Veřejná IPv4 a IPv6 a bezpečnost

Veřejná IPv4 a IPv6 a bezpečnost
« kdy: 20. 10. 2022, 13:59:49 »
Resim to stale jedno dilema. Nejsem odborny sitar, ale tu a tam neco umim nastavit.

Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.

Druha moznost je, zrusit je a byt s IPv4 za NATem.
Napric internetem, lze najit ze pro uzivatele je tak trochu bezpecnejsi kdyz je za NAT.
Pokud ma verejnou, ma to sva rizika napr skenovani portu apod a mel by vic resit poradne zabezpeceni.
To mam resene s AVM FritzBox, kdy vyrobce uvadi ze dovnitr jsou porty na routeru nastavene na uzavrene.
Do PC tam je Eset a jeho antivirus a firewall. Pripadne Symantec jako druha moznost.
Presto jsem nikdy divoce porty nehlidal.

Takze moje otazka je, jestli jeste jinak toto zabezpecit a nebo radeji se verejne IP zreknout?
Chapu ji, ze mi rychlost nezvysuje, pristupovat na PC odnekud jinud nepotrebuji a Smart Home tzv chytra domacnost, kamery to neprovozuju.

Co byste v tomto pripade zvolili vy?  :)
« Poslední změna: 20. 10. 2022, 14:21:08 od Petr Krčmář »


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #1 kdy: 20. 10. 2022, 14:26:18 »
Co byste v tomto pripade zvolili vy?  :)

S rozumným firewallem je to úplně jedno. Otázka je, co je to "rozumný firewall". Linuxovým iptables/nftables věřím. Jakémusi čemusi na čínském SOHO routeru, kde běží pánbůh ví co ale rozhodně nikoliv už proto, že nevím, co to pánbůh ví co je i kdyby to bylo totéž -- nemluvě o jeho vlastních často ne zrovna bezpečných rozhraních. Co se týká firewallu ve Windows netuším; jako dlouholetý uživatel všech těch unixů a linuxů bych mu nevěřil taky, ale v dnešní době už to možná je jen předsudek.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #2 kdy: 20. 10. 2022, 14:57:40 »
Resim to stale jedno dilema. Nejsem odborny sitar, ale tu a tam neco umim nastavit.

Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.

Kód: [Vybrat]
Druha moznost je, zrusit je a byt s IPv4 za NATem.Napric internetem, lze najit ze pro uzivatele je tak trochu bezpecnejsi kdyz je za NAT.
Pokud ma verejnou, ma to sva rizika napr skenovani portu apod a mel by vic resit poradne zabezpeceni.
To mam resene s AVM FritzBox, kdy vyrobce uvadi ze dovnitr jsou porty na routeru nastavene na uzavrene.
Do PC tam je Eset a jeho antivirus a firewall. Pripadne Symantec jako druha moznost.
Presto jsem nikdy divoce porty nehlidal.

Takze moje otazka je, jestli jeste jinak toto zabezpecit a nebo radeji se verejne IP zreknout?
Chapu ji, ze mi rychlost nezvysuje, pristupovat na PC odnekud jinud nepotrebuji a Smart Home tzv chytra domacnost, kamery to neprovozuju.

Co byste v tomto pripade zvolili vy?  :)
Co by za to dala spousta lidí mít veřejnou IPv4, když nemají možnost ji mít a mají jenom neveřejnou :D

Veřejnou IPv4 si každopádně ponechat (jednou se může hodit), a když ji máš za routerem, tak se není čeho obávat.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #3 kdy: 20. 10. 2022, 16:29:07 »
Resim to stale jedno dilema. Nejsem odborny sitar, ale tu a tam neco umim nastavit.

Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.

Druha moznost je, zrusit je a byt s IPv4 za NATem.
Napric internetem, lze najit ze pro uzivatele je tak trochu bezpecnejsi kdyz je za NAT.
Pokud ma verejnou, ma to sva rizika napr skenovani portu apod a mel by vic resit poradne zabezpeceni.
To mam resene s AVM FritzBox, kdy vyrobce uvadi ze dovnitr jsou porty na routeru nastavene na uzavrene.
Do PC tam je Eset a jeho antivirus a firewall. Pripadne Symantec jako druha moznost.
Presto jsem nikdy divoce porty nehlidal.

Takze moje otazka je, jestli jeste jinak toto zabezpecit a nebo radeji se verejne IP zreknout?
Chapu ji, ze mi rychlost nezvysuje, pristupovat na PC odnekud jinud nepotrebuji a Smart Home tzv chytra domacnost, kamery to neprovozuju.

