Pořád dokola - SIP vám funguje, protože existuje nějaký server v internetu s veřejnou adresou, přes který se celá komunikace s venkovním světem realizuje.
---xxx---
Mail funguje tak, že na veřejné adrese je server, na kterém se maily dočasně ukládají. Kdyby nebyl NAT, dávno by mohl fungovat program, který pošle fotky kamarádovi peer to peer přímo. ICQ, Skpe, jabber to zdánlivě umí, ale reálně to jde přes proxy server s veřejnou adresou. Ono to jde i teď, pokud si na routeru uděláš DNAT.
---xxx---
Nechrání tě NAT, ale firewall, který prostě neotevře spojení přicházející zvenku dovnitř. Pokud si to explicitně povolíš přes DNAT, tak to samozřejmě funguje. Ale pokud máš v síti víc počítačů, musíš povolovat DNAT na různých portech a pamatovat si je, protože máš nat a jen jedno veřejné IP. Ale principielně te nechrání NAT, ale firewall, který říká "nic z vnějšího rozhraní nesmí na vnitřní rozhraní, kromě už založených spojení". Kdyby tam nebyl firewall, mohl by se soused na stejné WAN propojit až do vnitřní sítě (z větší dálky by to šlo taky pomocí source routingu, ale ten z providerů nikdo dnes už nepodporuje). Stejný firewall samozřejmě bude existovat i pro IPv6, ale už nebudeš dělat DNAT, jen to prostě povolíš. Nebudeš si muset pamatovat extra čísla portu, protože budou standardní. Dokonce si nebudeš muset pamatovat ani IP, protože IP bude v AAAA záznamu v DNS, který bude automaticky updatovat IPv6 DHCP server.
Na linuxu existuje program talk. Používal jsem ho na kolejích. Prostě jsem napsal talk michal@michal.sh.cvut.cz (adresa je smyšlená) a mohl jsem si psát s michalem interaktivně ve splitscreenu. Nebyla zde žádná centrála, přes kterou ta komunikace procházela, připojovalo se přímo. A proč to fungovalo? Protože zde nebyl NAT. A kdyby nebyl NAT, měli bychom VoiceTalk a nepotřebovali bychom Skype - půlka skypu jsou algoritmy, jak obejít NAT, využít síť ostatních klientů s veřejným IP a zároveň nezatěžovat síť centrály Skypu. Když jsem měl puštěný Skype na kolejích, procházelo přeze mě několik hovorů, protože na Strahově jsem měl veřejnou adresu. Bez natu by tohle nebylo potřeba.
A u ostatních programů je ta odpověď stejná - aplikace by byla potřeba, ale nebyla by potřeba centrály spravované firmou, která ten soft napsala. Ano firewall by byl (a bude), ale jsem si jist, že by vznikl (a vznikne) nástroj, jak ten firewall řídit bezpečně i bez větších znalostí.
Jenže v roce 2025 i tobě vyjde, že IPv6 je nutnost. Budeš někam stěhovat a provider ti řekne, že IPv6 adresu (třeba celý /64 prefix) ti dá zdarma a IPv4 adresa je za příplatek 20 euro měsíčně, ale IPv4 už dneska není potřeba, protože žádný content provider už bez IPv6 nepracuje. IPv6 nat ti nedá, protože to není potřeba a na svém domácím routeru budeš mít firewall. Ten tam ostatně máš i teď, pokud máš alespoň průměrný router, ani o tom nevíš. Nechrání tě NAT, ale ten firewall.
Jasanek : "Velice rád. Protože okénko otevřu cihlou a na start auta nepotřebujete klíč, ale stačí spojit dráty. Dodatečnou ochranu jste si nepořídil."
Že jsou lidi naivní a jednoduchou ochranu typu zavřených dveří umí kde kdo obejít, výrobci aut použili klíče ne jen na zabezpečení vstupu dovnitř (což vhodně vržená cihla umí vyřešit), ale také dodatečnou ochranu dali každému na zapalování. Nutno podotknout, že zákazník si nemusel klíčky od zapalování nechat dodatečně instalovat. Ze stejného důvodu se k routeru s NATem přibaluje i firewall, aby chránil i ty, kteří netuší, že by se firewallem chránit měli.
Neboli proč je zámek přímo ve dveřích, a není napřed mříž se zámkem a za ní dřevěné dveře proti zimě a průvanu jenom s klikou? Prostě dohromady je to jednodušší a levnější, i když dveře bez zámku existují a visací zámek zase postrádá kliku.
„Myslíte že provozovat web server v nějaké domácí nebo malé podnikové síti na ADSL či podobné konektivitě je dobrý nápad ?“
Myslíte, že na tuhle otázku lze odpovědět bez konkrétních informací? Já myslím že ne. Tudíž myslím, že v mnohých případech to dobrý nápad je.
A pokud má firma zmršené připojení (pomalý upload), čekají ji mnohem horší problémy než jenom tohle. Ono je někdy lepší si pořídit konektivitu odpovídající potřebám než pak platit řidiče, který jezdí s flashkou mezi firmami kvůli pomalému uploadu.
> ...podařilo vyřešit ale za cenu ...
-složitost : co je složitého na "nastavení" SKYPE nebo HAMACHI
-optimálnost provozu ... to je otázka úhlu pohledu ovšem uživatele to moc nebude zajímat
-omezení pro aplikace ...no v každém prostředí existuje určité omezení a nemyslím že IPV6 (obzvláště v dnešní stavu implementace) je na tom lépe...spíše naopak
>To, že spojení z vnitřní sítě ven je bezpečnější je naivní představa.
Naivní představa to není. Když nic jiného tak mi tam chybí možnost DDOS útoku.
>Jak chcete provozovat web server, který aktivně inicializuje spojení z vnitřní sítě??
Myslíte že provozovat web server v nějaké domácí nebo malé podnikové síti na ADSL či podobné konektivitě je dobrý nápad ?
>Proč pořád omíláte tu svojí demagogii: v síti je IPv6 = vše z místní sítě je vystavené do Internetu?
Ale já přece tvrdím pravý opak. Já tvrdím že ten teplý vlhký IPV6Jasánkův sen o okamžité dostupnosti jakéhokoliv domácího zařízení odkudkoliv bez jakékoliv konfigurace je nesmysl , protože i kdyby existovalo IPVXYZ, tak oddělení vnitřní sítě od internetu (firewallem) bude vždy žádoucí a nezávislé na tom zda půjde o NAT/PAT/FW na IPV4 nebo FW na IPV6. Přičemž z pohledu BFU je celkem jedno jestli bude nastavovat NAT/PAT/FW nebo FW a spíše bude důležité jaké informace bude mít a jak sofistikované bude klikací prostředí dané SOHO "krabičky".
Ach jo. Už to tu sice zaznělo několikrát ale pro vás ještě jednou.
Ano téměř všechny problémy okolo NATu se podařilo vyřešit ale za cenu 1) složitějšího nastavování, 2) neoptimálního provozu, 3) omezení pro aplikace.
To, že spojení z vnitřní sítě ven je bezpečnější je naivní představa. Pokud na takové představě trváte tak vám to vyřeší jedno pravidlo ve firewallu.
V běžném provozu potřebuji spojení z venčí dovnitř. Sám ve svém příkladu takové služby uvádíte (mail, sip, http). Jak chcete provozovat web server, který aktivně inicializuje spojení z vnitřní sítě??
Proč pořád omíláte tu svojí demagogii: v síti je IPv6 = vše z místní sítě je vystavené do Internetu?
Už pár let jsou nejčastější dotazy na linuxových diskusích týkajících se sítí různé variace na "mám někde na routeru veřejnou IP adresu a potřebuji se skrze ní dostat na server ve vnitřní síti". Často vylepšené o kaskády routerů nebo více bran do internetu. Kdyby NAT nebyl, nebyly by ani podobné dotazy a dotyčnému by to fungovalo hned tak, jak se to pokusil udělat intuitivně napoprvé.
Myslím že většina těch přiblblejch minikrabiček používá connection tracking a cokoliv co příjde z venku a není otevřeno zevnitř zahodí - je to omezené na interface.
Kdysi se tam používal i tento filtr lokálních adres na vnějším rozhraní.
Tak si to alespoň pamatuju když jsem se v těch modifikovanejch linuxech hrabal.
>Protokoly, které si svévolně otevírají díry do zabezpečení můžou být jen těžko potenciálně bezpečnější, než protokoly, které si cestu otevírají standardizovaným způsobem.
Tady jsem nepochopil co máte na mysli. Jak si třeba Skype "otevírá díru do standardního zabezpečení" bavíme-li se o SOHO routeru.
>Prasárny jako VPN na portu 443
Podle čeho soudíte že jde o prasárny ?
> To, že BFU nainstaluje a komunikuje a zabezpečení, jsou dvě různé (a protichůdné) věci.
V tom s Vámi souhlasím, ale zmínil jsem to proto, že "deset z deseti IPV6-Jasánků" tvrdí, že BFU ( který podle nich pětkrát denně potřebuje něco nastavovat na domácím NAT/PAT/FW) bude díky IPV6 od tohoto nastavování osvobozen protože zmízí zlý a ošklivý NAT.
„Co se týče NATu. Sám píšete, že se dnes téměř všechny problémy okolo NATu podařilo vyřešit.“
Téměř a ještě k tomu značně neoptimálně.
„Navíc obvykle právě takovým způsobem, že je vždy nutné aktivně iniciovat spojení z vnitřní sítě, což považuji za potencionálně bezpečnější.“
Bezpečnější to ve srovnání s firewallem není. Každá obezlička by se měla srovnávat se standardním řešením problému, ne s jeho neřešením.
Lupa.cz Homenet: IPv6 v domácích sítích Názory Názor Odpověď
Odpověď na názor
Odpovídáte na názor k článku Homenet: IPv6 v domácích sítích.
admin . aura:21
admin .
10. 6. 2012 15:37
Re: na IPv6 se těším
celé vlákno
Děkuji za seriozní názor. Nebudu tady polemizovat o bodech 1-4. Já netvrdím, že by to nešlo, a dokonce si troufám říci, že by mi to z pohledu mých znalostí a schopností (zkušeností tedy ne to je asi jasné) ani nečinilo obzvláštní potíže rozchodit a správcovat. Nicméně těmhle malinkým firmičkám, připojeným většinou přes ADSL by to krom nutnosti vyměnit router nepřineslo nic pozitivního, naopak by jim hrozily potencionální problémy díky komplikovanosti současného stavu implementace IPV6.
Co se týče NATu. Sám píšete, že se dnes téměř všechny problémy okolo NATu podařilo vyřešit. Navíc obvykle právě takovým způsobem, že je vždy nutné aktivně iniciovat spojení z vnitřní sítě, což považuji za potencionálně bezpečnější. Mám-li otevřenou službu směrem ven, může do ní "bušit" a využít potencionální SW chybu kdokoliv. Nutí-li mne nat aktivně vybudovat spojení, mám (do jisté rozumné míry) pod kontrolou alespoň s kým komunikuji. Z tohoto důvodu považuji NAT za bezpečnostní prvek v přeneseném slova smyslu.
„Osobně jsem přesvědčen o tom, že pokud se IPV6 rozšíří a bude se používat opravdu hromadně, tak se vyvinou podobné protokoly jako Skype, Hamachi právě proto že jsou v prvé řadě potenconálně bezpečnější“
Protokoly, které si svévolně otevírají díry do zabezpečení můžou být jen těžko potenciálně bezpečnější, než protokoly, které si cestu otevírají standardizovaným způsobem.
Prasárny jako VPN na portu 443, DNS tunely a podobné se samozřejmě používat budou, ale neměly by se stát standardem produktů pro firmy.
„a proto, že BFU "nainstaluje a komunikuje" bez jakéhokoliv nastavování. Myslím si totiž, že nikdy nebude žádoucí vystavovat vše z místní sítě do internetu.“
To, že BFU nainstaluje a komunikuje a zabezpečení, jsou dvě různé (a protichůdné) věci.
Děkuji za seriozní názor. Nebudu tady polemizovat o bodech 1-4. Já netvrdím, že by to nešlo, a dokonce si troufám říci, že by mi to z pohledu mých znalostí a schopností (zkušeností tedy ne to je asi jasné) ani nečinilo obzvláštní potíže rozchodit a správcovat. Nicméně těmhle malinkým firmičkám, připojeným většinou přes ADSL by to krom nutnosti vyměnit router nepřineslo nic pozitivního, naopak by jim hrozily potencionální problémy díky komplikovanosti současného stavu implementace IPV6.
Co se týče NATu. Sám píšete, že se dnes téměř všechny problémy okolo NATu podařilo vyřešit. Navíc obvykle právě takovým způsobem, že je vždy nutné aktivně iniciovat spojení z vnitřní sítě, což považuji za potencionálně bezpečnější. Mám-li otevřenou službu směrem ven, může do ní "bušit" a využít potencionální SW chybu kdokoliv. Nutí-li mne nat aktivně vybudovat spojení, mám (do jisté rozumné míry) pod kontrolou alespoň s kým komunikuji. Z tohoto důvodu považuji NAT za bezpečnostní prvek v přeneseném slova smyslu.
Osobně jsem přesvědčen o tom, že pokud se IPV6 rozšíří a bude se používat opravdu hromadně, tak se vyvinou podobné protokoly jako Skype, Hamachi právě proto že jsou v prvé řadě potenconálně bezpečnější a proto, že BFU "nainstaluje a komunikuje" bez jakéhokoliv nastavování. Myslím si totiž, že nikdy nebude žádoucí vystavovat vše z místní sítě do internetu.
Obdivuju snahu prokousat se tou hromadou balastu.
„Výše uvedené samozřejmě předpokládá, že IPv6 je odladěné a použitelné.“
Tady by pak bylo ještě potřeba toto vyjádření kvalifikovat. Protože standardy jsou do jisté míry použitelné, tedy až na botu v RFC 6106 a možná dalších, ale ty jsou dány právě tím, že ještě příliš nedospěly do praxe.
Takže hlavní připravenost či nepřipravenost je na straně dodavatelů jednotlivých komponent, které firma používá. Z koncových systémů mám dojem, že Windows už jsou delší dobu na dobré úrovni (ale nepodporují 6106), moderní linuxové distribuce doufám doladíme během krátké doby tak, že budou opět na špici, apple nevím, ale prý ok :).
