Administrace komentářů

Tým firewallom o ktorom som podľa teba nepočul myslíš HW firewall, SW firewall alebo aplikačný firewall?

Ach bože, Dionýse přesvatý. Ty asi budeš kníže Žvanilkyn. Perly neberou konce.

Mícháš dohromady náhodné, nepodstatné a nesouvisející kategorie, pojmy a dojmy, ve snaze dělat „chytrého“. Marná snaha, eskapády kolem ICMP výše už všechno prozradily do detailu. Tvůj výrok je asi jako: motorové vozidlo, jízdní kolo nebo Android Auto? Gag, blábol, ptákovina.

Aplikační firewall? — A pro kteroupak asi „aplikaci“, pro který RPC protokol? A jak to probůh může souviset s transportní vrstvou? Řeč tu byla o IPv6 a o veřejných adresách! Totálně off-topic.

HW versus SW firewall…? Proč by to mělo být podstatné? Když uvážíme význam těch pojmů na Linuxu — nebo dejme tomu v RouterOS od Mikrotiku, což je stále v říši Linuxu —, věc se má tak, že pravidla a možnosti firewallu jsou z hlediska uživatele stále stejná/stejné, uživatel vidí pořád stejné rozhraní. Jenom některá pravidla lze nastavit „v hardwaru“ (zkrátka zefektivnit tak, aby příslušné filtrování nezatěžovalo CPU a aby ho mohl provádět autonomně hardwarový switch bez přičinění CPU), zatímco jiná pravidla jsou příliš složitá a aplikují se tedy „softwarově“, tedy CPU musí o příslušných paketech vědět, něco s nimi udělat a (pře)posrat je dál.

HW a SW firewall nejsou nikdy „buď a nebo“. Fungují v součinnosti, druhé je fallback k prvnímu, předěl mezi nimi záleží na schopnostech konkrétního hardwarového switche a příslušných driverů, atd. Pokud budeme ignorovat výkon a nebudeme v Mikrotiku lpět na tom slavném flagu H, dá se dokonce klidně říct, že rozlišovat HW / SW firewall je nepodstatné.

Keby o ňom počuli výrobcovia IoT, tak im neheknú napríklad pohraničné kamery.

Máš velmi dlouhé vedení. Jak přesně může výrobce nějakého zařízení ovlivnit, jaká síť kolem toho zařízení bude? Souvislost s IPv6: žádná.

Blbě zabezpečené a neaktualizované zařízení bude s firewallem i bez něj furt blbě zabezpečené a neaktualizované. Souvislost s IPv6: žádná.

Side Note: Už jsem ti výše vysvětloval — ač marně, protože jsi to (pořád ještě) nepochopil —, že zásada typu za veřejné peníze veřejný kód mohla tomu zabezpečení pomoct, aby se nenakupovaly closed-source paskvilokamery, jejichž bezpečnost nemůže zkontrolovat komunita nezávislých vývojářů, jejichž firmware není nikde k dispozici jako open-source a není nijak zaručeno, že bude po dobu provozu kamer aktuální / aktualizovatelný. Souvislost s IPv6: žádná.

Dál není jasné, s čím tu bájnou (údajně) IPv6 síť s (údajně) hacknutými kamerami srovnáváš. Snad ne s IPv4 a NATem? No tak by tam musel být NAT router s veřejnou IPv4 adresou, aby se ke kamerám dalo dostat, a na té jedné veřejné adrese by byl na různých portech DNAT do vnitřní sítě s kamerami. No a? V čem je ta výhoda?

• Pokud se kamery daly hacknout přes IPv6, proč by se nedaly stejně hacknout přes IPv4 a DNAT?
• S IPv6 mám aspoň RFC 4941 / RFC 7217 / RFC 7721 a „najít“ všechna zařízení by mělo být rozumně těžké. S IPv4 nemám nic. Jednu adresu, 65535 portů — to není příliš pokročilá hra na schovávanou.
• Kdyby měly kamery cosi hrozivého jako nezabezpečený telnet na kdovíjakém portu a předpoklad přísně zabezpečené sítě, do které nelze propašovat komunikaci směřující na daný port, byly by to furt katastrofálně špatné kamery, s NATem i bez něj, s IPv6 i s IPv4.
• Každé zařízení, každá vrstva má dělat pro bezpečnost maximum. Selhání jedné vrstvy nemá automaticky vést k totální ztrátě zabezpečení. Pseudoargumentace typu „s IPv4 můžu mít napadnutelná zařízení, protože IPv4 má routování zkurvené NATem“ je stokrát vyvrácený nesmysl, security through obscurity, iluze zabezpečení místo skutečného zabezpečení, atd.