IPv6 ease of use

lozak

Re:IPv6 ease of use
« Odpověď #135 kdy: 25. 08. 2017, 00:02:51 »
Lidi si taky nenastavujou NAT a FW na routeru sami. Tak nějak to mají přednastaveno buď z továrny a nebo od někoho, kdo tomu rozumí.

A děláš, jako by NAT+FW na IPv4 byla nějaká účinná obrana.


Milfaus

Re:IPv6 ease of use
« Odpověď #136 kdy: 25. 08. 2017, 00:03:29 »
A NAT si snad Blažková taky musela nastavovat sama?

Aha, takže bys to chtěl vyřešit jak?
Jako že lidi nebudou mít žádný firewall?
Nebo jen SW firewall a to v situaci, kdy je každé deváté zařízení s Androidem napadené virem?
Nebo že by se defaulně povolila komunikace dovnitř?
A pro jaké porty, skupina A hraje hry, skupina B sdílí písničky, skupina C kecá se skypem, skupina D chce využívat port XY, jiná port XYZ...?
Takže bys zrušil firewally?

No to potěš koště, až ti nějaký pinďour haxne chytrou ledničku, nastaví termostat na 50 stupnů, bude šmírovat webovku, honit si klacek u fotek z dětské chůvičky...

Ne že by to teď nemohl udělat, ale pokud se příchozí spojení na firewallu odmítají, tak se ti domů tak snadno nedobouchá. Jak vystavíš celou tu "chytrou" domácnost včetně měřiče spotřeby vody a ovládání brány na Internet, tak budeš čumět jako péro z gauče.

lozak

Re:IPv6 ease of use
« Odpověď #137 kdy: 25. 08. 2017, 00:08:35 »
... Nebo jen SW firewall ...
Otázka za zlatého bludišťáka: Jaký je rozdíl mezi HW a SW firewallem?


Ne že by to teď nemohl udělat, ale pokud se příchozí spojení na firewallu odmítají, tak se ti domů tak snadno nedobouchá. Jak vystavíš celou tu "chytrou" domácnost včetně měřiče spotřeby vody a ovládání brány na Internet, tak budeš čumět jako péro z gauče.
Další, co si myslí, že když je za NATem, tak je v bezpečí.

Milfaus

Re:IPv6 ease of use
« Odpověď #138 kdy: 25. 08. 2017, 00:18:07 »
Další, co si myslí, že když je za NATem, tak je v bezpečí.

S nat traversal jsem si hrál ještě když ty jsi žbluňkal taťkovi v pytlíku  ;D
Většina dnes prodávaných krabiček ten firewall má, neříkám že nějaký robustní SPI firewall, ale relativně dobré řešení mají skoro všechny.

Ale...je to marný, je to marný, je to marný...
Běž Blažkový vysvětlit, jak si má nastavit firewall s IPv6 u sebe doma a jak to má nastavit i u Máni, se kterou si chce psát. Přesvědč jí, že je to lepší, než použít Skype nebo Viber.
To by tě mohlo na pár let zabavit. Tak pak přijď.

lozak

Re:IPv6 ease of use
« Odpověď #139 kdy: 25. 08. 2017, 00:23:18 »
To víš, že jo ty experte. Všemu nejlíp rozumíš, ale tvrdil jsi, že za NATem z jedné adresy může na další adresu komunikovat 65535 klientů.

---

Všechno může fungovat i bez jakékoli snahy uživatele. Kdo chce hledá způsoby, kdo nechce, hledá výmluvy.

Mimochodem, pořád si neodpověděl, kolik je podle tebe evyužitých adres, které se dají přerozdělit.


lozak

Re:IPv6 ease of use
« Odpověď #140 kdy: 25. 08. 2017, 00:24:33 »
S nat traversal jsem si hrál ještě když ty jsi žbluňkal taťkovi v pytlíku  ;D

Ani nemusíš prostřelovat NAT, stačí infokované zařízení uvnitř sítě.

M.

Re:IPv6 ease of use
« Odpověď #141 kdy: 25. 08. 2017, 00:39:17 »
To se ti zase nějak tu rozjelo. :-)
Sprosté zkratky (jak šel čas) UPnP Firewall-hole-punching / NAT-PMP / PCP a jejich podpora by Blažkový v klientovi i home branách nestačil (pro IPv6 to poslední) pro řešení otázky toho prostupu firewallu dovnitř?
Je fakt, že to umí použít dneska i řaada breberek k nakažení komplů, takže někdy je lepší mít server stranu v routeru/domácí bráně vypnutou. :-)

asdf111

Re:IPv6 ease of use
« Odpověď #142 kdy: 25. 08. 2017, 00:52:16 »
ipv6 je fasizmus, zato o specifikacii ipv4 prebehlo globalne referndum :))

