Vlákno názorů k článku Zavádění IPv6 zase připomíná multidimenzionální problém (ne)svižnosti státní správy od Bartolo - Jak souvisí hack nemocnice s IPv6. Je opravdu IPv6...

Jak souvisí hack nemocnice s IPv6.
Je opravdu IPv6 bezpečnější?

Hack nemocnice s IPv6 samozřejmě nesouvisí. Faktem je, že hackování(tvz. neautorizovaný přístup) bude mnohem jednodušší a snažší pro kohokoliv, pokud každé zařízení s IPv6 bude napojené a přístupné z WAN. Čím více zařízení bude viditelné z venku, tím je větší šance že si ho někdo všimne což znamená vyšší šanci útoku. Zařízení jsou prostě děravá. IPv6 není nijak bezpečnější než IPv4, stačí si prohlédnout hlavičku IP datagramu. Podle mě jsou oba protokoly stejně bezpečné/nebez­pečné. Bezpečnost sítě resp. LAN je o hlavně správci + bezpečných osazených zařízení.

Už přeci za Snowdena se tajné služby byli schopni napojit na zařízení v domácnostech a čím dál mám pocit, že tlak na IPv6 je jenom další krok podobného trendu. Čím více různých smart udělátek připojených k síti, tím více možnosti snažšího sledování (např. šmíráků, zločinců i tajných služeb).

Každé zařízení s IPv6 nemusí být nutně dostupné z internetu. Firewall funguje pořád stejně. Spousta koncových přípojek dnes má automaticky veřejnou IPv4 adresu a přesto není možné se s nimi zvenčí spojit. Tohle je dvacet let omílaný argument, který ale není platný.

Já jen doufám, že zapnutý firewall "z venku" bude výchozí možnost u nových zařízení, jinak nám tu brzo situace s malware dost zhoustne.

Na druhou stranu, máme tu spoustu různých prapodivných zařízení schované za NATem, které dnes spoléhají na různé cloudy, přes které se ovládají a tohle by teoreticky s ipv6 odpadlo. Na druhou stranu, úplně nevím jestli je to dobré, nebo špatné...

Zapnuty firewall v defaultu muze mit (a mela by mit) kazda stanice bez ohledu na to, jestli je v ceste dalsi "centralni" firewall. Mimochodem, treba i Windows tohle taky umi - akorat to vsichni ciste z vlastni pohodlnosti vypinaji, ze? ;-)

S prichodom IPv6 sa nielen prapodivne zariadenia urcite nezbavia cloudu.
Pouzitie cloudu ma svoje vyhody, pre BFU urcite.

Do te doby nez se nekde v autoamtizaci neco zamota, nebo nekdo udela chybu. A ta automaticky vystavi kus nebo vse ven, skoro okamzite.

Uz jen to ze to jde je, je vlastne riziko. Ano mame FW, ale vetsi infrastruktury jako neocnice se stejne budou delat "infrastructure as code " protoze to jinak nikdy v zivote nikdo neda dohromady.

Takze je jen otazka casu nez nastane chyba pujde to vse ven, jen protoze to lze...

No to je pravda, když něco nejde, nemůže se to zvrtnout, dává to smysl. Jdu se odpojit od sítě a budu posílat dopisy. Na mě si nepřijdou.

Ale to už se může stát teď s IPv4. Spousta koncových přípojek má veřejnou IP adresu. Někteří velcí poskytovatelé dost adresy mají a přidělují je. Čistě proto, aby nemuseli řešit NAT a spoustu problémů kolem. Už teď se kvůli chybě může na síti stát cokoliv. To ale neznamená, že se máme zaseknout proto, že nám došla nějaká čísla.

Ale je platný. Ano, lze zařízení které je na viditelné na WAN zablokovat na něj přístup z WAN(a je jedno jestli je IPv4 či IPv6) ale 90% lidí to nedělá a 70% lidí ani neví že to jde, a samozřejmě některé zařízení to nepodporují.. Samozřejmě i zařízení s IPv6 můžeš mít schované za NAT(NAT64), s/bez firewallu apod.. ALE vize světa " správce sítě do každé domácnosti " kvůli bezpečnosti je těžké sci-fi. Navíc koncept osazování smart udělátek v domácnostech bez implenetované a udržované bezpečnosti prostě je hrozba.

