Vlákno názorů k článku Kdy dojdou IPv4 adresy? od Michal Kubeček - Nebýt zprznění Internetu do podoby soustavy sítí schovaných...
-
Zdenda (neregistrovaný)Máte pravdu, na AŽ TAK dávné doby jsem skutečně nepomyslel. Jenže tehdy taky stačil jeden průměrný hacker a jeden blbě napsaný Sendmail a celý internet (pár desítek tisíc uzlů) byl během hodiny dole. Proto přišly firewally a aplikační brány. Pak byl docela dlouho klid, a teprve potom přišel díky menší dostupnosti veřejných adres NAT.
A i kdyby byly (hypoteticky) všechny OS a daemoni psaní pořádně a absolutně bez bezpečnostních chyb, měli bychom v každé větší firmě firewally a aplikační brány taky- zejména proto že se tak mnohem efektivněji šmírujou a kontrolujou zaměstnanci. -
brambor (neregistrovaný)ja jsem nikdy nepochopil co je tak strasneho na NATu? Myslite ze firmy s nadsenim prijmnou fakt ze muzou mit verejnou adresu na kazdem PC ve firme? Je to pro ne nejaka vyhoda? IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi, a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru. Vyhoda teda vlastne zadna. A polovinu soucasnejch verejnejch IP stejne blokujou domaci uzivatele kteri si ji poridili akorat kvuli torrentum, a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou.
-
J (neregistrovaný)Plkate pekne nesmysly panove, viz napr VoIP. Kdyz se bude chti nekdo zvenku dovolant do firmy, musite mit nejaky bazmek na tom NATu, ktery to zaridi. Kdyz ta firma ma 10 pocitacu, je to jen dalsi misto pripadnych zavad navic, ale kdyz ta firma ma 10 000 pocitacu je to vpodstate neresitelny. Kdyby vsechny stroje meli verejne IP, je to ciste o nastaveni pravidla pro jeden port. Podobnych aplikaci je samozrejme vicero.
-
J (neregistrovaný)Jsou nutnosti jen proto, ze neexistuje e2e konetivita. Vazne nevidime zadny duvod k tomu, pouzivat nejaky srv, kdyz chci mluvit s nekym, jehoz IP adresu vidim. Samozrejme, muzu vyuzivat nejake sluzby typu hlasova schranka ... ale kdyz nic takoveho nechci, tak nepotrebuju ani nikomu platit za nejakou virtualni ustrednu, kterou virtualne potrebuju k tomu, abych mohl s nekym mluvit.
Kdyz chcete mluvit s lupou, tak taky nepotrebujete zadne rozhrani a servery, staci, kdyz ma vas stroj pristup do site a da se s nim komunikovat. Vzhledem k tomu ze jde o komunikaci jednostranou, staci, kdyz je dostupna prave ta jedna strana, ale pokud chcete komunikovat obema smery .... -
Ondřej Čečák (neregistrovaný)"ja jsem nikdy nepochopil co je tak strasneho na NATu?"
Tak treba to je hnusna berlicka, ktera obecne nefunguje dobre a kvuli ktere je zpravidla dost omezene pouziti nekterych sluzeb.
"IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi"
Uff. Pokud je tohle vazne pravda, tak si to ti admini myslim zaslouzi.
"a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru."
To zni, jako byste nechapal rozdil mezi slovy NAT a firewall. Nejde o synonymum, nevidim duvod, proc by vas mel nekdo s prichodem IPv6 nutit firewall prestat pouzivat.
"a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou."
Zatim co vy mate zrejme jasno. A co to takhle nechat na zakaznicich, resp. lidech, kterych se to tyka? ;) -
brambor (neregistrovaný)"ja jsem nikdy nepochopil co je tak strasneho na NATu?"
Tak treba to je hnusna berlicka, ktera obecne nefunguje dobre a kvuli ktere je zpravidla dost omezene pouziti nekterych sluzeb.
-- berlicek je spousta. Obecne nefunguje dobre? Tak jak se ma chovat se chova, nic vic od NATu cekat nelze.
"IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi"
Uff. Pokud je tohle vazne pravda, tak si to ti admini myslim zaslouzi.
--ano, tezko asi neni silny argument proti, ale co na to rict? Je to tak. Lepe si zapamatuju 50 adres od tiskaren, switchu, atd v IPv4 nez IPv6, coz samozrejme ale neni argument proti IPv6, je to jen konstatovani.
"a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru."
To zni, jako byste nechapal rozdil mezi slovy NAT a firewall. Nejde o synonymum, nevidim duvod, proc by vas mel nekdo s prichodem IPv6 nutit firewall prestat pouzivat.
