Hlavní navigace

Vlákno názorů k článku Homenet: IPv6 v domácích sítích od http://pavlix.net/ - Tak pod diskuzemi o IPv6 se schází víceméně...

Článek je starý, nové názory již nelze přidávat.

  • 1. 6. 2012 23:51

    http://pavlix.net/

    Tak pod diskuzemi o IPv6 se schází víceméně dva tři typy lidí:

    1) Ti kteří se o IPv6 zajímají, protože ho považují za řešení určitého problému. To jsou ty, které nemá rád pan Jasánek.

    2) Ti kteří se o IPv6 zajímají, protože jsou administrátoři a musí se zabývat nebo věří, že se budou muset tímto protokolem zabývat. Jejich postoj k IPv6 se pohybuje od mírně negativního až po mírně pozitivní.

    3) Ti, kteří zjistili, že se objevilo něco, čemu nerozumějí. Tudíž je nutné to co nejvíce pomluvit v naději, že se tak vyhnou tomu, že by se to někdy museli učit.

    Zatímco se tu přetahuje první skupina se třetí, druhá skupina jaksi v diskuzi chybí, protože je nebaví číst příspěvky třetí skupiny. Třetí skupina doufá, že přitáhne pozornost dostatku lidí z první skupiny, aby měli
    s kým se hádat. Z první skupiny se pár lidí v různých vlnách chytí v domnění, že dokážou diskuzi udělat zajímavou.

  • 8. 6. 2012 22:35

    Pavel Šimerda

    Obdivuju snahu prokousat se tou hromadou balastu.

    „Výše uvedené samozřejmě předpokládá, že IPv6 je odladěné a použitelné.“

    Tady by pak bylo ještě potřeba toto vyjádření kvalifikovat. Protože standardy jsou do jisté míry použitelné, tedy až na botu v RFC 6106 a možná dalších, ale ty jsou dány právě tím, že ještě příliš nedospěly do praxe.

    Takže hlavní připravenost či nepřipravenost je na straně dodavatelů jednotlivých komponent, které firma používá. Z koncových systémů mám dojem, že Windows už jsou delší dobu na dobré úrovni (ale nepodporují 6106), moderní linuxové distribuce doufám doladíme během krátké doby tak, že budou opět na špici, apple nevím, ale prý ok :).

    Zbytek je infrastruktura.

    Nepřipravenost a neodladěnost IPv6 je výmluva, nepřipravení jsou vždy lidé a případně jejich výrobky, jejich sítě, atd. Nedostatky v samotných internetových standardech (IPv4, IPv6 i neutrálních vůči verzi IP) se stejně dají řešit jen při nasazení v praxi.

  • 13. 6. 2012 0:34

    http://pavlix.net/

    „Co se týče NATu. Sám píšete, že se dnes téměř všechny problémy okolo NATu podařilo vyřešit.“

    Téměř a ještě k tomu značně neoptimálně.

    „Navíc obvykle právě takovým způsobem, že je vždy nutné aktivně iniciovat spojení z vnitřní sítě, což považuji za potencionálně bezpečnější.“

    Bezpečnější to ve srovnání s firewallem není. Každá obezlička by se měla srovnávat se standardním řešením problému, ne s jeho neřešením.

    Lupa.cz Homenet: IPv6 v domácích sítích Názory Názor Odpověď
    Odpověď na názor

    Odpovídáte na názor k článku Homenet: IPv6 v domácích sítích.
    admin . aura:21
    admin .
    10. 6. 2012 15:37
    Re: na IPv6 se těším
    celé vlákno

    Děkuji za seriozní názor. Nebudu tady polemizovat o bodech 1-4. Já netvrdím, že by to nešlo, a dokonce si troufám říci, že by mi to z pohledu mých znalostí a schopností (zkušeností tedy ne to je asi jasné) ani nečinilo obzvláštní potíže rozchodit a správcovat. Nicméně těmhle malinkým firmičkám, připojeným většinou přes ADSL by to krom nutnosti vyměnit router nepřineslo nic pozitivního, naopak by jim hrozily potencionální problémy díky komplikovanosti současného stavu implementace IPV6.

