Názory k článku Síťařské desatero při připojování sítě do internetu
-
KapitanRUM (neregistrovaný)
Nechci být hrubý, ale pokud někdo výše uvedené principy nezná, nemá se v síti co hrabat. Následovat by tak mohlo chirurgické desatero a jako první bod by byl, "Pokud do člověka budete řezat bez narkózy, asi bude křičet.".
Rozesmál mě bod:
Protokol IPv6 nemám, nemusím ho řešitKlaus nesnáší Euro, já IPv6, pro Klause je Euro to samé, jako by společnou měnu zavedlo Japonsko, Čína a KLDR, pro mě je IPv6 kýbl svinstva, ve kterém se musím hrabat.
Ale zkusím konstruktivní kritiku:
Co si pomůžu tím, že budu implementovat IPv6?
Zavedení další sady pravidel pro IPv6 do firewallů představuje zvýšenou administrativní zátěž, mimo to existují ještě stále neopravené chyby v řadě prvků "podporujících IPv6". První pravidlo u IPv6 by mělo znít "Pokud chci zavést IPv6, provedu update firmware minimálně hraničních prvků na poslední verzi a protože se těch chyb v poslední době rojí dost, jistě stojí za to i pravidelně monitorovat stránky výrobce! Tj. ve firmware, který právě instaluji do hraničního prvku, bude zítra nalezena bezpečnostní chyba.
IPv6 je kýbl hnoje, se kterým se asi budeme muset naučit žít, tedy zřejmě budeme všichni dříve nebo později tento protokol nasadit, proto je důležité, aby cestu IPv6 někdo prošlapal, ať se v odpadu prohrabe nejprve nějaký evangelista, ať vychytá všechny problémy, když má tolik nadšení, času a tak se mu líbí se v tom rochnit. Tak ať si to užije.Tedy pravidlo IPv6 by mělo znít spíš:
"Výrobci na IPv6 kakali jako na placatý kámen, proto když se tento protokol pokusíte nasadit, znamená to pro Vás zvýšenou administrativní zátěž při správě dvou protokolů. Také bezpečnostní riziko, pokud nemáte čas si hlídat verzi firmware na hraničním prvku!"
Samozřejmě se objevují chyby i v implementaci IPv4, ale ten protokol je už tak starý, že se kritické chyby objevují řekněme poměrně zřídka.Ten článek se mi nelíbil.
Ale je mi jasné, že všem ostatním se líbit bude. -
nesíťař (neregistrovaný)
Se přiznám, že přesně nechápu co konkrétně chtěla utorka vyjádřit tím, že: "Další z mnoha mýtů. To, že IPv6 není v síti implementován, ještě neznamená, že zařízení uživatelů připojených do sítě IPv6 nemají. Opět k tomuto tématu bylo hodně napsáno a řečeno, ale ve zkratce – mnohé operační systémy mají dost prostředků, jak IPv6 provoz automaticky tunelovat a v dokonce jej i zprostředkovávat dalším koncových systémům a stanicím v síti."
Ale tak nějak mne napadlo, že IP6 jde aktivovat ad-hoc, zejména tunelem. Nevím nakolik je možné aby klientské aplikace použily vlastní SW a obešly systém... v každém případě, já v domácí síti IP6 nepoužívám a když si chci být jistý že bude mrtvé, tak ho v systému (hraničního počítače) úplně deaktivuji.
Vím, že srovnání s klasickými sítěmi to nesnese, ale celkem by mna zajímalo jak snadné je nasadit IP6 externě, bez využití vestavěných služeb systému Windows, za situace kdy síťový HW je pod kontrolou a IP6 má zakázané.
-
nesíťař (neregistrovaný)
Stena chápu, ale tys tomu "zázraku" nasadil korunu, píšeš nesmysl a ještě bez zdůvodnění.
Když píši že zakážu IPv6 tak myslím i vestavěné prostředky pro tunelování. Je mi přitom jasné, že pokud je IPV4 tunel vytvořen z jiného počítače, který hraniční počítač použije pouze jako bránu, bude tunel vytvořen. Tedy ani zakazem IPv6 provoz na Firewallu, nedosáhnu žádné změny.
Jak mám filtrovat/blokovat provoz tunely, pokud bych vycházel z předpokladu že je může vytvořit jakýkoli SW na jakoukoli IPv4 adresu? Proto jsem se ptal na tu možnost obejití standardních služeb systému Windows.
Prostě mi ta rada v článku příjde jako plácnutí do vody. Sitace kterou nejde realizovat, bez povolení komunikace pouze pro pár schválených služeb a aplikací.
-
Udělá to se znalostí používaných technologií. Pokud by na síti byly pouze schválené stroje se schváleným software, není problém blokovat konkrétní prostředky, které ten software (v tomto případě samotné Windows) používá. Pokud si na síti používá kdo chce co chce, tak holt smůla, popřípadě drastické řešení typu proxy s whitelistovanými službami.