-- ale chapal, ale nevidel duvod proc by uzivatele firemniho prostredi meli mit verejnou adresu.
"a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou."
Zatim co vy mate zrejme jasno. A co to takhle nechat na zakaznicich, resp. lidech, kterych se to tyka? ;)
--at si kdo chce pouziva co chce, mluvim od stavu verejnych adres ktery znam z okoli. A ten stav bude spis nez k IPv6 smerovat k setreni se stavajicima adresama, a treba i jejich odebiranim. -
anonymníPravdu má... brambor!
Drtivá většina firem využívá výhod privátních adres. Z řady dobrých důvodů. Jeden za všechny (platí pro IPv4): pokud nemám vlastní AS (a která z firem jej má??), změna inet providera rovná se triviální změně konfigurace routeru. Pokud mám v celé síti veřejné IP adresy, tj. je třeba přeadresovat všechna zařízení, tak pomáhejte adminovi všichni svatí.
Paskvily, jako např. Skype, torrenty a jiné nekontrolovatelné P2P sítě do firemního prostředí nepatří. Pokud někdo potřebuje zajistit připojení zvenku, není problém na routeru forwardovat TCP spojení odkudkoli kamkoli. -
Vojta (neregistrovaný)DHCP znám. Ale
1) jsem docela rád, když si adresy pamatuju a mám v nich v hlavě přehled
2) serverům, routerům, switchům dávám adresy statické. Tato zařízení jsou jakési pevné body, které nechci konfigurovat z DHCP, protože DHCP se mi taky může přestat fungovat a navíc je z pricipu věci insecure.
Administrace lokální sítě postavené na privátních adresách je podle mě jednodušší a bezpečnější než pokud bych všem zařízením dal veřejné adresy. -
Co Vam brani dat staticke adresy i tem IPv6 zarizenim? Hlavne mi prosim nerikejte, ze mate problem zapamatovat si adresu typu 2001:abcd:1::1 ... Pricemz 2001:abcd::/32 je prefix, ktery jste vyfasoval od RIR. Nebo mate za to, ze musite pouzivat vsude eui-64 adresy?
Bezpecnost je v tomto pripade zcela irelevantni pojem. Nema cenu ji diskutovat, protoze sam preklad adres NENI bezpecnostni mechanismus.
Ale tohle vsechno uz diskusemi na LUPE probehlo a nema cenu ho znovu omilat. Zajemce o tento typ diskuse odkazuji do archivu LUPY. -
Vojta (neregistrovaný)Souhlasím, možná jsem se nepřesně vyjádřil. Chtěl jsem říct, že v IPv4 světě je výhodné použít uvnitř lokální sítě privátní adresy, protože např. v případě změny v připojení do internetu není nutno cokoli měnit (DNS, DHCP, ...).
Čtěte prosím pozorněji. Já jsem řekl, že DHCP není bezpečné, a na tom taky trvám. O NATu nepadlo ani slovo, NAT samozřejmě nemá žádný bezpečnostní význam.
Naopak použití privátních adres bezpečnost zvýší. Pokud nebudu mít žádný firewall a přitom budu mít privátní adresu za routerem, radikálně omezím množinu možných útočníků zvenčí. Zkuste se ke mně připojit, když mám 10.0.0.5 a vy ke mně máte 15 hopů :-). -
Co se zmen tyce, pokud jste vetsi spolecnost, predpokladam, ze mate PI adresy. Pokud nikolivek, uz jsem par organizacim s prechodem mezi ISP pomahal a verte, ze to prilis bolave nebylo. Zmenu DHCP je mozne udelat jednim zapisem, pripadne jednou davkou. u DNS, vcetne reverzniho je to podobne (pokud nepouzivate treba pro stanice dynamicke DNS).
DHCP neni bezpecne? V jakem smyslu?
Co se tyce pripadu s 10.0.0.5, pokud na pristupovem smerovaci nebudete mit firewall, neni preklad adres neprekonatelnou prekazkou. Ja davam prednost zabezpeceni nikoliv chimerickemu, takze kdyz zakaznik chce zabezpeceni jednoduche, dostane firewall - kdyz slozite, tak holt firewall na stanicich. -
Vojta (neregistrovaný)DHCP zranitelnost - např. podvržený DHCP server. Robustní DHCP vyžaduje nasadit všude spravované switche a zakázat DHCP odpovědi z neautorizovaných portů.
10.0.0.5 - kdo Vám to bude 15 hopů kolem půl zeměkoule směrovat, to jsem teda žádostiv. Samozřejmě, firewall je úplnej základ. Privátní IP adresy jsou pouze dodatečná výhoda - pro mě. Pokud si chce kdokoli komplikovat život vlastním AS a PI adresami, je mu přáno. -
Pokud se budeme bavit o tom, ze neverite vlastni fyzicke/linkove infrastrukture, tak se nabizi spousta dalsich peknych utoku. Aniz bych daval nejake konkretni priklady, arp/rarp neni uplne neprustrelny protokol.
