OT IPv6 - prakticke zkusenosti
hwnews konference
hwnews na cncnet.info
Pondělí Říjen 9 12:22:38 CEST 2017
Je treba si ujasnit to, ze i kdyz mate verejnou (routovatelnou) adresu
jeste vubec neznamena, ze muzete s timto zarizenim navazovat komunikaci.
Paradoxne, pokud to vezmete do dusledku, je sit za NATem provozovana za
nejakym cinskym bazmekem za 400Kc mnohem zranitelnejsi, protoze proste mate
jeden vstupni bod do cele site a vite, ze naprosto cela infrastruktura je
za touhle krabickou. Takze veskere utoky smerujete na tuhle IP a take vite,
ze tudy probiha veskera komunikace. Co se tyka nejakych DoS utoku je to
take mnohem horsi - nemate naprosto sanci provadet nejake migrovani -
proste na te IP musite sedet protoze jinou nemate.
Naopak na IPv6 muzete treba z me domeny dle prekladu v DNS odhadovat, ze
mam infrastrukturu rozhazenou na 2^64b adres. Jen to proskenovat je to same
jako proskenovat vic nez 2x vic nez cely soucasny internet a na kazde
adrese jeste x tisic portu. Na siti za NATem mi staci skenovat jen jednu
jedinou adresu. Takze pokud najdu otevreny port (coz je zase jen nastaveni
FW) jsme na konkretnim zarizeni protoze NAT do toho NIJAK nevstupuje - ten
jen preklopi pozadavek z vnejsku na nejakou vnitrni adresu.
Jinak podle vasi teorie by znamenalo, ze 90% jihoceskeho kraje (hlavne u
domacich uzivatelu) by muselo mit jiz ted problemy, protoze ti maji uz od
providera IPv6 povolenou. Mluvim o providerovi Starnet, ktery to ma uz od
kvetna zapnute naprosto pro vsechny.
RV
Dne 9. října 2017 11:55 Jiří Nesvacil <nesvacil na posys.eu> napsal(a):
> Zakladni nepochopeni veci je vsem zapnout ipv6 poskytovatelem. A budou se
> dit veci. Vetsina se spoleha, ze jejich zarizeni neni z venci videt ... .
> To, ze lednicka dnes muze posilat ven data i bez IPv6 je sice pravda a asi
> to tak i dela. Jde to postupne se zavadenim techto technologii. Stejne jako
> TV,.. proste spyware zevnitr.
>
> Nicmene si dat klapky na oci a rikat, ze NAT nedela zadnou ochranu je ... .
>
> Jirka
>
>
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/5e5efea3/attachment.html>
Další informace o konferenci Hw-list