abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 18:44 | Nová verze

Byla vydána (en) betaverze Fedory 29. Jedná se o poslední zastávku před finálním vydáním a vzhledem k tomu, že byla zrušena alfa, tak také o první. K dispozici je v oficiálních edicích Workstation, Server a Atomic a také v podobě spinů, labů a verze pro ARM. Vydání Fedory 29 je plánováno na 30. října.

Ladislav Hagara | Komentářů: 0
dnes 11:44 | Komunita

Aktuální verzi knihy Everything curl věnované řádkovému nástroji a knihovně pro přenos dat po různých protokolech curl lze koupit v papírové formě. Kniha je volně k dispozici na stránkách curlu nebo ke stažení ve formátech PDF, MOBI a EPUB. Ve spolupráci s BountyGraph byl spuštěn bug bounty program aneb za nalezení kritické bezpečnostní chyby v curlu lze vydělat aktuálně až 33 268 dolarů. Částkou 32 768 dolarů přispěl Dropbox. Curl již umí TLS

… více »
Ladislav Hagara | Komentářů: 0
dnes 11:33 | Zajímavý projekt

Cloudflare spustil experimentální provoz ESNI - šifrovaného SNI (Server Name Indication), které umožňuje chránit soukromí uživatelů přistupujících k webům přes HTTPS. ESNI je podporováno zatím v testovací verzi Firefoxu. Při současném použití šifrovaného DNS (DNS-over-TLS či DNS-over-HTTPS) tak ISP či státy již nebudou mít žádnou přesnou možnost, jak kontrolovat či blokovat stránky, ke kterým uživatelé přistupují. Více viz také IETF draft.

xm | Komentářů: 0
včera 21:33 | Nová verze

Byla vydána nová major verze 1.8.0 open source systému pro filtrování nevyžádané pošty Rspamd (GitHub, ChangeLog). Z novinek lze zmínit nový framework selectors, optimalizaci modulu ClickHouse nebo vylepšení webového rozhraní.

Ladislav Hagara | Komentářů: 2
včera 18:44 | Bezpečnostní upozornění

Sabri Haddouche vytvořil stránku Browser Reaper, na které demonstruje zranitelnosti současných verzí webových prohlížečů Chrome, Safari i Firefox. Zveřejněné skripty dokážou zahltit nejen webové prohlížeče, ale v závislosti na nastavení, také celé operační systémy.

Ladislav Hagara | Komentářů: 12
23.9. 19:22 | Nová verze

Byla vydána verze 11.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
22.9. 13:00 | Komunita

Do 30. října se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 4. prosince 2018 do 4. března 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 112
21.9. 22:22 | Komunita

Společnost Purism představila kryptografický token Librem Key. Koupit jej lze za 59 dolarů. Token byl vyvinut ve spolupráci se společností Nitrokey a poskytuje jak OpenPGP čipovou kartu, tak zabezpečení bootování notebooků Librem a také dalších notebooků s open source firmwarem Heads.

Ladislav Hagara | Komentářů: 9
21.9. 20:33 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 10.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
21.9. 20:00 | Upozornění

Příspěvek Jak přežít plánovanou údržbu DNS na blogu zaměstnanců CZ.NIC upozorňuje na historicky poprvé podepsání DNS root zóny novým klíčem dne 11. října 2018 v 18:00. Software, který nebude po tomto okamžiku obsahovat nový DNSSEC root klíč, nebude schopen resolvovat žádná data. Druhým důležitým datem je 1. února 2019, kdy významní výrobci DNS softwaru, také historicky poprvé, přestanou podporovat servery, které porušují DNS standard

… více »
Ladislav Hagara | Komentářů: 21
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (14%)
 (14%)
 (20%)
 (23%)
 (24%)
 (4%)
 (0%)
Celkem 411 hlasů
 Komentářů: 35, poslední dnes 09:16
Rozcestník
Štítky: není přiřazen žádný štítek

Vložit další komentář
30.6.2010 02:12 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Nástup IPv6 a tím jakési znovu obnovení možnosti end-to-end komunikaci rozhodně vítám. Podstatná je ta možnost - když budu chtít, zpřístupním si na domácí počítač SSH přístup bez nějakých VPN, které dnes potřebuju.

Jen v tom vidím dost podstatné bezpečnostní souvislosti, které mi "propagační" články o IPv6 zatím neobjasnily. Vlivem nasazování NATu, jsme se na IPv4 dostali do stavu, kdy end-to-end konektivita není obecně dostupná. Současně s tím přicházelo rozšíření firewallů, ať už v rámci domácích routerů, nebo i firemních sítí. Takový firewall si dnes může jako "výchozí konfiguraci" dovolit blokovat veškerá příchozí spojení a povolit odchozí. Výjimky pro příchozí spojení jsou jasně definovatelné právě v důsledku toho, že došlo k separaci "klientských" a "serverových" služeb.