    Co se týče NATu. Sám píšete, že se dnes téměř všechny problémy okolo NATu podařilo vyřešit. Navíc obvykle právě takovým způsobem, že je vždy nutné aktivně iniciovat spojení z vnitřní sítě, což považuji za potencionálně bezpečnější. Mám-li otevřenou službu směrem ven, může do ní "bušit" a využít potencionální SW chybu kdokoliv. Nutí-li mne nat aktivně vybudovat spojení, mám (do jisté rozumné míry) pod kontrolou alespoň s kým komunikuji. Z tohoto důvodu považuji NAT za bezpečnostní prvek v přeneseném slova smyslu.

    „Osobně jsem přesvědčen o tom, že pokud se IPV6 rozšíří a bude se používat opravdu hromadně, tak se vyvinou podobné protokoly jako Skype, Hamachi právě proto že jsou v prvé řadě potenconálně bezpečnější“

    Protokoly, které si svévolně otevírají díry do zabezpečení můžou být jen těžko potenciálně bezpečnější, než protokoly, které si cestu otevírají standardizovaným způsobem.

    Prasárny jako VPN na portu 443, DNS tunely a podobné se samozřejmě používat budou, ale neměly by se stát standardem produktů pro firmy.

    „a proto, že BFU "nainstaluje a komunikuje" bez jakéhokoliv nastavování. Myslím si totiž, že nikdy nebude žádoucí vystavovat vše z místní sítě do internetu.“

    To, že BFU nainstaluje a komunikuje a zabezpečení, jsou dvě různé (a protichůdné) věci.

  • 14. 6. 2012 14:59

    Filip Jirsák

    Už pár let jsou nejčastější dotazy na linuxových diskusích týkajících se sítí různé variace na "mám někde na routeru veřejnou IP adresu a potřebuji se skrze ní dostat na server ve vnitřní síti". Často vylepšené o kaskády routerů nebo více bran do internetu. Kdyby NAT nebyl, nebyly by ani podobné dotazy a dotyčnému by to fungovalo hned tak, jak se to pokusil udělat intuitivně napoprvé.

  • 14. 6. 2012 21:39

    admin.

    ale ale.....vždyť jenom hloupě žvaníte.....až bude většina BFU diskutovat na linuxových diskuzích dávno bude jiný protokol než IPV6 :)

    BTW: hoďte sem link na nějakou českou linuxovou diskuzi o které tady mluvíte........

  • 15. 6. 2012 8:09

    Filip Jirsák

    Já nepíšu o BFU, to je jen jedna z vašich demagogií. Tady se bavíme o lidech, kteří někdy něco síťového konfigurují, ne o koncových uživatelích, kteří chtějí nějaké internetové zařízení jen používat.

    AbcLinuxu.cz, Root.cz nebo aspoň Google neznáte?

  • 18. 6. 2012 12:26

    bez přezdívky

    Ach jo. Už to tu sice zaznělo několikrát ale pro vás ještě jednou.

    Ano téměř všechny problémy okolo NATu se podařilo vyřešit ale za cenu 1) složitějšího nastavování, 2) neoptimálního provozu, 3) omezení pro aplikace.

    To, že spojení z vnitřní sítě ven je bezpečnější je naivní představa. Pokud na takové představě trváte tak vám to vyřeší jedno pravidlo ve firewallu.

    V běžném provozu potřebuji spojení z venčí dovnitř. Sám ve svém příkladu takové služby uvádíte (mail, sip, http). Jak chcete provozovat web server, který aktivně inicializuje spojení z vnitřní sítě??

    Proč pořád omíláte tu svojí demagogii: v síti je IPv6 = vše z místní sítě je vystavené do Internetu?

  • 22. 6. 2012 9:34

    Pavel Šimerda

    „Myslíte že provozovat web server v nějaké domácí nebo malé podnikové síti na ADSL či podobné konektivitě je dobrý nápad ?“

    Myslíte, že na tuhle otázku lze odpovědět bez konkrétních informací? Já myslím že ne. Tudíž myslím, že v mnohých případech to dobrý nápad je.

    A pokud má firma zmršené připojení (pomalý upload), čekají ji mnohem horší problémy než jenom tohle. Ono je někdy lepší si pořídit konektivitu odpovídající potřebám než pak platit řidiče, který jezdí s flashkou mezi firmami kvůli pomalému uploadu.