Zbytek je infrastruktura.
Nepřipravenost a neodladěnost IPv6 je výmluva, nepřipravení jsou vždy lidé a případně jejich výrobky, jejich sítě, atd. Nedostatky v samotných internetových standardech (IPv4, IPv6 i neutrálních vůči verzi IP) se stejně dají řešit jen při nasazení v praxi.
Prvně musím říct, že jsem se u téhle diskuze docela bavil, když už jsem si našel čas to číst. Prostě když je někdo přesvědčený o své pravdě tak argumenty nevidí.
Teď už ale k vašemu malému úkolu. Je to síť poměrně jednoduchá ale nějaké vylepšení by se tam našlo. Jelikož jste to neřekl, tak předpoládám, že uvedená firma má k dispozici jednu veřejnou IPv4 adresu.
1) Mapování portů pro RDP je vyložené ošklivé. Kolik tam máte počítačů? Není pro uživatele lepší do RDP klienta psát pepa-pc.firma.net než router.firma.net:23454. Kdo si má ty čísla pamatovat, že? A není vyrazně jednoduší jednorázově povolit přístup na 3309 dovnitř než pro každý počítač dělat mapování a ještě pravidlo do FW?
2) Přes HTTPs se přistupuje jen na OWA. Ale co když budou chtít rozjet další aplikaci přístupnou přes https? Budete https provozovat na jiném portu? A co když v cizích sítích, odkud budete chtít přistupovat, bude povolena jen ta 443? Nebo nainstalujete http proxy a budete provoz rozhazovat podle URL? A nebylo by jednoduší mít pro tu druhou aplikaci další veřejnou IP adresu? Aha, vi jí na IPv4 nemáte...
3) Co se týče IP telefonie, tak opět neznám detaily. Budu tedy předpokládat, že vaše HW VoIP ustředna je napojena na ustřednu nějakého operátora přes SIP-trunk. Spojení SIP ustředen přes NAT sice funguje ale za cenu toho, že se musí udržovat aktivní spojení. Případně mírně ten NAT poladit. Vlastní veřejná IP pro ustřednu se spravně nastaveným firewallem by bylo o krapet lepší řešení a rozhodně na konfiguraci pohodlnější řešení.
4) Oddělená WiFi síť pro hosty se dá udělat stejně dobře na IPv4 jako na IPv6. Pokud ji dělám na IPv4 tak z bezpečnostního hlediska preferuji když se natuje na jiné IP než lokální síť. To ale vyžaduje další IPv4 adresu.
Výše uvedené samozřejmě předpokládá, že IPv6 je odladěné a použitelné. Což se bohužel zatím řící nedá. A její nasazení v současné době je značně komplikované.
Nadruhou stranu jsem rád za odstranění NATu, který znamenal mnoho problémů. Ano, dnes jsme se naučili téměř všechny tyto problémy obcházet. Leckdy za cenu zbytečného zesložitění aplikace nebo problémů při jejím zprovoznění. Ale proč si zbytečně přidělávat problémy?
A co se údajného bezpečnostního přínosu NATu týče, tak jedno pravidlo FW zakazující komunikaci zvenčí dovnitř udělá stejnou (ba lepší) službu. Navíc s menším zatížením routeru a s jednoduším nastavením v případě , že chceme rozjet nějakou méně běžnou siťovou aplikaci.
Asi bych se nenazval IPv6-jasánkem ale rozhodně jsem antiNAT-jasánek. ;-)
Všimněte si kolikrát jste použil slovo "bude" v souvislosti s imaginárními zařízeními pro IPV6....
Nicméně představa IPV6-Jasánků, že s příchodem IPV6 přeštanou být vnitřní sítě oddělené od internetu je směšná.
No a nejlegračnější je, že ve druhé části příspěvku víceméně přiznáváte, že dnes díky možnostem domácích "krabiček" lze také nakonfigurovat kdeco. Takže ten NAT vlastně nepřekáží.
Na příkladu mnoha služeb je zřejmé, že zabezpečení je technicky možné a snadné na implementaci (implementují se daleko složitější věci, třeba ta zařízení mají AJAXovou administraci – proti tomu je implementace zabezpečení přístupu brnkačka). Když to zařízení bude umět IPv6, bude se nejspíš chlubit tím, že se k němu dostanete odkudkoli z internetu. A vzápětí se bude muset pochlubit i tím, jak je přístup zabezpečený.
Ostatně, dnes máte v kdejakém NAS nebo routeru pro SOHO možnost zapnout sdílení přes internet, konfigurovat VPN apod. Takže se ještě víc zpřístupňují i zařízení, která jsou podle vás „chráněná“ NATem. Akorát je ten NAT pro právoplatné uživatele zbytečná komplikace a vytváří falešný pocit bezpečí.
Šmarjá, to je logika :(
Bezpečnost je implicitní požadavek na jakýkoli SW. To znamená nejen zpřístupnění, ale i rozumnou formu omezení. Jeden příklad za všechny: Pokud se kdokoliv bude moci podívat na Vaše bankovní konto, pak přece bude bankovní aplikace dělat to, co od ní chcete: zpřístupňovat Vám informace o stavu/historii Vašeho účtu - ne?
Čili NAT musí nejen spojovat, ale především spojovat *relevantně*. A k tomu patří i určitá míra filtrování. Jinými slovy: je-li filtrování příliš přísné nebo naopak málo přísné, lze to nazvat chybou v implementaci. Uf :(
„V tom případě nejde o zranitelnost technologie, ale o chyby v konkrétních implementacích.“
Chybu v implementaci je potřeba nejprve popsat a alespoň rozumně dokázat. U obecného překladu adres je to prakticky nemožné, protože chybou by byl především nefunkční překlad.
Vzhledem k tomu, že překlad neslouží k zablokování provozu, ale naopak k zajištění provozu, který je jinak implicitně znemožněn, to budeš mít opravdu těžké.
>"....ale vy se na nej nepripojite, neb je nastaveno jen pro vybrane adresy..."
mno myslím že říct to tady já jako obranu IPV4 tak zde okamžitě přistane návod jak mi to FTP pomocí ip spoofingu lze vykrást (a ani by to nemuselo být ze stejného veřejného segmentu sítě)
Ochrana pomocí přístupu z vyhrazených IP adres je zhruba stejně účinná jako holý NAT.
Pokud tedy cílem akce je mít doma anonymní FTP přístupné z vnitřní sítě, pak je ochrana NATem mnohem účinnější než Vaše ochrana vybranými IP adresami.
Prostě se smiřte s tím, že oddělení vnitřní sítě od internetu bylo, je a bude vždy žádoucí. A nic na tom nezmění ani IPV6xyz.
Ze vas to bavi ...
Osobne pristupuju k domaci siti jako k otevrenymu netu a kazdou privatni sitovou sluzbu resim FW jednotlivych stroju. Napriklad mi aktualne (na verejne adrese) bezi anonymni ftp, ale vy se na nej nepripojite, neb je nastaveno jen pro vybrane adresy.
Navic widle i kdyz derave, tak od XP vejs jdou celkem snadno zabezbecit bez instalace dalsiho mallware v podobe antiviru ci externiho firewallu. Staci na tom integrovanem zavrit vsechny porty. Jen me osobne proste vadi to, ze ty sluzby vubec (by default) bezi, protoze kdyby nebezely, netreba konfigurovat ten FW, nehlede na to, ze v principu muze dojit k prvnimu utoku jeste driv, nez to nastavit stihnu.
Máte naprostou pravdu. Hádat se s dementními IPV6-Jasánky nemá pražádný smysl. Oni jsou totiž do toho svého IPV6-grálu, zahleděni a strašlivě je rozčiluje, že se v praxi se nikdo normální do implementace IPV6 nehrne a tak jsou ochotni si vymýšlet milión zhůvěřilostí,jenom aby tu "potřebu" přechodu na IPV6 nějak zdůraznili, či vyvolali.
Nejlegračnější na tom je, že si kolikrát naprosto odporují a všimněte si, že jediné na čem se "točí" je právě to, že v každé takové diskuzi se propírá NAT podel následujícího scénáře:
1) Jasánci vyhlásí NAT za zlo které každého od rána do večera omezuje.
2) Obvykle se ozve někdo a (samozřejmě částečně chybně) prohlásí NAT za bezpečnostní prvek.
3) Následuje dehonestace všech odpůrců IPV6 páč to jsou lamy, které nevědí že NAT není firewall s výhružkou, že přes holý NAT projdou kdykoliv kamkoliv s prstem v nose.
4) Na námitku, že NAT bez FW se ve skutečnosti málokde najde přejdou k bodu 3
Nejvíc mne dostala diskuze s jedním podobným dementem, který mi na můj post, že NAT mi pro připojování vzdálených pracovníků do firemní sítě vůbec nevadí protože je připojím přes VPN odvětil, že jemu to nikdy nefungovalo protože firemní sítě, odkud se mimo jiné je potřeba také připojit, obvykle blokují odchozí provoz na nestandardní porty. Když jsem mu opáčil že od toho jsou tu SSL VPNky fungující přes port 443 mi začal tvrdit, že většinou je blokován i port 443. Ale už mi vůbec nedokázal vysvětlit, proč by správce sítě, který blokuje odchozí komunikaci i na portu 443 zrovínka po přechodu na IPV6 měl firewall otevřít pro sdílení souborů nebo pro RDP, když předtím blokoval i SSL.
Skutečně to nemá smysl......je to stejné jako se hádat z fanatiky o globálním oteplování.....prostě tomu věřej a to je jejich "pravda"
Jistě. Uživatel očekává, že mu někdo cizí vymaže všehny filmy v jeho DVB-T nahrávači a začne ten nahrávač používat jako server pro své vlastní účely. Uživatel očekává, že mu někdo zvenku přenastaví jeho WiFi AP na otevřené, takže "kolemjdoucí" mu pak ucpou linku. A samozřejmě taky očekává, že přes tu otevřenou WiFi se pak též všichni dostanou jak do jeho DVB-T, tak např. k nasdíleným souborům.
Ne, přijde mi, že tahle debata nemá smysl. Zjevně máme naprosto opačné priority - já chci BFU chránit jak před jeho, tak před cizí chybou; Vy chcete, aby se BFU dostal zvenku ke všem svým zařízením "ať to stojí co to stojí". Rozumná cesta bude samozřejmě v nějakém kompromisu, ale k tomu se -zdá se- nedokážeme dostat...
U všech těch dalších zařízení, která jste jmenoval, je správně, že budou dostupná z jiných sítí. Uživatel to očekává. Uživatele se chce k svým filmům v DVB-T nahrávači dostat, ať už má zrovna notebook do domácí sítě připojený kabelem a nebo přes WiFi – jeho nezajímá, že je to pokaždé jiná síť. Stejně tak si ledničku s možností podívat se kdykoli přes mobil dovnitř nebude kupovat proto, aby se pak dovnitř díval z pevného počítače doma v kuchyni… Ano, dostupnost těchhle zařízení z celého internetu na ně bude klást trochu vyšší nároky, jenže jejich dostupnost odkudkoli bude velká konkurenční výhoda.
Netuším, jestli je možné, aby Windows v základním nastavení nespouštěly žádné síťové služby - ony se ty počítače v BFU síti přeci jen nějak domluvit potřebují. Ale dobře, řekněme že tyhle porty budou to jediné, co bude FW ve výchozím nastavení blokovat.
Jenže pak jsou tu různé aplikace ala webserver typu WebCamXP, které si BFU může zprovoznit např. jen proto, aby se mu povedlo správně naštelovat anténu (jako já - nějak jsem nezvládal koukat v kuchyni na TV a současně na půdě otáčet anténou). Opravdu má být každá taková aplikace automaticky přístupná zvenku?
No a pak tu máme síťové tiskárny a disky, wifi AP/routery atd., časem třeba dojde i ty ledničky a žehličky. Čili zařízení, u kterých BFU neví, že je potřeba nastavit/změnit nějaké heslo pro správu (a když už to ví, tak dá heslo typu "petr") a u kterých se často ani nepředpokládá, že by byla "naostro" dostupná z internetu. A i kdyby se to u nich předpokládalo, tak i firmware jenom SW, ve kterém jsou občas díry - a nelze očekávat, že by si BFU hlídal bezpečnostní aktualizace ke každému zařízení, které do sítě připojí (nebuďme naivní, on to nebude dělat ani u toho firewallu).
Takže: Opravdu trváte na tom, že vnitřní síť má být otevřená? Já s tímhle předpokladem prostě souhlasit nebudu.
Těch služeb, které uživatel může potřebovat, je spousta. Akorát dnes kvůli NATům nepoužívají nejpřirozenější přímé spojení, ale místo toho se používají různé obezličky se zprostředkujícími servery.
Před čím podle vás FW chrání uživatele? Když vynecháme notoricky známé hloupé protokoly z rodiny sídlení disků Windows. Stává se, že je v aplikaci (třeba MS Wordu) omylem naprogramovaný síťový server? Pochybuju. Stává se, že by si uživatel omylem nainstaloval síťový server? Taky těžko. Takže zbývají síťové servery, které má uživatel nainstalované a spuštěné záměrně – třeba kvůli IM, sdílení fotek přátelům, telefonii, apod. Jenže když je má nainstalované záměrně, bude je mít povolené i na firewallu. Takže před čím bude firewall uživatele chránit?
Firewall, který nespravuje někdo, kdo jeho správě rozumí, je prakticky k ničemu. Nejlepší firewall pro SOHO tedy bude takový, který nikdo nikdy nebude muset konfigurovat. Takže žádný hodně restriktivní, naopak co nejméně omezující. Pokud nebudou Windows v základním nastavení spouštět žádné síťové služby, tak můžeme SOHO firewally rovnou škrtnout.
Tak s tou soudností vývojářů jste mě pobavil :)
Na silnicích taky spoléháte na soudnost ostatních řidičů, nebo radši počítáte s tím, že kdykoli kolem Vás může něco prosvištět sebevražednou rychlostí (a vzít Vás do věčných lovišť s sebou)? A to na té silnici mají lidé mnohem větší motivaci chovat se soudně, protože jim přeci jenom jde o krk.