Naznačená konfigurace firewallu podle mě velmi zásadně zvyšuje bezpečnost počítačů uvnitř LAN. V případě Windows znamená vystavení stroje na veřejnou IP adresu bez firewallu něco jako rychlou smrt, při použití základního firewallu na routeru už firewall na samotném počítači skoro není potřeba. Ale i pro linuxový stroj je takový centrální firewall přínos, často po instalaci různé služby (webserver, databáze) naslouchají na všech rozhraních, a aby byly ve výchozím stavu globálně přístupné, to mi nepřijde nejlepší.

Ptám se, jak po nasazení IPv6 toto řešit, abych nezabil tu výhodu end-to-end konektivity? Samozřejmě můžu použít klasický stavový firewall přes iptables, a blokovat příchozí spojení. Firemní sítě tak budou velmi pravděpodobně nastaveny. Očekávám, že aplikace typu Skype apod. stejně na IPv6 nebodou moci očekávat, že se vždy bude možné přímé připojení na jiné počítače s IPv6.

Samozřejmě tu zůstává velmi významná výhoda, že na IPv6 mají všechy PC za tím případným firewallem globální adresu, takže si snadno můžu třeba to příchozí ssh povolit. Ale to musí řešit správce firewallu, což není vždy průchodné a hned dostupné řešení. Vím, že existují nástroje typu UPNP, kde si počítače v LAN mohou na firewallu vyžádat otevření portů. Je toto řešení pro IPv6? Nebo je jím přesun pořádného firewallu na každý jednotlivý počítač v LAN? Na Windows alespoň existují "aplikační" firewally - když chce nějaký program naslouchat, můžete otevření portu povolit selektivně jen pro něj. Na Linuxu jsem nic takového neviděl.

30.6.2010 04:35 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Takový firewall si dnes může jako "výchozí konfiguraci" dovolit blokovat veškerá příchozí spojení a povolit odchozí. Výjimky pro příchozí spojení jsou jasně definovatelné právě v důsledku toho, že došlo k separaci "klientských" a "serverových" služeb. Naznačená konfigurace firewallu podle mě velmi zásadně zvyšuje bezpečnost počítačů uvnitř LAN.
To je dost naivní pohled, který fungoval tak před 10 lety. Většina zranitelností vám dnes přijde mailem nebo se k vám dostane tak že procházíte web. Botnet sítě s tímto modelem "firewallu" počítají a nemají s tím sebemenší problém.
při použití základního firewallu na routeru už firewall na samotném počítači skoro není potřeba
Další přežitek: model všechno nebo nic. Na síti by měl každý kopat sám za sebe a věřit jen tomu čemu musí.
Ptám se, jak po nasazení IPv6 toto řešit, abych nezabil tu výhodu end-to-end konektivity? Samozřejmě můžu použít klasický stavový firewall přes iptables, a blokovat příchozí spojení. Firemní sítě tak budou velmi pravděpodobně nastaveny. Očekávám, že aplikace typu Skype apod. stejně na IPv6 nebodou moci očekávat, že se vždy bude možné přímé připojení na jiné počítače s IPv6.

Vyřešíte to normálně tak že povolíte ten port pro tu aplikaci. Nic lepšího s tím neuděláte. Jestli se aplikace spojuje ven nebo někdo na ni je z hlediska bezpečnosti té aplikace dost jedno. Absence modelu "interní sítě" aspoň donutí lidi se zamyslet nad zabezpečením té aplikace samotné.
In Ada the typical infinite loop would normally be terminated by detonation.
30.6.2010 07:00 Zdenek
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Další přežitek: model všechno nebo nic. Na síti by měl každý kopat sám za sebe a věřit jen tomu čemu musí.
Tak prezitek? A tim sam za sebe myslite ty uzivatele netusi co je to IP adresa a veri nigerijskym mailum? Nebo ze by si tito lide najednou zacli platit administratory?
Absence modelu "interní sítě" aspoň donutí lidi se zamyslet nad zabezpečením té aplikace samotné.
Ktere lidi? Programatory nebo uzivatele? No stejne je to jedno, v realnem svete se nezamysli ani jedna skupina.

Jo az bude trestni odpovednost za nezabezpeceny pocitac tak to bude jina.
30.6.2010 08:09 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Ale no tak. Bude to jako dnes, akorát ve větším měřítku. Naprostá většina BFU si na konfiguraci počítače nesahá a někoho na to mají. Takže to není žádný velký problém.

A pak mnoho lidí má veřejnou IPv4 a ani o tom neví (převážně ti s UPC a s 1 počítačem), přesto se nic moc neděje (své služby neprovozují a ty systémové ma na starost dodavatel systému).

Já bych do problematiky nasazování IPv6 vůbec BFU nezatahoval. Nic o tom neví (to neví ani o IPvv4 a NAT) a počítač si dokáží zasvinit i bez veřejné adresy.

Když použiji nějakou stupidní autonalogii, tak bych řekl, že pro řízení auta sice nemusím rozumět motorům, ale musím si umět alespoň zkontrolovat olej, tekutiny a alespoň odhadnout způsobilost ozidla pro provoz a případně zajít k automechanikovi.

