Vlákno názorů k článku 10 důvodů proč nepoužívat Skype od Milan Keršláger - Všechny důvody jsou irelevantní, protože vás k používání...
-
Všechny důvody jsou irelevantní, protože vás k používání nikdo nenutí, protože neexistuje alternativa a protože přístup firmy je velmi solidní. Funkci supernode lze snadno odstranit blokováním naslouchání Skype (příchozí bude jen RELATED), "draze" koupená linka je na paušál a odposlechu na soudní příkaz se nebojím (anžto je to třeba v případě vydírání velmi užitečná věc). Stejně tak ostatní body. Prostě: Petře, ty jsi ujel :-) -
PSIkappa (neregistrovaný)Ono sa da dost ucine branit tomu, aby vas hovor bol odposluchany, existuju scramblery a rozne sifrovacie krabicky, ktore zapojite pred telefon a pokial vas niekto odpocuva, tak holt ma smolu a nic z toho mat nebude. Jediny problem je s tym, ze rovnaku krabicku musi mat aj druha strana s kym budete komunikovat...
Tie lokalizacne sluzby sa daju krasne ocurat, ci uz tym, ze spravite zasah do firmware mobilu, aby sa neprihlasoval naraz na viac ako 1 bts alebo pouzijete presmerovanie cez iny mobil, takze bude hlasit polohu mobilu na ktorom je nastavene presmerovanie a nie vasu...
Inak technologiu su cim dalej lacnejsie a dostupnejsie sirokym masam, takze sa nakoniec dostaneme pri ochrane sukromia ku klasickemu problemu pancier vs. kanon. -
benzin (neregistrovaný)Tot neni pravda. Nuti vas k tomu sef spolecnosti protoze je to levnejsi zpusob komunikace nez kupovanim telefonu. Nuti vas k tomu vasi kamaradi, protoze s vami chteji komunikovat.
Stejne tak jako vas nikdo nenuti sledovat idealy krasy, cist Cosmopolitan. Ale nuti vas k tomu spolecnost. Tento natlak je pozvolny, ale nejhorsi je, ze nakoc kazdy rekn: "Vsak jsme vas k tomu nenutili, rozhodl jste se sam."
Nuti vas nekdo chodit v nejakem presne specifikovanem obleceni? Zkuste, ale behat po ulici rokokovych kabatcich, nebo v neadrtalske kuzi, velmi brzi narazite. -
Tady jde spis o to, aby se lidi dozvedeli, jak to ve skutecnosti v pripade Skype funguje. Mnoho lidi jej pouziva, aniz by vedelo, ze jim uzira kapacitu (prestoze rychle, tak treba pocitane) linky a musi tak defacto nevedomky platit hovory nekoho naprosto ciziho. Chyba je v technickem principu a neznalosti uzivatelu, ne v nejakem monopolu.
-
anonymníMilane,
benzinovy argumenty nejsou ze sanatoria pro duševně jiné. Jsou o schopnosti vybrat si mezi službou, která obsahuje rizika (nebo Vám snad solidnost Skypu neprůstřelně garantuje banka, pojišťovna a soud?) a nebo nečerpáním služby výměnou za nulové riziko. A o tom to je... Kdo je tlačen do používání Skypu okolnostmi, může podlehnout, aniž by šlo o racionální rozhodnutí...a o tom je zase vychytralý byznys... -
ppp (neregistrovaný)Tak sledovat idealy krasy a cist Cosmopolitan me opravdu nikdo nenuti, a bohda ani nebude. ;-))))) To nuti snad jen ty, kteri se chteji radit do urcite skupiny, ci snad vrstvy (?) lidi, kde se toto povazuje za normalni, tam je to mozna "povinne". Ale na tento "virtualni balast" mi pripada meho casu, nezlobte se, skoda. Travit ho hranim si na to, abych byl "in", pricemz co je "in" mi nekdo vymysli, a to tak, aby na tom on nebo nekdo jiny pokud mozno hodne vydelal...