Bezpečnost a užitečnost/flexibilita jsou dva protichůdné požadavky, mezi kterými se vždy hledá balanc. Nejbezpečnější je samozřejmě kabely odstřihnout, popřípadě systémy vypnout, ale to asi není účelem ;).
-
KapitanRUM (neregistrovaný)
A měl jsi mě vidět, když mi bylo dvacet, to jsem byl teprve tydýt.
Nikdy jsem netvrdil, že se nepletu, ale první pecko jsem složil ve 13-ti, první firmu založil v 18-ti a první lidi na starost dostal v 19-ti.
Teď, o mnoho a mnoho let později, mohu říct, že se na řadu věcí dívám úplně jinak. A často vidím, jak jsem se tenkrát mýlil. Dostal jsem dar, prošel jsem si všechna patra IT nahoru i dolů a to několikrát. Vystřídal jsem hodně firem a mám myslím rozhled, který každý nemá. Jsou lidé, kteří vydrží sedět na jedné židli deset let, já se vždy tak po dvou letech začal nudil. Jenže když někdo sedí na jedné židli deset let, nemá přehled.Sem na root v poslední době chodí hlavně:
Rybízci - myslí si, že ví všechno ze všech nejlíp, protože právě udělali zápočet z integrálů
Teoretici - Dlouho sedí na jedné židli a cucají si z prstu teorieTeoreticky proti IPv6 nemám nic, ale prakticky je provoz obou protokolů šílený opruz. Teoretika to nemusí zajímat, ON MÁ SVŮJ NÁZOR, který MUSÍ být správný, protože na té židli sedí už tři roky a ještě mu nikdo neřekl, aby se hnul. Rybízek neví o světě nic, sice mu někdo řekl, jak pár věcí funguje, ale nic neví o tom, jak to funguje ve velké korporaci, kde je XY zařízení roztahaných po 5-ti halách a 10-ti site.
V rybízkově firmě mají 5 pecek, jeden ADSL modem, používají Outlook, Word, Excel a nasadit tam IPv6 je práce na jedno deštivé odpoledne.
Jenže rozjet to v systému, kde máte několik site, řadu výrobních zařízení, velmi složitou síťovou infrastrukturu, je mimo rybízkovo chápání.Většina lidí tady se podívá na svůj ADSL modem a začne křičet "IPv6" se nasadit dá přece snadno. Nojo, doma jistě.
Mimo jiné mě nebaví číst urážky od nekompetentních rybízků/teoretiků.
Tímto se omlouvám všem, které jsem urazil, když jsem byl ve stejném věku. -
"velmi složitou síťovou infrastrukturu"
A není právě nasazení IPv6 obrovskou příležitostí, jak onu velmi složitou infrastrukturu velmi zjednodušit?
Mnoho lidí se toho obává, ale já si různé "migrace" doslova užívám, protože se přitom pokaždé pořádně uklidí. A je jedno, jesti je to změna síťování, změna virtualizační technologie, nebo prostě cokoliv. Vždy to vede k lepšímu.
Jestli v něčem vidím problém (vidím jich tedy víc), tak je to právě v přístupu k věci ze strany síťařů. Místo, aby to vzali jako výhodu, "máme nový protokol, uděláme to znovu a lépe", tak vymýšlejí na IPv6 supermegasložitosti tak, aby se jim to co nejvíce podobalo jejich složité stávající infrastruktuře.
-
Pavel 'TIGER' Růžička (neregistrovaný)
No jo, jenže síťaři mají nad sebou šéfa a když mu předloží plán s cenou na migraci, tak začne vytáčet číslo na chocholouška. Pak se začne ptát: "A je to nutné? Skutečně to potřebujeme, když to teď funguje?" Ne, není to nutné a firma to zatím nepotřebuje. Ten čas je zatím ještě hodně daleko a až to přijde, tak se to překope a bude to lepší. Teď je to tak maximálně na tu výměnu domácích modemů. :-D Já s Rumem souhlasím a plně ho chápu. On ten finanční fakt je totiž zásadní a nelze ho přehlížet. Mezi tím snad i ten protokol dozraje k lepšímu použití.
-
j (neregistrovaný)
Ehm .... delam mimo jine pro jednu nejmenovanou firmicku s obratem v G. Zavedeni (tunelovane) Ipv6 = cca 10 radku v konfiguraku + par radku firewallu (mnohem min, nez IPv4). Vedeni firmy to ... nevi ... protoze je to ... nezajima. Za to si samozrejme plati me.
Samo, existujou v siti stale zarizeni i aplikace, ktere s IPv6 nekamaradi ... ale to nikomu nevadi. A samo, ze strany IT je pozadavek na libovolny novy system (mimo jine) prave IPv6.
