Vlákno názorů k článku
10 důvodů proč nepoužívat Skype

Všechny důvody jsou irelevantní, protože vás k používání nikdo nenutí, protože neexistuje alternativa a protože přístup firmy je velmi solidní. Funkci supernode lze snadno odstranit blokováním naslouchání Skype (příchozí bude jen RELATED), "draze" koupená linka je na paušál a odposlechu na soudní příkaz se nebojím (anžto je to třeba v případě vydírání velmi užitečná věc). Stejně tak ostatní body. Prostě: Petře, ty jsi ujel :-)

No já to chápu tak, že pokud jsou schopni odposlouchávat na soudní příkaz, mohou tak činit i svévolně - upřímně řečeno, nebezpečí je hodně nízké a v případě hovoru v češtině prakticky nulové. Horší by bylo, kdyby se k odposlechu dostala třetí osoba za účelem obchodní špionáže apod.

Ale tohoto jsou schopní i mobilní operátoři, Telekom atd. Znamená to, že hodím mobil do koše? Navíc mobilní operátoři jsou schopní i přesně určovat polohu, což je pro mě ještě větší potencionální zásah do soukromí.

Ono sa da dost ucine branit tomu, aby vas hovor bol odposluchany, existuju scramblery a rozne sifrovacie krabicky, ktore zapojite pred telefon a pokial vas niekto odpocuva, tak holt ma smolu a nic z toho mat nebude. Jediny problem je s tym, ze rovnaku krabicku musi mat aj druha strana s kym budete komunikovat...

Tie lokalizacne sluzby sa daju krasne ocurat, ci uz tym, ze spravite zasah do firmware mobilu, aby sa neprihlasoval naraz na viac ako 1 bts alebo pouzijete presmerovanie cez iny mobil, takze bude hlasit polohu mobilu na ktorom je nastavene presmerovanie a nie vasu...

Inak technologiu su cim dalej lacnejsie a dostupnejsie sirokym masam, takze sa nakoniec dostaneme pri ochrane sukromia ku klasickemu problemu pancier vs. kanon.

nie som si istý: zašifrovaná komunikácia už nie je komprimovateľná - ak si uvedomíme, že VoIP automaticky predpokladá určitú mieru kompresie a podľa toho obmedzuje tok ...

Podle me je pitomost, ze by nekdo odposlouchaval pres skype.. Existuji mnohem jednodussi zpusoby...

Tot neni pravda. Nuti vas k tomu sef spolecnosti protoze je to levnejsi zpusob komunikace nez kupovanim telefonu. Nuti vas k tomu vasi kamaradi, protoze s vami chteji komunikovat.

Stejne tak jako vas nikdo nenuti sledovat idealy krasy, cist Cosmopolitan. Ale nuti vas k tomu spolecnost. Tento natlak je pozvolny, ale nejhorsi je, ze nakoc kazdy rekn: "Vsak jsme vas k tomu nenutili, rozhodl jste se sam."

Nuti vas nekdo chodit v nejakem presne specifikovanem obleceni? Zkuste, ale behat po ulici rokokovych kabatcich, nebo v neadrtalske kuzi, velmi brzi narazite.

Pánové, vy jste fakt ujetí. Zavděčí se vám alespoň někdo? Nebo byste chtěli upírat "monopol" Skype, ale sami si jej uzurpovat? Vzpamatujte se, tohle je realita a ne vymývání mozku ala RMS.

Tady jde spis o to, aby se lidi dozvedeli, jak to ve skutecnosti v pripade Skype funguje. Mnoho lidi jej pouziva, aniz by vedelo, ze jim uzira kapacitu (prestoze rychle, tak treba pocitane) linky a musi tak defacto nevedomky platit hovory nekoho naprosto ciziho. Chyba je v technickem principu a neznalosti uzivatelu, ne v nejakem monopolu.

