Je na kazdem uzivateli, aby si zvolil takovou bezpecnost, jaka se mu zda primerena. Tato bezpecnost ale NESMI byt na ukor funkcnosti.
V opacnem pripade vytvarime zadni vratka pro man-in-the-middle utoky. Jako priklad muzu uvest treba aplikacni brany pro H.323 - to je dira jako vrata.
Pridam vsak jeste jeden argument, ktery jsem nezaznamenal - pujdu oklikou - proc myslite, ze po IPv6 vyrazne pasou "mobilni" operatori? Modri jiz vedi a ostatnim to nelze jednoduse vysvetlit/popsat...
Jinak k tomu poctu, aby to nedopadlo jako s aplikacemi a rokem 2000... - hovorim o tom, ze je treba jiz nyni potreba adresovat nejen aplikace na Zemi (a zacneme-li znackovat nase vesmirne souputniky, rychle se nam krati mozny adresni prostor)... to quli tomu budeme menit globalni komunikacni infrastrukturu za nepredstavitelne hory penez?
Kazdy program obsahuje chyby (vcetne firewallu, IDS systemu a dalsich bezpecnostnich komponent). Nicmene jejich dopad na funkcnost muze byt minimalizovan.
IPv6 hned nepotrebujeme. IPv6 potrebuji "hned" hlavne cinani a vetsina ostatnich asiatu, kde naroky na adresni prostor presahuji ochotu RIRu jim ho pridelit. Pro nas evropany jsou (podle meho) dulezitejsi dalsi veci (treba mobilita) - ktere dnes nejsou v prvcich implementovany.
Jinak ja si nemyslim, ze migrace vetsiny Internetu na IPv6 probehne driv nez nekdy v letech 2006-2010 a soubezny provoz IPv4 a IPv6 bude otazkou jeste nekolika desitek let.
Pokud se tyce reseni problemu metodou on/off, verim, ze je to resitelne (napriklad updatem firmware ze site vyrobce pri "hard resetu"). A IPv6 tomu muze pomoci treba autokonfiguraci.
Ftip je v tom, ze to cislo 2^16 - 1 se nam take vyrazne zmensuje, protoze ne vsechny rozsahy lze pouzit diky nutnosti pouzit NATovani - kazda odchozi session/konexe si uzme jednu, takze realne vyuzitelnych portu je podstatne mene a na realna omezeni se muzete dostat snadno i dnes, zbytek uz jsem psal...
Jo jinak by mozna odpurcum pomohlo pri jejich omezene predstavivosti a fantasii predstava toho, co se dnes jiz bezne realizuje metalickymi vedenimi a telefonem (pevny/mobilni/satelitni) - monitoringem vsechno jen zacina... naopak zabavne to zacina byt az v okamziku, kdy nejste jen v pasivni (monitorovaci) pozici... aplikace budou/jsou, o to se veru nebojim...
To je ostatně vidět i na názorech (nejen) v této diskusi, kde je značná část diskutujících přesvědčena o přirozenosti maškarád a přímá end-to-end komunikace jim připadá nepřírozená (a nebezpečná), stejně jako firewall v podobě klasického paketového filtru. Takže svým způsobem bych řekl, že epidemie maškarád přinesla více škody než užitku, protože zpomalila vývoj a reálné nasazení IPv6.
Domnivam se, ze Oskar, T-Mobile a dalsi nemaji verejne adresy proste proto, ze pridelovani "verejnych" adres je proste administrativne narocneji. Musite RIPE hlasit, komu jste je pridelili, musite pro ne vest a udrzovat reverzni zaznamy, nemuzete si vymyslet bloky jake chcete, ale muzete pouzivat jen ty pridelene a tak. To vysvetluje, proc jsou adresy U NEKOHO drahe - nekteri ISP se proste rozhodli, ze tohle vsechno je strasne moc prace, za kterou je treba si nechat zaplatit. Povsimni si, ze u jinych ISP dostanes verejnou adresu naprosto samozrejme a bez vlastniho priplatku - to samo o sobe ukazuje, ze kdo chce, adresy ma. Zrejme jde o ISP, kteri maji logistiku verejnych adres vyresenou, nepripada jim slozita, nebo jim to pripada jako samozrejmost (popravde receno, bez verejne IP adresy lze jen velmi tezko hovorit o tom, ze poskytuji pripojeni k Internetu - poskytuji pripojeni k nekterym jeho sluzbam, ale k Internetu rozhodne ne).