Jenže tu nejde o jenom o ty hackerské útoky ALE o tvorbu MASIVNÍCH ZOMBIES bootů, jejíchž datový tok za nějakými účelem např. DDOS může drasticky omezit dostupnost/pros­tupnost sítě.

Závěr : evidentně ta IPv6 tu jednou bude(i když ji nepotřebujeme neboť hw/sw dokáže podporovat obě najednou) a povede to k většímu množství viditelných uzlů sítě na které se bude moci útočit a ovládat. Ale za mě čím později to přijde tím lépe. Podle mě by bylo nejvýhodnější aby oba protokoly běželi současně a IPv4 se vypla třeba kolem roku 2050,2070 či 2100.

PS. a je zrovna zajímavé jaký ty jsi "radikál" co se týče IPv4 ale Český rozhlas který nikdo neposlouchá chceš zachovat, přestože v roce 2024 je to obdoba Pony expresu.

Už teď to u IPv4 za uživatele řeší poskytovatel připojení, který má firewall na své straně. Stejně tak všechny příčetné domácí Wi-Fi krabičky mají taky svůj firewall a oddělují provoz mezi různými sítěmi. Takhle to funguje dnes, není důvod, aby to tak nefungovalo dál.

Vím o státních institucích které žádný firewall nemají , nemá jim to kdo za ty peníze spravovat a mají funkční problém se síťařinou už teď na ipv4 bez ohledu na bezpečnost a FW, a ti co to spravují mají problém koncept ipv6 pochopit ….

Tak se nestydte, reknete jmeno :-) Tyhlety zaruceny zpravy, kde se ve finale nerekne nic maji hodnotu hospodskych kecu... po tak desatem pivu.

"Čím více zařízení bude viditelné z venku, tím je větší šance že si ho někdo všimne"

To ale pro IPv6 neplatí.
IPv4 je tak málo že se dají zkusit všechny.
Nějaká jistě odpoví. V lokální síti dělám běžně.
IPv6 je tak ohromné množství, že bych je zkoušet všechny nechtěl. Ani v lokální síti/ v jednom segmentu.

19. 1. 2024, 08:44 editováno autorem komentáře

Ano, to souhlasím, že v případě "scanování" sítě běžící na IPv6 kvůli jejímu vysokému počtu možností IPadres skutečně skoro nemožné najít viditelný uzel sítě(tedy za předpokladu že vstupní uzel bude nastaven k tomu aby packety propustil z WAN do LAN) pokud scanuješ "z venku". Takže to je takové ten jediný "bezpečnosti profit". Nicméně scaning, není jediná činnost jak se dostat k IP viz. např. sniffing ten v případě IPv6 nabyde opět na důležitosti když kvůli šifrovanému obsahu packetu pozbyl smyslu okolo milénia.

Zatím každý SOHO router s IPv6, který jsem potkal (asi 4 VDSL modemy a 2 modemy exUPC) měl out-of-box zapnutý IPv6 firewall se zakázaným jakýmkoliv spojením z venku. Vodafone Station ho sice umožní vypnout, ale za 24 hodin ho zase zapne a tohle se nedá ovlivnit.
Lišilo se to jen nastavením pravidel. Ty předchozí chtěly explicitně IPv6 adresu (trošku otrava, zvlášť, když se prefix může změnit) a port, Vodafone Station chce MAC adresu a port - což je pro SOHO mnohem přívětivější.
Pokud jde o prasárny, největší jsem potkal na IPv4 s ADSL modemem (snad Edimax), který měl by default povolený management z WAN.

19. 1. 2024, 08:50 editováno autorem komentáře

"Faktem je, že hackování(tvz. neautorizovaný přístup) bude mnohem jednodušší"

Nikoli, fakt je jednom ten, ze to bude presne naopak.

Firewall s NATem = o 30% (v prumeru v me bubline) vice pravidel, a tudiz je o 30% vyssi pravdepodobnost, ze v nich je nekde dira. Musi se na nem resit situace, ktere na v6 nemohou nastat - jako ze si paketi meni Ipcka behem pruchodu tim firewallem ze?