Rovnako som rad, ze ani len moj provider nevie, kolko mam doma interneteniaschopnych zariadeni (PC, NB, mobily, cierne hracie skrinky...), kedy ktore z nich zapinam a podobne....
Hm, a bez NATu je v tom snad nějaký rozdíl? Máte-li tam firewall, nedozví se to provider ani potom. A naopak -- i teď s NATem a IPv4 není problém sledováním provozu zjistit že k té vaší jediné veřejné IP adrese evidentně není připojení jen jediné zařízení ...
Pořád to samý dokola a dokola -- "my máme NAT, my jsme v bezpečí. Ach jo :/
IPv6 má tzv. privacy extensions a komunikující zařízení si ty adresy mění rychlej než ponožky, takže jediné co poznáte je to, že zevnitř něco komunikuje, ale to je asi tak všechno.
Jenomze tady nejde o to nalhavat providerovy ze mate pripojeny jen jeden pocitac. Tady jde o to ze mate ve vnitrni siti zarizeni kteres se pripojuje ven a nechcete vytrubovat kazdemu, kdy je vas napriklad mobil doma = vy jste doma. To bez NATu neudelate, firewal nestaci.
Ano, ale to ve vnitrni siti nelze pouzit! Proste proto, ze pak je daleko vetsi problem nalezt, kdo uvnitr zabezpecene site dela co by nemel. Pozadavek je mit co nejvyssi kontrolu ve vnitrni siti a zaroven co nejmene vykecat ven. S IPv^ bez NAT muzet mit jedno nebo druhe, ale ne oboji.
NAT je len pridavok k bezpecnosti, sice maly, ale nie zanedbatelny. Firewall nemaskuje rozne IP, ktore pristupuju z mojej siete von, to robi prave NAT. Pokial teda nemate pod pojmom "firewall" na mysli tu ciernu krabicku, ktora nepotrebuje NAT, len "riesi pristup" na internet (pravidla, preklad adries, zmeny TTL a okien kvoli stazeniu identifikacie OS a podobne.) :-)
Ako chcete z vonka zistit, ze dnu evidentne je pripojenych viac PC napriklad s WinXP? :-)
Vdaka, aspon som to nemusel pisat ja. Skratka a dobre, kopec uplne zbytocnej roboty navyse. Nehladiac na to, ze prave z tychto dovodov ma kopec firiem sice DHCP, ale s pevne pridelovanymi adresami per MAC.
Tak tomu mobilu přiřadí váš router pokaždé jinou IP adresu z vašeho rozsahu. Stejně to váš ISP daleko snáz pozná podle typu komunikace, pokud by tedy neměl na práci nic jiného, než sledovat, jestli je váš mobil už doma nebo ještě ne.
To je uplne skvela hromada harampadia a debilnych workeroundov navyse len kvoli tomu, ze aj designerom IPv6 je uplne jasne, ake prinosy NAT ma, len ich treba niecim nahradit nasilu s vynechanim samotneho NAT.
Zajímalo by mne třeba, jak s NATem zjistíte, který počítač ve vaší vnitřní síti šíří viry, když vám přijde hlášení od postiženého nebo nějakého firemního bezpečnostního týmu.
Vacsinou zavireny PC robi na sieti paseku, ktoru si vsimne nejake IPS/IDS a upozorni, ktora IP robi neplechu. (teda podla mojej osobnej skusenosti vacsinou lezie von na SMTP alebo botacke adresy a to uz upozorni rovno firewall) Co mi v pripade velmi castej zmeny IP klienta vobec nepomoze.
Častá změna IP adresy přece není problém, pokud dostanu hlášení s přesným časem (a nakonec ani nemusím s přesným časem, protože dvě zařízení se stejnou adresou se patrně v síti neobjeví)
1. na slovensku sa taki najdu (neuveritelne, vsak?), kedysi to robilo konkretne UPC - preto som ich obchadzal z dialky, robi sa to aj teraz
2. a bavime sa predsa aj o tom, ze NAT dokaze pohodlne skryt topologiu domacej/firemnej siete. jednducho viem na urovni PC (instalacia rovnakych OS a vybavenia) a firewallu zabezpecit, aby sa tvarili totozne, takze ak budu maskovane na jednu IP, je z vonka sakra problem rozlisit, co vnutri siete je.
To je prave omyl, pretoze ked ste sucastou akejkolvek (aj kvazi-virtualnej) siete, vzdy ostatne pocitace, ktore s vami komunikuju nakoniec musia byt stavovo spojeni. Tusite, ako napriklad chcete kulturnym sposobom (t.j. bez stahovania 1000000 malych kuskov + neskutocna rezia okolo toho) stahovat instalacky debianu na DVD, ak chcete pritom kazdu chvilu menit IPcku?
jednducho viem na urovni PC (instalacia rovnakych OS a vybavenia) a firewallu zabezpecit, aby sa tvarili totozne, takze ak budu maskovane na jednu IP, je z vonka sakra problem rozlisit, co vnutri siete je.
Můžete sledovat třeba HTTP komunikaci nebo e-maily, kromě přímé analýzy hlaviček (cookies, jména a hesla) je pak můžete vyhodnocovat statisticky a podle toho od sebe odlišit jednotlivé uživatele podle vzorců chování.
