OT IPv6 - prakticke zkusenosti
Jiří Nesvacil
nesvacil na posys.eu
Pondělí Říjen 9 10:22:37 CEST 2017
NAT a firewall. To je jako se bavit jaky je rozdil mezi ochranou a
plastenkou.
Na skole Vas uci, ze firewall neni NAT. Ale urcitou ochranu dela napr.
nemuzete zvenci zahltit vnitrni PC, kdyz jeho adresu neznate. To, ze
tato ochrana NAT dnes uplne nestaci je vec jina, ale vytvari barieru.
Jirka
Dne 09.10.2017 v 10:09 hwnews konference napsal(a):
> Me prijde, ze stale hromada lidi nechape (z toho co zde ctu a
> nereaguji tim jen na p. Lukeshe) jaky je rozdil mezi FW a NATem.
>
> NAT je jen technicka obezlicka jak zvysit pocet PC v omezenem adresnim
> prostoru.... NIC VIC.
>
> Neni tam kvuli tomu, abyste meli svoji nezavislou a oddelenou sit. Od
> toho jsou routery, ktere oddeluji jednotlive site od sebe. Soucasna
> praxe v IPv6 je takova, ze se prideluji koncovemu uzivateli site masce
> /48-64 - v podstate standardne 64b - tedy dostanete pro sebe adresni
> prostor 2x vetsi nez je cely soucasny verejny internet. Neni tedy
> problem ani pro obrovske firmy si zridit v ramci tohoto rozsahu sve
> site a nastavit si routovani mezi nimi. To je standardni praxe i v
> ramci IPv4.
>
> Na vsechno ostatni je firewall a FW je to zarizeni, ktere zajistuje
> bezpecnost tim, ze filtruje komunikaci - vetsinou v nejakem uzlovem bodu.
>
> Pokud tedy mame resit nejakeho bezneho uzivatele co si koupi wifi
> router tak paradoxne je pro neho vsechno mnohem jednodussi. Krabicka
> si pres DHCP vyzada od providera prideleni sveho rozsahu IP adres,
> ktere se zpropaguji na koncova zarizeni a ta "nejakou" metodou ziskaji
> IP v ramci zminene site. IPv6 firewall bude standardne nastaven tak,
> ze je povolena veskera odchozi komunikace a s ni spojena prichozi. No
> a navazovani komunikace zvenci bude zakazano. Vse bude fungovat
> naprosto stejne jako driv a naprosto stejne bezpecne.
>
> Doufam, ze z tohoto je jasne, ze NAT je naprosto zbytecna zalezitost -
> nijak s bezpecnosti nesouvisi.
>
> Bezpecnost vasi site je urcovana jen kvalitou FW a potom kvalitou
> aplikace, ktera bezi na koncovem zarizeni. Hlavne tam kde se oteviraji
> porty na FW smerem do vasi site. Z vnejsku se jevi situace naprosto
> stejne...ostatne viz. priloha.
>
> Takze pane Lukeshi jak zjistite na me IPv6 siti, kde mam jaka zarizeni
> (krome tech co jsou vystrceny ven a ktere jsem vedome povolil)? ;-)
>
> Chapete to, ze tim, ze zacneme pouzivat routovatelne adresy se vlastne
> nic nemeni?
>
> RV
>
>
>
> Dne 9. října 2017 3:09 Jaroslav Lukesh <lukesh na seznam.cz
> <mailto:lukesh na seznam.cz>> napsal(a):
>
> Fajn, tak když NAT je tak děravý, tak jak byste postupoval, abyste
> zjistil IP adresu mé tiskárny?
>
> Skype a pod. to řeší jako PUSH
>
> To ze NAT funguje zaroven jako vstupni firewal snad nepoprete
> nebo ano ?
>
>
> Znovu opakuji. NAT nemá s firewallem absolutně nic společného.
> Ano, zabrání z venku iniciovat spojení s privátní adresou, ale to
> je ochrana naprosto nulová, ba naopak zcela záporná, protože jak
> je vidět, i lidi technicky zaměřené a svým způsobem IP znalé lidi
> pěkně uchlácholí.
> Útočník si jen mne ruce a přemýšlí, co by vám domů připravil, aby
> si nechráněnou sítí otevíral cesty kam potřebuje přímo od vás. A
> že se mu to dařilo už před mnoha lety, kdy o nějakém IoT nebyla
> nikde ani zmínka je vidět například z velmi populární aplikace
> Skype (a jistě bylo a je i mnoho dalších takových fajnovostí). IoT
> na IPv4 je pro tyhle věci naprosto živná půda.
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz <http://www.HW.cz>
> Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz>
> http://list.hw.cz/mailman/listinfo/hw-list
> <http://list.hw.cz/mailman/listinfo/hw-list>
>
>
>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/36cc89bf/attachment.html>
Další informace o konferenci Hw-list