Vlákno názorů k článku Stav IPv4: drancování a všudypřítomný NAT od podezrivajici sitar - Již před několika lety se mi v souvislosti...

Již před několika lety se mi v souvislosti s IPv6 do ruky dostaly nástroje z thc.org/thc-ipv6 a od té doby nepozoruji ve standardu IPv6 žádnou změnu. Ano, IPv6 má silné bezpečnosti nedostatky přímo na úrovni protokolu, tedy ve standardu - viz. např. útoky z repozitáře níže (postarší ideologičtí pánové ze standardizační komise nebyli za posledních 7 let či více let schopni se dohodnout na změnách, protože na nejvyšší úrovni nestačí v hlasování nadpoloviční většina, nýbrž všichni do jednoho musí být za jedno; netuším, zdali se tento princip za posledních pár let nezměnili, ale před pár lety to bylo takhle).

Máte zde někdo aktuální informace kolik vektorů útoku např. z těch 26 dostupných v repozitáři https://github.com/vanhauser-thc/thc-ipv6 se již na většině existujících a nově nasazovaných IPv6 sítích NEdá realizovat?

Dle mně dostupných informací se stále dají realizovat na drtivé většině IPv6 sítích všechny (a pozor, jsou tam i útoky, které jako vedlejší efekt totálně položí i IPv4 v případě dual-stack, což je dnes nejčastější zapojení). Zbrusu nové útoky v tomto repozitáři dokonce za poslední měsíce přibývají.

Budu moc rád, když mě vyvedete z omylu a předáte přesnější informace o tom, že se drtivá většina zmíněných útoků téměř nikde již využít nedá.

Dokud však byť jenom 5% těchto vektorů útoku bude na více než 5% IPv6 sítích použitelných (a to se bavím jak o lokálních, tak o WAN aj.), zcela odmítám jakékoliv nasazování IPv6 do seriózního provozu. Času na vyřešení bezpečnostních připomínek a problémů (včetně kvalitních navrhovaných řešení) měla standardizační komise více než dostatek, a tak nehodlám být nyní bitý za jejich neschopnost a ideologické přemýšlení.

Predpokladam, ze zaroven zcela odmitas kdekoli provozovat IPv4, protoze drtiva vetsina z toho co odkazujes se na IPv4 da aplikovat uplne stejne. A k tomu spousta dalsich.

ale na IPv4 su mechanizmy co toto potlacaju siroko podporovane (port security, dhcp snooping, IDS a IPS na chytrejsich firewalloch)

+1

A hlavne jsou tyto mechanismy na IPv4 v drtive vetsine pripadu nasazeny (dokonce by default, aniz by uzivatel ci sitar musel hnout prstem).

Tak zrovna port security je L2 zalezitost, takze nezavisla na tom, zda na L3 bezi v4, v6 nebo treba IPX. A co se toho zbytku site tyce, v6 kompatibilni IDS i IPS muzete samozrejme zadat po vyrobcich firewallu uz dnes a ra guard taky neni uplne nezvykla feature)

paneboze. tie tvoje kecy o NAT, trotlech a doslova fanatickemu poklonkovaniu sa IPv6
si vazne nezadaju so slepou propagandou. brouk pytlik jak vysity.

Tj, zato ten tvuj vyblitek ... mas neco k veci nebo leda hovno?