Názor k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od Jan Hrach - > Ne, nemusí tam být. Když vám ISP...
-
Jan HrachStříbrný podporovatel> Ne, nemusí tam být. Když vám ISP přiděluje IP adresy z privátních rozsahů, klidně vám adres přidělí víc.
To je hodně neobvyklé, to jste fakt někde viděl? ISP přímo dodá uživateli switch nebo si ho uživatel pořídí sám? A když má uživatel wifi, tak je tam navíc bridgovaný segment přes desatero wifi sítí?
> Obvykle to stejně dělají botnety – myslíte, že mají v kódu speciální výjimku, aby privátní rozsahy vynechávaly?
Skoro bych věřil že to bude implementované tak, že bot skenuje náhodné rozsahy a do 192.168.x nebo 10.x se trefí jenom občas :). Důležité ale je že v síti budete mít nejspíš klienta 1-2 botnetů zkoušející každý třeba 3 útoky které tam autoři zadali, zatímco na internetu je toho hromada (většinu ani nevidíte, protože útočníci si oběti vyfiltrují podle bannerů, takže nikdo nezkusí útok na službu, kterou neprovozujete).
> Já pořád odmítám za bezpečnost označovat přístup „snad se to sem netrefí“.
Ale to bylo přesně to, na co jsem reagoval. Například pro DDoS, spam a pod. je to rozšíření důležité (čím víc, tím silnější problémy pro oběť).
> Tohle máte něčím podložené, nebo je to jen odhad?
Jen odhad. Váš odhad by vyžadoval, aby to zařízení s botnetem co se k vám dostane do sítě následně zkoušelo tisíce specifických útoků na různé zranitelnosti všeho možného. Ale nevím, možná se provozovatelé botnetů sdružují do takto hromadných skupin a všichni si navzájem zkouší všechno?
> Jiný můj odhad je, že drtivá většina SOHO routerů, které dělají ten domácí NAT, má rovnou od výrobce nastaven firewall, který blokuje příchozí spojení.
Ano, to si také myslím…
> A bude to tak i u IPv6, dokud se neukáže, že to nedává smysl.
…a tohoto se bojím -- protože pokud se z toho stane standard a nerozšíří se žádný standardní protokol / znalost pro koncového uživatele, jak si zařízení, které komunikovat potřebuje, spolehlivě zařídí povolení takové komunikace, tak budeme přesně tam, kde jsme teď - stejně pořád budeme muset mít „cloudy od výrobce“, protože end to end komunikace nebude fungovat. V tom lepším případě alespoň budou na zařízení dvě volby (komunikace přes cloud / komunikace přímo), v tom horším to bude úplně jako dneska (mnoho zařízení komunikuje přes „cloud“ i když jsou ve stejné LAN a stačilo by zjistit že se vidí jako 192.168.0.65 a 192.168.0.237).
ČLÁNKY DO MAILU