Je to plnohodnotná veřejná adresa?

jouda2

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #45 kdy: 13. 04. 2021, 14:11:53 »
Ty jsi smutný případ:
https://www.uninet.edu/6fevu/text/IPSEC-NAT.SGML.html
Dokument z 2001, IKEv2 je z roku 2005 https://en.wikipedia.org/wiki/Internet_Key_Exchange#Improvements_with_IKEv2
pane kolego, prvně si něco nastudují, pak to začnou používat, teprve pak dělají chytrého. Jinak hrozí fiakr.



Re:Je to plnohodnotná veřejná adresa?
« Odpověď #46 kdy: 13. 04. 2021, 14:13:25 »
Dokument z 2001, IKEv2 je z roku 2005 https://en.wikipedia.org/wiki/Internet_Key_Exchange#Improvements_with_IKEv2
pane kolego, prvně si něco nastudují, pak to začnou používat, teprve pak dělají chytrého. Jinak hrozí fiakr.

Zmiňovaná změna v registrech Windows se netýká IKEv2, pro ni není potřeba.

jouda2

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #47 kdy: 13. 04. 2021, 14:15:14 »
Nepochopil jste. Ptal jste se na ozdrojování, tak jsem ozdrojoval. IPSec jdoucí přes NAT-T musí oslabit kontrolu checksumů a ztrácíte podstatnou část bezpečnosti. Můžete si to dovolit, pokud máte samotný NAT pod svojí kontrolou. Proto je to ve výchozím stavu vypnuté (na což jste se ptal). Zapínat NAT-T podporu, pokud pro Vás dělá NAT provider, je bezpečnostní blbost.
Checksumů?! Tak to mi teda povězte, můžete mluvit otevřeně, IKE pakety tak trochu znám. Bavíme se o IKE, IKEv2 nebo o ESP, nebo o udp encapsulated ESP? Který field oslabujete? Jak?

Edit: Návod na praktický útok by se hodil (že dostanu cizí zakryptovaný ESP něčím co neznám nepovažuji za vážný problém, minimálně od doby co tam není použitá DHgroup 2)

Edit2: A pak ještě jak se to projeví pokud je to 1:1 NAT, což je téma threadu
« Poslední změna: 13. 04. 2021, 14:20:13 od J ouda »

ja.

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re:Je to plnohodnotná veřejná adresa?
« Odpověď #48 kdy: 13. 04. 2021, 14:40:12 »
Edit2: A pak ještě jak se to projeví pokud je to 1:1 NAT, což je téma threadu

No ESP s 1:1 NAT vôbec nepôjde (pretože sa zvyčajne NAT-uje iba ICMP, TCP, UDP, ako bolo spomenuté vyššie), pôjde iba UDP encapsulated ESP.

jouda2

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #49 kdy: 13. 04. 2021, 14:56:30 »
No ESP s 1:1 NAT vôbec nepôjde (pretože sa zvyčajne NAT-uje iba ICMP, TCP, UDP, ako bolo spomenuté vyššie), pôjde iba UDP encapsulated ESP.
Možná takový NAT existuje, já ho na žádném zařízení teda ještě teda neviděl. (myslím jako implementace NATu, nikoli jako nastavení firewallové politiky)
I nejlevnější d-link pronatuje všechno. (tam je u hide NATu a ESP problém úplně jinde, jak už tu kdosi psal - pokud nemá "podporu" IPSEC (==koukne do SPI a podle něj teprve hází dál, často se to jmenuje ipsec passthru), pak s tím bude fungovat jen jediné zařízení, ale to není to o čem je vlákno.)
Linux netfilter to samé, na Ciscu totéž, ASA, Juniper SRX, Fortinet, Checkpoint....

Nebo jinak - pokud místo "any" dáte do politiky "tcp/* udp/*" tak je jasné že ESP nejspíš neprojde (otázka do pranice je stavovost firewallu a protocol support, ale to jsou detaily), ale to je to samé jako byste říkal že plnohodnotná IP není plnohodnotné, protože někteří provideři blokují tcp/25.

