Vlákno názorů k článku IPv6 se dá u poskytovatele nasadit za jediný den, postavte si vlastní laboratoř od anonym - U mendich isp to dost brzdi mikrotik, ktery...

Otázkou je, zda spoléhat na identifikaci počítače dle adresy přiřazené dle podvrhnutelné MAC je dobrým nápadem. Nemělo by se to řešit něčím jako 802.1X, Radius ap.? (V této problematice se neorientuju.)

Akurat na to nepotrebujem ani DHCP snooping. Na zaklade 802.1x sa dane zariadenie priradi do VLANy a ta ma svoj vlasny subnet a vlastny pool IP adries a mechanizmus ich priradenia, je jedno ci DHCPv4, SLAAC alebo aj to nestastne DHCPv6 ak ho niekto chce.

Takže dotaz k předchozím příspěvkům: Je teda to DHCPv6 na něco potřeba?

Je. Existuje spousta options, které jinak než přes DHCPv6 nepředáte. Vizte např. https://www.iana.org/assignments/dhcpv6-parameters/dhcpv6-parameters.xhtml

Například jde o bootfile pro startování po síti, remote ID/subscriber ID pro identifikaci portu, ke kterému je zákazník připojen, hostname AFTR (DS-Lite) nebo BR (MAP-E/MAP-T/lw4o6) koncentrátoru, parametry nastavení pro MAP-E/MAP-T/lw4o6, atp.

Samozřejmě se pomocí DHCPv6 předává i delegovaný prefix a seznam DNS serverů pro klienty, kteří nepodporují předávání seznamu DNS serverů v router advertisementech.

Pomocí DHCPv6 se i konfigurují přístupové sítě, např. DOCSIS routery mají na WAN straně IPv6 adresu přidělenou právě pomocí DHCPv6.

Ideálně u 1) neprojdete přes první switch/ AP, protože komunikujete z IP, která Vám nebyla přidělena nakonfigurovaným DHCPv4 serverem. Myslím, že je to v podstatě kombinace DHCP snooping, IP source guard a možná dodatečně ARP snooping.
https://networklessons.com/cisco/ccie-routing-switching-written/ip-source-guard-ipsg
Podobné věci jde dělat s DHCPv6 a snad i SLAAC /NDP do jisté míry - tam snad potvrdí místní experti jako Radek Zajíc apod. jestli neblábolím.

2) možná nerozumím dotazu správně, ale pokud se připojil, byl strčen do nějaké VLAN a dostal IP z určitého rozsahu a spadá tedy do určitých pravidel, která umožňují přístup na email server, tak asi logging není potřeba, resp. bude se nejspíš logovat jaký uživatel se připojil. Kdyby připojení na email vícekrát selhalo, asi by se nějak genericky na určitou dobu účet zablokoval a možná i IP a v logu se vygeneroval nějaký přiměřeně výstražný záznam.

3) ta pravděpodobnost je dost nízká, ale dejme tomu, že se povede vytvořit takovou WiFi síť a ještě se přes takto nasdílenou WiFi chce vést útok. Nejjednodušší bridge mód samozřejmě lze omezit tím, že limituju počet MAC na jednom portu. (Takže IPv6 "bridge" tímhle asi není problém.) Vy říkáte u IPv4 NAT, tedy router. Hmm. Některé switche (Aruba) umí dnes vytvořit profil zařízení, které si připojuje a tím automaticky házet zařízení do určité VLAN a tedy IP rozsahu. Možná by tohle tedy vyhodilo nějaké hlášky, ale spíš o tom pochybuju/ neviděl jsem tohle v praxi. Rozhodně by ale Aruba AP s kontrolérem viděly, že je v oblasti nová neautorizovaná WiFi síť a tohle by hlášku vyhodit určitě mělo (ono to totiž ruší a u větších firem nejsou na pozemku cizí WiFi moc běžné, resp. tam budete mít slovíčko s adminem).
Všechno tohle je taky otázka perzonálu. Když si najímáte idioty nebo nekompetentní uživatele, tak jim nedávejte do rukou přílišné možnosti. Např. by měli vyfasovat notebook, kde je holt v korporátní síti možnost vytváření WiFi AP např. pomocí GPO nebo možná pomocí Intele ME, vPro nebo co já vím, jestli tam taková možnost je zakázaná. Takoví lidé by se svým notebookem měli vždy skončit v celkem neškodné VLAN s minimálním přístupem.
Když budete mít kompetentnější uživatele, tak tam můžete nad lecčíms přivřít oči - ale jde jim to na triko. Rizikové chování zaměstnance a tedy ztráta důvěry je důvod k okamžitému rozvázání smlouvy a náhradě škody myslím do výše 3 měsíčních platů (v rámci splátkového kalendáře). To si leckdo rozmyslí, vytvářet něco na vlastní triko.

