Názor k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od Jan Hrach - > Vy tam asi očekáváte NAT. Ale on...

> Vy tam asi očekáváte NAT. Ale on tam být nemusí.

To víte že je.

> Navíc zranitelnost může být i na tom routeru.

Bývají, byť z WAN napadnutelné málokdy, a používané pro pestré útoky dovnitř sítě ještě méně málokdy.

> Protože útočník se na cílové zařízení nebyl schopen dostat přímo (neprošel přes fireweall), ale dokázal se dostat na nějaké jiné zařízení za firewallem a cílové zařízení napadl odsud – firewall mu už nestál v cestě.

Tam už prostor pro „běžný síťový firewall“ nebyl, typický další krok byl zašifrování dat na tom počítači, na připojených síťových discích, nebo šíření ve Windows doméně přes nějaké ty NTLM pass-the-hash bizarnosti kterým nerozumím.

> Ale ten, kdo ovládá botnet, ve kterém už má spoustu jiných domácích zařízení, takhle může proskenovat „své“ domácnosti. A to mu stačí.

Nemůžete rovnou uvést nějaké profláklé případy kdy se tohle stalo? (případy kdy někdo takhle sklízí „veřejný internet“ předpokládám známe oba, takže bych chtěl něco s podobnou závažností/roz­šířením)

> Nic se nestane, pokud v té síti za NATem není jiné napadené zařízení.

I když bude, tak bude zkoušet výrazně menší paletu exploitů než co mi chodí po internetu.

> Aby to tvrzení o NATu bylo pravdivé, potřebujete k tomu přidat spoustu dalších podmínek. No a daleko lepší, než specifikovat a pak ověřovat všechny ty podmínky, je prostě NAT vůbec nepovažovat za bezpečnostní prvek.

S tím souhlasím, ale pořád si myslím, že se současnými NATy je napadených třeba 5% zranitelných ledniček a vysavačů (viz první reakce) a v případě volné skenovatelnosti (která ovšem ani v IPv6 není zaručena, protože je složité uhodnout adresu) by to bylo 100% (prostě by je někdo všechny proskenoval a sklidil).