Vlákno názorů k článku Proč 18 trilionů adres domácnosti nestačí od Petr M - Jak to tak sleduju, tak mám čím dál...

Jak to tak sleduju, tak mám čím dál větší pocit, že ISPík je jak chudá nevěsta v bohatým domě. Z čím chudších poměrů přichází, tím víc skrblí.

A další věc je, že někteří "profesionálové" nepochopili, že veřejná IPv4 není fakticky IP adresa jednoho zařízení, ale podsítě (nebo několika podsítí, nebo celé hierarchie sítí). Podle toho to pak dopadá.

https://www.root.cz/clanky/pristi-olympiada-vygeneruje-terabit-videa-jsou-na-to-site-pripravene/, Artyom Gavrichenkov: "IPv6 také přináší své problémy, protože má obrovský adresní prostor. To je v mnoha ohledech výhoda, kvůli které byl nový protokol navržen. Zároveň ale komplikuje například blokování jednotlivých adres, protože nejsme schopni je dostat do paměti. V případě IPv4 bylo blokování celých sítí považováno za velmi špatnou praktiku. U IPv6 se k ní ale musíme vrátit."

Takhle mluví "odborník" přednášející na konferenci ISPíků. Nepochopil, že ta jeho "jedna blokovaná IP adresa" je ve skutečnosti třeba 500 zařízení (CGNAT pro 25 přípojek, každá s NATem pro 19 zařízení) a zablokování jedné veřejné pro CGNAT je na úrovni blokace řekněme /32 v IPv6 - ale může to být taky na úrovni /64, pokud má zákazník veřejku s jednou sítí.

IPv6 tohle sjednocuje, máš mnohem větší selektivitu v blokování. Od /128 (konktrátní C&C server), přes /64 (nakažený stroj včetně všeho, co mu může dát privacy extension a strojů ve stejné síti, který může nakazit, přes /56../48 (konkrétní přípojka až po /32 nebo /29 (LIR). A máš představu o tom, kolik jsi toho zabil.

Takže, kdo tady mele nesmysly? Já, nebo "odborníci", co ani netuší, co se jim v síti děje?

Je to zařízení fyzicky, ale ne logicky. Když někoho blokuješ, měl bys to dělat s minimálním dopadem na ty, co jsou v tom nevinně. Ne naslepo zabít router cestou a doufat, že útočník jinou cestu nemá a že za tou IP adresou není nikdo, kdo by chtěl zrovna platit za tvoje služby.

Když se ti na nějaký server snaží někdo nabořit a blokneš na FW dotyčnou IP adresu, tak máš 99,99% jistotou, že neblokuješ zařízení, za kterým sedí blackhat a buší do klávesnice, ale nějaký router cestou k němu, přes který to leze. A podle toho, jaký je ISP prase, neblokneš jenom jeho přípojku, ale klidně pár desítek nebo stovek zákazníků. A ani nevíš, kolik jich za tou IP adresou je.

Výhoda IPv6 je, že sestřelíš /64 a víš, že to je koncová síť, ve které ten black hat sedí. Pokud to nepomůže a jde v krátké době o pár prefixů vedle, tak to rozšíříš na 56. Když to nepomůže, tak na /48... Ale furt můžeš předpokládat, že ISPík má min. /32 a neblokuješ cíleně zákazníky z jeho sítě...