OK, to uz je skor socialna analyza, ktora ale neposkytne exaktne data. Napriklad od nas z firmy si maily von nepozera nikto. Nemoze. Jedine cez HTTP(S) na svoje sukromne konta. Browsery rovnake, OS rovnake. Pripadny snifovac sice ma data, ale vacsina ludi ma aj tak konta typu bubulak99@seznam.cz a podobne, takze je problem zistit aj to, ide vobec o chlapa alebo zenu. Dalej ludia mozu mat adries viacero, takze odchytenie toho, ze si dakto cita maily seznam.cz pre adresu bubulak99@seznam.cz a bubulak98@seznam.cz moze znamenat aj dva rozne PC, alebo jen jedneho cloveka s 2 kontami. Ak to dakomu za to stoji, tak si moze s partiou ludi urobit za tyzden-dva daku analyzu aj s odhadmi (otazne, ako presnymi). Ale je to neporovnetelne s IPv6, kde ma celu mapu internej siete zadarmo rovno na papieri do 60 minut po tom, ako pusti na daktorom vacsom spravodajskom serveri, kam vacsina ludi v kazdej firme hned z rana zabludi.
Takze ak IPv6 bez NAT, tak potom povinne proxy. A napriamo von nic. A zasa mame v haji vsetky tie slavne "vyhody" IPv6.
Ale jistě, pokud chce někdo mít velmi restriktivní firewall a přístup ven jen přes proxy, v tom mu přece IPv6 nijak nebrání. podstatné je to, že když bude chtít jeden či více počítačů zpřístupnit z internetu, udělá to snadno.
Na tu mapu sítě vytvořenou ze zpravodajského serveru úplně stačí JavaScript a cookies, a NAT vám v tom nijak nepomůže.
Minimalne na ITcku u nas vacsina ludi pouziva NoScript a ma zakazane cookies + dake tie haluze proti flash cookies. Povolujeme si to akurat pri internetbankingu a podobnych veciach.
Ako som uz pisal pred chvilou. Netvrdim, ze to nejde vobec aspon ako tak odhadnut, aku asi mame velku siet a podobne. Ale pristup von bez NAT poskytne kazdemu s minimalnymi nakladmi uplne presnu mapu siete. A tie naklady byvaju velmi podstatne pri rozhodovani, ci sa o mna zacne dakto blizsie zaujimat.
Ono to funguje tak, že ty adresy se mění postupně s nějakým překryvem, přičemž preferovaná pro nové spojení je ta nově vytvořená. Časem ty staré adresy mizí.
vy logujete veskery traffic z firmy ven ? Pokud ne, tak vam od nekoho prijde ze z vasi NATovany IP prisel nejakej bordel a vy se muzete jit leda klouzat. To ze by se utocici komp projevoval nejak ve vnitrni siti neni totiz vubec pravda. Slusnejsi cervik vypada navenek trebas jako prohlizec.
Kdyz mate IP primo toho kompu, tak jej ste schopen dohledat.
One je zasadni problem protistrane oznamit zmenu IP ? Navic viz predchozi, IP nezmizi dokud ji nejaka konexe pouziva. Nehlede na to, ze vas denni rezim bez problemu zjistim z vaseho NATu na zaklade provozu.
A, pan je vzdelany, predpokladam ze mate zakazany javascript, pokud ne, tak vas prohlizec praskne daleko vic informaci, napriklad vasi vnitrni IP. Takze identifikovat N pocitacu za NATem lze celkem spolehlive.
„Dalej ludia mozu mat adries viacero, takze odchytenie toho, ze si dakto cita maily seznam.cz pre adresu bubulak99@seznam.cz a bubulak98@seznam.cz moze znamenat aj dva rozne PC, alebo jen jedneho cloveka s 2 kontami.“
Jako že třeba jeden člověk používá dvě konta najednou ze dvou instancí prohlížeče a stíhá v tom webmailu klikat taky najednou, že jo.
1. Firemne prostredie - ako sa tu uz spominalo, aj po stranke pridavku k bezpecnosti (uzavretost siete pred okolim, nikoho vonku nema co zaujimat, kolko a akych PC je v mojej sieti a kto konkretne kam konkretne chodi) aj po stranke praktickej (presuvanie podsieti, zmena providera a podobne).
2. Domaca siet - ja osobne som rad, ze mam DHCPkom nahodne pridelovanu IPcku od providera, takze moje paranoidne ja nenechava po sebe na kazdom serveri zaznamy s tou istou klientskou IPckou. Rovnako som rad, ze ani len moj provider nevie, kolko mam doma interneteniaschopnych zariadeni (PC, NB, mobily, cierne hracie skrinky...), kedy ktore z nich zapinam a podobne....
1) opet a dokola, NAT nic nezabezpecni ani neschova. Dobre 50% domacich a firemnich siti vesele posila privatni IPcka ven z te site, protoze nemaji spravne nakonfigurovany firewall.
2) staci si nechat pridelit vlastni /48 prefix (coz se v pripade odroutovane site predpoklada) a nikdo nevi kolik kde tam ceho je. IPcka si jednotliva zarizeni voli nahodne. Vcem je problem ?
Asi mate velky prebytok casu v praci. ja napriklad tolko casu nemam, aby som kvoli sledovaniu podozrivej prevadzky na sieti este prehladaval tabulky zmien ipciek. ak zistim, ze sa z 500 roznych ipciek posielaju von emaily a bude mi trvat 15 minut, kym zistim, ze ide o to iste PC, len sa mu medzitym 499x zmenila IP adresa, tak si asi nasadim bryle a modre sluchatka....
Tam bude nejake hlboke nedorozumenie. Vacsina dnesnych implementacii NAT preklada adresy na VYSTUPNEJ strane brany. Takze IP adresy vsetkych klientov su povodne.