Vlákno názorů k článku Stav IPv4: drancování a všudypřítomný NAT od IPv6 zbohem soukromí vítej totalitný režim - IPv6 adresa sa skladá z dvoch logických častí:...
-
IPv6 zbohem soukromí vítej totalitný režim (neregistrovaný)
IPv6 adresa sa skladá z dvoch logických častí: 64-bitového prefixu siete a 64-bitovej adresy stroja v sieti, ktorá sa často generuje automaticky z adresy rozhrania (MAC adresa). MAC adresa je jedinečná.
nehovoriac o tomto
2001:0db8:85a3:08d3:1319:8a2e:0370:7334 vs 121.202.85.102
Ja si natoto vôbec nezvyknem.Nehovoriac o tomto:
2001:0DB8:0000:0000:0000:0000:1428:57ab
2001:0DB8:0000:0000:0000::1428:57ab
2001:0DB8:0:0:0:0:1428:57ab
2001:0DB8:0::0:1428:57ab
2001:0DB8::1428:57abáno je to z wikipedie, ale vôbec sa mi to nepáči.
Potom je tu článok na root.cz
http://www.root.cz/clanky/edward-snowden-na-prazskem-ietf-navrhnete-bezpecnejsi-internet/Dotkl se i nebezpečí spjatých s dlouhotrvajícími hardwarovými adresami. To se primárně týká bezdrátových spojení, kde MAC adresa funguje jako vlajka s identitou definující pozici.
Snowdenova řeč sklidila bouřlivé ovace. Mezi důvody, proč se tak stalo, může mimo jiné patřit fakt, že se NSA podařilo rozlousknout několik klíčových internetových protokolů vyvinutých IETF a dokonce i rozvracet některé jeho pracovní skupiny, ve snaze vyvinout nové standardy podle NSA.
Takže IPv6 NE!!!!!!
-
Opat mam pocit, ze sa nechapete. Podla mna predrecnik tvrdi nieco taketo: Mam hromadu IPv4 hostov za NAPT na jednu externu IPv4. Niekto teda vonku nie je schopny spolahlivo rozoznat od seba jednotlive hosty a preto nie je ani schopny efektivne sledovat ich cinnost.
Pri IPv6 ma jeden host vzdy konkretnu IPv6 adresu viditelnu pre kazdeho a je jedno, ze sa kazdych par minut zmeni host cast adresy, kedze to sa da odsledovat.
Problemom je teda podla neho fakt, ze sa traffic z jednej masiny da vzdy spolahlivo rozoznat od trafficu z inych masin a ked si niekto zmeni adresu, tak sa to da statistickymi metodami velmi lahko zistit.
-
Filip JirsákStříbrný podporovatelTřetím odstavcem jste dobře popsal, proč první odstavec není pravda.
-
M. (neregistrovaný)
Hezká ukázka jednoho z nevýhod NATu. :-)
Podobně řvou třeba hráči na konzolích. Jeden třeba zaprasí na PS4 něco a Sony blokne IPčko a půlka okresu má smůlu, nezahraje si, dokud ISPík je nedá na jiné...
Další podobný 'debil' je třeba Google. Pokud z jedné IPv4 adresy chodí moc požadavků, protože na ni NATuji pár set přípojek, tak začne neustále vkládat na každý dotaz captchu a uživatelé pak zuří. Sice teoreticky u Google může registrovat, že tyo IP bloky slouží pro CGN, ale zapár týdnů se to opakuje. Jako doporučení dostnau, že máte zákošům nasadit IPv6....
-
M. (neregistrovaný)
Ano, pokud vezmu shrnutí jedné z příloh zprávy ohledně problémů sledování uživatelů za NATem, tak úspěšnosí a přesnost sledování lidí za dvojitým ž trojitým NATem byla hodně vysoká. A to ten dokument původně vznikal s představou, že podpoří názor, že je těžké spolehlivě rozeznat počet storjů za NATem, přiřdit k sobě jendotlivé toky, že pochází z jednoho počítače atd. Snad vyjma externího sledování přenosů prošlých přes 4G sítě, které przní/rekonstruují IP hlavičky, takže toky dosti unifikují. Ukázalo se, že dneska to většina nástrojů používsaých Policií v rámci zemí EU umí velmi spolehlivě, s úspěšnosít nad 95% za časové okno 144 hodin (při sledování toků na uplinku od ISP používající CGN, kdy nedochází k jeho spolupráci s Policií a anii o sledování neví). Takže na ochrannou roli NATu bych moc nevěřil, pokud ten NAT není konstruován tak, aby cíleně modifikoval komunikaci za účelem ztížení identifikace, což větěina nedělá.
-
j (neregistrovaný)
Opet dalsi, co o tom zvani a netusi o cem.
IPv6 se generuje bud z MAC nebo z GUID (by default, a da se to zmenit). To je IPcko urceny pro servery, aby se na ne dalo pripojit zvenku. Ovsem privacy extension ti zjevne nic nerikaji. To sou nahodne (klidne kazdych par minut) generovany adresy, ktery slouzej k odchozi komunikaci. A mimo jiny k tomu, aby stroj, kterej se pohybuje vice sitema (treba mobil) neslo sledovat. Widle to maj by default zapnuty.
Adresu na nic vedet nepotrebujes, je to technickej identifikator, presne stejne jako ta MAC adresa, ta se ti libi? Aha, tu nanic nepotrebujes, presne stejne jako IP, potrebujes jmeno, a tam si muzes dat co chces. Trebas pepek.vyskoc.cz.
-
Nerad sa vam miesam do plodnej diskusie, ale mne sa vsade osvedcilo toto miesto fail2ban:
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshblacklist --set
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshblacklist --update --seconds 120 --hitcount 4 -j DROP
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
Pre IPv6 sa to da jednoducho upravit, aby to bralo napriklad len /64 prefix pri matchovani pravidiel.Roboty to vacsinou vzdaju ihned, resp. uz velmi davno som nenasiel v logu zaznam o tom, ze by to nejaky robot skusal opat po tom, ako vyprsi DROP. Taktiez som sa bal, ze to bude robit problemy aj klasickym pouzivatelom, ale uz si ani nespominam na pripad, aby niekto potreboval otvorit viac ako 4 spojenia za 120 sekund. Vacsinou si ludia otvoria ssh, mozno nejake scp, ale stale je tam rezerva.