A alespoň nám vzniknou nějaké nové obchodní příležitosti a nové pracovní místa.
12.7.2010 13:49 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
tim sam za sebe myslite ty uzivatele netusi co je to IP adresa a veri nigerijskym mailum?
Ne, to je myšleno na počítače na síti.
Ktere lidi? Programatory nebo uzivatele?
Nejspíš ti, co na dané síti zodpovídají za zabezpečení dat.
In Ada the typical infinite loop would normally be terminated by detonation.
30.6.2010 09:59 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Takový firewall si dnes může jako "výchozí konfiguraci" dovolit blokovat veškerá příchozí spojení a povolit odchozí. Výjimky pro příchozí spojení jsou jasně definovatelné právě v důsledku toho, že došlo k separaci "klientských" a "serverových" služeb. Naznačená konfigurace firewallu podle mě velmi zásadně zvyšuje bezpečnost počítačů uvnitř LAN.
To je dost naivní pohled, který fungoval tak před 10 lety. Většina zranitelností vám dnes přijde mailem nebo se k vám dostane tak že procházíte web. Botnet sítě s tímto modelem "firewallu" počítají a nemají s tím sebemenší problém.
Tak jistě, že se malware přizpůsobil, a existuje mnoho zranitelností pro které firewall není překážka. Stojím si ale za tím, že použití popsaného firewallu omezí prostor pro významnou část útoků.
při použití základního firewallu na routeru už firewall na samotném počítači skoro není potřeba
Další přežitek: model všechno nebo nic. Na síti by měl každý kopat sám za sebe a věřit jen tomu čemu musí.
Na jednu stranu je to pravda, ale neplatí to podle mě obecně ve všech situacích. Např. při instalaci OS, ladění nějakého embedded systému, nebo nějaké nouzové opravě, kdy jsem rád že se mi povede nabootovat nějaký systém a nahodit síť, tak jsem rád, že LAN je oddělena od "nebezpečí" otevřeného internetu. Dnes už to není tak hrozné, ale pamatuji si instalaci Windows 2000 s veřejnou IP adresou nastavenou během instalace. Během 15 minut, ještě než jsem stihl nainstalovat firewall byl ten počítač v podstatě mrtvý. Samozřejmě je to chyba toho systému, ale takové situace nastávají, alespoň já se s nimi setkávám.

Model vnitřní síť vs. internet je jaksi proti filosofii původního internetu. Z nějakého důvodu ho ale správci používají i v sítích bez NATu, takže to není z nouze ctnost. Já to vnímám tak, že internet je dnes prostě jiný, než s jakými ideály byl navrhován, a realita se tomu přizpůsobuje. V praxi ideály obvykle podlehnou řešení, které je "funkční", ale ne hezké. Často čtu, že bychom na IPv6 měli využít příležistosi, a udělat to celé lépe, neopakovat chyby jako IPv4 NAT. Podle mě to tak úplně nedopadne.

Ještě k tomu multicastu. Nepředpokládám, že by začal být použitelný hned po rozšíření IPv6. Problém není jen v dostupnosti adres, ale také v řízení sítě, resp. účtování a omezování kapacity v sítích ISP. Nevím, jestli IPv6 přichází v této problematice s nějakým reálným řešením. V současnosti multicast funguje v akademických sítích (třeba CESNET) nebo v rámci jednoho ISP pro IPTV apod. (a i uvnitř sítě jednoho ISP není provoz multicastu triviální na správu), v globálním internetu v podstatě neexistuje, i když aplikace, pro které by se vyloženě hodil, jsou.
pavlix avatar 30.6.2010 10:08 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Model vnitřní síť vs. internet je jaksi proti filosofii původního internetu. Z nějakého důvodu ho ale správci používají i v sítích bez NATu, takže to není z nouze ctnost.
Vnitřní samosatně adresovaná síť bez NATu (nebo nějaké proxy) je naprosto legitimní i když dneska ne tak obvyklé použití TCP/IP. Jen už se z takové sítě nepodíváš na net.
Často čtu, že bychom na IPv6 měli využít příležistosi, a udělat to celé lépe, neopakovat chyby jako IPv4 NAT. Podle mě to tak úplně nedopadne.

Zase hop nebo trop, ne. Snad nechceš tvrdit, že se nevyvarujeme žádných (nebo dejme tomu podstatného množství) chyb či nedostatků? Nikdo nikdy netvrdil, že tím vyřešíme všechny.
Ještě k tomu multicastu. Nepředpokládám, že by začal být použitelný hned po rozšíření IPv6. Problém není jen v dostupnosti adres, ale také v řízení sítě, resp. účtování a omezování kapacity v sítích ISP. Nevím, jestli IPv6 přichází v této problematice s nějakým reálným řešením.
Problím v účtování a omezování sítě mi přijde na multicastu víceméně nezávislý.
v globálním internetu v podstatě neexistuje
Protože na IPv4 musíš žádat o každou globální multicast adresu. Na IPv6 si můžeš globální multicast adresy přidělovat sám. Ale uznávám, že globální multicasting není jednoduchá oblast.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
30.6.2010 10:29 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Vnitřní samosatně adresovaná síť bez NATu (nebo nějaké proxy) je naprosto legitimní i když dneska ne tak obvyklé použití TCP/IP. Jen už se z takové sítě nepodíváš na net.
Já se ale z té sítě chci "dostat na net", alespoň ve smyslu, že si přes http budu moci stáhout třeba balíčky v instalátoru systému.

