Vlákno názorů k článku Den IPv6: dnes proběhne velký zapínací „cvak“ od jarda666 - Ahojte, plasi s IPv6 nekdo jiny nez geekove ?...
-
jarda666 (neregistrovaný)
Ahojte,
plasi s IPv6 nekdo jiny nez geekove ? Zajima to vubec nekoho ? IPv4 adresy porad jsou , aspon u provideru napric republikou jsem nezaznamenal nejake potize s jejich ziskavanim .
Co routery na strane klientu ? Da se vubec sehnat nejake routery ktere maji IPv6 podporu a stoji to same co IPv4 ?
Nebo aspon ty zarizeni, ktere dejme tomu podporuji OpenWRT se daji priohnout na IPv6 ?
Nejak mi totiz unika prakticky dopad pro normalniho koncoveho uzivatele ...
-
Mard (neregistrovaný)
Vnucováním úsporek na úkor žárovek se dosáhlo jen odporu vůči úsporkám a "láska" k EU klesla na rekordní minima. Obávám se aby tažení za rozvojem IPv6 nemělo podobné negativní výsledky. Kdyby IPv6 každý potřeboval a chtěl, tak by se rozšířilo velmi rychle. Zdá se že lidi jsou "blbí" a nevědí co potřebují a proto je třeba jim to nanutit. Celé řešení s nedostatkem IP adres mělo být řešeno jinak - každý kontinent měl dostat jeden prefix a tento prefix se měl přidat před běžnou IPv4 adresu. Provoz v rámci kontinentu tvoří nejméně 70% trafficu a tak by se problémy řešily velmi snadně. A rozšíření adresového prostoru 254 krát by bylo dostačující na dlouhou dobu.
-
Celej na levo. Vudu kvuli nekolika masinm rozchazet DNS server a jeste kvuli nemu mit porad zapnuty stroj. Nektere z nich mam napsane v hosts na nekterych z nich, neco si pamatuji. Mezi zapamatovanim nejakeho 192.168.1.XXX a zapamatovanim ipv6 adresy je dost velky rozdil. Kdyby to aspon nebylo hexadecimalne.
-
j (neregistrovaný)
nj, kdyz nekdo pouziva pre IPv4 technologie ... (tedy 30+let stare postupy) ... ono totiz uz IPv4 umi (kupodivu) dynamicky modifikovat DNS, takze staci nastavit jmeno kazdemu dalsimu stroji (coz kupodivu kazdy stejne dela) a on pak jen sve ctene jmeno sdeli DNSku (pomoci DHCP trebas).
=> pokud si (napr) nastavim, ze se muj pristroj jmenuje "debilni-telefon", tak mi (kupodivu) pujde se na nej pripojit jako na debilni-telefon.moje-domena.cz. A (velke prekvapeni) v pripade IPv6 tohle bude fungovat i v pripade, ze bude v uplne cizi siti s uplne jinou adresou.
-
KapitánRUM (neregistrovaný)
Fanatikům to člověk nevysvětlí.
Asi takhle: Strávili 100 hodin blbnutím s něčím, co je vlastně horší, než předchozí technologie, utratili za to peníze a teď už prostě nemohou přiznat, že naletěli a dovolili, aby z nich někdo udělal totálního vola :-DJinak: Nejméně příští 4 roky bude mít každý důležitý server IPv4 adresu.
-
To by mohl. A kterou? Mam nejaky D-Link. Mam koupit jinou a pak narazet na jine veci, ktere nefunguji zase tam? Protoze, priznejme si to otevrene, vetsina vyrobcu routeru jsou docela bastliri a zaslouzili by nakopat do zakonceni zazivaciho traktu.
Jestli koupim novou krabku, tak az casem, az bude za rozumnou cenu neco, co umi ipv6 a je odladene lepe, nez nejaka beta, kterou vyrobce na uzivatelich testuje a SW chyby opravi mozna v novem firmware, mozna v dalsi verzi routeru, HW chyby si pak nechate az do konce pouzivani.
