewallu uz ani nectu - maji nekolik MB za den. Za
dnesni den do 17:04 ma jen log FW 35.000 zaznamu. Kontroluji uz jen
namatkove logy z IDS, ktery je mnohem zajimavejsi - jsou to docela
zverstva co se tam objevuje.
Hesla a jmena jsou kapitola sama o sobe - tam pokud nejedete na
zasifrovanem protokolu tak je to jen otazka, kdy se nekomu povede
presmerovat nejaky tok paketu tak, aby se k nim dostal.
Nicmene abych nebyl jen optimista... Problem samozrejme je v tom, ze tak
jak dnes funguji napriklad prave FW a treba zminene IDS bude nemozne. Ty
posuzuji pakety prave na zaklade TCP ci UDP portu, ale v IPv6 musite
projit cely datagram a jeho hlavicky a take se vam muze stat, ze FW
nejakou hlavicku nebude umet a co s tim ma udelat - pritom ale nemusi
jit o nic zavadneho.
Tohle je ale jen ten mensi problem - prave k tomu, ze IPv6 je stvoren k
pouzivani IPsec (protoze pak nebudete muset resit bezpecnost konektivity
do domaci EZS z vasi dovolene - budete se tunelovat internetem primo na
zarizeni) tak pro FW je to dost problem - tedy problem - on si do toho
paketu vubec nesahne.
Tohle je dle meho zasadni zmena, ktera brzdi preklopeni na IPv6. Jde o
zmenu bezpecnostniho modelu z centralizovaneho (tedy LAN strezena jednim
FW) na decentralizovany, kdy svou bezpecnost resi kazde zarizeni
samostatne. Kazde ma sve pro a proti - pokud vam nekdo prostreli FW tak
je otevreno vse, pokud vam nekdo prostreli lednici tak vam necha zteplat
pivo. ;-)
Ta problematika je pomerne rozsahla a nejde delat soudy jen podle toho
co znate z IPv4. Osobne si myslim, ze IPv6 je dobra cesta, ale bohuzel
to je dost radikalni rez.
Jinak koexistenci obou protokolu resi toto RFC:
http://www.ietf.org/rfc/rfc4942.txt nevim zda je k mani nejaka novejsi
verze
--
S pozdravem
======================================================================
Radek Vicek
======================================================================
http://www.cncnet.info - problematika CNC a automatizace
http://www.jakjevenku.info - webová meteostanice
Dne 1.2.2011 13:42, Pavel Krafcik napsal(a):
> Asi jsem dost mimo, ale mám ten názor, že našemu domečku stačí jedna
> veřejná IP adresa, která je nastavená na routeru a zvenku se připojuji k
> vnitřním elementům sítě přes čísla portů a to pro jistotu změněná. Na
> standardních portech mám jen SMTP a HTTP. FTP je sprosté slovo a doma se
> neprovozuje. Je to pracné, člověk si musí při každé změně projít
> pravidla na routeru, ale připadá mi, že si kontroluji vstupy a sem tam i
> výstupy z domácí domény. Takové to domácí "security by obscurity". A já,
> narozdíl od hejhuly, znám správná čísla portů a kromě toho i jména a hesla.
>
> Pavel Krafčík
Další informace o konferenci Hw-list