Ach jo :(
Pokud se chcete bavit o ideálu, jak by to mělo být, tak ano: správná cesta je opravit všechny díry v SW. Ó jak se těším na tu dobu zaslíbenou, kdy všichni budou mít Wokna legálně, aby se nemuseli bát zapnout aktualizace. Kdy bude i veškerý ostatní SW trvale udržovaný (tzn. vývoj/podpora nebude ukončena), neustále testovaný na odolnost proti novým trikům a bezpečnou cestou automaticky aktualizovaný. Kdy bude vše dokonale odladěno a nebude se tudíž stávat, že by něco po nějaké aktualizaci přestalo fungovat.
Ale jak už jsem psal: řešení, které nezapočítává lidský faktor, je *chybné* :(
Takže zanechme iluzí a pojďme se bavit o tom, jak to *reálně* může fungovat. Reálně SW u BFU z mnoha příčin děravý bude a právě proto musí být "krabička" do domácnosti nastavena tak, aby děravý SW chránila. Přičemž výrobce nedokáže předem určit, čemu všemu je třeba bránit a automaticky aktualizovat nastavení krabiček je utopie. Takže zbývá cesta whitelistu: určit, co BFU může potřebovat (toho je poměrně málo a moc se to nemění - většina služeb pro BFU je stejně na http) a vše ostatní zakázat.
Souhlasím s tím, že pokud má neznalý uživatel nastavovat NAT, má možnost to zkazit. Rozeberme si to: má možnost to zkazit tak, že mu přestane jít net. Má možnost to zkazit tak, že net mu dál pojede, ale nepodaří se mu zprovoznit to, o co se původně snažil. A konečně má možnost kromě toho, co zamýšlel, zveřejnit i něco jiného. Ten třetí případ mi přijde nejméně pravděpodobný - a v těch prvních dvou případech to vyřeší tím, že si sežene někoho, kdo mu to zprovozní (a v lepším případě i opraví ty chyby, co tam BFU napáchal).
A teď si to pojďme srovnat se situací, kdy tentýž uživatel nastavuje FW. Předchozí tři možnosti zůstávají, ale přibývá k nim ještě možnost čtvrtá - FW úplně vypnout. A tahle možnost má největší pravděpodobnost: pokud ji uživatel nezvolí rovnou, uchýlí se k ní ve chvíli, kdy ho ty pokusy nastavit to správně omrzí nebo kdy to zmrví tak, že mu net přestane jít.
Takže: Aby varianty NAT+FW a IPv6+FW byly stejně bezpečné, musí být výchozí nastavení FW hodně restriktivní a ty krabičky IPv6+FW nesmí nechat uživatele ten FW vypnout (nebo přidat pravidlo povolující vše apod.).
A opakuju: hodnotím to na úrovni započítávající psychologii (lidský faktor), nikoliv pouze na úrovni technické.
End-to-end komunikace samozřejmě může fungovat bez nastavování. Ochrana uživatele nespočívá v tom, že úplně zbytečně zablokuju veškerou komunikaci, ale v tom, že zablokuju komunikaci špatně navrženými protokoly a na špatně navržené programy. Jejich seznam je všeobecně známý a vývojáři už snad budou natolik soudní, že se nebudou masově šířit nové špatně navržené protokoly a aplikace.
>"Diskuse začínala tím, že NAT přináší určitou bezpečnost, ..... že v realitě se dnes pro IPv4 zpravidla vyskytuje kombinace NAT+FW, ......dostáváme se konečně k tomu, že odstraněním NATu se bezpečnost nijak nesníží."
Mno diskuze myslím začínala především tím, že "jakmile odstraníme díky IPV6 zlý a ošklivý NAT který žere matky i s kočárkem, budou mít BFU naprosto pohodový život, protože jim bude bez nějakého otravného nastavování hned fungovat end_to_end komunikace"
Takže buď bude end-to-end komunikace fungovat bez nastavování a pak nebudou BFU chráněni, nebo budou chráněni firewallem a budou stejně něco muset nastavovat.
Takže jako obvykle přechod na IPV6 nebude v zásadě přinášet nic převratného.
Diskuse začínala tím, že NAT přináší určitou bezpečnost, tudíž domácí síť s veřejnými IPv6 adresami bez NATu bude nezabezpečená. Když to spojím s vaším tvrzením, že v realitě se dnes pro IPv4 zpravidla vyskytuje kombinace NAT+FW, kde NAT nemá bezpečnostní funkci, dostáváme se konečně k tomu, že odstraněním NATu se bezpečnost nijak nesníží.
Rozumně nastavený FW nemá blokovat nic, o čem neví, k čemu to je. Klasické SOHO firewally mají jedinou bezpečnostní funkci – očekávat, že za nimi je děravý nebo špatně nakonfigurovaný software, u kterého není jiná možnost, než komunikaci zastavit dřív, než se k tomu software dostane. Správné řešení je tedy opravit ten software. Jinými slovy – až Windows v základním nastavení nebudou děravé, SOHO firewally vůbec nebudou potřeba. Než toho MS docílí, stačí, aby firewally blokovaly ty notoricky známé notoricky děravé služby. Nic víc od nich není potřeba. Pak samozřejmě nikdo nebude mít důvod takový firewall vypínat a příchozí komunikace bude fungovat, tak jak má, tedy bez nějakého nastavování.
Pokud musí neznalý uživatel přenastavovat NAT, má samozřejmě spoustu možností, jak to zkazit. Velice snadno může bezpečnost snížit – na firewallu může mít zakázaný přístup z venku k domácímu NAS, ale přes NAT ho omylem otevře světu.
Dobře, to je další faktor. V mé analogii to znamená, že do té ulice běžně a bez povšimnutí proplouvají zloději po střechách. V takovém případě ovšem nestačí mít na dveřích dobrý zámek, ale je nutno dát i mříže na okna, protože jinak ke mě zloděj přeleze od souseda oknem :)
To už se ale dostáváme dost jinam: od teoretické otázky, zda NAT má/nemá vlastnosti bezpečnostního prvku, k praktické otázce po bezpečnosti celého řešení vnitřní sítě. Např.: Pokud mám zapnuté aktualizace, tak se ze mě zombie nejspíš nestane => je ve hvězdách, zda/jaký efekt by pokus o rozšiřování botnetu skrze nedostatečnost NATu v praxi měl. Nehledě na to, že jakmile začneme brouzdat do reality, tak realita je, že NAT bez FW bude hodně vzácný.
>> rozumně nastavený firewall od výrobce není potřeba vypínat
Rozumně nastavený FW od výrobce by měl blokovat veškerou "neočekávanou" příchozí komunikaci - stejně, jako to ve většině případů dělá (z principu) NAT. A teď jsou dvě možnosti:
A) BFU příchozí komunikaci nepotřebuje (a pak je jedno zda jen FW nebo NAT+FW),
B) BFU příchozí komunikaci potřebuje => musí něco přenastavit.
A můj postřeh je, že dokud musí BFU přenastavovat NAT, nemá jinou možnost, než to nastavit správně => bezpečnostní prvek zůstane zachován (a to nejspíš včetně FW, když už jsme u té reality). Jakmile ale bude ke zprovoznění toho, co potřebuje, stačit vypnout FW (protože žádný NAT nebude potřeba), půjde nemalá část BFU cestou nejmenšího odporu. Tím jsem si jist, protože nebezpečných rad už jsem v nejrůznějších diskusích viděl mraky - a to, bohužel, včetně programátorských diskusí (kde bych očekával alespoň základní povědomí o bezpečnosti!). Přičemž tragédie těch diskusí nespočívá v tom, že někdo nebezpečnou radu dá, ale v tom, že za ni mnoho čtenářů děkuje slovy "works like a charm! and now also works XY!".
Přiznávám, že to je argument víc psychologický než technický. Jsem ale toho názoru, že selhá-li technické řešení na psychologickém faktoru, je to řešení technicky chybné. Protože technologie mají být vyvíjeny pro lidi... :)
Nikoli, špatná je vaše analogie. Počítače sousedů na stejném segmentu rozhodně nejsou hlídané policajty. Naopak je dost pravděpodobné, že se mezi těmi sousedy vyskytují počítače, které si spravují samodomo administrátoři, pro které používat účet s nižšími právy nebo heslo je zbytečné zdržování, kteří musí vyzkoušet každý program, na který na internetu narazí – a dané počítače sousedů jsou pak pěkné ZOO.
Ano, jeden počítač v segmentu pak musí být napaden jinou cestou, než skrze NAT bez FW. Ale pak už se můžete v rámci segmentu snadno dostat z jednoho počítače na druhý. Takto budovaný botnet nebude malý – když z každého počítače napadeného virem ovládnete 5 dalších počítačů ve stejném segmentu, získáte šestkrát větší botnet, než jenom při napadení virem.
Opravdu věříte všem sousedům na stejném segmentu sítě, že mají dobře zabezpečené počítače?
Navíc prostřelení NATu ze stejného segmentu sítě je jen ta nejjednodušší možnost, ale zdaleka není jediná.
Jinak rozumně nastavený firewall od výrobce není potřeba vypínat, protože blokuje jen služby, o kterých se ví, že nejsou určeny ke zveřejnění (např. sdílení souborů v lokální síti Windows). Blokovat veškerou komunikaci a explicitně některé služby povolovat je pro bezúdržbový firewall nesmyslné nastavení.
Ten příklad máte špatně; správná analogie by byla: Ve dne v noci stojí na koncích ulice policajti a do ulice pustí jen toho, kdo tam bydlí (předpoklad stejného segmentu sítě). A já si dám do bytu jen jednoduchý zámek a ani nebudu zamykat (NAT bez FW). Pak ano, spoléhám na to, že sousedi u mě krást nebudou a nikdo jiný se do ulice nedostane. A přijde mi to vcelku realistické (ano, bude se to stávat - ale ta šance, že mě soused vykrade, je dost podobná šanci na výhru ve Sportce). Řekl bych, že rozhodně nebude větší než šance, že když nechám na ulici nastartované auto a jdu zavřít vrata do dvora, tak po návratu už tam to auto nebude (a světe div, zrovna tohle dělám docela často - kolikrát se ještě i pro něco vracím do baráku :)
Ad budování botnetu: takový botnet by byl dost malý, neb by se nedokázal šířit mimo daný segment. Navíc je tu pro pachatele mnohem vyšší riziko postihu, než když bude budovat botnet ze zahraničních kompů.
Mně z toho pořád plyne, že NAT sám o sobě bezpečnostním prvkem je: sice není neprůstřelný, ale šanci na útok snižuje o několik řádů. Co se týče SOHO krabiček, může to být významný bezpečnostní prvek v tom smyslu, že BFU klidně vypne FW, aby mu začalo něco fungovat (neb to bude jednodušší a univerzálnější, než konfigurovat potřebná pravidla - a rada "vypni FW" bude jedna z prvních, kterou dogooglí), ale NAT na IPv4 rozhodně vypínat nebude (neb by mu "přestal" jít net).
Jistě, ideální by byla osvěta - ale realita, bohužel, se vždycky bude od ideálního stavu lišit. Ono kdyby bylo možné se ideálnímu stavu přiblížit, tak žádnou ochranu před útoky řešit nemusíme :)
Super, tak alespoň něco pozitivního z této diskuse je :-)
Jinak musím přiznat, že jsem s tím zařazením do conntrack tabulky taky nepočítal. Ale z hlediska ustavení spojení je to logické. Navíc NAT krabička nemůže modifikovat porty ani IP adresy žádnému než prvnímu paketu spojení (jinak by to nefungovalo).
Ale i v případě, že by se ty IP adresy a porty změnily, tak jsem chtěl využít jednoduchého hacku právě s mangle table. Nastavil bych jednoduché logovací pravidlo na pakety přicházející od NAT krabičky, logovací hlášku při příchodu odpovědi bych zpracoval tak, aby se do mangle table to pravidlo přidalo. Při následné retransmisi by už bylo na místě a tím pádem by to prošlo. Ale určitě existují i mnohem elegantnější řešení, jako třeba modul do netfiltru, který by modifikoval hned první příchozí paket. :-) (ale toto už je na mne příliš vyšší dívčí)
To je fakt hodne vtipne. Netfliter si skutecne ulozi do connrack tabulky i vnejsi komunikaci a nat to pak pri prekladu (resp. neprekladu) zohledni a tim padem data patrici prislusne relaci uz nenatuje. Sice to neni to jak jsme se o tom puvodne bavili, ale funguje to (odhaduju, ze vas tohle chovani taky tak trosku prekvapilo :-)) ). Zajimalo by me jestli se takto chovaji i dalsi implementace NATu.
Ale beru - to co bylo v zadani bylo nepopiratelne splneno, takze castka dle pokynu pripsana na FOD, viz.
https://docs.google.com/file/d/0B5GtWtSvjxxTYkhseFpkMHB3WUU/edit
Jeste bych si dovolil mensi polemiku k tomu zaveru s tim mangle v iptables. Zprehazi se vam tam i cisla portu, takze byste musel dostatecne rychle takove pravidlo vvytvorit. Stejne tak se do contrak nezaradi relace kterou nepredchazi pocatecni SYN. Pokud je tam rovnou SYN+ACK tak se nestane nic. Aspon podle zdrojaku, nedokazu to ted ale nejak v rychlosti vyzkouset. (Kdyz tak vyzkousim a pak se s nekym vsadim :-))
Je tam tak trochu ďura v tom, že nedokážete zjistit tu adresu za tím NATem a možných rozsahů je docela dost 192.168.x.x nebo dokonce 10.x.x.x ,
Z mého pohledu tedy odhad není možný, a to zjištění přes javascript je také pouze hypotetická možnost. Dál to podmiňujete připojením do stejného segmentu. Takže u mne máte z DÚ 4- a měl byste to dopracovat.
Ano, takto vytržené z kontextu to velkohubě vyznívá. Jenže kontext je ten, že diskuse je zaplevelená hádnou "NAT je ochrana" versus "NAT není ochrana", ve které chybějí technické argumenty. A pak někdo napíše, že tady strana "NAT není ochrana" "celou dobu trpělivě vysvětluje".
