Vlákno názorů k článku IPv4 jako služba aneb jak síť zbavit dual-stacku od Veterán - Na těchto stránkách se často lidé dohadují o...
-
Veterán (neregistrovaný)
Na těchto stránkách se často lidé dohadují o ochraně soukromí, dírách v programech umožňující třípísmenkovým organizacím vše sledovat atd.
A najednou je zde obhajována technologie, která zajistí, že každé zařízení v síti bude jednoznačně identifikováno zvenčí.
Skutečně vám to nepřipadá, jako důkladný zásah do soukromí? Zásah, který si mohly vlády připravit a komunita ho ve svatém nadšení pro novou technologii radostně podporuje. -
Filip JirsákStříbrný podporovatelJako že zařízení s IPv6 adresou 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 má IPv6 adresu 2001:0db8:85a3:08d3:1319:8a2e:0370:7334? To mi jako převratná informace nepřipadá… A důkladný zásah do soukromí? Do soukromí koho, toho zařízení?
To, že má každé zařízení připojené k internetu jednoznačnou adresu, a může tedy (z pohledu transportních protokolů) komunikovat každé zařízení s každým, je základní princip Internetu. A platí to úplně stejně i pro protokol IPv4.
-
Veterán (neregistrovaný)
Většina lidí je připojena stylem: zařízení dostane IP od domácího routeru. ten je připojen k poskytovateli internetu a malí poskytovatelé pak ještě k další firmě. Domácí zařízení je tak i za 3 IP adresami z rozsahu privátních sítí. To je pro útok z venčí dost velký problém.
Dále se zde často mluví o sledování a Velkém bratru u mobilních telefonů. Teď bude tablet, notebook, chytré hodinky atd. mít pevnou adresu a krásně se tak bude kontrolovat, odkud se připojujete. Jestli jste v práci, sedíte v kavárně, jste na dovolené, prostě opět lepší kontrola pohybu lidí, nyní dokonce i s přístupem k tomu, kam se zařízení připojovalo.
Dnes oproti tomu v kavárně nebo hotelu dostanete dynamickou adresu a nic ji s vaším zařízením nespojuje, při příští návštěvě dostanete jinou. Takže vzhůru a radostně do kontrolovaného světa. -
M. (neregistrovaný)
Sledování mobilujících zařízneí se dá zařídit i jinak, než dle IP adresy. A zrovna IPv6 toto řeší pomocí privacy extensions, kdy si zařízení periodicky mění svoji IPv6 adresu z které navazuje spojení ven (respektive tu část posledních 64-bitů), klidně každých pár minut... Má jednu adresu napevno odvozenou od své MAC a prefixu ohlášeném routerem, tu normálně pro odchozí spojení nepoužívá (tumá pro příchozí spojneí teporeticky), ale pro odchozí spojení generuje periodicky adresu novou, kterou používá po definovanou dobu.
-
M. (neregistrovaný)
Ano, to IP je z rozsah daného ISP. Stejně jako teď za těma třema NATy mám stále IP z rosahu daného ISP. Jestli si myslíte, že to, že o tu jednu IP se dělíte se stovkama dalších uživatelů, že to zajišťuje nějakou anonymitu, tak to je omyl.
U toho IPv6 je to stejné. OK, o trochu míň schovávací, protože dle prvních 64 bitů dokážu rychle odlišit koncové sítě od sebe na první pohled. Tam je hlavní smysl toho extension eliminovat sledování na základě té MAC adresy, neboť v sítích s autokonfigurací normálě je těch 64 bitů LAN adresy pořád stejných a tím snadno sledovatelných. Tomu to extensions zabrání. Ale nebrání vůbec jiným technikám lokalizace a sledování, je to úplně stejné s IPv4 za Xtero NATy (pokud pomíjím techniky VPN tunelů někam jinam, ale i zde není principiální rozdíl mezi IPv4/6). -
Filip JirsákStříbrný podporovatel
V prvním komentáři jste psal o ochraně soukromí a identifikaci zařízení. Teď píšete o útoku. Jak to spolu souvisí? Navíc bych NAT neoznačoval za "dost velký problém" pro útok. Mnohem větší problém je, pokud si někdo myslí, že to pro útočníka představuje dost velký nebo dokonce nepřekonatelný problém.
Pokud se s tím mobilem nebo tabletem budete připojovat přes GSM síť, budete mít jednu IPv6 adresu od operátora, stejně jako dnes můžete mít jednu veřejnou IPv4 adresu. Zda jste doma, v práci nebo v kavárně z toho nikdo nepozná. Pokud se z těch zařízení budete připojovat přes WiFi, budou mít pokaždé jinou IPv6 adresu přidělenou ze sítě, kam je to zařízení zrovna připojené. Jinak by vůbec nemohlo fungovat směrování v internetu.