Pokud jde o Skype, tak myslim, ze na jedne strane je velmi dobre vymysleno, a proto si ziskalo popularitu, na druhe strane obezretnost je zcela jiste na miste, firma si muze delat opravdu skoro co chce. Ted ji treba zrovna nekdo koupil... Takze ani jeji "slusne chovani" neni nikdy zaruceno do budoucna. Proto by jiste bylo lepsi open reseni, jak po strance protokolu, tak i konkretnich programu. Napr. bittorrent funguje, a nevim o tom, ze by se uzivatele branili sdileni sveho pasma, na kterem je zalozen.
Souhlasim s nazorem, tykajicim se odposlouchavani, ze statni a jine instituce si rady hraji na Velkeho Bratra a smiruji sve nepohodolne obcany, kteri projevuji tendence k vybocovani ze stada. Poukazovani na terorismus a jinou zlocinnost je opravdu jen zasterka - zlocinci si stejne vzdycky najdou jine cesticky. -
No nic proti Skype, me jedine co se nelibi, ze neexistuje krabicka co by delal Skype a nemusel jsem mit zaply pocitac. A taky mi vadi, ze nemuzu mit ceske telefoni cislo a tim padem to neni nahrada telefonu. Tak proto mam Sipuru a pouzivam SIP. Natem prochazi celkem v poho pomoci STUN si muzou volat i lidi za natem. Jediny problem co vidim je kvalita ceskych operatoru zatim nic moc. Pouzivam asi 3/4 roku a bez problemu mohl jsem zrusit telefon coz byl muj hlavni cil. A dovolam se dedeckovi a babice :-) co byl druhy.
-
Vector (neregistrovaný)No a nebo taky na MDA nainstaluješ Skype pro PPC, připojíš se na WiFi a telefonuješ. Dost lidí má MDA a většina z nich jen na machrování, chce to se trochu zamyslet.
Jinak když sem měřil rychlosti, tak je to podle kodeku, ale základ je cca 20kilo a latence pod 200. Jinými slovy, pokud funguje normálně CDMA , jde to i přes něj, přes GPRS to nejde, přes 4G ano a přes EDGE někdy. -
#Tom (neregistrovaný)Už jsem dokonce slyšel, že mít neveřejnou adresu (totiž přístup přes NAT) je dobré, protože je to další překážka pro škodlivé programy. (To je sice pravda, ale bez dalších opatření je ta překážka úplně k ničemu.) Když jsem se pokoušel dotyčnou osobu přesvědčit, že ztrácí mnohem více, než získává, neuspěl jsem ani s tím, že se dá toho víc stáhnout přes DirectConnect. :-) Pro prostého uživatele je rozdíl mezi veřejnou a neveřejnou adresou minimální (pozná se mj. v DC), oproti modemu je to lepší v obou případech. Tenhle trik tak budou poskytovatelé připojení používat ještě dlouho.
-
Michal Kubeček (neregistrovaný)Také už jsem narazil na to, jak těžké je některým "odborníkům na sítě" vysvětlit, že NAT sám o sobě přístupu do vnitřní sítě nebrání. Protože automaticky předpokládají, že ten NAT je doplněn odpovídajícím filtrem a představa toho, že by ten filtr mohl fungovat i bez toho NATu je pro ně příliš velká úroveň abstrakce… :-(
-
Bilbo (neregistrovaný)Asi tak, kdyz nekdo zvnejsku posle na router kde je NAT paket s cilovou adresou ve vnitrni siti, router ten paket s radosti preposle.
Ale tohle vyresi jedno pravidlo v iptables (+ par dalsich typu "zahod taky to co prijde zvenku a ma v SRC vnitrni adresu", atd ...)