TCP/IP v izolované síti se používá třeba v různých průmyslových aplikacích, ale je tendence, aby ta síť nebyla tak úplně izolovaná. Aby se z ní daly dostávat informace třeba v rámci firemni LAN nebo VPN. Často se to řeší skrze NAT, takže IPv6 je pokrok. Nicméně průmyslová sféra je v tomhle dost konzervativní. Jsou rádi, že ta zařízení v posledních letech jakž-takž zvládají IPv4. Dokud to uspokojivě funguje (třebaže ze síťového hlediska nehezky), je nějaká změna bezdůvodná.

Ohledně multicastu jsem viděl vyjádření v tom smyslu, že unicast je prostě tok dat z místa A do B. Kdežto multicast je z A do teoreticky nekonečně míst. Mám např. od ISP konektivitu 100 Mbit/s NIX a 10 MBit/s tranzit. Pokud bych pustil multicast skrze ten tranzit (a ještě by to šlo přes různé tranzitní ISP), asi bude dost problém v tom, řešit to omezení. Ode mě půjde 10 Mbit/s, ale v sítí ISP se ten tok může násobit, a tranzitní linky zatížit n×10 Mbit/s. Pokud se pletu, budu rád, když mě někdo opraví. Samozřejmě v praxi bude v této situaci zapojeno víc ISP, čímž se problém komplikuje. Multicast zřejmě není úplně kompatibilní se současným modelem prodeje konektivity.
12.7.2010 14:14 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Stojím si ale za tím, že použití popsaného firewallu omezí prostor pro významnou část útoků.

Pokud 10% říkáte podstatná část tak proč ne :) Neříkám že takový firewall je a priori k hovnu, jen že sám o sobě je hned za tím hovnem...

Např. při instalaci OS, ladění nějakého embedded systému, nebo nějaké nouzové opravě, kdy jsem rád že se mi povede nabootovat nějaký systém a nahodit síť, tak jsem rád, že LAN je oddělena od "nebezpečí" otevřeného internetu.
To je fajn, ale proč by měla mít vaše účetní ze svého PC přístup k tomu embedded nebo čerstvě vylíhnutému OS?

Pokud se stroj sám o sobě neumí "bránit" tak mu lze simulovat samozřejmě soukromou síť pomocí předřazeného FW, ale je blbost cpát jeden FW na stovky strojů o kterých nic nevím; proto název "všechno nebo nic".

In Ada the typical infinite loop would normally be terminated by detonation.
pavlix avatar 30.6.2010 09:42 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Vlivem nasazování NATu, jsme se na IPv4 dostali do stavu, kdy end-to-end konektivita není obecně dostupná.
Což zdaleka neznamená, že jsi v bezpečí.
Ptám se, jak po nasazení IPv6 toto řešit, abych nezabil tu výhodu end-to-end konektivity? Samozřejmě můžu použít klasický stavový firewall přes iptables, a blokovat příchozí spojení.
Přesně tak, úplně stejně jako na IPv4. Plus nadefinujete výjimky. Problém IP maškarády je ten, že u ní nelze nadefinovat jednoduché výjimky (ano o portforwardu vím).

Skype bych sem netahal, ten žije právě z toho, že si ty díry vytvoří. Navíc bavit se o bezpečnostních rizikách a používat na stejné síti takový balast (šifrováním zamotaná binárka aktivně se bránící debuggerům) je přinejmenším podivné.
Samozřejmě tu zůstává velmi významná výhoda, že na IPv6 mají všechy PC za tím případným firewallem globální adresu, takže si snadno můžu třeba to příchozí ssh povolit. Ale to musí řešit správce firewallu, což není vždy průchodné a hned dostupné řešení.
A o tom to je. Buď to správce povolí, nebo ho musíš obcházet. Ale i v tom obcházení ti IPv6 pomůže, protože jakmile získáš kanál pro obousměrnou komunikaci, můžeš v něm udělat tunel a naroutovat si celou takto neomezenou síť.
Nebo je jím přesun pořádného firewallu na každý jednotlivý počítač v LAN?
I přesun firewallu je rozhodnutím provozovatele sítě.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
30.6.2010 10:08 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Vlivem nasazování NATu, jsme se na IPv4 dostali do stavu, kdy end-to-end konektivita není obecně dostupná.
Což zdaleka neznamená, že jsi v bezpečí.
To netvrdím, napsal jsem to jako výchozí tvrzení. Důsledkem tohoto faktu je podle mě obecná možnost nasazení stavového firewallu na hranici LAN, který by-default blokuje příchozí spojení. Aplikace s takovým stavem musí počítat kvůli těm NATům, takže pokud mám takový firewall, neomezím zásadně nejvíce používané služby (a to je krom webu ten Skype, ICQ, nebo ať jsme korektní tak i Jabber, apod.).
Ptám se, jak po nasazení IPv6 toto řešit, abych nezabil tu výhodu end-to-end konektivity? Samozřejmě můžu použít klasický stavový firewall přes iptables, a blokovat příchozí spojení.
Přesně tak, úplně stejně jako na IPv4. Plus nadefinujete výjimky. Problém IP maškarády je ten, že u ní nelze nadefinovat jednoduché výjimky (ano o portforwardu vím).

