OT IPv6 - prakticke zkusenosti

Šerých Jakub Serych na panska.cz
Neděle Říjen 8 11:47:05 CEST 2017 


> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Simek
> Sent: Sunday, October 8, 2017 11:30 AM
> To: HW-news <hw-list na list.hw.cz>
> Subject: RE: OT IPv6 - prakticke zkusenosti
> 
> On Sun, 8 Oct 2017, Šerých Jakub wrote:
> 
> > To je přesně ta nejscestnější představa, kterou lidi o bezpečnosti mají.
> > :-)))) Firewall je firewall a s NATem (tím svinstvem, kterému snad už
> > v dohledné době odzvoní hrana) nemá absolutně nic společného.
> > Samozřejmě
> 
> To ze NAT funguje zaroven jako vstupni firewal snad nepoprete nebo ano ?

Znovu opakuji. NAT nemá s firewallem absolutně nic společného. Ano, zabrání z venku iniciovat spojení s privátní adresou, ale to je ochrana naprosto nulová, ba naopak zcela záporná, protože jak je vidět, i lidi technicky zaměřené a svým způsobem IP znalé lidi pěkně uchlácholí. 
Útočník si jen mne ruce a přemýšlí, co by vám domů připravil, aby si nechráněnou sítí otevíral cesty kam potřebuje přímo od vás. A že se mu to dařilo už před mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka je vidět například z velmi populární aplikace Skype (a jistě bylo a je i mnoho dalších takových fajnovostí). IoT na IPv4 je pro tyhle věci naprosto živná půda. 

> 
> > Správně nastavený firewall zakazuje vše, co není nutné mít povoleno,
> > takže pravděpodobně bude mít na svém routeříku povoleno víceméně jen
> > brouzdání po netu a to bude fungovat od prvního zastrčení kabelů. Když
> > si třeba pořídí SIP telefon, asi tam někde bude mít "SIP
> > zaškrtávátko", které pravidla na firewallu správně upraví (tak jak to
> > dnes některé
> 
> Jo tyhle imaginace o tom jak to bude vsechno fungovat _spravne_ to mne
> vzdycky rozesmeje. Jen si rikam ze pri te IPV6 autkonfiguraci adres ten SIP
> protokol asi nepujde pustit jen na konkretni IPV6 adresu telefonu, ale bude
> to treba pustit do cele domaci site. A pokud nejake jine zarizeni pouzije pro
> vnitrni komunikaci port na kterem bezi SIP telefon tak bude napadnutelne
> zvenci.
Ne konkrétně u SIPu je nutno zadat přímo adresu zařízení, proto jsem slovo "zaškrtávátko" dal do uvozovek. 

> 
> > Ale jestli si myslíte, že Cloud ve spojení s NATem (bez firewallu
> > :-)))) je pro IoT to nejbezpečnější řešení, pak si dál vesele žijte ve
> > svém snu.
> 
> Pokud jste necetl moje prispevky tak si je prosim prectete - nepsal jsem v
> nich o IoT ani o Cloudu...

Ano, ale pokud chceme provozovat IoT na IPv4 (psalo se o "ledničce", což je v podobných diskusích typický představitel IoT) tak nic jiného než Cloud nebo po novu alespoň moderní Fog nezbývá. 

Jakub Šerých
> 
> 
> > Jakub Šerých
> 
> *------------------------------------------------------------------------*
> |                          Petr Simek   APS JU                           |
> |                             psimek na jcu.cz                              |
> *------------------------------------------------------------------------*

Další informace o konferenci Hw-list