Je mi líto, ale tak to prostě *není* :(
Krá krá, Uložto nevrmór. http://jenda.hrach.eu/f/nat-lupa.zip
Bych řekl, že většinu lidí spíš zajímalo, jak tohle provedeš obecně komukoliv. Pro jednoduchost řekněme, že routovaná síť mezi útočníkem a routerem neklade žádné překážky žádným paketům.
To, že si každý myslí, že NAT je firewall má své opodstatnění. Nikdo (asi krom diskutujících tvrdících opak) si pod tímto pojmem nepředstavuje čistý NAT, ale PAT. A ten není realizovatelný bez něčeho typu conntrack tabulky, tedy v podstatě stavového firewallu. Udělat pravidlo related,established na forwardu nic nestojí.
Popis provedeného stažení souboru si můžete přečíst tady: http://uloz.to/xZDCzSt/nat-lupa-zip
(jsou tam i tcpdumpové soubory)
Pokud se vám to podaří reprodukovat (což by neměl být problém), tak zmíněnou částku prosím pošlete na bankovní účet fondu ohrožených dětí. http://www.fod.cz/
Pocitat muzete jak chcete, za IP se neplati a v pravidlech je vyslovne receno, ze pridelene IP nelze poskytovat za uplatu (nehlede na to, ze tu korunu za 16 IPcek vam klido dam). V opacnem pripade muzou byt adresy odejmuty.
Chtit kilo mesicne za prideleni jedine adresy je pak naprosta nehoraznost. O tom bych se byl ochoten bavit mozna v pripade, ze by to byl celej dynamicky naroutovanej rozsah.
Krabka za 500-1000 je draha? Pokud pominu ze tyhle levny krabky neumej ani IPv4 a maji vubec zasadni problem delat naprosto cokoli, tak kazda z nich umi (uplne stejne blbe) IPv6. V realu na tom ovsem IPv6 bude fungovat daleko lepe, nebot neni trebas drzet v pameti NATovaci tabulku => uzivatel nenarazi na nedostatek pameti.
Kolik % mobilu nema symbian/android/IOS ??? Tohle vsechno IPv6 davno umi.
Ano, me zajima to, ze se ke svym domacim strojum vpohode pripojim odkudkoli, kde tu vymozenost IPv6 maji, kdezto po IPv4 musim hledat, na kterym portu co mam (neb pridani portu do DNS jeste nejak nikdo neimplementoval).
„O tom taky pointa nebyla.“
Pointa mé reakce byla jen a pouze v tom, že je zábavné číst o tom, že neexistuje něco, co denně používám.
„Ano jde vždy sehnat nějaký router s nějakou podporou IPv6.“
Výborně.
„Těch málo zařízení jsou příliš drahých.“
Nejsem si vědom toho, že bych platil nějak moc.
„Nemají kompletní podporu IPv6.“
Záleží, co si představuješ pod pojmem kompletní. Aby to nedopadlo
tak, že nakonec nemají ani kompletní podporu IPv4.
„Velice častou situací je, že mají pouze ipv4 firewall a ipv6 nikoliv.“
Takovou věc bych si asi nepořídil :).
„Případně Wifi není nativní ipv6, ale překlad 6to4“
Wifi s nativní či nenativní IPv6 nemá vůbec nic společného.
„Mě zajímá trh , náklady , přidaná hodnota. Nejsem geek pro kterého je technologie fetišem.“
Slovo „mě“ v tomto případě zdůrazňuje subjektivitu. Mám mezi známými mnoho lidí s různými zájmy. Ale jedno mají povětšinou společné, diskutují na úrovni, sarkasmus používají k vyjádření myšlenky (ne ke hře na to, jestli zesměšní oponenta nebo spíš sebe), a vůbec se dokážou obecně vyjádřit tak, že se jim člověk nemusí hned smát.
„Produkty s pořádnou podporou ipv6 nejsou a jsou nedokonalé.“
V této větě vidím mírný rozpor mezi „nejsou“ a „jsou“.
„To zmiňuje i pan Satrapa v knize o ipv6. Nejzávažnější považuji pásáš o firewallu.“
Podle mého skromného názoru se Pavel se umí docela dobře vyjadřovat jak ústně, tak písemně. Mimochodem, upozorňovat na časté chyby či chyby konkrétních implementací je v této oblasti *naprosto* zásadní. Ale to zajímá spíše nás geeky.
„Ekosystém masově nasaditelných ipv6 produktů je zatím jen sem.“
To koneckonců není moje starost :).
„Tenhle sen Vám lidi, ale nebudou lidé za svoje peníze bez toho že jim za to něco opravdu hodnotného dáte naplňovat.“
Ani to není moje starost. Až na velmi řídké výjimky nespolupracuju s koncovými zákazníky.
O tom taky pointa nebyla. Ano jde vždy sehnat nějaký router s nějakou podporou IPv6. Reálná nabídka na trhu a to i v zahraničí není něco o je možné masové nasazení IPv6 v SOHO segmentu opřít.
Těch málo zařízení jsou příliš drahých. Nemají kompletní podporu IPv6. Velice častou situací je, že mají pouze ipv4 firewall a ipv6 nikoliv. Případně Wifi není nativní ipv6, ale překlad 6to4 a mohl bych pokračovat jaké různé berličky si kluci šikmooký vymyslí.
Mě zajímá trh , náklady , přidaná hodnota. Nejsem geek pro kterého je technologie fetišem . Produkty s pořádnou podporou ipv6 nejsou a jsou nedokonalé. To zmiňuje i pan Satrapa v knize o ipv6. Nejzávažnější považuji pásáš o firewallu.
Ekosystém masově nasaditelných ipv6 produktů je zatím jen sem. Tenhle sen Vám lidi, ale nebudou lidé za svoje peníze bez toho že jim za to něco opravdu hodnotného dáte naplňovat.
K tomuto tematu vrele doporucuju si poslechnout zaznam prednasky Geoffa Hustona https://tnc2012.terena.org/web/media/archive/6D
Ano regály přímo přetekají routery s plnoupodporou ipv6 do 2000,- s DPH . Firmy se mohou přetrhnout, aby vydaly firmware s podporou ipv6 třeba pro rok starý router, nebo televizi . Programátoři middleware jsou dokonce takový géniové, že logiku pro akceleraci manipulace s ipv4 překouzli na hw podporu ipv6 .
Výrobci mobilních telefonu uz zajisté máji připraveny aktualizace firmware pro všechny rok staré modely s plnou podporou ipv6 a firevalem.
Čekají nás díky ipv6 jen lepší a levnější zítřky soudruzi já zapoměl .
Omyl, zapomněl jste na sebe a ostatní IPV6-Jasánky, kteří nekriticky obhajují zcela pošahané IPV6 a neštítí se přitom mlžit, lhát případně naprosto obskurně fabulovat. Osobně si myslím ,že je to právě proto, že podvědomně vidí do jakého průseru nás IPV6 postupně bude stahovat. Je evidentní, že vlastnímu přechodu na IPV6 věnovali čas a prostředky ale nyní jsou povětšinou v situaci osamělých IPV6 ostrovů závislých na pomalém tunelování a to je frustruje. Proto napadají každého realistu, který vidí, že (v současnosti) nemá žádný smysl se pouštět do nedovařeného IPV6. Mají pocit, že když budou ve fórech lhát o bezmezných výhodách IPV6 a pomlouvat stávající fungující mechanismy, tak možná někoho "převrátí na pravou IPV víru".
Nejčastější lži a fabulace :
1) NAT je brzdou pokroku, BFU je za NATem v háji a nic nemůže...až přijde IPV6 bude zcela bezproblémová end-to-end komunikace.
Bohužel se vždy najde někdo kdo jim nahraje na flame o tom že NAT je bezpečnostní prvek načež začnou hrozit, že se mu podívaj na jeho soubory. Nic jim nevadí že to je nesmysl, že ve skutečnosti by se horko těžko dostávali za holý NAT pokud by byli ve stejné veřejné subsíti, vůbec jim navadí, že holý NAT (bez firewallu) je tak velmi velmi vzácný jev a když tak je to spíše špatnou konfigurací/implementací v konkrétní "krabičce" .
2) Co se týče bezproblémové end-to-end komunikace, tak faktem zůstává, že příchod IPV6 nic zásadního nezmění, protože IPV6 SOHO krabičky budou muset obsahovat FW a ten bude někdo stejně muset nakonfigurovat a je celkem jedno jestli konfigurujete FW+NAT pro IPV4 nebo FW pro IPV6.
3) Navíc dnes hromadné nasazení NATu vyvolalo tvorbu takových postupů, které argument o problémové end-to-end komunikaci eliminují. Příkladem budiž Skype, různé messengery, Hamachi a pod. Dokonce i ten SIP se dá provozovat za NATem - takže zase další lež. Dokonce tohle lze považovat za jistý bezpečnostní prvek, neboť tyto služby nepracují "jen" za NATem , ale také za firewallem a podle mne každá komunikace pokud se vždy důsledně musí iniciovat zevnitř je v zásadě lépe kontrolovatelná a tím pádem bezpečnější. Takž možná tyto služby zůstanou ve své podobě i po přechodu na IPV6 akurát budou obcházet místo NATu FW.
4) Když namítnu, že se k síti budu odkudkoliv vzdáleně připojovat (VPN,RDP a pod.), tak začnou uvádět příklady sítí, kde má správce odchozí komunikaci zablokovanou - jako kdyby ji nemohl zablokovat na IPV6 - takže zase jsem tam kde jsme byli IPV6 problém restrikce odchozího spojení neodstraní. NIcméně se tento problém stal dalším motorem vývoje a byly vyvinuty SSL VPN pracující na portu 443. POkud by i tento port měl být někde na odchodu blokován, nejedná se už asi o připojení k internetu.
Takhle bych mohl pokračovat bod po bodu. Nakonec Vám dám malý úkol. Zkuste nají jediný praktický důvod proč by hypotetická malá firma měla v současnosti přejít na IPV6.
Charakteristika: Malá síť s SBS serverem, uživatelé se připojují přes https na OWA, Outloky a PDA jsou synchronizovány též přes HTTPS. Pevné počítače mají vysoké porty namapované na 3309 pro přístup pčes RDP. Ve firmě mají IP telefonii do jednoduché HW ústředny.
Když přijde návštěva mají tam pro ně možnost připojit se přes WI-FI na internet bez toho aby si šáhli do vnitřní sítě.
Děkuji.
Tak pod diskuzemi o IPv6 se schází víceméně dva tři typy lidí:
1) Ti kteří se o IPv6 zajímají, protože ho považují za řešení určitého problému. To jsou ty, které nemá rád pan Jasánek.
2) Ti kteří se o IPv6 zajímají, protože jsou administrátoři a musí se zabývat nebo věří, že se budou muset tímto protokolem zabývat. Jejich postoj k IPv6 se pohybuje od mírně negativního až po mírně pozitivní.
3) Ti, kteří zjistili, že se objevilo něco, čemu nerozumějí. Tudíž je nutné to co nejvíce pomluvit v naději, že se tak vyhnou tomu, že by se to někdy museli učit.
Zatímco se tu přetahuje první skupina se třetí, druhá skupina jaksi v diskuzi chybí, protože je nebaví číst příspěvky třetí skupiny. Třetí skupina doufá, že přitáhne pozornost dostatku lidí z první skupiny, aby měli
s kým se hádat. Z první skupiny se pár lidí v různých vlnách chytí v domnění, že dokážou diskuzi udělat zajímavou.
podle zdejší diskuze jsem asi jedním z mála BUFU, kterým NAT překáží a na jeho hranice naráží. Osobně si myslím,že proti zavedení IPv6 a opuštění IPv4 budou hlavně provideři, kteří si za veřejnou IP rádi nechávají nějakej ten groš připlatit a přijdou tak o část svých příjmů. Jinak NAT je pochopitelně polovičaté řešení, které kompenzuje nedokonalost IPv4 a není jediný racionální důvod proč takové řešení obhajovat.
bob: NAT je zlatý, nelze se přes něj dostat!
mtz: To je blbost, jde to. Ochrání tě jenom firewall.
Ponkrác: Mám NAT s firewallem, předveďte mi, jak se přes ten NAT dostanete. Nejde to, he?!
Jasanek: Nalepení samolepky na čelní sklo auta nezabrání ukradení.
admin.: Prosím abyste mi to předvedl na mé Fabii, která má na čelním skle samolepku, Construct a zámek volantu.
Ještě je tam vhodné přidat např. 127.0.0.0/8, 240.0.0.0/4 a 0.0.0.0/8.
a pár /24 testovacích sítí...
Více viz. http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml
Ondřej Bouda napsal:
"Jak se to prakticky udělá? Jak na zařízení s IP adresou IP1 doručím paket s cílovou adresou IP2 (IP1 <> IP2)?
Nejsem žádný znalec protokolů, ale nemůžu vymyslet nic jiného, než to vzít po linkové likové vrstvě (sestrojím paket s adresou IP2 a pošlu ho sousedovi, který má adresu IP1). To ale moc zneužitelné není - málokdo je můj soused na linkové vrstvě...?"
Co z toho je podle pavlix.net velkohubé prohlášení?
Jenomže já opravdu chci mít vnitřní síť oddělenou a POUZE uvnitř chci mít funkční spojení každý s každým. Vyhovuje mi to právě takto a těší mě, že routry to tak běžně umožňují, protože tak myslí víc lidí. Předpoklady či představy někoho jiného o spojení serveru NASA s mou webkamerou a ledničkou zase vůbec nelákají mě. Natož představa, že libovolný hacker světa náhodou bude zkoušet své teze o IPV6 na mých zařízeních, potažmo mém PC a mém telefonu. V současnosti je pravidlem, že obvykle uspěje. Pravděpodobnost u IPV6 je navíc výrazně větší. Máte jediný rozumný argument, proč bych měl toto riziko dobrovolně podstupovat? Nepotřebuji, nemusím, nechci.
„Tak si o tom něco přečtěte.“
Ani nevíte, jak jste k smíchu, ale o tom jindy.
Použil jste slova slovní spojení „cílená totální zpětná nekompatibilita“. Já to považuju za křivé obvinění a jsem přesvědčen o tom, že nemáte jediný důkaz, že cílem nového protokolu byla nekompatibilita.
„Jenže vytvořili bastl, kterej není ani po 20 letech dostatečně funkční......“
To jsem nikde nerozporoval, nicméně jsem rád, že alespoň tento bastl vytvořili.
