Vlákno názorů k článku Stav IPv4: drancování a všudypřítomný NAT od Janci - Predstavme si ze prejdem na to super IPv6...
-
Janci (neregistrovaný)
Predstavme si ze prejdem na to super IPv6 a budem chciet robit bezne veci:
Doma:
Kupim si novy router alebo inu sietovu krabicku, pripojim ho do siete a chcem ho nakonfigurovat, tak do prehliadaca zadam 32 pismeniek a 7 dvojbodiek a nezabudnem to zavriet do hranatych zatvoriek... toto spravim vzdy ked budem chciet do toho routeru ist.
Vlastne nie! Kvoli tomu budem prevadzkovat DNS.firma:
legacy software podporuje len ipv4 (napr. dochadzkovy system)
20 IP telefonov na stoloch a 5 v sklade vyhodim, lebo nepodporuju IPv6maly ISP:
zakaznik chce ipv4 takze musim mat dual-stack vsade, takze vsetko musim konfigurovat dvojmo. O prehladnosti IPv6 adries nehovoriac. Nad chybajucimi bezpecnostnymi funkciami pod ipv6 na switchoch a routeroch sa ani nepozastavim (problemy s rogue RA, problematicka analyza dlhych hlaviciek, ..., viz clanky Bezpecne ipv6 tu na roote) -
Jenda (neregistrovaný)
> Vlastne nie! Kvoli tomu budem prevadzkovat DNS.
To jsi fakt nikdy neslyšel o mDNS, nebo to hraješ?
> legacy software podporuje len ipv4 (napr. dochadzkovy system) 20 IP telefonov na stoloch a 5 v sklade vyhodim, lebo nepodporuju IPv6
To je velmi smutný svět, ve kterém neexistují přechodové mechanismy. (btw. pokud je to starý síťový software, stejně by si zasloužil vlastní síť, protože to bude cedník)
> zakaznik chce ipv4 takze musim mat dual-stack vsade, takze vsetko musim konfigurovat dvojmo
NAT64 anyone?!
> O prehladnosti IPv6 adries nehovoriac.
jj, hrůza!
> Nad chybajucimi bezpecnostnymi funkciami pod ipv6 na switchoch a routeroch sa ani nepozastavim (problemy s rogue RA
Nad chybajucimi bezpecnostnymi funkciami pod ipv4 na switchoch a routeroch sa ani nepozastavim (problemy s rogue DHCP
> problematicka analyza dlhych hlaviciek
Tak, tohle je asi jediný dobrý argument. (nesledoval jsem poslední vývoj, nejde to, co chceš typicky filtrovat, tj. RA a multicast, identifikovat podle první hlavičky?)
-
Janci (neregistrovaný)
> To jsi fakt nikdy neslyšel o mDNS, nebo to hraješ?
Ale iste, ale kolko z dnes predavanych krabiciek s IPv6 to ma?> To je velmi smutný svět, ve kterém neexistují přechodové mechanismy.
Takze prevadzkovat dalsi system ktory vyzaduje konfiguraciu.>NAT64 anyone?!
Asi som to zle napisal, ale ked zakaznik bude chciet verejnu ipv4 tak mu nat64 nepomoze a ked hej (inverzne mapovanie), tak zase budem mat ipv6 siet s jednymi pravidlami a ipv4 s druhymi a este budem udrzovat preklady> jj, hrůza!
a nie? :)> nejde to, co chceš typicky filtrovat, tj. RA a multicast, identifikovat podle první hlavičky?
IMHO nejde, ide to identifikovat podla zaciatku payloadu.. a preden si mozes hlaviciek postrkat kolko chces, takze nejaky switch nema sancu ich vsetky analyzovat a zahodit to co tam nema byt (port security). Ale mozno na to nieco vymysleli, necham sa poucit. -
Ondřej CaletkaZlatý podporovatelAsi som to zle napisal, ale ked zakaznik bude chciet verejnu ipv4 tak mu nat64 nepomoze…
Když bude zákazních chtít veřejnou IPv4 adresu, nepomůže mu za chvíli ani svěcená voda. Všichni chtějí veřejnou adresu, to je ostatně důvod, proč došly.
Jinak kromě NAT64 existují i přístupy, které mnohem méně kazí funkčnost IPv4 a přitom umožňují provozovat single stack přístupovou síť. Například MAP-E: http://www.root.cz/clanky/ipv4-jako-sluzba-aneb-jak-sit-zbavit-dual-stacku/
IMHO nejde, ide to identifikovat podla zaciatku payloadu.. a preden si mozes hlaviciek postrkat kolko chces, takze nejaky switch nema sancu ich vsetky analyzovat a zahodit to co tam nema byt (port security). Ale mozno na to nieco vymysleli, necham sa poucit.
Správný návrh sítě vůbec nepřipustí, aby se na jednom L2 segmentu potkali lidé, kteří by mohli mít zájem si vzájemně škodit. IPv6 k tomu dává krásné prostředky (jako off-link prefixy), které se však nedají dobře použít, pokud musí být na stejné infrastruktuře provozováno i IPv4. Věci jako DHCP snooping, ARP inspection a RA guard jsou jenom obezličky, které mají vždy nějaké problémy.
Jinak co se týče problému s fragmentovanými RA, tak tuším že je standard, podle kterého má koncový systém fragmentované zprávy objevování sousedů, včetně RA, ignorovat, protože se nepoužívají pro nic jiného než pro útok. Otázka samozřejmě je, jak dobré jsou koncové systémy v implementaci.
-
j (neregistrovaný)
Predstavme si IPv6 tak jak je navrzeno. BFU si domu prinese router, pripoji ho do site, a on si SAM rekne o adresu a ISP mu AUTOMATICKY prideli prefix, ktery router SAM rozdeli na jednotlivy rozhrani (treba ethernet a wifi). BFU na to nemusi ani sahnout a funguje to.