Nekolik lidi pak primo tezi z toho, ze se mohou na IPv6 spojit s nekterymi zarizenimi uvnitr naprimo ... a nemusi si nekam zapisovat nejaky zhuverily port. Staci jim, kdyz si pamatuji jmeno.
Navic se zaroven za provozu overuje, ze je vse OK a ze to nicemu nevadi. Vazne bych nechtel byt v kuzi admina, kterymu prijde mail "tak zejtra vam tu 4ku odpojime, stejne to uz nikdo nepouziva".
Toliko k "nakladum", ktere naopak mohou byt tim vahanim a oddalovanim zvysovany. Muze se totiz nakrasne stat, ze zcela nova aplikace nebo zcela novy HW, bude jednoho krasneho dne zraly leda do popelnice, protoze se znicehoz nic zjisti, ze to s IPv6 nekamaradi.
-
XTV (neregistrovaný)
To jste mel asi rict hned na zacatku, ze pod pojmem zavedeni IPv6 si predstavujete zprovozneni tunelovaci sluzby. Akorat podle tech vasich reci si nejsem uplne jisty jestli vam ty tunely poslapou az tu 4 budete s velkou slavou vypinat.
Vas management to bude zajimat az dojdete to faze kdy s IPv6 budou spojene nejake naklady ci komplikace - hw, skoleni, call zakaznika kteremu diky happy eyballs pujde neco jenom napul, nebo kdyz se vam polame ten vas tunelovaci bazmek a vy budete potrebovat penize na novy, ci aspon opravu.
Pak prijdou ty neprijemne otazky. Kolik nam to prineslo zakazniku ? O kolik nam to zvedlo zisk ? Proc zrovna my mame byt prukopnici ? Proc to delame ? Ale to predpokladam uz mate asi nejak vyjasnene.
Ale jinak fandim a drzim palce. Lidi kteri prosazuji idealy a v podstate z toho nic nemaji je urcite potreba.
-
Filip JirsákStříbrný podporovatelMezi „Proč zrovna my máme být průzkumníci?“ a „Proč to pořád nemáme, když už to mají všichni okolo?“ může být velmi tenká hranice.
-
TP (neregistrovaný)
Myslim, ze v soucasne dobe, kdy je podil na strane klinetu 1,6% (http://www.google.com/intl/en/ipv6/statistics.html), ci ponekud optimisticteji 4% na strane poskytovatelu obsahu (http://6lab.cz/live-statistics/web/) tahle varianta jeste neni aktualni.
A na nejaky rychly nastup v nasledujicich dnech to rozhodne nevypada, takze moc nevidim duvod proc platit za implementaci IPv6 v siti. To si radeji vystacim s nejakym vyrazne levnejsim prohlasenim typu "kupujeme HW, ktery uz IPv6 podporuje" (=ten nas router ma nekde na krabici napsano IPv6), nebo "nasazeni IPv6 aktualne pripravujeme" (=koupili jsme si knihu od Satrapy), ci "mame rozjety piltoni testovaci projekt" (=jeden nas technik si to u sebe zkusil zprovoznit).
Ono je rozdil si s IPv6 jen tak ve volne chvili pohrat a nebo to nabizet jako garantovanou sluzbu, ci nedejboze jeste na to drzet SLA.
-
KapitanRUM (neregistrovaný)
Ano, jsi zapálený evangelista, jsem rád, že nejsi stejně zapálený muslim/křesťan nebo cokoliv dalšího!
Za pár dnů na 50%!
No lol a to jsem tě měl sice za fanatika, ale příčetného.O2 dávno IPv6 nějak podporuje: http://www.o2.cz/osobni/techzona-sluzby/IPv6.html
A všichni jsou úplně v klidu.
Žádný hromadný úprk na IPv6 se nekoná!Vyhledej prosím lékařskou pomoc, tvůj fanatismus ti myslím přerůstá přes hlavu.
Pro ostatní:
Myslím, že růst penetrace IPv6 bude exponenciální, velmi pozvolný nástup bude vystřídán rychlou koncovkou. Rychlou myslím dejme tomu z 10% na 50% za dva roky a na 9x% za další rok.Všichni mohou být v klidu do doby, než bude penetrace IPv6 alespoň přes 30-40% a pak začít připravovat přechod, aby přešli zhruba při 60% penetraci.
-
Santiago (neregistrovaný)
Uz doslo k tomu, ze i velkym ISP dochazeji adresy a tak je setri, jak to jde. V okamziku, kdy zjisti, ze provoz neceho jako MAP-T je pro ne podstatne levnejsi a operacne jednodussi nez provoz centralnich NATu, tak nasazeni IPv6 bude vicemene side-effect k zajisteni bezneho provozu.
