IPv6 a řešení záložní konektivity

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #60 kdy: 15. 01. 2019, 14:48:24 »
... je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěm ...

Ale houby. Komunikaci mezi sítěma řídí vždycky router. Ten hledá cestu (routu), kterou skrz sítě ten paket doručí, proto se tak ostatně jmenuje.

Firewall jenom z toho konkrétního rozhraní vyhází, co nemá projít (třeba privátní adresy nebo komunikaci na port 22), ale je mu jedno, jestli propuštěný paket půjde na eth1 nebo eth55. Metriky jako TTL jsou taky mimo něj...


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #61 kdy: 15. 01. 2019, 14:53:34 »
zabezpečování síťového provozu

Zajisteni provozu je neco jineho, treba ten router a treba ad absurdum i kabel
« Poslední změna: 15. 01. 2019, 14:55:17 od Vilith »

peter

Re:IPv6 a řešení záložní konektivity
« Odpověď #62 kdy: 15. 01. 2019, 23:16:27 »
Proč ta manipulace? Nebo snad dokážete odkázat nějaký komentář, kde někdo psal něco o vědecké terminologii? Ne, vaše terminologie je v rozporu se všeobecně používanou terminologií.

Prepáčte mi, ale nenašiel som články z ktorých by vyplývalo, že NAT nemôže byť súčasťou firewallu. Dokoca aj v článku na českej wikipediii, ktorý nižšie odkazujete je vysvetlené že firewall môže mať funkciu proxy (viď Kategorie -> Applikačné brány). Vtedy nie je potrebné žiadne routovanie IP prevádzky medzi sieťami, nie je potrebný žiadny NAT a napriek tomu počítače z privátnej siete môžu mať prístup vybranými protokolmi do verejnej siete. Týmto sa efektívne oddelia dve siete. Bezpečnostná výhoda oproti tomu, že by namiesto "Proxy" bol použitý len router a počítače vo vnútornej sieti by dostali verejnú adresu (dnes populárne vďaka IPv6), kvôli zabezpečeniu konektivity do internetu je zrejmá.

Vidíte, že na oddelenie dvoch sietí s rozdielnou úrovňou dôveryhodnosti a zabezpečenia postačí aj proxy, ktorý sa môže nazývať firewall. Prečo teda nechcete uznať že firewall môže byť postavený aj na NAT a jednom pravidle v packet filtri na odrazenie pokusov na podhodene cieľové adresy, ktoré sú prekladané?

Samozrejme, že sa Vás snažím trochu zmanipulovať a naviesť aby ste sa otvorili aj širšiemu ponímaniu slova firewall. Ale nerobím to zo zlým úmyslom. Nemám z toho nič, maximálne tak trošku pomasírované ego, ale za to si nič nekúpim. Dokonca veľmi oceňujem že sa táto diskusia vedie relatívne na úrovni a neznižujete sa k urážkam (teda okrem priamych obvinení že v tom mám zmätok :) )

Taktiež manipulujete, napr. keď ste mi vysvetľovali význam slova firewall na anglickom preklade. Nesúhlasím, že je to dobrá analógia pre účel vysvetlenia že Firewall a NAT sú dve rozdielne veci. Firewall má hlavne vydržať oheň čo je zrejmé z názvu, ale je to stena ktorej účel nie je prepúšťať napríklad vybraných ľudí.

Taktiež nie je celkom fér že ste zvýraznili časť odstavca ktorá sa Vám hodí bez toho aby ste sa zaoberali zvyškom vety:
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?

Ale bojím sa že pokračovaním tejto debaty už asi mlátime prázdnu slamu a bude veľmi tažké hľadať argument na presvedčenie či jednej, alebo druhej strany. Ak som Vás mojimi "manipuláciami" urazil tak ma to veľmi mrzí. Pre mňa táto debata bola prínosná na zopakovanie niektorých vecí zo školy (napríklad tých aplikačných firewalloch - proxies). Dúfam že to prinieslo niečo aj ostatným čo sledovali túdo diskusiu.