-
j (neregistrovaný)
Tak to ze SOHO krabky stoji obecne za kulovy je samo fakt, ale totez plati o Cisco a jinych "krabkach". Na tom se nic nezmeni ani za 10 ani za 15 let.
Obecne za slusny routrik povazuju to, na cem lze rozchodit dd-wrt nebo openwrt, coz je prakticky plnohodnotny tucnak => funcionalita je omezena ciste vykonem a pameti.
On trebas takovy mikrotik po SW strance stoji taky za pekny kulovy (napr sem 1/2 roku cekal na opravu SW, aby chodilo OpenVPN). A podle infa od cloveka co mikrotiky pouziva ve vetsim mnoztvi, tak po HW strance to jde s novinkama prej taky pekne do p... prej se pekne prehrejvaj.
=> vzdycky je to loterie, ale vazne nema smysl kupovat cokoli pod 500Kc, tam je to naprosta tragedie ve vsech ohledech.
-
>Ještě aby jsme tu chybu s dekadickou soustavou zopakovali i tady.
Proc chybu? Tu adresy jsou stejne ulozeny binarne a decimalni reprezentace je jen pro uzivatele, protoze vetsine lidi jsou decimalni cisla jaksi blizsi, nez hexadecimalni. Vsimnete si, ze cisla v ipv4 adrese jdou od 0 do 999 jenom ve filmech. V realnem zivote jdou pouze do 255.
-
Santiago (neregistrovaný)
Ja bych rekl, ze IPv6 adresy se (ve vetsi sit) pamatuji lepe, protoze sit je lepe strukturovana. Mam jeden prefix P, ktery si holt pamatuju, a pak uz to je jen P:1::1, P:1::2, P:2::1 ... Samozrejme, koncove uzivatelske pocitace maji nezapamatovatelne adresy ziskane ze SLAAC, ale u nich neni ani treba je moc znat. Oproti tomu u routeru a serveru jsou adresy jednoduche.
-
mpel (neregistrovaný)
IPv6 se nenuti jako usporky. Na IPv6 se nekteri snazi prejit driv, nez uz bude pozde. Na rozdil od normalnich zarovek (politicky korektne: tepelnych zaricu instalovanych do objimky E27) bude IPv4 v prodeji jeste pekne dlouho (Microsoft tuhle pry koupil 1 adresu za $11; kdo z vas to da?) a nikomu to na dual stacku nebude vadit. Nechcete-li zavest IPv6 uz ted, staci, kdyz za par let nebudete brecet, ze bylo malo casu, ze to nikdo nevyzkousel, ze se to nestihnete naucit, __doplnte si svoji vymluvu__.
(sorry, nestaci; pokud na vasem genialnim rozhodnuti ipv6 nezavest zavisi nejaka firma nebo vetsi spolecnost, budou vas mit casem uzivatele jiste radi)
Stejne tak vas museji mit radi lide napr. v Cine a v Indii (ja to rikam porad, sebereme cine vsechny jejich IPv4 ranky a dame jim class E; civilizovany svet s komunisty nemluvi a na ten jejich intranet jim to musi stacit ;-))
-
Ja na to seru, nemam ipv6 router a riskovat koupi nejake beta verze nehodlam. Brecite dobre, ale na spatnem hrobe. Jdete zjebat vyrobce, at si prestanou valet koule a daji do placu neco pouzitelneho.
Cetl jste dnesni clanek? "V nabídce e-shopu CZC, který routery zapůjčil, je v současné době 147 routerů. Z toho ale jen 13 deklarovalo podporu IPv6. Celkem 11 se jich podařilo nakonec získat a v 9 případech IPv6 skutečně fungoval. Jeden router vyžadoval aktualizaci firmware a jeden testovaný router se choval velmi špatně."
Co s tim ja nadelam?
-
j (neregistrovaný)
On CZC nabizi nejaky router? Mozna nekolik malo kusu, 147 ani nahodou, to sou tak mozna nejaky ty natovaci krabky, veskutecnosti je uvnitr jedno sitovy rozhrani a vsechny vystupy jsou jen virtualni ...