Kto skusi uhadnut ako funguju IP telefony za domacim routrom? ako sa dokaze niekto dovolat na telefon ktory je za NATom?
No ten telefon sa pekne krasne v pravidelnych intervaloch ozyva na centralny server aby udrziaval stale znamy port otvoreny na routri v NAT tabulke, a cez tento NAT sa vie operator z vonku dovolat :) takto pekne funguje NAT a security :)

Jenda

Re:IPv6 ease of use
« Odpověď #143 kdy: 25. 08. 2017, 00:59:11 »
Sprosté zkratky (jak šel čas) UPnP Firewall-hole-punching / NAT-PMP / PCP a jejich podpora by Blažkový v klientovi i home branách nestačil (pro IPv6 to poslední) pro řešení otázky toho prostupu firewallu dovnitř?

Tak nejdřív se tu zdrbe IPv6 za to jak je prý složité implementovat i nastavit a pak si jako alternativu vybereme IPv4 s NATem, UPNP a hole punchingem, což jako složité není? Holy fuck.

A proč by to muselo být P2P?

Aby to mělo menší latence a vyšší rychlost (telefonní hovor k sousedovi nebo synchronizace souborů na počítač vedle nepojede přes půl Evropy), aby to bylo levnější (dodavatel SW nebude muset platit šílenou konektivitu) a aby existovala konkurence (na trh mohou vstoupit i malé firmy nebo dokonce free software, kde nejsou prachy na to rozstrkat po celém světě servery na přenos dat).

A blábolte si co chcete

Nápodobně, právě jsem vyhodnotil, že další diskuze pro mě nebude mít žádný odborný přínos (a to je asi hlavní věc, co mě zajímá).

M.

Re:IPv6 ease of use
« Odpověď #144 kdy: 25. 08. 2017, 01:08:46 »
Sprosté zkratky (jak šel čas) UPnP Firewall-hole-punching / NAT-PMP / PCP a jejich podpora by Blažkový v klientovi i home branách nestačil (pro IPv6 to poslední) pro řešení otázky toho prostupu firewallu dovnitř?

Tak nejdřív se tu zdrbe IPv6 za to jak je prý složité implementovat i nastavit a pak si jako alternativu vybereme IPv4 s NATem, UPNP a hole punchingem, což jako složité není? Holy fuck.

Jak chcete rozumně pro domácího tupého koncáka na home gateway umožnit v reálu prostup komunikace dovnitř, pokud tam chce mít puštěno něco, co poslouchá na spojení z venku? Zvláště pokud je v bráně stavový firewall, který v základu blokuje směrem dovnitř skoro vše, vyjma pár doporučených protokolů. Pak řešení, že brána umí PCP a klienská aplikace také a řekne zkrátka firewallu, že teď pro danou IPv6 adresu pouštěj dovnitř tyto porty...
Pro IPv4 jeí to stejné, tam přibývá situace port forwardu kvůli NATu.

Milfaus

Re:IPv6 ease of use
« Odpověď #145 kdy: 25. 08. 2017, 01:53:31 »

Už naučili UPnP Firewall autorizaci?
Jenak UPnP Firewall není až tolik rozšířený (připouštím, že se pletu), ale v poslední době jsem to neviděl, sice mi rukama prošlo tak deset různých krabiček, ale žádná z nich to neuměla a poslední, která to uměla, zase neuměla autorizaci, takže si telefon/tablet/Widle (dle vlastní vůle) mohl dělat co chtěl.

UPnP Firewall by byl řešení, pokud by fungoval skutečně všude, pokud na 7mi WIFInách bude a na 3 nebude, lidi tak jako tak dají přenost službám s centrálním serverem. Mějme situaci Domov-Babička-Práce-Hospoda-Pronájem(zaměň za kolej, spaní u přítelkyně, pronájem) - na kolika místech to musí fungovat, aby se to dalo prohlásit za funkční?

Buď to bude tak, že si zařízení budou moct dělat co chtějí, třeba kamera z Číny si stáhne nový firmware a otevře si díru ven...nebo to bude vyžadovat odbornou konfiguraci a lidi to nebudou používat, protože to krabička z Lídlu nebude mít nastavené... Popravdě nevím, co je horší. Tj. nepolezou mi domů do sítě jen Číňani, ale celý svět, protože UPnP vystaví tu kameru volně do netu? Kolik lidí si na takových zařízeních mění hesla?

Být v kůži výrobce, tak to nastavím tak, aby to bylo v defaultním nastavení vypnuté, jinak mě dá prví blbec k soudu.
A jak to bude vypnuté, je tam nutný krok "přihlášení se a nastavení", což hodně lidí prostě nezvládne.
Už najít IP adresu toho zařízení je pro řadu lidí zcela nepřekonatelný oříšek.
Vlastně i nastavit to zařízení po telefonu, když se někomu snažíte sdělit IPv4 adresu je dneska mimořádně obtížné a to nemluvím o IPv6 adrese a schopnostech BFU jí do prohlížeče napsat třeba v situaci, kdy linka nejede a je potřeba po telefonu pořešit to, proč nejede.