Takže se v tomto směru rozhodně nemusíte bát o soukromí. Když si někde přečtete, jak fungují základní principy Internetu, bude vám jasné, že ta ztráta soukromí, jak si ji představujete, je i technicky nemožná a byla by v rozporu se základními principy, na kterých Internet funguje.
-
Veterán (neregistrovaný)
Soukromí, kde z logů na serverech různých poskytovatelů mohou státní orgány zjišťovat, kde se pohybujete?
Proč by mi měl poskytovatel WIFI přidělovat pokaždé jinou adresu? Směrování nebude problém. Prostě přiděleným adresním rozsahem bude určeno vše. Od jména vlastníka až po jeho domovský stát. A že se momentálně místo v ČR připojujete v USA vám na rozdíl od dneška stránky pro americké občany nezpřístupní.
A o rozporu se základními principy fungování internetu si nechte jen zdát. Už dnes máme MAC adresu, identifikaci podle dat odesílaných z prohlížeče (nemyslím sušenky) atd.
V budoucnu si dovedu představit, že v zájmu bezpečnosti obyvatelstva si půjdete koupit třeba tablet. A proti občance do něj nainstalují IP adresu z již přiděleného rozsahu nebo poslušný občan vyplní registraci a adresní rozsah mu bude přidělen. Vždyť teroristé pořád hrozí a tak se s radostí nechá šmírovat.
Vy si prostě nedovedete připustit, že techniku vlády čím dál víc používají na kontrolu obyvatelstva za radostného potlesku těch, co v nových technologiích vidí pokrok typu setina uživatelů nebude muset routovat adresy pro viditelnost nějakého zařízení z internetu. -
Filip JirsákStříbrný podporovatel
Dobře, zkusím vám ten základní princip fungování internetu stručně popsat. Každé zařízení v Internetu má tam, kde je připojené, přidělenu číselnou adresu (IP adresa). Zařízení, která jsou připojena v jedné síti, mají začátek té adresy společný. Sítě, které jsou u sebe a vede do nich jedna cesta, mají začátky adres sítí společné. Atd. Takže když chce nějaký počítač z druhého konce světa komunikovat s vaším počítačem, nezná jeho přesné umístění. Akorát ví, že všechny počítače, jejichž adresa začíná nějak, jsou támhle někde v Evropě, a pošle svá data do Evropy. Teprve jak se pak blíží k cíli, počítače znají větší a větší část adresy.
Je to úplně stejné, jako v reálném světě – také máte adresu, kde je nejprve kontinent, stát, obec, ulice, číslo a až úplně na konci vaše jméno. A když vám bude někdo posílat něco z Austrálie, nebude australské pošťáky zajímat Klikatá 5 ve Vrbové Lhotě, ale zásilku pošlou do Evropy. Vaše adresa tedy bude třeba Evropa, Česká republika, Vysočina, Vrbová Lhota, Klikatá 5, Veterán. Když se přestěhujete, adresa se vám logicky musí změnit – nově budete mít třeba Španělsko, Madrid, Calle de Goya 75, Veterán. Nemůžete si nechat tu svou původní adresu, protože pak by vám nic nedošlo. Kdyby vám z té Austrálie poslali balík do Evropy, bude to ještě v pořádku. Ale v Evropě by vám ho pak podle té adresy poslali do ČR, ale vy už ve skutečnosti budete ve Španělsku. Jenže do Španělska by se ten balíček podle té vaší původní adresy nikdy nedostal, natož aby vás našel v Madridu.
Takže stejně, jako jsou poštovní adresy přidělovány na základě hierarchie geografických oblastí, a adresu prostě dostanete z té oblasti, ve které se právě nacházíte a z jí nadřazených geografických oblastí, na Internetu jsou adresy přidělovány na základě hierarchie sítí, a adresu dostanete z té sítě a jí nadřazených sítí, do které se právě připojíte.
Poskytovatel WiFi v kavárně vám tedy přidělí IP adresu z rozsahu jeho sítě, protože kdyby vám přidělil IP adresu z vaší domácí WiFi, budou data pro to zařízení chodit pořád do vaší domácí WiFi a ne do té kavárny.
Jinak to, že s IPv6 budou všechna zařízení přistupující k Internetu zároveň v Internetu adresovatelná, není žádný pokrok, to je návrat do nerozbitého stavu, který tady fungoval v době, kdy byl ještě IPv4 adres dostatek.
