Vlákno názorů k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od looker - Pěkný článek. Ale co mi chybí, aby se...

Pěkný článek. Ale co mi chybí, aby se změnilo to IPv4 myšlení, je popis nebo i názorné flow-chart porovnání oněch praktik.
Třeba NAT v IPv4, původně trochu z nouze funkce, plní jistou bezpečnostní funkci. Chce to vzít trochu komplexněji a ne jenom stylem "v IPv6 NAT není potřeba", ale říct k tomu i to "b" ohledně FW na routeru.
NAT je jenom příklad.

NAT sám o sobě není příliš velké zvýšení bezpečnosti. Je to jen překážka normálnímu fungování, ale bad-guys to nezastaví.
Zatím všechny routery, co jsem měl za posledních 6-7 let s IPv6, měly out-of-box zapnutý IPv6 firewall - ať už to bylo několik VDSL modemů, exUPC Compal nebo Vodafone Station.
FW lze vypnout, ale třeba na Vodafone Station se po 24 hodinách zase zapne.
Tak jaké "b" chcete slyšet?

Tady je ovšem potřebná změna myšlení v tom přestat si myslet, že IPv4 NAT plní bezpečnostní funkci.

A firewall na routeru v domácí síti fakt není potřeba. (Navíc v současně prodávaných SOHO routerech je podle mne většinou firewall blokující příchozí spojení defaultně zapnutý.) Služby v domácí síti je potřeba vnímat tak, musí odolat běžným útokům – NAT je nijak nezachrání, protože útok může být veden přes jiné zařízení v téže síti. Fakt nestačí spoléhat se na to, že hodně útoků je velmi naivních a jdou jenom přímo, protože těch, které útočí přes sousední zařízení, je pořád dost. Nebo-li pokud NAT zabrání 1000 útokům denně a útok, který obejde NAT, je jen 1 denně, neznamená to, že se stačí spolehnout na NAT. A obrana proti tomu 1 útoku zabrání i těm 1000 útokům.

SOHO zarizeni zasadne maji spickove resene zabezpeceni, rozhodne nikdy nestaci znat adresu a pripadne nejake default prihlaseni typu admin/admin a rozhudne vubec nikdy nemaji zadne vzdalene zneuzitelne chyby, proto je nasnade, ze firewall neni treba a mohou byt zcela bez obav vystavena na Internetu ;-)

Jenže ona ta zařízení na internetu vystavena jsou, bez ohledu na to, jestli je tam někde nějaký firewall.

Fascinuje mne, kolik lidí má potřebu debatovat o firewallech, přitom vůbec netuší, k čemu firewall slouží. Firewall slouží k tomu, že odděluje dvě (nebo více) sítí s různým stupněm bezpečnosti. Laicky řečeno, mám chráněnou síť, která je bezpečná, a firewall ji odděluje od jiné sítě, třeba internetu, kde je nebezpečná divočina. No a vy tvrdíte, že SOHO zařízení mají vzdáleně zneužitelné chyby, přihlášení typu admin/admin – a chcete tvrdit, že síť, ve které je takové zařízení, je bezpečná? To je jak kdybyste měl přízemní byt s okny mířícími na ulici dokořán, v obýváku na gauči už sedí dva konkurenční zloději a dohadují se, jak si rozdělí lup, a vy řešíte, jestli máte zámek s cylindrickou vložkou.

Pokud nemáte zaručeno, že ostatní zařízení v síti jsou bezpečná, pak vás firewall nezachrání, protože útočník napadne ostatní zařízení přes nějaké nezabezpečené zařízení v téže síti.

Jestli máte doma zařízení s přístupem admin/admin nebo se známými zranitelnostmi a myslíte si, že můžete být v klidu, protože máte přece na nějakém routeru za pár stovek „zakliknutý firewall“, tak jste zářným příkladem toho, že tyhle firewally akorát škodí, protože vzbuzují falešný pocit bezpečí.

Mimochodem, bezpečnostně nejproblematičtější zařízení je právě ten router, na kterém chcete firewall provozovat. Ostatní zařízení vás často donutí zadat bezpečné heslo a/nebo nemají žádnou službu, která by na nich běžela (službou myslím něco, co naslouchá příchozím spojením).

To je pěkný nesmysl, či věc osobní odvahy, jít do netu byť přes IPv6 bez FW.

Je zajímavé, kolik lidí napíše, že je v SOHO síti potřeba firewall, ale nikdo neví, k čemu by ten firewall měl být. Kdyby to někdo věděl, tak by to snad napsal jako argument na podporu svého tvrzení.

"původně trochu z nouze funkce, plní jistou bezpečnostní funkci. "

Ehm ... dalsi ...

Ne, neplni je to presne opacne. NAT bezpecnost velmi vyrazne zhorsuje. Jak sem psal o fous vedlr, firewal s NATem je monhem slozitejsi, musi nutne obsahovat mnohem vice pravidel, a je zde radove vetsi pravdepodbnost chyby, proste proto, ze si je casto velmi obtizne uvedomit, odkud co kam tece a jak se to meni, zatimco bez natu se nic nemeni a vse je pruhledne ciste.

A to je jedna jedna cast, dalsi jsou samozrejme zcela samostatne bugy v implementacich, ktere u prosteho routovani proste spachat nejde ani s velmi znacnou snahou.

Jj. V korporatu mame na tyto veci uz flow simulatory a detektory spatnych konfiguraci. Diky ruznym natum jsou pravidla tak nechutne slozita ze to musi projizdet analytickymi nastroji.
Tatam jsou leta kdy clovek ocima zkouknul nastaveni fw kolegy. Dnes nejsem sebevedomy ani u sveho domaciho fw.

Nedokazu si predstavit jaky bordel musi byt u malych ISP a jestli vubec tusi co tam maji za skryte kostlivce. Nebo jen proste zakosum reknou "tam zadny pravidla nejsou" kdyz jim treba nejde ipsec.