Tak sledovat idealy krasy a cist Cosmopolitan me opravdu nikdo nenuti, a bohda ani nebude. ;-))))) To nuti snad jen ty, kteri se chteji radit do urcite skupiny, ci snad vrstvy (?) lidi, kde se toto povazuje za normalni, tam je to mozna "povinne". Ale na tento "virtualni balast" mi pripada meho casu, nezlobte se, skoda. Travit ho hranim si na to, abych byl "in", pricemz co je "in" mi nekdo vymysli, a to tak, aby na tom on nebo nekdo jiny pokud mozno hodne vydelal...
Pokud jde o Skype, tak myslim, ze na jedne strane je velmi dobre vymysleno, a proto si ziskalo popularitu, na druhe strane obezretnost je zcela jiste na miste, firma si muze delat opravdu skoro co chce. Ted ji treba zrovna nekdo koupil... Takze ani jeji "slusne chovani" neni nikdy zaruceno do budoucna. Proto by jiste bylo lepsi open reseni, jak po strance protokolu, tak i konkretnich programu. Napr. bittorrent funguje, a nevim o tom, ze by se uzivatele branili sdileni sveho pasma, na kterem je zalozen.
Souhlasim s nazorem, tykajicim se odposlouchavani, ze statni a jine instituce si rady hraji na Velkeho Bratra a smiruji sve nepohodolne obcany, kteri projevuji tendence k vybocovani ze stada. Poukazovani na terorismus a jinou zlocinnost je opravdu jen zasterka - zlocinci si stejne vzdycky najdou jine cesticky.

Alternativy existují, je jich celá řada (např. SIP, H.323, IAX). Všechny jsou technicky mnohem lépe vyřešeny a většinou popsaných neduhů netrpí.

...a taky netrpi tim "neduhem" aby prolezly pres firewally a NAT

No nic proti Skype, me jedine co se nelibi, ze neexistuje krabicka co by delal Skype a nemusel jsem mit zaply pocitac. A taky mi vadi, ze nemuzu mit ceske telefoni cislo a tim padem to neni nahrada telefonu. Tak proto mam Sipuru a pouzivam SIP. Natem prochazi celkem v poho pomoci STUN si muzou volat i lidi za natem. Jediny problem co vidim je kvalita ceskych operatoru zatim nic moc. Pouzivam asi 3/4 roku a bez problemu mohl jsem zrusit telefon coz byl muj hlavni cil. A dovolam se dedeckovi a babice :-) co byl druhy.

namatkou po kratem hledani: http://www.voipobchod.cz/shop/index.php?zenid=7e6210c135ea4c97be5d67a107cbe92a&manufacturers_id=15&zenid=7e6210c135ea4c97be5d67a107cbe92a&main_page=index

vsak tu taky nikdo netvrdi, ze to s tim founem de bez pocitace.

No a nebo taky na MDA nainstaluješ Skype pro PPC, připojíš se na WiFi a telefonuješ. Dost lidí má MDA a většina z nich jen na machrování, chce to se trochu zamyslet.

Jinak když sem měřil rychlosti, tak je to podle kodeku, ale základ je cca 20kilo a latence pod 200. Jinými slovy, pokud funguje normálně CDMA , jde to i přes něj, přes GPRS to nejde, přes 4G ano a přes EDGE někdy.

Zaujimalo by ma, akoho operatora pouzivate, aby ste mohol mat ceske tel. cislo a volat aj na klasicke linky.

802.cz

To je problém toho, kdo se nezajímá o to, co si kupuje, a místo skutečné konektivity si koupí jen přístup přes NAT svého "poskytovatele připojení". Když si místo motorky koupíte kolo a nebudete s ním smět na dálnici, také není problém v té dálnici…

Už jsem dokonce slyšel, že mít neveřejnou adresu (totiž přístup přes NAT) je dobré, protože je to další překážka pro škodlivé programy. (To je sice pravda, ale bez dalších opatření je ta překážka úplně k ničemu.) Když jsem se pokoušel dotyčnou osobu přesvědčit, že ztrácí mnohem více, než získává, neuspěl jsem ani s tím, že se dá toho víc stáhnout přes DirectConnect. :-) Pro prostého uživatele je rozdíl mezi veřejnou a neveřejnou adresou minimální (pozná se mj. v DC), oproti modemu je to lepší v obou případech. Tenhle trik tak budou poskytovatelé připojení používat ještě dlouho.