Skype bych sem netahal, ten žije právě z toho, že si ty díry vytvoří. Navíc bavit se o bezpečnostních rizikách a používat na stejné síti takový balast (šifrováním zamotaná binárka aktivně se bránící debuggerům) je přinejmenším podivné.
To chápu, je mi jasná i ta výhoda, že nemusím řešit pofidérní port forward. Pokud ale někdo argumentuje, že IPv6 např. vyřeší současné značné problémy s posíláním souborů nezi IM klienty (to čtu a poslochám velmi často), tak to podle mě není obecná pravda. Když budu mít IPv6 a oba klienti budou v takovéhle síti za firewallem, stejně bude potřeba server pro zprostředkování přenosu.
Samozřejmě tu zůstává velmi významná výhoda, že na IPv6 mají všechy PC za tím případným firewallem globální adresu, takže si snadno můžu třeba to příchozí ssh povolit. Ale to musí řešit správce firewallu, což není vždy průchodné a hned dostupné řešení.
A o tom to je. Buď to správce povolí, nebo ho musíš obcházet. Ale i v tom obcházení ti IPv6 pomůže, protože jakmile získáš kanál pro obousměrnou komunikaci, můžeš v něm udělat tunel a naroutovat si celou takto neomezenou síť.
Souhlas.
pavlix avatar 30.6.2010 10:17 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Důsledkem tohoto faktu je podle mě obecná možnost nasazení stavového firewallu na hranici LAN
Toto není pravda. Možnost nasazení takového stavového firewallu je na nasazení NAT zcela nezávislá, který by-default blokuje příchozí spojení.

Podle tvého tvrzení bych nemohl nasadit stavový firewall bez NATu, což na mnoha místech dělám.
Pokud ale někdo argumentuje, že IPv6 např. vyřeší současné značné problémy s posíláním souborů nezi IM klienty (to čtu a poslochám velmi často), tak to podle mě není obecná pravda.
Ano, neplatí to úplně obecně a nefunguje to samo od sebe při nasazení příliš restriktivního firewallu. Ale firewall je tu právě od toho, aby šly věci zakázat.
Když budu mít IPv6 a oba klienti budou v takovéhle síti za firewallem, stejně bude potřeba server pro zprostředkování přenosu.
Vyčítáš jiným zjednodušení, které neplatí obecně a sám se ho dopouštíš. To co píšeš, je obcházení firewallu. Pokud správce uzná za vhodné, může firewall nastavit tak, aby ho nebylo potřeba obcházet. Nezapomeň, že doma jsi buď správcem ty, nebo někdo, kdo nastaví firewall, jak si řekneš. Jako zaměstnanec zase nemáš na mimopracovní komunikaci po internetu nárok, maximálně je tolerována. Pro pracovní komunikaci si můžeš vyžádat takovou konfiguraci, aby fungovala.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
30.6.2010 10:42 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Toto není pravda. Možnost nasazení takového stavového firewallu je na nasazení NAT zcela nezávislá, který by-default blokuje příchozí spojení.

Podle tvého tvrzení bych nemohl nasadit stavový firewall bez NATu, což na mnoha místech dělám.
Myslel jsem to jinak. Podle mě, kdyby historicky nedošlo k takovému rozšíření NATu, tak by velká část běžně používaných aplikací (třeba typu instant messaging) mohla počítat s dostupností end-to-end konektivity, a nasazení zmíněného firewallu by takové aplikace odřízlo. Tady to byla spíš taková úvaha co by kdyby. Nic důležitého o čem bych se chtěl dohadovat.

