Vlákno názorů k článku Už i v Africe docházejí IPv4 adresy od Vláďa Macek - Soudruzi, není na čase už zavelet, zastavit svět,...

A to jako proč? Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý přístup z netu . . .

"U IPv4 vám to nevadí? Proč?"

Ty máš pocit že dnes jsou domácí routerý běžně přímo dostupné z netu? Jaksi se mi nedoneslo, že by domácnosti v ČR měly standartně veřejnou ipv4.

Kecy. Můžeš mi tedy ukázat, jakou ipv4 adresu si mám na svém ipv4 routeru zjistit, abych se k němu mohl připojit z přímo z netu odkudkoliv tak, jako mi to umožní ipv6 pokud nebude za NATem, terý bude sypat jenom lokální adresy? Jinak se vlastně ani nemusíš obtěžovat odepisovat.

"A to jako proč? Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý přístup z netu . . ."

Zase jenom kupa keců.

Veřejná ipv4 adresa je normální pojem, kterému až na tento tvůj výstup samozřejmě dobře rozumíš, a umožňuje přímý přístup z internetu (přesně z WWW).
V ČR je několik mil. domácností. Máš pocit že má každá věřejnou ipv4 adresu aby jsi k jejich routeru (klasická domácí síť) mohl lézt přímo z WWW ?

Zajímavé. Tady jsi tomu ještě rozuměl taky:

"
Filip Jirsák 100 Bronzový podporovatel Dnes 13:17

Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý přístup z netu . . .
U IPv4 vám to nevadí? Proč?
"

... pro předcházející komunikaci si laskavě přečti vlákno do kterého lezeš.

Pak proběhlo nějaké tvoje ťápání ale odpověď na to, kolik domácností má na routeru ipv4 veřejnou adresu jsme se stále nedozvěděli.

To víš že záleží, ale jenom pokud ISP (pokud máš připojení přes ISP jako většina domácností) umožní, aby byla ta veřejná adresu z venku "viditelná". A bavili jsme se tu ve vláknu o tom, že by to s ipv6 umožnil a dělalo by se to standartně a ty jsi začal ťápat o tom, že to jde už s ipv4. Jde, ale nedělalo se to standartně, nedělá se to standartně a ani nebude. Takže u ipv4 to samozřejmě nevadí. S ipv6 se tu samozčejmě ta možnost naskytla skrz laciné rozsahy s ipv6.
Kdyby jsi napsal zrovna že sis ani nepřečetl vlákno do kterého píšeš a vůbec nevíš o čem jsme se bavili, mohli jsme si toto ušetřit. Nazdar.

> privátní IPv4 adresa vás před ničím nechrání
samozrejme ze ano, 99,9% utocnikov proste ucinny pristup za NAT neziska
(ak by ano, tak nepotrebujeme IPv6 na to, aby fungovala end-to-end konektivita, vsak)

NULL: Filip má blíže k pravdě než ty. Pokud jsi na internetu, je tvoje IP adresa z venku viditelná, tak funguje internet. Jen pokud jí nemáš veřejnou, sdílí jí s tebou více lidí a jste schovaný za nějakým NATem.

Pokud může webový server tobě poslat odpověď na tvůj požadavek o načtení nějaké stránky, může ti také nějaká data poslat útočník. Jak je tady zmíněno tisíckrát, NAT není silná bezpečnostní překážka.

Jediné co tě zajímá je firewall a ideálně zavření veškeré vnější komunikace.

@Tomáš2

No, já teď sedím za NATem ISPčka, pingneš mě jako kdybych měl ipv6 přidělenou z veřejného rozsahu? Aha . . .

argument typu, když to neumíš ty, neumí to nikdo je dost nebezpečný. Nejsem útočník a nemám důvod to dělat. Za NATem nejsi přímo adresovatelný, ping tedy logicky fungovat nebude. NAT tě ale nechrání před cizím přístupem.

Obecně stačí, abych tě donutil navštívit určitý server nebo udělat někam spojení, poté mám pootevřené dveře, abych ti mohl poslat data a tvůj router je bez problémů příjmul a předal dál, klidně na lokální rozsah.

