OT IPv6 - prakticke zkusenosti

Pondělí Říjen 9 10:09:17 CEST 2017

Me prijde, ze stale hromada lidi nechape (z toho co zde ctu a nereaguji tim
jen na p. Lukeshe) jaky je rozdil mezi FW a NATem.

NAT je jen technicka obezlicka jak zvysit pocet PC v omezenem adresnim
prostoru.... NIC VIC.

Neni tam kvuli tomu, abyste meli svoji nezavislou a oddelenou sit. Od toho
jsou routery, ktere oddeluji jednotlive site od sebe. Soucasna praxe v IPv6
je takova, ze se prideluji koncovemu uzivateli site masce /48-64 - v
podstate standardne 64b - tedy dostanete pro sebe adresni prostor 2x vetsi
nez je cely soucasny verejny internet. Neni tedy problem ani pro obrovske
firmy si zridit v ramci tohoto rozsahu sve site a nastavit si routovani
mezi nimi. To je standardni praxe i v ramci IPv4.

Na vsechno ostatni je firewall a FW je to zarizeni, ktere zajistuje
bezpecnost tim, ze filtruje komunikaci - vetsinou v nejakem uzlovem bodu.

Pokud tedy mame resit nejakeho bezneho uzivatele co si koupi wifi router
tak paradoxne je pro neho vsechno mnohem jednodussi. Krabicka si pres DHCP
vyzada od providera prideleni sveho rozsahu IP adres, ktere se zpropaguji
na koncova zarizeni a ta "nejakou" metodou ziskaji IP v ramci zminene site.
IPv6 firewall bude standardne nastaven tak, ze je povolena veskera odchozi
komunikace a s ni spojena prichozi. No a navazovani komunikace zvenci bude
zakazano. Vse bude fungovat naprosto stejne jako driv a naprosto stejne
bezpecne.

Doufam, ze z tohoto je jasne, ze NAT je naprosto zbytecna zalezitost -
nijak s bezpecnosti nesouvisi.

Bezpecnost vasi site je urcovana jen kvalitou FW a potom kvalitou aplikace,
ktera bezi na koncovem zarizeni. Hlavne tam kde se oteviraji porty na FW
smerem do vasi site. Z vnejsku se jevi situace naprosto stejne...ostatne
viz. priloha.

Takze pane Lukeshi jak zjistite na me IPv6 siti, kde mam jaka zarizeni
(krome tech co jsou vystrceny ven a ktere jsem vedome povolil)? ;-)

Chapete to, ze tim, ze zacneme pouzivat routovatelne adresy se vlastne nic
nemeni?

RV

Dne 9. října 2017 3:09 Jaroslav Lukesh <lukesh na seznam.cz> napsal(a):

> Fajn, tak když NAT je tak děravý, tak jak byste postupoval, abyste zjistil
> IP adresu mé tiskárny?
>
> Skype a pod. to řeší jako PUSH
>
> To ze NAT funguje zaroven jako vstupni firewal snad nepoprete nebo ano ?
>>
>
> Znovu opakuji. NAT nemá s firewallem absolutně nic společného. Ano,
> zabrání z venku iniciovat spojení s privátní adresou, ale to je ochrana
> naprosto nulová, ba naopak zcela záporná, protože jak je vidět, i lidi
> technicky zaměřené a svým způsobem IP znalé lidi pěkně uchlácholí.
> Útočník si jen mne ruce a přemýšlí, co by vám domů připravil, aby si
> nechráněnou sítí otevíral cesty kam potřebuje přímo od vás. A že se mu to
> dařilo už před mnoha lety, kdy o nějakém IoT nebyla nikde ani zmínka je
> vidět například z velmi populární aplikace Skype (a jistě bylo a je i mnoho
> dalších takových fajnovostí). IoT na IPv4 je pro tyhle věci naprosto živná
> půda.
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/883d4179/attachment-0001.html>
------------- další část ---------------
A non-text attachment was scrubbed...
Name: ipv6.jpg
Type: image/jpeg
Size: 85682 bytes
Desc: [žádný popis není k dispozici]
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/883d4179/attachment-0001.jpg>