„No já nevím. Já tady trpělivě pročítám diskusi ve které je tisíckrát omleto "jestli si myslíš, že přes NAT zvenku neprolezu, tak jsi na omylu" a celou dobu čekám na věrohodné vysvětlení, jak je toto možné.“
A přitom se ti to za tu dobu již nejméně tisíckrát stalo, že nějaká služba odeslala data skrze NAT na tvůj počítač.
Nehledě na to, že jediným smyslem NATu je právě umožnění komunikace, která by bez něj byla implicitně zablokovaná absencí záznamů ve směrovacích tabulkách routerů.
„Shrnuto: Nebylo by od věci, kdyby ti "trpělivě vysvětlující" s tím vysvětlováním začali, řekněme, o 50 příspěvků dříve. Ušetřilo by to dost času jak diskutérům, tak čtenářům...“
Už se stalo.
„a odpověď je "Ne, NAT/maškaráda toto nezahodí"“
NAT obecně žádné filtrování neprovádí.
IP maškaráda (jako speciální případ NATu) obecně rovněž žádné filtrování neprovádí, nicméně má někdy problém zjistit, kterému stroji daný paket doručit.
Výše uvedená vlastnost maškarády lze chybně využívat jako náhradní bezpečnostní mechanismus. Tedy použití IP maškarády místo firewallu
*snižuje* bezpečnost oproti standardní situaci, kdy se používá firewall.
Ve výsledku nás tedy nedostupnost IP maškarády v běžných implementacích IPv6 připravuje o možnost zhoršit zabezpečení sítě
spoléháním na vedlejší efekty maškarády.
A že IPv6 přináší spoustu problematicích věcí, toto mi přijde z hlediska
bezpečnosti jako téměř jednoznačný plus.
Tak si o tom něco přečtěte. IPV6 se "vyviji" cca od roku 1992 a na samém začátku byl pokus o jakoukoliv zpětnou kompatibilitu zavržen. Autoři si vzhledem k tehdejšímu stavu víceméně mysleli, že na nový protokol lidé přejdou sami a rádi a hlavní motivací zdaleka nebyl nedostatek IP adres. Jenže vytvořili bastl, kterej není ani po 20 letech dostatečně funkční......
„Nat umožňuje zabránit fyzické identifikaci konkrétního koncového zařízení...... resp. konkrétního koncového uživatele....“
Kdyby toto NAT dokázal, tak by se nejspíše dodával jako služba v řádu alespoň tisíců měsíčně. Nicméně tento váš názor je velmi nebezpečný
a dovolím si vás varovat před úmyslem na tuto domnělou vlastnost IPv4 NATu spoléhat.
„Povšimněte si prosím rovněž, že identifikace uživatele je argument právní, nikoliv technický.“
Identifikace uživatele jako právní úkon nelze provádět pomocí IP adresy.
„IPV6 adresa je formálně svázána dle s konkrétním HW, natovaná adresa nikoliv myslím.“
Tento rozdíl mezi IPv4 a IPv6 neexistuje v obou protokolech je možné obojí.
„Nevidim duvod proc by vam treba za 20Kc/mes nemohl poskytovatel udelat mapovani na verejnou adresu na svem CGN.“
Já vidím důvody hned dva:
1) Poskytovatel poskytuje pouze služby, které poskytnout chce. Služba
za 20 Kč měsíčně je něco, čím bych se být ISP vůbec nezabýval.
2) Jestliže poskytovatel stejnou službu nabídne za 100 Kč či později 200 Kč, pořídí si službu o něco menší počet uživatelů, kteří to opravdu potřebují či chtějí. Poskytovatel z toho bude mít celkově více peněz, a navíc si ušetří práci s účtováním desetikorunových položek.
Další možností je zahrnout cenu do dražších tarifů nebo nabídnout IPv6. Nebýt konkurenčního prostředí, tak je samozřejmě ideální zůstat IPv4-only
a cenu za přidělené IPv4 postupně zvyšovat.
„Bezesporu by bylo hezke mit pro kazde zarizeni unikatni adresu dostupnou odkudkoliv, ale obavam se, ze tohoto se v dohledne dobe jen tak nedockame.“
Ti šťastnější z nás už se dočkali.
„IPv6 pro vetsinu lidi nic zasadniho neresi. Ti si donesou domu krabicku, zapoji ji do site a do elektriky...“
Posuzování rozdílu mezi IPv4 a IPv6 optikou uživatele aplikací, které na IPv4 dobře fungují, je jaksi předem rozhoduté.
Nicméně, s docházejícími IPv4 adresami už desítky let ubývá podíl počítačů s globální internetovou adresou, v posledních letech ubývá
domácností a dokonce i firem s globální adresou, takže dochází k
regresi.
Zatímco dnes jsou poskytovatelé schopná dát IPv4 adresu
na požádání na každou přípojku (už ne automaticky), blíží se doba,
kdy to nebude možné *ani* na požádání a třeba *ani* za jednorázový či pravidelný poplatek.
Navíc je těžké najít cestu ke shodě, mezi mnou, který *využívám* výhod veřejných adres a IPv6 a člověkem, který *tvrdí, že ty výhody neexistují*. To je neřešitelný spor.
„Vsechny dalsi vymozenosti jim proste nic nerikaji. Pro mnoho lidi je pocitac spanelska vesnice, nebo vylozene trpene zlo.“
Tito lidé ovšem nejsou a nikdy nebyli motorem vývoje počítačů a počítačových sítí. Trpěli IPv4, budou stejně dobře trpět IPv6 a ani
to nepoznají.
„Domnivam se, ze IPv6 je nepodarene. Proto se taky jen velmi pomalu rozsiruje i pres to, ze je tlaceno nedostatkem IPv4 adres.“
Domnívám se, že to samé platí i pro IPv4, které se rovněž rozšiřovalo velmi pomalu.
„Buď je IPV6 skvělý a bezproblémový produkt, který přinese uživatelům ISP velký užitek.“
Bohužel jsem technik a ne markeťák, takže pojem „skvělý a bezproblémový produkt“ není součástí mého slovníku.
„To že nástup CGN předpovídá i IPV6-Jasánek“
To, že nějaký konkrétní člověk něco předpovídá dokazuje jen jednu jedinou věc. Tedy, že ten člověk něco takového předpovídá.
„spíše nehodlám na rozdíl od oponentů, IPV6 nasazovat za každou cenu“
Nevím o nikom v této diskuzi, kdo IPv6 reálně nasazuje za každou cenu. V obecném světě vím jen o jedné firmě a ta se jmenuje Microsoft.
„a zkoušet ho "na lidech"“
Všechny technologie se zkouší na lidech :). A nejspíš jsme tady všichni podstatě konzervativnější než Microsoft, který tlačí IPv6 i za oběti svých vlastních uživatelů.
„Do té doby mne k tomu nikdo nepřesvědčí,“
Rád bych se dozvěděl, kdo konkrétně tě k tomu přesvědčuje a jaké uvádí důvody, proč bys ty konkrétně musel být na IPv6. Já osobně tě tam nepotřebuju.
Vždy jsem měl za to, že fanatikem jest ten, kdo slepě a bez argumentů věří své jediné pravdě a tu se snaží vnutit všem ostatním za pomoci libovolných, i nečestných, prostředků.
Označování všech nebo většiny lidí, kteří rozumějí určité technologii, či jim dokonce určitá technologie vyhovuje, je podle mě právě takovým nečestným způsobem, útokem ad hominem a především projevem fanatismu.
Ja jsem ten priklad pouzil umyslne. A verte, ze to vzbudilo vetsi halo v Google nez v Pakistanskem telekomu :-)
Ochrana filtrovanim v BGP neexistuje, uz jen proto, ze v BGP neni podle ceho filtrovat.
Muzete udelat to, ze budete prichozi BGP provoz svych zakazniku filtrovat podle nejakych statickych informaci (napriklad ziskanych ze smluv) pripadne u nekterych malych provideru to budete delat podle vycucu z RIR databazi, nicmene jednak to vubec neskaluje a jednak to nelze praktikovat u nejakych hoodne rozsahlych siti - zkuste si treba predstavit, ze jste UUNET a snazite se filtrovat to, co Vam posila AT&T (omlouvam se za dinosauri priklad).
OK... tak tedy zisk, pokud je pocit zadostiucineni nedostatecny, tak ten kdo to nazorne predvede dostane 2000 Kc na ruku + se muze pochlubit v nejakem clanku jak je dobry. Kdyz tvrdite, ze je to jednoduche tak to jiste nebude problem.
NAT(PAT) realizovany prostrtrednictvim iptables v linuxu s jedinym pravidlem realizujici praven onen nat (pripadne na jinem zarizeni dle dohody). Ukol lze povazovat za splnen v pripade, ze se vam podari prekopirovat soiubor z PC, ktere je umistene za onim NATem.
Provoz a cely utok bude odchycen tcpdumpem pro dalsi analyzu.
Za IP adresy se skutecne neplati. Vydava je RIPE NCC a to zdarma. RIPE se plati prispevek, ktery je nejak navazany na adresy, ale neni to zadny market.
Problem je, ze firmy, ktere meni providera, s sebou obvykle nemuzou vzit svoje adresy. No a nove adresy nejsou. Takze u noveho ISP budete mit bud jenom IPv6 a nebo je novy ISP nekomu sebere.
Co se bohuzel zacina rozvijet, je sekundarni market. Nicmene ani sekundarni market nemuze resit vsechny problemy - napriklad routovatelnost daneho bloku :-) Takze ceska stredni firma svoje adresy mozna vrati svemu ISP (protoze ji adresy nepatri). Stredni cesky provider svoje IP adresy proda na sedem trhu.
Ceho se bojim o dost vic, je to, ze se adresy zacnou doopravdy krast - smerovaci protokoly nemaji zadnou ochranu a pokud zacne Pakistansky telekom propagovat adresni prostor YouTube, tak ma Google ve velke casti sveta smulu.
Přehled IPv6-enabled registrátorů a jejich RIPE kategorie:
http://ripeness.ripe.net/4star/CZ.html
Přehled přidělených IP:
ftp://ftp.ripe.net/pub/stats/ripencc/membership/alloclist.txt
cz.cznet
Telefonica Czech Republic, a.s.
19960112 194.228.0.0/19 ALLOCATED PA
19971003 194.228.128.0/17 ALLOCATED PA
19971003 194.228.32.0/19 ALLOCATED PA
19971003 194.228.64.0/18 ALLOCATED PA
20010618 80.74.32.0/20 ALLOCATED PA
20020613 80.188.0.0/16 ALLOCATED PA
20040302 83.208.0.0/16 ALLOCATED PA
20041102 85.70.0.0/15 ALLOCATED PA
20051004 88.100.0.0/14 ALLOCATED PA
20060917 90.176.0.0/13 ALLOCATED PA
20090710 109.80.0.0/15 ALLOCATED PA
20090619 2a00:1028::/32
Provider ma prirazeno celkem 1249280 IP.
(4100/1249280)*25=0,082 Kč platí Telefónica za každou IPv4 adresu.
Z menších např. KHnet platí (1800/4096)*25=10,986 Kč za každou IPv4 adresu.
Věřím, že Vaše tvrzení, že "za IP adresy se neplatí", pramení jen z nevědomosti a nejde o úmyslnou lež.
Ty rozsahy IP adres musi na stopro nekdo platit. Zadarmo je nikdo nikomu neda. Proc budu drzet napr. v pripade Microsoftu zastarale IPv4, kdyz uz kompletne bezim na IPv6? Mym primarnim podnikatelskym cilem je neco jineho. Proc budu utracet za neco, co je pro me prakticky "mrtve"? Provideri si poridili servery prekladajici z IPv4 do IPv6, aby se mi prizpusobili = moji sluzbu si spusti i BFU z Vyskova u Brna s IPv4 = na co mi jsou IPv4? Dobre, Microsoft je treba nezahodi, ale co nejaka "obycejnejsi" stredni az velka firma v Cesku/Nemecku/Kdekoliv jinde? Budou chtit byt co nejuspornejsi, takze si zaplati rozsah IPv6 a nahradi jim IPv4, je nesmysl si myslet, ze budou zvlast financovat IPv4, dokud nenajdou zajemce. To by si ten rozsah mohli financovat pul roku a zajemce zadny (kuprikladu provideri maji zasoby).
<I>Krome toho az tyto obrovske firmy prejdou kompletne na IPv6, uvolni se jejich IP adresy v4, takze to vidim tak, ze budou tyto dva protokoly velmi dlouho fungovat vedle sebe.</I>
To je chybny predpoklad. IP adres se nikdo vzdavat nebude. Naopak to bude cenne aktivum - ostatne paralelni trh uz bezi.
To je podle me bezpredmetne straseni tim, ze nekoho prejede vlak. Pokud se IPv6 ukaze jako funkcni cesta, tak at si do nej nastoupi kazdy kdy az sam uzna za vhodne.
Sveho casu take nekterym ujizdely vlaky jmenem X.25, ISDN, ATM, ... no a jestli tenhle vlak jede podobnym smerem jako uvedene technologie tak nelze poprat nic jineho nez stastnou a kouzelnou jizdu vedle strojvudce :-)
Skoda je ze jsem takovy trouba, ze to neumim, ale nicmene pokud by se nasel nekdo kdo to, jak pisete, trochu umi a predvede mi ja si prochazi sdileni na zarizeni za natem tak bude mit muj velky respekt. Klidne mu k tomu poskytnu i prostredi na kterem to muze predvest. Myslim se vsi vaznosti.
A ja snad nemuzu bejt aktiv, kdyz jsem za routerem? Je zvlastni, ze jim jsem. To, ze si to BFU neumi nastavit neni moje vina, musi byt holt pasiv, ale neni pravda, ze by to snad neslo. Google, Facebook, Microsoft a jini budou BFU fungovat furt, prave proto, ze se provideri budou vehementne prechodu branit. Krome toho az tyto obrovske firmy prejdou kompletne na IPv6, uvolni se jejich IP adresy v4, takze to vidim tak, ze budou tyto dva protokoly velmi dlouho fungovat vedle sebe.
dva háčky jsou jednoduše řešitelné - popisované řešení samozřejmě nefunguje na standardním TCP/IP stacku. Musíte to trochu umět, abyste mohl takto útočit. Není to pro úplného BFU, pokud nemá už připravený nějaký program, který to umí.
ad 2. conntrack SYN flag obvykle nezajímá.
