Názory k článku Ramond: past na falešné IPv6 směrovače
-
Pavel (neregistrovaný)
"Možná si po přečtení perexu říkáte, že se vás problém netýká ..." - to právě to je otázka. Jak poznám, jestli se mne to týká? Nejsem ani BFU, ani odborník na provoz serverů velkých sítí, mám jen malou síť s linuxovým servříčkem, kde ADSL modem umožňuje všem na síti přístup na internet. Ale zřejmě hned první věta by mě měla upozornit abych dál nečetl, nevím totiž co to je perex. Takový nás asi není málo.
Přiznávám, že jsem taky psával podobné zprávy typu "výkřik", měl jsem ale dobrého učitele, který mne donutil přemýšlet nad tím pro koho píši. Takže: týká se mne to? - tedy nejen mne, ale jiných podobných čtenářů, mohu to nějak využít? Je to v mých silách? Nebo to skutečně je pouze pro znalé? Ale jinak dobrý, jen tak dál a líp! Zdravím Pavel -
Nemůžu mluvit za autora, ale zpráva je na první pohled pro ty, co si udržují povědomí o počítačových sítích, nebo si ho udržovat chtějí (a jsou ochotni si další informace dohledat). Takový člověk by měl znát starý dobrý rogue DHCP server a uvědomit si, v čem se rogue IPv6 router liší a zda to považuje ve své síti za problém nebo je mu to jedno.
-
Ondřej CaletkaZlatý podporovatelPerex je odstaveček těsně pod nadpisem, který se zobrazuje ještě před otevřením článku.
Problém se týká každého, kdo spravuje síť, do které se na spojové vrstvě připojují vzájemně neznámí uživatelé, kteří by si potenciálně mohli škodit. Tedy malá domácí síť to pravděpodobně řešit nemusí, veřejný Wi-Fi hotspot pravděpodobně ano.
-
-
Ondřej CaletkaZlatý podporovatel
Takové pokusy existují pod jménem SeND. Ten zásadní problém vidím v tom, jak zjistit který podpis důvěryhodný je a který ne, při zachování principu Plug&Play.
Ale i kdyby to fungovalo, vyřeší se s tím jen tento jeden problém protokolu IPv6, všechny ostatní (jako třeba falešný IPv4 DHCP server) zůstanou nevyřešeny. Proto mi připadá jako nejlepší řešení popsané v odstavci „Opatření organizačního charakteru.“
Přátelé nenechají přátele budovat L2 sítě velkého rozsahu.
-
j (neregistrovaný)
Tak duveryhodnost by se dala mozna zjistovat z DNS, mozna by se to jen mohlo klienta proste zeptat ... (mineno specielne v pripade, kdy je v siti vice nez jedno RA)
Ovsem pokud se budem bavit trebas o mim utocich, tak stejne jediny realny reseni je sifrovat veskerou komunikaci.
IPv4 asi dnes uz nema smysl moc resit...
-
Ondřej CaletkaZlatý podporovatel
Funkce se jmenuje „RA guard“ a je běžně dostupná na současných přepínačích. Je to také napsáno ve čtvrtém odstavci článku.
-
Ondřej CaletkaZlatý podporovatel
Testoval jsem chování linuxu, tam se cesta ze směrovací tabulky odstranila. Adresa na rozhraní zůstala, ale ta sama o sobě je neškodná.
-
muki (neregistrovaný)
Zdravicko vespolek,
v clanku to mozna chtelo zminit i moznost u RA definovat router-preference - snad všechna zarizeni mají jako default medium, takze pokud si legalni RA vysilate jako router-preference high, chybne nastavena zarizeni to prebije a uzivateli site vse funguje.
Z pohledu ISP vidim zmenu router-preference jako první krok, nejaky monitoring pak jako krok druhy.
-
Ondřej CaletkaZlatý podporovatelS tím jsou dva problémy:
- Některé domácí routery s podporou IPv6 mají od výroby nastavenu preferenci na High, takže proti nim opatření nefunguje.
- Spousta implementací IPv6 (například Linux) k políčku preference nijak nepřihlíží.
