Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: KapitánRUMFree 15. 09. 2012, 23:26:55
-
Ahoj,
jako první chci uvést, že IPv6 evangelisti a satanisti toto dál číst nemusí a ani do diskuze se nemusí zapojovat.
Většinu článků o IPv6 píší fanatici, kteří tento protokol tlačí stůj co stůj, proto jsem se rozhodl sem dát post takříkajíc z druhého tábora.
Argument IPv6 fanatiků číslo 1:
Pokud všichni budou mít veřejnou IPv6 adresu, svět bude krásnější, protože najednou pojedou takové služby jako je Bittorent, Skype bude mít hromadu "dalších poskytovatelů" a i pračka bude pěkně na internetu.
Pravda:
Většina IPv6 fanatiků nechápe pojem NAT.
NAT sice skrývá vnitřní adresy, ale ten, kdo rozhoduje o tom, jestli packety projdou nebo ne, je Firewall.
Drtivá většina firewallů je nastavená tak, aby pustila pouze spojení inicializovaná z vnitřní sítě.
Proto se s přechodem na IPv6 nezmění vůbec nic, výrobci budou stále dodávat zařízení nakonfigurovaná dostatečně bezpečně, aby nedošlo k ohrožení počítačů ve vnitřní síti. Protože je o něco obtížnější útočit na počítače skryté za NATem, lze předpokládat, že pravidla budou ještě podstatně striktnější. A protože nelze předpokládat, že se většina BFU naučí nastavovat firewall, nelze ani očekávat jakoukoliv změnu. Prostě a jednoduše do vnitřní sítě neproleze nic jako teď. A to se ani nezmiňuji o tom, že bittorent je k vůli šmírování prakticky mrtvý a do hry vstupují věci jako ACTA/HADOPI 3x a dost, které se globálním korporacím tak jako tak povede protlačit i u nás.
Argument IPv6 fanatiků číslo 2:
Když bude mít každé zařízení vlastní adresu na Internetu, bude daleko jednodušší sledovat, kam kdo chodí, data o uživatelích půjde sbírat jen na základě IP (nebude hrozit, že z té IP leze několik lidí) a díky tomu bude možné o všech sbírat lepší data a nabízet jim tedy lepší služby. (Například bude jasné, že z počítače ..:::01 se chodí na xxx stránky a z počítače ..:::02 se chodí na vaření, proto budou reklamy daleko lépe cílené.)
Pravda:
No, to je pravda, ale uvažte sami, jestli je to taková výhra. I v dnešní době lze uživatele docela slušně šmírovat, otázka je, jestli to je dobře nebo ne, že to půjde ještě přesněji a už díky tomu, jaká se na server připojuje IP, bude možné poměrně jednoznačně rozhodnout, co s tím udělat.
Argument IPv6 fanatiků číslo 3:
IPv6 adresy si nemusíme pamatovat, to je velká výhra oproti stávající situaci.
Pravda:
To není pravda, alespoň u některých providerů (ptal jsem se na to) se nebudou přidělovat stále (statické adresy), ale dočasné.
Proto se Vaše IPv6 bude čas od času měnit podobně, jako je to v případě některých ADSL linek teď.
DynDNS služby se tedy nemusí bát o vymření.
Mezi námi, na firewallech mám nastavená pravidla na základě IP adres a IPv4 adresa se prostě píše lépe než IPv6.
Argument IPv6 fanatiků číslo 4:
IPv6 adresy jsou požehnání pro velké firmy.
Pravda:
Představme si, že máme síť o 20-ti pobočkách od Mexika po Austrálii.
Realita je taková, že nyní mají firmy vlastní privátní sítě řekněme 10.0.0.0/A rozsekané podle lokalit, propojené pomocí VPN nebo MPLS(že nevíte, co to je) a veřejné adresy jsou jim vlastně ukradené. Nyní, pokud se rozhodnou používat IPv6 only řešení, budou muset každou případnou změnu IPv6 adres zahrnout do DNSka pro všechny důležité servery. Můžu Vám říct, že změna IP adres se různým ověřovacím protokolům ani trochu nelíbí! Stejně tak dříve, když byla celá firma schovaná za jedním NATem, bylo vlastně jedno, jestli se vnější IP adresa mění nebo ne. Obecně bude problém i zaručit to, aby printserver "na hajzlíku" získal zase takovou adresu, abych k němu nemusel lézt a zjišťovat, jakou vlastně má.
Argument IPv6 fanatiků číslo 5:
IPv6 adresy mají jen samá pozitiva.
Pravda:
To není pravda, protože spolupracuji s řadou velkých firem a mohu Vám říct jediné:
Nastává zlatá éra centrálních bonzovacích Proxy serverů.
Opravdu si nejsem jistý, jestli je výměna NATu za Proxy taková výhra.
Shrňme si fakta o IPv6:
- většině BFU to je jedno, jestli mají IPv4 nebo IPv6 a jestli jsou za NATem
- většina BFU nic takového nepotřebuje
- dobře 1/2 čtenářů tohoto fóra jsou odborníci a přesto se za IPv6 žene jen část fanatiků
- dobře 2/3 profesionálů, kteří se živí IT, nepovažují IPv6 za dobře navržený protokol a mají k němu spoustu výhrad
- dobře 2/3 profesionálů je spokojená s tím, že je za NATem a veřejnou adresu nepotřebují
- největší argument pro IPv6 je to, že bittorent půjde lépe
IPv4 adresy jsou nejméně na příští 4 roky, cena veřejných adres bude stoupat, víc počítačů se schová za NATy a zatím není jediný důvod k přechodu. Možná že u WWW stránek bude nutné zajistit funkčnost IPv4 i IPv6 zároveň, ale na to je taky ještě hromada času.
A teď mě kamenujte.
</flame>
-
[1] Většina IPv6 fanatiků nechápe pojem NAT.
[2] No, to je pravda, ale uvažte sami, jestli je to taková výhra.
[3] IPv6 adresy si nemusíme pamatovat, to je velká výhra oproti stávající situaci.
[4]
Představme si, že máme síť o 20-ti pobočkách od Mexika po Austrálii.
[5] IPv6 adresy mají jen samá pozitiva.
[6] většině BFU to je jedno, jestli mají IPv4 nebo IPv6 a jestli jsou za NATem
[1] NAT není internet. Internet je že každý uzel má svoji vlastní unikátní veřejnou IP adresu a může napřímo komunikovat se všemi ostatními uzly v internetu.
[2] IPv6 zařízení může mít adresu po každé autokonfiguraci pokaždé jinou, je to vlastnost IPv6
[3] IP adresy si nepamatuje nikdo, kromě pár serverových guru. Řeší DNS a dynamic DNS
[4] Korporátní síť bude mít IP buď podle lokálních ISP nebo bude schovaná za VPN, prakticky nic se nezmění.
[5] IPv6 přinese milionům uživatelů domů internet.
[6] Většina lidí pozná rozdíl IPv6 versus NAT v tom, že jim konečně začne fungovat správně VoIP a pochopitelně i zmíněné torrenty a další služby. Také budou správně fungovat limity na uloz.to a rapidshare.com, kde nebude limit pro celou vesnici nebo celou firmu, tak jako se děje dneska. Taktéž půjde zakládat servery pro hry a ostatní hráči se na ně budou moci připojit. Taktéž se o něco sníží latence pro paření her, protože routování IP se děje hardwarově a NAT se děje softwarově.
IPv4 adresy už nejsou zhruba čtvrt roku, už se jenom rozdávají zbytky.
Přechod na IPv6 mají majoritní OS vyřešené 10 let, například Windows se umí připojit na IPv6 server už od Windows 2000.
-
Já s Tebou souhlasím, z IPv6 také nejsem moc nadšen, alekdyž je něco velmi tvrdě protlačováno, tak to nikterak nezměním. Ono se stačí zamyslet, z jakých důvodů jde o to protlačování. Jedním bude obchod, přeci jen dost nových zařízení a lidé budou muset kupovat. Druhým důvodem je ona lepší kontola uživatelů ... respektive minimalizování soukromí. Tak jako Ti dnes kamery ve městech čumí do bytů, tak Ti všichni budou chtít čumět do počítače. Lidem to přeci nevadí, oni si zvyknou ...
-
Druhým důvodem je ona lepší kontola uživatelů ... respektive minimalizování soukromí.
ISP tě napráskají i za NATem mají na to logy, doufám že nežiješ v bludu že když má tvůj ISP NAT, tak jsi nezjistitelný.
-
Důvěřovat ISP je jako důvěřovat kurvě, že je zdravá ...
-
Toz, je pravda, ze by bylo zajimave vedet, na cem jeli tvurci ipv6 pri jeho tvorbe. Ale co nadelate, kdyz to tak vymysleli a ted nezbyva, nez tu hruzu zavest? Adresy dosly. ISP sice maji neco nasysleno, ale vecne to nevydrzi. Setrvavani na ipv4 povede tak ke zdrazovani adres, cemuz se ISP jiste nebudou branit nebo ke vzniku spojeni stylu rychleho dial-upu, kdy clovek treba na BBS cekal, az se nekdo odpoji od modemu, aby se mohl pripojit.