No, mozna ze pokud nekdo nastavi NAT pomoci nejake high-level utility, ze mu to tam i prida patricna pravidla do iptables, ale ja osobne jsem si je tam naflakal rucne :o)
Je pravda, ze tyhle pravidla by mohly fungovat i bez NATu, cimz dostavame vlastne firewall :o) -
STUNNEL neznam znam jen STUN a to neni zadna magie. Proste se SIP agent pravidelne dotazuje STUN serveru a udrzuje otevrene porty pres NAT. Kdyz pak STUN zvoni za natem vygeneuje pakety, ktere vypadaji jako ze jsou z navazneho spojeni toho SIP agenta a projou NATem. Alespon myslim, ze to tak funguje. Ale to jde samozrejme blokovat. Lepsi reseni je pustit na natujicim stroji SIP proxy.
-
Michal Kubeček (neregistrovaný)On stunnel existuje také a je to nesmírně užitečný program, ale s touto problematikou moc nesouvisí…
-
anonymníVy jste tim snad posedli.
1. Ukazte mi ISP, kde je NAT a chybi tam paketovy filtr.
2. Prestoze je teoreticky mozne poslat pres nefiltrovany NAT paket do vnitrni site, je to podstatne obtiznejsi nez bez toho NATu. Takze prosim prestante prehanet - NAT neni dokonala ochrana, ale cast utoku odfiltruje. -
Michal Kubeček (neregistrovaný)
Ujasněme si dva základní poznatky:
1. Dobře nastavený paketový filtr vás chrání i bez NATu.
2. NAT bez dobře nastaveného paketového filtru vás nechrání.
Nevím jak se na to díváte vy, ale mně z toho vyplývá, že bezpečnostním opatřením je dobře nastavený paketový filtr, nikoli NAT. Že se velmi často oboje používá současně, na tom nic nemění. Policisté také většinou jezdí ve služebních autech a nikdo kvůli tomu netvrdí, že se o pořádek starají ta auta.
-
Izak (neregistrovaný)Tak to jsou kecy,
Pokud dam implicitni parvidlo na DROP
pak povolim forward jen --state ESTABLISHED,RELATE
pro pristup dovnitr (z int interface do vnitrniho (-i $WAN -o $LAN))
pro pristup ven povolit forward (pro zmenu -i $LAN)
A nastavim SNAT.
Tak mam perfektni FW ktery nedovoli zadny utok dovnitr, ktery nenavaze/neinicializuje vnitrni PC (kteremu se vzdy zabranuje spatne, to bych pak musel pouzivat proxy a vsem zakazat pristup.)
Pak uz jen limity na SYN pakety a jsem HAPPY.
Samozrejme muzu i zahazivat/logovat vnitrni IP adresy a polivku okolo, ale to uz jej jen bonbonek ktery neni tak docela nutny (i kdyz ja jej pouzivam :-)) -
anonymní1. Ano, dobre nastaveny a bezchybne fungujici paketovy filtr me ochrani i bez NATu
2. NAT bez dobre nastaveneho paketoveho filtru me chrani, ikdyz ne dokonale. Asi tezko se budete uspesne telnetem pripojovat pres tri routery na privatni adresu v siti nejakeho ISP. Ale paketovy filtr postaveny mezi vnitrni sit ISP a Internet taky nechrani dokonale, protoze jsem porad jeste zranitelny proti utokum z vnitrni site. Ale vzdycky je nejlepsi mit co nejvyssi moznou ochranu.
3. Pokud bude ISP vsem uzivatelum pridelovat verejne IP adresy a blokovat jim vsechna prichozi spojeni, budou na tom de facto stejne jako dosud. Dalsi moznost je vsem uzivatelum vsechna nebo nektera prichozi spojeni povolit - to ale u vetsiny lidi povede jenom k te vetsi zranitelnosti. No a pak je treti moznost a to povolovat provoz na pozadani - budto uplne nebo selektivne. Coz je v podstate to same, jako dostat na pozadani verejnou IP adresu. -
Nemůžu si pomoct, ale ISP je tu od toho, aby mě připojil, ne aby mi zajišťoval bezpečnost. Firewall & spol. by měla být záležitost koncových uživatelů, a také většinou je. Ona i ta "vnitřní síť" obvykle není bezpečná (proto mi smysl případných firewallů u ISP uniká), pokud na ní člověk nevisí opravdu sám. Bez firewallu můžete mít problémy i na síti s interními adresami, zvlášť dnes, kdy u nás většinu spojení zajišťuje bezdrát. A tohle kupodivu, alespoň soudě podle diskusí na netu, už pochopili i běžní jinak nepoučení uživatelé a obvykle jim tam nějaké to Kerio nebo alespoň základní paketový filtr ve WinXP běží - zaplaťpříroda to už pochopil i výrobce nejrozšířenějšího systému a od poslední aktualizace WinXP tam ten vestavěný firewall implicitně zapíná.
