Názor k článku Česko samo přechod na IPv6 nezvládne, trh to nevyřeší, říká Ondřej Filip od Petr M - K tomu Use Case 1: Včera ve 14:14 Filip...

K tomu Use Case 1:
Včera ve 14:14 Filip Jirsák psal: Ne, NAT ani SNAT nezabraňuje komunikaci z venku. Komplikuje ji oprávněnému uživateli, ale nezabraňuje jí.
Ty teď popisuješ, jak to jde udělat, ale po tom, co uživatel vrtá do nastavení routeru. Rád bych jenom podotknul, že je to jaksi činnost navíc, kterou musí člověk umět. Pokud to neumí BFU, je to komplikace, protože ji musíš udělat za něj, nebo ho na to proškolit. Navíc je tam podmínka nebýt za CGNATem.

Stejně tak zřídit server někde na veřejné IP adrese znamená vybrat poskytovatele, zaplatit službu, nakonfigurovat to, otestovat to,... Zase další komplikace.

Docela se divím, že se o tom s Jirsákem hádáš, když to vidíš stejně.

K tomu Use Case 2:
Píšeš: Pokud ma Lojza pristup k lince, tak jste kompromitovan nezavisle na nasazene halde technologii, proste jste MITM = boss. Neni to relevantni k NAT ani IPv4 - vidi prece pakety na jeho lince. Problem neni resitelny zadnym zpusobem.
V tom případě ale nechápu, proč ty a tvoje sekta prezentujete svatý NAT jako univerzální ochranu před tím, aby zařízení zvenčí jakkoliv kontaktoval kdokoliv nepovolaný. Můžeš nějak, místo útoků ad hominem, vysvětlit, jaký útok a jakým způsobem by asi tak měl samotný NAT, bez asistence dalších bezpečnostních mechanismů, zastavit?

A ne, MITM neznamená, že útočník je king. Na to jsou zase jiný metody zabezpečení. Tady šlo jenom o tvoje tvrzení o filtraci provozu NATem. Zabezpečení má několik vrstev, každá řeší něco jinýho a NAT mezi ně nepatří. Proto jsem v podmínkách definoval jako podmínku prolomení to, že je doručen paket zvenku na zařízení.

Ale je fér přiznat, že jsem večer už byl unavený v tom use case 2 jsem udělal chybu. První doručený paket byl FIN, a dokonce spustil akci na koncovým zařízení.

Navíc si ještě dovolím podotknout, že v cybersec kurzu nás učili, že nemáme útočníkovi věci zjednodušovat, třeba tím, že prozradíme v chybovým hlášení druh a verzi produktu, protože pak může přesně cílit útok na konkrétní zranitelnost. Tady jede 24/7 spojení na nějakou IP adresu a port, to je na 99% tunel z nějaké běžící IoT věci ve vnitřní síti, co má překonat NAT. A s minimálně 60% pravděpodobností MQTT. Svítí to jak maják. A jediný důvod, proč to vidí je, že tam je NAT. Bez něho proletí v případě potřeby 10 paketů mezi neznámou IP adresou a nějakou adresou s prefixem v Pepově síti a útočník, aby to odhalil, musí zrovna v té chvíli logovat data. A když to náhodou chytne, tak než projde logy a zjistí, která páčka, tak session skončí a nestihne do ní zasáhnout.