Vlákno názorů k článku IPv6 roste, Google hlásí 12 %, chce to ale víc uživatelů od ITman - Mne sa tá IPv6 nezdá, má obrovský adresný...
-
ITman (neregistrovaný)
Mne sa tá IPv6 nezdá, má obrovský adresný rozsah a umožňuje defacto indektifikovať užívateľa, lebo mac adresa modemu sa jednoducho "zmestí" do IPv6 adresného rozsahu.
Okrem toho, na roote sa písalo o výskume jedného mladíka, ktorý napichol cisco routery a skúmal dáta z Internetu. Objavil aj bootnet v routrech, ktoré pre tento obrovský sken využíval.
A výsledok bolo, že vyše polovička IPv4 adresového priestoru sa nevyužíva! Inými slovami, mne sa zdá, že sa jedná o umelý nátlak. Nehovoriac o tom, ako Snowden načrtol bežnú prax na západe, kde tajné služby vyvíjajú nátlak na pracovné skupiny, ktoré sa snažia vyvíjať štandardy pre IPv6, všetko smeruje k tomu, aby sme mohli byť ľahšie sledovateľní.Takže IPv6 Get in Hell! Nedostatok IPv4 je umelo vyvolaný. Vyše polovička IPv4 adries sa nevyužíva! A môžete tu prezentovať IPv6 ako len chcete.
Verím, že IPv4 bude existovať vždy a že nikdy nevymizne. Možno tam sídliť undeground, tak ako teraz sídli underground pod hladinou a potrebujete Tor ako ponorku pod túto hladinu.
I LOVE IPv4. Pretože tie sexi 4 čísla sú oveľa krajšie ako MAC adresa a oveľa jednoduchšia ako tá hnusná IPv6-ka. Bleee.
-
Jenda (neregistrovaný)
> Mne sa tá IPv6 nezdá, má obrovský adresný rozsah a umožňuje defacto indektifikovať užívateľa, lebo mac adresa modemu sa jednoducho "zmestí" do IPv6 adresného rozsahu.
A o Privacy Extensions jsi slyšel?
> A výsledok bolo, že vyše polovička IPv4 adresového priestoru sa nevyužíva!
Část lidí blokuje veškerou příchozí komunikaci, část jsou zařízení, která se zapínají jenom občas, a část se opravdu nevyužívá. Ono to ani jinak nejde, například protože se vždy alokuje po subnetech, které jsou velké mocniny dvojky (tj. očekávané využití by při rovnoměrné distribuci velikosti sítí bylo 0.75), navíc alokace subnetu je drahá (administrativa, nastavení, fragmentace routovacích tabulek), takže je rozumné vždycky si radši vzít trochu větší, případně s ohledem na plánované rozšiřování.
> Nehovoriac o tom, ako Snowden načrtol bežnú prax na západe, kde tajné služby vyvíjajú nátlak na pracovné skupiny, ktoré sa snažia vyvíjať štandardy pre IPv6, všetko smeruje k tomu, aby sme mohli byť ľahšie sledovateľní.
Nepleteš si to s tou falešnou přednáškou Operation ORCHESTRA? Já nevím, ale já furt v IPv6 nějak nevidím větší potenciál ke šmírování. Naopak tam funguje IPSec a díky tomu, že zase po 20 letech bude na Internetu fungovat end2end konektivita, je možné oprostit se od různých zprostředkovatelů sdílení souborů, VoIP atd.
> Nedostatok IPv4 je umelo vyvolaný.
Vždyť triviálním výpočtem lze dojít k tomu, že to není pravda: na světě je 7G lidí, z toho řekněme 3G jsou ve světě rozvinutém natolik, aby uvažovali o Internetu. Horní 1G (Evropa a USA) navíc často mají počítač, notebook, smartphone, počítač v práci, APčko, router, IP telefon, IP kameru a chytrou televizi. Adres je 4G, ale alokace nemůže mít 100% účinnost a něco taky je potřeba vyhradit na speciální adresy, infrastrukturu atd. Z toho je snad vidět, že už teď to prostě nestačí, a vypadá to, že chytrá zařízení budou přibývat a současně se Internet bude rozšiřovat do rozvojových zemí.
> Možno tam sídliť undeground, tak ako teraz sídli underground pod hladinou a potrebujete Tor ako ponorku pod túto hladinu.
