OT IPv6 - prakticke zkusenosti - ochrana NAT
Jiří Nesvacil
nesvacil na posys.eu
Neděle Říjen 8 12:18:13 CEST 2017
Zdravim,
nejvetsim dirou jsou dnes samotne prohlizece Chrome,FireFox,IE. Jen se
spusti prohlizec a mate desitky spyware pripojeni. Nejlepe po
odinstalaci zlepseni je na tom IE, ale stejne si nepomuzete. Nejhorsi
je, ze se toho nezbavite, na to jeste legislativa a technologie/firewall
nema. Nejspis casem.
Jednu dobu se povazovala jako ochrna NAT. Dnes ani ten firewall Vam moc
nepomuze leda vytrhnout ze zdi.
Priserne mnoho spojeni po spusteni prohlizece je neunosne. Zkuste si to
nejakym sledovadlem spojeni.
Jirka
Dne 08.10.2017 v 11:47 Šerých Jakub napsal(a):
>
>> -----Original Message-----
>> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Simek
>> Sent: Sunday, October 8, 2017 11:30 AM
>> To: HW-news <hw-list na list.hw.cz>
>> Subject: RE: OT IPv6 - prakticke zkusenosti
>>
>> On Sun, 8 Oct 2017, Šerých Jakub wrote:
>>
>>> To je přesně ta nejscestnější představa, kterou lidi o bezpečnosti mají.
>>> :-)))) Firewall je firewall a s NATem (tím svinstvem, kterému snad už
>>> v dohledné době odzvoní hrana) nemá absolutně nic společného.
>>> Samozřejmě
>> To ze NAT funguje zaroven jako vstupni firewal snad nepoprete nebo ano ?
> Znovu opakuji. NAT nemá s firewallem absolutně nic společného. Ano, zabrání z venku iniciovat spojení s privátní adresou, ale to je ochrana naprosto nulová, ba naopak zcela záporná, protože jak je vidět, i lidi technicky zaměřené a svým způsobem IP znalé lidi pěkně uchlácholí.
> Útočník si jen mne ruce a přemýšlí, co by vám domů připravil, aby si nechráněnou sítí otevíral cesty kam potřebuje přímo od vás. A že se mu to dařilo už před mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka je vidět například z velmi populární aplikace Skype (a jistě bylo a je i mnoho dalších takových fajnovostí). IoT na IPv4 je pro tyhle věci naprosto živná půda.
>
>>> Správně nastavený firewall zakazuje vše, co není nutné mít povoleno,
>>> takže pravděpodobně bude mít na svém routeříku povoleno víceméně jen
>>> brouzdání po netu a to bude fungovat od prvního zastrčení kabelů. Když
>>> si třeba pořídí SIP telefon, asi tam někde bude mít "SIP
>>> zaškrtávátko", které pravidla na firewallu správně upraví (tak jak to
>>> dnes některé
>> Jo tyhle imaginace o tom jak to bude vsechno fungovat _spravne_ to mne
>> vzdycky rozesmeje. Jen si rikam ze pri te IPV6 autkonfiguraci adres ten SIP
>> protokol asi nepujde pustit jen na konkretni IPV6 adresu telefonu, ale bude
>> to treba pustit do cele domaci site. A pokud nejake jine zarizeni pouzije pro
>> vnitrni komunikaci port na kterem bezi SIP telefon tak bude napadnutelne
>> zvenci.
> Ne konkrétně u SIPu je nutno zadat přímo adresu zařízení, proto jsem slovo "zaškrtávátko" dal do uvozovek.
>
>>> Ale jestli si myslíte, že Cloud ve spojení s NATem (bez firewallu
>>> :-)))) je pro IoT to nejbezpečnější řešení, pak si dál vesele žijte ve
>>> svém snu.
>> Pokud jste necetl moje prispevky tak si je prosim prectete - nepsal jsem v
>> nich o IoT ani o Cloudu...
> Ano, ale pokud chceme provozovat IoT na IPv4 (psalo se o "ledničce", což je v podobných diskusích typický představitel IoT) tak nic jiného než Cloud nebo po novu alespoň moderní Fog nezbývá.
>
> Jakub Šerých
>>
>>> Jakub Šerých
>> *------------------------------------------------------------------------*
>> | Petr Simek APS JU |
>> | psimek na jcu.cz |
>> *------------------------------------------------------------------------*
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list