4) možná kvůli push konfigurace, ale tam IP vím z několika míst, když je v takovém případě zařízení nejspíš v doméně.

5) Lepší WiFi AP (třeba i OpenWRT) umí klienty separovat. Dál je Vám asi jedno co dělají, protože ta celá síť má "00nic" oprávnění, kromě přístupu do internetu. Když je tam WPA2 Enterprise, tak mám u každého zařízení jednoznačný login, kdyby na firmu přišla policie, že host dělal na internetu nějaké nepravosti. V reálu ale tohle myslím střední a menší firmy neřeší dokud to není nutné.

6) Tak WPA2 Enterprise a lepší se dá asi nastavit poměrně bezpečně. Ale jinak ano, cest je mnoho.

Ad 1) neblábolíš, říkáš to naprosto přesně.
Dokonce by i síť, která nemá nasazenou IPv6 adresaci, měla používat IPv6 ochrany, aby si v síti kdokoli nemohl spustit RA/DHCP server. Analogicky i síť, která je interně IPv6-only, by měla mít aktivní IPv4 DHCP/ARP ochrany.

Cisco má k First hop security hezkou dokumentaci, která v podstatě shrnuje všechno, co potřebujete: https://www.cisco.com/c/en/us/td/docs/routers/7600/ios/15S/configuration/guide/7600_15_0s_book/IPv6_Security.pdf

1) Kolik drobných sítí typu kavárna, kde to dělal bratranec a středoškolský student, tohle asi bude mít? A je to jinak třeba v účetní firmě, která sedí s dalšíma deseti podobnýma firmičkama někde v pronájmu v paneláku, kdokoliv se může vydávat za potenciálního klienta a takhle čobnout bankovní údaje zákazníků?

2) Uživatel chce zadat příkaz k úhradě. Vezme mobil, spustí aplikaci, ta se připojí po síti [tady se to láme] k bankovnímu systému, který spravuje transakce. Bankovní aplikace je prostředek ke komunikaci s bankovním systémem. Obojí musí běžet na nějakým "železe". Prostě Učko jako u ISO/OSI. Vespod je síť, řekněme TCP/IP. Autentizaci klienta a jeho požadavků musí banka řešit na aplikační úrovni, IP stack je až pod tím. Nemusí a ani by neměl řešit protokol, kterým to teče, pokud je šifrovaný. Je jedno, jakou to teče sítí. Je jedno, kolik dalších strojů je u transakce v síti. Je jedno, jestli se mobil připojil přes LTE nebo WiFi... Tak proč se tady někteří snaží stavět bezpečnost na identifikaci HW, která se dá podvrhnout, zařízení se dá ztratit nebo s někým sdílet,...? Nebo jich mít několik (PC, tablet, mobil). Nemělo by se primárně řešit ne kolik je zařízení v síti a kolik mají spojení, ale kdo se zařízením pracuje a jestli smí dělat to, co chce udělat?