Co byste v tomto pripade zvolili vy?  :)
NAT bezpečnost nijak nezvyšuje. Pokud máte na výběr veřejnou IPv4 adresu a být s IPv4 za NATem za jinak stejných podmínek, neváhal bych a volil IPv4. I když ji teď žádným způsobem nevyužijete. Nikdy nevíte, jestli si na půl roku nepořídíte NAS, IoT zařízení nebo něco takového, a hned se vám IPv4 adresa bude hodit. Kdyby nic jiného, tu IPv4 adresu budete používat vy sám a nestane se vám, že vám někdo jiný za stejnou IPv4 adresou ztíží nebo znemožní používání nějaké služby, protože ta služba začne tu IPv4 adresu omezovat nebo blokovat.

Firewall bych neřešil. Firewall nelze mít, firewall lze pouze provozovat. Když nevíte, jak firewall provozovat, je vám k ničemu.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #4 kdy: 20. 10. 2022, 16:43:09 »
Filip Jirsák: dekuji za odpoved.
Tyto sluzby napr NAS, FTP server neplanuji. Co jsem tak dle toho srovnal, tak nekdy je to dobre pro nektere urcite hry, ktere vyzaduji prime spojeni a nebo otevreni urcitych portu.

Mel jsem podezreni, jestli ten NAT nepacha nekdy zlo kvuli urcite dostupnosti nekterych webu. Je mozne abyse web kvuli NATu nacital pomaleji?

IPv4 verejnou neni odlozeni, s tim ze ji nekdy uziju. Ja ji nyni mam, protoze ISP ji proste automaticky ihned aktivoval.
Takze dal odpoved a to: pokud verejnou Ipv4 nechcete, nemuzete mit ani IPv6. Bud tedy verejna a nebo jednoduse pouze NAT.

Dotaz:
Pokud bych chtel uzit IPv6 musim na routeru udajne nastavit
Pro nastavení IPv6 na Vašem zařízení je třeba na rozhraní, kde máte nekofigurováno IPv4 zapnout podporu SLAAC a DHCPv6 klienta
Mam tam tu moznost zapnuti IPv6 tj enable, ale jeste jsem to nezkousel. Pokud toto nastavim, zmanena to ze na internetu budu vystupovat uz pod IPv6 a nebo pod verejnou IPv4? Ted pod 4, protoze jsem to nenastavil a nechal to vse jak je.


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #5 kdy: 20. 10. 2022, 17:20:12 »
Budeš vystupovat pod oběma IP, jak 4, tak 6

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #6 kdy: 20. 10. 2022, 17:57:26 »
Firewall bych neřešil. Firewall nelze mít, firewall lze pouze provozovat. Když nevíte, jak firewall provozovat, je vám k ničemu.

To není úplně pravda. Když třeba na Arch Linuxu bez jakékoliv konfigurace spustíte třeba UFW, bude odmítat veškerý nechtěný příchozí provoz. Což je v jeho případě to, co chce, nic víc k tomu vědět nepotřebuje a poslouží mu docela dobře.

NAT bezpečnost nijak nezvyšuje.

Ani to není úplně pravda. Odstíní ho od různého primitivního automatizovaného botnetového provozu na různé frekventované porty. Což sice není nějak zásadní, ale pro běžného Frantu uživatele je to pořád lepší, než rezavým drátem do oka. Ano, podstatně efektivnější je pochopitelně mít veřejnou IP adresu k dispozici a použít rozumný firewall a prostě nechat všechno zavřené, pokud ten Franta uživatel není schopen mít pod kontrolou co kde naslouchá což často není. Ale to na věci nic nemění.

Atokonto mě fascinují rady zdejších guru vyprávějících jak vlastně nepotřebuje nic, že je úplně v pohodě, když coby sysadminovský analfabet (vzhledem k tomu, že je běžný uživatel) má vystavovat veřejnou IP adresu bez toho, aby byl schopen či ochoten kontrolovat co kde poslouchá a v jaké verzi a nenainstalovat ani ten blbej firewall, co všechny porty prostě zavře což je v daném případě to nejlepší, co lze udělat.

Fakt se lidi proberte, tohle nejsou síťaři jako vy.
« Poslední změna: 20. 10. 2022, 18:00:14 od Martin Poljak »

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #7 kdy: 20. 10. 2022, 17:59:40 »
Mel jsem podezreni, jestli ten NAT nepacha nekdy zlo kvuli urcite dostupnosti nekterych webu. Je mozne abyse web kvuli NATu nacital pomaleji?

Pokud to není blbej NAT, resp. pokud s vámi na tom NAT nejsou jiní zlí uživatelé, vliv to bude mít minimální na cokoliv (včetně rychlosti).