Také už jsem narazil na to, jak těžké je některým "odborníkům na sítě" vysvětlit, že NAT sám o sobě přístupu do vnitřní sítě nebrání. Protože automaticky předpokládají, že ten NAT je doplněn odpovídajícím filtrem a představa toho, že by ten filtr mohl fungovat i bez toho NATu je pro ně příliš velká úroveň abstrakce… :-(

Asi tak, kdyz nekdo zvnejsku posle na router kde je NAT paket s cilovou adresou ve vnitrni siti, router ten paket s radosti preposle.

Ale tohle vyresi jedno pravidlo v iptables (+ par dalsich typu "zahod taky to co prijde zvenku a ma v SRC vnitrni adresu", atd ...)

No, mozna ze pokud nekdo nastavi NAT pomoci nejake high-level utility, ze mu to tam i prida patricna pravidla do iptables, ale ja osobne jsem si je tam naflakal rucne :o)

Je pravda, ze tyhle pravidla by mohly fungovat i bez NATu, cimz dostavame vlastne firewall :o)

zmrde zmrde zmrde zmrde zmrde

1. SIP ma STUNNEL, kterej pres nat proleze
2. Na natujcim stroji se da pustit port forwarding
3. http tunel
4. Nepripojovat se pres NAT, neni to plnohodnotne pripojni

1. neznam
2 a 4 zalezi na ISP, prakticky nerealizovatelne.
3 tunel musi nekde koncit, takze na druhe strane musi zas byt nejaky supernode.

STUNNEL neznam znam jen STUN a to neni zadna magie. Proste se SIP agent pravidelne dotazuje STUN serveru a udrzuje otevrene porty pres NAT. Kdyz pak STUN zvoni za natem vygeneuje pakety, ktere vypadaji jako ze jsou z navazneho spojeni toho SIP agenta a projou NATem. Alespon myslim, ze to tak funguje. Ale to jde samozrejme blokovat. Lepsi reseni je pustit na natujicim stroji SIP proxy.

On stunnel existuje také a je to nesmírně užitečný program, ale s touto problematikou moc nesouvisí…

Jo tenhle tak ten znam taky :-) Ja myslel ze dotycny nasel neco SIPoveho :-)

Jo myslel jsem STUN, moje chyba, do ted sem to rozlisoval jako stunnel a STUNNEL, vubev nevim kde jsem k tomu prisel :-D
A ono navic to STUN neni ani Sip TUNel ale Simple Traversal of UDP through NATs

...hm... zrusme NAT a nechme zavirovat vsechny Win pocitace....
...nainstaluj si Windows, pripoj na verejnou IP adresu a zacni updatovat.

jsem zvedav, jesli ti vydrzi dyl jak 10 minut bez 'napadeni'.

Tak znovu:
NAT != firewall

Ujasněme si dva základní poznatky:

1. Dobře nastavený paketový filtr vás chrání i bez NATu.

2. NAT bez dobře nastaveného paketového filtru vás nechrání.

Nevím jak se na to díváte vy, ale mně z toho vyplývá, že bezpečnostním opatřením je dobře nastavený paketový filtr, nikoli NAT. Že se velmi často oboje používá současně, na tom nic nemění. Policisté také většinou jezdí ve služebních autech a nikdo kvůli tomu netvrdí, že se o pořádek starají ta auta.

Tak to jsou kecy,
Pokud dam implicitni parvidlo na DROP
pak povolim forward jen --state ESTABLISHED,RELATE
pro pristup dovnitr (z int interface do vnitrniho (-i $WAN -o $LAN))
pro pristup ven povolit forward (pro zmenu -i $LAN)

A nastavim SNAT.

Tak mam perfektni FW ktery nedovoli zadny utok dovnitr, ktery nenavaze/neinicializuje vnitrni PC (kteremu se vzdy zabranuje spatne, to bych pak musel pouzivat proxy a vsem zakazat pristup.)

Pak uz jen limity na SYN pakety a jsem HAPPY.