Fun fact: většina lidí nemůže doma provozovat Tor node, protože nemají IPv4 adresu.
> I LOVE IPv4. Pretože tie sexi 4 čísla sú oveľa krajšie ako MAC adresa a oveľa jednoduchšia ako tá hnusná IPv6-ka. Bleee.
Ale je jich málo. Btw. existuje DNS, aby se ta čísla ve většině případů vůbec psát nemusela.
-
ITmanmaybnewbie (neregistrovaný)
Mám zlú predtuchu ohľande IPv6 a myslím, že právom. Vezmime si tieto fakty najmä ohľadne hardvéru.
Zdroj: libreboot:
"Many people use non-free boot firmware, even if they use GNU/Linux. Non-free BIOS/UEFI firmware often contains backdoors, can be slow and have severe bugs, where you are left helpless at the mercy of the developers; you have no freedom over your computing."
"The Platform Security Processor (PSP) is built in on all Family 16h + systems (basically anything post-2013), and controls the main x86 core startup. PSP firmware is cryptographically signed with a strong key similar to the Intel ME. If the PSP firmware is not present, or if the AMD signing key is not present, the x86 cores will not be released from reset, rendering the system inoperable.
The PSP is an ARM core with TrustZone technology, built onto the main CPU die. As such, it has the ability to hide its own program code, scratch RAM, and any data it may have taken and stored from the lesser-privileged x86 system RAM (kernel encryption keys, login data, browsing history, keystrokes, who knows!)"
ďalej uvažujme o týchto faktoch:
článok na http://www.eteknix.com/expert-says-nsa-have-backdoors-built-into-intel-and-amd-processors/
ďalej uvažujme prečo Čína a Rusko vyvíja Loongson a Elbrus - pretože nemajú dôveru v hardware zo západu.
ďalej uvažujme o tomto:
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
EQUATION Group a ich malvér schopný infiltrovať firmware hardisku ba čo viac, tento malvér využíva vyše 80 modulov a niektoré z nich manipulujú so samotným sieťových rozhraním. Je to skrytý operačný systém priamo v hardwari, ktorí je mimo kontrolu užívateľa počítača, na ktorom beží.
Takže mám právo pochybovať o celom IPv6 protokole. Ja som už dávnom stratil dôvoru v IT - je to krám, ktorý nás špehuje a delí ľudí na skupiny, tak ako to robil istý pán v Nemecku pred II. svetovou vojnou. Viac k tomuto už nie som schopný napísať.
Takže bežná prax na západe je všade implementovať backdoory a ja mám veriť ako IPv6 je super a bezpečné? A o random pridelovaní IPv6 adresového priestoru sa ani netreba baviť - jediné skutočné random bolo zabudované v Truecrypte a vieme ako to dopadlo s TrueCryptom. -
Petr M (neregistrovaný)
MAC v IP se používá jenom v případě, že chceš přístroj kontaktovat z venku. Tzn. musíš zařízení propagovat ven, třeba pomocí DNS nebo ho mít "spárovaný" třeba se svým noťasem. Najít ho hrubou silou je fakt super. A to tam máš přidaný i bit, jestli smí komunikovat ven, nebo ne. Ale jinak můžeš komunikovat po jiné IP adrese. Napadlo tě někdy, že v IPv6 můžeš mít díky adresnímu rozsahu co pět minut jinou IP adresu, nebo několik IP adres současně - po jedné komunikovat s manželkou, po druhé s milenkou... :D Co je za prefixem, to si vymýšlíš sám. Nemusí to být nutně MAC.
A dochází ti, že aby sis vyměnil soubor se sousedem, musíte se oba připojit na nějaký server a tam se to dá pěkně pochytat a analyzovat? Když se s ním v IPv6 uvidíš přímo, použiješ "netradiční" protokol a šifrování, tak si můžou šmíráci políbit pozadí. A máš šanci se vyhnout i racku u ISP, do kterýho si stát vynutí instalaci černé krabičky, pokud jsi ve stejné síti...
A ještě jedna sranda. S NATem máš v podstatě jenom jednu cestu, jak komunikovat se světem. Bez něj můžeš využívat současně několik cest a i jedna WWW stránka může, pokud má ISP konektivitu do několika uzlů, týct třeba třema cestama a dost to komplikuje snahu o zachycení přenosu a jeho analýzu... Jeden soubor se stáhne s adresou A po cestě X, další s adresou B po trase Y a kdo si spojí, že to skončilo v jednom fyzickým stroji?