Řada routerů byla napadnuta právě takhle, což mluví za vše. Dnes se prodávají hotová řešení, útočník nemusí znát složitosti za zneužitím slabiny, prostě je použije.

@Tomáš2

Nechrání tě plně, ale taky tě přímo nevystavuje do WWW. To je ti snad jasné. Donutit něco navštívit můžeš, ale na co domácnosti a jejich 0,- routery a 0 znalosti oproti ISP vystavovat do přímo do WWW aby do nich neustále někdo bušil jako do serverů? Být "schovaný" za NATem je pořád aspoň trochu výhoda. Vzpomeň si třeba na rom0. Ano, přisli napadení i z lokálu, ano mohli být prolomeno i NATování, ale být tu domácí routery za 25,- veřejně ve WWW tak padly všechny do 2 dnů . . . .

@Tomáš2

Jako mě by se třeba líbilo mít ipv6 i několik zdarma doma z veřejného rozsahu a využil bych to, ale by default bych to rozhodně nedával. Už tak se kolem routerů mých známých občas naběhám. A s tím napadením: Jenom si vem, kolik nákaz a jak nebezpečné jsou domácí wi-fi a ty by jsi to otevřel plně ještě i po drátě. . . .

od toho tady je ale firewall a řada ISP ho nasazuje, je poté si u nich požádat o povolení portů. NAT není od toho, aby něco chránil, i ty nejlevnější routery mají firewall a není jediný důvod ho nezapnout, bohužel bývá ve výchozím stavu vypnutý, což nechápu, já ho mám zapnutý i na mobilu.

Odstranit 99,9 % "bušení" není řešení bezpečnosti, ale jen nebezpečný pocit, že je vše v pořádku. Řada implementací NATu je dost nevhodná a routuje i to co nemá.

@Tomáš2

"Odstranit 99,9 % "bušení" není řešení bezpečnosti,"

Jasně že není, ale dost toho odstíní, a je rozhodně lepší, když to odstíní ISP, než když to nějaký .... hodí přímo na uživatele . . .

O tom pocitu tady mluví akorát <Jirsák> a ty. Jediné co jsem napsal je v podstatě to, že nechci přidávat další díru do cedníku. Už jsi mi spoustu dalších děr popsal, ale pořád nevím, proč přidávat další možnou světu přístupnou díru. . .

@Jirsák

Nech si ty svoje kecy. Speciálně kvůli takovým nechápačům když se jim to hodí aby mohli otravovat - jako ty, už dokonce píšu o WWW, protože si uvědomuji, že napsat jenom internet nebo net je jenom další záminka, pro takové ..... jako ty, přispěchat a začat dělat jak najednou nechápeš a jak je to všechno jinak
Ať se ti to líbí nebo ne, za NAT prostě není tak dobře vidět, adresy mohou být přidělovány náhodně a navíc se jejich rozsahy mohou krýt pro další subnety.
Nikdy jsem netvrdil že tě NAT před něčím chrání, s tím tady pořád dokola prudíš ty a omláš to jenom ty. Já jenom říkám, že za NATem nejsi přímo vystavený do netu (pro nechápavce kontextu a vlákna když se mu to hodí: do WWW).
Je jasné že ze síťě vedle na mě vidět asi půjde a půjde mě adresovat, ale už vidím, jak někde z Afriky pingneš moji 192.168.45.489. Ha Ha Ha - když se teda za NAT neschohvám. A pak si zkus pingnout 8.8.8.8 abys viděl, jaký je v tom rozdíl.

+ Když je to jinak, tak tě vyzívám, aby jsi pingnul můj router od sebe z WWW, když je na mě teda za NATem vidět z WWW a vystavuje mě do netu stejně jako ipv4 přidělená z veřejného rozsahu (pro účelově nechápavého: pokud ISP umožní ji za NATem vidět). Ale klidně mě můžeš teda pingnout i z jiné sítě protože síŤ přece není jenom ta WWW. (ISP gateway máš za Nickem a moje ip je 192.168.20.103)
Přeju veselý ping (-pong) Jirsáku.