3a) Lidský článek bývá nejslabší. Stačí, aby IT oddělení zavedlo přísný pravidla připojení návštěv, obchodník byl líný deseti lidem žádat o tokeny a zapnul si na nudnou tříhodinovou prezentaci sdílení přes svůj noťas. A cizinci jsou, kde být nemají. WiFi pro návštěvy s heslem na cedulce u dveří a binec na jednom /64 prefixu pro hosty by ušetřil práci IT s vydáváním tokenů i obchoďákovi se sdílením sítě. Nebo se pletu?

3b) NAT nemusí být router jako fyzický HW. Když si spustím virtuálku, hypervizor jí IPv4 NATuje. Když sdílím na WiFi drátový připojení, tak těm na WiFi jede internet (s jiným prefixem) a při tom mám jednu IP adresu. Že by "překlad adres"?

3c) Omezení MAC na portu nic neřeší. Pamatuju, jak na kolejích v Brně omezovali net na jednu konkrítní MAC asresu / pokoj. Stačila krabička za 300 a nastavit správnou MAC na WAN a pařilo se na čtyřech strojích. Stavět na tom bezpečnost je mimo.

IP protokol je jenom o předávání dat. Tam má cenu max. klasický firewall (nikdo z venku nesmí na tiskárnu apod.). Jádro bezpečnosti služby musí stát na tom, že služba rozhodne, jestli se s klientem bude bavit nebo ne.. Takže bych neřešil počty strojů nebo přidělení adres, ale aby skončili ve správné zóně firewallu. Na to stačí hodit podle MAC do VLANy, v každé VLANě jiný prefix pro RA a zbytek už dá firewall. Šifrování nechat na IPSEC a oveření uživatele na příslušné službě. Proč to dělat složitě...

Snažil jsem se Vám co nejlépe odpovědět na to, jak jsem chápal Vaše otázky. Teď má z Vaší odpovědi pocit, že jste myslel při dotazech něco jiného, než na co jsem odpovídal. "Jeden o voze, druhý o koze."

Ano, spoustu věcí taky tak vidím, ale např. u 1) jsem neměl dojem, že bychom se bavili u sítí efektivně bez administrátora. Na druhou stranu nějaký lepší wifi router nejspíše některé z těch funkcionalit bude mít jako checkbox ve webovém rozhraní. Třeba v rozhraní LuCI z projektu OpenWRT je boxík na oddělení klientů bezdrátové sítě a jistě tam někde bude i DHCP snooping a možná i další. Nějaký FritzBox tohle jistě bude mít taky.

2) Asi jsme mluvili oba o něčem jiném. Samozřejmě banka nebude řešit nějaké VLAN v cizí síti, to je Vám ale určitě jasné. Mně ale nepřipadalo, že byste mluvil o nějaké bankovní aplikaci...

3a) Ano, lidé jsou často nejslabší článek. To jsem ale psal. Když je obchodník nezodpovědný/ jde proti pravidlům, tak podle stupně prohřešku z toho může vyjít bez problému, s upozorněním a nebo něčím pro něj horším. Obyčejně se prezentace sdílí vizuálně přes projektor a lidi na to koukají a když se něco domluví, tak se k tomu pošle email nebo tak něco.
Generovat příjemně jednorázové, třeba i skupinové účty na např. 12-24 hodin jde. Musí se vyjasnit, jaký problém chcete řešit.

3b) Ano, já to nevylučoval, ale mám pocit, že tu zase rozšiřujete zadání.

3c) Ano, vím. Taky vím o možnosti změny MAC atd. Mluvíme zde pořád ještě o stereotypu netechnického obchoďáka nebo někom, kdo tomu už celkem rozumí a dělá něco naschvál s dodatečným hardwarem/ softwarem místo nevědomky/ bez domyšlení důsledků?
S 802.1X lze autentifikovat i pomocí robustnějších údajů než MAC, ale už i ta MAC hodně věcí minimálně detekuje a víte, kam máte jít, protože si tam někdo hraje s kabely.