Pokud by se mi můj ISP snažil něco filtrovat, asi bych ho vyměnil. -
anonymníHm, tak to jste ještě neviděl (bez varování) zapnutou transparentní HTTP proxy. To je opravdu něco - zvlášť když ta proxy při nahrazování zdroje v img tagu rozhodí layout stránky.
Já si myslím, že ISP by určitou bezpečnostní politiku provádět měl - například zavirovaný a viry šířící počítač na upozornění třetí osoby a po varování dotyčného majitele odstřihnout. Co se týče té implicitní politiky, jsem pro to, aby si to mohl zákazník při podpisu smlouvy zvolit, ale neznalým uživatelům bych opravdu raději doporučil NAT a rozhodně zablokování příchozích spojení.
S tou vnitřní sítí se shodneme. Nicméně snižování pravděpodobnosti útoku taky není bezcenné. Koneckonců, co tomu uživateli bude platný firewall na vlastním stroji, když bude obsahovat chybu v programu nebo si ho ten "poučený laik" nastaví omylem špatně? -
Pokud v současné době nějaký ISP implicitně, bez možnosti volby, zapíná transparentní proxy, není to ISP ale prase. Pro něj platí poslední věta mého předchozího příspěvku - zvlášť pokud by se to projevovalo tak, jak píšete.
Volba při podpisu smlouvy - inu, proč ne. Ale tam v tom případě opět není potřeba NAT, ale firewall ;-) -
Michal Kubeček (neregistrovaný)
NAT bez dobre nastaveneho paketoveho filtru me chrani, ikdyz ne dokonale.
Omyl. Nechrání vás, pouze vám vytváří falešný pocit bezpečí.
Ale paketovy filtr postaveny mezi vnitrni sit ISP a Internet taky nechrani dokonale
Kdo vás nutí se místo vlastního firewallu vydat na milost a nemilost svému ISP?
Pokud bude ISP vsem uzivatelum pridelovat verejne IP adresy a blokovat jim vsechna prichozi spojeni, budou na tom de facto stejne jako dosud.
Takové "připojení" by bylo stejně nesmyslné jako "připojení" NAT - pouze parodie na připojení.
Dalsi moznost je vsem uzivatelum vsechna nebo nektera prichozi spojeni povolit - to ale u vetsiny lidi povede jenom k te vetsi zranitelnosti.
Jsou dospělí, zodpovídají sami za sebe. Pokud tomu nerozumějí, ať si seženou někoho, kdo se jim o to postará. Nebo ať si třeba nechají od providera blokovat příchozí provoz - ale nechte výběr na nich. "Schováním" za maškarádu jim tuto svobodu volby seberete.
-
Pominu-li (správné) argumenty pana Kubečka, minimálně u Windows připojených přímo do Internetu (jak psal JJ) se nic nepřekládá, NAT tam obvykle není vůbec aktivován. Pokud tam něco chrání, je to firewall.
Takže ještě jednou, očividně je nutno to neustále opakovat, aby to do hlaviček proniklo: NAT dělá jiné věci než firewall a u pro Windows připojených přímo na veřejnou IP je vám NAT platný jak bota hadovi. -
martin (neregistrovaný)Kdyby si kazdy poradne precetl prispevky...