Souvislost těchto dvou technologií jsem rozhodně nemyslel jako technickou, spíš jako věc historického vývoje.
Vyčítáš jiným zjednodušení, které neplatí obecně a sám se ho dopouštíš. To co píšeš, je obcházení firewallu. Pokud správce uzná za vhodné, může firewall nastavit tak, aby ho nebylo potřeba obcházet. Nezapomeň, že doma jsi buď správcem ty, nebo někdo, kdo nastaví firewall, jak si řekneš. Jako zaměstnanec zase nemáš na mimopracovní komunikaci po internetu nárok, maximálně je tolerována. Pro pracovní komunikaci si můžeš vyžádat takovou konfiguraci, aby fungovala.
Ano zjednodušil jsem to, možná až moc. Doma je to jedna věc, když jsem někde zaměstnán tak je to taky jiná situace. Mě se často stává, že se někdě můžu připojit do sítě (nechce se mi psát, že do Internetu) - na návštěvě, ve škole, v cizí firmě, v hotelu a podobě. Takové sítě jsou často nastavé všelijak a třeba i dost restriktivně. A reálná možnost nějak komunikovat se správcem té sítě, nebo po něm něco chtít prostě není. A když jsem v takové síti, chci se podívat na web, připojit se na IM a chci aby "vše fungovalo" (jako obyčejný uživatel, co se připojí někde na WiFi, ne jako síťový odborník).

Nemalá část úspěchu Skype spočívá v tom, že na jakémkoliv počítači s Windows, kde mám třeba minimální práva, a kde jakýmkoliv způsobem jde přístup na web (klidně proxy, firewall etc.), tak tam Skype "prostě funguje". To je (možná smutná) realita, ať je to z pohledu znalého člověka špatně jak chce. I když princip fungování Skype není moc pěkný, o tom se nepřu. Ale normálním lidem "to funguje".
pavlix avatar 30.6.2010 11:18 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Myslel jsem to jinak. Podle mě, kdyby historicky nedošlo k takovému rozšíření NATu, tak by velká část běžně používaných aplikací (třeba typu instant messaging) mohla počítat s dostupností end-to-end konektivity, a nasazení zmíněného firewallu by takové aplikace odřízlo. Tady to byla spíš taková úvaha co by kdyby. Nic důležitého o čem bych se chtěl dohadovat.
To už zní o něco věrohodněji, ale vycházíš z předpokladu, že tu dlouho byla IP maškaráda a pak teprve se vymyslel stavový firewall. Nemůžu se dogooglit konkrétních roků, ale všechno nasvědčuje tomu, že stavový firewall je tu minimálně stejně dlouho jako maškaráda.

Tudíž, by se aplikace musely přizpůsobit tak jako tak.
Ano zjednodušil jsem to, možná až moc. Doma je to jedna věc, když jsem někde zaměstnán tak je to taky jiná situace. Mě se často stává, že se někdě můžu připojit do sítě (nechce se mi psát, že do Internetu) - na návštěvě, ve škole, v cizí firmě, v hotelu a podobě. Takové sítě jsou často nastavé všelijak a třeba i dost restriktivně.
Mám zkušenost, že tyto sítě (například ve školicích střediskách) jsou restriktivnější jak než IP maškaráda, tak než klasický stavový firewall. Takže jedinou možností plnohodnotné konektivity je tunel.
A když jsem v takové síti, chci se podívat na web, připojit se na IM a chci aby "vše fungovalo" (jako obyčejný uživatel, co se připojí někde na WiFi, ne jako síťový odborník).
Co chceš je jedna věc, a co dostaneš druhá. Odesílání mailu na port 25 ti fungovat obvykle nebude.
Nemalá část úspěchu Skype spočívá v tom, že na jakémkoliv počítači s Windows, kde mám třeba minimální práva, a kde jakýmkoliv způsobem jde přístup na web (klidně proxy, firewall etc.), tak tam Skype "prostě funguje".
Nemalá část úspěchu Skype spočívá v tom, že je to malware.
I když princip fungování Skype není moc pěkný, o tom se nepřu. Ale normálním lidem "to funguje".
Normálním lidem funguje to, co jim kdo nainstaluje (nebo poradí nainstalovat). Horší je, když se z normálních lidí stanou rádobyodborníci, kteří přesvědčují a nutí ostatní nainstalovat si to samé.

Horší je, že jim to funguje jen do té doby, dokud nenarazí na člověka, který není ochotný si ten malware do počítače instalovat. Skype tímhle problémem trpí extrémně, ICQ už o něco méně díky využití alternativních klientů (tuším stále ještě v rozporu s podmínkami užití).

Holt pak tito normální uživatelé musí ještě navíc přemýšlet, kterému člověku můžou zavolat kterým programem, takže ve výsledku to mají ještě složitější (a pokud místo toho zvolí mobilní telefon, tak i o dost dražší).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 30.6.2010 10:43 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Aplikace s takovým stavem musí počítat kvůli těm NATům,
Ono bohatě stačí, aby protokol fungoval pouze na TCP a UDP spojení (ano, musí se k UDP chovat jako ke spojení navzdory povaze UDP!) na modelu klient-server, kdy server je na veřejné adrese.

V tomhle se běžné nastavení Firwallu neliší, takže není důvod, aby takovéto klient/server aplikace své chování měnily.
takže pokud mám takový firewall, neomezím zásadně nejvíce používané služby (a to je krom webu ten Skype
Skype je prokazatelný malware, takže škoda mluvit.
ICQ
ICQ (progam) je taky dost na hranici, ICQ (síť) umí využívat veřejné adresy ke zkrácení cesty komunikace, pokud vím.
nebo ať jsme korektní tak i Jabber, apod.).