2Null to ze je jirsak pitomec neznamena,z e v tomhle pripade tu nejses za 10x vetsiho vola prave ty, protoze ma naprostou pravdu a NAT te nechrani ani trochu, Naopak, NAT razantne zhorsuje bezpecnostni situaci, protoze nastavit firewall tak, aby spravne fungovat s natem je nekolikabnasobne slozitejsi a BFUcka jako TY to naprosto nemuzou zvladnout.

Vubec nevis o cem zvanis, nevim proc bych neco nekde pingal, kdyz se ktomu muzu rovnou pripojit.

@j

Mohl by jsi mi ukázat, kde jsem napsal, že NAT je nějaká bezpečnost?

Už jsem to asi rozluštil.

Zde

"A proč by neměla mít? Proč ty televize a ledničku nenechat přímo přístupné z netu? Tady jsi za natem ISPčka a to je nuda, ne?"

jsem měl napsat místo "jsi za natem ISPčka" tohle "jsi za natem (a samozřejmě firewallem) ISPčka"

a zde

"A to jako proč? Já se jenom děsím toho, že nějaký ISP dá routeru za 750,- mého dědy ipv6 a přímý (adresa) přístup z netu . . ."

Celou dobu tady žvatleš, že jsi a NATem dobře schovaný před útočníkem, protože nejsi vidět pomocí standardních nástrojů jako PING z jinýho kontinentu

Je to mimochodem stejná pitomost, jako tvrdit, že nemůžeš zemřít na otravu, protože u nás kobry nežijí...

V bezpečnosti neplatí, že pokud prokážeš neprůstřelnost pro jeden vektor útoku, tak útočník nepoužije jiný a jsi v suchu. Zkus chvíli pro změnu myslet jako zločinec, který chce třeba výkupný za zašifrovaný data, jedno od koho. Vážně je pro tebe NAT problém?

@Petr M

"V bezpečnosti neplatí, že pokud prokážeš neprůstřelnost pro jeden vektor útoku, tak útočník nepoužije jiný a jsi v suchu."

Super, tak na co se starat. Existuje více vektorů útoku, tak ser.m na všechny. Práda . . . Kdybych se vrátil k tomu tvému "příkladu" s kobrou tak bych mohl říct: Když tě kousne kobra tak se otrávíš, tak už je to jedno, můžu si dělat co chci a sahat na kdejakého hada.

@Jirsák

"už vidím, jak někde z Afriky pingneš moji 192.168.45.489. Ha Ha Ha - když se teda za NAT neschohvám
To, že není možné pingnout neexistující IP adresu, neznamená, že jste schovaný."

No, pravda, upsal jsem se a nevšiml jsem si toho 4 -> 1. Ale ty moc dobře víš co jsem tím myslel.

"10.93.9.40"

Co odpovídá je jedno - tak zkus pingnout 10.93.9.40 a uvíme jak ten NAT prostřelíš.

"To ovšem nejdřív budete muset vymyslet, co znamená „pingnout od sebe z WWW“."

Abys mě pingnul od sebe z kompu přes " „internet“ nebo „net“ " nebo odkud chceš, třeba tvůj server

MImochodem

" Např. momentálně píšu ze sítě UPC a modem/router má přidělenou veřejnou IPv4 adresu" - na co když je to přece jedno?

"Za tím NATem je je nějaký počítač, který má IP adresu 10.93.9.40. . . . Přitom ale na tu IP adresu je 1:1 mapovaná veřejná IP adresa . . . "

A to tak má každý a každý ISP nebo jenom tento který jsi vybral, co? ;-)

"Ignorujete, že existují techniky, jak se přes NAT dostat"

A na co jsou, když je to jedno a není potřeba se přes NAT někam dostávat protože je všechno veřejné, viditelné a jasné?

"jak jste schovaný za NATem >>>a nikdo se k vám nedostane<<<<"
"nevíte o žádném mapování z veřejné IP adresy na vaši privátní, že takové mapování neexistuje."

To tvrdím kde?

"útočníka to není žádná překážka"

Na co máš teda tu veřejnou ip? Však je to mapované, není to vůbec žádná překážka . . .

"Podstatné je to, že to tak můžete mít i vy, a nijak to neovlivníte ani o tom nemusíte vědět."