Mimochodem, CZC (ale v tom neni nijak vyjimecny) rad na shopu zvani (uvadeni nepravnivych informaci) nebo prozmenu v informacich chybi podstatne veci. A specielne s posledni upravou shopu je to naprosta tragedie tam neco najit.
-
„Co s tim ja nadelam?“
Vždyť zo toho vyplývá, že i v úplně obyčejném spotřebním shopu s počítačema seženeš čtyři krabky s IPv6 (včetně firewallu). Ty krabky teď ještě někdo bude určitě znovu testovat, stačí jenom chvíli počkat.
To znamená, že někdo udělá (a už z části udělal) celou práci za tebe. Dobré, že?
-
Na OpenWRT bezi IPv6 uplne bez problemov a uz aj tych beznych routerov pribuda. Tam by som problem nevidel. Problem bude v tom, ze mame nieco, co je konecne aspon trochu odladene, bezi to skvele a vsade to funguje a miesto toho, aby sa na tom stavalo, tak prisli inzinieri od stola a navrhli nieco uplne inak fungujuce, co bolo treba vsade implementovat prakticky od zaciatku a co sa nakoniec rozrastlo na obrovsky kolos. Ked si clovek cita tie RFC k IPv6, tak ho musi hned napadnut pribeh o tom, ako psicek a macicka varili tortu.
Kym pri IPv4 bolo mnoho veci navrhovanych z dovodu nejakeho praktickeho nedostatku, tak pri IPv6 ide vacsinou o onanisticke snahy roznych skupiniek o realizaciu ich dokonalej vizie, ktora je casto ina ako onanisticka vizia skupinky druhej. A co je najhorsie, vacsina toho bola navrhnuta este predtym, ako sa vobec prve zariadenia dostali do prevadzky a nemohlo sa teda ukazat, co za mega blbost to spolu "navarili".
-
jarda666 (neregistrovaný)
Hezky napsano :) , jen pri cteni portalu zamereno na tuto tematiku se tech clanku objevuje docela dost.
Co jsem pochopil bude hlavne sranda potom se zabezpecenim az zacne byt vsechno videt v internetu . Sice plati , ze NAT neni firewall apod. ale myslim , ze je to takovy psychicky blok aspon :) S ipv6 se bude muset ten firewall videt aby cloveku nehackovali lednicku nebo kalkulacku :D
-
TT (neregistrovaný)
Koukám, že nám ta popularizace IPv6 = hafo adres nějak zkomolila ten zbytek. Takže, IPv6 např. rozeznává tzv local adresy (přirovnal bych to k 10.x.x.x aj., btw jsou buď link local nebo site local) takže to, že má každé zařízení IP neznamená, že je routovaná v internetu. A když už bude potřeba se z ledničky na ten Inet dostat - ok dostane global adresu, nebo to zaproxujete, dáte tunnel atd. - a teď jsme u toho NATu - co je to za zabezpečení :). Ano chapu ten psychicky blok - jenže ten je mylný navíc i v IPv6 ten blok můžete mít :) A FW bych doporučoval už dnes - pokud vám vyhákují PC tak vlastně mají vaši vnitřní síť jako na talíři ať už v IPv4 nebo v6.
A ještě k přechodu z v4 na v6 - ano najdou se lidi co milují Firefox 3 protože přece nebudou upgradovat na F13, ale pak tam nebudou nové funkce a změny. A když se chce najdete v IPv6 plno kouzelných featurek, které se dělají ve 4 dost "dirty"
-
„Takže, IPv6 např. rozeznává tzv local adresy (přirovnal bych to k 10.x.x.x“
Pozor na to, link-local adresy jsou nesrovnatelné, to už mají blíž k IPv4 link-local, tedy 169.254.x.y.