-
Santiago (neregistrovaný)
Hadam, ze pro velke ISP bude MAP-T podstatne vyhodnejsi kvuli tomu, ze narozdil od NATu (1:n) je (centralni prvek) bezestavovy, takze odpadaji problemy s zajistenim redundance a load balancingu - pakety muze zpracovat libovolny MAP-T box bez ohledu na spojeni, do ktereho patri, takze neni problem kdyz napr. dojde k preroutovani kvuli zmene topologie, nebo kdyz je treba vypnout ci restartovat jeden MAP-T box. Vzhledem k vyuziti IPv6 pro 'nepronatovany' traffic odpadaji problemy s tim, ze 'pronatovany' a 'nepronatovany' traffic se micha v routovani (takze MAP-T box muze byt v siti prakticky kdekoliv). A navic nehrozi DoS utoky na stavovy prostor NAT boxu.
Pro miniISP je to vcelku jedno, ti uz davno maji jeden PC NAT nekde hned u uplinkove brany.
Ale samozrejme je otazka, zda se to uchyti.
-
Santiago (neregistrovaný)
> ci ponekud optimisticteji 4% na strane poskytovatelu obsahu
Pokud se to vazi podle navstevnosti, tak to je nekde u 12 % (a navic mezi ne patri i ty s velkym trafficem, jako Youtube ci Akamai). Samotneho me docela prekvapuje, ze skoro vsechny weby, ktere bezne navstevuji, uz IPv6 podporuji.
-
j (neregistrovaný)
Ehm ... ten tunel mam proto ... ze je zadarmo ... a ziskam tim tu Ipv6 konektivitu => mam v siti realne Ipv6 provoz (toho casu kolem 10% veskeryho provozu ven jde pres IPv6). Co se tyce zbytku zprovozneni ... mno widle od vist vejs Ipv6 maj zapnuty v defaultu, na XP staci pustit "ipv6 install" ... pravda, neumej RDPcko a dalsi veci, ale browsit se pres to da. Tucnaci samo IPv6 zvladaji taktez.
A mimochodem IT nikdy zadny novy zakazniky neprivede a zisk nezvysuje. IT je pojistovna = davaji se do nej prachy, aby veci fungovaly a aby se nic nepodelalo.
-
Martin Pustka (neregistrovaný)
Je celkem normální ten upgrade rozložit do několika let tak, aby se realizoval při obvyklé obměně infrastruktury. Neznám zatím situace ne-malých infrastruktur, kdy by šéf odkýval okamžitou investici do obměny všeho.
A nasazovat IPv6 lze postupně, existují různé přechodové mechanismy. Ty umožňují alespoň základní podporu realizovat s poměrně malými investicemi a můžete tak dostat IPv6 provoz pod kontrolu.
Mj. to ovšem nejde bez schopnosti a zájmu techniků. Kdo chce, hledá cestu. Kdo nechce, hledá důvody. Ale zase chápu situace, kdy to opravdu není vhodné a jsou pro to důvody :-)
-
l. (neregistrovaný)
Souhlasim s RUMem, jeste dnes se obcas stane ze se potkam s pripadem (obzvlast lidi, co delaji "prumyslove" veci), kdy zarizeni je IPv4 CLASSFUL (nezna masku a nevi co je gateway) a ja musim resit zverstva jako proxy-arp a podobne "workarroudy z roku 123";
IPv6 je zajimave tema pro ISP a SOHO ale ve velkem prostredi nenasaditelne... -
Člověče, konečně si jednou neděláš ze všeho prdel a ukazuješ se tu v normálním světle :D.
„Teoreticky proti IPv6 nemám nic, ale prakticky je provoz obou protokolů šílený opruz.“
Šílený a ještě šílenější. Taková je realita. Nic nejde tak jednoduše, jako to šlo s jedním protokolem. Místo booleovského funguje-nefunguje, které zvládne otestovat uklízečka najednou plnou funkčnost po každém protokolu zvlášť dokáže spolehlivě otestovat jen velmi dobrý odborník.
Někdy bych si od tebe vyslechl víc rozumných komentářů ;).
-
Kolemjdoucí (neregistrovaný)
IPv6 zavést musíš z jednoduchého důvodu a tím je konec IPv4 adres. NAT není internet. Můžeš se tady dokonce rozplakat, ale to je tak všechno co můžeš.
Nářky kolem IPv6 jsou stejné jako při přechodu z 16-bit na 32-bit OS a pak za 10 let při přechodu z 32-bit na 64-bit OS a aplikace. -
TP (neregistrovaný)
Ryze z pragmatickeho hlediska je mozna ucelnejsi se drzet tech 98.5%, kteri na IPv6 z vysoka... Pokud ale mate nejaky napad jak zavadeni IPv6 zrychlit hura do toho a pokud se na tom dokazete napakovat tim lepe.