Samozrejme muzu i zahazivat/logovat vnitrni IP adresy a polivku okolo, ale to uz jej jen bonbonek ktery neni tak docela nutny (i kdyz ja jej pouzivam :-))

Fajn. Jenom maličkost: jak to odporuje tomu, co jsem psal já? IMHO tvrdíte přesně to samé: podstatný je paketový filtr, NAT je tam (z hlediska bezpečnosti) úplně zbytečný. :-)

Nemůžu si pomoct, ale ISP je tu od toho, aby mě připojil, ne aby mi zajišťoval bezpečnost. Firewall & spol. by měla být záležitost koncových uživatelů, a také většinou je. Ona i ta "vnitřní síť" obvykle není bezpečná (proto mi smysl případných firewallů u ISP uniká), pokud na ní člověk nevisí opravdu sám. Bez firewallu můžete mít problémy i na síti s interními adresami, zvlášť dnes, kdy u nás většinu spojení zajišťuje bezdrát. A tohle kupodivu, alespoň soudě podle diskusí na netu, už pochopili i běžní jinak nepoučení uživatelé a obvykle jim tam nějaké to Kerio nebo alespoň základní paketový filtr ve WinXP běží - zaplaťpříroda to už pochopil i výrobce nejrozšířenějšího systému a od poslední aktualizace WinXP tam ten vestavěný firewall implicitně zapíná.

Pokud by se mi můj ISP snažil něco filtrovat, asi bych ho vyměnil.

Pokud v současné době nějaký ISP implicitně, bez možnosti volby, zapíná transparentní proxy, není to ISP ale prase. Pro něj platí poslední věta mého předchozího příspěvku - zvlášť pokud by se to projevovalo tak, jak píšete.

Volba při podpisu smlouvy - inu, proč ne. Ale tam v tom případě opět není potřeba NAT, ale firewall ;-)

NAT bez dobre nastaveneho paketoveho filtru me chrani, ikdyz ne dokonale.

Omyl. Nechrání vás, pouze vám vytváří falešný pocit bezpečí.

Ale paketovy filtr postaveny mezi vnitrni sit ISP a Internet taky nechrani dokonale

Kdo vás nutí se místo vlastního firewallu vydat na milost a nemilost svému ISP?

Pokud bude ISP vsem uzivatelum pridelovat verejne IP adresy a blokovat jim vsechna prichozi spojeni, budou na tom de facto stejne jako dosud.

Takové "připojení" by bylo stejně nesmyslné jako "připojení" NAT - pouze parodie na připojení.

Dalsi moznost je vsem uzivatelum vsechna nebo nektera prichozi spojeni povolit - to ale u vetsiny lidi povede jenom k te vetsi zranitelnosti.

Jsou dospělí, zodpovídají sami za sebe. Pokud tomu nerozumějí, ať si seženou někoho, kdo se jim o to postará. Nebo ať si třeba nechají od providera blokovat příchozí provoz - ale nechte výběr na nich. "Schováním" za maškarádu jim tuto svobodu volby seberete.

Pominu-li (správné) argumenty pana Kubečka, minimálně u Windows připojených přímo do Internetu (jak psal JJ) se nic nepřekládá, NAT tam obvykle není vůbec aktivován. Pokud tam něco chrání, je to firewall.
Takže ještě jednou, očividně je nutno to neustále opakovat, aby to do hlaviček proniklo: NAT dělá jiné věci než firewall a u pro Windows připojených přímo na veřejnou IP je vám NAT platný jak bota hadovi.

Kdyby si kazdy poradne precetl prispevky...
- NAT je a bude nutny do doby, nez bude funkcni ipv6 s dostatkem IP adres
- windowsy za NAT jsou mnohem vice v bezpeci nez na verejne ip (ne kazdy uzivatel si wokna dokaze prijatelne zabezpecit
- NAT je v 99% pripadu soucasti firewalu a bez firevalu ho pouziva jen debil
- vzdy je lepsi presmerovat na pocitac za firewallem jen potrebne porty,
nez ho dat na verejnou IP a doufat, ze nejaky trojan nebo "sikovny" uzivatel
nevyradi lokalni firewall z provozu ...