A nebo nemusí. Tak má to tak každý ISP pro všechny? Koho by to napadlo, že webový server bude mapovaný na ip z veřejného rozsahu když má odpovídat na dotazy. Už ses na 10.93.9.40 dostal?

"není potřeba se přes NAT někam dostávat protože je všechno veřejné, viditelné a jasné?
Tvrdí kdo?"

Ty. Tak tvrdíš mi tu že NAT není žádná překážka, dokonce se dostáváš na 10.93.9.40 za NATem, nebo zde
" Já celou dobu tvrdím, že NAT je pro oprávněného uživatele zbytečná komplikace, ale pro útočníka to není žádná překážka" - žádná překážka přece, ne?

"Uznávám, že je neopodstatněné hledat smysl ve výrocích o sítích u člověka..."

Ano, možná by jsi se měl víc soustředit na to co chce člověk říct a ne na to, za co se dá popotahovat. No, už jsme se od "veřejná ipv6, kterou ISP zpřístupní, je to samé jako ipv4 z priv. rozsahu v nějaké podsíti" k "musí to být mapované", tak uvidíme co dál . . . .

"Asi vás to překvapí, ale servery provozujeme primárně pro uživatele, ne pro útočníky"

To mě nepřekvapuje. Ale nevím, na co bych neměl zavírat okno, když už zamykám ty dveře a bytný (ISP) zamyká vchodové.

"Už ses na 10.93.9.40 dostal?
Samozřejmě. Jak bych asi jinak znal tu privátní IP adresu?"

Haha . . . Ne že ti opovídá, ale jestli na "10.93.9.40" dokážeš něco poslat? Asi ne že. A dokázal bys něco poslat na "10.93.9.40" kdyby to měla veřejnou ipv6?

A kolik % těch domácností v ČR má teda mapované veřejné ipv4 stejně tak jako ten tvůj příklad "10.93.9.40"?

Ale v pohodě, host s veřejnou ipv6 nebo privátní ipv4, co na tom . . .

@Dytis

No jasně že je snáze napadnutelný ten s veřejnou adresou. Pokud vím, tak platí pravidlo, že služby které nepotřebuješ, máš mít vypnuté - zde veřejná ip pro většinu lidí. Přímá adresovatelnost na veřejnou ip je prostě jeden z možných vektorů útoku - ano, cílený - ale je, a naopak to nahrává každému kdo chce cílit a nechce nebo neumí hledat. Malý nebo málo pravděpodobný vektor? Ano, ale proč ho nezaříznout, když veřejnou ip nepotřebuju (nebo ten můj děda, já bych ji i využil . . . .)

@jirsák

Ne že ti opovídá, ale jestli na "10.93.9.40" dokážeš něco poslat? Asi ne že.
Jak „asi ne“?

" A pak zkuste pingnout 78.108.96.2. Víte, jaká IP adresa vám na ten ping odpovídá? 10.93.9.40"

Ale pingáš 78.108.96.2 ne 10.93.9.40" protože "... Přitom ale na tu IP adresu je 1:1 mapovaná veřejná IP adresa...." jak jsi tvrdil.

Tak co, kolik domácností má mapovanou veřejnou ipv4?

@Jirsák

" a když vám napíšu, že pingám 10.93.9.40, vysvětlujte my, že mám halucinace a ve skutečnosti je to 78.108.96.2"

Filip Jirsák 100 Bronzový podporovatel 4. 4. 2017 9:38
"
Vy si zkuste pingnout www.vlada.cz. To teprve uvidíte ten rozdíl.A pak zkuste pingnout 78.108.96.2. Víte, jaká IP adresa vám na ten ping odpovídá? 10.93.9.40. Pokud to nevíte, to je také IP adresa z privátních rozsahů, stejně jako 192.168.20.103. Gratuluju, právě jste prostřelil neprůstřelný NAT, a to přitom o sítích nevíte vůbec nic.
"

To nebude o halucinacích ale o tom, že jsi konečně zjistil, jak se (nedá)dá adresovat veřejná/privátní ip pokud na tu síť z venku nevidíš. Ale každý si to může zkusit sám

$ ping 10.93.9.40

Nevím, proč když když zamykám branku (ISP), vchodové dveře (PC + firewall), tak bych měl nechávat otevřené okno. Je to jenom komplikace (otvírat, větrat, zavírat) a zloděj bytař se tam stejně dostane i přes dveře

A kolik těch ISP má teda pro každou domácnost mapovanou veřejnou ip jako ten server v tom tvém příkladě?