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #63 kdy: 16. 01. 2019, 07:11:33 »
Chjo, tak zase goto begin

1) Řeč byla o tom, že NAT zvyšuje bezpečnost.
2) NAT = "Native Address Translation" - funkce pro překlad adres. A je jedno, co ji dělá.
3) Překlad adres není z principu bezpečnostní funkce a ani žádnou bezpečnostní funkci nemá
4) Pokud někdo funkci NAT integruje do nějakýho síťovýho prvku, tak bez ohledu na to, jestli je ten prvek HW nebo SW, bez ohledu na to, jestli tomu říká "router", "firewall" nebo "anální sonda", furt tím NATem nic nezabezpečí - to musí udělat obecná funkce "firewall", zvolená dle potřeby.
5) NAT není nutný, pokud zařízení disponuje IP adresou, dostupnou mimo síť.
6) Použití NATu tam, kde nemusíš, je zbytečná komplikace, která nic nepřináší.
7) Použití GCNATu ze strany ISP je zločin s trestní sazbou "ukončení smlouvy"

Už je to jasný?

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #64 kdy: 16. 01. 2019, 07:20:22 »
Je to divne jen mne, ze kdyz dojdou argumenty Jirsakovi, tak se objevi anonymni PetrM?


Re:IPv6 a řešení záložní konektivity
« Odpověď #65 kdy: 16. 01. 2019, 08:09:14 »
Prepáčte mi, ale nenašiel som články z ktorých by vyplývalo, že NAT nemôže byť súčasťou firewallu.
Jestli to nebude tím, že tohle nikdo neřeší. NAT je název pro nějakou funkci. Firewall je název pro jinou funkci. Tyhle funkce se často vyskytují spolu, v jednom zařízení. Ovšem když někdo napíše, že NAT podle něj může nahradit (koho, co) jednoduchý firewall, evidentně považuje NAT a firewall za dvě různé funkce. Protože tvrzení „firewall může být nahrazen firewallem“ by vskutku bylo málo objevné.

Že vy máte potřebu v tom dělat zmatek a používat název NAT pro jedu funkci, název firewall pro dvě různé funkce, z nichž jedna je NAT a druhá asi nemá jméno, je váš problém. Každopádně to s původní diskusí o NATu nijak nesouvisí, protože dokud je NAT překlad adres, bezpečnost sítě za NATem nezvyšuje ale snižuje.

Vtedy nie je potrebné žiadne routovanie IP prevádzky medzi sieťami, nie je potrebný žiadny NAT a napriek tomu počítače z privátnej siete môžu mať prístup vybranými protokolmi do verejnej siete.
Vždyť jsem to také psal, že existují tři různé funkce – router, firewall a NAT. A že se často vyskytují spolu a dělá je zařízení, ale není to nutné a každá z těch funkcí může být i samostatně nebo jen ve dvojicích.

Prečo teda nechcete uznať že firewall môže byť postavený aj na NAT
Protože NAT má v jistém smyslu přesně opačnou funkci, než firewall – firewall zabraňuje komunikaci, která by jinak byla možná, NAT naopak vytváří komunikační propojení, které by bez něj možné nebylo.

jednom pravidle v packet filtri na odrazenie pokusov na podhodene cieľové adresy, ktoré sú prekladané?
Protože paketový filtr je firewall, nikoli NAT. Nebo k vašemu tvrzení, že NAT je součástí firewallu, chcete přidat ještě další, že také firewall je součástí NATu?

aby ste sa otvorili aj širšiemu ponímaniu slova firewall.
Já se ale takové hlouposti bráním záměrně. Dělat ze slov bramboračku a náhodně měnit jejich význam není k ničemu dobré. Router, firewall i NAT jsou definované tím, co dělají, ta definice je poměrně jasná. Když chci psát o filtrování provozu, napíšu prostě „firewall“ a nemusím složitě vysvětlovat, že myslím tu část firewallu, která má na starost filtrování provozu.

neznižujete sa k urážkam (teda okrem priamych obvinení že v tom mám zmätok :) )
To ale nebylo myšleno jako urážka, nýbrž jako konstatování výsledku pozorování vašich komentářů. Protože v nich opravdu termín „firewall“ (a také „NAT“) používáte v různých významech, takže často není jasné, o čem vlastně píšete.

Taktiež manipulujete, napr. keď ste mi vysvetľovali význam slova firewall na anglickom preklade. Nesúhlasím, že je to dobrá analógia pre účel vysvetlenia že Firewall a NAT sú dve rozdielne veci. Firewall má hlavne vydržať oheň čo je zrejmé z názvu, ale je to stena ktorej účel nie je prepúšťať napríklad vybraných ľudí.
To není manipulace, ale fakt. A nejde o analogii – jde o přenesený význam, to slovo „firewall“ pro označení síťového filtru takhle vzniklo. Účelem firewallu, protipožární zdi, je oddělit špatný oheň od ostatních věcí (lidi, auta, zvířata, zboží…) Propouštět vybrané lidi není účelem protipožární zdi, stejně jako to není účelem síťového firewallu. Protipožární zeď brání před ohněm, ale už nebrání třeba před záplavou nebo před lupiči. A stejné je to se síťovým firewallem – brání proti špatné síťové komunikaci na nižších úrovních síťového provozu. Ale třeba autentizace uživatelů v HTTPS provozu už je mimo kompetenci firewallu, to řeší zase jiné komponenty.