Jabber má spoustu doplňkových služeb, které za NATem buď nefungují, nebo musí pomoct externí počítač (proxy, STUN apod).

Zapomněl jsi na e-mail, který taky v dnešní době funguje na modelu klient/server (původně to byla z hlediska uživatele p2p služba, i když se po technické stránce jedná o klient/server).

Nenapadlo tě někdy, že to přizpůsobení zpozdilo nástup třeba VoIP o celé roky? Mít veřejné adresy, tak stačilo na firewallu povolit VoIP, zapojit telefon a hotovo. Skype by tak možná ani nestihl vzniknout.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
30.6.2010 10:48 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Nenapadlo tě někdy, že to přizpůsobení zpozdilo nástup třeba VoIP o celé roky? Mít veřejné adresy, tak stačilo na firewallu povolit VoIP, zapojit telefon a hotovo. Skype by tak možná ani nestihl vzniknout.
Ano, VoIP tu rozhodně mohlo být dříve. Ale Skype lidé často používají proto, že jim jde i v práci v restriktivně nastavené síti. Je to realita, nepište mi, že když si to správce nepřeje, lidé by Skype neměli používat. Prostě tohle "co by se mělo a nemělo" je válcováno realitou. Možná se pohybuji v jiném prostředí než ty, ale já to takhle vnímám.

Právě to stačilo na firewallu povolit VoIP je někdy nepřekonatelná věc.
30.6.2010 10:54 kolcon | skóre: 15 | blog: kolcon
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6

... coz se resi pracovnim radem a IT policy...

druha vec je, ze skype treba dost vyznamne setri penize za zahranicni volani

30.6.2010 11:01 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
... jasně, je rozdíl jak se tohle řeší v menších a větších firmách. Třeba v menší firmě tu síť IT administrátor kvůli posílení bezpečnosti nastaví restriktivně. Zaměstnanec chce používat Skype, resp. by chtěl Jabber, pokud by admin vyšel vstříc s nastavením sítě. Vedení firmy to v principu nevadí, ale admin nějaké speciální nastavení nedovolí a vedení firmy mu to těžko nařídí protože tomu nerozumí, jsou rádi, že ho tam mají, a nejde o bussiness-critical věc.
pavlix avatar 30.6.2010 11:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Vedení firmy to v principu nevadí, ale admin nějaké speciální nastavení nedovolí
Tím zkráceně říkáš, že firmě vládne admin a ne její vedení.
a vedení firmy mu to těžko nařídí protože tomu nerozumí, jsou rádi, že ho tam mají, a nejde o bussiness-critical věc.
Tím zkráceně říkáš, že vedení firmy jsou debilové.

Máš nějaký tip na takovou firmu, že bych tam šel dělat admina? Nějaká testovací síť na hraní, kde si můžu dělat co chci, by se mi hodila. A vedení bych přikázal, ať mi nakoupí ještě pár pěkných hraček, pokud nechce, abych jim zpomalil síť :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 30.6.2010 11:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Možná se pohybuji v jiném prostředí než ty, ale já to takhle vnímám.
Možná. A možná na to taky nahlížím hodně z technického pohledu.
Právě to stačilo na firewallu povolit VoIP je někdy nepřekonatelná věc.
Jo, taky už jsem byl ve firmě, kde (všechny) věci střídavě fungovaly a nefungovaly a se správcem firewallu se nešlo domluvit, protože neměl dostatečné znalosti.

Jsem si vědom jednoduchosti nasazení Skype samotnými uživateli a že daleko lépe než firewall funguje audit programového vybavení a pohrůžka vyhazovem při opakovaném zneužití firemních počítačů k činnosti zakázané firemní bezpečnostní politikou, kterou zaměstnanec jistě podepsal.

Chápu i to, že je realita jiná a jsem s tím celkem smířený :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Michal Fecko avatar 30.6.2010 08:17 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Rozmyslam ze nasadim az IPv8 a upgrade na 6ku preskocim :P
pavlix avatar 30.6.2010 09:45 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Až navrhneš IPv8, pošli mi odkaz na specifikaci :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Vašek Lorenc avatar 30.6.2010 13:24 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
IPv6 nasazujeme taky, ale problém je pořád v segmentu u koncových uživatelů -- víceméně nulové bezpečnostní prvky (každý si může dělat RA, odpovídat na DHCP) a k tomu ke všemu ještě existující Privacy Extension (a následně špatná dohledatelnost kohokoliv podle IPv6 adresy) to celé komplikují.. Nicméně to je jen otázka času a částečně se tomu dá vyjít naproti např. za pomoci 802.1x.