  • 2. 6. 2012 0:57

    admin.

    Omyl, zapomněl jste na sebe a ostatní IPV6-Jasánky, kteří nekriticky obhajují zcela pošahané IPV6 a neštítí se přitom mlžit, lhát případně naprosto obskurně fabulovat. Osobně si myslím ,že je to právě proto, že podvědomně vidí do jakého průseru nás IPV6 postupně bude stahovat. Je evidentní, že vlastnímu přechodu na IPV6 věnovali čas a prostředky ale nyní jsou povětšinou v situaci osamělých IPV6 ostrovů závislých na pomalém tunelování a to je frustruje. Proto napadají každého realistu, který vidí, že (v současnosti) nemá žádný smysl se pouštět do nedovařeného IPV6. Mají pocit, že když budou ve fórech lhát o bezmezných výhodách IPV6 a pomlouvat stávající fungující mechanismy, tak možná někoho "převrátí na pravou IPV víru".
    Nejčastější lži a fabulace :
    1) NAT je brzdou pokroku, BFU je za NATem v háji a nic nemůže...až přijde IPV6 bude zcela bezproblémová end-to-end komunikace.
    Bohužel se vždy najde někdo kdo jim nahraje na flame o tom že NAT je bezpečnostní prvek načež začnou hrozit, že se mu podívaj na jeho soubory. Nic jim nevadí že to je nesmysl, že ve skutečnosti by se horko těžko dostávali za holý NAT pokud by byli ve stejné veřejné subsíti, vůbec jim navadí, že holý NAT (bez firewallu) je tak velmi velmi vzácný jev a když tak je to spíše špatnou konfigurací/im­plementací v konkrétní "krabičce" .
    2) Co se týče bezproblémové end-to-end komunikace, tak faktem zůstává, že příchod IPV6 nic zásadního nezmění, protože IPV6 SOHO krabičky budou muset obsahovat FW a ten bude někdo stejně muset nakonfigurovat a je celkem jedno jestli konfigurujete FW+NAT pro IPV4 nebo FW pro IPV6.
    3) Navíc dnes hromadné nasazení NATu vyvolalo tvorbu takových postupů, které argument o problémové end-to-end komunikaci eliminují. Příkladem budiž Skype, různé messengery, Hamachi a pod. Dokonce i ten SIP se dá provozovat za NATem - takže zase další lež. Dokonce tohle lze považovat za jistý bezpečnostní prvek, neboť tyto služby nepracují "jen" za NATem , ale také za firewallem a podle mne každá komunikace pokud se vždy důsledně musí iniciovat zevnitř je v zásadě lépe kontrolovatelná a tím pádem bezpečnější. Takž možná tyto služby zůstanou ve své podobě i po přechodu na IPV6 akurát budou obcházet místo NATu FW.
    4) Když namítnu, že se k síti budu odkudkoliv vzdáleně připojovat (VPN,RDP a pod.), tak začnou uvádět příklady sítí, kde má správce odchozí komunikaci zablokovanou - jako kdyby ji nemohl zablokovat na IPV6 - takže zase jsem tam kde jsme byli IPV6 problém restrikce odchozího spojení neodstraní. NIcméně se tento problém stal dalším motorem vývoje a byly vyvinuty SSL VPN pracující na portu 443. POkud by i tento port měl být někde na odchodu blokován, nejedná se už asi o připojení k internetu.

    Takhle bych mohl pokračovat bod po bodu. Nakonec Vám dám malý úkol. Zkuste nají jediný praktický důvod proč by hypotetická malá firma měla v současnosti přejít na IPV6.

    Charakteristika: Malá síť s SBS serverem, uživatelé se připojují přes https na OWA, Outloky a PDA jsou synchronizovány též přes HTTPS. Pevné počítače mají vysoké porty namapované na 3309 pro přístup pčes RDP. Ve firmě mají IP telefonii do jednoduché HW ústředny.
    Když přijde návštěva mají tam pro ně možnost připojit se přes WI-FI na internet bez toho aby si šáhli do vnitřní sítě.

    Děkuji.

  • 10. 6. 2012 15:37

    admin.