Taktiež nie je celkom fér že ste zvýraznili časť odstavca ktorá sa Vám hodí bez toho aby ste sa zaoberali zvyškom vety:
Myslíte třeba: „although NAT on its own is not considered a security feature, hiding the addresses of protected devices has become an often used defense against network reconnaissance“?
Já jsem tu část odstavce zvýraznil, abyste si jí všiml, protože je důležitá. Zbytek jsem ale citoval také – fér by nebylo, kdybych ten zbytek věty zatajil. Pokud si myslíte, že zbytek té věty nějak zásadní mění to zvýrazněné tvrzení, napište v čem. Podle mne je to klasické wikipedistické tvrzení, aby se vlk nažral, koza zůstala celá a Wikipedie zůstala neutrální vůči všemu. Všimněte si, že v té druhé části není nic o tom, že by ta obrana byla funkční – prostě se to jen začalo takhle často používat.

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #66 kdy: 16. 01. 2019, 09:26:19 »
zabezpečování síťového provozu

Zajisteni provozu je neco jineho, treba ten router a treba ad absurdum i kabel

V původním tvrzení bylo

... je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěm ...

což rozhodně není pravda - pokud teda někdo neprodává krabičku s nápisem "firewall", ve které je router + firewall (a případně i DHCP server, NAT, DNS resolver, VPN server, ..., ale ty v tomto kontextu nejsou relevantní). Pak to ale není klasický firewall, ten nemá co rozhodovat o tom, kolik paketů a na který rozhraní pošle.

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #67 kdy: 16. 01. 2019, 09:30:45 »
Je to divne jen mne, ze kdyz dojdou argumenty Jirsakovi, tak se objevi anonymni PetrM?

Proč když dochází argumenty nějakýmu Vilithovi, začne s jejich ubývajícím procentem zvyšovat procenta nerelevantních štěků a osobních výpadů?

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #68 kdy: 16. 01. 2019, 11:15:33 »
A muzes mi, prosim, kvalifikovane vysvetlit co to je firewall, kdyz to neni "síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi"

To je snad firewall router s access listy?

PetrM

Re:IPv6 a řešení záložní konektivity
« Odpověď #69 kdy: 16. 01. 2019, 12:35:57 »
A muzes mi, prosim, kvalifikovane vysvetlit co to je firewall, kdyz to neni "síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi"

Logický komponent síťové infrastruktury, sloužící k odfiltrování nežádoucího nebo škodlivého provozu.

Firewal totiž neřídí provoz na síti (od toho jsou routery) a k zabezpečení je na síti víc mechanismů - autorizace, autentizace, šifrování, paketový firewall, aplikační firewall,... Takže v tomhle případě je definice z Wikipedie hodně mimo..

Navíc "síťového provozu mezi sítěmi" asi psal někdo, kdo o panu Češtinovi věděl tolik, co o panu Fajrwólovi... jak už jsem řekl, Wikipedie není záruka toho, že tam najdeš, co hledáš. Ani v případě, že tam to heslo je.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #70 kdy: 16. 01. 2019, 15:06:04 »
A muzes mi, prosim, kvalifikovane vysvetlit co to je firewall, kdyz to neni "síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi"

Logický komponent síťové infrastruktury, sloužící k odfiltrování nežádoucího nebo škodlivého provozu.

Firewal totiž neřídí provoz na síti (od toho jsou routery) a k zabezpečení je na síti víc mechanismů - autorizace, autentizace, šifrování, paketový firewall, aplikační firewall,... Takže v tomhle případě je definice z Wikipedie hodně mimo..

Navíc "síťového provozu mezi sítěmi" asi psal někdo, kdo o panu Češtinovi věděl tolik, co o panu Fajrwólovi... jak už jsem řekl, Wikipedie není záruka toho, že tam najdeš, co hledáš. Ani v případě, že tam to heslo je.

Dekuji za nic nerikajici odpoved.