Poslední odstavec: Ano, psal jsem snad něco, co by tomu odporovalo? Bezpečnost se řeší ve vrstvách, já mluvil především o L2, L3 a podpůrných protokolech, jsme pod článkem o světě bez IPv4 a s IPv6-only.
Někdy je výhodné nebo i nutné brát informace z více míst a rozhodnout potom, resp. povolit více než je nějaký základ.
Vtip je v tom, vyfiltrovat spojení, která prostě s určitou službou vůbec nemají co mluvit. Někdy na to stačí info z L3, ale hlavně u sdílených počítačů to může vypadat už jinak. S některým např. Active Directory účtem se dostanete maximálně na email a s jiným můžete na celý internet a několik interních služeb a u těch se musíte dodatečně autentifikovat např. druhým faktorem nebo tak. Někde to bude dávat smysl, jinde ne.

Obyčejně se prezentace sdílí vizuálně přes projektor a lidi na to koukají
A nebo se prostě použije nějaké cloudové řešení, které možnost zapojení všech účastníků nabízí. Pokud někdo není schopen něco nabídnout, lidé si poradí a vyřeší to jinak. Pokud internet není schopen nabídnout přímé propojení počítačů v jedné místnosti, nabídne to někdo jako cloudové řešení. Síťově je to velmi neefektivní, ale funguje to. A správci sítě nad tím pak budou fňukat, že nad tím nemají kontrolu. Ale můžou si za to sami.

Tak secure boot je zrovna v tomhle případě vlatsňák. Když si přinesu vlastní železo, tak můžu bootovat z čeho chci, klidně z SD karty. Že má NTB, jehož parametry zneužiju, secure boot, nemusím nijak řešit.

Připojím stroj do sítě, ten se oznámí switchi/AP svou MAC. Protože ji síť zná, hodí ji do odpovídající VLANy a pokud je někde v těch mechanismech sebemenší díra, jsem v cizí síti (= za firewallem, oddělujícím vnější svět) a můžu se rozhlídnout. Poskenovat pěkně IPv4, podívat se po web serverech (třeba si pročíst wiki s interní dokumentací), mrknout na SMB sdílení bez hesel, projet NFS a když něco nechce heslo, tak to sosnout. Zjistit verze SW v síti, zmapovat topologii, nechat tam dáreček,...

To, že na svým stroji nemám token a některý systémy mě jako útočníka nepustí dál, u toho nemusí vadit.

Ohledně bezpečnosti se hodí každá překážka, o tom žádná. Ale jde o to, že nepřítel může být i ve vnitřní síti. Několik autentizačních mechanismů otráví uživatele a centrální bezpečnostní mechanismus vytvoří SPOF a když selže, firma nejede, nebo má nepřítel vše. Lepší je, když server bere všechny jako nepřítele, dokud neprokáže, že je přítel (ve smyslu SSH, tomu je jedno, jak se připojím, ale bez certifikátu mám smůlu). Potom i když někdo pronikne perimetrem, jsou mu informace o službě X na Y:Z k ničemu, pokud nemá token nebo nezná nějakou použitelnou zranitelnost.

Prostě jak mají IT v bývalé práci nad stolem, "paranoidnější přežije".

Navíc TCP/IP je rodina protokolů, která je univerzální a používá se nejenom v korporátech, kde platí specialistu na zabezpečení DNS, specialistu na zabezpečení ICMP,... A nikdo tady netvrdí, že zabezpečuje korporát na Ciscu, Juniperu atd. Ne všude bude všechno dostupný, aktuální a zapnutý.

Cisco tam bolo spomenute v kontexte ze oni s ideou NAT66 prisli a zacali presadzovat, oni spisali IETF draft, atd.

To, ze je implementovany v linuxovom jadre nezmanena, ze to niekto aj realne pouziva a ze su vychytane problemy, ktore by NAT66 so sebou priniesol.

A okrem toho, nie je jedna z point nasadenia IPv6 to, ze netreba robit NAT? Tak pokial ho teda aj tak musime robit, naco vobec IPv6 nasadzovat a nezostat pri IPv4?