Názory k článku Šest organizací se v NIX.CZ spojilo do Bezpečné VLAN

Pan Krčmář je záruka kvalitních článků! Root by měl jít příkladem ostatním technickým webům ...

Zrovna tento článek se mi jako vzor vůbec nezdá. Zní to jako PR článek nebo glorifikovaná tisková zpráva.

+ obsahuje základní popis o co jde
- příliš mnoho superlativů jako "bezpečný", "pionýři", "klíčový"..., většina textu jsou jen citace jak z "hlásné trouby"
- žádná/minimální analýza

Vypadá to jako tisková zpráva, zní to jako tisková zpráva, tudíž je to tisková zpráva. Stačila by obyčejná zprávička.

vice bulvaru a ritolezectvi na root.cz, toho je nam potreba nejvic, to prodava, naco kvalitu

A kdo z Vás pánové, má firewall i doma nastavený tak, aby blokoval odchozí podvržené pakety? Myslím, že tento článek "nakousnul" dobré téma.

Nj, když ono je to tak těžké nastavit :-)

Dík :-)

Na domácím systému nebo vlastní VPS je to o něčem jiném než ISP, který poskytuje ignorování BCP38 jako konkurenční výhodu. A těch není vůbec málo. Nemusí jít ani o DDoS.

Ja bych rad, ale to bych pak nemohl posilat podvrzene pakety :D

Co ze to jsou podvrzene pakety? To se ji? Jak se to pozna? Podle zapachu?

Ja teda nevim jak ostatni, ale ja svemu ISP platim za to, aby dorucoval pakety tam a zpet, nikoli za to, aby se v nich hrabal a resil kde jakou kravinu, a nicil mi tak konektivitu. Viz trebas kyslik a jejich kurveni dns.

Pokud chce byt nekdo v bezpeci - necht si poridi vlozky, nejlepe s kridelky. Ale at neleze na net. Az budu resit spojedi jaderky s velinem, tak to taky nebudu distribuovat pres NIX ani pres jejich "uzasnou a 100% bezpecnou vpn"

BTW: O 100% sem celkem nedavno neco cet ... stacilo trochu vody ...

1. ISP se v adresách paketů stejně musí hrabat kvůli routování.
2. Doufám, že nepoužíváš firewall nebo NAT. To by bylo pokrytecké.

Btw. Nic 100% bezpečného pro jakoukoliv situaci neexistuje. Existuje pouze 100% bezpečné řešení pro určitou situaci. Zde jde o 100% bezpečné podle BCP38 (např. bezpečné před DDoS pomocí paketů s podvrženou zdrojovou adresou). V případě Casablancy šlo o 100% zárukou před chybami Casablancy.

1) ISP se do paketu kvuli routovani nehrabe, nebot se jen podiva na cilovou adresu a na ni to posle.
2) Firewall nanic nepotrebuju, protoze sluzby ktere nechci aby byly viditelne z netu neprovozuju, a ty ktere provozuju ... chci videt z netu.

BTW: Jiste, nezajisteni serverovny proti vniknuti vody neni chyba provozovatele ... stejne jako preci neni jeho chyba, kdyz nekdo prekopne elektrickej kabel (takze nac mit UPS a agregat ...) a uplne stejne neni jeho chyba, kdyz nekdo prekopne optiku (takze nac mit backup linky) ... a uz vubec neni jeho chyba, kdyz vyhori nejaky HW ... protoze za to prece muze jeho dodavatel.

1. To samé ale dělá při BCP38, přečte zdrojovou adresu, a pokud není z jeho rozsahu, paket zahodí :-)
2. Hodně štěstí, budete ho potřebovat

Argumentaci ad absurdum můžete udělat i opačně: zajištění proti pádu letadla, proti atomové válce, proti vypnutí kořenových DNS, ... ;-)

ISP se kvuli routovani v nicem hrabat nemusi.

Najit a precist adresu a hrabat se v paketu jsou dve dost odlisne veci.

Pokud čtení adresy z paketu není hrabání se v paketu, pak není potřeba se hrabat v paketu ani pro implementaci BCP38.

hodne neresite to na spravnem serveru. U nas se nedostane ani nepovolena mac, vse drti cetralni 24p mikrotik a je povoleno v seznamech kdo co. Jedine co by slo udelat podrvhnout mac, ip je filtrovana automaticky.

a vlana je zapouzdreni, to ekonomice zamerene na export moc nepomaha.

A kdo hlida hlidace? Neni to zase dalsi mala domu? Certifikatori pro vstup do bezpecne vlan, pouze urceni provideri pro pripojeni do bezpecne vlan a specialni produkty nabizene ISPcky ktere vybranym zakosum budou hnat provoz v pripade pruseru pres bezpecnou vlan. Cosi mi to pripomina... neco podobmeho jako CTc/O2 a KIVS?

Namet k premysleni: Nebyli snad kdysi propojeni nekteri ISP i naprimo mezi sebou bez ucasti NIX?