„nebo site local“
Site local, nebo dneska spíše ULA nejsou odpovídají 10.x.y.z ze starých dob, tedy před IPv4 maškarádou. Nepoužívají se pro přístup k internetovým službám,
snad s výjimkou přístupu k místnímu proxy serveru. -
j (neregistrovaný)
U IPv6 jde predevsim o to, ze za dobu provozu IPv4 se narazilo na hromady nedostatku, ktere se resily bud nejakym tim drbanim se nohou za uchem (NAT ...) nebo se je realne nepovedlo vyresit vubec (napr multicast). Proto se v okamziku, kdy doslo ke shode, ze novy protokol jednoduse nemuze byt zpetne kompatibilni doslo i k tomu, ze by bylo lepsi to pojmout velkoryse, aby se za dalsich 10 nebo 20 let nemusel navrhovat dalsi nekompatibilni protokol.
Ze 90% z toho co IPv6 umoznuje nebudete pouzivat prece nicemu nevadi. Podstatny je, ze to (narozdil od IPv4) jde.
-
yaa (neregistrovaný)
No IPv4 je zatim dost (nikomu asi nechybi) a nejakej ten patek jeste bude, ale az zacne chybet bude pozde nebo si snad dokazete predstavit, ze by jste mel jen IPv6? :) Do tohoto bodu by mel byt kazdy nebo aspon drtiva vetsina pristupny pres IPv6. V praxi to spis vidim tak ze IPv4 zacne byt tak draha, ze kazdej s radosti prejde na IPv6 a ciste IPv4 budou jen ti lenosi co maji takovy odpor k inovaci a hledaji problemy vsude mozne ;)
-
yaa (neregistrovaný)
To co sem chtel napsat z toho asi nevyznelo jak jsem chtel :). Ciste s existenci IPv4 se da jeste nakej ten rok na celem svete prezit aniz by se neco vyrazne zmenilo, tim nerikam ze momentalni a budouci stav internetu pres IPv4 je v poradku (/wave NAT) Chtel sem tim rict, ze zatim je cas, nicmene jakmile opravdu nekdo nekde nedostane IPv4, protoze nebude tak uz je pozde, protoze uz nekteri prichazeji o prilezitosti :) Ale Ok, ja problem nemam, mam ctverek i sestek ke svemu domacimu uziti dostatek :)
-
j (neregistrovaný)
Rekneme, ze ste prave ted zjistil, ze vam prebejva par miliard dolaru, a rozhod ste se, ze budete ISP ... sem zvedav, kde vemete IPcka (pominme ze nekoho koupite) ... aha, on uz vam nikdo zadne neda, protoze nejsou ...
=> chudaci africani, jihoamericani ... a vubec obyvatele oblasti, ktere si nestacili zhamtat dost Ipv4 adres.
Ale muzete to zkusit i jinak, schvalne, zkuste po (libovolnem) providerovi chtit !jedno! Cecko. Kolik se najde takovych, kteri vam ho daj.
A pokud budete chtit pouzivat IPsec, tak to tak nejak bez tech adres jaksi nejde.
-
Afričani mají zatím celkem rezervu :).
„A pokud budete chtit pouzivat IPsec, tak to tak nejak bez tech adres jaksi nejde.“
Bez nějakých těch adres nejde nic, že. Mimochodem IPsec pro provoz nepotřebuje mít na koncových bodech veřejné adresy, stačí buď veřejku na jednom konci, nebo mít venku mediation server, který by měl zprostředkovat UDP NAT Traversal.
-
j (neregistrovaný)
Nj, jenze to uz zase vyrabime doprdele diru/nosime drivi do lesa/... proc delat veci jednoduse, kdyz to jde slozite.
BTW: Pokud vim, IPsec existuje ve vice variantach a minimalne jedna zahrnuje to, ze soucasti kontroly je prave IP adresa protistrany => pokud je v ceste NAT, tak to nesedi => spojeni se nenavaze.