BFU si totiz v zadnym pripade neumi nastavit ani tech !minimalne 6x4 cisel, ktere nezbytne potrebuje aby mu jeho sit fungovala na Ipv4. Natoz resit nejaky NAT. BFU totiz vubec netusi, kde se v jeho windows nejaka sit nastavuje.
Zakaznik zadnou IPv4 nechce, zakaznik chce fungujici internet a ten na IPv4 vetsinou nedostane.
Jestli mas ve firme 25 10let starych IP telefonu, tak si je mel vyhodit uz pred 5ti lety minimalne. Minimalne 10let totiz vsechny IPv6 umi.
-
Janci (neregistrovaný)
>Zakaznik zadnou IPv4 nechce, zakaznik chce fungujici internet a ten na IPv4 vetsinou nedostane.
Zakaznik ma server a chce ho na verejnej ipv4, mozem ho presviedcat ze nech si to da na ipv6 aby sa na to nedostal z polovice beznych pripojeni, ale to je tak vsetko co stym mozem urobit
-
lojza (neregistrovaný)
až na to, že většina bfu ani netuší, že by takové problémy měla mít. Poskytovatelé služeb se naučili s natem žít, takže bfu hrajou hry na nějakém serveru provozovatele a protože chtěj, aby se jim na VoIP dovolali i lidi "zvenčí", tak stejně jedou přes server operátora a ani netuší, že by se to mohlo řešit jinak(btw sám jsem přímý přístup z internetu k VoIP telefonu zařízl, protože mě nebavilo to prozvánění z internetu). BFU určitě ocení, když místo nějakého nicku na nějaké službě začnou dávat ipv6 adresy, aby si aplikace povídaly bez prostředníka. Přínos natu ohledně bezpečnosti je v tom, že když nefunguje přímá komunikace s koncovými stanicemi, tak naučil lidi nebo je to tak nastavený defaultně, zaříznout veškerý přístup zvenčí.Až (jestli) se rozmůže přímá komunikace na koncové kompy, tak to bude bezpečnostní peklo, protože se BFU naučí, že když chtějí aby jim něco fungovalo, tak musí komunikaci povolit. A budou odklepávat všechno. Firewally u bfu přestanou mít smysl, jako by nebyly.
-
Jenda (neregistrovaný)
> až na to, že většina bfu ani netuší, že by takové problémy měla mít
Mí BFU takové problémy občas opravdu mají.
> Až (jestli) se rozmůže přímá komunikace na koncové kompy, tak to bude bezpečnostní peklo
Kdy byla naposledy v nějakém populárním operačním systému vzdáleně zneužitelná bezpečnostní chyba? V Debianu v 2008, ve Windows taky tak nějak, ne?
-
lojza (neregistrovaný)
- co konkrétně třeba? Tohle ale neni nic co by většinu bfu trápilo, většina bfu hraje onlinovky na nějakém veřejném serveru, telefonujou přes skype a pod a soubory si popsílaj mejlem nebo přes sdílecí servery a nic jim nechybí. To spíš tak bfu co si myslí že nejsou bfu a vrtaj do toho. A ty by si to rozvrtali i bez natu.
- poznámku nechápu, jako že firewall je vlastně stejně zbytečný, když v populárním OS nebyla od roku 2008 žádná pořádná díra nebo co?
-
Jenda (neregistrovaný)
> - co konkrétně třeba?
Tak třeba jsem teď zřizoval FTP účet, protože si nedokázali poslat 500MB soubor. Nebo po mně chtějí vzdálenou podporu (kdo tam má furt jezdit), což jsem musel vyřešit tím, že jim pošlu binárku, která se připojí přes dva tunely (jejich NAT - můj server - můj NAT) ke mně. A sledování kamery řeší cracknutým TeamViewerem.
> - poznámku nechápu, jako že firewall je vlastně stejně zbytečný, když v populárním OS nebyla od roku 2008 žádná pořádná díra nebo co?
Ano.
-
Janci (neregistrovaný)
ale ako tomu pomoze IPv6?
naozaj bude end to end konektivita vsade? bez obmedzeni, firewallov po ceste?Alebo tu budu stale tie iste problemy, len ich nikto nebude riesit na urovni aplikacii (prekopavanie natov, superuzly v p2p, tunelovanie cez treti server), lebo ved kto ma poriadny internet tak nema po ceste ziaden firewall a ostatni sa mozu strcit.
-
jouda (neregistrovaný)
Muzu se zeptat na jediny duvod, proc by nekdo ve firme mel vyhodit zarizeni, ktera evidentne funguji a plni svuj ucel (jinak by je ofc vyhodil uz davno).
Spis bych se nedivil tomu, kdyby vyhodili toho kdo by bez jineho duvodu vyhodil funkci zarizeni.ad IPV6 tak jak je navrzeno - pak tam pichne Androida, provider mu pres radvd hodi AdvManagedFlag, nasledne mu da pred DHCP6 adresu, wait, jak to vlastne dopadne? Par poslednich mesicu jsem nesledoval, ale obavam se ze to zrovna dobre nedopadne.
-
Jenda (neregistrovaný)
> ad IPV6 tak jak je navrzeno - pak tam pichne Androida, provider mu pres radvd hodi AdvManagedFlag, nasledne mu da pred DHCP6 adresu, wait, jak to vlastne dopadne?
Asi stejně jako když si omylem zapneš DHCP server? (viděl jsem jak na Windows, tak na Debianu ještě s původním initem, kde se při apt-get upgrade udělalo /etc/init.d/dnsmasq restart, což ho nahodilo, i když byl zakázaný)