-
Jenda (neregistrovaný)
> A proti občance do něj nainstalují IP adresu z již přiděleného rozsahu nebo poslušný občan vyplní registraci a adresní rozsah mu bude přidělen.
To by mě zajímalo - abych mohl snadno přestěhovat třeba server bez změny IP adresy. Jak je to řešené, že mám IP adresu 2a01:5e0:36:5001::22 a přijdu do sítě 2001:67c:2190:c0de::/64 a bude to fungovat? To se v globální směrovací tabulce a ve všech routerech po cestě nastaví záznam 2a01:5e0:36:5001::22/128 -> 2001:67c:2190:c0de::/64?
> Prostě přiděleným adresním rozsahem bude určeno vše. Od jména vlastníka až po jeho domovský stát.
Přiděleným adresním *rozsahem* bude určeno něco podobného jako je dnes určeno „veřejnou“ IP adresou. Tedy nejspíš segment jako domácnost, dům či kus vesnice garážového ISP.
> A proti občance do něj nainstalují IP adresu z již přiděleného rozsahu nebo poslušný občan vyplní registraci a adresní rozsah mu bude přidělen. Vždyť teroristé pořád hrozí a tak se s radostí nechá šmírovat.
Opravdu je k tomuto potřeba dělat šaškárnu s IP adresama?
-
M. (neregistrovaný)
Ohledně toho:
"To by mě zajímalo - abych mohl snadno přestěhovat třeba server bez změny IP adresy. Jak je to řešené, že mám IP adresu 2a01:5e0:36:5001::22 a přijdu do sítě 2001:67c:2190:c0de::/64 a bude to fungovat?"Ano, tohle je ve světě IPv6 možné, zajišťuje to služba MIP (Mobile IP), že jsem pod jednou svou "domácí" IP dostupný, ať s ní cestuji do různých sítí. MIP bylo pak z IPv6 backportováno i do IPv4, ale moc se nerozšířilo (používáme ho třeba na mobilech, kde mám tka mobily lidí dostupné pořád pod jejich domácí adrsou, ať jsou v jakékoliv síti).
Vyžaduje to spolupráci s routerem v mé domácí síti, kterému se mobilující klient ohlašuje a říká, kde je aktuálně k zastižení ve skutečnosti a kam se má provoz pro něj přesměrovat (a po návratu domů zae svému home agentovi řekne, že je doma a netřeba s edo toho plést).Jinkas jistě, jde uživatlei přidělit jiný identifikátor, který krabičky budou hlásit, že patřím jemu ať jsem, kde jsme, již tak dneska skoro všechny činí, ať uživatle chce/nechce, včetně celkem přesné lokace. :-)
-
ebik (neregistrovaný)
No, jenže se snažíte zamlčet, že mobile IP je služba, kde si zařídíte "proxy" (byť je to jen L3 proxy) ať už u vás doma, nebo u nějakého providera. Tato proxy do internetu vystupuje (mimo jiné) pod tou vaší mobilní IP adresou a jí pak hlásíte skutečnou IP adresu, na kterou vám ta proxy víceméně tuneluje provoz. Takže když bych si chtěl pomocí té mobilní IP (proxované přes domácí ADSL) poslat z mobilu v kanceláři v práci video do počítače v té samé kanceláři, tak se pěkně načekám (Záměrně dávám extrémní případ, aby bylo jasně vidět v čem se mobile IP liší od "běžné" IP).
Toto je prostě obezlička a ne skutečné stěhování IP adresy do jiné lokace (z pohledu routování).
-
ebik (neregistrovaný)
Aha, tak pardon. Takže to je obezlička ve smyslu redirektu. Ta může mít své výhody, ale také má spoustu nevýhod a bude záležet na použití takové věci. Osobně bych se bál, že někdo vymyslí na tuto funkcionalitu nějaký útok, podobně jako se už stalo u spousty věcí v ICMP protokolu.
-
ebik (neregistrovaný)
"Odvolavam co jsem odvolal. Slibuji co jsem slibil."
Podival jsem se letmo na http://en.wikipedia.org/wiki/Mobile_IP a prinejmensim IPv4 varianta je proxy s tunelem, a verim, ze IPv6 je totez.
-
Ondřej CaletkaZlatý podporovatelPakety „z mobilní adresy“ by taky přímo chodit neměly, to odporuje BCP38, které se snažíme všemožně tlačit kvůli DoSům.