Ipsec sem teda nikdy moc do detailu nezkoumal, ale mam celkem v zive pameti jak po nas obchodni parner pozadoval IPcko kvuli tunelu a paac sme uz volny nemeli, tak sme si museli nechat pridelit. -
IPsec je rozšíření TCP/IP o zabezpečení. Představuj si to jako framework, na kterém se dá postavit široká škála řešení. Často není možnost, aby jeden člověk nakonfiguroval obě strany, ale musí někomu předat instrukce jak ten IPsec nastavit. Tudíž zvolí konkrétní konfiguraci, která má konkrétní požadavky.
Taky proto existují různé brandované implementace IPsec, které se podle této sady protokolů nejmenují. Implementují třeba jenom konkrétní setup nebo několik setupů, které IKE(v2) umožňuje.
-
mpel (neregistrovaný)
o neco mene vagne: IPsec si muzete predstavit jako bezpecny komunikacni protokol nad IP (napr. misto Ethernet-IP-TCP mate Ethernet-IP-(ipsec: AH nebo ESP)-(sifrovane TCP), resp. Ethernet-IP-ipsec-(sifrovane IP) v tunnel modu)
Odkud kam se kdy bude co zabezpecovat (a jak) se domlouva bokem zvlastni cestou, typicky protokolem IKEv2, drive IKE/ISAKMP/Oakley. IKEv2 klient ve Windows 7 je na par kliknuti funkcni.
IP adresy obou stran je samozrejme dulezite kontrolovat uz kvuli utokum man-in-the middle. Ale prekonani NATu IKE vyresene na strane klienta ma; na serveru staci z verejne adresy presmerovat 2 porty.
Do zadne prdele nikdo drivi nevozi. Proste se v IKE paketu posle sekce (tusim Notify) rikajici "bacha, tenhle clovek je za natem". Mate-li funkcni SW, nic sloziteho.
-
juj... super, já myslel, že si šifrovaně data mezi mým domácím PC a mobilem připojeným přes 3G napřímo nepřenesu... můžu Vás poprosit o radu jak to nastavit? PC má linux a mobil taky (android).
PS: mám jenom jeden požadavek, nechci aby tam byl nějaký mužík uprostřed. I když připouštím, že z obou stan má ten MITM jakž takž kompatibilní rozhraní, jsem konzervatista a v určitých věcech se mi líbí, když mezi mnou a tou druhou stranou není nikdo uprostřed ;)
-
Lol Phirae (neregistrovaný)
No, na mém Androidu se IPSec nastavuje v Nastavení - Bezdrátové připojení a sítě - Nastavení sítě VPN - Přidat síť VPN a teď si vyberete mezi PPTP, L2TP, IPSec PSK, IPSec s certifikátem anebo OpenVPN. Drobný problém může být v tom, že já tam mám CM 7.2, jak to vypadá s podporou VPN sítí u vašeho telefonu a vaší verze Androidu/jádra opravdu netuším. Certifikáty se tam cpou přes Nastavení polohy a zabezpečení - v části Úložiště pověření - Instalace z karty SD. Uživatelský certifikát musí být zabalen včetně klíče a certifikátu ve formáty PKCS12, zhruba takto:
$ openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -certfile cacert.pem -out certs.pfx
-
„PS: mám jenom jeden požadavek, nechci aby tam byl nějaký mužík uprostřed. I když připouštím, že z obou stan má ten MITM jakž takž kompatibilní rozhraní, jsem konzervatista a v určitých věcech se mi líbí, když mezi mnou a tou druhou stranou není nikdo uprostřed ;)“
Tuším, že dneska se při použití PSK vždy doporučuje IKEv2 (ne IKEv1). Při použití certifikátů by to mělo být jedno, navíc máš na výběr i OpenVPN.
Pokud jsem to správně pochopil (kryptografii prd rozumím), tak ve fázi domlouvání klíčů (IKE) při použití PSK (za předpokladu kvalitního PSK) je sice možné udělat MITM, ale PSK se použije k zašifrování domlouvaného klíče a k autentizaci celé zprávy.
