IPv6
Martin Záruba
swz na volny.cz
Pondělí Červenec 8 12:15:13 CEST 2024
Dík za odkaz. Princip NATu je mi známý, přesto jsem se snažil článek
přečíst co nejpečlivěji.
Mýtus 1: Asi by tímto způsobem nešlo IP adresu zjistit, protože nic
takového na zařízení neběží a ani nemůže. Ale asi by ji šlo objevit
náhodou. Navíc není statická, protože zařízení si o IP adresu říká z
DHCP serveru.
Mýtus 2,
LAND attack: Myslím, že není možný, protože žádný port není otevřený.
Smurf attack: tomu úplně nerozumím. Proč by router posílal ICMP paket
do vnitřní sítě? Předpokládám, že by na něj sám odpověděl, ale nepustil
by ho dál.
Ping flood: Ale to zahltí router a ne zařízení za NATem nebo ne?
Mýtus 3,
Střílíme přes NAT: Pokud to dobře chápu, tak takový paket musí mít
uvedeno správné číslo portu a správnou vnitřní P adresu, aby se nalezl v
routovací tabulce. Jinak je zahozen. Protože IP adresa je dynamická a
port se každým paketem mění, je to málo pravděpodobné. Ale i tak, skoro
s jistotou by přišel paket, na který by zařízení neumělo odpovědět a
jako nesmysl by jej zahodilo. A příští LocalPort by už byl jiný.
Snad jediný způsob, který mě napadá, ale ten se v článku nezmiňuje je
odchytit cestou paket, který zařízení posílá serveru. Ten upravit a
odpovědět na něj místo serveru. Jenže přenášená data jsou binární a
poměrně obtížně srozumitelná, pokud k nim není popis.
Martin Záruba
Dne 8.7.2024 v 10:39 Martin Vancl napsal(a):
> Zarizeni budou za firewallem uplne stejne, jak jsou (nebo by mela byt)
> ted u IPv4.
>
> NAT != firewall
> https://www.root.cz/clanky/proc-neni-nat-totez-co-firewall/
>
>
> po 8. 7. 2024 v 10:29 odesílatel Martin Záruba <swz na volny.cz> napsal:
>
> Asi bych to měl vědět, ale... Jak to vlastně je v IPv6? Chápu to
> dobře,
> že všechny adresy jsou pevné a veřejné? Co potom zabrání, aby
> jednoduché
> zařízení, které zvládne jen nepatrný objem dat (třeba osmibit) bylo
> chráněno před útokem z venku? Teď když je za NATem a umí se pouze
> připojit k serveru a na routeru na něj není nic směrováno, je obtížně
> dostupné. Nebo jak to prosím je?
>
> Martin Záruba
>
>
> Dne 8.7.2024 v 9:48 Miroslav Mraz napsal(a):
> > Spíš než o modernost zde patrně jde o "bezpečnost". Narazil jsem
> > dokonce na broker u kterého se musí nastavit i IP adresa klienta.
> > Smysl to celkem dává, ale já na to nechci přilepit atomovou
> bombu. Ono
> > vystavit něco do internetu jen přinese problémy.
> > Přitom celé by to šlo elegantně vyřešit přes IPv6. Bohužel argument
> > poskytovatelů připojení "zatím jste jediný, kdo to chce" je
> > neprůstřelný. Takže ta maškaráda zůstane dokud se najde dost lidí,
> > kteří na tom dokážou vydělávat.
> >
> > Mrazík
> >
> --
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz <http://www.HW.cz>
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
>
>
> --
> S pozdravem
> Ing. Martin Vancl
>
> e-mail: tux.martin na gmail.com
> web: www.vancl-it.cz <http://www.vancl-it.cz>
>
> _______________________________________________
> HW-list mailing list - sponsored bywww.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20240708/2029a027/attachment.htm>
Další informace o konferenci Hw-list