IPv6 - Pověry a fakta

[Rax]

Mate pravdu NAT != firewall. U IPv6 bude firewall nutnosti, takze opravdu budou prichozi spojeni blokovana, podobne jako u dnesiho "NATu".

Problém s firewalem neexistuje, značné množství BFU má štěstí na veřejnou IP od ISP již dnes a nic vážného se neděje.
Pokud BFU bude chtít epší bezpečnost, prostě si místo krabice s routerem a NATem koupí krabici s routerem a firewalem.

[Reklama]

[KapitánRUMFree]

...

Vem si prášek, v každé krabičce je dneska firewall a defaultně blokuje spojení do vnitřní sítě.
Nic se nezmění.

App, naopak, čím víc lidí bude vystavovat porty do netu, tím lépe se bude hackovat, je to nuda, když není na co střílet!
A čím víc lidí bude sestřelenejch, tím větší si budou dávat pozor!
Takže opět šance na změnu je naprosto mizivá.

App, kdyby po mě dneska někdo chtěl, ať mu protuneluju port do netu, tak mu řeknu, že IISko je děravý a díry se objevují čas od času v každý aplikačce a že je pěknej kokot.

Protože jak bude postupovat hacker?
A) Bude si krásně projíždět celou síť a sbírat informace o otevřených portech, to se děje už teď, pokud sebere takový banner, který se mu hodí, poznamená si to.
B) Čeká, až se objeví nějaká bezpečnostní díra a když ano, pustí robata na seznam, který má dávno připravený, aby zkusil exploitnout dovnitř.
C) Pecko zaviruje a udělá z něho zombie, kterou prodá do nějakýho botnetu.

A nazdar párky, to je totiž hlavní výhoda toho, že bude každý počítač na netu a budou i otevřené porty.
Takže hovno, něco se změní jen pro 1% blbounů, ostatní to bude buď obtěžovat nebo spíš jim to bude úplně putna.

[Rax]

Vem si prášek, v každé krabičce je dneska firewall a defaultně blokuje spojení do vnitřní sítě.

Ve switchi za 300 Kč žádný firewall není.

A jak už jsem psal výše, velké množství BFU je zapojeno přímo do internetu s veřejnou IP už dneska a nic zvláštního se neděje. ISP s NATem je naštěstí menšina. Proto obavy z otevřených portů jsou nesmyslné, v tomto smyslu se nic měnit nebude.

[Sten]

v každé krabičce je dneska firewall a defaultně blokuje spojení do vnitřní sítě

V jaké? Všechny krabičky, co jsem kdy od různých ISP, dělaly akorát NAT. Nakonec i naprostá většina krabiček třeba z Alzy firewall neumí a pokud jo, tak ho stejně ve výchozím nastavení nemá zapnutý.

Protože jak bude postupovat hacker?
A) Bude si krásně projíždět celou síť a sbírat informace o otevřených portech, to se děje už teď, pokud sebere takový banner, který se mu hodí, poznamená si to.
B) Čeká, až se objeví nějaká bezpečnostní díra a když ano, pustí robata na seznam, který má dávno připravený, aby zkusil exploitnout dovnitř.
C) Pecko zaviruje a udělá z něho zombie, kterou prodá do nějakýho botnetu.

V IPv4 má jedna síť 254 možných adres. Ale chci vidět, jak takový hacker projede za svůj život alespoň jednu /64 síť

[JardaP .]

Toz, je pravda, ze by bylo zajimave vedet, na cem jeli tvurci ipv6 pri jeho tvorbe. Ale co nadelate, kdyz to tak vymysleli a ted nezbyva, nez tu hruzu zavest?

Při odkládání (důvod proč to většina odkládá) je alespoň mizivá šance, že se objeví něco lepšího.
Chápu, že to je spíš přání než realita. Asi nám nezůstane nic lepšího než přechod, ale nemyslím si, že máme jediný důvod přechod na něco horšího nějak idiotsky oslavovat nebo pět ódy na "modlu IPv6". Doufám, že tu s námi bude IPv6 podstatně kratší dobu, než byla IPv4.

Ano, to je spis prani, nez realita. Vezmi si, jak dlouho trvalo, nez zbastlili ipv6 a jak dlouho trvalo, nez se to zacalo alespon trochu zavadet. Takze ipv7 muzeme ocekavat tak nejdrive za 10 let pri velmi optimistickem odhadu.

[Reklama]

[Mirek Prýmek]

Jsou-li obě strany každá za svým NATem tak neexistuje síla, která by zajistila spojení se 100 % spolehlivostí. Pochopitelně přeposílání přes nějaký centrální server se nepočítá.

Takže řešení, které existuje, se nepočítá, takže řešení neexistuje

Já teda nevím, v kanceláři mám minimalistický net za dvěma naty, SIP VOIP používám denně a dovolám se všude. Asi dělám něco blbě, protože to nejde

(ano, já vím, problém to je a IPv6 to vyřeší, ale tak, jak to píšeš, to prostě není)

A) Myslí si, že každý má přístup k modemu a proto není problém něco nastavit na zařízení. Což je samozřejmě halucinace největší pitomců, protože nikdy nelze zaručit to, že uživatel bude mít k modemu přístup.