-
Minimálně v tom bodě 1 máš dost jednostranností a zamlčených předpokladů. Má ale význam o tom flejmovat? Nemá :)
Takže krátce:
1. Přeceňování úlohy firewallů. V ideálním světě by OS na veřejnost vystrkoval jenom ty služby, které vystrkovat má. Realita je jiná, já vím, ale když už se chceš filosoficky zamýšlet, začni tímhle.
2. Předpoklad, že BFU musí umět nakonfigurovat firewall je hodně velká zkratka. Pokud budou FWs v defaultu odmítat spojení zvenku, jediné, co BFU potřebuje, je povolit si nějaké porty, které chce (nějaké ty hry, VOIP apod.). To není žádná jaderná fyzika.
3. hlavní rozdíl oproti NATu je v tom, že NAT limituje uživatele, kteří věci rozumí - dva uživatelé za NATem si prostě nerozjedou dva servery na standardních portech, i kdyby se rozkrájeli. Takže i kdyby platilo, že pro BFU je IPv6=NAT, rozhodně to neplatí pro ne-BFU. Minimálně tohle je obrovský přínos, protože uživatelů za NATem jsou mraky (viz různí lokální ISPs šetřící adresy apod.).
-
Vo co tady sakriš jde??? Rada i pouhá informace se mě hodí.... Někdo mi podle všeho hrabe v compu... a nemám z toho zrovna dobrý pocit.... A už vůbec ne proto, že si myslím, že je to můj nejbližší tedy partner..... :-\
Jak to zjistím pls????? :'(
-
Koukám, že tomu někdo rozumí :)
- Většina IPv6 „fanatiků“ NAT (a hlavně jeho limity) chápe a proto proti němu bojují.
Drtivá většina firewallů pro BFU se uživatele zeptá a po potvrzení otevře příchozí port. NAT se neptá, buď otevírá všem nebo nikomu. Anebo už taky mohl vhodný port (typicky pro multiplayery her) otevřít někomu jinému, tak to potom máte smůlu. - A co Privacy Extensions? Smyslem IPv6 je, že každý bude mít veřejnou IP adresu, ale ne nutně stejnou, jako to bývá ve světě IPv4. Základem filosofie IPv6 je lokální síť, ne počítač jako u IPv4.
- DynDNS nejspíše nahradí nějaké Mobile IP služby.
Tak budete ty firewally zapisovat trochu jinak, no :-) - Firmám je pro vnitřní sítě IPv6 více-méně ukradený, stejně tam budou používat ULA, ale pro vnější adresaci je zajímavé (např. kvůli Mobile IP)
- Firmy, které používají proxy servery, je budou samozřejmě používat i nadále, zato doma je na rozdíl od IPv4 nebudete potřebovat, takže žádnou zlatou éru nevidím.
- Většině BFU je úplně jedno, jak počítače komunikují, dokud jim fungují jejich aplikace. Spousta aplikací, které jsou pro BFU zajímavé, má ale s NATy problémy.
- Většina BFU dnes nepoužívá aplikace, které by to potřebovaly, protože jim ty aplikace nefungují, ale to neznamená, že by je nevyužili, kdyby ty aplikace fungovaly. Stejně jako před pěti lety moc nešel v mobilu internet, tak jej BFU nepoužívali, tak dneska nejde v mobilu SIP. Tipuju, že za pět let tak půlka hovorů půjde právě přes SIP.
- Eh?
- V tom případě ty dobré ⅔ IT profesionálů zatím nepochopily, jak IPv6 funguje, a pořád se na něj dívají optikou IPv4 (ostatně to je i moje zkušenost s komunikací s různými ISP). Podle vašich argumentů je to nakonec i váš problém. Já mám samozřejmě k různým vlastnostem IPv6 taky výhrady, ale netroufám si tvrdit, že by ten protokol byl navržen špatně. Jestli to nebude tím, že jej znám a běžně používám :)
- To je vycucané z prstu, ne? Ještě bych věřil, že ⅔ jich nepotřebuje pevnou veřejnou IP adresu, ale nevěřím, že jsou spokojeni za NATem. Teda pokud to nejsou ájtý eksperti.
- Největší argument je, že P2P spojení půjdou lépe, a v mnoha případech, že vůbec půjdou. A P2P není jenom stahování warezu, ale třeba dříve zmíněný SIP.
IPv4 adresy již došly. Někteří ISP mají větší zásoby a někteří menší, ale všichni připravují přechod na IPv6. On ten NAT není zadarmo a kvůli současnému masivnímu rozvoji cloudů a VPSek je nedostatek veřejných IP adres hodně limitující.
-
tak dneska nejde v mobilu SIP.
SIP v mobilu jde. SIP může fungovat přes proxy. A přesněji řečeno, NAT není problém pro SIP, ale pro RTP.
-
SIP může fungovat přes proxy. A přesněji řečeno, NAT není problém pro SIP, ale pro RTP.
SIP může fungovat jen tehdy, je-li alespoň jedna strana napřímo v internetu. Jsou-li obě strany každá za svým NATem tak neexistuje síla, která by zajistila spojení se 100 % spolehlivostí. Pochopitelně přeposílání přes nějaký centrální server se nepočítá. S IPV6 to bude fungovat všem a pořád.
-
Vo co tady sakriš jde??? Rada i pouhá informace se mě hodí.... Někdo mi podle všeho hrabe v compu... a nemám z toho zrovna dobrý pocit.... A už vůbec ne proto, že si myslím, že je to můj nejbližší tedy partner..... :-\
Jak to zjistím pls????? :'(
Waterboarding?
-
Toz, je pravda, ze by bylo zajimave vedet, na cem jeli tvurci ipv6 pri jeho tvorbe. Ale co nadelate, kdyz to tak vymysleli a ted nezbyva, nez tu hruzu zavest?
Při odkládání (důvod proč to většina odkládá) je alespoň mizivá šance, že se objeví něco lepšího.
Chápu, že to je spíš přání než realita. Asi nám nezůstane nic lepšího než přechod, ale nemyslím si, že máme jediný důvod přechod na něco horšího nějak idiotsky oslavovat nebo pět ódy na "modlu IPv6". Doufám, že tu s námi bude IPv6 podstatně kratší dobu, než byla IPv4.
-
Mate pravdu NAT != firewall. U IPv6 bude firewall nutnosti, takze opravdu budou prichozi spojeni blokovana, podobne jako u dnesiho "NATu".
Jenze u firewallu i BFU otevre port, podivejte sa ve Windows na to okynko s dotazem, jak vzdy vyskoci.
U NATu exituje protokol NAT-PMP (http://en.wikipedia.org/wiki/NAT_Port_Mapping_Protocol). Pomoci neho si PC muze presmerovat na routeru s NATem port na svoji IP. Jenze je to jen pekna teorie. To by kazdy uzivatel musel mit doma verejnou IPv4 a delat si NAT pro pripojeni vetsiho mnozstvi svych pocitacu. V dnesni dobe, kdyz je kazdy za nekolik NATy, to neni realizovatelne.
Napr. u dedy mam 3 NATy: 1. neverejnou IP mi prideli ISP, dalsi NAT mi dela NanoBridge (od kteryho mi ISP nechce dat heslo) a 3. NAT si delam sam na WiFi routeru. 3. NAT je zbytecny, vim ale ten prastary WiFi router nejde jinak nastavit - a stejne by to nicemu nepomohlo.
IPv6 je jedine soucasne zname reseni problemu. Teoreticky by ISP mohl kazdemu uzivateli presmerovat z verejene IP napr. 10 portu, ale nastaveni a slozitost pro uzivatele by byla mnohanasobne vetsi, nez u IPv6.
-
Proboha ::) ::)
1. Nikdy po mě nikdo z domácích zákazníků protunelování portu do vnitřní sítě nechtěl.
2. Žádná "nekomunistická" komerčně nabízená služba se nemůže spoléhat na to, jestli BFU zavolá někoho, kdo mu na firewallu otevře port.
Důvody, proč se to nezmění:
Lidé, kteří říkají, že se to změní, vychází z následujících chybných předpokladů:
A) Myslí si, že každý má přístup k modemu a proto není problém něco nastavit na zařízení. Což je samozřejmě halucinace největší pitomců, protože nikdy nelze zaručit to, že uživatel bude mít k modemu přístup. Z tohoto důvodu se na to žádná komerčně úspěšná firma nemůže spoléhat. (O modemu rozhoduje otec, modem není domácnosti ale třeba společnost, připojení není za centrálním firewallem jako budou uživatelé mobilních telefonů, služba bude schválně blokovaná poskytovatelem a pod.)
B) Neuvažují globálně, v Americe si žádná firma nelajskne zbytečně někomu doporučit otevření portů na firewallu. Pokud ano, pak to musí být taková služba, aby v případě soudního sporu (a Amíci se soudí i o délku hovna) měli dostatečnou finanční rezervu.
C) Ochotu uživatelů se otevřít do Internetu, protože až jim kamarád řekne "No a teď ti může po počítači šmejdit každej!", tak se podělají strachy.
-
Mate pravdu NAT != firewall. U IPv6 bude firewall nutnosti, takze opravdu budou prichozi spojeni blokovana, podobne jako u dnesiho "NATu".