    Děkuji za seriozní názor. Nebudu tady polemizovat o bodech 1-4. Já netvrdím, že by to nešlo, a dokonce si troufám říci, že by mi to z pohledu mých znalostí a schopností (zkušeností tedy ne to je asi jasné) ani nečinilo obzvláštní potíže rozchodit a správcovat. Nicméně těmhle malinkým firmičkám, připojeným většinou přes ADSL by to krom nutnosti vyměnit router nepřineslo nic pozitivního, naopak by jim hrozily potencionální problémy díky komplikovanosti současného stavu implementace IPV6.

    Co se týče NATu. Sám píšete, že se dnes téměř všechny problémy okolo NATu podařilo vyřešit. Navíc obvykle právě takovým způsobem, že je vždy nutné aktivně iniciovat spojení z vnitřní sítě, což považuji za potencionálně bezpečnější. Mám-li otevřenou službu směrem ven, může do ní "bušit" a využít potencionální SW chybu kdokoliv. Nutí-li mne nat aktivně vybudovat spojení, mám (do jisté rozumné míry) pod kontrolou alespoň s kým komunikuji. Z tohoto důvodu považuji NAT za bezpečnostní prvek v přeneseném slova smyslu.
    Osobně jsem přesvědčen o tom, že pokud se IPV6 rozšíří a bude se používat opravdu hromadně, tak se vyvinou podobné protokoly jako Skype, Hamachi právě proto že jsou v prvé řadě potenconálně bezpečnější a proto, že BFU "nainstaluje a komunikuje" bez jakéhokoliv nastavování. Myslím si totiž, že nikdy nebude žádoucí vystavovat vše z místní sítě do internetu.

  • 14. 6. 2012 12:56

    admin.

    >Protokoly, které si svévolně otevírají díry do zabezpečení můžou být jen těžko potenciálně bezpečnější, než protokoly, které si cestu otevírají standardizovaným způsobem.

    Tady jsem nepochopil co máte na mysli. Jak si třeba Skype "otevírá díru do standardního zabezpečení" bavíme-li se o SOHO routeru.

    >Prasárny jako VPN na portu 443
    Podle čeho soudíte že jde o prasárny ?

    > To, že BFU nainstaluje a komunikuje a zabezpečení, jsou dvě různé (a protichůdné) věci.

    V tom s Vámi souhlasím, ale zmínil jsem to proto, že "deset z deseti IPV6-Jasánků" tvrdí, že BFU ( který podle nich pětkrát denně potřebuje něco nastavovat na domácím NAT/PAT/FW) bude díky IPV6 od tohoto nastavování osvobozen protože zmízí zlý a ošklivý NAT.

  • 20. 6. 2012 13:46

    admin.

    > ...podařilo vyřešit ale za cenu ...
    -složitost : co je složitého na "nastavení" SKYPE nebo HAMACHI
    -optimálnost provozu ... to je otázka úhlu pohledu ovšem uživatele to moc nebude zajímat
    -omezení pro aplikace ...no v každém prostředí existuje určité omezení a nemyslím že IPV6 (obzvláště v dnešní stavu implementace) je na tom lépe...spíše naopak

    >To, že spojení z vnitřní sítě ven je bezpečnější je naivní představa.
    Naivní představa to není. Když nic jiného tak mi tam chybí možnost DDOS útoku.

    >Jak chcete provozovat web server, který aktivně inicializuje spojení z vnitřní sítě??

    Myslíte že provozovat web server v nějaké domácí nebo malé podnikové síti na ADSL či podobné konektivitě je dobrý nápad ?

    >Proč pořád omíláte tu svojí demagogii: v síti je IPv6 = vše z místní sítě je vystavené do Internetu?

    Ale já přece tvrdím pravý opak. Já tvrdím že ten teplý vlhký IPV6Jasánkův sen o okamžité dostupnosti jakéhokoliv domácího zařízení odkudkoliv bez jakékoliv konfigurace je nesmysl , protože i kdyby existovalo IPVXYZ, tak oddělení vnitřní sítě od internetu (firewallem) bude vždy žádoucí a nezávislé na tom zda půjde o NAT/PAT/FW na IPV4 nebo FW na IPV6. Přičemž z pohledu BFU je celkem jedno jestli bude nastavovat NAT/PAT/FW nebo FW a spíše bude důležité jaké informace bude mít a jak sofistikované bude klikací prostředí dané SOHO "krabičky".