-
Ondro (neregistrovaný)
Ja ako BFU ako dokazem mat co 5 minut, to inu IP adresu alebo niekolko IP sucane a jednou komunikovas manzelkou,... AKo to BFU mozemat pod kontrolou a vediet co sa deje? Rovnako sa to da aj zneuzit nie?
Ten druhy priklad. Ako viem vidiet suseda napriamo bez ISP? Cez ISP to musi ist stale. Stale bude mat niekto moznost sledovat moju komunikaciu. To by sme museli byt na lokanej sieti mimo akejkolvek infrastruktury ISP.
Pre treti odstavec plati to, co pre prvy. Ja ako BFU si to ako zariadim a budem mat nad tym kontrolu? Neboj sa urcite budu existovat viacery, ktory budu schopny a si to spoja a budu vediet, ze to skoncilo v jednom f. stroji.
Minimalne ISP by to mal vediet bez problemov. On vie aky rozsah ti pridelil. Nijako sa to nelisi od terajsieho stavu s IPv4.Maly pocet IPv4 adries je problem ale osobne si nemyslim, ze IPv6 je najlepsie riesenie. Bohuzial je to v tejto chvili jedine riesenie a to je smutne.
IPv6 je stary protokol s kopu nedokonalosti podobne ako IPv4 a vidiet v nom aj rozne snahy a boj o presadenie roznych predstav a funkcionalyt urcitych firiem(ludi,....).
Tiez pochybujem, keby sa zacal vyvijat novy protokol, ze by bol urobeny lepsie. Skor sa bojim, zeby to dopadlo este horsie a tlak roznych isntitucii na presadenie roznych "nepotrebnych" funkcionalyt by bol este vecsi. -
j (neregistrovaný)
... radsi nic nepis, kdyz o tom nic nevis ... widle maji privacy ext zapnuty v defaultu. Takze jako bfu nemusis vedet vubec nic.
Pakety kupodivu tecou nejkratsi cestou a je dokonce v zajmu ISP aby to tak bylo, takze kdyz se sousedem budes na jednom switchi, tak ty vase data potecou prave pres nej, a nikam dal.
Kdyz mas net na mobilu a doma pevnou, muzes pouzivat oboje zaroven a bude to i fungovat ... vime?
Ano, pridame do IPv4 dalsi cislo a bude to OK ... zname, to uz tady je tradice v kazdy diskusi ...
-
Unknown (neregistrovaný)
Kdybyste cetl vlakno od zacatku, tak byste zjistil ze staci vzit ipv4, protahnout adresu na 128 bitu a bylo by vymalovano, ovsem akademicky board stvoril slozity bastl ktery se ani po dvaceti letech nikomu nechce nasazovat. Ten rozdil v pristupu zvlaste mlati do oci pri srovnani s HTTP 2, kdy google predlozil SPDY ke schvaleni v prosinci 2014. V kvetnu 2015 bylo RFC 7540 a krivka nasazovani leti vzhuru https://w3techs.com/technologies/details/ce-http2/all/all
-
Unknown (neregistrovaný)
"DHCPv6 je snad stejné"
Neni, potrebujete jeste RA https://cs.wikipedia.org/wiki/DHCPv6
-
Je zajímavé, že vždycky v diskusi o IPv6 někdo vytáhne, že to vymysleli akademici. V původní pracovní skupině byli naopak především zástupci firem: Cisco, AT&T, Novell, Boeing, Microsoft, Xerox, Lotus a dalších. Kromě nich tam byli lidi z CERN a MIT, ale neřekl bych, že si to navrhovali nějací akademici odtržení od praxe.
-
Ondra Satai NekolaZlatý podporovatelZkus se zamyslet nad tim, jak se lisi nasazovani HTTP2 a IPv6. Hint: kdo vsechno musi udelat praci v kazdem z pripadu?
-
Unknown (neregistrovaný)
U http je treba predelat SW na obou stranach (server i klient) u ipv6 je treba predelat infrastrukturu (prevazne u klientu). Provider si otestuje nejakou ipv6 ready cinskou krabku, pote jich par beden koupi a technici objizdeji zakazniky a krabky meni. Nejake naklady to vygeneruje, ale tusim ze to nebude nic znicujiciho. Pripadne se contentari (protoze tem na tom zalezi zdaleka nejvice) spoji do nejake asociace a ISPckum na ty krabky prispeji. Navic kdyby se udelala nejaka skutecne hromadna akce, tak uz se vyplati si krabku nechat udelat na miru a v budoucnu si pak spolecne platit zaplaty FW.
