OT IPv6 - prakticke zkusenosti
hwnews konference
hwnews na cncnet.info
Pondělí Říjen 9 12:42:11 CEST 2017
Priznam se, ze to moc nechapu...
V FTP serveru si muzu nadefinovat na jakem rozsahu portu se muze vytvaret
komunikace (muze to byt i jen jeden) - takze na FW otevru tenhle rozsah
portu bud na konkretni IP adresy klientu a nebo na cele pod/site.
Jinak take existuje neco jako PROXY.
RV
Dne 9. října 2017 12:24 František Burian <BuFran na seznam.cz> napsal(a):
> Zdravím osazenstvo při pondělku,
>
> Já se zeptám z jiného soudku. Nejsem zbhlý v ipv6, takže mě nekamenujte,
> a rád se přiučím jak to má být správně. Ve škole máme firewall, myslím si
> že dobře nastavený, a právě proto ve cvičeních jako první věc kterou
> uděláme se studenty je, že zakážeme na robotech IPv6. Proč ? Protože to pak
> s ipv6 nejede, objevují se špatně diagnostikovatelné problémy.
>
> Správný firewall by měl dovnitř propustit jen ty data, která dovnitř
> projít můžou, tedy jen povolené porty a related komunikaci (zahájenou
> zevnitř). Jenže internet (a obzvláště Linux) je plný protokolů, které
> vyžadují spojení zvenčí na jiném portu než byla zahájena komunikace.
>
> Vezměme si takový obecně rošířený a spolehlivý protokol FTP. Ten v
> aktivním režimu na hlavním portu 21 jen vyjednává komunikaci, na kterém
> portu bude naslouchat obsahu souboru a řekne serveru ať mu na něj začne
> posílat data. No jo, jenže pokud je na cestě firewall, tak ten tu
> komunikaci zařízne takže nic nestáhnete. U NAT řešení existují moduly do
> jádra, které toto řeší, modifikují provoz a automaticky otevírají porty ve
> firewallu a doplňují conntrack tabulku, takže je v každém okamžiku jasné
> která data mají jít na který pc za NATem. Pravda, se šikovným softwarem na
> pc uvnitř dokážete takto dostat dovnitř libovolná data na libovolný port,
> což je bezpečnostní riziko.
>
> U ipv6 tohle udělat nejde, protože nejde vytvořit conntrack tabulka na
> routeru. Směrování v ipv6 se provádí pomocí RA, takže obecně se může
> ohlásit více routerů a každý packet může jít přes libovolný z nich. Řeší se
> tak load balancing i spolehlivost výpadku. Díky tomu nelze automaticky
> otevírat porty ve firewallu a FTP tedy je nefunkční protokol.
>
> Když jsem takhle u piva toto řešil s nejvyšším ze správců sítě, tak
> koncenzus byl, že protokoly jako FTP apod se prostě musí přestat používat,
> jiné řešení neexistuje. Akceptuji-li tento koncensus, pak musím počkat, než
> mi balíčkovací systém Linuxu přestane nabízet FTP jako zdroj aktualizací v
> defaultu. A jelikož majorita těchto mirrorů právě v současnosti využívá
> protokol FTP, navíc jsou tyto mirrory dle IP nejblíž páteři (ftp.cvut.cz)
> nemám jinou možnost než zakázat tento jistě progresivní protokol ipv6.
>
> Jistě, můžu nastavit __každému programu__ který má implementovaný
> protokol FTP aby používal pasivní režim. To ale znamená hromadu konfigurací
> na mnoha místech, a pokud to nebude v defaultu v čisté instalaci, tak to
> dělat nebudu. Těch protokolů je víc, které to takto mají, musel bych je
> takto konfigurovat všechny.
>
> Co Vy na to ?
>
> František Burian
> ---------- Původní e-mail ----------
> Od: Jiří Nesvacil <nesvacil na posys.eu>
> Komu: hw-list na list.hw.cz
> Datum: 9. 10. 2017 11:56:14
> Předmět: Re: OT IPv6 - prakticke zkusenosti
>
> Zakladni nepochopeni veci je vsem zapnout ipv6 poskytovatelem. A budou se
> dit veci. Vetsina se spoleha, ze jejich zarizeni neni z venci videt ... .
> To, ze lednicka dnes muze posilat ven data i bez IPv6 je sice pravda a asi
> to tak i dela. Jde to postupne se zavadenim techto technologii. Stejne jako
> TV,.. proste spyware zevnitr.
>
> Nicmene si dat klapky na oci a rikat, ze NAT nedela zadnou ochranu je ... .
>
> Jirka
>
>
> Dne 09.10.2017 v 10:32 hwnews konference napsal(a):
>
> To je prece blbost! To je presne to nepochopeni.
>
> I kdyz vam napisu moji IPv6 tak se pres FW na moje PC nemate jak dostat!
> Komunikaci zarizne prave FW jeste nez se k PC dostanete. Navic firewally
> maji nastroje proti DoS utokum (jestli se da o necem takovem mluvit).
>
>
> RV
>
> Dne 9. října 2017 10:22 Jiří Nesvacil <nesvacil na posys.eu> napsal(a):
>
> NAT a firewall. To je jako se bavit jaky je rozdil mezi ochranou a
> plastenkou.
>
> Na skole Vas uci, ze firewall neni NAT. Ale urcitou ochranu dela napr.
> nemuzete zvenci zahltit vnitrni PC, kdyz jeho adresu neznate. To, ze tato
> ochrana NAT dnes uplne nestaci je vec jina, ale vytvari barieru.
>
> Jirka
>
>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz <http://www.hw.cz>Hw-list na list.hw.czhttp://list.hw.cz/mailman/listinfo/hw-list
>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/722c9888/attachment.html>
Další informace o konferenci Hw-list