Problém s firewalem neexistuje, značné množství BFU má štěstí na veřejnou IP od ISP již dnes a nic vážného se neděje.
Pokud BFU bude chtít epší bezpečnost, prostě si místo krabice s routerem a NATem koupí krabici s routerem a firewalem.
-
...
Vem si prášek, v každé krabičce je dneska firewall a defaultně blokuje spojení do vnitřní sítě.
Nic se nezmění.
App, naopak, čím víc lidí bude vystavovat porty do netu, tím lépe se bude hackovat, je to nuda, když není na co střílet!
A čím víc lidí bude sestřelenejch, tím větší si budou dávat pozor!
Takže opět šance na změnu je naprosto mizivá.
App, kdyby po mě dneska někdo chtěl, ať mu protuneluju port do netu, tak mu řeknu, že IISko je děravý a díry se objevují čas od času v každý aplikačce a že je pěknej kokot.
Protože jak bude postupovat hacker?
A) Bude si krásně projíždět celou síť a sbírat informace o otevřených portech, to se děje už teď, pokud sebere takový banner, který se mu hodí, poznamená si to.
B) Čeká, až se objeví nějaká bezpečnostní díra a když ano, pustí robata na seznam, který má dávno připravený, aby zkusil exploitnout dovnitř.
C) Pecko zaviruje a udělá z něho zombie, kterou prodá do nějakýho botnetu.
A nazdar párky, to je totiž hlavní výhoda toho, že bude každý počítač na netu a budou i otevřené porty.
Takže hovno, něco se změní jen pro 1% blbounů, ostatní to bude buď obtěžovat nebo spíš jim to bude úplně putna.
-
Vem si prášek, v každé krabičce je dneska firewall a defaultně blokuje spojení do vnitřní sítě.
Ve switchi za 300 Kč žádný firewall není.
A jak už jsem psal výše, velké množství BFU je zapojeno přímo do internetu s veřejnou IP už dneska a nic zvláštního se neděje. ISP s NATem je naštěstí menšina. Proto obavy z otevřených portů jsou nesmyslné, v tomto smyslu se nic měnit nebude.
-
v každé krabičce je dneska firewall a defaultně blokuje spojení do vnitřní sítě
V jaké? Všechny krabičky, co jsem kdy od různých ISP, dělaly akorát NAT. Nakonec i naprostá většina krabiček třeba z Alzy firewall neumí a pokud jo, tak ho stejně ve výchozím nastavení nemá zapnutý.
Protože jak bude postupovat hacker?
A) Bude si krásně projíždět celou síť a sbírat informace o otevřených portech, to se děje už teď, pokud sebere takový banner, který se mu hodí, poznamená si to.
B) Čeká, až se objeví nějaká bezpečnostní díra a když ano, pustí robata na seznam, který má dávno připravený, aby zkusil exploitnout dovnitř.
C) Pecko zaviruje a udělá z něho zombie, kterou prodá do nějakýho botnetu.
V IPv4 má jedna síť 254 možných adres. Ale chci vidět, jak takový hacker projede za svůj život alespoň jednu /64 síť ;)
-
Toz, je pravda, ze by bylo zajimave vedet, na cem jeli tvurci ipv6 pri jeho tvorbe. Ale co nadelate, kdyz to tak vymysleli a ted nezbyva, nez tu hruzu zavest?
Při odkládání (důvod proč to většina odkládá) je alespoň mizivá šance, že se objeví něco lepšího.
Chápu, že to je spíš přání než realita. Asi nám nezůstane nic lepšího než přechod, ale nemyslím si, že máme jediný důvod přechod na něco horšího nějak idiotsky oslavovat nebo pět ódy na "modlu IPv6". Doufám, že tu s námi bude IPv6 podstatně kratší dobu, než byla IPv4.
Ano, to je spis prani, nez realita. Vezmi si, jak dlouho trvalo, nez zbastlili ipv6 a jak dlouho trvalo, nez se to zacalo alespon trochu zavadet. Takze ipv7 muzeme ocekavat tak nejdrive za 10 let pri velmi optimistickem odhadu.
-
Jsou-li obě strany každá za svým NATem tak neexistuje síla, která by zajistila spojení se 100 % spolehlivostí. Pochopitelně přeposílání přes nějaký centrální server se nepočítá.
Takže řešení, které existuje, se nepočítá, takže řešení neexistuje :)
Já teda nevím, v kanceláři mám minimalistický net za dvěma naty, SIP VOIP používám denně a dovolám se všude. Asi dělám něco blbě, protože to nejde ;)
(ano, já vím, problém to je a IPv6 to vyřeší, ale tak, jak to píšeš, to prostě není)
A) Myslí si, že každý má přístup k modemu a proto není problém něco nastavit na zařízení. Což je samozřejmě halucinace největší pitomců, protože nikdy nelze zaručit to, že uživatel bude mít k modemu přístup.
No ale s IPv6 žádné NATovací zařízení nebude. Nebude žádný trychtýř na perimetru, bude prostě "plnotučný" Internet ke všem koncovým zařízením.
Předpokládáš, že ISPs budou dodávat koncová zařízení se zaplým firewallem, což je předpoklad neopodstatněný. (Chtěl jsem napsan přímo špatný, ale dobře, ať nežeru...)
-
V IPv4 má jedna síť 254 možných adres.
To jsi se dočetl kde?
-
Já teda nevím, v kanceláři mám minimalistický net za dvěma naty, SIP VOIP používám denně a dovolám se všude. Asi dělám něco blbě, protože to nejde ;)
Záleží kam a jak se volá, samozřejmě že třeba na pevnou nebo mobil se dovoláš asi vždy. Ale nedovoláš se na lidi za NATem, leda že by někdo provozoval centrální server na retlanslaci provozu.
-
Záleží kam a jak se volá, samozřejmě že třeba na pevnou nebo mobil se dovoláš asi vždy. Ale nedovoláš se na lidi za NATem, leda že by někdo provozoval centrální server na retlanslaci provozu.
Dovolám se každému na normální telefonní číslo a každý se dovolá na moje telefonní číslo. Víc od telefonování jaksi neočekávám :)
(polemizuju jenom s tvrzením, že se SIP za NATem nedá používat)
-
Předpokládáš, že ISPs budou dodávat koncová zařízení se zaplým firewallem, což je předpoklad neopodstatněný. (Chtěl jsem napsan přímo špatný, ale dobře, ať nežeru...)
Že by se začalo ustupovat od Firewallů?
No, tak to potěš koště ::)
SW firewall má být od toho, aby nepustil žádný šmejd ven, HW firewall jistí to, že když se ti podělá SW firewall, stejně jsi v suchu jako s pampersama. App, používám Comodo a v poslední době má takovou nepěknou vlastnost, že občas nenaběhne na všech síťových rozhraních. Jednou ano, jednou ne. Jo, já vím, že to Linuxáky trápit nemusí, ale IPv6 se týká všech.
Osobně doufám, že nová zařízení budou jednak L2 switche a firewallem pěkně hustodémosnky a krutopřísně nastaveným, aby se dovnitř nedobouchal nikdo, komu to předem nepovolím.
-
Že by se začalo ustupovat od Firewallů?
Proč by se od nich ustupovalo, když se dneska nepoužívají (na perimetru). "Nahrazuje" je NAT.
-
No nevím, každá laciná krabička od ADSL modemu po to, čemu se říká router, má jednak NAT a jednak i možnosti nastavení firwallu, což v konečném důsledku opravdu může být jen sada pravidel ovlivňující chování NATu, což ovšem ve výsledku působí jako firewall.
Pak je jedno, jestli se jedná o nějaký primitivní paketový filtr, SPI nebo něco lepšího.
Ale příklady mě zajímají, napište mi nějaký současný ADSL 2 modem, který v sobě nemá firewall.
-
Ale příklady mě zajímají, napište mi nějaký současný ADSL 2 modem, který v sobě nemá firewall.
Asi nechápu pointu, nebo se nějak celkově nechytám...
Jestli krabička má nebo nemá firewall je přece irelevantní. Zaprvé jde o to, jestli je defaultně zapnutý (tvrdil jsi, že BFU ho zapnout nebudou umět, ne?) a za druhé dneska má každá krabička NAT, takže z hlediska otevřených portů ven je firewall opět irelevantní.
A jestli chceš konkrétní příklad, tak O2 mi dovalilo Zyxel P660HW-T3 v2 s vypnutým firewallem. Stačí?
-
Říkal jsem, že BFU nebudou umět ve firewallu nastavit ta pravidla.
Jinak divný, mě to vždycky přijde se zapnutým FW a těchhle mrch jsem už pěknejch pár nainstaloval.
-
Jestli krabička má nebo nemá firewall je přece irelevantní. Zaprvé jde o to, jestli je defaultně zapnutý (tvrdil jsi, že BFU ho zapnout nebudou umět, ne?)
Linksys WAG200G ho defaultne zapnuty ma. Predtim jsem mel nejaky D-Link, zapnuty byl take. Jakysi strasny Philips take. Videl jsem par dalsich a tusim zapnuto take. Asi ale existuji vyjimky, kde vyrobce je debil nebo debil je ISP, ktery to dodava tak inteligentne nakonfigurovane eventuelne to dodava s nejakym vlastnim, obzvlaste dobre vypecenym firmwarem.