-
Rozhodně IPv6 navrhovali lidé, kteří to následně neimplementovali. Centralizace správy sítě je v současné době v háji. Standardy a doporučení se mění častěji než ponožky. Všechno je úděsně komplikované a všude je mnoho variant s mnoha výjimkami a "ale". Tomu samozřejmě odpovídá i reálná ochota to nasadit... A bohužel na semináři jsem byl a byla to spíše akademická debata, kde se všichni tvářili, jak je to úžasné a jak nechápou, proč to už není všude. Není, protože to nikdo (tím spíše koncový uživatel) nepotřebuje. Není, protože implementace jsou tristní (Windows, routery, WiFi krabičky, tablety, mobily). Všude něco chybí. Správce z definice nemá IPv6 NAT, aby to mohl nasadit a okamžitě reagovat. Správce se musí prokousat desítkami výjimek, musí mít ponětí o specialitách různých řešení... Jedním slovem - IPv6 je skutečně běs. A když to někdo má osvětlit, tak se spíše tváří, že na tom není nic nepochopitelného... přestože IPv6 je mnohokrát složitější, než IPv4. A zkuste si jít po IPv6 třeba na Bing nebo idnes.cz. Na Windows to prostě nejede a nejede, i když se (opět) všichni tváří, jak je to na Windows platformě bezvadný a funkční. A z IPv6 přednášejících se na semináři nikdo kontroverzím a těžkostem nevěnoval, vše se "přešlo", aby to "náhodou nevypadalo s IPv6 špatně".
-
Lol Phirae (neregistrovaný)
Správce z definice nemá IPv6 NAT, aby to mohl nasadit a okamžitě reagovat.
Viz doporučení na masáž o kousek vedle. K čemu kurník potřebuje správce k nasazení NAT? Aby to opět nefungovalo?
A zkuste si jít po IPv6 třeba na Bing nebo idnes.cz. Na Windows to prostě nejede a nejede, i když se (opět) všichni tváří, jak je to na Windows platformě bezvadný a funkční.
Ehm, když to nemá AAAA záznam, tak to skutečně po IPv6 nejede a nejede, a to nejen na Windows, a nic na tom nezmění ani deset dvojitých NATů.
-
j (neregistrovaný)
Aaa dalsi mamloj co vzivote sit nevidel ... pokud si pamatuju, stejnej tam minimalne jeden sedel taky a presne tenhle dotaz tam vznasel, na coz bylo zcela adekvatne reagovano. => vystrel si mozek z hlavy a bez si stavet ty svoje desetinasobny NATy.
Ja sem jeden z tech spravcu, ktery behem 10minut nahodej IPv6 ...a ... nic se nezmeni, vsechno funguje, jen 50% jede pres 6tku ... a co vic, ta krasa kdyz nemusim porad vist dokumentaci kterej port vlastne kam vede, a resit ten zabordelenej NAT, a porad vymejset, jakou to zrovna v tuhle chvili bude mit IP, resit markovani paketu, abych vedel ze to je ten, kterej to ma bejt ...
Jinak by me zajimalo, jak uzasne jednoduse v IPv4 pridelis zakaznikovi prefix ... a o nic vic se nemusis starat ... neumis co? Nj, IPv6 to umi z definice ... divny.
Mimochodem, widle neumej sitovat ani na 4ce ....
-
Jenda (neregistrovaný)
> Standardy a doporučení se mění častěji než ponožky.
Co se třeba změnilo?
> Všechno je úděsně komplikované a všude je mnoho variant s mnoha výjimkami a "ale". [...] Správce se musí prokousat desítkami výjimek, musí mít ponětí o specialitách různých řešení...
Byly by tři příklady?
Jsem si vědom jediného kočkopsa, a to bordel kolem stateless DHCPv6 kvůli nastavování DNS, na což teď udělali field v RA.
> Správce z definice nemá IPv6 NAT, aby to mohl nasadit a okamžitě reagovat.
Nikdo nikomu nebrání IPv6 NAT (asi myslíš maškarádu?) implementovat. Dokonce to vypadá, že to do Linuxu už někdo napsal.