Ocituji vám to, na co jsem v tomto threadu poprvé zareagoval a na co jsem výslovně poukazoval i v příspěvku, na který jste reagoval vy:

...hm... zrusme NAT a nechme zavirovat vsechny Win pocitace....
...nainstaluj si Windows, pripoj na verejnou IP adresu a zacni updatovat.
jsem zvedav, jesli ti vydrzi dyl jak 10 minut bez 'napadeni'.

Opravdu platí, že by to chtělo číst příspěvky pořádně. Takhle si připadám, že se bavím s chovanci psychiatrické léčebny. A to bydlím v Bohnicích :-/

PS: NAT bez firewallu možná používá jen debil (i když třeba u ISP, kteří používají interní síťové adresy, je podle mě firewall zbytečný), ale firewall bez NATu používají všichni uživatelé, jejichž počítače neslouží pro připojení dalších počítačů do Internetu. Čili např. 90% domácích uživatelů, kteří nemají počítači dvě síťovky a za ním domácí síť. Překládat adresy na počítači, který nic neroutuje, je totiž samozřejmě blbost.

Takže znovu: firewall a NAT není totéž, nemusí běžet současně a na většině počítačů připojených do Internetu také současně neběží.

Oprava: ...kteří nemají v počítači...
Počet mých překlepů tady je dnes nepříjemně vysoký :-(

jen upresnim

-nereagoval jsem primo na vas prispevek, ale obecne na diskuzi tady, kde se furt opakuje dokola NATit neNATit, firewallit nefirewallit, loupit neloupit ... :)

- myslel jsem to tak, ze pokud nekdo pouziva NAT je blazen kdyz ho nechrani firewallem, ne ze kazdy kdo ma firewall pouziva NAT, to je samozrejme blbost :)

- zit v domneni, ze na kazdem pocitaci, ktery je pripojeny do netu bezi firewall je blahovost,
je jeste spousta pocitacu z treba W9x, W2k, ..., kde zadny fw neni a vzhledem ke znalosti
uzivatelu jeste dlouho nebude - tito uzivatele vubec netusi co to nejaky firewall je,
a provider nezneuziva jejich neznalosti, proste chrani celou sit a pokud nekdo projevi prani
o verejnou IP, tak ji ve vetsine pripadu dostane - na vlastni riziko.

Jeste k tem Bohnicim - nejsem chovancem, ale blazen jsem urcite, to neskryvam ... :)

nereagoval jsem primo na vas prispevek, ale obecne na diskuzi tady

V tom případě je vhodné to dát najevo. Odkaz pod příspěvkem má popisek "odpovědět", proto předpokládám, že jde o odpověď na daný příspěvek. Jiná praxe pouze vnáší zmatek, jak jsme se mohli právě názorně přesvědčit.

Žit v domneni, ze na kazdem pocitaci, ktery je pripojeny do netu bezi firewall je blahovost, je jeste spousta pocitacu z treba W9x, W2k, ..., kde zadny fw neni a vzhledem ke znalosti uzivatelu jeste dlouho nebude - tito uzivatele vubec netusi co to nejaky firewall je, a provider nezneuziva jejich neznalosti, proste chrani celou sit a pokud nekdo projevi prani o verejnou IP, tak ji ve vetsine pripadu dostane - na vlastni riziko.

Částečně mě živí i SW support, sice ve firemní sféře, nicméně s běžnými uživateli přicházím do styku a podle rozhovorů s nimi usuzuji, že i na svých domácích počítačích velmi často firewally mají. Otázkou samozřejmě je jak kvalitní (vzhledem k tomu, že sám používám výhradně iptables, nemám o Win firewallech přehled). V tomto směru se mi zdá, že už se opravdu dost lidí buď spálilo, nebo má poučené známé. Samozřejmě počítačů bez ochrany bude i nadále asi dost - a to se podle mého netýká pouze Windows.

Přesto - ochrana ISP by podle mého měla být volitelná služba, a neměla by mít nic společného s veřejnou IP. Tuto ochranu totiž opět primárně nezajišťuje NAT, nýbrž správně nastavený firewall. Vrátím-li se k původní myšlence pana Kubečka, IPv6 bez NATu neznamená, že by počítače nešly chránit, ať už u koncového uživatele, nebo u ISP. Jde o to, že by nebylo nutno dělat takové opičárny, jako v současné musí kvůli NAT často dělat IP telefonie; stačilo by na FW povolit příslušný port. Bohužel tu máme začarovaný kruh - díky NAT není tlak na přechod na IPv6, a naopak bez toho tlaku bude i nadále běžnou praxí používání NAT.