ISPíků jedoucí metodou, že každý zákazník má svoji veřejnou IP, ale ta je na hlavní bráně překládána pomocí NAT 1:1 je relativně dost (ale množina je menší, než těch, kde jsou za CGNAT typu 1:N). Tohle používají ti, co mají dost svých IPv4 adres a nechtějí e srát s data retention.
Pk jsou tací, kteří tko dávaí veřjku jen za příplatek, ale tam bych mohl vědět, zda platím něco navíc nebo ne...

Být bez NATu je jako přijít do kancelářské budovy a někým na návštěvu a nikde se nahlásit.

Být s NATem je jako přijít do kanecelářské budovy, dojít na vrátnici a říct, že jdu za tím a tím. Když se někdo na vrátnici neohlásí a rovnou jde dál, tak to nikdo neřeší. Recepční není od toho, aby honila lidi po chodbě.

Až teprve turniket v podobě firewallu tě donutí jít na vrátnici sdělit, kam jdeš. A potom je jedno, jestli ti vrátný prostě otevře (bez NATu), nebo zavolá dotyčnýho, ať si tě odvede (s NATem). Provozovatel budovy má přehled, kdo je uvnitř a co tam asi dělá a ví, že se tam necourá nikdo, kdo pro to nemá důvod.

ve zjednodušené podobě je celá diskuze poněkud legrační, protože jedni a titíž lidé tvrdí, že nat je zlo, protože se za něj nedá jednoduše dostat a všichni s tim maj problém a zároveň je jako zabezpečení k ničemu, protože kdo chce se přes něj bez problémů dostane :-)

Ale to se nepopírá. Záleží na úhlu pohledu.

Dav na náměstí je na pytel, pokud máš najít konkrétní osobu.
Dav na náměstí je super, pokud tam chceš odpálit bombu.

NAT je na pytel, pokud chceš s někým komunikovat napřímo bez prostředníka.
NAT je super, pokud se chceš nabořit do sítě a nezajímá tě konkrétní cíl. Probourat NAT je jednodušší, než firewall a když ho prorazíš, bereš vše...

Nevím, co je na tom legračního
No, původně jsem myslel, že xichtík na konci bude stačit, ale evidentně jsem měl výslovně napsat, že následuje nadsázka a že to nemáte brát vážně. ..žiši...

Pamatujete, jak vloni byla část republiky bez netu, protože krabičky od Ubiquity chytly vira? 99% těch krabiček bylo za CGNATem... Tož asi tak.

Bylo by naprosto krásné, pokud by většina koncových zákazníků byla ochotna si vzít domácí router za 750 Kč. Řada jich není ochotno ani šmejd za 300 Kč, takže u řady lidí ani není a domácí router je nahrazen nastavením sítě ISP (pomíjím případ, že jsou ISP, kteří nechějí, aby lidi home router měli, že jim ho dodávají jako službu na své infrastruktuře).
Představa o tom, že pokud je děda za CGNNAT ISPíka, tak jeho router je v pohodě, to už vyvraceli jiní. Popravdě je taková situace často horší, než kdyby doopravdu tu veřejku přímo na routeru měl. On totiž v dané iluzi žije i ten ISP a u řady z nich to vypadá tak, že na tom domácím routeru natvrdo zapnul ovládání přes WAN, nechá default heslo, aby se to nepletlo a mohl router kdykoliv poladit na dálku...
Jink souhlasím, že na počet ISP v ČR (cca 2500) jich většina veřejky nedává (protože je často vůbec nemají).
Co se týče té IPv6 (a i IPv4 v podstatě), tak doporučení pro domácí router říká, že by v základu měl být aktivní stavový firewall, který dovnitř pouští jen odpovědí na spojení vzniklá z vnitřku plus ping, IPsec, MIP. Jak jsou na tom takové levné krabičky s IPv6 a firewallem v reálu, tak to jsem nezkoumal.