> A když to někdo má osvětlit, tak se spíše tváří, že na tom není nic nepochopitelného... přestože IPv6 je mnohokrát složitější, než IPv4.
Mně to fakt mnohokrát složitější nepřišlo.
-
Jenda (neregistrovaný)
> Len taky napad, nedalo sa to IPv6 urobit tak aby bolo spatne kompatibilne?
Ne, nedalo. Hlavička IPv4 má pro adresu natvrdo vyhrazeno 32 bitů.
Šlo by udělat rozšíření a mít možnost za původní IP adresou subnet -- díky tomu by routery na páteři mohly routovat pořád stejně a změna by stačila v sítích koncových ISP.
Jenže když se podíváš na současný stav věcí, tak zjistíš, že routery na páteří umí IPv6 bez problému už 10 let, a problém je právě v těch koncových ISP. Takže bychom si nepomohli.
> Takze centralne peeringy by to prehadzovali?
Peeringy právě nemají problém ani s IPv6, rozšíření by dopadlo na koncové ISP.
-
Sten (neregistrovaný)Tohle se také zvažovalo, ale naráží to na několik zásadních problémů:
- Je stále potřeba vyměnit všechna koncová zařízení.
- Adres je málo pro to, kolik je lidí, takže by bylo potřeba tohle rozšíření podporovat i u ISP. Takže i ISP potřebují vyměnit svá zařízení. Což se ukazuje jako hlavní kámen úrazu nasazení IPv6, páteřní routery (které jediné by těžily z kompatibility) umí IPv6 plně přinejmenším od roku 2011.
- Nebude fungovat situace, kdy někdo s rozšířením bude chtít komunikovat s někým, kdo to rozšíření nezná. Ono nejde jen o navázání spojení, ale i o to, že pakety v odpovědi by musely mít ty patřičné hlavičky, což někdo, kdo to rozšíření nezná, neudělá. Na to tedy stále potřebujete NAT, kde je ale velmi problematické detekovat, jestli je potřeba adresu překládat nebo ne (má druhá strana podporu rozšíření a používá veřejnou IPv4 nebo to rozšíření neumí?).
Rozšířený protokol tak přináší nejen tytéž problémy jako nový protokol, ale navíc přináší i další. Navíc neřeší již tehdy známé problémy IPv4 jako složitou autokonfiguraci, nespolehlivý multicasting, složité (= pomalé) zpracovávání páteřními routery (tj. pro páteřní routery je naopak výhodné přejít na IPv6), segmentaci adresního prostoru a chybějící podporu mobility.
-
Sten (neregistrovaný)Žádné problémy s tím, že:
- vyhledávání v lokální síti je neuvěřitelně pomalé
- když ti přestane fungovat router, tak se zařízení v síti nedomluví
- musíš nastavovat každou novou Wi-Fi, protože nedokáže poznat, jestli má dělat router nebo bridge
- nefunguje něco tak základního jako videohovory či on-line hry bez toho, aby procházely přes servery na druhé straně světa (často „velmi spolehlivé a rychlé“, nutno dodat)
- když si drahá polovička stěžuje, že jí něco nefunguje, tak nemůžeš nic udělat, dokud se nevrátíš domů, protože nemáš jak se tam připojit
- z domova se nedostaneš na pracovní (či jinou) VPN, protože používá stejný rozsah IP adres, jako ti doma přiděluje DHCP server
Nebo tohle všechno opravdu bereš jen jako „nevyhnutelnou samozřejmost“?
-
Filip JirsákStříbrný podporovatelDůležité je, že IPv6 tu komunikaci umožní. Jestli já si jí pak na firewallu povolím nebo zakážu je moje věc.
Osobně si myslím, že naopak padne iluzorní představa, že když je zařízení ve „vnitřní síti“, je nějak chráněné. Což ostatně neplatí ani dnes, protože to zařízení „ve vnitřní bezpečné síti za firewallem“ je obvykle ve stejné síti, jako spousta dalších pochybně zabezpečených zařízení, např. uživatelské desktopy s Windows nebo čínské WiFi AP. Navíc pokud je to zařízení napadnutelné skrze nějaké „nepoužívané“ porty, nemám moc důvěru v to, že obsluha těch používaných portů bude bezpečná. Takže pokud to zařízení bude potřeba nějak chránit, bude to spíš nějaký IPsec, který povolí komunikaci pouze se známými protějšky.