- NAT je a bude nutny do doby, nez bude funkcni ipv6 s dostatkem IP adres
- windowsy za NAT jsou mnohem vice v bezpeci nez na verejne ip (ne kazdy uzivatel si wokna dokaze prijatelne zabezpecit
- NAT je v 99% pripadu soucasti firewalu a bez firevalu ho pouziva jen debil
- vzdy je lepsi presmerovat na pocitac za firewallem jen potrebne porty,
nez ho dat na verejnou IP a doufat, ze nejaky trojan nebo "sikovny" uzivatel
nevyradi lokalni firewall z provozu ... -
Ocituji vám to, na co jsem v tomto threadu poprvé zareagoval a na co jsem výslovně poukazoval i v příspěvku, na který jste reagoval vy:
...hm... zrusme NAT a nechme zavirovat vsechny Win pocitace....
...nainstaluj si Windows, pripoj na verejnou IP adresu a zacni updatovat.
jsem zvedav, jesli ti vydrzi dyl jak 10 minut bez 'napadeni'.Opravdu platí, že by to chtělo číst příspěvky pořádně. Takhle si připadám, že se bavím s chovanci psychiatrické léčebny. A to bydlím v Bohnicích :-/
-
PS: NAT bez firewallu možná používá jen debil (i když třeba u ISP, kteří používají interní síťové adresy, je podle mě firewall zbytečný), ale firewall bez NATu používají všichni uživatelé, jejichž počítače neslouží pro připojení dalších počítačů do Internetu. Čili např. 90% domácích uživatelů, kteří nemají počítači dvě síťovky a za ním domácí síť. Překládat adresy na počítači, který nic neroutuje, je totiž samozřejmě blbost.
Takže znovu: firewall a NAT není totéž, nemusí běžet současně a na většině počítačů připojených do Internetu také současně neběží. -
martin (neregistrovaný)jen upresnim
-nereagoval jsem primo na vas prispevek, ale obecne na diskuzi tady, kde se furt opakuje dokola NATit neNATit, firewallit nefirewallit, loupit neloupit ... :)
- myslel jsem to tak, ze pokud nekdo pouziva NAT je blazen kdyz ho nechrani firewallem, ne ze kazdy kdo ma firewall pouziva NAT, to je samozrejme blbost :)
- zit v domneni, ze na kazdem pocitaci, ktery je pripojeny do netu bezi firewall je blahovost,
je jeste spousta pocitacu z treba W9x, W2k, ..., kde zadny fw neni a vzhledem ke znalosti
uzivatelu jeste dlouho nebude - tito uzivatele vubec netusi co to nejaky firewall je,
a provider nezneuziva jejich neznalosti, proste chrani celou sit a pokud nekdo projevi prani
o verejnou IP, tak ji ve vetsine pripadu dostane - na vlastni riziko.
Jeste k tem Bohnicim - nejsem chovancem, ale blazen jsem urcite, to neskryvam ... :) -
nereagoval jsem primo na vas prispevek, ale obecne na diskuzi tady
V tom případě je vhodné to dát najevo. Odkaz pod příspěvkem má popisek "odpovědět", proto předpokládám, že jde o odpověď na daný příspěvek. Jiná praxe pouze vnáší zmatek, jak jsme se mohli právě názorně přesvědčit.
Žit v domneni, ze na kazdem pocitaci, ktery je pripojeny do netu bezi firewall je blahovost, je jeste spousta pocitacu z treba W9x, W2k, ..., kde zadny fw neni a vzhledem ke znalosti uzivatelu jeste dlouho nebude - tito uzivatele vubec netusi co to nejaky firewall je, a provider nezneuziva jejich neznalosti, proste chrani celou sit a pokud nekdo projevi prani o verejnou IP, tak ji ve vetsine pripadu dostane - na vlastni riziko.
