Návod pro nasazení IPv6 pro začátečníka kutila

[jjrsk]

ze kazda zarovka bude venku v internetu a bude dostupna odkudkoliv.

Koukam dalsi, ktery si mysli ze kdyz ma neco za NATem, tak je to zvenku nedostupny ...

Edit admin: Prosím bez urážek!

[Reklama]

[matusK]

V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)

ze kazda zarovka bude venku v internetu a bude dostupna odkudkoliv.

Nebude. Od toho je firewall na routru, ktery si musite nastavit tak aby nepovolil komunikaci na zarizeni ve vnitrni siti.
Coz by se melo delat i s IPv6 a NATem

[technomaniak]

Koukam dalsi, ktery si mysli ze kdyz ma neco za NATem, tak je to zvenku nedostupny ...

Ano, některá zařízení(routery s NAT) mají přímo v manuálu napsáno že všechny packety přicházející z WAN a směrující na existující IP v LAN pokud nejsou nastavená v přesměrování jsou zahazovány. Tudíž jsou nedostupná. (např. v nějakém TP-Link jsem to četl )

[Radek Zajíc]

Ano. To přesně dělá firewall, ne NAT. Ten samý firewall můžete mít (a asi i budete mít) i na IPv6.

[technomaniak]

Ano. To přesně dělá firewall, ne NAT. Ten samý firewall můžete mít (a asi i budete mít) i na IPv6.

Reagujete na mě? Nebo na koho ?  Pokud na mě, byl jste někdy v GUI rozhraní TP-Link routeru?

např. https://www.tp-link.com/us/user-guides/tl-wr841n_v14/#ug-sub-title-7  cituji "The router’s NAT (Network Address Translation) feature makes the devices on the LAN use the same public IP address to communicate on the internet, which protects the local network by hiding IP addresses of the devices. "

V sekci firewall většinou bývá např. https://www.tp-link.com/us/user-guides/tl-wr841n_v14/#ug-sub-title-8
SPI Firewall - SPI (Stateful Packet Inspection, also known as dynamic packet filtering) helps to prevent cyber attacks by tracking more state per session. It validates that the traffic passing through the session conforms to the protocol. SPI Firewall is enabled by default.

Dle definic TP-Linku jsou "přesné chování" dost nejasná. Obecně je popis jasný ale jakými konkrétními kroky je to prováděno není nic zveřejněno. NAT oficiálně způsobuje neviditelnost(skrývání) zařízení na LAN tvz. dotazy na informace na zařízeních v LAN prostě ignoruje(nebo zahazuje) a SPI firewall provádí hlubší analýzu packetu které se chtějí připojit na zařízení na LAN, takže je blokuje(či zahazuje pokusy o jejich připojení).

Navíc jsem zažil routery, které tvz. SPI Firewall neměli a stejně to tak taky dělali.

[Reklama]

[zapik1]

Pozor, neplést si SPI (Statefull packet inspection = stavový firewall) s DPI (Deep packet inspection= hloubkové zkoumání co paket nese).
Vzhledem k tomu, že většina routerů bude postavena nad linuxovým jádrem, které stavový firewall má už mnoho let, tak budou SPI ať už to tam mají napsané či ne.

[Radek Zajíc]

Je to tak, jak píše zapik1. V případě některých zařízeí pak může být dokonce problém vůbec stavový IPv6 firewall vypnout nebo v něm udělat výjimku - protože je "by default" zapnutý, aniž by uživatel chtěl.
Samozřejmě jsou i starší zařízení, která žádný IPv6 firewall nemají, a všechen provoz iniciovaný z internetu bez starostí propustí do vnitřní sítě.

[technomaniak]

Pozor, neplést si SPI (Statefull packet inspection = stavový firewall) s DPI (Deep packet inspection= hloubkové zkoumání co paket nese).
Vzhledem k tomu, že většina routerů bude postavena nad linuxovým jádrem, které stavový firewall má už mnoho let, tak budou SPI ať už to tam mají napsané či ne.

Jestli jsi se podíval na ty odkazy tak vidíš že daný typ to DPI ani nemá k dispozici. A prakticky potvrzuješ že jejich popisy v manuálech jsou velmi povrchní a přesně podrobně nic nevysvětlují jak ve vnitřnostech daných zařízení to funguje.

[pkoci]

Jaká je zavedená praxe u IPS (velkým i malých) ve smyslu přidělení statického/dynamického prefixu? Existují u IPv6 mechanismy, které si poradí s dynamickým prefixem, pokud člověk chce provozovat v sítí reverzní proxy, docker kontejnery s vlastní /64, Wireguard bez NATu?

Poradí si nějak automaticky firewall např. u mikrotiku, docker a wireguard? Zkušenost mám pouze s tunelem od HE.

[vlado99]

V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)

Chápem, že náhodné bity sú pomerne značná prekážka pre prípadného útočníka.

Vôbec ovšem nerozumiem, ako ma môžu ochrániť pred špehovaním. Špehovač náhodné bity odignoruje. Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.

Môžeš prosím svoju argumentáciu rozviesť?

[Radek Zajíc]

> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.

[kutildomaci]

> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.

Nezáleží to spíš na tom, o jakém špehovači se bavíme?

Provozovatel webu se šmírovacími skripty (Google... a v podstatě kdokoli z bigtech) šmíruje podle uživatelských účtů, otisku prohlížeče, cookies... tam IPv6 nebude mít žádný efekt. Mnohem víc bude záležet, co mu v rámci služby poskytnu já a můj prohlížeč.

Poskytovatel připojení má jiné možnosti, do komunikace se službou vidět nesmí, ale vidí hlavičky procházejících packetů, DNS dotazy, IPv6 adresy (). Tady mě asi zajímá nejvíc rozdíl IPv4 (síť za NATem) vs IPv6 (jen firewall).

Nebo to chápu špatně? Proč a v čem?

[Zopper]

Chápeš to dobře, v případě NATu se všechny stroje z vnitřní sítě schovají za jednu IP a na rozlišení je potřeba použít jiné parametry (obsah packetů, nebo třeba i velikost MTU a TTL, pokud různá zařízení mají jiná nastavení). V případě čistě firewallu je podle IP identifikovatelný konkrétní stroj. Na druhou stranu, ten stroj může být zas jen router s NATem a teprv za ním další stroje, poznat to moc nepůjde.

[vcunat]

Pokud je otázka špehování od ISP, tak IPv6 vs. IPv4 (+NAT) mi přijde jako nepodstatný detail.  Ono za normální domácí přípojkou až tolik lidí nežije.  (A šmírování od Facebooků a podobných mi přijde mnohem horší, taky proto že vidí obsah a nejen metadata.)

V případě ISP obav bych před ním spíš schoval DNS provoz, v extrémnějším případě tunelovat veškerý provoz na místo kterému v otázce soukromí věřím více (čemuž se často trochu divně říká VPN) nebo TOR.

[Hornik]

Doporucuji IPv6 kurzy od AFRINIC - jsou zdarma

https://afrinic.academy/