  • 1. 6. 2012 23:27

    nigfire (neregistrovaný) ---.raabnet.net

    podle zdejší diskuze jsem asi jedním z mála BUFU, kterým NAT překáží a na jeho hranice naráží. Osobně si myslím,že proti zavedení IPv6 a opuštění IPv4 budou hlavně provideři, kteří si za veřejnou IP rádi nechávají nějakej ten groš připlatit a přijdou tak o část svých příjmů. Jinak NAT je pochopitelně polovičaté řešení, které kompenzuje nedokonalost IPv4 a není jediný racionální důvod proč takové řešení obhajovat.

  • 2. 6. 2012 1:36

    http://pavlix.net/

    Pan Jasánek je zařazen do kategorie 3 plus ještě univerzální kategorie lidí s nedostatkem soudnosti a potřebou urážet hned v prvních větách příspěvku. Zbytek TL;DR.

  • 8. 6. 2012 15:45

    bez přezdívky

    Prvně musím říct, že jsem se u téhle diskuze docela bavil, když už jsem si našel čas to číst. Prostě když je někdo přesvědčený o své pravdě tak argumenty nevidí.

    Teď už ale k vašemu malému úkolu. Je to síť poměrně jednoduchá ale nějaké vylepšení by se tam našlo. Jelikož jste to neřekl, tak předpoládám, že uvedená firma má k dispozici jednu veřejnou IPv4 adresu.

    1) Mapování portů pro RDP je vyložené ošklivé. Kolik tam máte počítačů? Není pro uživatele lepší do RDP klienta psát pepa-pc.firma.net než router.firma.net:23454. Kdo si má ty čísla pamatovat, že? A není vyrazně jednoduší jednorázově povolit přístup na 3309 dovnitř než pro každý počítač dělat mapování a ještě pravidlo do FW?

    2) Přes HTTPs se přistupuje jen na OWA. Ale co když budou chtít rozjet další aplikaci přístupnou přes https? Budete https provozovat na jiném portu? A co když v cizích sítích, odkud budete chtít přistupovat, bude povolena jen ta 443? Nebo nainstalujete http proxy a budete provoz rozhazovat podle URL? A nebylo by jednoduší mít pro tu druhou aplikaci další veřejnou IP adresu? Aha, vi jí na IPv4 nemáte...

    3) Co se týče IP telefonie, tak opět neznám detaily. Budu tedy předpokládat, že vaše HW VoIP ustředna je napojena na ustřednu nějakého operátora přes SIP-trunk. Spojení SIP ustředen přes NAT sice funguje ale za cenu toho, že se musí udržovat aktivní spojení. Případně mírně ten NAT poladit. Vlastní veřejná IP pro ustřednu se spravně nastaveným firewallem by bylo o krapet lepší řešení a rozhodně na konfiguraci pohodlnější řešení.

    4) Oddělená WiFi síť pro hosty se dá udělat stejně dobře na IPv4 jako na IPv6. Pokud ji dělám na IPv4 tak z bezpečnostního hlediska preferuji když se natuje na jiné IP než lokální síť. To ale vyžaduje další IPv4 adresu.

    Výše uvedené samozřejmě předpokládá, že IPv6 je odladěné a použitelné. Což se bohužel zatím řící nedá. A její nasazení v současné době je značně komplikované.

    Nadruhou stranu jsem rád za odstranění NATu, který znamenal mnoho problémů. Ano, dnes jsme se naučili téměř všechny tyto problémy obcházet. Leckdy za cenu zbytečného zesložitění aplikace nebo problémů při jejím zprovoznění. Ale proč si zbytečně přidělávat problémy?
    A co se údajného bezpečnostního přínosu NATu týče, tak jedno pravidlo FW zakazující komunikaci zvenčí dovnitř udělá stejnou (ba lepší) službu. Navíc s menším zatížením routeru a s jednoduším nastavením v případě , že chceme rozjet nějakou méně běžnou siťovou aplikaci.

    Asi bych se nenazval IPv6-jasánkem ale rozhodně jsem antiNAT-jasánek. ;-)