IPv6

[Martin Záruba]

Dík za odkaz. Princip NATu je mi známý, přesto jsem se snažil článek 
přečíst co nejpečlivěji.
Mýtus 1: Asi by tímto způsobem nešlo IP adresu zjistit, protože nic 
takového na zařízení neběží a ani nemůže. Ale asi by ji šlo objevit 
náhodou.  Navíc není statická, protože zařízení si o IP adresu říká z 
DHCP serveru.

Mýtus 2,

   LAND attack: Myslím, že není možný, protože žádný port není otevřený.

   Smurf attack: tomu úplně nerozumím. Proč by router posílal ICMP paket 
do vnitřní sítě? Předpokládám, že by na něj sám odpověděl, ale nepustil 
by ho dál.

   Ping flood: Ale to zahltí router a ne zařízení za NATem nebo ne?

Mýtus 3,

   Střílíme přes NAT: Pokud to dobře chápu, tak takový paket musí mít 
uvedeno správné číslo portu a správnou vnitřní P adresu, aby se nalezl v 
routovací tabulce. Jinak je zahozen. Protože IP adresa je dynamická a 
port se každým paketem mění, je to málo pravděpodobné. Ale i tak, skoro 
s jistotou by přišel paket, na který by zařízení neumělo odpovědět a 
jako nesmysl by jej zahodilo. A příští LocalPort by už byl jiný.


Snad jediný způsob, který mě napadá, ale ten se v článku nezmiňuje je 
odchytit cestou paket, který zařízení posílá serveru. Ten upravit a 
odpovědět na něj místo serveru. Jenže přenášená data jsou binární a 
poměrně obtížně srozumitelná, pokud k nim není popis.

Martin Záruba

Dne 8.7.2024 v 10:39 Martin Vancl napsal(a):
> Zarizeni budou za firewallem uplne stejne, jak jsou (nebo by mela byt) 
> ted u IPv4.
>
> NAT != firewall 
> https://www.root.cz/clanky/proc-neni-nat-totez-co-firewall/
>
>
> po 8. 7. 2024 v 10:29 odesílatel Martin Záruba <swz na volny.cz> napsal:
>
>     Asi bych to měl vědět, ale... Jak to vlastně je v IPv6? Chápu to
>     dobře,
>     že všechny adresy jsou pevné a veřejné? Co potom zabrání, aby
>     jednoduché
>     zařízení, které zvládne jen nepatrný objem dat (třeba osmibit) bylo
>     chráněno před útokem z venku? Teď když je za NATem a umí se pouze
>     připojit k serveru a na routeru na něj není nic směrováno, je obtížně
>     dostupné. Nebo jak to prosím je?
>
>     Martin Záruba
>
>
>     Dne 8.7.2024 v 9:48 Miroslav Mraz napsal(a):
>     > Spíš než o modernost zde patrně jde o "bezpečnost". Narazil jsem
>     > dokonce na broker u kterého se musí nastavit i IP adresa klienta.
>     > Smysl to celkem dává, ale já na to nechci přilepit atomovou
>     bombu. Ono
>     > vystavit něco do internetu jen přinese problémy.
>     > Přitom celé by to šlo elegantně vyřešit přes IPv6. Bohužel argument
>     > poskytovatelů připojení "zatím jste jediný, kdo to chce" je
>     > neprůstřelný. Takže ta maškaráda zůstane dokud se najde dost lidí,
>     > kteří na tom dokážou vydělávat.
>     >
>     > Mrazík
>     >
>     -- 
>
>     _______________________________________________
>     HW-list mailing list  -  sponsored by www.HW.cz <http://www.HW.cz>
>     Hw-list na list.hw.cz
>     http://list.hw.cz/mailman/listinfo/hw-list
>
>
>
> -- 
> S pozdravem
> Ing. Martin Vancl
>
> e-mail: tux.martin na gmail.com
> web: www.vancl-it.cz <http://www.vancl-it.cz>
>
> _______________________________________________
> HW-list mailing list  -  sponsored bywww.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20240708/2029a027/attachment.htm>