A co na to p. Jirsak? Vysvetli mi to on?

Cely zivot ziju v bludu a omylu ze firewall je

Citace
In computing, a firewall is a network security system that monitors and controls incoming and outgoing network traffic based on predetermined security rules. A firewall typically establishes a barrier between a trusted internal network and untrusted external network, such as the Internet.

Firewalls are often categorized as either network firewalls or host-based firewalls. Network firewalls filter traffic between two or more networks and run on network hardware. Host-based firewalls run on host computers and control network traffic in and out of those machines.
https://en.wikipedia.org/wiki/Firewall_(computing)

Re:IPv6 a řešení záložní konektivity
« Odpověď #71 kdy: 16. 01. 2019, 16:16:27 »
A co na to p. Jirsak? Vysvetli mi to on?
Vysvětlení PetraM mi připadalo dostatečné, ale když si to žádáte…

Firewall je služba v počítačové síti, jejímž účelem je filtrovat nežádoucí síťový provoz zejména na třetí a/nebo čtvrté síťové vrstvě – např. škodlivou nebo potenciálně škodlivou komunikaci, neznámou komunikaci, útoky na síťové úrovni (L3 nebo L4), pokusy o zahlcení, komunikace, která má být blokována z právních důvodů nebo kvůli znesnadnění úniků informací…

Cely zivot ziju v bludu a omylu ze firewall je … Wikipedia
To je problém, pokud někdo čerpá znalosti jen z Wikipedie. Wikipedie není učebnice, je to všeobecná encyklopedie. A úlohou každé všeobecné encyklopedie je přinést základní obecné povrchní informace někomu, kdo o dané věci nic neví. Jako ajťák se do všeobecné encyklopedie budu dívat, pokud potřebuju základní informace o kolibřících, těžbě diamantů nebo literatuře Jižní Ameriky. Ale na věci z oblastí IT, které znám, se tam fakt nebudu dívat, abych se odsud dozvěděl, jak něco funguje. Podívám se tam např. když potřebuju vědět, na jakém offsetu začíná konkrétní položka paketu, protože vím, že to na Wikipedii je, a je to pro mne rychlejší, než se otočit a hledat to v papírové knížce nebo hledat příslušné RFC.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #72 kdy: 16. 01. 2019, 16:27:22 »
Asi cteme kazdy jina RFC....

https://tools.ietf.org/html/rfc2647

Citace
3.16 Firewall

   Definition:
     A device or group of devices that enforces an access control policy
     between networks.

   Discussion:
     While there are many different ways to accomplish it, all firewalls
     do the same thing: control access between networks.

     The most common configuration involves a firewall connecting two
     segments (one protected and one unprotected), but this is not the
     only possible configuration. Many firewalls support tri-homing,
     allowing use of a DMZ network. It is possible for a firewall to
     accommodate more than three interfaces, each attached to a
     different network segment.

     The criteria by which access are controlled are not specified here.
     Typically this has been done using network- or transport-layer
     criteria (such as IP subnet or TCP port number), but there is no
     reason this must always be so. A growing number of firewalls are
     controlling access at the application layer, using user
     identification as the criterion. And firewalls for ATM networks may
     control access based on data link-layer criteria.

Re:IPv6 a řešení záložní konektivity
« Odpověď #73 kdy: 16. 01. 2019, 16:41:14 »
Asi cteme kazdy jina RFC....
Asi ano, já totiž čtu RFC vztahující se k tématu. „Benchmarking Terminology for Firewall Performance“ vskutku není RFC, ve kterém bych hledal obecnou definici síťového firewallu. Vy jste jí tam také samozřejmě nenašel, našel jste pouze definici „pro účely tohoto dokumentu se firewallem rozumí“…

Mimochodem, jediné, v čem se já i PetrM rozcházíme s uvedenou definicí, je to, že netrváme na tom, že firewall musí být fyzické zařízení – důležitá je pro nás funkce, ne jak to vypadá. Žádný problém v tom rozporu ale nevidím – v roce 1999 opravdu všechny firewally byly fyzická zařízení a nikoho nenapadlo, že možná za dvacet let půjde provozovat firewall i ve virtuálním počítači nebo jako službu. Vy se s definicí firewallu v tom RFC rozcházíte mnohem víc.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:IPv6 a řešení záložní konektivity
« Odpověď #74 kdy: 16. 01. 2019, 16:42:40 »
A odkaz na patricne RFC, ktere si mam precist, by nebyl?