OT IPv6 - prakticke zkusenosti

František Burian BuFran na seznam.cz
Pondělí Říjen 9 15:35:08 CEST 2017


Reakce v textu: 

---------- Původní e-mail ----------
Od: Petr Simek <psimek na jcu.cz>
Komu: HW-news <hw-list na list.hw.cz>
Datum: 9. 10. 2017 14:37:03
Předmět: Re: OT IPv6 - prakticke zkusenosti 
" To zalezi na tom co nejede. OS pokud ma moznost pripojeni IPV4 i IPV6 tak 

obvykle uprednostni IPV6 ale cilovy system to muze mit zase jinak takze 
pak treba tece jeden smer tak a druhy opak, to se musi vzdy analyzovat 
konkretni situace. "



Naprosto souhlasím, ale pokaždé je chyba kryptická a její hledání při výuce 
zdržuje...


 
"Ona ta myslenka sitoveho firewallu ktery vsechno zaridi je trochu zcestna, 
nejlepsi firewall je vzdy na tom konkretnim zarizeni, to spolehani se ze 
ochranu dokonale zajisti sitove prvky je chybne. "



Souhlasím. Jenže tato konektivita je připojena do - řekněme tomu "živé" 
části sítě, 


kterou nemůže správce vůbec nijak sledovat a dohledávat kdo co způsobil. Na 
tuto 


síť chodí velké množství incidentů tak jak si studenti připojují své 
zavirované 


notebooky, s backdoory scannery, ddos sondami apod. Tím firewallem se aspoň 


zajistí, že ten notebook nikdo neovládá zvenčí, a pokud student něco 
způsobí, po

čem jde FBI nebo třeba jenom OSA apod tak je za to plně zodpovědný a data se



předávají dál. Navíc student nemůže nic sdílet na žádném portu (hudba, 
warez)

takže výrazně ubylo počet hlášení od OSy ...




Jelikož je tato síť na ipv4 za NATem, je jediný router, jde dělat conntrack 
a tudíž i

otevírat firewall na "related" komunikaci, současně s restriktivním 
firewallem. 


To na ipv6 hardware firewallu nejde.




Z tohoto pohledu spoléhat se na zabezpečení koncového stroje (který může být



potencionální útočník) je též chybné.





Zaměstnanci mají síť jinou, tam samosebou ipv6 jede jak má, a mnohem lépe 
než 


ipv4. Pokud tedy někdo neodešle do sítě svůj jediný packet RA. To pak lehne 
celá ipv6


podsíť (mám dojem že na univerzitě se to v počátcích stalo dvakrát, hodně se
řešilo

jak to fixovat, teď je to snad nějak fixované). Lidí kteří rozumí ipv6 
natolik aby odeslali

"vadný" packet je naštěstí málo takže se to už nestává.




S mírovým pozdravem,




  Franta Burian
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/21d6a2d1/attachment.html>


Další informace o konferenci Hw-list