Každopádně vina naprosto jasně není na onom 1:1 NATu (ten za to fakt nemůže), ale tomu že provider kromě NATování i filtruje (příchozí) traffic.



Re:Je to plnohodnotná veřejná adresa?
« Odpověď #50 kdy: 13. 04. 2021, 15:07:37 »
Každopádně vina naprosto jasně není na onom 1:1 NATu (ten za to fakt nemůže), ale tomu že provider kromě NATování i filtruje (příchozí) traffic.

To je slovíčkaření. Ve skutečnosti jsou to spojité nádoby. Málokterý (malý) ISP to umí dobře a zároveň je v takovém stavu, že musí vůbec NAT 1:1 využívat. Obvykle jde ruku v ruce to, že NAT 1:1 přichází i s dalšími problémy. Pochopitelně si umím NAT udělat správně, dokonce i na druhém konci třeba odnatovat, ale proč bych to dělal, když mám v ruce daleko smysluplnější nástroje, jak doručit IP adresu tam, kde ji potřebuji mít?

Z praxe vím, že na některých přípojkách, kde zákazník potřeboval pevnou veřejnou IP adresu a provider to dělal přes NAT, prostě IPSec neprocházel, nebo zlobil. Provider se tvářil (skoro až) udiveně, že existují jiné protokoly, než TCP, UDP a ICMP, a že by to někdo mohl chtít. Obvykle se to nevyjasnilo, takže zůstala situace, ve které jsem se nikdy nedozvěděl, co mají omezené a proč. Mnohdy to vypadalo, že i NAT 1:1 prochází přes jejich standardní stateful zpracování.

Takže ano, můžeme tu slovíčkařit i se shodnout na tom, že NAT nemusí představovat problém. Trvám si však na tom, že na velké části přípojek, kde to takto provideři řeší, se problémy objevují (a nikdo je nemá zájem řešit).

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #51 kdy: 13. 04. 2021, 15:39:51 »
I nejlevnější d-link pronatuje všechno.
Co přesně zahrnuje pojem „všechno“? Když dostane paket s protokolem 250, tak ho „pronatuje“ a pošle dál? Nebo něco méně exotičtějšího, protokol 115 zvládne? A zvládne alespoň protokol 132?

jouda2

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #52 kdy: 13. 04. 2021, 17:59:34 »
To je slovíčkaření. Ve skutečnosti jsou to spojité nádoby. Málokterý (malý) ISP to umí dobře a zároveň je v takovém stavu, že musí vůbec NAT 1:1 využívat.
Ono je spíš problém to udělat špatně mezi námi (ano, umím to i podělat, když je o tom řeč). Co jsem chtěl říct, když si vezmete prakticky jakýkoli produkt který můžete jako malý provider použít (včetně větších firewallů z eBaye), tak když se udržíte bez lidové tvořivosti stylu místo Any tam dát tcp1-65535, udp0-65535, tak ten NAT prostě správně uděláte. Počínaje 20 let starým Cisco routerem a ip nat inside/outside, přes linux, po prakticky jakýkoli "industry standard".

Takže poněkud smířlivěji, správná otázka by zněla: "je připojení od providera xyz plnohodnotné nebo ne"? Bohužel nemáme metriku na prostoru ISP, takže do diskuze "většina to má špatně" bych se nerad pouštěl, včetně korelace malý ISP == neví že IP protokolů je víc než 6 a 17.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #53 kdy: 13. 04. 2021, 19:42:33 »
Bohužel nemáme metriku na prostoru ISP, takže do diskuze "většina to má špatně" bych se nerad pouštěl, včetně korelace malý ISP == neví že IP protokolů je víc než 6 a 17.

