OT IPv6 - prakticke zkusenosti

[Petr Simek]

On Sun, 8 Oct 2017, Šerých Jakub wrote:

>> To ze NAT funguje zaroven jako vstupni firewal snad nepoprete nebo ano ?
>
> Znovu opakuji. NAT nemá s firewallem absolutně nic společného. Ano, 
> zabrání z venku iniciovat spojení s privátní adresou, ale to je ochrana 
> naprosto nulová, ba naopak zcela záporná, protože jak je vidět, i lidi 
> technicky zaměřené a svým způsobem IP znalé lidi pěkně uchlácholí. 
> Útočník si jen mne ruce a přemýšlí, co by vám domů připravil, aby si 
> nechráněnou sítí otevíral cesty kam potřebuje přímo od vás. A že se mu 
> to dařilo už před mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka 
> je vidět například z velmi populární aplikace Skype (a jistě bylo a je i 
> mnoho dalších takových fajnovostí). IoT na IPv4 je pro tyhle věci 
> naprosto živná půda.

Utoku pres aplikace nezabrani ani firewall na routeru, ten taky nic
nevyresi. Trochu tomu muze zabranit firewall na PC ale to je uplne
stejne i na IPv4 .

>> Jo tyhle imaginace o tom jak to bude vsechno fungovat _spravne_ to mne
>> vzdycky rozesmeje. Jen si rikam ze pri te IPV6 autkonfiguraci adres ten SIP
>> protokol asi nepujde pustit jen na konkretni IPV6 adresu telefonu, ale bude
>> to treba pustit do cele domaci site. A pokud nejake jine zarizeni pouzije pro
>> vnitrni komunikaci port na kterem bezi SIP telefon tak bude napadnutelne
>> zvenci.

> Ne konkrétně u SIPu je nutno zadat přímo adresu zařízení, proto jsem 
> slovo "zaškrtávátko" dal do uvozovek.

To ale znamena ze by bylo nutne takove zarizeni konfigurovat pouze
staticky na IPV6 . U autokonfiguracnich metod to bude k nicemu.

>>> Ale jestli si myslíte, že Cloud ve spojení s NATem (bez firewallu
>>> :-)))) je pro IoT to nejbezpečnější řešení, pak si dál vesele žijte ve
>>> svém snu.
>>
>> Pokud jste necetl moje prispevky tak si je prosim prectete - nepsal jsem v
>> nich o IoT ani o Cloudu...
>
> Ano, ale pokud chceme provozovat IoT na IPv4 (psalo se o "ledničce", což 
> je v podobných diskusích typický představitel IoT) tak nic jiného než 
> Cloud nebo po novu alespoň moderní Fog nezbývá.

Vzhledem k tomu bordelu pri prirazovani IPV6 adres zarizenim to nakonec
stejne dopadne i na IPV6 . Vyrobce proste zarizeni natvrdo nastavi na
autokonfiguraci a spojeni s jeho cloudem a vy si budete muset udelat
registraci u vyrobce a pouzivat jeho aplikaci pro pristup k zakoupenemu
zarizeni. Ze vam od toho IPV6 nejak odpomuze je iluze.


> Jakub Šerých

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*