Veřejná IPv4 a IPv6 a bezpečnost

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #15 kdy: 21. 10. 2022, 08:31:52 »
Ad NAT a bezpecnost:

Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi.

Otázka je, jakého útočníka modelujeme, ale může to být celkem odvážný předpoklad: (varování: web začne bez varování skenovat vaši místní síť) https://samy.pl/webscan/beta.html
« Poslední změna: 21. 10. 2022, 09:23:45 od Petr Krčmář »


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #16 kdy: 21. 10. 2022, 08:39:59 »
to neni pravda. fakt nechapu kam na to dw chodis...

Co konkretne?

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #17 kdy: 21. 10. 2022, 09:07:25 »
Ad NAT a bezpecnost:

Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi.

Otázka je, jakého útočníka modelujeme, ale může to být celkem odvážný předpoklad: xttps://samy.pl/webscan/beta.html
Dík moc, že sem bez varování dáte odkaz na web, který mi hned proleze celou lokální síť !!!!!!
Tvl to je na ban !!!
« Poslední změna: 21. 10. 2022, 09:10:10 od FKoudelka »

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #18 kdy: 21. 10. 2022, 09:25:05 »
To skenování může provádět jakákoliv webová stránka, tohle je hodné demo, které to ukazuje. Mluvil o tom Libor Pelčák na letošním OpenAltu, viz článek na Rootu. Prý to používá třeba eBay a určitě to nebude jediný web. Dá se takhle postranním kanálem třeba zjistit, jaké máte na počítači pootevírané porty.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #19 kdy: 21. 10. 2022, 09:33:40 »
To skenování může provádět jakákoliv webová stránka, tohle je hodné demo, které to ukazuje. Mluvil o tom Libor Pelčák na letošním OpenAltu, viz článek na Rootu. Prý to používá třeba eBay a určitě to nebude jediný web. Dá se takhle postranním kanálem třeba zjistit, jaké máte na počítači pootevírané porty.
Věřím, že to může dělat jakýkoli web, ale mohl to tam OP aspoň napsat, že se scan hned  rozjede, bych na to neklikal:-(
Nicméně díky za vysvětlení


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #20 kdy: 21. 10. 2022, 09:39:51 »
Editoval jsem původní příspěvek a připsal jsem tam varován, pokud by to někomu vadilo. Ale v principu to může nepozorovaně dělat i web, který právě čtete.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #21 kdy: 21. 10. 2022, 10:18:08 »
Njn, to je na zhodenie zo schodov. Ked tak korektne zdrojaky toho "scaneru" : https://github.com/samyk/webscan Ked si tie zdrojaky prezriete, tak zistite ze nie je dovod na nejake velke obavy.


Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #22 kdy: 21. 10. 2022, 10:25:45 »
Takže tuhle situaci: "firewall tam nebude ale poběží tam služba, která ale chtěná není" jste tak nějak taktně opominul protože se vám to nehodí. Čili jako obvykle.
Ne, situaci jsem neopominul. Této situace jsem si vědom – ale zároveň vím, že tu situaci firewall nezachrání.

Brání ji u mnoha uživatelů dnes a denně. Co si o tom myslíte vy je celkem irelevantní. A některé vaše rádobyrady tomu člověku jsou bez dalšího kontextu vyloženě nebezpečné.

To byl omyl nebo to bylo úmyslně a je to tedy poněkud laciná, ovšem ve vašem případě, pane Jirsáku, poměrně obvyklá demagogie?
Co kdybyste si odpustil ty invektivy? Vaše osobní problémy tu nikoho nezajímají.

Že používáte demagogie není ve vašem případě naprosto žádná invektiva. Bohužel. Na to si stěžujte u zrcadla. Tam uvidíte sebe, ne mě.  To je ta osoba, co to dělá.

Vaší moc ne. Jenomže Franta uživatel není vy. Franta uživatel má neskutečnou schopnost udělat si v systému naprostý bordel a obvykle o tom navíc často ani nevědět. Co je tazatal pochopitelně nevím, ale proto musím předpokládat to horší.
Což ovšem NAT nijak nevyřeší. Protože ten bordel v systému bude komunikovat zevnitř sítě ven, tedy NATem projde jako po másle. A jako bonus bude ještě komunikovat s ostatními zařízeními v lokální síti, o kterých vy si myslíte, že jsou „schovaná“ za NATem.

Ten bude čekat směrem dovnitř i komunikovat ven. Zase jste úmyslně některé věci cíleně opominul protože se vám to zrovna hodí. Jako obvykle.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #23 kdy: 21. 10. 2022, 10:51:31 »
Prosím, abyste se vrátili k tématu, kterým rozhodně není hodnocení ostatních diskutujících. Řešíme tu bezpečnost sítě s veřejnou adresou.

Faktem je, že NAT není žádná ochrana a bez správně nastaveného paket filtru to nebude bezpečné s veřejnou adresou ani bez ní. Hlavně za privátní adresou v síti poskytovatele nemáte žádnou jistotu, že to má poskytovatel nakonfigurované správně. Každopádně je rozumné mít vlastní filtrační řešení, kterému ale zase musíte rozumět a správně ho nastavit. Zkušenosti z praxe nám každopádně ukazují, že ukrytí za devatero naty nevyřeší mávnutím kouzelného proutku problémy na koncových uživatelských stanicích. Jak psal Filip, dnes se útočí jinak, útočníci se samozřejmě přizpůsobili stavu současných sítí.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #24 kdy: 21. 10. 2022, 11:02:42 »
Pokud někoho pobouřil scan lokální sítě bez varování, omlouvám se. Nicméně to může dělat v principu jakákoliv webová stránka. Není to žádná novinka. (Já se teda musel snažit, aby mi to fungovalo s mým nastavením, protože na telefonu mám Vanadium HTTPS-only (to asi není dostatečná ochrana, ale skript s tím zjevně nepočítá) a na počítači mi většina virtuálů nesmí do lokální sítě.)