Takže pokud pan MITM neprolomí samotnou autentizaci, mají obě strany bezpečně domluvené zaklíčování své další komunikace a on má docela pešek.
Ale jak říkám, prd tomu rozumím, někdy se v tom zkusím pohrabat, ale není čas.
-
mpel (neregistrovaný)
Jaky je rozdil v prenaseni PSK mezi ike2 a ike1 nevim, podle me je to jedno a hlavne PSK se nedoporucuje pouzivat vubec, protoze hesla si typicky lide vybiraji "monkey" a jestli copy-pastuju bezpecny PSK nebo kopiruju RSA klic nebo X.509 certifikat uz je jedno.
Na ISAKMP+IKE MITM neudelate, neni-li pouzite Aggressive mode (srsly, who built this crap?), protoze prvni ctyri zpravy vymeni proposals + klice a domluvi tak bezpecnou (i kdyz treba v OpenSwanu schvalne s malym exponentem kvuli rychlosti) ISAKMP SA, ktera je obousmerna a slouzi _vyhradne_ k domlouvani tech "skutecnych" SA (tomu domlouvani se rika Phase 2 nebo Quick Mode). Ve Phase 1 je uz jedno, jestli mate PSK, RSA klice v souboru, v LDAPu, z DNSSEC nebo v X.509 certifikatu. Vezmou se jen ta data pro crypto podstatna a vlozi do KE payloadu.
MITM by tedy musel prolomit tu uvodni vymenu klicu (DH, Oakley). Preju mu hodne stesti. Nicmene, pokud ma MITM na vasem pocitaci virus, ktery rozesle do sveho botnetu ten klic, ktery jste prave domluvil (a az za hodinu vyprsi, tak posle ten novy), nemate-li zafixovane IP adresy, muze MITM vasim SPI a platnym klicem teoreticky komunikovat odjinud. Nezkousel jsem, asi je to zavisle na tom jak moc ktera implementace ty IP kontroluje.
Jen pro zajimavost, RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]
V IKEv2 se tyhle veci zjednodusily, protoze jste-li na Bali pripojeni pres GPRS s odezvami do evropy v radu sekund, tak domlouvatni tunelu pres ISAKMP (6 zprav) nebo IKEv2 (4 zpravy) znamena nekolik sekund mene, coz uz poznate. Nicmene na MITM mysleli, takze je tam na to takovy sikovny tricek :-)
-
„podle me je to jedno a hlavne PSK se nedoporucuje pouzivat vubec“
Nesmysl.
„protoze hesla si typicky lide vybiraji "monkey"“
To asi nebude úplně dobrý důvod pro zákaz kvalitních PSK, že?
„a jestli copy-pastuju bezpecny PSK nebo kopiruju RSA klic nebo X.509 certifikat uz je jedno.“
Nevím jak u tebe, ale jiným to jedno není. Proto se PSK jako jedna z možností používá. Proti RSA nic nemám, ale nebudu přece argumentovat nesmysly.
„Na ISAKMP+IKE MITM neudelate, neni-li pouzite Aggressive mode (srsly, who built this crap?)“
Odpověď je velice jednoduchá. Road warrior + PSK + main mode pokud vím vůbec nefunguje. Detaily si nepamatuju, tak jsem našel alespoň:
“The IP address is not known and cannot be specified in the racoon configuration file or in the /etc/psk.txt file. A different way to determine the identity of the client must be found. When using pre-shared keys this requires the aggressive mode! The best solution is the usage of X.509 certificates though.”
(http://www.ipsec-howto.org/x304.html)
„Jen pro zajimavost, RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]“
IMO na té větě je nejzajímavější právě „[...]“
„V IKEv2 se tyhle veci zjednodusily, protoze jste-li na Bali pripojeni pres GPRS s odezvami do evropy v radu sekund, tak domlouvatni tunelu pres ISAKMP (6 zprav) nebo IKEv2 (4 zpravy) znamena nekolik sekund mene, coz uz poznate. Nicmene na MITM mysleli, takze je tam na to takovy sikovny tricek :-)“
Zjednodušení je určitě velmi příjemná věc. Ale jestli je to hlavní důvod, to se mi nezdá. Zvláště IKEv2 právě překlenuje bezpečnostní problémy s IKEv1.