Nemyslím si, že by se časy p2p mohly vrátit.
Lidi o to vlastně nestojí. Najde se skupina těch výjimek, které potvrdí pravidlo, ale majorita se o nějaké UPNP na firewallu nebo veřejnou adresu prostě nestará. Chtějí si jedním kliknutím spustit službu, nemyslet, neřešit, aby fungovala 99% času.

Tohle je také znamení, že to nebude tak snadné, jak by si někteří mohli myslet:
https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/

Osobně si nedovedu představit, že bych to měl povolené.

Flash applet could change the primary DNS server with a UPnP request. Port forwarding would be the least of your worries – a malicious DNS server could redirect traffic to other websites.

LoL?
Co jde udělat Flashem, jde udělat i Javascriptem.
Takže vlezu na webovou stránku a najednou na mě může začít nějaký blembák střílet?
To se mi nelíbí.

M.

Re:IPv6 ease of use
« Odpověď #146 kdy: 25. 08. 2017, 02:03:30 »
UPnP neumí IPv6, respektive specifikace přišla pozdě.
PCP autorizaci umí, ale jak je to použitelné v home segmentu je otázka, spíše mířeno na firemní sektor, kde na základě autorizace povoluje a filtruje PCP server komu co dovolí otevřít.

Milfaus

Re:IPv6 ease of use
« Odpověď #147 kdy: 25. 08. 2017, 02:06:28 »

Tak jsem se koukal, prošmejdil nastavení nového modemu a našel v modemu položku "UPnP Configuration" je to vypnuté, není tam žádná nápověda, co to dělá nebo třeba nějaké možnosti nastavení. Čert ví, co to je, protože to není v konfiguraci firewallu a nemá to žádný popis. Navíc je to zašité pěkně v Advanced a když jsem to zařízení nasazoval, tak jsem si toho nevšiml. Jestli to není jen k WIFI...

Jak to bude defaultně zapnuté, je to zlo, jak to bude defaultně vypnuté, většina lidí to nenajde.
App, bez autorizace je to stejně spíš noční můra, kdy se lednička rozhodně vystavit na internet a lidi se mi budou smát, že v ní mám zkyslé mléko, olejovky a pět piv... chytrá lednička má navíc i kameru, takže si lidi budou moct prohlédnout mojí fotku, jak v noci na Adama čučím do ledničky...

Nějak takhle:
https://thumb10.shutterstock.com/display_pic_with_logo/74538/74538,1256577338,3/stock-photo-fat-man-gets-beer-from-the-fridge-39629044.jpg

Re:IPv6 ease of use
« Odpověď #148 kdy: 25. 08. 2017, 07:12:23 »
A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?
To už tu bylo řečeno. Vy akorát pořád dokola opakujete ty samé nesmysly, a je vám úplně jedno, že už je někdo dávno vyvrátil. Ale klidně vám to zopakuji ještě jednou:

Potřebuje mít veřejnou IP adresu proto, protože je to zdaleka nejjednodušší a tudíž nejlevnější řešení. Takže pokud chcete dál obhajovat používání IPv4, měl byste vy najít nějakou výhodu používání privátních adres a NATů – přece nikdo rozumný nebude používat dražší řešení, které nepřináší žádné výhody.

PetrM

Re:IPv6 ease of use
« Odpověď #149 kdy: 25. 08. 2017, 07:23:03 »
Jak chcete rozumně pro domácího tupého koncáka na home gateway umožnit v reálu prostup komunikace dovnitř, pokud tam chce mít puštěno něco, co poslouchá na spojení z venku? Zvláště pokud je v bráně stavový firewall, který v základu blokuje směrem dovnitř skoro vše, vyjma pár doporučených protokolů. Pak řešení, že brána umí PCP a klienská aplikace také a řekne zkrátka firewallu, že teď pro danou IPv6 adresu pouštěj dovnitř tyto porty...
Pro IPv4 jeí to stejné, tam přibývá situace port forwardu kvůli NATu.

Úplně jednoduše. Port 80 se ne web serveru taky otevírá jmenovitě pro každou IP adresu, která na něj chce přistupovat? Prostě aplikace/protokol bude mít zadokumentováno, který port používá a ten se jednou otevře a hotovo. Zbytek bude na aplikaci - "Volá sir Milfaus von Blbštejn, přijmout hovor?"

A že to zákazník neumí? Tak zavolá ISPíkovi, nadiktuje porty a připlatí si 50Kč za změnu konfigurace. ISP snad umí router ovládat přes SSH. A je to furt levnější, než platit měsíční výpalný.