Názor k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od Filip Jirsák - To víte že je. Ne, nemusí tam být. Když...
-
Filip JirsákStříbrný podporovatelTo víte že je.
Ne, nemusí tam být. Když vám ISP přiděluje IP adresy z privátních rozsahů, klidně vám adres přidělí víc.Nemůžete rovnou uvést nějaké profláklé případy kdy se tohle stalo? (případy kdy někdo takhle sklízí „veřejný internet“ předpokládám známe oba, takže bych chtěl něco s podobnou závažností/rozšířením)
Vy u těch případů, kdy takhle někdo sklízí internet, víte, že se tak děje jenom u veřejných IP adres? Obvykle to stejně dělají botnety – myslíte, že mají v kódu speciální výjimku, aby privátní rozsahy vynechávaly?Co se týče rozšíření – je pro vás rozdíl, když někdo napadne vaše zařízení, nebo když napadne vaše zařízení a k tomu ještě dalších tisíc jiných zařízení jinde na internetu? Já pořád odmítám za bezpečnost označovat přístup „snad se to sem netrefí“.
S tím souhlasím, ale pořád si myslím, že se současnými NATy je napadených třeba 5% zranitelných ledniček a vysavačů (viz první reakce) a v případě volné skenovatelnosti (která ovšem ani v IPv6 není zaručena, protože je složité uhodnout adresu) by to bylo 100% (prostě by je někdo všechny proskenoval a sklidil).
Tohle máte něčím podložené, nebo je to jen odhad? Nic proti odhadům, někdy nic lepšího nemáme. Ale můj odhad by byl diametrálně odlišný, tak by mne zajímalo, zda ho mám výrazně korigovat, nebo zda prostě máme dva různé ničím nepodložené odhady.Jiný můj odhad je, že drtivá většina SOHO routerů, které dělají ten domácí NAT, má rovnou od výrobce nastaven firewall, který blokuje příchozí spojení. A bude to tak i u IPv6, dokud se neukáže, že to nedává smysl. Takže ten domácí NAT nemá šanci se jako bezpečnostní prvek předvést, protože vedle něj působí mnohem mocnější firewall. A pokud je ten NAT jinde, třeba u ISP, shodli jsme se snad už na tom, že ten opravdu není možné považovat za jakoukoli ochranu.