-
mpel (neregistrovaný)
Nesmysl? Proc je to nesmysl? Nikdo Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.
http://www.openbsd.org/cgi-bin/cvsweb/src/etc/iked.conf?rev=1.2 posledni radek"Argumentovat nesmysly" opet nechapu - ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju. A jestli kopiruju tricetiznakove heslo z pwgenu nebo petiradkovy klic v PEM je mi opravdu uplne jedno; do meho clipboardu se to vejde. Ale at si PSK kdo chce pouziva, od toho to tam je...
To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde. Ja napisu do ipsec.conf(5) "ike esp passive from em0 to any psk heslo" a mam na adresach interfejsu "em0" road-warrior-like setup. Mozna ten pravy duvod, proc to autori racoonu nenapsali, je, ze nechteji PSK moc rozsirovat ;-)
Dokonce jsem tohle nastaveni pouzival k vyuce Administrace UNIXu na MFF - studenti meli za ukol sve stroje k VPN pripojit a nastavit tunelovani ze sve site do me site. (tzn. SAcka host-host i net-net) A protoze PKI jsme si uzili pri konfiguraci SMTP+TLS, rozhodl jsem se pouzit PSK. Realne ten ukol nekolik studentu zvladlo.[...] znamena "without any implied constraints on the protocol or port numbers allowed, unless client identifiers are specified in Quick Mode."
-- Opravdu nevidim nic zajimaveho. Kdyz klient nastavi svuj identifier v quick mode (srcid/dstid, leftid/rightid), nema to na IP adresu tunelu vliv. Identifier si muzu vybrat jaky chci (pouziva se maximalne ke kontrole subjectAltName pri X.509). Lepe receno, je to zavisle na konkretni implementaci, nebo nevim, kde je specifikovano jinak.Jake _bezpecnostni_ problemy IKEv1 ma? Nevim, co je "hlavni" duvod vyvoje IKEv2, podle me je to zjednoduseni protokolu z duvodu blbych adminu, kterym radsi vyhovuje za 5min vygooglit "openvpn linux howto" nez se naucit pouzivat realna reseni ;-) (nekteri vyrobci maji IPsec na 10GE switchich/routerech, o OpenVPN nevim) a take nekompatibilita nekterych implementaci kvuli nejasnym definicim. A jako feature navrch zrychlili SA establishment, pridali EAP, ...
-
„Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.“
Přičemž bych chtěl vidět, jak někdo slovníkem útočí na dostatečně dlouhé generované PSK. Generované PSK a uživatelem zadávané PSK jsou dva zcela odlišné postupy a měly by se každý z hlediska bezpečnosti posuzovat zvlášť.
„ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju.“
V tom se shodujeme.
„To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde.“
Já nechci věnovat svůj čas přehrabáváním vykopávek. Ale šlo o to, že nebyla v době ověřování PSK v main mode ještě k dispozici identifikace, zatímco v aggressive mode je k dispozici obojí.
http://tools.ietf.org/html/rfc2409#section-5.4
„Opravdu nevidim nic zajimaveho.“
Moje chyba.
„Jake _bezpecnostni_ problemy IKEv1 ma?“
Právě ten, který popíráš :). Tzn nebezpečný PSK road warrior, který implikuje aggresive mode.
„podle me je to zjednoduseni protokolu z duvodu blbych adminu“
Adminům to může být úplně jedno. Když si otevřu konfiguraci Strongswanu, tak je úplně stejně přímočará pro IKEv1 i IKEv2 a dokonce to se stejnou konfigurací umí i používat IKEv1 jako fallback.
„A jako feature navrch zrychlili SA establishment, pridali EAP, ...“
Konsolidaci, zjednodušení a rozšíření protokolu samozřejmě vítám.