Něco jiného jsou DMZ v podnikových sítích, tam firewall jako druhá vrstva ochrany dává smysl, ale tam je nedostatek IPv4 adres menší problém a přesměrování portů tam někdo dokáže nakonfigurovat. Ale i tam je NAT pouze zbytečná komplikace.
-
Santiago (neregistrovaný)
Je mnoho veci, ktere pres takovy firewall projde, ale pres NAT (1:n) ne. Napriklad vzajemna UDP komunikace iniciovana pomoci treti strany (tedy voip, ptp hry, ...). Trik je v tom, ze odchozi provoz z A do B zaroven otevre diru ve firewallu pro prichozi provoz z B do A (a naopak).
-
Santiago (neregistrovaný)
Kdepak. 'Hole punching' do NATu (resp. NAPTu) 1:N pomoci treti strany funguje jen s nekteryma implementacema a zrovna u te linuxove to moc dobre nefunguje, nebot kazda session (srcaddr, srcport, dstaddr, dstport) se tam mapuje nezavisle.
Oproti tomu vzajemne otevreni UDP pruchodu mezi koncovymi stranami schovanymi za 'jednostrannymi' firewally bez NAPTu (tedy napr. na IPv6) je jednoduche - treti strana nedela nic specialniho, akorat vymeni vzajemne adresy a cisla portu:
Strana 1 otevre port P1 na adrese A1 a udaj A1:P1 preda strane 2 pres treti stranu. Strana 2 udela totez symetricky. Jakmile strana 1 dostane informace A2:P2, tak tam zacne posilat UDP provoz z A1:P1. Jakmile ten provoz prejde pres firewall na strane 1, tak se tam otevre session pro A1,P1,A2,P2, ale provoz narazi na firewallu strany 2, kde bude zahozen. Strana 2 ale nezavisle a symetricky udela totez, cimz tedy dojde k otevreni obou firewallu pro tuto session.
-
j (neregistrovaný)
2MK: Naivni ses ty, rozhlidni se kolem, miliony dotazu proc nefunguje torrent, proc to dlouho trva nez to neco zacne stahovat proc to ci ono ... a to sme u jedinyho protokolu. A nefunguje to vyhradne kvuli ... NATu.
Pochopitelne ze v ceste bude firewall, ale tam si kazdy nstavi presne to, co chce aby bylo z internetu dostupne, a nastavi to velice jednoduse, protoze pokud bude mit doka stroj, kterej nazve "pes", tak rekne, ze pes ma provozovat web a ftp ... zatimco "kocka" pouziva trebas prave torrent. A nemusi resit, jestli port 12331 (co to je port???) vede na psa nebo kocku, a jestli je na tom ftp nebo web ... a uz vubec nemusi nikomu vysvetlovat, ze kdyz zada pes.upepy.cz .... ze za to jeste musi pripsat :12331 ... aby videl to co tam je.
-
Ondro (neregistrovaný)
Ja ako BFU neviem, co kto ma defaultne zapnute ale mas pravdu, ze ako BFU nemusim nic vediet. :)
Myslis si, ze ten ISP nevie zariadit aby tie data neisli aj niekam inam alebo ich neanalyzoval? Ides cez jeho infrastrukturu a tam si ISP moze robit, co chce.
Tu vetu "kdyz mas net..." som trochu nepochopil.
Nepisal som nikde a ani by som sa neodvazil napisat, ze pridat k IPv4 dalsie cislo a vsetko je vybavene, tak ta poprosim nevkladaj mi to do ust.
Niesom extra borec v IPv6 ale to, co som mal moznost si nastudovat a vidiet, ma nadsenim z IPv6 nenaplnilo. -
Petr M (neregistrovaný)
Jo, jedeš na infrastruktuře ISP. Ale pokud teď chceš něco nasdílet sousedovi po torrentu, nemůžes. Protože:
1) Od ISP máš jednu adresu ty a jednu soused. U sebe máte oba dva routery s NATem. Ty nevíš, jakou IP adresu za NATem má soused a soused neví, jakou máš ty.
2) Abys to překlenul, tak potřebuješ server, který vidíte oba. Tzn. s veřejnou IP adresou, který vám dohodí DNSko. Ten sertver musí být mimo vaši síť, protože ISP používá CGNAT a veše routery se "neznají".