-
Linksys WAG200G ho defaultne zapnuty ma. Predtim jsem mel nejaky D-Link, zapnuty byl take. Jakysi strasny Philips take. Videl jsem par dalsich a tusim zapnuto take. Asi ale existuji vyjimky, kde vyrobce je debil nebo debil je ISP, ktery to dodava tak inteligentne nakonfigurovane eventuelne to dodava s nejakym vlastnim, obzvlaste dobre vypecenym firmwarem.
A co přesně ten zapnutý firewall znamená, jaký jsou tam default pravidla?
-
A co přesně ten zapnutý firewall znamená, jaký jsou tam default pravidla?
To by byl dost problem zjistit, leda tak reverse engineeringem firmware. Muzete se spolehnot tak na to, ze v poloze zapnuto se opravdu neco zapne. Podle ShieldsUp! blokuje vsechny prichozi pozadavky z venku. Jak presne, vi jen vyrobce. Je to black box neznameho obsahu.
-
To by byl dost problem zjistit, leda tak reverse engineeringem firmware. Muzete se spolehnot tak na to, ze v poloze zapnuto se opravdu neco zapne. Podle ShieldsUp! blokuje vsechny prichozi pozadavky z venku. Jak presne, vi jen vyrobce. Je to black box neznameho obsahu.
No tak tohle jestli je pravda, tak to je vrchol nechutnosti. I ten můj přiblblej Zyxel od O2 umí normálně nastavovat pravidla.
-
- kam zmizel ipv5?
- proc jsou v tech ipv6 adresach silenosti v podobe hexa cisel, to je za trest!, dns a revezni veci nefunguji ve vetsine siti a to je proste fakt, admini se poserou
- masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu, pripadne mozna by se nasel system jak to dynamicky scalovat dle potreb
- bezstavova cfg. ipv6, zajimave, nicmene lze se s tim podle me dobre poprat i dnes a dhcp zna v podstate kazdy admin, radvd apod skodo nikdo krome par borcu
- multicast na ipv6, ok beru, to ze nema vlastne broadcast je, ale nahrazuje to multicast na ff02::1 taky clovek vydejcha
- mistni linky - zamota lidem hlavu?
- jumbo pakety - slo by v pohode vyresit v draftu ipv5, nic zasadni ani neprekonatelneho
- bezpecnost - mame ipsec jako defackto std, netreba nic moc resit
- vypusteni kontrolniho soucetu - snad dobry napad nedokazu uplne posoudit
Rekneme sami jak to vypada ?
http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/
Osobne nechapu proc se slo cestou drastickeho prekopani, jak je videt ipv6 neni uplne kladne prijimano a bude asi tlaceno silou, osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel), ja osobne se na ipv6 prilis netesim, kdesi jsem cetl ze neupdatove windows vydrzi na verejne IP pouze nekolik minut, osobne ve firewallove schopnosti krabice moc neverim.
Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky nebo pouze naroutuje rozsah a zakanicku porad si, mas preci osobni firewall na PC, tvuj boj.
-
1 proc jsou v tech ipv6 adresach silenosti v podobe hexa cisel
2 masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu
3 bezstavova cfg. ipv6
4 multicast na ipv6, ok beru, to ze nema vlastne broadcast je
5 vypusteni kontrolniho soucetu - snad dobry napad nedokazu uplne posoudit
6 http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/
7 Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky
1 Hexa cisla maji vetsi hustotu informace nez dec.
2 Pakety IPv4 se spatne zpracovavaji v hardware a proto se to konecne v IPv6 udelalo poradne, rozsireni by ponechalo predchozi spatny stav.
3 Diky novotam v DHCP muze stanice ziskat funkcni IP adresu i pri neexistenci DHCP serveru, to neni vubec spatna vlastnost
4 Neexistuje pouze broadcast 255.255.255.255, tedy na vsechny pocitace v internetu. Vsechny ostatni maji ekvivalent.
5 Kontrolni soucet v IPv4 je mimoradne hloupy a navic se musi prepocitavat s kazdou zmenou TTL. V IPv6 je kontrolni soucet az v TCP a UDP a pochopitelne CRC na konci paketu.
6 BFU pouziva DNS nazvy a profesional se s novym tvarem srovna
7 ISP tady neni od nejakeho zabezpecovani bezpecnosti, ISP je tady od routovani a smerovani paketu.
-
- kam zmizel ipv5?
Nikam. RFC 1819
- masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu, pripadne mozna by se nasel system jak to dynamicky scalovat dle potreb
Už to nepijte ani zředěný. Oktet má vždycky 8 bitů.
Rekneme sami jak to vypada ?
http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/
Stejně jako http://214.56.32.13/
Osobne nechapu proc se slo cestou drastickeho prekopani, jak je videt ipv6 neni uplne kladne prijimano a bude asi tlaceno silou,
To je ovšem jenom vaše neinformovanost. Stačilo by se pozeptat a dozvěděl byste se třeba o příliš velkých internetových tabulkách, které se nedají rozumně agregovat. O IP options, které se musejí zpracovávat v řídících procesorech, atd.
osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel)
Takových exotů, kteří něco takového navrhovali byl kopec, ale zatím to vypadá, že praktická realizovatelnost jejich návrhů je komplikovanější než IPv6.
, ja osobne se na ipv6 prilis netesim, kdesi jsem cetl ze neupdatove windows vydrzi na verejne IP pouze nekolik minut, osobne ve firewallove schopnosti krabice moc neverim.
Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky nebo pouze naroutuje rozsah a zakanicku porad si, mas preci osobni firewall na PC, tvuj boj.
Taky doufám, že se můj ISP nebude zabývat bezpečností mojí sítě a že nebudu muset zjišťovat, co všechno mi ISP zablokoval, když mi zrovna moje oblíbená aplikace nebude fungovat.
-
osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel)
No to by dopadlo jako SMTP. Parsovat email a myslet při tom na všechna přiblblá rozšíření je noční můra. Nebýt na to knihovny, sejde se půlka ajťáků na psychiatrii.
-
No tak tohle jestli je pravda, tak to je vrchol nechutnosti. I ten můj přiblblej Zyxel od O2 umí normálně nastavovat pravidla.
Tohle je BFU router, jako vetsina. Akorat se na tom da naklikat port forwarding, jen se tomu rika Applications &
Gaming.
-
Vo co tady sakriš jde??? Rada i pouhá informace se mě hodí.... Někdo mi podle všeho hrabe v compu... a nemám z toho zrovna dobrý pocit.... A už vůbec ne proto, že si myslím, že je to můj nejbližší tedy partner..... :-\
Jak to zjistím pls????? :'(
Waterboarding?
http://cs.wikipedia.org/wiki/Waterboarding
a to myslis jako pouzit na pocitac, nebo na toho pritele?
-
http://cs.wikipedia.org/wiki/Waterboarding
a to myslis jako pouzit na pocitac, nebo na toho pritele?
Po waterboardingu z PC vetsinou uz nic nedostanes.
-
- kam zmizel ipv5?
IPv5 je Internet Streaming Protocol, který se ale moc nepoužívá.
- proc jsou v tech ipv6 adresach silenosti v podobe hexa cisel, to je za trest!, dns a revezni veci nefunguji ve vetsine siti a to je proste fakt, admini se poserou
Protože hexadecimální zápis má větší hustotu a je bližší síťovým maskám. DNS (dopředné i reverzní) v IPv6 funguje prakticky stejně jako v IPv4, s tím rozdílem, že reverzní DNS v IPv6 není vázáno na třídy, které se v IPv4 už nepoužívají, a tak je občas problém reverzní záznamy pro IPv4 udržovat, protože nejdou delegovat jinak než po třídách.
- masivni rozsite prostoru beru jako mega vyhodu, ale nedalo se to vyresit jen rozsirenim kazdeho oktetu ipv4 z 8bit na 16-32bitu, pripadne mozna by se nasel system jak to dynamicky scalovat dle potreb
Ne tak úplně, páteřní routery mají omezený výkon. IPv6 také reorganizuje hlavičky a nepoužívá kontrolní součty, takže jej routery zvládají o dost lépe.
- bezstavova cfg. ipv6, zajimave, nicmene lze se s tim podle me dobre poprat i dnes a dhcp zna v podstate kazdy admin, radvd apod skodo nikdo krome par borcu
Nastavit RA je stejně složité jako nastavit dynamické DHCP(v4). Bez bezstavové autokonfigurace by bylo problematické implementovat privacy extensions, multihoming nebo zeroconf.
- multicast na ipv6, ok beru, to ze nema vlastne broadcast je, ale nahrazuje to multicast na ff02::1 taky clovek vydejcha
Aneb když víte, jak to udělat, tak broadcast vůbec nepotřebujete :-)
- mistni linky - zamota lidem hlavu?
Pochybuju, BFU budou používat tak maximálně mDNS/DNS-SD a bude jim úplně jedno, že to funguje na nějakých speciálních adresách.