Nicméně na serverech už by to i šlo, tam je to zpravidla snazší.. tedy, pominu-li nutnost nějakého IPv6 firewallu, je-li ho zapotřebí.
...včetně majestátného loosa
pavlix avatar 30.6.2010 13:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
IPv6 nasazujeme taky, ale problém je pořád v segmentu u koncových uživatelů -- víceméně nulové bezpečnostní prvky (každý si může dělat RA, odpovídat na DHCP) a k tomu ke všemu ještě existující Privacy Extension (a následně špatná dohledatelnost kohokoliv podle IPv6 adresy) to celé komplikují.. Nicméně to je jen otázka času a částečně se tomu dá vyjít naproti např. za pomoci 802.1x.
Takže staré problémy z IPv4, všechno? Ta bezpečnost místních sítí je dost netriviální problém, díval bych se po 802.1x pro linkovou vrstvu, ale taky IPsec pro vrstvu síťovou.

Síť zabezpečená proti lokálnímu zneužití nebude nikdy tak hladce konfigurovatelná.
Nicméně na serverech už by to i šlo, tam je to zpravidla snazší.. tedy, pominu-li nutnost nějakého IPv6 firewallu, je-li ho zapotřebí.
Takže proti IPv4 žádné nové problémy?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
30.6.2010 16:11 Ivan
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Takže staré problémy z IPv4, všechno?
No vlastne az na mobility a multicast je vsechno pri starem. Nejak si nedovedu predstavit jak ISP resi security atack z nejakeho mobilniho IPcka, ktere se zrovna nachazelo v jejich siti. Globalni multicast je vlastne taky novinka. Problem s IPv6 je v tom, ze vsechno co jste museli resit musite vyresit znovu a jinak. Treba igmp, pokud chcete omezovat uzivatelum prijem lokalniho multicastu, tak nasadite igmp filtry. Pokud je ovsem utocnik mazanej tak posle do site specialni multicast packet a rekne "ja jsem multicast router" a pak je igmp filtry ignoruji a on kuze koukat na jaky kanal chcete. Tohle se samozrejme na IPv6 vyresit da, dokonce to musite vyresit ale jinak. U IPv6 se tohle vsechno resi pres ICMP.
Na IPv4 vznikaly best practices za pochodu a trvalo to 30 let. Nasazovani IPv6 probiha jinak.
pavlix avatar 30.6.2010 22:03 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
No vlastne az na mobility a multicast je vsechno pri starem.
V podstatě jo. Není se čeho bát... Ty možnosti většího zabezpečení sice v IPv6 jsou (některé jsou backportované i do IPv4), ale jednak je spousta věcí ještě v návrhu (secure NDP apod), a jednak o ně málokdo stojí.
Pokud je ovsem utocnik mazanej tak posle do site specialni multicast packet a rekne "ja jsem multicast router" a pak je igmp filtry ignoruji a on kuze koukat na jaky kanal chcete.
To patří do té třídy link-local bezpečnosti, která se tradičně spíš ignorovala.
Nasazovani IPv6 probiha jinak.
IPv6 je hlavně pečlivě porovnávané s IPv4 (což je dobře), jakákoli změna k horšímu se kritizuje a opravuje (viz privacy extensions). Teda aspoň pokud to jde (například zapamatovatelnost obecných adres těžko).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Vašek Lorenc avatar 2.7.2010 22:15 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Ano, vše při starém.. snad s tím rozdílem, že pro IPv4 už spousta prvků má vlastnosti a schopnosti obrany (dhcp snooping), což pro IPv6 zatím není. A to _je_ rozdíl.

Není to nová věc, ale v tom výčtu chyběla.. a tohle je jeden z dost nepříjemných problémů nasazování IPv6.
...včetně majestátného loosa
pavlix avatar 2.7.2010 23:13 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
no, vše při starém.. snad s tím rozdílem, že pro IPv4 už spousta prvků má vlastnosti a schopnosti obrany (dhcp snooping),
Což to je jasné, když tu máme ten protokol už nějakých 30 let :).
což pro IPv6 zatím není. A to _je_ rozdíl.
Tak to je implementační rozdíl :).
Není to nová věc, ale v tom výčtu chyběla.. a tohle je jeden z dost nepříjemných problémů nasazování IPv6.
Přišlo by mi naopak zvláštní, kdyby nový protokol změny v implementaci nevyžadoval. Nevím, co na tom může koho překvapovat.

Disclaimer: Implementaci IPv6 ve firmě už jsem několika lidem rozmlouval a ač nevím, jak velký měly moje rady vliv, implementaci odložili na neurčito. Připomněl jsem jim pár věcí, kterými by se museli zabývat a navrhnul alternativy některých řešení, které šly provést i na IPv4.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 2.7.2010 23:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
Jen ještě doplním, že nasazení zmíněných ochranných prvků na IPv4 není zrovna obvyklé a tím pádem ve většině nasazení tento problém vůbec neexistuje.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Vašek Lorenc avatar 3.7.2010 23:18 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Moje motivace pro nasazování IPv6
S tím se dá rozhodně souhlasit -- hodně záleží na rozsahu a typu organizace, některé tyto problémy vůbec řešit nemusí.
...včetně majestátného loosa

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.