NAT není firewall. Co tady někteří tvrdí je ovšem to, že NAT firewall je nebo se tomu svými vlastnostmi velmi blíží, což ostatní rozporují.
Castecne urcite mate pravdu. Otazkou je jak nakladny bude provoz CGN (po tehle zarizenich zrejme bude poptavka, takze i cena tech reseni pujde dolu) v porovnani s naklady na zavedeni a provozovani IPv6, resp. provoz dualstacku. Preci jen koupit jednu ci dve byt darhe krabice je pro mnoho operatoru snesitelnejsi nez mit IPv6 na vsech zarizenich, vcetne odpovidajicim zpusobem zaskolenych operatoru, techniku atd. Vsem je asi jasne, ze zavedeni IPv6 neni zadarmo.
Otazkou je take kolik poskytovatelu obsahu bude ochotno dlouhodobe provozovat IPv6. Preci jen Internet je o "trosicku vetsi" nez gogle, seznam, facebook, akamai a spol. Nerikam, ze to nakonec toto nebude silna motivace pro IPv6, ale dnes bych si na tuhle variantu nevsadil ani stravenku.
To je jenom jeden z nejsnáze pochopitelných příkladů obcházení NATu. Existují složitější metody, ale chtěl jste alespoň nějakou - já jsem uvedl nejtriviálnější, nehodlám tady sepisovat desetistránkový odborný text.
Co se týká chyb konkrétních implementací - není to tak jednoduché. Popisované connection tracking je náročné na paměť, takže omezením některých polí v conntracku dostanete přibližně stejné vlastnosti za nižší cenu. A to se počítá.
Chápu to správně, že je nutné sousedství na linkové vrstvě? Tak to je okruh útočníků hodně omezený.
>> Existují i komplikovanější příklady, které využívají vlastností některých NAT/PAT krabiček (connection tracking tabulka není úplná).
V tom případě nejde o zranitelnost technologie, ale o chyby v konkrétních implementacích. Což je dost slabý argument, protože stejným způsobem mohou být zneužívány chyby v konkrétních implementacích FW (a nikdo mi nenamluví, že nic takového se v SOHO krabičkách nevyskytne).
Pokud se nepletu tak tady nekdo poukazoval na to jak si zjisti privatni adresu a uz se mi pak bude za natem prochazet po sdileni. Rad bych to nekdy nazrone videl.
I v pripade uvedene situace, kdy jsem se svym sousedem v jedne podsiti si moc nepomuzu. Mohu sice do site poslat paket (predpokladejme napriklad SYN na port 22) a dostanu odpoved SYN+ACK na moji puvodni adresu. Ma to dva hacky:
1. Na strane prijemce bych mel prohazena cisla portu a IP adresy, takze regulerni TCP relaci z toho sestavim velice obtizne.
2. Pokud NAT funguje jak ma, tak jak tak onomu spojeni nepredchazi SYN zevnitr ven, takze v tabulce spojeni se nevytvori zaznam.
Podotykam, ze i kdyby se podarilo najit fintu jak toto obejit tak se stale bavime o pripade, ze jsem se svym sousedem na jedne podsiti. To je asi hodne daleko od toho co bylo puvodne prezentovano.
Co me ale zarazi, je fakt jak se tady do nekonecna omila jak NAT neni firewall a sotva nekdou poukaze na fakt, ze NAT ma jako vedlejsi efekt jiste bezpecnostni prvky tak se z nej udela totalni blb. Nikdo netvrdi ze NAT je firewall stejne jako nikdo netvrdi, ze chleba jsou rohliky. Nicmene oboji se da jist a jedno i druhe ma urcite vlastnosti.
Mno řekl bych že pouze nerozumí těm kecům zdejších IPV6-pošahaných rádobyodborníků, kteří na základě toho, že za jistých velice specifických okolností (veřejné adresy na stejné linkové vrstvě) lze navázat komunikaci se zařízením umístěným za !!!!HOLÝM!!!! NATem (opět v kontextu článku pod nímž diskutujeme prakticky neexistující situace) a díky tomu prohlašují věty
"Zadruhe, zkuste si trebas mojeip.cz a pod - pokud mate zapnute scriptovani, zjisti vasi interni adresu, coz muzu obratem vyuzit k tomu, ze na vas nat poslu paket s presne touto adresou a vite vy co stim vas NAT udela? Nj, jako spravny router to odroutuje => prave sem zvenku navazal spojeni s vasim vnitrnim strojem, to je co? Mate zapnute windowsi sdileni jako kazdy spravny BFU? Fajn, du se podivat co mate na disku"
Takže sem nepište když lžete!
CGN bude stát víc peněz, protože využití internetu průběžně roste (jak přichází "chytrá domácnost") - to vede k tomu, že zátěž CGN roste a v určitou chvíli přestane CGN box stíhat. Provider, který šestku nenasadí, bude muset buď pořídit další box a nějakou formou load-balancingu mezi nimi rozkládat zátěž, nebo provést výměnu stávajícího za silnější.
Ani nemluvím o tom, že takový CGN box se stává místem single point of failure.
Tak nevím asi jste si ve své střízlivosti spletl logiku věci. Buď je IPV6 skvělý a bezproblémový produkt, který přinese uživatelům ISP velký užitek. (což bych řekl že tvrdí všichni mí oponenti v této diskuzi) a v tom případě nevidím důvod proč by provideři měli pořizovat nové CGN místo přechodu na IPV6. To že nástup CGN předpovídá i IPV6-Jasánek je spíše odrazem reality a jasným přiznáním že mantře o "skvělosti" IPV6 sám moc nevěří.
Já se IPV6 za každou cenu nebráním , spíše nehodlám na rozdíl od oponentů, IPV6 nasazovat za každou cenu a zkoušet ho "na lidech". Pečlivě sleduji vývoj a ve chvíli, kdy uvidím, že je IPV6 v horizontu obnovy HW (což jsou cca 3 roky) opravdu perspektivní a přinese mým uživatelům výhody, budu ho nasazovat. Do té doby mne k tomu nikdo nepřesvědčí, protože v současnosi nasazení IPV6 přináší jenom problémy a přínosy nejsou žádné.
> spousta věcí už je teoreticky vyřešených...
mno PRÁVĚ PROTO !!!!!!
BFU potřebuje sdílet. A přes P2P to jde nejlíp. Dnes konkrétně se na to používá BitTorrent a je to velmi významný zdroj provozu na internetu.
IPv6 vlak už je rozjetý a buď naskočíte nebo vás přejede. Jo taky můžete stát stranou, čučet na jeho koncová světla a na z něho mávající Google, Facebook, Microsoft, Cisco, Akamai, BBC. A s tichou záští doufat, že se vlak vykolejí. Zášť se pak většinou promění v závist nad tím, kam až dojeli, zatímco vy trčíte stále na místě. No já si vybírám tu první možnost a sedět vedle strojvůdce má své kouzlo :-)
Tak třeba předpokládejme, že jste soused, kterému se chci dostat za NAT/PAT krabičku. Vy máte veřejnou IP adresu ze stejné sítě jako soused, který dělá NAT. Což je u sousedů asi celkem častá situace. Pak prostě pošlete paket s cílovou adresou v jeho privátní síti na jeho krabičku (zdrojová bude vaše veřejná). NAT/PAT krabička bez firewallu tento paket standardně propustí na druhou stranu. Odchozí paket od vnitřní IP adresy už se přeloží, ale to už nevadí, komunikace nyní bude probíhat na přeložených IP adresách.
To je ta nejjednodušší metoda. Existují i komplikovanější příklady, které využívají vlastností některých NAT/PAT krabiček (connection tracking tabulka není úplná).
Vetsina uzivatelu (at uz na telefonech ci v domacnosti) dokaze dnes bez vetsich omezeni za tim natem fungovat. Pokud preci jen mate pozadavek na verejnou statickou IP adresu, tak vam to dokaze vetsina poskytovatelu dnes zajistit za nejaky poplatek. Nevidim duvod proc by vam treba za 20Kc/mes nemohl poskytovatel udelat mapovani na verejnou adresu na svem CGN.
Vse je otazkou pouze toho zda ruzna "obskurdni" reseni na IPv4 budou levnejsi nez zavadeni IPv6 a nebo naopak. Zatim ve prospech IPv6 mnoho ekonomickych argumentu nevidim. Bezesporu by bylo hezke mit pro kazde zarizeni unikatni adresu dostupnou odkudkoliv, ale obavam se, ze tohoto se v dohledne dobe jen tak nedockame.
Muzete mi prosim popsat, jak bude vypadat ten paket se kterym se dostanete na adresu (napr. 192.168.1.10) za NATem (presneji receno PATem), ktera je za verejnou adressou a.b.c.d ?
Predpokladam, ze nevyuzijete vynucene smerovani s vyuzitim IP options.
Pokud preci jen vymyslite zpusob jak se na to sdileni za NATem dosat tak je to skvele, protoze se vam podarilo najit cestu jak po IPv4 komunikovat se zarizenimi za N(P)ATem naprimo. Tedy asi pada duvod proc zavadet IPv6 (kdyz uvazim, ze prakticky jedinym argumentem zavadeni IPv6 je prima konektivita mezi koncovymi zarizenimi).
Proc by CGN mel s lety stat vic penez? CGN je krabice, ktera se jednou koupi, nakonfiguruje a provozuje. Nejak nevidim duvod proc by casem mely naklady na provoz CGN narustat. Ba naopak - jednou koupeny CGN na sebe musi nekolik let vydelavat, takze investice do nejakych jinych technologii (treba IPv6) se timto na par let odkladaji.
Nemam pocit, ze by se vetsina lidi branila IPv6 za kazdou cenu. Problem je v tom, ze ti co si na IPv6 uz sahli jsou (mirne receno) udiveni jak IPv6 vypada jak z hlediska standartizace, tak z hledika implementace v zarizenich.
Take bych hodne bych polemizoval s tim tvrzenim "jen cekaji na implemetaci". To je asi jako byste mel recept, ktery jeste nikdo poradne nevyzkousel a "jen cekal" az se z toho udela rekneme svickova. Asi to tak uplne jednoduche nebude.
>> na vas nat poslu paket s presne touto privatni adresou
Jak se to prakticky udělá? Jak na zařízení s IP adresou IP1 doručím paket s cílovou adresou IP2 (IP1 <> IP2)?
Nejsem žádný znalec protokolů, ale nemůžu vymyslet nic jiného, než to vzít po linkové likové vrstvě (sestrojím paket s adresou IP2 a pošlu ho sousedovi, který má adresu IP1). To ale moc zneužitelné není - málokdo je můj soused na linkové vrstvě...?
>> Ale hodne ze zbytku je tolerantni a trpelive jim vysvetluje rozdil.
No já nevím. Já tady trpělivě pročítám diskusi ve které je tisíckrát omleto "jestli si myslíš, že přes NAT zvenku neprolezu, tak jsi na omylu" a celou dobu čekám na věrohodné vysvětlení, jak je toto možné. Takže po cca 50 příspěvcích ala to v uvozovkách je tady o kousek výš konečně jeden, který *vysvětluje*.
Shrnuto: Nebylo by od věci, kdyby ti "trpělivě vysvětlující" s tím vysvětlováním začali, řekněme, o 50 příspěvků dříve. Ušetřilo by to dost času jak diskutérům, tak čtenářům...
Obvykle do trollšaškáren nezatěžuju. 15 zařízení je dost málo :-) ARP tabulka našeho domova čítá bratru 120 záznamů a jediné co myslím pomohlo bezpečnosti je vyhodit všechny switche po domě a používat mikrotik abych i já zvládl svépomocí nastavit IP/bridge firewall tak aby se dal sdílet. Na všech mikroticích co tu jsou (asi 10 750/750g) pak probíhá kontrola nejen MAC-MAC adresy tj jestli přes daný bridge prochází pakety mezi zařízeními které spolu můžou "komunikovat" a pak samozřejmě IP-IP firewall. Věřím že počátek IPv6 v domácnosti bude hodně hodně bolestnej a ASI IPv4 bude dlouho přežívat jako hlavní konektivita.
Dost dobře si nedokážu představit u menších vestavěných zařízení adaptaci IPv6 stacku když už teď je to HW ošizeno. A přitom jde kontrolery od brány, světel, topení, alarmu, levnějších IP kamer, videoserverů, teploměru, meteostanic, vrátníku, měřiče hladiny, indukčních smyček tj krabičky srovnatelné s routerem. Vyměnovat toto všechno je na palici a co vím určitě tak kvůli IPv6 je měnit nebudu.
Tj řešit IPv6 fanatismus je blbost, by me zajímalo kterých 15 krabiček co máš doma umí IPv6 nativně aby jsi mohl nad IPv4 takto lámat hůl. Jinde u větších domů to nebude jiné ale tady by vše vyměnit stálo tak 200k s tím že řada věcí by prostě vyměnit vůbec nešla a přesto potřebují internet (např kvůli NTP).
Nikolivek, ze 60% to vpohode projde, dalsich 20% by vyzadovalo delsi pripravu, ale proslo by taky. Drtiva vetsina krabek co maj lidi doma nema aktivni firewall pro forward.
Tudiz bezpeci za NATem je ciste iluzorni, a lidi jako vy by bylo treba zavrit pro obecne ohrozeni, jelikoz sirite tyhle bludy.
Mno pokud nekdo neumi cist tak ke negramot - jednoduchy logicky vyrok, ktery mi v tomhle pripade proste vychazi jako true.
A protoze se nekam vzdalene chce pripojovat leckdo, je dost ocekavatelny, ze to leckdo bude mit povoleny, narozdil od vsemoznych obskurnich portu, zeano. Stejne jako se leckdo chce pripojovat na port 80 a proto se asi dost tezko dostanu na web lednice na portu 45978, ze ...
Takze zase kecy o hovne od nekoho, kdo vi howno o tom, jak se konfiguruje firewall.
Soudnej clovek vi, ze IPv6 vpohode funguje a odstrani mu spoustu problemu, proto mame u na jednu z vubec nejvetsich penetraci IPv6 (celosvetove).