Nevsimnul jsem si, ze by prechod od 16 k 32 bitum a od 32 k 64 byl nejak extra bolestivy. Ono totiz u techto prechodu byla takova jedna malilinka drobnost a to zpetna kompatibilita. To bohuzel u IPv6 neplati ani v nejmensim a proto za tu dobu co jsme se od 16 bitu dostali k 64, tak cca za stejnou dobu jsme se u IPv6 dostali od 0 k 1.5%.
-
Kolemjdoucí (neregistrovaný)
Geniální nápad nemám, vyřeší to samovolně neviditelná ruka trhu. Noví zákazníci budou odcházet ke konkurenci kde dostanou veřejnou alespoň IPv6, na místo NATu.
Kompatibilita je dávno vyřešená, majoritní OS mají deset let dual-stack, aplikace mladší deseti let psané podle doporučení běží na obou verzích. Poslední a také nejdražší brzda je nákup nového síťového hardware u ISP, to bude trvat nejméně deset let, než se to prosadí.
-
ondro (neregistrovaný)
Neviditelna ruka trhu je blbost, to je taky maly mytus. Ta to nevyriesi. Tu to vyriesi tlak na zakaznika, bez moznosti volby.
BFU nevedeli a ani nebud vediet nic o IPvX. Ty len bud nasrany, ze budu musiet kupit novu skatulku aj ked ta stara im funguje a internet tiez.
Nieje to otazka HW u ISP. Je to skor otazka HW u uzivatelov. ISP meni HW relativne casto, tak podora IPv6 sa k ISP dostane relativne rychlo. Uzivatel meni az ked potrebuje alebo dostane novy za korunu (to plati pre domacnosti a aj firmy). Pre jednych aj druhych su to z ich pohladu zbytocne vynakladane prostriedky. -
Kolemjdoucí (neregistrovaný)
BFU moc dobře ví, že bez veřejné IP nejedou dobře torrenty a VOIP a další věci, proto ji vyžaduje. Škatulku si koupí noví zákazníci, k IPv6 adrese si rovnou koupí škatulku na IPv6.
ISP mění HW teprve tehdy, až je k tomu donucen, rozhodně si nekupuje Cisco za miliony jen tak z plezíru. Majoritní ISP v ČR proto na IPv6 donedávna dlabali, letos snad budou mít nějaký testovací provoz. A začali to řešit jenom proto, protože novým zákazníkům už skutečně nemají co dát a budou jim muset dát IPv6.
-
TP (neregistrovaný)
Az potkate nekoho kdo uprednostni IPv6 only konektivitu pred NAT-ovanou V4, tak dejte prosim vedet. Udelame mensi oslavu.
A do te doby nez ubehne tech 10 let a ISP koupi novy HW budem delat priblizne co? S tim SW taky asi nemate uplne pravdu - co skype, MSN, ICQ pripadne dalsi viz. http://tools.ietf.org/html/rfc6586
-
Kolemjdoucí (neregistrovaný)
Zatím neznám, akutní potřeba IPv6 vznikla teprve letos, v souvislosti s vyčerpáním IPv4 a bude to trvat +- 10 let, než se to realizuje.
Noví zákazníci dostanou neveřejnou IPv4 a až se ISP uráčí třeba za 5 let koupit nový HW, tak potom i veřejnou IPv6.
Skype opravdu nefunguje, svévolně na to dlabe.
-
XTV (neregistrovaný)
Provider ti cecko dnes klidne da, ale holt za to budes muset zacalovat. Je dobre si na to zacit zvykat, protoze s IPv6 to nevypada zatim nejak ruzove.
Je rozdil jestli uzivateli nefunguje ICQ jako celek vcetne dalsich aplikaci (skype napr.) a nebo jen posilani souboru v ICQ, ktere si dokaze poresit jinak (ulozto atd.).
Za tohle pripojeni uzivatel ochoten zaplatit rekneme 300-400Kc, a je jedno jestli nekdo vede akadamickou debatu jetli to pro nej Internet je a nebo ne. Pro bezneho uzivatele je to normalni plnohodnotne fungujici Internet za ktery je ochoten platit a moc nechape proc by mel kupovat novy router, ktery umi IPv6 a nebo dokonce si za IPv6 priplatit. Naopak provider, ktery pripojuje za tech 300-400 taky nema zrovna moc na rozhazovani aby caloval implementaci IPv6 v siti. To si radeji zajede nekam na dovolenou.
-
KapitanRUM (neregistrovaný)
Není to jen o tom, IPv6 ještě stále není dostatečně prošlapané.
Náběh bude zřejmě exponenciální, což docela dobře chápu.
Za rok-dva touhle dobou bude na síti třeba už 25% IPv6 zařízení, za další dva roky 70%.
