Hlavní navigace

Názor k článku Homenet: IPv6 v domácích sítích od Ondřej Bouda - Ach jo :( Pokud se chcete bavit o ideálu,...

Článek je starý, nové názory již nelze přidávat.

  • 5. 6. 2012 13:18

    Ondřej Bouda (neregistrovaný) ---.aitex.cz

    Ach jo :(
    Pokud se chcete bavit o ideálu, jak by to mělo být, tak ano: správná cesta je opravit všechny díry v SW. Ó jak se těším na tu dobu zaslíbenou, kdy všichni budou mít Wokna legálně, aby se nemuseli bát zapnout aktualizace. Kdy bude i veškerý ostatní SW trvale udržovaný (tzn. vývoj/podpora nebude ukončena), neustále testovaný na odolnost proti novým trikům a bezpečnou cestou automaticky aktualizovaný. Kdy bude vše dokonale odladěno a nebude se tudíž stávat, že by něco po nějaké aktualizaci přestalo fungovat.

    Ale jak už jsem psal: řešení, které nezapočítává lidský faktor, je *chybné* :(

    Takže zanechme iluzí a pojďme se bavit o tom, jak to *reálně* může fungovat. Reálně SW u BFU z mnoha příčin děravý bude a právě proto musí být "krabička" do domácnosti nastavena tak, aby děravý SW chránila. Přičemž výrobce nedokáže předem určit, čemu všemu je třeba bránit a automaticky aktualizovat nastavení krabiček je utopie. Takže zbývá cesta whitelistu: určit, co BFU může potřebovat (toho je poměrně málo a moc se to nemění - většina služeb pro BFU je stejně na http) a vše ostatní zakázat.

    Souhlasím s tím, že pokud má neznalý uživatel nastavovat NAT, má možnost to zkazit. Rozeberme si to: má možnost to zkazit tak, že mu přestane jít net. Má možnost to zkazit tak, že net mu dál pojede, ale nepodaří se mu zprovoznit to, o co se původně snažil. A konečně má možnost kromě toho, co zamýšlel, zveřejnit i něco jiného. Ten třetí případ mi přijde nejméně pravděpodobný - a v těch prvních dvou případech to vyřeší tím, že si sežene někoho, kdo mu to zprovozní (a v lepším případě i opraví ty chyby, co tam BFU napáchal).

    A teď si to pojďme srovnat se situací, kdy tentýž uživatel nastavuje FW. Předchozí tři možnosti zůstávají, ale přibývá k nim ještě možnost čtvrtá - FW úplně vypnout. A tahle možnost má největší pravděpodobnost: pokud ji uživatel nezvolí rovnou, uchýlí se k ní ve chvíli, kdy ho ty pokusy nastavit to správně omrzí nebo kdy to zmrví tak, že mu net přestane jít.

    Takže: Aby varianty NAT+FW a IPv6+FW byly stejně bezpečné, musí být výchozí nastavení FW hodně restriktivní a ty krabičky IPv6+FW nesmí nechat uživatele ten FW vypnout (nebo přidat pravidlo povolující vše apod.).
    A opakuju: hodnotím to na úrovni započítávající psychologii (lidský faktor), nikoliv pouze na úrovni technické.