- jumbo pakety - slo by v pohode vyresit v draftu ipv5, nic zasadni ani neprekonatelneho
IPv4 fragmentuje po cestě, což by pro jumbogramy mohl být problém. Ale samozřejmě to není nic převratného.
- bezpecnost - mame ipsec jako defackto std, netreba nic moc resit
IPsec v IPv4 je volitelný, takže jej máloco umí, a navíc je backportovaný z IPv6, takže v IPv4 úplně dobře nefunguje. V IPv6 je základním prvkem návrhu a je povinný.
- vypusteni kontrolniho soucetu - snad dobry napad nedokazu uplne posoudit
Kontrolní součty počítá linková vrstva (hardware) a TCP (UDP ne, ale to nezaručuje nic), tak není potřeba, aby to počítalo i IP, akorát to zdržovalo routery, protože každý router musí snížit hop limit (TTL v IPv4), tedy při každém routování se paket změní a tak bylo potřeba kontrolní součet (celkem zbytečně) přepočítat
Rekneme sami jak to vypada ?
http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]/
Vypadá to nezvykle. Ale už dlouho máme fungující DNS a na tom stavěl i vývoj IPv6, takže s takovými zápisy byste se setkávat neměl.
Osobne nechapu proc se slo cestou drastickeho prekopani, jak je videt ipv6 neni uplne kladne prijimano a bude asi tlaceno silou, osobne bych sel cestou rozsizeni nebo chcete-li revizi ipv4(nerikam, ze by to nemohlo zpusobit bordel), ja osobne se na ipv6 prilis netesim, kdesi jsem cetl ze neupdatove windows vydrzi na verejne IP pouze nekolik minut, osobne ve firewallove schopnosti krabice moc neverim.
Jakákoliv jiná změna by byla buď nekompatibilní nebo výkonově náročná (a to by neprošlo přes páteřní routery), takže ve výsledku by se stejně musela tlačit silou. Neupdatované Windows na IPv4 nevydrží moc dlouho, protože je celkem snadné prohledávat IPv4 adresy a hledat tam počítače. Ale najít jeden počítač v jedné IPv6 síti je jako hledat jedno konkrétní zrnko písku na Sahaře, nebo srovnáno s IPv4, jako najít jeden konkrétní počítač v jinak prázdném internetu, do kterého se dostanete před jednu konkrétní IP adresu jiného úplně prázdného internetu, a to ještě za předpokladu, že vůbec víte, ve které /64 síti máte hledat. Navíc díky privacy extensions to musíte stihnout prohledat do jednoho dne, neboť potom se ta adresa změní.
Otazka je taky zda-li se ISP nakonec bude zabyvat nejakou bezpecnosti pro koncove zakazniky nebo pouze naroutuje rozsah a zakanicku porad si, mas preci osobni firewall na PC, tvuj boj.
ISP budou bezpečnost ignorovat stejně, jako to úspěšně dělají dnes. Ale řešit to budou antiviry, které budou obsahovat i firewall, nakonec mnoho antivirů už to řeší i teď.
-
Kontrolní součty počítá linková vrstva (hardware) a TCP (UDP ne, ale to nezaručuje nic), tak není potřeba, aby to počítalo i IP, akorát to zdržovalo routery, protože každý router musí snížit hop limit (TTL v IPv4), tedy při každém routování se paket změní a tak bylo potřeba kontrolní součet (celkem zbytečně) přepočítat
Oprava: UDP kontrolní součty umí, ale nejsou povinné, tedy jiné vrstvy na ně nemohou spoléhat
-
Kapitán se koukám napil asi trochu metylu. :D
Porty otevírat nechce (to je riziko na které se okamžitě někdo přilepí), to by mě zajímalo, na co se vlastně připojuje na síti, když by všechny porty nejraději zavřel a všechny sítě schoval za maškarádu. Nejspíš nikam.
A teď trochu konstruktivnější odpověď. Síťové služby jsou přirozeně určené k tomu, aby se na ně někdo připojil. Tudíž je lze (resp. mají být nastavené s ohledem na bezpečnost) nastavit tak, aby byly bezpečné. Jestliže někdo provozuje OS, který je apriori nezabezpečený, tak mu nepomůže ani nat, ani fw. Není náhodou, že většina (skutečných) útoků pochází z LAN, která se bere jako bezpečná (stačí se dostat skulinkou do LAN a celá síť je vaše). Jinými slovy, problém je úplně jinde, než v NAT nebo FW. Velmi často poskytují jen pocit bezpečí.
Na svém serveru, světe div se, firewall nemám. Nemá totiž co filtrovat. Všechny služby jsou nutně dostupné z Internetu (od toho je to Internetový server) a tedy firewall by byl nastavený tak, aby propustil všechny naslouchající porty. Je tam prostě zbytečný. Ostatní služby na serveru stejně nemají co dělat.
Stejně jak v domácnosti. Většina klientských stanic žádné síťové služby (by default) neposkytuje. Dokonce tam často už není ani ssh. Takže stanice reaguje jen na ping. Naopak, každá síťová instalovaná služba, je instalována s cílem, že se na ní někdo připojí. Takže se v zápětí musí povolit ve FW nebo přidat port foward.
Navíc, lidé mají pocit, že je třeba vytvářet nějaké megahradby, fw, proxy apod. Opak je pravdou. Většinou ta nejjednodušší možnost je i ta nejbezpečnější. Vezměte si ssh. Vymýšejí se různé kraviny, jako změna portu, přejmenování roota, port knocking a já nevím co ještě. Jenže nakonec tohle všechno pouze zkomplikuje přístup na server tomu, kdo se tam dostat chce. A jsme na začátku, tak služba musí být dostupná a stejně je. Změna portu je pouze pocit, nikoliv bezpečnost.
Daleko nejlepší je použít přihlášení pomocí klíčů. RSA 2048b vám jen tak někdo necrackne. Rázem se přístup zjednodušší, bezpečnost se zvýší o několik řádů.
Viděl jsem servery, kde se provozuje FTP a protože je to "apriory nebezpečné" tak se vymýšlelo blokování ip po x pokusech apod. Většinou se takhle zablokoval ten, kdo tam něco chtěl dělat. Přitom je řešení triviální. FTP dát pryč a používat scp. S klíčema. Je to mnohem jednodušší a mnohem bezpečnější.
Takže tak. Viděl jsem mnoho sítí, které působily jako pevnost. Jenže jak jste jedou vevnitř, můžete cokoliv (i věci jako, přístup z LAN bez loginu apod). Je daleko lepší neoddělovat vnitřní a vnější síť a služby prostě nastavit pořádně. Místo login a heslo to může být právě SSL klíč. Používá se to pohodlně a ta služba se klidně může vystavit ven.
A jak to souvisí s IPv6? No prakticky nijak. IPv6 umožní si snadněji postavit sít, snadněji nastavit firewall a snadněji skrýt obsah sítě. Ale bezpečnost samotná na IP protokolu nezávisí.
-
Na svém serveru, světe div se, firewall nemám. Nemá totiž co filtrovat. Všechny služby jsou nutně dostupné z Internetu (od toho je to Internetový server) a tedy firewall by byl nastavený tak, aby propustil všechny naslouchající porty. Je tam prostě zbytečný. Ostatní služby na serveru stejně nemají co dělat.
Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou? Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.
-
A teď trochu konstruktivnější odpověď. Síťové služby jsou přirozeně určené k tomu, aby se na ně někdo připojil. Tudíž je lze (resp. mají být nastavené s ohledem na bezpečnost) nastavit tak, aby byly bezpečné.
No konečně někdo se zdravým selským rozumem!
Jediná poznámka: ve firemních sítích většinou člověk chce pásek i kšandy. Primárně proto firewall. Doma je to jinak - a o domácích uživatelích tady byla řeč především.
Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou?
To je argument jak noha :)
Mám podobný: root má mít rozumné heslo. Ale co když má omylem heslo prázdné?
Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.
Tak jako tak zkusí odchozí spojení - a tomu zabránit je v podstatě nemožné.
-
…
Firewall se v některých případech hodí a mám jej i na serverech. Například i na bránění floodování webserveru (při floodu dočasně přesměruje požadavky na statickou stránku s HTTP 509) nebo protože některé služby na serveru jsou jenom pro použití mezi spolupracujícími servery (typicky různé backendy nebo MySQL). Ale souhlasím s tím, že firewall má tohle řešit až na konci, ne někde po cestě, tam má router maximálně používat reverse path filter.
-
Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou? Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.
Už přímo z tohoto komentáře je vidět, že problém je opět jinde. Na server se služba jen tak omylem nedostane. A pokud ano, tak se správci zruší pracovní smlouva (a to záměrně, ne omylem).
Děravý webserver je skoro totéž. Asi nechceme provozovat děravý webserver, že ano. Souhlasím, že zde firewall s nějakou detekcí může pomoci v nalezení problému. Ale nezabrání mu.
Nejsem proti firewallu, spravuji jich hodně, ale nesmí se brát jako první a hlavně ani jako jediná bariéra.
-
Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou?
To je argument jak noha :)
Takhle vytržené z kontextu je to vážně argument jak noha. Nevytrhávejte prosím z kontextu, viz pokračování:
Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.