Nebo mezi tím někdo přijde na něco lepší, což si lidé zamilují, ale o tom silně pochybuji, za stávající situace se nikomu nebude chtít dělat pokusy s něčím dalším. -
Karel (neregistrovaný)
To jako jestli je to dopředně kompatibilní? Asi ne. Ale zpětně ano. Vemte starou aplikaci a i na novém HW a OS to poběží bez nutnosti to přeprogramovat. To se vám u starších "internetových" věcí nepodaří, prostě to na IPv6 není stavěné a navíc to má poměrně často zadrátované věci typu "tyhle 4 byty jsou IP adresa", takže ani překompilovat to nepomůže. Pak leda tunelovat a to mělo svého času docela mouchy.
Nevím, jestli technologie pokročila a dnes pro Linux existuje plně funkční a jednoduchý systém, jak provozovat IPv4 only aplikace i v situaci, kdy mám jen IPv6 linku k ISP. Ale možná je to jen otázkou času, než to někdo dá na trh. Zatím se spíš hraje na to, že počítač vždy IPv4 spojení má, byť by to byla neveřejná IP adresa za NATem.
-
XTV (neregistrovaný)
Zvlastni, vy zijete asi v nejakem jinem svete, nez rada jinych sitaru. Moc vam zavidim. U nas teba naprosta vetsina at uz ekonomickych systemu, meraku, dohledovych systemu, EZS a dalsich systemu pouzivanych ve firmach neco jako IPv6 jeste nevidela ani z jedouciho rychliku. A pokud uz neco naznacuje podporu IPv6, tak je to zpravidla dost bastl, ktery se stejne neda moc pouzit.
Kadopadne tam v budoucnosti pozdravujte. My se tam mozna casem dokodrcame (mozna).
-
KapitanRUM (neregistrovaný)
Mluví o Linuxu, prohlížeči a Webovém serveru, nic jiného nikdy neviděl.
http://www.papouch.com/cz/shop/product/gnome232-prevodnik-ethernet-rs232/
...ostatně jako valná většina lidí tady... -
j (neregistrovaný)
Zvlastni ... me fe firmach kde se o sit staram uz par let IPv6 jede, zadny problem stim neni ... a vsechno co ma potrebu komunikovat po siti IPv6 zvlada. (a to i v pripadech, kdy ten soft nezvlada svoji primarni funkci ...).
Nemluve o tom, ze u internich firemnich systemu je to asi celkem naprosto jedno.
-
Ondřej CaletkaZlatý podporovatelNevím, jestli technologie pokročila a dnes pro Linux existuje plně funkční a jednoduchý systém, jak provozovat IPv4 only aplikace i v situaci, kdy mám jen IPv6 linku k ISP.
Přesně tohle se jmenuje 464XLAT a mluvil o tom např. Pavel Satrapa na IT 13. V praxi je to implementováno například v českém WrapSix klientovi, což bylo ukázáno na IPv6 Day.
-
Zen (neregistrovaný)
" A některé služby internetu, respektive protokoly, nechceme vnitřním systémům naší sítě zpřístupnit (tj. „nechceme je pustit ven“). Typicky to mohou být poštovní služby protokolu SMTP (TCP/25), kdy chceme případně napadeným systémům zabránit v přímém rozesílání spamu."
A uzivatele nas budou lyncovat, protoze nebudou moci poslat postu pres svuj postovni server. IMHO je dalaeko vhodnejsi monitorovat provoz na "postovnich" portech (nejen! port 25) a v pripade abnormalniho vzrustu provozu zakrocit.
"Ale praxe ukazuje, že je vhodné i u menších sítí aplikovat minimálně pravidlo, že dovnitř sítě pustíme pouze pakety již navázaných TCP spojení."
Cimz efektivne zakazeme veskere sluzby poskytovane ven, ze. Navstevu rozzureneho spravce serveru/aplikace muzeme ocekavat v blizke budoucnosti (dobu, nez dotycny zjisti, odkud vitr fouka venujeme nacviku bojovych umeni).
-
Ondřej CaletkaZlatý podporovatel
A uzivatele nas budou lyncovat, protoze nebudou moci poslat postu pres svuj postovni server. IMHO je dalaeko vhodnejsi monitorovat provoz na "postovnich" portech (nejen! port 25) a v pripade abnormalniho vzrustu provozu zakrocit.
Pro předávání pošty relaying mailserveru slouží port tcp/587, služba submission. Používat pro takové účely port tcp/25 je vzhledem k současnému stavu internetu nerozumné.
"Ale praxe ukazuje, že je vhodné i u menších sítí aplikovat minimálně pravidlo, že dovnitř sítě pustíme pouze pakety již navázaných TCP spojení."