Nevim, za koho vlastne mluvis. Ale jestli tvuj ISP tvrdi, ze nemuzes mit vic adres, protoze on sam vic neziska, pak jsou moznosti jen dve - bud' lze, nebo prostorem plytva (t.j. dostal uz spoustu adres, u prilis velke casti z nich dosud neoznamil, ze by je nekomu pridelil a presto chce dalsi). A jestli ti je poskytnout chce, ale nemuzes si je dovolit financne ? Zkus najit jineho ISP - tenhle te musi strasne brat na hul ...
Jinak bude nutne prakticky ke kazdemu clanky vytvorit obrovsky vykladovy slovnik pouzitych pojmu ...
Koordinace Internetu neni zadny mrtvy system, jde o zivou strukturu, ktera je schopna na pozadavky reagovat. Paklize by doslo k enormnimu rustu pozadavku na IP adresy, zcela jiste by bylo nalezeno nekolik opatreni, ktera by umoznila problem vyresit. Krome zintenzivneni praci na IPv6 (nejvetsi momentalni deficit spatruji v mobilite), ktere by bylo v zajmu komunity i velkych vyrobcu, jde treba o prerozdeleni adresniho prostoru. Nekteri RIR dlouhodobe vyhrozuji, ze budou velmi tvrdi, ale pokud vim, tak treba drzitelu prefixu /8 se zatim zadna opatreni nedotkla.
To je sice z určitého úhlu pohledu pravda, ale značná část veřejnosti ten pocit rozhodně nemá. Mnoho firem vám pod pojmem "připojení k Internetu" nabídne právě jen přístup zprostředkovaný přes NAT. To tedy v tom lepším případě, např. můj bratr je momentálně na studijním pobytu v Německu a liboval si, jak tam má skvělé připojení k Internetu. Teprve po chvíli vyptávání jsem zjistil, že ve skutečnosti má jen přístup na HTTP proxy a i s maily může pracovat jen přes webové rozhraní. A když tito uživatelé zatouží po něčem navíc, těžko se jim vysvětluje, že to jejich připojení není tak úplně připojení.
A z praxe vím naprosto spolehlivě, že ti, kdo považují end-to-end konektivitu za nežádoucí a zbytečnou, budou první, kdo za mnou přijdou s tím, že jim nefunguje ICQ/IRC/MSN/FTP/... Ve většině případů to jde více či méně sloužitě obejít, ale jsou to mnohdy dost krkolomné konstrukce, které platíme jako daň za to, že Internet už dnes nepropojuje jednotlivé počítače, ale menší či větší segmenty lokálních sítí.
Jinak dalším výrazným vlivem je HTTP 1.1 a virtual hosts.
To také (i když kvantitativně bych řekl, že je to výrazně menší faktor) a také to přínáší značné problémy. Kromě nekompatibility s původní verzí např. stačí od HTTP přejít k HTTPS a přestane to fungovat.
talk
implementováno v dnešních programech tohoto typu. A ještě více mne děsí představa, že by se měl vývoj i nadále ubírat tímto směrem.Proto je podle mne nutné jasně vysvětlovat, že to, co dnes mnoho firem (ať už je to kabelovka, ADSL nebo cokoli jiného) nabízí jako připojení k Internetu, jím ve skutečnosti není. Takže svým zjednodušeným (a nadsazeným) výrokem, že IPv4 adresy už ve skutečnosti došly, jen si toho nikdo nevšiml, jsem myslel to, že kdyby měli být skutečně připojeni všichni ti, kdo si myslí, že jsou, jsme už nějakou dobu v problému až po uši. A nebo ještě jinak: že NAT sice zabránil vyčerpání adresního prostoru IPv4, ale že je přinejmenším sporné, zda je to dobře.
Na druhou stranu, nevypada to, ze by v dohledne dobe bezne vznikaly IPv6-only site, takze to nebezpeci vam nehrozi nijak akutne ...
Kazdopadne, je to pouze na vasem rozhodnuti a nikdo vas urcite nenuti (tedy, mozna, krome vaseho sefa a/nebo uzivatelu) ...
Internet Info Lupa.cz (www.lupa.cz)
Server o českém Internetu. ISSN 1213-0702
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.