Tak jako tak zkusí odchozí spojení - a tomu zabránit je v podstatě nemožné.
To není pravda, je to naopak velmi jednoduché: iptables -A OUTPUT -m owner --uid-owner apache -j DROP
-
To není pravda, je to naopak velmi jednoduché: iptables -A OUTPUT -m owner --uid-owner apache -j DROP
Ok, každý máme jiný způsob práce. Pokud myslíš, že má smysl mít firewall, kde budeš vyjmenovávat všechny uživatele, kteří nemají komunikovt ven, a že udržování takového firewallu je efektivní, tak pak jo. Však jsem taky psal, že to je "v podstatě" nemožné. Principielně je možné všechno, jde jenom o to, jestli efekt odpovídá námaze a jaké jsou vedlejší efekty.
-
To není pravda, je to naopak velmi jednoduché: iptables -A OUTPUT -m owner --uid-owner apache -j DROP
Ok, každý máme jiný způsob práce. Pokud myslíš, že má smysl mít firewall, kde budeš vyjmenovávat všechny uživatele, kteří nemají komunikovt ven, a že udržování takového firewallu je efektivní, tak pak jo. Však jsem taky psal, že to je "v podstatě" nemožné. Principielně je možné všechno, jde jenom o to, jestli efekt odpovídá námaze a jaké jsou vedlejší efekty.
Ano, oba máme jiný způsob práce. Já jsem totiž přesvědčený že investovat práci do zabezpečení serveru je nutnost která má přednost před administrátorovou pohodlností.
-
Ano, oba máme jiný způsob práce. Já jsem totiž přesvědčený že investovat práci do zabezpečení serveru je nutnost která má přednost před administrátorovou pohodlností.
Nebudu to brát jako invektivu :)
Nejde o pohodlnost admina, ale - jak jsem psal - o udržovatelnost takového řešení. Ne admin vs. bezpečnost, ale bezpečnost vs. dostupnost. Ovšem pokud se ti nikdy nestalo a nestane, že sis takhle extenzivními fw pravidly zablokoval omylem legitimní provoz, tak ok, je to dobré řešení (teda za podmínky, že mi nevadí jeho limity - např. že takhle ochráněný apache pak nemůžu nastavit jako proxy pro jiný server obsahu).
Můj přístup je jiný - 1. apache do jailu a 2. smíření se s tím, že kompromitovaný stroj je kompromitovaný stroj 3. DR pro případ kompromitace. To tvoje řešení mi přijde trochu moc extenzivní a přeplácané. Ale to je věc názoru, jak jsem již byl řekl :)
-
Můj přístup je jiný - 1. apache do jailu a 2. smíření se s tím, že kompromitovaný stroj je kompromitovaný stroj 3. DR pro případ kompromitace. To tvoje řešení mi přijde trochu moc extenzivní a přeplácané. Ale to je věc názoru, jak jsem již byl řekl :)
Z druhého bodu musí mít extrémní radost správci všech serverů na které bude kompromitovaný stroj útočit, protože útočník má neomezenou možnost síťové komunikace. Pro mě je takový přístup nepřijatelný.
-
Z druhého bodu musí mít extrémní radost správci všech serverů na které bude kompromitovaný stroj útočit, protože útočník má neomezenou možnost síťové komunikace. Pro mě je takový přístup nepřijatelný.
Opět zdůrazňuju, že to je můj názor a můj přístup k věci.
Tohle považuju za pseudoproblém. Neomezenou možnost komunikace má libovolný uživatel libovolného stroje. Získat přístup k uživatelskému účtu je podstatně jednodušší než k systémovému účtu. Takže mi tahle myšlenka přijde trochu jako zamykání branky, u které není plot :)
-
Takže mi tahle myšlenka přijde trochu jako zamykání branky, u které není plot :)
Souhlas. :)
Jsou sítě, kde se omezuje provoz oboustraně, vyjmenovává se každá jednotlivá služba apod. Většinou to vypadá tak, jak jsem psal. Jsou povolené všechny služby, které na serveru běží a žádná jiná se na server stejně nedostane. Ale tak ok. Jsou i sítě, kdy komunikace (pouze http) dovnitř jde jen přes reverzní proxy a komunikace ven přes autentizaci na normální proxy. Pokud jsou na ostatních služby vnitřní servery, tak je do taky ještě docela ok, hlavně když to není tajná transparentní proxy. A pak když tam chcete pracovat, tak vám správce dá tajně přístup na "zadní vrátka" a dostanete se všude (i takový už jsem dostal). Výsledkem je extrémně drahé řešení, které, aby se tam dalo pracovat, tak tam někdo udělá díru. Jinak totiž pracovat nejde. Takže výsledkem je stav, na který je snad i nějaký audit a správce pro vlastní práci tam má někde soukromou VPN.
Teď pracujeme na projektu pro jeden z největších podniků v ČR. Všechno musí schvalovat bezpečnostní oddělení, všechno musí projít přes tamní správce sítě, vše je na příkaz a povolení od vedení a vše je pouze dočasné. Adresy DNS resolverů jsem dostal "už" po 14 dnech (forward před 16 lidí) a SMTP relay nastavovali bezmála měsíc. Jako dobře, možná že to je bezpečné, ale z tohoto způsobu práce je jasné, že tam nikdo nemá celkový přehled o celé síti (možná je to tak schválně). Povolují a zakazují se jen jednotlivé schválené služby a asi by šlo si nechat "nezávisle na sobě" povolit takové kombinace přístupů, že by z toho byla díra jak vrata do dvora. Výsledek je ale extrémně pomalé nasazení produktu, místo dvou dnů je to již na 3 měsíce. Na druhou stranu, je kompletně dokumentován každý krok a to je rozhodně plus. Ale nestěžuji si, na rozdíl od ostatních podniků, tady ti lidé dobře vědí co dělají a mají přehled o technologiích i mimo svůj obor. Jen by to chtělo větší systémovou flexibilitu.
-
Z druhého bodu musí mít extrémní radost správci všech serverů na které bude kompromitovaný stroj útočit, protože útočník má neomezenou možnost síťové komunikace. Pro mě je takový přístup nepřijatelný.
Neomezenou možnost síťové komunikace má kdokoliv, nejen kompromitované stroje. To opravdu není moc dobrý argument.
-
Z druhého bodu musí mít extrémní radost správci všech serverů na které bude kompromitovaný stroj útočit, protože útočník má neomezenou možnost síťové komunikace. Pro mě je takový přístup nepřijatelný.
Neomezenou možnost síťové komunikace má kdokoliv, nejen kompromitované stroje. To opravdu není moc dobrý argument.
Ale u takového "kdokoliv" vím kdo to je - musím znát své uživatele. To je podstatný rozdíl proti útočníkovi který se mi dostal na server omylem, ale se kterým je nutno počítat - statisticky se to prostě jednou za čas stane, protože komplikovaný software bezpečnostní díry měl, má a bude mít.
-
Na druhou stranu, je kompletně dokumentován každý krok a to je rozhodně plus.
(pomalé) schvalování a (poměrně rychlý) change/config management jsou imho dvě na sobě docela nezávislé věci, i když v korporacích vždy úzce provázané.
Já třeba teď nasazuju change mgmt kombinovaný s HIDS na celkem jednoduchém principu na bázi gitu, takže plnou zdokumentovanost a přehled změn bych měl mít brzo k dispozici taky - i bez schvalování desítkou úředníků :)
Ale nestěžuji si, na rozdíl od ostatních podniků, tady ti lidé dobře vědí co dělají a mají přehled o technologiích i mimo svůj obor. Jen by to chtělo větší systémovou flexibilitu.
Na to si stěžují všichni zaměstnanci velkých korporací bez výjimky :)
-
Ale u takového "kdokoliv" vím kdo to je - musím znát své uživatele.
Nesmysl. Získat přístupové údaje řadového zaměstnance je triviální - social engineering ještě nikdy nezklamal ;) A pak už nemáš "uživatele, kterého znám" ani náhodou - a NIC proti tomu neuděláš, protože BFU nezměníš. A že BFU vydal heslo dobrovolně, nikdy nedokážeš.
To je podstatný rozdíl proti útočníkovi který se mi dostal na server omylem, ale se kterým je nutno počítat - statisticky se to prostě jednou za čas stane, protože komplikovaný software bezpečnostní díry měl, má a bude mít.
Právě proto, že software díry měl a mít bude, je potřeba počítat s tím, že k průniku může dojít - sice se mu snažit _rozumně_ bránit, ale zároveň na obranu nespolíhat, brát úspěšný útok jako fakt a sichrovat se IDSkem a rozumně vymyšleným DR.
-
Ale u takového "kdokoliv" vím kdo to je - musím znát své uživatele.
Nesmysl. Získat přístupové údaje řadového zaměstnance je triviální - social engineering ještě nikdy nezklamal ;) A pak už nemáš "uživatele, kterého znám" ani náhodou - a NIC proti tomu neuděláš, protože BFU nezměníš. A že BFU vydal heslo dobrovolně, nikdy nedokážeš.