No ale s IPv6 žádné NATovací zařízení nebude. Nebude žádný trychtýř na perimetru, bude prostě "plnotučný" Internet ke všem koncovým zařízením.

Předpokládáš, že ISPs budou dodávat koncová zařízení se zaplým firewallem, což je předpoklad neopodstatněný. (Chtěl jsem napsan přímo špatný, ale dobře, ať nežeru...)

[Mirek Prýmek]

V IPv4 má jedna síť 254 možných adres.

To jsi se dočetl kde?

[Rax]

Já teda nevím, v kanceláři mám minimalistický net za dvěma naty, SIP VOIP používám denně a dovolám se všude. Asi dělám něco blbě, protože to nejde

Záleží kam a jak se volá, samozřejmě že třeba na pevnou nebo mobil se dovoláš asi vždy. Ale nedovoláš se na lidi za NATem, leda že by někdo provozoval centrální server na retlanslaci provozu.

[Mirek Prýmek]

Záleží kam a jak se volá, samozřejmě že třeba na pevnou nebo mobil se dovoláš asi vždy. Ale nedovoláš se na lidi za NATem, leda že by někdo provozoval centrální server na retlanslaci provozu.

Dovolám se každému na normální telefonní číslo a každý se dovolá na moje telefonní číslo. Víc od telefonování jaksi neočekávám

(polemizuju jenom s tvrzením, že se SIP za NATem nedá používat)

[KapitánRUMFree]

Předpokládáš, že ISPs budou dodávat koncová zařízení se zaplým firewallem, což je předpoklad neopodstatněný. (Chtěl jsem napsan přímo špatný, ale dobře, ať nežeru...)

Že by se začalo ustupovat od Firewallů?
No, tak to potěš koště
SW firewall má být od toho, aby nepustil žádný šmejd ven, HW firewall jistí to, že když se ti podělá SW firewall, stejně jsi v suchu jako s pampersama. App, používám Comodo a v poslední době má takovou nepěknou vlastnost, že občas nenaběhne na všech síťových rozhraních. Jednou ano, jednou ne. Jo, já vím, že to Linuxáky trápit nemusí, ale IPv6 se týká všech.
Osobně doufám, že nová zařízení budou jednak L2 switche a firewallem pěkně hustodémosnky a krutopřísně nastaveným, aby se dovnitř nedobouchal nikdo, komu to předem nepovolím.

[Mirek Prýmek]

Že by se začalo ustupovat od Firewallů?

Proč by se od nich ustupovalo, když se dneska nepoužívají (na perimetru). "Nahrazuje" je NAT.

[KapitánRUMFree]

No nevím, každá laciná krabička od ADSL modemu po to, čemu se říká router, má jednak NAT a jednak i možnosti nastavení firwallu, což v konečném důsledku opravdu může být jen sada pravidel ovlivňující chování NATu, což ovšem ve výsledku působí jako firewall.
Pak je jedno, jestli se jedná o nějaký primitivní paketový filtr, SPI nebo něco lepšího.

Ale příklady mě zajímají, napište mi nějaký současný ADSL 2 modem, který v sobě nemá firewall.

[Mirek Prýmek]

Ale příklady mě zajímají, napište mi nějaký současný ADSL 2 modem, který v sobě nemá firewall.

Asi nechápu pointu, nebo se nějak celkově nechytám...

Jestli krabička má nebo nemá firewall je přece irelevantní. Zaprvé jde o to, jestli je defaultně zapnutý (tvrdil jsi, že BFU ho zapnout nebudou umět, ne?) a za druhé dneska má každá krabička NAT, takže z hlediska otevřených portů ven je firewall opět irelevantní.

A jestli chceš konkrétní příklad, tak O2 mi dovalilo Zyxel P660HW-T3 v2 s vypnutým firewallem. Stačí?

[KapitánRUMFree]

Říkal jsem, že BFU nebudou umět ve firewallu nastavit ta pravidla.
Jinak divný, mě to vždycky přijde se zapnutým FW a těchhle mrch jsem už pěknejch pár nainstaloval.

[JardaP .]

Jestli krabička má nebo nemá firewall je přece irelevantní. Zaprvé jde o to, jestli je defaultně zapnutý (tvrdil jsi, že BFU ho zapnout nebudou umět, ne?)

Linksys WAG200G ho defaultne zapnuty ma. Predtim jsem mel nejaky D-Link, zapnuty byl take. Jakysi strasny Philips take. Videl jsem par dalsich a tusim zapnuto take. Asi ale existuji vyjimky, kde vyrobce je debil nebo debil je ISP, ktery to dodava tak inteligentne nakonfigurovane eventuelne to dodava s nejakym vlastnim, obzvlaste dobre vypecenym firmwarem.