Cimz efektivne zakazeme veskere sluzby poskytovane ven, ze.Tohle je praxe z doby, kdy byl dostatek IPv4 adres na oadresování všech zařízení, tedy i stanic. Dneska stejný účel mimoděk splní NAT, a těch pár veřejných adres, které dotyčná síť vyžebrá bude jistě použito především na serverové služby.
-
„tak vazne enni aniz adny duvod resit zrovna port 25 nejak extra.“
Zrovna 25 by se za předpokladu, že všichni budou používat submission port, řešila docela hezky a to opt-out blokováním kdy jen ti, kteří skutečně chtějí provozovat poštovní server si vyžádají od providera odblokování. Neříkám, zda je to dobře nebo špatně, ale v praxi na blokovanou či podmínečně blokovanou 25 narážím velmi často a provozovatelé daných sítí to za dobrý nápad považují.
-
Ja som klientom jednej takej siete a povazujem to tiez za dobry napad. Uz len kvoli tomu, ze ak chcem prevadzkovat svoj smtp-out server na adrese z rozsahu tohto providera, je ovela mensia sanca, ze sa cely rozsah dostane na blacklisty kvoli zopar somarom. Problem je, ak to dany provider neodblokuje ani na poziadanie, to je uz iny pripad.
-
j (neregistrovaný)
Somar je tak leda ten isp, tvuj rozsah dostanu na blacklist lusknutim prstu ... on to nekdo normalni pouziva? Vazne nevim, proc bych se mel s nekym dohadovat o tom, jaky porty budu smet milostive na sve zaplacene lince pouzivat.
BTW: Kdyz sme u toho, dle RFC by meli vsichni pro odesilani pouzivat mailserver providera => mel by pro vsechny svoje ovecky fungovat jako open relay.
-
„Kdyz sme u toho, dle RFC by meli vsichni pro odesilani pouzivat mailserver providera“
To je pěkná cypovina. Teda netvrdím, že to v nějakém RFC není napsané, od té doby, co o standardech něco vím, tak bych za ně ruku do ohně nedal. Ale kvůli podobně jalovým nápadům (v kontextu doby a použití, samozřejmě) jako je tento, vypadá elektronická pošta tak, jak vypadá.
-
Praktik (neregistrovaný)
Takhle to ale v praxi nefunguje. Mnohem důležitější než jakási blízkost serveru je jeho spolehlivost - takže je mnohem výhodnější posílat maily přes svůj prověřený spolehlivý server, než přes nějaký náhodně vylosovaný jen proto že je "nejbližší". Navíc pro tu vaši teorii "nejbližšího serveru" není žádná opora ani v klientském software - tam se prostě nastavuje jeden SMTP server a hotovo, žádné měnění v závislosti na tom jaké je zrovna síťové připojení jsem ještě neviděl.
-
UnInformed (neregistrovaný)
Si ještě matně pamatuji, že když v Česku Internet a e-mail začínal, tak se i doporučovalo dávat do "adresy" mail servery které se mají použít. Možná jich svého času někdo používal i více (mělo to jít - řetěz mail serverů až k tomu se schrankou). Nebylo to ale prakticky třeba dělat, veřejný (free) mail tehdy fungoval celkem spolehlivě.
Jestli to ještě dnes, u veřejných mail-serverů, funguje nevím. Tím myslím, zda se ty servery těchto instrunkcí drží, nebo jedou podle vlastních pravidel.
Nějaké experimenty z poslední doby?
-
j (neregistrovaný)
SMTP server posila DHCP, kazdej rozumnej klient si to umi vzit. A da se predpokladat, ze server providera ke kterymu sem prave pripojen je z pohledu site radove spolehlivejsi, nez server nekde na druhy strane planety ... ke keterymu se aktualne trebas ani nepripojim, protoste proto, ze nekde cestou zrovna neco nejde.
-
Praktik (neregistrovaný)
Ano, do DHCP se dá nacpat kdeco, ale problém je vždy s tím najít klienty kteří to dokáží používat. "kazdej rozumnej klient si to umi vzit" prostě není pravda. A co se týká spolehlivosti serverů na druhý straně planety tak možná žiju na jiný planetě, ale já s tím problém nemám. Pořádný server na pořádném hardware s patřičnou redundancí (včetně síťového připojení) u kvalitního providera je pro mě dostatečně spolehlivý, nemám důvod místo toho své maily svěřovat nějakému náhodnému SMTP serveru u kterého nemám zaručeno vůbec nic.
Za svých mladých let jsem instaloval SMTP servery i ve firmách které měly pouze občas vytočený dial-up, maily se tím přenášet daly (ve spolupráci se SMTP serverem u providera), ale od té doby už se toho hodně změnilo, dnes už je všude kde se pohybuje dostatek lidí připojení k internetu natolik spolehlivé že se na podobné hacky už naštěstí můžeme vykašlat.