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #8 kdy: 20. 10. 2022, 18:26:06 »
Tyto sluzby napr NAS, FTP server neplanuji. Co jsem tak dle toho srovnal, tak nekdy je to dobre pro nektere urcite hry, ktere vyzaduji prime spojeni a nebo otevreni urcitych portu.
Chápu, nicméně nemyslím si, že by teď kdokoli dokázal říct, že tu veřejnou IPv4 adresu nevyužije (nebo ji nevyužijete vy). Hry, které uvádíte, jsou další příklad, ale opravdu to může být i nějaké domácí zařízení – vysavač, regulace topení, kamera. Každopádně i kdybyste v tuto chvíli vyloučil, že nebudete používat nic, kde se dnes veřejná IPv4 adresa používá, nevíte, co nového se objeví – ale hlavně, pokud to nemá žádné mínus, tak mít to jako rezervu ničemu nevadí. Udělat si za veřejnou IPv4 adresou svůj vlastní NAT můžete vždycky.

Mel jsem podezreni, jestli ten NAT nepacha nekdy zlo kvuli urcite dostupnosti nekterych webu. Je mozne abyse web kvuli NATu nacital pomaleji?
Řekl bych, že prakticky nikdy. Musela by to být nějaká divná a hloupá implementace něčeho, co by se asi snažilo nějak spravedlivě rozdělovat dostupné pásmo (na serveru).

IPv4 verejnou neni odlozeni, s tim ze ji nekdy uziju. Ja ji nyni mam, protoze ISP ji proste automaticky ihned aktivoval.
Takze dal odpoved a to: pokud verejnou Ipv4 nechcete, nemuzete mit ani IPv6. Bud tedy verejna a nebo jednoduse pouze NAT.
Moc tomu nerozumím, možná je někde nějaké jiné slovo. Ale pokud to znamená, že buď můžete mít veřejnou IPv4 a IPv6 (veřejné), nebo IPv4 za NATem a žádné IPv6, není vůbec o čem uvažovat. To je jako kdyby se vás někdo ptal, jestli chcete dvě zmrzliny nebo žádnou.

Pokud toto nastavim, zmanena to ze na internetu budu vystupovat uz pod IPv6 a nebo pod verejnou IPv4? Ted pod 4, protoze jsem to nenastavil a nechal to vse jak je.
Vždy to bude záležet na tom, kterým protokolem se bude komunikovat. Přičemž správně by měl mít přednost IPv. Nebo-li když bude server dostupný po IPv6, připojíte se přes IPv6. Když bude dostupný jen přes IPv4, připojíte se  přes IPv4.

Zda vám funguje IPv6 zjistíte třeba na webu https://www.nebezi.cz (je dostupný jen přes IPv6) nebo https://cas.nebezi.cz (je dostupný i přes IPv4, ale zobrazí se tam, že přistupujete přes IPv4).

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #9 kdy: 20. 10. 2022, 18:39:13 »
To není úplně pravda. Když třeba na Arch Linuxu bez jakékoliv konfigurace spustíte třeba UFW, bude odmítat veškerý nechtěný příchozí provoz. Což je v jeho případě to, co chce, nic víc k tomu vědět nepotřebuje a poslouží mu docela dobře.
Zatímco když tam ten firewall nebude a nepoběží tam žádná služba, bude to odmítat veškerý nechtěný příchozí provoz. A když tam nějakou službu nainstaluje a spustí, bude to zase odmítat veškerý nechtěný příchozí provoz – protože ta služba bude chtěný provoz. C.B.D.

[quote author=Martin Poljak link=topic=26803.msg378121#msg378121
Ani to není úplně pravda. Odstíní ho od různého primitivního automatizovaného botnetového provozu na různé frekventované porty.
[/quote]
Což ovšem nijak nezvyšuje bezpečnost.

Atokonto mě fascinují rady zdejších guru vyprávějících jak vlastně nepotřebuje nic, že je úplně v pohodě, když coby sysadminovský analfabet (vzhledem k tomu, že je běžný uživatel) má vystavovat veřejnou IP adresu bez toho, aby byl schopen či ochoten kontrolovat co kde poslouchá a v jaké verzi a nenainstalovat ani ten blbej firewall, co všechny porty prostě zavře což je v daném případě to nejlepší, co lze udělat.

Fakt se lidi proberte, tohle nejsou síťaři jako vy.
Ale ono opravdu není potřeba nic a je to úplně v pohodě. Naštěstí, takže se do internetu mohou připojit i lidé, kteří nejsou síťaři.

Dříve bych se bál nechat do internetu vystavené bez nějaké další ochrany Windows, ale ani to už není u 10 a 11 problém. U Linuxu a macOS to nebyl problém nikdy.