Jaké NIC? Naopak něco - řadoví zaměstnanci nemají co mít přístup na server připojený do internetu. Klasifikovat servery do bezpečnostních zón a podle toho se k nim chovat je základ. Server přímo připojený do internetu je vždy v nejnižší bezpečnostní zóně.
-
Jaké NIC? Naopak něco - řadoví zaměstnanci nemají co mít přístup na server připojený do internetu. Klasifikovat servery do bezpečnostních zón a podle toho se k nim chovat je základ. Server přímo připojený do internetu je vždy v nejnižší bezpečnostní zóně.
No tak jestli se bavíme o prostředí, kde uživatelé nemůžou žádným způsobem na internet, tak to pak ano. To ale není prostředí 99,9% podniků, natož domácností.
Ale to už jsme dost offtopic, už se zdržím dalších komentářů.
-
Jaké NIC? Naopak něco - řadoví zaměstnanci nemají co mít přístup na server připojený do internetu. Klasifikovat servery do bezpečnostních zón a podle toho se k nim chovat je základ. Server přímo připojený do internetu je vždy v nejnižší bezpečnostní zóně.
No tak jestli se bavíme o prostředí, kde uživatelé nemůžou žádným způsobem na internet, tak to pak ano. To ale není prostředí 99,9% podniků, natož domácností.
Nikdy jsem nenapsal že uživatelé nemůžou žádným způsobem na internet. Uživatelé mohou na internet, ale kontrolovaným způsobem. To nemá s divočinou shellových účtů na serveru přímo připojeném do internetu nic společného.
-
Ale u takového "kdokoliv" vím kdo to je - musím znát své uživatele. To je podstatný rozdíl proti útočníkovi který se mi dostal na server omylem, ale se kterým je nutno počítat - statisticky se to prostě jednou za čas stane, protože komplikovaný software bezpečnostní díry měl, má a bude mít.
Já tedy nevím, zda si rozumíme. Thread původně začal tím, že je třeba (podle vás) zabezpečit firewallem server tak, aby v případě jeho kompromitace (kompromitace jeho internetových služeb) stejně nemohl komunikovat.
Jenže co komukoliv brání si zřídit vlastní server (vpn, proxy relay, tor apod) a komunikovat z něj, bez složité kompromitace jiných služeb? Tam mířila moje námitka. Zkrátka jestliže budu skutečně chtít odstřelovat ostatní, tak mám asi tak mega jednodušších možností, než crackovat jiný server. Tím jako neříkám, že by tam ta obrana neměla být, ale jen je podle mě zbytečné bránit něčemu, co si dotyčný může udělat mnohem snadněji vedle. Taková obrana je zbytečná a komplikující. Nehledě na to, že i webové aplikace často potřebují komunikovat s venkem oboustraně.
-
Jenže co komukoliv brání si zřídit vlastní server (vpn, proxy relay, tor apod) a komunikovat z něj, bez složité kompromitace jiných služeb? Tam mířila moje námitka. Zkrátka jestliže budu skutečně chtít odstřelovat ostatní, tak mám asi tak mega jednodušších možností, než crackovat jiný server. Tím jako neříkám, že by tam ta obrana neměla být, ale jen je podle mě zbytečné bránit něčemu, co si dotyčný může udělat mnohem snadněji vedle. Taková obrana je zbytečná a komplikující. Nehledě na to, že i webové aplikace často potřebují komunikovat s venkem oboustraně.
Já jsem to pochopil tak, že dojde např. ke kompromitaci apache - tj. pod účtem apache můžu spustit vlastní proces. Ale s tím procesem nemůžu komunikovat, protože nemám jak.
Přijde mi to trochu naivní, ale budiž :)
-
P.S. jako ochrana před hromadnými útoky, kde se tím útočník dál zabývat nebude a útok hned vyhodnotí jako neúspěšný, je to samozřejmě dobrý, to jo. Ale spravovat bych to nechtěl.
-
to firewall, Tomáš Crhonek, Miroslav Prýmek:
IPv6 a služby v cloudu na vás..... Nezapomněli jste na téma?
Téma je o tvrzení "uživatel nepotřebuje žádný počet veřejných adres, protože mu stačí NAT" a že "NAT je lepší než neNAT".
Co takhle přirovnat NAT ke garáži a zamknuté auto k firewallu. Garáž odradí NÁHODNÉHO útočníka od cíle, protože neví co v té garáži je. Nicméně toho kdo chce ukrást Vaše auto to neodradí, jenom to znesnadní (stejně jako NAT). Lidé si v garáži auto často nezamikají, ale to nezmanená, že nezamčené auto nemá žádný význam. Oproti tomu zamčené auto je na parkovišti nutnost, byť to ne všechny zloděje odradí. Otázka je, jestli NAT lze dostatečně nahradit externím firewallem, který je součástí routeru (jako zamknout si auto za vratama na dvorku u baráku (vrata jsou tedy jako externí firewall)).
Prostě si myslím, že neNAT je vzhledem k možnostem a důsledkům PŘÍPUSTNÉ RIZIKO výměnou za globálně dostupnou adresu na PC (stejně jako zamčené auto na parkovišti, raději to, než 2 km od baráku garáž, navíc kdybych chtěl můžu kolem auta na parkovišti rozmístit senzory ;) ). Ale chápu, že ne všichni budou souhlasit.
Proti mnoha argumentům lze oponovat, že domácím zařízením, které nechceme mít na netu stačí komunikovat pomocí LL adres. Ty zařízení které mají být přístupné přes Inet je třeba aby zabezpečil výrobce (aby rozlišoval domácí komunikaci od té z netu (to lze, například televize by mohla mít pro youtube komunikovat pakety s ttl 128, oproti tomu pro vzdálené ovládání by se musela použít menší hodnota TTL, autentizace, explicitní povolení uživatele lokálně, ssl atd... samozřejmě v kombinaci.)
-
to firewall, Tomáš Crhonek, Miroslav Prýmek:
IPv6 a služby v cloudu na vás..... Nezapomněli jste na téma?
Ano ano, omlouvám se a už opravdu k OT mlčím :)
-
to firewall, Tomáš Crhonek, Miroslav Prýmek:
IPv6 a služby v cloudu na vás..... Nezapomněli jste na téma?
Téma je o tvrzení "uživatel nepotřebuje žádný počet veřejných adres, protože mu stačí NAT" a že "NAT je lepší než neNAT".
Co takhle přirovnat NAT ke garáži a zamknuté auto k firewallu. Garáž odradí NÁHODNÉHO útočníka od cíle, protože neví co v té garáži je. Nicméně toho kdo chce ukrást Vaše auto to neodradí, jenom to znesnadní (stejně jako NAT). Lidé si v garáži auto často nezamikají, ale to nezmanená, že nezamčené auto nemá žádný význam. Oproti tomu zamčené auto je na parkovišti nutnost, byť to ne všechny zloděje odradí. Otázka je, jestli NAT lze dostatečně nahradit externím firewallem, který je součástí routeru (jako zamknout si auto za vratama na dvorku u baráku (vrata jsou tedy jako externí firewall)).
Prostě si myslím, že neNAT je vzhledem k možnostem a důsledkům PŘÍPUSTNÉ RIZIKO výměnou za globálně dostupnou adresu na PC (stejně jako zamčené auto na parkovišti, raději to, než 2 km od baráku garáž, navíc kdybych chtěl můžu kolem auta na parkovišti rozmístit senzory ;) ). Ale chápu, že ne všichni budou souhlasit.
Proti mnoha argumentům lze oponovat, že domácím zařízením, které nechceme mít na netu stačí komunikovat pomocí LL adres. Ty zařízení které mají být přístupné přes Inet je třeba aby zabezpečil výrobce (aby rozlišoval domácí komunikaci od té z netu (to lze, například televize by mohla mít pro youtube komunikovat pakety s ttl 128, oproti tomu pro vzdálené ovládání by se musela použít menší hodnota TTL, autentizace, explicitní povolení uživatele lokálně, ssl atd... samozřejmě v kombinaci.)
Jo sorry, zpět do TopTopicu.
Přirovnání pokulhává. NAT (maškaráda) je jen překlad adres. Nic víc, nic méně. Bezpečnostní bariéra je nulová. Narozdíl od fyzické garáže. Pokud někdo chce skrýt interní implementaci, má k disposici proxy (afaik v OOP existuje návrhový vzor proxy přesně k tomuto účelu). Od bezpečnosti sítě je zde packetový filter, chcete-li firewall. Pojmy jako externí a interní firewall nechápu. Firewall prostě komunikaci propustí nebo ne, je jedno, kde je umístěn. Asi je tím myšlen fw umístěný na routeru (kde být může a nemusí) a přímo na síťovém hostu (kde být může a nemusí).
Bavit se o NATu a neNATU jako o přípustném riziku mi přijde takové... Prostě síť je o peer to peer komunikaci a Internet vznikl jako síť propojující sítě a přinesl tak možnost globální peer to peer komunikace (lokální tu byla od počátku). Bez ohledu na možnost si tu komunikaci filtrovat firewallem. To není popření globální komunikace.