Vzhledem k tomu, ze dnes vetsina utoku chodi z nejakych pocitacu, ktere jsou ode mne pres jeden dva hopy (ano bot nety), pak je diskuse o "delce dosahu smerovani" Vasi privatni site irelevantni :-)
Dovolil bych si to prirovnat "zabezpeceni NATem" k "zabezpeceni WiFi tim, ze nevysilam SSID" ... -
Ondrej "SanTiago" Zajicek (neregistrovaný)> Jeden za všechny (platí pro IPv4): pokud nemám vlastní AS (a která z firem jej má??), změna inet providera rovná se triviální změně konfigurace routeru. Pokud mám v celé síti veřejné IP adresy, tj. je třeba přeadresovat všechna zařízení, tak pomáhejte adminovi všichni svatí.
Pak se nabizi jeste moznost NATovat privatni rozsah na stejne velky verejny rozsah. Tim ti odpadne velka cast problemu s NATem (i kdyz ne vsechny). -
J (neregistrovaný)Duvodem proc nema drtiva vetsina uzivatelu "svuj" rozsah IP je prave ten, ze jich jaksi neni dost. Je jasny ze vam asi tezko bude nekdo smerovat /30. Samozrejme ze pro 5 pocitacu si asi nema cenu zadat o prefix, ale pro 50 uz to smysl ma.
Ma to navic jednu vemi velkou vyhodu, kdyz potrebujete zalozni linku, coz u stredni firmy uz je skoro nutnost, nemusite resit nejake zhuverile scripty na routeru, ktere vam budou prepinat NAT a milion forwardovanych portu. Staci proste oboum ISP rict, ze maji smerovat rozsah XY pokud linka funguje. -
Ondřej Čečák (neregistrovaný)"Obecne nefunguje dobre? Tak jak se ma chovat se chova, nic vic od NATu cekat nelze."
OK, myslel jsem spis to, ze i providerum dava zabrat. Nebo je snad trivialni NATovat tisice uzivatelu, nedej boze uzivatelu p2p siti?
"To zni, jako byste nechapal rozdil mezi slovy NAT a firewall.
[...] "
"ale chapal, ale nevidel duvod proc by uzivatele firemniho prostredi meli mit verejnou adresu."
OK, sice to zni spatne, ale -- proc? Jaky je rozdil(*), jestli firemni pocitace v siti budou mit verejnou adresu, nebo privatni? Kdyz se pripojim k routeru s adresou ze stejneho privatniho rozsahu, tak me pustite dovnitr? (mozna spatna otazka, ono se to stava :))
(*) a ano, nejsem tak uzkoprsy; ale argument "na privatni adresu za NATem se nikdo nedostane" mi moc presvedcivy neprijde, stejne jako konstatovani "je to tak bezpecnejsi" -
KArel (neregistrovaný)Pokud bude mít každé zařízení ve firemní síti veřejnou IP, tak to opravdu dobré nebude. Připojení nového zařízení (notebook, PDA, mobil) by pak znamenalo (zbytečnou) registraci veřejné IP (a následné zablokování pro přístup zvenčí), které jen zesložiťuje systém. Nehledě na to, že firma by si na začátku musela koupit "dostatečně" velký adresní prostor, aby měla spojitý pool adres (protože jinak se administruje fakt blbě). Zbytečná investice.
-
Ondřej Čečák (neregistrovaný)Presne tak.
"Připojení nového zařízení (notebook, PDA, mobil) by pak znamenalo (zbytečnou) registraci veřejné IP (a následné zablokování pro přístup zvenčí), které jen zesložiťuje systém."
To mi nedava smysl -- privatni adresu neregistrujete, verejnou ano. V tom pripade si treba vydupejte smernici, ze ve firme chcete registrovat i privatni, nebo naopak zadne adresy. :) -
Verejne IP se prideluji, registruji i blokuji po blocich. Pokud mate prideleno /64 a vyuzivate 3000 adres, tak po pripojeni noveho zarizeni nic registrovat nemusite, protoze mate porad rezervu (a jakou :-)) a co se konfigurace tyce, proste dostane adresu z toho /48 prefixu ktery je zablokovany pro pristup zvenci ...
A co se tyce dostatecne velkeho adresniho prostoru ... firma si poridi /64 jako vsichni, protoze kdyz si poridi min budou se ostatni manageri tomu jejimu managerovi smat jako by mel zaplatovane sako. /64 samozrejme bude stacit jeste hodne dlouho.
