Taky nechapu, proc by tyhle zalezitosti mely byt na IPv6 nejak obecne nebezpecnejsi. Ano, bude nutne pouzivat stavove firewally (alespon dokud nejake cune neudela IPv6 NAT resp. PAT), ale jinak tam zadne risiko, ktere by v IPv4 svete neexistovalo take, nevidim.
Bojím se že šmírování uživatelů je asi nejdůležitější faktor, který stojí za tlakem na IPV6. Pokud jste spolu s další tisícovkou uživatelů za NATem, a pravidelně promazáváte cookies, je obtížné vaše aktivity spojit do jedné identity.
Jakmile ale máte IPV6 adresu, jednoznačně vás podle ní poznají. A co je horší, při automatické konfiguraci poznají (a to nejen v lokální síti, kde je to samozřejmé) i vaši MAC adresu. Podle té vás najdou i když se přestěhujete, nebo změníte providera. Lze dohledat výrobce a typ síťové karty nebo základní desky, s trochou úsilí i prodejce co vám ji prodal- a jste v pééérdeli, pane hráábě.
Bezva, takže zrušíme to "odporné" DHCP. Místo toho použijeme úžasný nový ADDRCONF + protože to má mouchy tak ještě úžasnější RFC 3041. A protože MD5 bude generovat konflikty, musíme přidat ještě DAD podle RFC 2462.
Brave new world, jeden jednoduchý mechanismus bude nahrazen třemi jinými, a bude to prezentováno jako "úspora". :)
IPV4+NATing je overene a fungujici reseni, IPV6 je nebezpecna zbytecnost, funkcni IPV6 je akorat snem vsech BOTnet masteru, nebezpecnost nasazeni IPV6 "v terenu" je opravdu hroziva (ta hlavicka to je jen ten nejmensi problem), navic by tim byl poznamenan i GeoTargeting a dalsi sluzby, ktere jsou s IPV4 v perfektnim souladu a s IPV6 by byly de-fakto na nic, takze prrr, IPV6 at si provozuji v Cine, mam bohate staci a bude stacit IPV4
Jo, horší účinnost IP scanu je asi jediné praktické plus, bohužel jen krátkodobé. Seznamy živých IP adres se budou dolovat z logů a obchodovat podobně jako dnes e-mailové adresy, a jsme zase na začátku.
Já bych ten nos tolik neohrnoval. Dřív nebo později budeme ipv6 stejně potřebovat. NAT je pěkně fuj, tedy pokud to neberete z úhlu lidí, kteří se chtějí schovat, aby je nikdo neviděl. Nechápu, proč by měl být nějak poznamenán GeoTargeting, to mi prosím objasněte. Co se týče botnetů - nevidím v tom až zas takový problém. V RFC (opravte mě, jestli se pletu) je psáno, že se budou přidělovat celé /64 rozsahy koncovým uživatelům. Tak se budou celé /64 rozsahy zakazovat. Horší to bude asi s DoSama, nicméně s tím si technika časem taky poradí.
Botnety se řídí obráceně, tj. uzel se připojuje k serveru, kvůli stavovým firewallům nebo NATU. IPv6 na tom nic nemění.
S DoSem bych si starosti nedelal. Problém není množství adres, ale pocet utocících strojů. Naopak bude-li mít každý veřejnou adresu, zablokujete jen útočníka a jeho sousedy tedy poškodíte.
Navíc s velkým adresním prostorem se slepé skenování stává neúčinné.
Poduvuhodná myšlenka, protože právě sedím za strojem, který má adresu z autokonfigurace, ale adresy NTP, DNS a SIP serveru a časovou zónu bere pres DHCPv6.
DAD dneska dělají i DHCPv4 klienti.
Ano úspora to je. Konečně došlo k oddělení věcí, které spolu vůbec nesouvisí. K čemu provozovat nějaký chytrý server, když ho nepotřebuji.