Maškaráda vznikla mnohem později jako jedna z reakcí na docházející IPv4. Tím chci říct, že základ Internetu je v globálních routovacích adresách a tak prostě vznikl a funguje. IANA ani žádná jiná Internetová organizace maškarádu za připojení k internetu nikdy neuznala, protože technicky není (host za maškarádou je vyjmut z možnosti globální peer to peer komunikace). A trochu mě mrzí, že dneska je situace de fakto opačná, že se musí vysvětlovat, proč je potřeba mít globální adresu a mnoho lidí bere maškarádu jako default. Není a nikdy nebyl. Přináší to jen problémy, není to žádná bezpečnostní ani privátní bariéra.
Takže závěr. Globální routovaná adresa, ani IPv4 ani IPv6 není žádné ohrožení a žádné riziko. Je to naopak to, co je od počátku zcela integrální součástí sítě a je to to, co by každý síťový prvek měl mít by default. S bezpečností to nijak nesouvisí. S bezpečností souvísí to, jak jsou zabezpečené služby a jak jsou zabezpečené sítě.
-
Přirovnání pokulhává. NAT (maškaráda) je jen překlad adres. Nic víc, nic méně. Bezpečnostní bariéra je nulová. Narozdíl od fyzické garáže. Pokud někdo chce skrýt interní implementaci, má k disposici proxy (afaik v OOP existuje návrhový vzor proxy přesně k tomuto účelu). Od bezpečnosti sítě je zde packetový filter, chcete-li firewall. Pojmy jako externí a interní firewall nechápu. Firewall prostě komunikaci propustí nebo ne, je jedno, kde je umístěn. Asi je tím myšlen fw umístěný na routeru (kde být může a nemusí) a přímo na síťovém hostu (kde být může a nemusí).
Bavit se o NATu a neNATU jako o přípustném riziku mi přijde takové... Prostě síť je o peer to peer komunikaci a Internet vznikl jako síť propojující sítě a přinesl tak možnost globální peer to peer komunikace (lokální tu byla od počátku). Bez ohledu na možnost si tu komunikaci filtrovat firewallem. To není popření globální komunikace.....
Ano interní jsem myslel v koncovém komunikačním uzlu (host firewall). Externí jako síťový/network firewall.
No a v tom se budete hádat s zastánci NATu. Symetrický nat, který právě bývá často zmiňován jako součást bezpečnosti, má 2 výhody
a. není možné poznat jednoduše určit kolik uzlů jakého druhu je v síti pouze podle komunikace (pomiňme vyzrazení pomocí aplikací na hostu)
b. když NAT přestane dělat svou funkci, není to (možná) takové riziko než když přestane dělat svoji funkci FIREWALL
2.
Na druhou stranu vzledem ke způsobu realizace většiny útoků na koncové stanice, není NAT bezpečnostním opatřením, protože napadnout koncového uživatele lze přes spojení které otevře sám zevnitř sítě.
Co se týče mého srovnání s garáží, tak faktor symetrického natu přirovnávám k zamčení, faktor neprůhlednosti vrat k skrytí vnitřku garáže, ale uznávám, že nemusí to srovnání být úplně košér, nebudu zde dále příkladovat, ohledně toho skrývání se doporučuji podívat na tento článek který polemizuje často zmiňované obscurity is not security.: http://packetpushers.net/obscurity-security-reality
s mnoha body v něm souhlasím.
Dalším argumentem který se objevuje je otázka migrace adres, které se díky NATU dá realizovat, a ke kterému prý pro velké firmy není adekvátní náhrada v IPv6.. ale to je na další dlouhý flame, protože jedna strana tvrdí, že nástroje jsou a druhá, že nejsou "stejné" jako NAT. Nicméně vzhledem k změnám na síti při změně adres i toto beru jako možné bezpečnostní riziko vzhledem k lidskému faktoru.
Posledním argumentem který chci zmínit je statický překlad podle portu. Zaslechl jsem argument, že tím, že běží na jedné adrese víc služeb a tyto služby mohou být reálně na různých mašinách, tak se dos útok na stroj poskytující konkrétní službu může minou účinkem (například jedna adresa poskytuje službu http a zároveň sql, útokem na sql schodím sql server a ne http server, o čemž do chvíle útoku útočník nemusí vědět a tím získám informaci o útočníkovi v době kdy neohrožuje službu, na kterou měl původně zálusk). V tomto použití si osobně nemyslím, že by NAT byl spásou, ale chápu že argument použití "dražší varianty" jako 1. server jedna služba, předsazení aplikačního proxy, IPS apod. není to co chtějí všichni slyšet (Předpoklad je že NAT byla levná varianta).
Proto ještě jednou, myslím že NAT vzhledem k tomu, že je občas součástí bezpečnosti ve firmách, jeho zmizení je určité bezpčenostní riziko, které si vyžádá náklady, ale vzhledem k výhodám by toto riziko/náklady neměly odradit od zavádění veřejných adres, protože přínosy dle mého toto riziko vyváží.
-
Na druhou stranu vzledem ke způsobu realizace většiny útoků na koncové stanice, není NAT bezpečnostním opatřením, protože napadnout koncového uživatele lze přes spojení které otevře sám zevnitř sítě.
No právě! Typicky dneska útoky probíhají tak, že uživatele nějak motivuju spustit něco, čím si nainstalují do systému trojana. To je dneska zdaleka nejběžnější útok. Nikdo se nebude párat s nějakým překonáváním zámku, když mu velký množství lidí ochotně otevře dveře.
A proti tomuhle mi sebelepší firewall nepomůže, natož NAT.
-
sakra... odeslal jsem to dříve než si to zkontorloval. Mimo gramatických chyb bych rád upravil poslední tvrzení.
místo "neměly odradit od zavádění veřejných adres" jsem chtěl napsat, že "by neměli vést k zavedení NATu do IPv6".
-
Dalším argumentem který se objevuje je otázka migrace adres, které se díky NATU dá realizovat, a ke kterému prý pro velké firmy není adekvátní náhrada v IPv6.. ale to je na další dlouhý flame, protože jedna strana tvrdí, že nástroje jsou a druhá, že nejsou "stejné" jako NAT. Nicméně vzhledem k změnám na síti při změně adres i toto beru jako možné bezpečnostní riziko vzhledem k lidskému faktoru.
Dělal jsem asi 3x přečíslování celé sítě včetně všech zákazníků u jednoho malého lokálního ISP a dvakrát na našem firemním hostingu s produkčními servery (a to včetně změny housingu). Změna adres přinese většinou daleko větší pořádek, protože se věci po létech udělají znovu a lépe a nastaví se to od nuly. Nebyl to žádný velký problém. Ale chápu, že přečíslování 10let staré sítě s několika tisíci hosty může být problém.
IPv6 má prostředky daleko silnější než je NAT. Chápu, že někdo může vidět eleganci v tom, že má tabulky se dvojicí vnitřní : vnější adresa (pro symetrický nat) a kteroukoliv stranu tak kdykoliv moci změnit bez dopadu na stranu druhou. V IPv6 se stejnou elegancí může mít každý host několik IPv6 adres z různých rozsahů, třeba pro různé účely. Pro přidělení další adresy do sítě stačí nastavit další RA. Takto lze například přeadresovat sít na jiný rozsah. Oznámí se nový router, zvýší se mu priorita, ohlásí se pomocí RA, hosté si automaticky změní default routu a aniž by to kdokoliv poznal (když se to udělá i se změnou DNS záznamů), během krátké chvíle mají všichni novou síť a novou gw. IPv6 má na tohle prostředky přímo, bez pomoci DHCP. Což by šlo použít samozřejmně též. Jinými slovy, pokud se používá RA a autokonfigurace, tak úplně stejně může existovat tabulka MAC - DNS záznam pro každého hosta přes všechny použité subnety. A kdykoliv to změnit. Je to něco jiného než symetrický nat, ale řeší to stejnou věc.
Když tak nad tím přemýšlím, tak si lidé asi zvykli na to, že tento konkrétní počítač má na věky věků adresu 192.168.0.1 a vše ostatní se "nějak" zařídí na routeru. IPv6 ale může být mnohem dynamičtější (privaci extension), host může mít každý den adresu z úplně jiného subnetu apod. Nic nového, u IPv4 to šlo také. Ale správci nejsou zvyklí pracovat se subnety (nikdy jich neměli dost na hraní), jen s jednotlivými adresami. Třeba se to změní.
-
Když tak nad tím přemýšlím, tak si lidé asi zvykli na to, že tento konkrétní počítač má na věky věků adresu 192.168.0.1 a vše ostatní se "nějak" zařídí na routeru. IPv6 ale může být mnohem dynamičtější (privaci extension), host může mít každý den adresu z úplně jiného subnetu apod. Nic nového, u IPv4 to šlo také. Ale správci nejsou zvyklí pracovat se subnety (nikdy jich neměli dost na hraní), jen s jednotlivými adresami. Třeba se to změní.
Dovolím si reagovat jenom na poslední odstavec, protože se zbytkem úplný souhlas.
Tu pevnou IP adresu samozřejmě může mít i v IPv6 díky ULA (nebo link-local, pokud mi stačí), rozdíl je, že to není jediná adresa. A tu předposlední větu bych zvýraznil, na nepochopení tohoto jsou totiž založeny argumenty většiny odpůrců IPv6.