Daleko lepší rada je „neinstalujte/neaktivujte nic, o čem alespoň rámcově netušíte, co negativního to může způsobit“. Víte, co negativního může způsobit firewall? Ne — tak ho neaktivujte.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #10 kdy: 20. 10. 2022, 18:43:33 »
To není úplně pravda. Když třeba na Arch Linuxu bez jakékoliv konfigurace spustíte třeba UFW, bude odmítat veškerý nechtěný příchozí provoz. Což je v jeho případě to, co chce, nic víc k tomu vědět nepotřebuje a poslouží mu docela dobře.
Zatímco když tam ten firewall nebude a nepoběží tam žádná služba, bude to odmítat veškerý nechtěný příchozí provoz. A když tam nějakou službu nainstaluje a spustí, bude to zase odmítat veškerý nechtěný příchozí provoz – protože ta služba bude chtěný provoz. C.B.D.

Problém je, že zjevně nemáte tušení, jak často se stane, že někdo nainstaluje a spustí něco, co sice někde poslouchá (nebo obecně provádí nějaké kejkle se systémem), ale chtěné to není. Takže tuhle situaci: "firewall tam nebude ale poběží tam služba, která ale chtěná není" jste tak nějak taktně opominul protože se vám to nehodí. Čili jako obvykle.

To byl omyl nebo to bylo úmyslně a je to tedy poněkud laciná, ovšem ve vašem případě, pane Jirsáku, poměrně obvyklá demagogie?

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #11 kdy: 20. 10. 2022, 18:46:24 »
Citace: Martin Poljak link=topic=26803.msg378121#msg378121
Ani to není úplně pravda. Odstíní ho od různého primitivního automatizovaného botnetového provozu na různé frekventované porty.
Což ovšem nijak nezvyšuje bezpečnost.

Vaší moc ne. Jenomže Franta uživatel není vy. Franta uživatel má neskutečnou schopnost udělat si v systému naprostý bordel a obvykle o tom navíc často ani nevědět. Co je tazatal pochopitelně nevím, ale proto musím předpokládat to horší.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #12 kdy: 20. 10. 2022, 19:51:19 »
Problém je, že zjevně nemáte tušení, jak často se stane, že někdo nainstaluje a spustí něco, co sice někde poslouchá (nebo obecně provádí nějaké kejkle se systémem), ale chtěné to není.
Ale mám.

Takže tuhle situaci: "firewall tam nebude ale poběží tam služba, která ale chtěná není" jste tak nějak taktně opominul protože se vám to nehodí. Čili jako obvykle.
Ne, situaci jsem neopominul. Této situace jsem si vědom – ale zároveň vím, že tu situaci firewall nezachrání.

To byl omyl nebo to bylo úmyslně a je to tedy poněkud laciná, ovšem ve vašem případě, pane Jirsáku, poměrně obvyklá demagogie?
Co kdybyste si odpustil ty invektivy? Vaše osobní problémy tu nikoho nezajímají.

Vaší moc ne. Jenomže Franta uživatel není vy. Franta uživatel má neskutečnou schopnost udělat si v systému naprostý bordel a obvykle o tom navíc často ani nevědět. Co je tazatal pochopitelně nevím, ale proto musím předpokládat to horší.
Což ovšem NAT nijak nevyřeší. Protože ten bordel v systému bude komunikovat zevnitř sítě ven, tedy NATem projde jako po másle. A jako bonus bude ještě komunikovat s ostatními zařízeními v lokální síti, o kterých vy si myslíte, že jsou „schovaná“ za NATem.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #13 kdy: 21. 10. 2022, 00:59:04 »
Ak mate verejnu IPv4 tak si ju urcite  nechajte. On vas router ma tiez NAT, aby bolo mozne na IPv4 prevadzkovat viac ako 1 zariadenie. Cize ak tu IPv4 vratite a provider vas hodi za svoj nat, tak to uz problemy robit moze.

Ad NAT a bezpecnost:

Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi. Tym padom je vacsia pravdepodobnost ze  pojde skusat niekam inam.

Co sa tyka breberiek ktore si bfu nataha s crackmi a podobnym, tak nie je prave jednoduche otvorit port aplikacii ktora to nema povolene na FW pre windows alebo to nema povolene cez selinux. FW z distribucie widli, co sa tyka fw od (R)esetu neviem ci default blokuje moznost otvorit port neznamej aplikacii. Ci sa tyka breberiek ktore port neotvaraju ale len volaju domov, tak je uplne jedno ci tam ten nat je alebo nie je.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #14 kdy: 21. 10. 2022, 04:23:06 »
to neni pravda. fakt nechapu kam na to dw chodis...