-
mpel (neregistrovaný)
Ten problem nastane az v pripade, kdy na jedne adrese budu chtit mit road-warrior s vice PSKs - rozlisovat mezi nimi na zaklade srcid potom evidentne nebude mozne.
Predpoklad je, ze MITM nezna PSK, takze tu cast "HDR*, IDii, HASH_I -->" uz neprecte. Nejak mi unika dopad na bezpecnost, proste v main mode jsou jine identifikatory.
-
mpel (neregistrovaný)
Pro road warriors samozrejme, tam musi stacit SPI. Ale na tunely mezi dvema statickymi body (napr. pobocky jedne firmy) vam pribyde dalsi bezpecnostni prvek (i kdyz je IP spoofing jednoduchy jen jednim smerem). Ano, stavet bezpecnost se neda, ano, na vyssich vrstvach bychom IP adresu pouzivat k identifikaci nemeli, ale te bezpecnosti to rozhodne neubere, coz si evidentne myslela i tazatelova protistrana :-)
-
yaa (neregistrovaný)
Nevim, nejsem isp, ale co nedavno zadal muj isp, tak pokud vim zadnej velkej problem nemel, ale chtel jen jedno cecko a jestli neco platil tak nakou v ramci isp trapnou castku :)
Ja osobne cecko nepotrebuju, ne ze bych se mu branil, ale staci me /29 +1 co mam.. zas tak moc zarizeni co potrebuji hodnotny internet doma nemam :) Ono totiz ikdyz bylo ipv4 adres habadej, treba v roce 2003, tak stejne kde jaky isp chtelo zaplatit za jednu blbou IPv4 adresu, sem tam nekdo daval zadarmo jednu verejnou a pak se nasel nekdo kdo da vic na pozadani (viz muj isp), takze ono jestli vam isp da ipv4 adresy nebo ne je celkem jedno, problem muze mit tak maximalne nakej nove vzniklej mega isp co potrebuje hafo adres, ale i tak se da prezit s hodne malo verejnyma ip (pisu prezit, protoze jak je znamo dnes vetsina lidi nema hodnotny internet)
Pokud budu chtit pouzit IPsec (jakoze pouzivam) tak ho pouziju, protoze ja doma internet mam :D (vim jak ste to myslel jen si delam srandu)
Nastesti patrim k tem stastnejsim co maji funkcni dualstack s par verejnyma adresama IPv4 a hodne moc adresama IPv6 :D Jen sem chtel rict ze momentalne nikoho zas tak netlaci nedostatek IPv4 ale az se nekdo takovej obevi, tak bude pozde, to znamena ze by mel kazdej dobrovolne zacit aby se pak z niceho nic nedivil ze se nemuze nekam dostat protoze prece ipv6 ho enzajima :))
-
j (neregistrovaný)
Sak ja mam taky /29 a staci mi to tak akorat, teda, samo dokazal bych vyuzit /26, to by tak akorat pokrylo to, ze bych moh mit komplet verejny IPcka vsude (dycky /29 na segment).
V principu by mi provider i dalsi IPcka dal, ale ja je proste aktualne nijak zvlast nepotrebuju, protoze pro desktopy je mam, a na ten zbytek se uz nako dostanu, trebas i pres IPv6 (mam v provozu 4 segmenty z meho tunelovaneho /48 rozsahu).
Ale to sme u toho, ze muj ISP si celkem nedavno "nasyslil" tusim 4 nebo 8 Ccek a tech zakazniku zas tak moc nema.
-
mkub (neregistrovaný)
myslis, ze nie je problem zohnat adresu IPv4? aktualne nie, ale si pockaj, kedy dojdu IPv4 aj u lokalnych providerov, ktori este nepresli na IPv6, ti budu musiet si zadovazit blok adries od niekoho druheho, kde je ta rezerva velka (napr. Afrika), alebo bude musiet prejst aj ten na IPv6, odbornici odhaduju, ze Europa minie behom tohto roku vsetok prideleny priestor, resp. zaciatkom buduceho