3) Abys mohl využít tenhle server, tak musíš data protlačit ven ze sítě ISP a soused ji pak musí tahat zpět.
4) ISP má omezenou konektivitu ven. Toky, co se dají "vyřídit" v jeho síti, mu zatěžují placený lajny ven, a to hned dvojnásobným trafficem.Se šestkou souseda vidíš. Tvůj kompl pošle data na router, ten vidí stejný prefix a najde si souseda bez toho, že by tok opustil síť ISP. Předá požadavek routeru souseda a ten z konce IP adresy určí, na který stroj v síti to poslat. K nikomu dalšímu (provozovateli veřejnýho serveru mimo síť ISP) se data nedostanou. A máš to rychlejší, protože lajny ven jsou brzda.
A ne, ISP si nemůže dělat co chce. Musí se pohybovat v mantinelech, daných technicky a legislativně. Když šifruješ a nedáš mu klíč... Každopádně pokud ISP nedůvěřuješ, tak ho můžeš vyměnit.
-
Jenda (neregistrovaný)
> Myslis si, ze ten ISP nevie zariadit aby tie data neisli aj niekam inam alebo ich neanalyzoval?
To zařídit umí, ale obecně to vypadá, že NSA sbírá data pasivně na velkých zahraniční/podmořských linkách. Takže by to ISP musel dobrovolně poslat strašnou oklikou.
> Niesom extra borec v IPv6 ale to, co som mal moznost si nastudovat a vidiet, ma nadsenim z IPv6 nenaplnilo.
Zajímavé, a co jsi viděl?
-
hugochavez (neregistrovaný)
"obecně to vypadá, že NSA sbírá data pasivně na velkých zahraniční/podmořských linkách. Takže by to ISP musel dobrovolně poslat strašnou oklikou"
NSA dela oboji (a Rusove v ramci moznosti taky- zejmena jsou prej experti na loveni+napichovani podmorkych kabelu) Ze Snowdenovo leaks vyplyva ze ISP nejenze nemusi oklikou nic posilat ale casto ani nevi ze ma "zabu na prameni" napr. belgickej telekom byl 1 z nekolika evropskych telco co byl hacknutej aniz by o tom vedeli a nektere staty ktere jsou cistokrevnymi vazaly USA (jako napr. Dansko) maj v zemi primo NSA agenty kteri se "staraji o chod black boxu" posazenych na uzlech infrastruktury a tito lide nepodlehaji jakekoliv kontrole mistnich uradu (podle danskych investigative zurnalistu kteri s Greenwaldem probirali Snowdenem poskytnuta data) K takovymtu cinnostem se s oblibou vyuziva backdooru v Cisco + Juniper routerech viz tady o nedavny Juniper pruser rozebira hacker Moxie Marlinspike na crypto konferenci RSA https://www.youtube.com/watch?v=k76qLOrna1w
BTW Whitfield Diffie tady vypada jak kouzelnej dedecek z Pana prstenu :o)))))))
A zbytek panelu jsou taky vsechno lidi kteri vytvorili crypto ktere dnes vsichni pouzivame.Jinak kdyz uz je rec o podmorskych kabelech - tady je peknej clanek co popisuje jak to funguje a jaka jsou omezeni pri tahani optiky pod oceanem
http://arstechnica.com/information-technology/2016/05/how-the-internet-works-submarine-cables-data-centres-last-mile/
A tady je video kde to probiraj a shrnou tak nejak to nejpodstatnejsi:
http://www.jupiterbroadcasting.com/100161/10000-cables-under-the-sea-techsnap-269/ -
Jenda (neregistrovaný)
> Ja ako BFU ako dokazem mat co 5 minut, to inu IP adresu alebo niekolko IP sucane a jednou komunikovas manzelkou,... AKo to BFU mozemat pod kontrolou a vediet co sa deje? Rovnako sa to da aj zneuzit nie?
Je to podobné jako když máš dneska NAT a ten ti pro každé spojení přiděluje další zdrojové porty. Tak tady máš pro nová spojení nové odchozí adresy.
> IPv6 je stary protokol s kopu nedokonalosti podobne ako IPv4
Souhlasím a rád si poslechnu návrh na něco lepšího!
> a vidiet v nom aj rozne snahy a boj o presadenie roznych predstav a funkcionalyt urcitych firiem(ludi,....)
Můžeš uvést tři příklady?