Částečně mě živí i SW support, sice ve firemní sféře, nicméně s běžnými uživateli přicházím do styku a podle rozhovorů s nimi usuzuji, že i na svých domácích počítačích velmi často firewally mají. Otázkou samozřejmě je jak kvalitní (vzhledem k tomu, že sám používám výhradně iptables, nemám o Win firewallech přehled). V tomto směru se mi zdá, že už se opravdu dost lidí buď spálilo, nebo má poučené známé. Samozřejmě počítačů bez ochrany bude i nadále asi dost - a to se podle mého netýká pouze Windows.
Přesto - ochrana ISP by podle mého měla být volitelná služba, a neměla by mít nic společného s veřejnou IP. Tuto ochranu totiž opět primárně nezajišťuje NAT, nýbrž správně nastavený firewall. Vrátím-li se k původní myšlence pana Kubečka, IPv6 bez NATu neznamená, že by počítače nešly chránit, ať už u koncového uživatele, nebo u ISP. Jde o to, že by nebylo nutno dělat takové opičárny, jako v současné musí kvůli NAT často dělat IP telefonie; stačilo by na FW povolit příslušný port. Bohužel tu máme začarovaný kruh - díky NAT není tlak na přechod na IPv6, a naopak bez toho tlaku bude i nadále běžnou praxí používání NAT.
Jeste k tem Bohnicim - nejsem chovancem, ale blazen jsem urcite, to neskryvam
No vidíte, já zase obvykle tvrdím, že poloha mého bydliště na půl cestě mezi blázincem a ZOO věrně odráží můj běžný duševní stav...;-)
-
martin (neregistrovaný)firewall na domacim pocitaci je hezka vec, ale dokud budou
uzivatele pracovat primarne s pravy admina, tak je to ochrana
dost derava - uvadel jsem windows, kde je to nejcasteji
pouzivany model.
Ochrana od ISP by sice mela byt volitelna, ale primarne zapnuta.
Spousta lidi nejen ze nema zapnuty fw, ale navic sdili
do site obsah celeho pocitace vcetne prav k zapisu - staci,
ze jim do pocitace koukaji lide z lokalni site
(realne zkusenosti z kabelovky)
Opravdu bych nemel to srdce jim vypnout tu posledni ochranu,
kterou jim poskytuje ISP) :)
... uz nebudu vnaset zmatek do diskuze, jdu spat ... dobrou noc vsem zucastnenym :) -
Práce s právy admina ovšem nemá vcelku nic společného s firewallem, spyware a podobný brodel si v takovém případě dotyčný jedinec do počítače zatáhne ať mu ISP nebo jeho vlastní FW blokuje příchozí provoz nebo ne.
Upřímně řečeno, v tomto případě bych jim to vypnul s chutí, alespoň by si příště dávali pozor. I když - asi nedávali, lidi jsou v tomhle ohledu fakt blbí, viz opakované virové nákazy (to znám od uživatelů zase já). Ale tohle už se vážně v ničem netýká subjectu...;-) -
Rad bych k tomuto i rade predchozich prispevku pridal: ochrana od ISP (at uz NATem nebo pouze firewallem) by mela byt volitelna, primarne zapnuta ale hlavne vypnutelna zdarma, a to nejlepe automaticky pres webovske rozhranni providera.
Na nedostatek adres je jasnou odpovedi IPv6. Netrpelive cekam na vetsiho providera, ktery nabidne k NATovane IPv4 verejnou IPv6 konektivitu a co to udela s rozvojem IPv6 ... -
...dokud se v rozumném měřítku nepřejde na IPv6. O tom a o potřebě tento přechod urychlit se tady totiž v souvislosti se zrušením NATu mluvilo. Pak odpadne problém s nedostatkem IP adres a tudíž nebude pořeba dělat tyhle opičárny. Otázkou je, jestli se masového využívání IPv6 vůbec ještě dožijem :-(
Na IPv4 jsou adresy nedostatkovým zbožím a tudíž je nutné v zájmu šetření NAT používat. Ale výhody v tom nespatřuji a obávám se, že problémů s nedostupností počítačů za NATem bude časem přibývat, protože se budou objevovat další nové služby, kterým tohle bude dělat problémy.