-
Sten (neregistrovaný)
A uzivatele nas budou lyncovat, protoze nebudou moci poslat postu pres svuj postovni server. IMHO je dalaeko vhodnejsi monitorovat provoz na "postovnich" portech (nejen! port 25) a v pripade abnormalniho vzrustu provozu zakrocit.
Pro odesílání pošty slouží port 587. Abnormální provoz na jiných portech než 25 nechť si řídí samy poštovní servery. Ono úplně stačí, když někdo použije TLS, a nemáte podle čeho zakročovat (posílá ta stanice 50 000 spamů nebo jen fotky z dovolené?).
Cimz efektivne zakazeme veskere sluzby poskytovane ven, ze. Navstevu rozzureneho spravce serveru/aplikace muzeme ocekavat v blizke budoucnosti (dobu, nez dotycny zjisti, odkud vitr fouka venujeme nacviku bojovych umeni).
Veškeré P2P služby stejně používají hole punching a serverové služby v malých sítích si holt musí vyjednat výjimku.
-
Z vlastního zařízení, které není v síti, si samozřejmě může uživatel dělat cokoliv. :-)
Síťaři ale musí zabezpečit, aby si uživatel to vlastní zařízení nemohl zapojit do firemní sítě. Jedno shození portu na catalystu píchnutím nefiremního notebooku do zásuvky, které navíc automaticky založí bezpečnostní incident, uživatele poučí :-) -
Tak k realitě. Pro všechny tyto případy je určená "návštěvnická síť". Pokud se někdo připojí do interní sítě, systém ho obratem "bonzne".
Případně na jiné síti (opět z praxe) se po připojení nefiremního zařízení zablokuje port na switchi.
Ale setkal jsem se i se sítěmi, kde si každý dělal co chtěl. Naštěstí od takových můžu dát ruce pryč :-)
-
Ovšem za předpokladu, že používají HTTP, protože v sítích, kde je požadována vyšší bezpečnost je HTTPS povoleno jenom na předem definované servery :-)
Moje původní myšlenka ale byla o tom, jak nastavovat a obcházet odesílání soukromé pošty. Spíš to, že schvaluji "zakázat pětadvacítku" na i na "benevolentních" firemních sítích, protože pak si někdo přinese domácí notebook (kde nemá antivir a "pracuje" pod adminem) a najednou se začnete divit, proč je vaše IP adresa na SPAM listu... Mimochodem, to je příklad z praxe, ne teorie :-)
-
j (neregistrovaný)
Jop ... uz sem jednomu BFUcku resil tunelovani cehokoli v html ... fungovalo to vpohode. (samo, upozornil sem ho predem, ze se to dotycnemu provozovateli site asi moc libit nebude)
Mimochodem, realita je ta, ze mailserver rozhodne nebezi na IPcku gw do netu, tohle muze provozovat leda blazen. Prave proto, ze pres tu GW muze lozit ledacos. Sam se o neco takovyho staram, a presto ze GW a predstrceny postfix mezi na jednom stroji, tak to ma ruzne IPcka.
-
Martin Pustka (neregistrovaný)
Jen dodám, že cílem článku bylo sepsat několik základních pravidel, která by síťař měl zajistit při připojení sítě do Internetu tak, aby alespoň omezil rizika technického zneužití své sítě nebo její kompromitaci třeba pro některé typy útoků.
Moje praxe i tato diskuse pod článkem ukazuje, že některá z pravidel nejsou známa nebo nejsou aplikována a to bez ohledu na to z jaké jsou sféry jsou administrátoři. Zajištění směrování, filtrace by se měly aplikovat nejen v univerzitních sítích.
-
mathew7 (neregistrovaný)
Viem, že hraničné smerovače by mali poskytovať potrebný výkon, ale aj tak pokiaľ sa tam aplikujú pravidla, výkon pre smerovaní (rýchlosť) sa môže zhoršiť, preto treba počítať stím, že tie pravidla tam proste potrebujem a preto si zariadim aj potrebné výkonné zariadenie ? :) Počítam aj s optimalizáciou pravidiel.
-
Na začátku rovnou napíšu, že síť dělám jen domácí. No ale dám k dobru, jak to chodilo u nás v práci: Léta tam byl NAT a manuální nastavování IP (bez DHCP). Kompy, co neměly mít přístup na net, neměly vyplněný DNS. Takže Seznam v modrým éčku nešel a bylo zabezpečeno.
Asi rok po tom, co se to profláklo, tam NAT vypli a zavedli proxy na heslo. A taky M$ doménu, aby jel evidenční systém. Jenže WiFi má pořád NAT/DHCP a lidi mají smartphony... Asi se do té kvalitní sítě opravdu nevyplatí investovat.
ČLÁNKY DO MAILU