Pokud si dobře vzpomínám, tak režim „proxy“ se používá pouze pro úvodní komunikace a/nebo když protistrana nepodporuje MIPv6. Jinak se nějakým způsobem (detaily si nepamatuji) domluví a IPv6 stack automaticky přepisuje v odchozích paketech cílovou adresu z domácí na dočasnou a v příchozích paketech dočasnou na domácí. Takže aplikace si myslí, že se stále baví s domácí adresou, ale po síti ve skutečnosti běhá provoz na/z dočasnou adresu. Aby se to nedalo zneužívat, musí takovému přepisování předcházet ověření podle domácího agenta a spojení mezi domácím agentem a zařízením na cestách musí být autentizované (IPSECem; jsou i ale nějaké experimenty s TLS, protože IPSEC se spoustě lidem nelíbí :) ).
-
M. (neregistrovaný)
Pro IPv6 to funguje trošku jinak, než pro IPv4. V podstatě po úvodní komunikaci od klienta na domácí mobilní adresu to home agent tunelem pošle mobilujícícmu cíli, ten zkusí vyjednat spojení přímo k dotazujícícmu tak, aby se dotazující dozvěděl jeho aktuální adresu a bavili se tak napřímo (route optimization). Pokud se nepovede (původní tazatel nepodporuje MIPV6), zkouší se režim asymetricky, kdy se posílá odpověd k původnímu tazateli se zdrojovou adresou mobilní napřímo a k mobilujícímu hostu to jde skrz home agenta (triangular routing), což většinou filtrování dneska zařízne a když selže vše nebo se ty dvě strany nedomluví, tak vše jde tunelem přes home agenta oběma směry (bi-directional tunneling) jako poslední nouzovka. Záleží, co se těm stranám mezi seobu podaří vyjednat napřímo (pokud obě strany podporujií MIPv6, tak mobilující klient může měnit své IPv6 adresy průběžně a pořád se domlouvají průběžně o tom, jak kam co posílat a pakety jdou mezi nima relativně napřímo).
U IPv4 to fakticky dneska funguje jen v tom režimu tunelu všeho oběma směry přes home agenta. -
j (neregistrovaný)
Ale kdeze ...
mobilni brana funguje ve dvou rezimech ... bud jednoduse v roli prostrednika (pokud koncove zarizeni mobilitu neumi) - pak proste vezme prichozi pakety a presmeruje je na aktualni IP "sveho" zarizeni, a prozmenu to zarizeni v tomhle rezimu vraci pakety sve brane a ta je predava jako odpoved.
Pokud komunikujici zarizeni mobilitu umi, tak udela jen jedine - rekne mu aktualni IP sveho zarzieni a dal pres branu uz zadna komunikace nebezi
Ten prvni rezim ma tu zasadni nevyhodu, ze vytezuje domaci linku v obou smerech, coz je prinejmesim hloupe. Technicky by samo slo, aby zarizeni odpovedi posilalo primo ... ale za normalnich okolnosti zadny IPstack neprijme odpoved z jine IP nez na kterou odesilal pozadavek. Samo pak by slo, aby zarizeni do hlavicky src naladovalo svoji domaci IP ... a takove pakety by v 99% pripadu i dorazily, ale ... .
-
M. (neregistrovaný)
V tom režimu triangular routing to funguje tak, že mobilní zařízení posílá odpověď přímo a jako zdrojovou adresu používá tu "domácí". Směrem k němu to jde tunelem. Nicméně zde záleží na tom, zda ta síť v které je a uplinky takový provoz neodfiltrují, což dle doporučení by měly. Pak, pokud oba komunikující strany nepodporují mobilitu, aby se dohodly na přímém spojení, tak musí jít oboustranným tunelem přes home agenta.
-
"Podival jsem se letmo na http://en.wikipedia.org/wiki/Mobile_IP a prinejmensim IPv4 varianta je proxy s tunelem, a verim, ze IPv6 je totez."
A přitom si o tom stačilo něco málo přečíst.
-
Jenda (neregistrovaný)
> Vyžaduje to spolupráci s routerem v mé domácí síti, kterému se mobilující klient ohlašuje a říká, kde je aktuálně k zastižení ve skutečnosti a kam se má provoz pro něj přesměrovat (a po návratu domů zae svému home agentovi řekne, že je doma a netřeba s edo toho plést).
Ano, a přesně proto mi to přijde krajně nepraktické pro deklarovaný účel „šmírování podle IP“. Obzvláště když zrovna IP adresa je věc, která lze celkem snadno podvrhnout kýmkoli, kdo má cestou MITM. Vymyslete si něco lepšího, třeba IPSEC klíče.