Já se na to dívám pořád asi z jiného úhlu. Mně ani tak nevadí, že každý ISP nenabízí všechno, ani by mě nedráždila situace, že "většina to má špatně". To vidím jako otázku trhu, nabídky a poptávky. Mně vadí pouze to, že základní charakteristiky přípojky nejsou sdělované a tak vůbec vzniká prostor pro úvahy, jestli NAT 1:1 lze označit za veřejnou IP adresu pro přípojku. Můžeme se taky podívat do předpisů; ISP nesmí filtrovat a z(ne)výhodňovat typy provozu. Je tedy podle mě poměrně zřejmé, že je cílem, aby se k zákazníkovi dostala přípojka co nejplnohodnotnější. Výjimky možné jsou, z technických důvodů. Ale mezi technické důvody nelze započítávat "nám se nechce", "naše technologie na to není připravená", "stálo by to moc peněz" apod., což jsou ty skutečné důvody. Má to být tak, že ISP nabídne nezprzněnou linku za cenu, kterou určí jako odpovídající. Zbylé (levnější) varianty označí omezeními, která se s nimi pojí. Pak je to jednoznačně fér. 99,9 % lidí se spokojí s levnější variantou, omezenou o funkce, které stejně nevyužije.

Jimmyx

  • ***
  • 171
    • Zobrazit profil
    • E-mail
Re:Je to plnohodnotná veřejná adresa?
« Odpověď #54 kdy: 13. 04. 2021, 20:06:41 »
Má to být tak, že ISP nabídne nezprzněnou linku za cenu, kterou určí jako odpovídající. Zbylé (levnější) varianty označí omezeními, která se s nimi pojí. Pak je to jednoznačně fér. 99,9 % lidí se spokojí s levnější variantou, omezenou o funkce, které stejně nevyužije.
Jen se pak nedivte že ta "neprzněná linka" (ať už to znamená cokoliv) bude klidně o několik řádů dražší než ta "běžná varianta" pro 99,9% procenta lidí. Ono provozovat cokoliv speciálního pro 0,1% zákazníků je pekelně drahá věc na kterou se po krátké ekomonické rozvaze naprostá většina podnikatelů vykašle, protože to nedává smysl. Škodovka vám taky neupraví Superb úplně na míru i kdyby jste ji platil miliony, ale pošle vás s individuálními požadavky do Rolls Royce, kde vám sice udělají cokoliv si řeknete ale za úplně jiné peníze.

NAT 1:1 je prostě z pohledu menšího ISP levné a efektivní řešení, zvláště proto že má omezený počet veřejných IP a další už nedostane a proto se to používá.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #55 kdy: 13. 04. 2021, 20:13:30 »
NAT 1:1 je prostě z pohledu menšího ISP levné a efektivní řešení, zvláště proto že má omezený počet veřejných IP a další už nedostane a proto se to používá.

Toto mi je naprosto jasné. Zaráží mě, že ujednání malými písmeny, nebo nevyřčená omezení jsou ve všech oborech považována za nekorektní a úřady trestána. Tak proč by ISP neměl být stejně fér, jako každý na trhu? Nechť to prostě napíše a zákazník se rozhodne.

Tato praxe vede k jen k problémům. Zákazník pořizuje službu nebo produkt, u kterého je požadavek na pevnou veřejnou IP adresu. Najde si nabídku a předpokládá, že to tedy bude fungovat. A ejhle, najednou spadne do jámy, kdy jeden dodavatel mu sdělí, že bez ostré IP adresy to fungovat nebude, a ISP tvrdí, že NAT 1:1 je pro 99 % zákazníků dostačující. Zákazník pak realizuje ztrátu, které nemohl ani při opatrnosti předejít, protože ta informace byla prostě zamlčena.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #56 kdy: 13. 04. 2021, 20:46:58 »
Toto mi je naprosto jasné. Zaráží mě, že ujednání malými písmeny, nebo nevyřčená omezení jsou ve všech oborech považována za nekorektní a úřady trestána. Tak proč by ISP neměl být stejně fér, jako každý na trhu? Nechť to prostě napíše a zákazník se rozhodne.
Proč si myslíte, že ISP není stejně fér? ISP vám nabídne veřejnou IPv4 adresu, když půjdete do detailních podmínek, zjistíte, že je to NAT 1:1. Když vám to nebude stačit, poptáte routovanou veřejnou IPv4 adresu a ISP vám to nacení. Co je na tom nefér?