A mate pravdu, s negramoty diskutovat nema smysl, protoze si to stejne neprectou.
Pocitam ze to bude jedno, stejne to bude mit blbe nebo nijak nastaveny ;D, z mych osobnich penetracnich testu vychazi, ze tak pres 60% NATu lze celkem vpohode projit, coz je celkem tragedie ... ty lidi tomu tak verej ...
Vetsina lidi tu krabku totiz koupi a zapne, a pokud funguje, tak tim skocila konfigurace. Velmi vyjimecne ma krabka nejaky firewall vubec aktivni a pokud, tak jen sama pro sebe, ale forward vubec neresi (sak prece zakaznik nechce mit problem s tim, ze mu neco nefunguje = nechame vsechno povoleny).
BTW: Obcas se celkem bavim pres kolik hopu projde privatni adresa ... musel bych se valet smichem, kdyby to ovsem nebylo spis k placi. Oni totiz podobne konfigurujou svy zelezo i "profici". To ze mi odpoved o nedostupnosti cile prijde z privatni adresy z druhy strany republiky neni zadna vyjimka ...
No kde je tu troll to je opravdu kardinální otázka :)
1) Já píšu : "Mno jeho NAT/PAT/FW domácí krabička to na 99,99% zahodí :)"
a odpověď je "Ne, NAT/maškaráda toto nezahodí"
2) Ukažte mi jedinou SOHO krabičku určenou pro BFU která obsahuje výhradně NAT
pak se můžeme bavit o tom kdo je tady troll
BTW: Nakrmte Krska :)
Asi bych neměl krmit opilého trolla, ale budiž:
- provider, který ustrne na IPv4, bude investovat do CGN (a CGN ho bude s lety stát víc a víc peněz)
- provider, který nabídne IPv6, odvede od klientů po IPv6 většinu provozu a jeho CGN boxy nebudou tolik vytížené, náklady na jejich údržbu se v dlouhodobém horizontu budou snižovat, až klesnou na nulu
Provideři nebudou muset nasazovat NAT proto, že IPv6 "je nepoužitelný shit", ale proto, že jsou lidi, co se IPv6 brání _za každou cenu_ (zvlášť u některých admin.ů je to vidět).
V IPv6 je spousta věcí, které by se daly vylepšit (namátkou First Hop Security), spousta věcí už je teoreticky vyřešených (např. Prefix Delegation, kterým domácí síť dostane od providera blok adres) a jen čekají na implementaci v domácích routerech (=to ale není problém protokolu. To je problém výrobců.).
Dovolím si zde ... po návratu z pivnice...malou rošádu. Pokud má brzo přijít doba, kdy providerům dojdou IPV4 adresy a proto budou muset nasazovat NAT je to jedině proto, že IPV6 je nepoužitelný shit. Pokud by nebyl jistě by svým zákazníkům místo drahého Carrier Grade NATu raději poslytli IPV6 konektivitu.
Tak a co na tohle milí IPV6-Jasánci ? :):):)
No už jsem se dlouho tak nenasmál. Největší sranda spočívá v tom, že se hádají okolo prakticky neexistujícího sítového hardware.
Ethernetových\xDSL\cable routerů v segmentu SOHO které mají podporu IPv4/6 a důležitý parametr IPv6 firewall. Spousta zařízení má totiž jen ipv4 fw. Je na trhu chranici statistické chyby.
Příjemná komediální závěrka je častá představa, že BFU potřebuje často RD, FTP,WEB server, případně SIP od nějakého alternativního poskytovatele.
„Vidite, proc mame Skype - protoze NAT.“
Prosím Vás co dělám špatně? Používám SIP a internetové telefonování. Jsem za dvounásobným NATem a žádné zařízení v mé síti nemá veřejnou adresu.
Pane Lenc, pomoc! Nemělo by mi to podle Vás fungovat, ale on ten SIP za NATem mi funguje absoilutně spolehlivě!
Zcela jistě dělám něco špatně a doufám, že mi poradíte!
---xxx---
„Proc posilame fotky mailem nebo pres uloz.to - protoze NAT.“
Většina lidí se neškrábe levou rukou za pravým uchem.
Předvěďte běžnému BFU odeslání fotky mailem a pak odeslání jinak. Další otázka: „proč to nejde tak jednoduše jako přes mail?“ Vám vysvětlí, že NAT za to nemůže.
---xxx---
„Vzdalena plocha nefunguje - protoze NAT“
Zaplaťpámbů. I toto je bezpečnost.
jj ten negramot/kokot mne potěšil ... je to jasná známka, že někomu docházej argumenty..... :D
Jo a proč si myslíš že zrovínka v síti IPV4 bude port 3389 puštěnej a třeba 33990 bude zakázanej. Většinou je buď povolený všechno nebo je zakázaný všechno krom 80 a 443. Proč si myslíš že zrovínka v IPV6 síti budou povolený zrovna ty porty co ty potřebuješ ? ...aha...takže zase hypotetický kecy coby kdyby naprosto od věci.
>....misto abych napsal http://topeni.ume.doma ....
no právě tohle momentálně úplně jednoduše pro takové ty koncové BFU krabičky IPV6 neumí resp. neexistují příslušné normy aby každá krabička mohla toto jednoduše tomu BFU poskytnout.
NIcméně - argumenty jsou dány, soudnej člověk ví, že IPV6 je minimálně nepovedené a že v našich končinách IPV6 ještě dlouho potřebovat vůbec nebude.
Takže já s tím, že jsem se dnes přes ten zlý NAT a VÝHRADNĚ pomocí IPV4 připojil k cca 15 počítačům přes RDP, k dalším dvěma sítím přes VPN (a nepotřeboval jsem na to jiný port než 443). Dále jsem vyřídil cca 20 hovorů přes IP telefonii, mailoval, chatoval.....a vůbec ale vůbec mi ten zlý a ošklivý NAT nevadil stejně jako všem mým zákazníků, kteří také po internetu telefonovali, pracovali z domova na svých počítačích ve firmě atd. Tak s tím vědomím odcházím na pivo a nebudu se už hádat s lidmi, kteří věci buď nerozumí nebo "dělají" že tomu nerozumí a vymýšlí si nesmyslné situace aby podpořili svoje chaboučké argumenty.
To mate asi hodne tezky byt negramotem, ze? Kdyz sem v cizi siti tak si asi tezko povolim jinej odchozi port, co? Tak japa se pripojim jinam nez na 3389? Aha, nijak, ze?
Mimochodem, ke dnesnimu dni mam v domacnosti 15 zarizeni schopnych komunikovat po siti. A nejsem zdaleka jedinej. Hmm, uz se tesim jak si budu do notesu zapisovat porty, na kterejch sedi lednice, pracka, zabezpecovacka, topeni ... misto abych napsal http://topeni.ume.doma
BTW: Takovou kokotinu uz sem dlouho necet ... lol ... zapisuju si jako kadidata na vyrok roku.
No jo ...hotl každej kdo má do prdele díru a jednou se mu někde podařilo rozchodit wifinu si myslí že všemu rozumí :):):)
Co se týče SIPu..tak ten taky umožňuje běžet za NATem .....
Vzdálená plocha za NATem funguje úplně normálně - stačí nastavit správné pravidlo pro Firewall a NAT/PAT
řekněmež že jde čistě o to jak je kde nastaven firewall ... takže IPV6 nebo IPV4 je to jedno Buď ten port je nebo není povolen. Pokud potřebuji (!!!! bavíme se stále o domácnosti !!!!) více "vzdálených ploch" použiju na vstupu jiné porty přesměrované na 3306 příslušného vnitřího stroje....
Jasně už slyším že je nutné to nastavovat pro všechny počítače a že tobě by stačilo pravidlo jedno.....mno je to opravdu pouze otázka dvo tří kliků nebo dvou tří příkazů navíc
BTW:BTW: Jen tak mezi námi, NAT je významným bezpečnostním prvkem v tom smyslu, že donutil výrobce psát programy, které nepotřebují mít otevřený port na veřejné adrese, ale veškerá komunikace se musí iniciovat z vnitřní sítě.
Tak zaprve, i kdybych znal seriova cisla vsech HW komponent, tak to z pravniho hlediska neznamena absolutne vubec nic. Maximalne tak zjistim, na koho je uzavrena smlouva s ISP, pripadne komu ten HW patri.
Zadruhe, zkuste si trebas mojeip.cz a pod - pokud mate zapnute scriptovani, zjisti vasi interni adresu, coz muzu obratem vyuzit k tomu, ze na vas nat poslu paket s presne touto adresou a vite vy co stim vas NAT udela? Nj, jako spravny router to odroutuje => prave sem zvenku navazal spojeni s vasim vnitrnim strojem, to je co? Mate zapnute windowsi sdileni jako kazdy spravny BFU? Fajn, du se podivat co mate na disku.
Zatreti, privacy extensions tu uz zminovany jsou taky. Klido muzete mit jinou IPv6 adresu co minutu.
S NAT si vyberete, ktery port forwardovat na pozadovany stroj. Zhruba stejne jednoduchy zasah jako uprava firewallu.
At tak ci onak, IPv6 pro vetsinu lidi nic zasadniho neresi. Ti si donesou domu krabicku, zapoji ji do site a do elektriky, a kdyz bude fungovat jiz mnohokrat zmineny skype a web (na e-mail rada lidi pouziva nejaky webmail, takze ani SMTP/POP3, nebo dokonce IMAP je nezajima), bude jim uplne fuk, jestli na IPv4+NAT, nebo IPv6. Vsechny dalsi vymozenosti jim proste nic nerikaji. Pro mnoho lidi je pocitac spanelska vesnice, nebo vylozene trpene zlo.
Domnivam se, ze IPv6 je nepodarene. Proto se taky jen velmi pomalu rozsiruje i pres to, ze je tlaceno nedostatkem IPv4 adres.
Nikoli, skype dokazal fungovat za NATem, telefonovani umoznovalo davno pred nim spousta jinych aplikaci, ale vyzadovaly skutecny internet - tedy verejnou IP, pripadne slozitou konfiguraci NATu.
Nikoli, nebot FTP netreba nijak konfigurovat, lze pouzit neci spustene, jenze FTP z poza natu funguje (hodne) blbe, pripadne vubec.
Vzdalena plocha mi samozrejme za firewallem fungovat bude - pokud budu chtit. Za NATem mi fungovat nebude a to ani v pripade, ze chci. Proc ze to? Mno vzdalena plocha (napr) ma jisty defaultni port. Reknemez ze rozumny firewall ma povolen provoz jen na rozumne porty -proto aby se ruzni cervici nemohli tak snadno dostat ven. Tudiz kdyz nekam prijdu a chci se pripojit na nejaky stroj za NATem, tak se pripojim tak maximalne na jeden, ale na druhy, paty ... sty uz nikolivek, protoze jaksi nemuzou byt vsechny na stejnem portu. Pokud mam uvnitr site verejne adresy, tak jednoduse na firewallu jedinym pravidlem povolim prichozi provoz na vzdalenou plochu a dostanu se na libovolny z nich.
BTW: Jen tak mezi nami, za by default spustene sluzby otevrene do site je treba zastrelit kazdeho, kdo pracuje pro M$. Sluzba ma bezet az v okamziku, kdy to uzivatel chce a na ciste nainstalovanym systemu nema byt do netu otevreno !NIC!, pak totiz netreba konfigurovat zadny firewall, nebot kde nic neni ...
Já se bavím jak tady IPV6-Jasánci kňučí, protože neumí nic nastavit a někde si přečetli že s IPV6 to půjde samo.
>...s NATem si nevyberu...
no to že něco neumíte neznamená že to nejde :):):) Nastavit přístup pro vzdálenou plochu na IPV4/NAT/FW je pro BFU úplně stejně složité jako pro IPV6/FW. Krabička jako krabička :)
>> Vidite, proc mame Skype - protoze NAT.
>nikoliv kvuli NATu, ale protoze nabidnul snadnou a rychlo moznost pro telefonovani pres Internet.
V te dobe uz byl sw na volani pres net, ovsem volany (nekdy oba) musel mit verejnou IP. Skype to jako prvni znamy vyresil pomoci supernodu, cili myslim, ze NAT je jedna z hlavnich pricin rozsireni skypu.
Pobavilo me jak jste na posledni bod nenasel argument, tak jste rekl, ze se to vlastne stejne nepovede. Tady jde o to, ze s verejnou IP si muzu vybrat, jestli porty zakazu nebo ne, s NATem si nevyberu...
Výborně, takže zkuste být prosím konstruktivní a poučit mne technicky neznalého.
Chcete identifikovat konkrétního koncového uživatele a konkrétní zařízení. Jste v internetu a víte, že ten dotyčný sedí za natem, dohledáte vnější IP natu, jak určite ze své pozice konkrétní koncové zařízení v síti mající náhodou rotující DHCP adresu např. 192.168....?
Povšimněte si prosím rovněž, že identifikace uživatele je argument právní, nikoliv technický. Nehovořím o jeho loginu, ale o jeho osobní identitě. IPV6 adresa je formálně svázána dle s konkrétním HW, natovaná adresa nikoliv myslím.
> Vidite, proc mame Skype - protoze NAT.
nikoliv kvuli NATu, ale protoze nabidnul snadnou a rychlo moznost pro telefonovani pres Internet.
> Proc posilame fotky mailem nebo pres uloz.to - protoze NAT.
nikoliv kvuli NATu, ale protoze je to pro moho lidi jednodussi, nez konfigurovat vlastni ftp/web/jakykoliv jiny server.
> Teamviewer - protoze NAT
> Teamspeak - protoze NAT
skutecne kvuli NAT? bez nej by tyto aplikace byly zcela nepotrebne?
> Hamachi - protoze NAT
> Vzdalena plocha nefunguje - protoze NAT
Uz tady nekdo psal, ze nemusi zadouci mit vsechny pocitace a dalsi zarizeni dostupna z Internetu, a proto budou za firewallem. A potom vzdalena plocha zase nebude fungovat.
mno řekl bych že článek není o natujících providerech. A upřímně řečeno za svůj život jsem na NAT u providera narazil pouze jednou na nějaké msítní obskurní wifině v nějakech Kotěhůlkách ......