Pokud máte pocit, že přes dobrý firewall se nikdo nedostane, taky to nemusí být pravda. Zůstaneme u prohlížeče, ze kterého si můžete udělat proxy pomocí techniky DNS rebinding. Tomu se stále lze bránit, ale zdaleka to není samozřejmost.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #25 kdy: 21. 10. 2022, 11:53:27 »
Dekuji za poznatky  :)
Co se tyce odbornosti, tak jak uvadim, nejsem sitar, ale chapu dejme tomu fungovani metalickeho vedeni, co je switch, co je router, co je modem. Heslo do wi-fi dlouhe min 20znaku a ne "123456Pepajde"  ;D
Vnitrni IP 10.xy
Verejna 95.88 xy

U NATU se to rikalo treba v souvislosti s P2P. Tim nerikam ze musite tahat jak das, staci vase nepovedena pritelkyne, kdy da neco stahnout napr pres torrent a muze byt problem. Proto v teto souvislosti se resilo, ze je to hure dohledatelne nebo alespon hure prokazatelne, kdyz uz nekdo to nema vyreseno jinak a toto provede.

Aby nekdo nechapal jen uvedeni NAT jako bezpecnost  :)
Vseobecne ale lze na internetu dohledat, ze kvalitni ISP, ma urcitou vyssi bezpecnost pokud je ten clovek za NATem.
Tedy castecne pro BFU by to melo byt lepsi, mozna proto ISP tu IP verejku zpoplatnuji.
Na me to pusobi ze se ani ty ruzne clanky, nedokazou poradne shodnout.

Priklad uvedl jeden pokrocili technik, no kdyz putoval do site virus / trojan, tak odnesli to prvne PC s verejnou IP, zatim co ty NATovane, nemeli problem.
Samozrejme to nechrani, kdyz nainstalujete nejaky software, ktery ma crack a to neco vam bude komunikovat pak do site.

Ja to mam resene treba i tim firewallem ala Eset. Neni to top, ale ma to ucici rezim, tedy se to vzdy zepta povolit komunikaci VEN? a nebo prichozi ANO a nebo ne? Takze pokud dam ne, nemelo by to pustit.
Samozrejme u jinych jsem mel uz problem, se v tom poradne vyznat. Comodo Firewall me spis pridelal vrasky nez jsem to tam kdysi nasel, kde mohu neco blokovat ci zakazat. Jeste usel Symantec treba.

Jenze presne jsem s tim ted narazil. Priznam se, poradne nevim jak nastavit IPv6, takze super mam adresu a je me zatim na nic. Zkusil jsem zde vedle, ve vlaku pozadat sikovnejsi, kdo by dle foto poradil.
Ano vim ze s tim se mohu taky obracet na sveho ISP, jenze tam je casta odpoved, ze musite kupovat jejich zarizeni a to by mel doma clovek hromadu krabicek  ;D

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #26 kdy: 21. 10. 2022, 12:02:19 »
Tak asi budou scénáře, kdy NAT* pomůže. Ale je tu příliš scénářů, kdy NAT nepomůže (vizte moje příspěvky výše), takže bych se na to nespoléhal. Navíc se opíráte o bezpečnost routeru. Jak dlouho váš výrobce vydává bezpečnostní aktualizace? Pokud to výrobce vůbec dělá, instalujete je?


*) IIRC při čistém NAT bez firewallu stačí routeru poslat zvenku packet na vnitřní IP adresu, a jsem za NATem. Základní firewall tomu může zabránit.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #27 kdy: 21. 10. 2022, 12:17:40 »
Ano, firma AVM FritzBox dava updaty klidne 7 let, podpora je v Berline.
Jako jedna z mala nemela problem, kdyz nasli bezpecnosti problem u routeru napr Asus.

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #28 kdy: 21. 10. 2022, 12:21:07 »
Ano, třeba Turris, Mikrotik (pokud se admin stará), FritzBox a některé další (hádám Google Nest Wi-Fi) asi budou dodávat pravidelné aktualizace. Pointa je, že to není samozřejmost. (A že to je jen jeden z problémů, nikoli jediný problém.)

Re:Veřejná IPv4 a IPv6 a bezpečnost
« Odpověď #29 kdy: 21. 10. 2022, 13:20:11 »
Tak asi budou scénáře, kdy NAT* pomůže. Ale je tu příliš scénářů, kdy NAT nepomůže (vizte moje příspěvky výše), takže bych se na to nespoléhal. Navíc se opíráte o bezpečnost routeru. Jak dlouho váš výrobce vydává bezpečnostní aktualizace? Pokud to výrobce vůbec dělá, instalujete je?
Tak ono lze vymyslet scénář, že pomůže, že má router červenou barvu. To ale ještě neznamená, že něco takového budu reálně řešit, protože ten scénář je extrémně nepravděpodobný.

*) IIRC při čistém NAT bez firewallu stačí routeru poslat zvenku packet na vnitřní IP adresu, a jsem za NATem. Základní firewall tomu může zabránit.
Hlavně se celou dobu bavíme o NATu u ISP. To znamená, že jste za NATem ve stejné síti s dalšími zákazníky ISP, možná se všemi. Abyste od nich byl oddělen, potřebujete konfiguraci routování nebo firewall – to, že jste s nimi společně za NATem vám nijak nepomůže. A jste si jist, že některý z těch zákazníků není sám útočníkem, a hlavně že žádné ze zařízení ostatních zákazníků není ovládané útočníkem?