Vlákno názorů k článku Řízení toku algoritmem BBR: buldozer nebere ohledy na ostatní spojení od Miroslav Šilhavý - Vlastně to bude takový darwinovský přirozený výběr na...
-
Vlastně to bude takový darwinovský přirozený výběr na internetových linkách. Silnější požere slabší a ti vyhynou...
Když se na to podívám z pohledu operátora, chci řízení toku na lince takové, aby se citili dobře i "slabší" zákazníci. Existuje už nějaká "ochrana", nějaké opatření, jakým udělat linku zpět spravedlivější jak pro uživatele BBR tak pro ostatní? Asi to nebude téma hned na zítřek, BBR budou volit postupně jednotlivci, ale jen do té doby, dokud ho nějaký velký OS nenastaví jako implicitní.
Co shapery? Nedá jim víc zabrat dělat svoji práci? U tradičního TCP congestion control bylo možné se aspoň trochu spolehnout, že "spojení spolupracuje".
A poslední, co mě napadá je, jak budeme řešit na koncích QoS? Tam záměrně naopak nasazujeme další buffery a zvedáme latenci, abychom mohli dát přednost paketům, které považujeme za prioritní. Nebudou QoS mechanismy na straně originátora i v destinaci tak trochu BBR "mírnit"?
-
Nejsem zastánce IPv6, jenom nenávidím NAT.
NAT je technicky vzato peklo. Na druhou stranu, nutnost NATU dostala k zákazníkům statefull firewally a v podstatě z nouze se stala ctnost. Při přechodu na IPv6 vzroste potřeba dobře nastavených firewallů; co dnes "admin" nebo BFU pokazí, to ještě pořád zachrání NAT - směr dovnitř má o překážku navíc. Po přechodu na IPv6 bude chyba admina nebezpečná, pustí provoz až na cílové zařízení.
Druhá věc je, že na NATU nám v postatě vadí jeho statefull charakter a nezvladatelnost udržovat state pro hafo spojení. Jenže: pokud chceme chránit provoz na IPv6, je smysluplným řešením OPĚT statefull firewall. Takže technologický posun bude jen o píď, aspoň co se týče koncového NATU.
-
NAT ale nemá s bezpečností nic společnýho!
Má. Je to v podstatě prvek pasivní bezpečnosti, ale jak jsem psal, z nouze ctnost.
Pokud je na NATU něco nepříjemného, tak jsou to conntrack tabulky, kterým se ale u moderního firewallu pro IPv6 stejně nevyhnete. Jestli je součástí conntracku ještě podsunutí cílové adresy, to už mi přijde jako malý detail.Byly doby, kdy se počítače připojovaly "na ostro" do internetu, měly i veřejnou IP adresu. Nebyly NATY. V té době byly průsery, např. Windows XP přes SP1 měly otevřený firewall a spoustu děr. Už v té době měli "výhodu" ti, kteří byli za NATEM, k nim se hrozby nedostaly.
Takže ano, NAT není prvek aktivní bezpečnosti, ale pasivně tak funguje. Pokud zmizí NAT, bude nutné zajistit, aby neselhal firewall.
-
Petr M (neregistrovaný)
Zatímco bude NAT, bude potřeba zaručit, aby neselhal firewal. Jaký je v tom rozdíl? NAT s blbě nastaveným firewallem se dá tak krásně prostřelit, že by ses divil.
I kdyby bezpečnosti přidal 10%, tak někteří "ajťáci" se chovají, jako kdyby to přidávalo minimálně 80% a na zabezpečení v LAN kašlou se slovy, že "je to za NATem, tam se nikdo nedostane". Žádný FW na zařízení, autentizace v LAN jenom pro rozpoznání uživatele, FW na zařízeních otevřený dokořán, pokud tam vůbec jsou. Pak se nakazí díky phishingu jeden stroj v LAN a dopadne to jako u Maersk.
Bezpečnost musí mít vrstvy, ale na router patří firewall na služby v LAN, který nechceš nabízet ven, jako CUPS, NFS, ... a zbytek by mělo řešit zařízení, tj. otevřeš přímo na komplu pro příchozí traffic jenom jenom porty, na kterých něco běží.
-
null null (neregistrovaný)
Jenom 10% nebo 5%? A některý se dá prostřelit? Tak to se na to klidně vys**** úplně ... Jak to nemá aspoň 50% vynechat ...
To je jako s tím vynucováním HTTPS v browserech: Kolik je lidí co lezou přes browser na "IoT"? Pár procent - kašlem na to, vynutíme HTTPS pro všechny. No to se ale těch pár procent na krabičku nedostane. Aha, tak to nebudeme vynucovat u nikoho. Ale ten zbytek to potřebuje, tak to vynutíme u všech, ale těch pár se tam nedostane, tak to nevynutíme u nikoho, ale těch co to potřebují je jenom pár .....
-
Ono by bylo fajn BRR hodit na IPv6 provoz a IPv4 nechat při starým. ISPíkům s IPv4 by všechno jelo jak doteď a kdo pokročil k modernějšímu systému, vyhraje...
V praxi se setkávám spíš s tím, že IPv6 různým poskytovatelům různě náhodně vypadává. Ono je to tím, že IPv6 je prostě tak trochu na druhé koleji. Když ISP sletí routování IPv4, začíná se makat okamžitě, protože "nejede nikdo". Když spadne IPv6, "svět se nezblázní". Ve skutečnosti to není pravda, když vypadne IPv6, uživateli přestanou náhodně fungovat služby a je otrávený. Jenže: tzv. sporadické nebo náhodné chyby opět nikdo nechce řešit s absolutní prioritou.
Jedinou šancí pro IPv6 je, aby na ni přecházeli velcí ISP. Čím víc lidí pojede výhradně na trasách IPv6-IPv6, tím citlivější bude svět i na malé výpadky.
BRR zavést na IPv6 by v tento moment moc nevyřešilo, IMHO je problém zatím někde jinde.
-
Petr M (neregistrovaný)
Proč ne? Skype není zákonem chráněný.
Pokud by velká firma, která doručuje hodně obsahu, takto preferovala 6ku (stačí na jejich straně, přijímač prostě bude odebírat data), "přetíží" páteř a hotovo. Lidi se začnou dožadovat 6ky u ISPíků, ti ji budou muset nastavit a pokud přijde někdo s VoIPem na 6ce jako náhradou za nefunkční Skype...