JIstě IPV6 určité (většinou ovšem technologicky dávno překonané) problém IPV4 vyřeší...ovšem mnohem více jich způsobí...stačí se podívat na stav implementace a na spoustu ani RFCéčkami vůbec nevyřešených problémů.
Jo to ano, ovšem v případě IPV6 se zase rychle dozví že má doma nějakou "krabičku" která má zavřenej jakejsi "firewall" a je ho potřeba nastavit. A rozhodně nastavit IPV4/NAT/FW není o mnoho složitější naž nastavit IPV6/FW .
BFu si chce zahrat hru po siti - nezahraje, ne bez instalace nejakyho obskurniho tunelu a jeho (netrivialni) konfigurace.
BFU chce poslat znamemu fotky a neposle, mailem to nejde, bo je to velke a davat to nekam verejne nechce, bo je tam nejaka ta nahotina ...
BFU nic nastavovat nemusi, neb BFU na IPv6 (narozdil od IPv4) NEPOTREBUJE zadny router, firewall ... staci mu switch. Samozrejme pokud chce, muze mit firewall, vlastni rozsah IP ... ale to uz zjevne nebude tak uplne BFU.
Drtiva vetsina domacich krabek s NATem je nastavena by default tak uzasne, ze se do vnitrni site zvenku dostane kdokoli, krome toho BFU. Vubec nemluve o tom, ze NAT si musi trzet vsechny konexe, na coz BFUcka kupodivu velmi casto narazeji a musiji tu krabku za kilo porat restartovat.
IPv6 umi DHCP (jen blbove to nevedi) a RA UMI poslat info o DNS (doporucuju si precist ten clanek o fous vejs), takze s DNS zadny problem neni.
BFU narazeji predevsim na to, ze jim to nikdo ani za penize neudela, specielne v pripade, kdy nemaji spravu NATu pod sebou, ale NATuje jim uz provider.
Coz IPv6 zasadne zmeni, protoze tyhle problemy jednoduse nebudou existovat, at si skarohlidi tvrdej co chtej.
BFU se o NATu dozvi velmi rychle - prave v situaci, kdy zacne resit, ze mu neco nefunguje - trebas to, ze by si chtel s kamosem zahrat neco po siti.
ha ha ha ...... kolik BFU ví že existuje ňákej NAT. Nicméně BFU spíše narážejí na to že si vše chtějí dělat sami (což při rozumné míře bezpečnosti není jednoduché zařídit) a případně na fachidioty co jim neumějí poradit....a to se příchodem IPV6 nezmění....ani kdyby pro to hlasovalo stodeset IPV6-Jasánku ze sta :)
ad 1) BFU nezajímá pochybné hodnocení nějakého Jendy. Ví že Skype nainstaluje a vše mu funguje.
Co se týče "kvality" SIPu - vyzkoušel jsem desítky nejrůznějších SW telefonů a nejméně 3 SIP providery ale nikdy jsem se nedostal na alespoň ucházející kvalitu hovoru SIP-SIP nebo SIP->normální telefon při hlasitém handsfree (ne jako nějakej dement se sluchátkem a mikrofonem nalepenym na hubě ale hezky reproduktory a mikrofon metr od pusy abys mohl volně procházet místností). Zatímco Skype-Skype a SkypeOut takhle funguje naprosto skvěle a čistě.
Takže je mi fuk na jakym protokolu to fachá, protože Skype je prostě kvalitnější. A za 5 let intenzivního používání pamatuji jeden několikahodinový výpadek.
2) Ničemu z toho co popisuješ IPV4/NAT/FW nebrání a jde to na něm nastavit. Takže pokud od Tebe někdo v těchto případech slyší "to nejde protože jsi za NATem" tak je to lež a měl by si říkat "neumím Ti poradit"...mno a je otázkou zda by si to zvládl v případě IPV6 a routeru se zapnutým FW.
3) Protože stejně bude firewal zavřenej :) Nicméně pokud vím, tak momentálně tohle IPV6 protokoly neumějí - tedy že ti na jedné lince od providera provider nebo domácí router přidělí další veřejnou IPV6 adresu a aktualizuje DNS aby ta adresa byla nějak rozmně "oslovitelná" (ale mohu se mýlit)
Hmm .. jednotky procent, jo? ... hm, tak tvrda cisla, OK? Sem zvedav na protiargumenty ...
Pocet registrovanych uzivatelu !jedineho! nejmenovaneho ceskeho trackeru - temer 170 000. Kolik ze mame v Cr pripojek? Kolem 2M? => 10% A to jich bude podstatne vic, mluvim o jednom nepatrnem prikladu jedne jedine sluzby!
Ale muzem samozrejme pokracovat - pres nat nefunkcni(nebo polofunkcni) VoIP ... kolik % lidi by to rado pouzivalo? Hm?
Mam opravdu rad tyhle placy od lidi, kteri vubec netusi o cem mluvi.
BTW: Na tom nejmenovanem trackeru je penetrace IPv6 tak kolem 30% - samozrejme prevazne ruznymi typy tunelovani. Proc ze to? No protoze na IPv6 je dotycny aktiv => nemusi resit potize s rychlosti/tim ze musi cekat az se naky aktiv najde/...
Stoupnemez si pred dub a mluvmez do nej, to bude efektivnejsi ...
Oni proste nechapou, ze nat/maskarada lze obejit lusknutim prstu, porad neco melou o skryti organizace vnitrni site, coz je nemysl ...
Naopak, firewallovat nat je pekne vopruz, narozdil od nenatovany site, kde je vsechno jasny. Opravdu by me zajimalo, kolik lidi ma na svym natu neco takovyho:
0 0 REJECT all -- * * 0.0.0.0/0 192.168.0.0/16 reject-with icmp-net-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 172.16.0.0/12 reject-with icmp-net-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 10.0.0.0/8 reject-with icmp-net-unreachable
A samo i opacnym smerem ... promile?
1) No právě, jede Skype, technologická tragédie, místo mnohem lepších protokolů typu SIP.
2) SIP, přenos souborů, vzdálená plocha, vzdálený scheduling nahrávání na „chytré televizi“, dohled nad domácí zabezpečovačkou.
6) Proč by měla být k ničemu a proč by měla být bez DNS záznamu?
Tohle je naprostý blábol a mantra všech IPV6-Jasánků.
1) 99% BFU nic neřeší - Skype jede, Xichtokniha jede , Seznam jede
2) Dejte mi příklad kdy BFU potřebuje něco co "nejde, protoze mas NAT"
3) To o čem mluvíte, že díky přednastavenému firewallu(a samozřejmě NATu) v domácích routerech je potřeba pro přístup z venku "něco nastavit" bude potřeba zrovínka tak nastavit na domácím firewalu i v případě IPV6 - tedy pokud nebudou FW standardně otevřené světu - no pak to dopadne jako s defaultně nezabezpečenými domácím wifinami ovšem s tím rozdílem, že otevřenou wifinu může zneužít pár kolemjdoucích a sousedů ale otevřenou domácí síť může zneužít kdokoliv na světě.
4) IPV6 vašeho milého BFU vůbec nezbaví nutnosti něco nastavovat, a je jenom otázka SW vybavení routeru/firewalu jak jednoduché a stravitelné to pro něho bude a to bez ohledu na to, zda nastavuje pravidlo pro NAT/FW pro IPV4 nebo NAT pro IPV6
5) Z uvedeného článku zcela jasně vyplývá, že IPV6 domácnostem v současnosti více problémů přinese než vyřeší, takže nelze čekat jakýkoliv rychlý rozvoj, protože to že pár nerdů bez IPV6 neusne tisíce dalších BFU absolutně nezajímá :)
6) Už systém samotného přidělování veřejných IPV6 adres pro domácí sítě bude velmi zajímavý protože veřejná adresa přidělená DHCP bez DNS záznamu je tak jako tak k ničemu.
„Musím se přiznat že mně osobně se také nelíbí, aby všechny adresy byly veřejné.“
To, jestli je adresa vybrána z rozsahu 10.0.0.0/8 nebo 11.0.0.0/8 na bezpečnostních vlastnostech nic nemění. Jsou to jen čísla.
„Router/NAT má tu velkou výhodu, že když někdo podělá konfiguraci, tak se třeba zhroutí LAN, ale WAN zůstane nedotčený.“
Tato věta podle mě nedává moc smysl.
„Děsím se situace, kdy na WAN síti budou miliony stejných zařízení a při hacknutí jednoho typu vzniknou velmi rozsáhle botnety.“
Nevidím žádnou souvislost s výběrem rozsahu pro adresaci ani s použitím překladů adres.
„Vůbec z toho nemám dobrý pocit“
Chápu :).
Musím se přiznat že mně osobně se také nelíbí, aby všechny adresy byly veřejné. Router/NAT má tu velkou výhodu, že když někdo podělá konfiguraci, tak se třeba zhroutí LAN, ale WAN zůstane nedotčený. Děsím se situace, kdy na WAN síti budou miliony stejných zařízení a při hacknutí jednoho typu vzniknou velmi rozsáhle botnety. Vůbec z toho nemám dobrý pocit a osobně doufám a věřím že NAT zařízení zůstanou zachována.
Až na to, že RFC 6106 je napsané tak, že nemůže fungovat. V první řadě je napsané s předpokladem, že se neztrácejí pakety. A co hůř, s předpokladem, že se neztrácejí multicastové pakety. Wifináři plačte.
Momentálně mám připravený patch do NetworkManageru, který porušuje RFC 6106 za účelem zajistit uživateli správnou funkci sítě.
Původní příspěvek do IETF mailing listu:
http://www.ietf.org/mail-archive/web/ipv6/current/msg15816.html
Stále upravovaný návrh možných řešení:
http://git.pavlix.net/gitweb/?p=rdnss.git;a=summary
Popis chyby v bugzille Fedory:
https://bugzilla.redhat.com/show_bug.cgi?id=753482
Patch pro NetworkManager:
http://git.pavlix.net/gitweb/?p=NetworkManager.git;a=commit;h=a0b5ef110ddf42c4e4d1cc186b3d9e5dfd3617bc
A což teprve ti, kteří nemají počítač, že, ty NAT netrápí vůbec! :)
„Vždycky mě "zaráží" tyhle rádoby "odborné" pohledy na svět. Já řeším NAT = každý řeší NAT a navíc DENNĚ.“
Dobře, vyjděme z toho, že máš pravdu. Vyjděme i z toho, že se dotyčný člověk dopustil chybné interpretace. A dejme to dohromady s tvrzením, které se tímto snažíš dokladovat.
„To se tady zase sešla "sestava" troubů.“
To zní dobře. Zřejmě tedy budeš v diskuzi z těch chytřejších a znalejších. Možná nejchytřejší, když si můžeš dovolit vynášet takové soudy.
Potom mi ale není jasné, proč mezi „nás lúzu“ sem na lupu vůbec sestupuješ :).
Jen bych rád doplnil, že IP maškaráda (lidově NAT, ač ten pojem ve skutečnosti neznamená totéž) ten princip propojitelnosti každého s každým porušuje neřízeně, je to technický nedostatek.
Navíc maškaráda nemá vlastnosti, jaké ji laici přisuzují. A dokonce ani každá implementace maškarády nemá ty vlastnosti standardizované, natož stejné.
Oproti tomu lze omezovat možnost propojení řízeně, firewallem, což je nedílná součást zabezpečování počítačových sítí. Firewall má oproti maškarádě bezpečnostní vlastnosti, které jsou definované a cílené a vychází vstříc požadavkům provozovatele sítě (i třeba domácí, pokud mám přístup ke konfiguraci).
LAN a WAN se nedělí podle toho, jestli používáte adresy z RFC1918, nebo ne. NAT porušuje základní principy internetu, tj. MOŽNOST spojení každého s každým. Je dobře, že IPv6 tenhle princip vrací do života.
Na otázku PROČ byste si musel umět představit i jinou architekturu aplikace, než http klient-http server (viz váš první příspěvek).
Ano, každé zařízení má svojí adresu, ale nevidím důvod proč by každé zařízení mělo mít VEŘEJNOU adresu. Naopak rozdělení na LAN a WAN je docela dobrá myšlenka. A jen kvůli tomu, že máme najednou spoustu IP adres tak "nasrat" všecky PC na zěměkouli do jedné "ipv6 LANky" aby to měly všichni hackeři ještě jednodušší.. PROČ?!!
To se tady zase sešla "sestava" troubů. Když někdo napíše že 99% BFU řeší nějaký problém s NATem. Jaká to HOVADINA. Jen odhadem 2/3 uživatelů na PC neřeší NIC jiného než že si otevřou browser a v něm naskočí Seznam.cz. Pár zkušenejších si stáhne něco z uložto, pošle něco na FB nebo jůtůb. A stále naprosto neřeší nějaký NAT.
NAT může reálně trápit max JEDNOTKY PROCENT bfu.
Vždycky mě "zaráží" tyhle rádoby "odborné" pohledy na svět. Já řeším NAT = každý řeší NAT a navíc DENNĚ.
Tedy opravdu je tady někdo mimo ale já to rozhodně nejsem.
Vidite, proc mame Skype - protoze NAT.
Proc posilame fotky mailem nebo pres uloz.to - protoze NAT.
Hamachi - protoze NAT
Teamviewer - protoze NAT
Teamspeak - protoze NAT
Vzdalena plocha nefunguje - protoze NAT
Sice je mozna dobre ze se kvuli NATu zalozily a prosperuji stovky firem, ale ja si myslim ze by si nasly svuj byznys i kdyby NAT nebyl.
blbost jste napsal vy.
1) nat není žádná orchrana - na router patří firewall a to jak pro ipv4 tak pro ipv6
2) počítač je mnohem jednuduší napadnout přes blbost uživatele (absence antiviru, spouštění kradeného software obsahujcí všelijakou havěť, ...) než přes chybu síťového stacku nebo nějakého démona
Podle mě veřejné adresy (v6) na každé PC doma jsou kravina. Tak se stane z netu jedna velká LANka kde bude milionkrát větší šance že někdo hackne někomu PC.
Zlatý NAT! 95% BFU to úplně stačí, fejsbůk jde, seznam jde, jůtůb jde tak co řešit?
Znovu opakuji - ipv6 do vnitřní sítě má smysl jen pro naprosto speciální využití někde ve firmách a NE doma!