Zákazník pořizuje službu nebo produkt, u kterého je požadavek na pevnou veřejnou IP adresu.
To je ale problém toho požadavku. Vy se pořád tváříte, že „veřejná IP adresa“ je terminus technicus s jasně daným obsahem, ale tak to není. „Veřejná IP adresa“ neříká nic o tom, co s ní bude.

Zákazník pak realizuje ztrátu, které nemohl ani při opatrnosti předejít, protože ta informace byla prostě zamlčena.
Mohl jí předejít, kdyby nespoléhal na nicneříkající pojem „veřejná IP adresa“.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #57 kdy: 13. 04. 2021, 20:54:42 »
Mohl jí předejít, kdyby nespoléhal na nicneříkající pojem „veřejná IP adresa“.

Mohu spoléhat na to, že ISP nesmí omezovat provoz. CGNAT je technickou nutností v době nedostatku IPv4. Proto si někteří zákazníci za vlastní IPv4 adresu připlatí. Logicky očekávají, že nevýhody NATU tím zmizí. V tomto ohledu to za terminus technicus považuji. Naopak nepovažuji za výchozí bod to, že "už dlouho" část ISP praktikuje NAT 1:1 jako náhradu za plnohodnotně směrovanou IP adresu. Ta doba, po kterou to ISP-světě funguje podivně, je opravdu dlouhá - ale vezměte si, měl třeba ÚS nechat špatný volební zákon platit dál jen protože tak funguje "už dlouho"? Podle mě správným měřítkem je pouze technická proveditelnost požadavku "neomezovat", a proveditelné to je.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #58 kdy: 13. 04. 2021, 21:14:20 »
Proto si někteří zákazníci za vlastní IPv4 adresu připlatí. Logicky očekávají, že nevýhody NATU tím zmizí.
Jo, a pokud někomu vadí nevýhody topení uhlím, připlatí si a pořídí si vodovod. Logicky.

Mně teda připadá logičtější nedomýšlet si nesmysly.

V tomto ohledu to za terminus technicus považuji.
Terminus technicus, který znáte jenom vy, je k ničemu.

Naopak nepovažuji za výchozí bod to, že "už dlouho" část ISP praktikuje NAT 1:1 jako náhradu za plnohodnotně směrovanou IP adresu.
Ona to není náhrada. Je to prostě levnější způsob, který spoustě zákazníků stačí. Tak proč by platili za dražší variantu?

Ta doba, po kterou to ISP-světě funguje podivně, je opravdu dlouhá - ale vezměte si, měl třeba ÚS nechat špatný volební zákon platit dál jen protože tak funguje "už dlouho"? Podle mě správným měřítkem je pouze technická proveditelnost požadavku "neomezovat", a proveditelné to je.
Zákazníci, kteří chtějí levnější variantu, dostanou levnější variantu, a ti, kteří si chtějí připlatit za dražší, si připlatí dražší variantu. Nic podivného mi na tom nepřipadá.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #59 kdy: 13. 04. 2021, 21:18:47 »
Zákazníci, kteří chtějí levnější variantu, dostanou levnější variantu, a ti, kteří si chtějí připlatit za dražší, si připlatí dražší variantu. Nic podivného mi na tom nepřipadá.

Ani mně ne. Podivné mi přijde to inzerovat pod pojmem, který vyvolává mylný dojem.
Zde vidím nekonzistenci ve Vašich názorech, tak jak je znám. Pokud se nejedná o obor, ve kterém děláte, vidíte ochranu spotřebitele poměrně tak, jak ji vidím já. Jakmile se jedná o tento obor, hájíte úplně něco jiného. Tedy, že zákazník se má stát odborníkem, který musí umět rozlišit zaměnitelné pojmy - a jinak je to jeho smůla.