Jeste k tem Bohnicim - nejsem chovancem, ale blazen jsem urcite, to neskryvam

No vidíte, já zase obvykle tvrdím, že poloha mého bydliště na půl cestě mezi blázincem a ZOO věrně odráží můj běžný duševní stav...;-)

firewall na domacim pocitaci je hezka vec, ale dokud budou
uzivatele pracovat primarne s pravy admina, tak je to ochrana
dost derava - uvadel jsem windows, kde je to nejcasteji
pouzivany model.
Ochrana od ISP by sice mela byt volitelna, ale primarne zapnuta.
Spousta lidi nejen ze nema zapnuty fw, ale navic sdili
do site obsah celeho pocitace vcetne prav k zapisu - staci,
ze jim do pocitace koukaji lide z lokalni site
(realne zkusenosti z kabelovky)
Opravdu bych nemel to srdce jim vypnout tu posledni ochranu,
kterou jim poskytuje ISP) :)


... uz nebudu vnaset zmatek do diskuze, jdu spat ... dobrou noc vsem zucastnenym :)

Práce s právy admina ovšem nemá vcelku nic společného s firewallem, spyware a podobný brodel si v takovém případě dotyčný jedinec do počítače zatáhne ať mu ISP nebo jeho vlastní FW blokuje příchozí provoz nebo ne.
Upřímně řečeno, v tomto případě bych jim to vypnul s chutí, alespoň by si příště dávali pozor. I když - asi nedávali, lidi jsou v tomhle ohledu fakt blbí, viz opakované virové nákazy (to znám od uživatelů zase já). Ale tohle už se vážně v ničem netýká subjectu...;-)

Rad bych k tomuto i rade predchozich prispevku pridal: ochrana od ISP (at uz NATem nebo pouze firewallem) by mela byt volitelna, primarne zapnuta ale hlavne vypnutelna zdarma, a to nejlepe automaticky pres webovske rozhranni providera.
Na nedostatek adres je jasnou odpovedi IPv6. Netrpelive cekam na vetsiho providera, ktery nabidne k NATovane IPv4 verejnou IPv6 konektivitu a co to udela s rozvojem IPv6 ...

NAT bude nutny porad, treba kdyz budete chtit na jednu IP povesit vic serveru (kvuli domene). A nebo tak, jako se to pouziva u nas (klfree) - vsechny pocitace jsou na 10.102.*.* a na brane se tem co chtej natujou verejny ipcka (a obracene samozrejme)

...dokud se v rozumném měřítku nepřejde na IPv6. O tom a o potřebě tento přechod urychlit se tady totiž v souvislosti se zrušením NATu mluvilo. Pak odpadne problém s nedostatkem IP adres a tudíž nebude pořeba dělat tyhle opičárny. Otázkou je, jestli se masového využívání IPv6 vůbec ještě dožijem :-(
Na IPv4 jsou adresy nedostatkovým zbožím a tudíž je nutné v zájmu šetření NAT používat. Ale výhody v tom nespatřuji a obávám se, že problémů s nedostupností počítačů za NATem bude časem přibývat, protože se budou objevovat další nové služby, kterým tohle bude dělat problémy.

"...nainstaluj si Windows, pripoj na verejnou IP adresu a zacni updatovat."
A proc tak debilne? Co to treba nainstalovat hned se vsemi updaty ? ;-)

to bych ctěl vidět Widnows instalaci se všemi updaty? to je jako si myslet , že koupím jeden počítač se vším naistalovaním..
Nevim jak u vás ale moje WinXP SP2 jsem od instalace aktualizoval už nepočítaně..

...přesně tak - souhlasím ...když se instaluje je tam licenční ujednáni - nechceš neinstaluj ...to teď na ROOTu budou každý den vycházet články "nepoužívejte ms office - nemáte k němu zdrojové kódy", "nepoužívejte photoshop - vývoj je řízen z jednoho místa", apod.???