Vlákno názorů k článku EU slavnostně spouští IPv6 od agentw4b - Nechápu proč by se měla mikrovlnná trouba připojovat...

Co treba kerberos? Tam mate take autorizaci na jednom miste a presto nemusi byt zarizeni nijak skryta.

Navic nikde neni receno, ze nemuzete mit na ipv6 stejny firewall jako je NAT, akorat mnohem jednoduseji implementovately a ten nebude poustet k zarizenim pakety ke kterym neexistuje odchozi spojeni. Ale soucasne odpadnou stresna problemy s protokoly u kterych je potreba na firewallu vevnitr paketu prepisovat adresy.

Navic IPv6 zadny DHCP server nepouziva/nepotrebuje. Ma lepsi metody.

Ano muze to byt i na ipv6, ale otazka znela potrebujeme nutne ipv6, kdyz mame ipv4 a kde to lze take udelat? :-)

Ano, potřebujeme. Zkuste se podívat, jak vypadá třeba taková komunikace pomocí ICQ. Nepřipadá vám to trochu postavené na hlavu? Jak chcete provozovat internetovou telefonii bez veřejných adres? A tak by se dalo pokračovat.

Dobry argument.
Ted jeste aby ten internet byl take tak cenove i fyzicky dostupny jako telefon.

Troufam si tvrdit, ze Internet je fyzicky dostupnejsi nez telefon :-)

A s cenou to taky neni tak hrozne.

Ajajaj :-)
Zijete urcite v Praze, ze? :-) Ale svet neni jen Praha a ostatni staty na zapad. A cena slusne linky s pasmem na telefonovani take neni levna.

Ziju stridave v Praze a ve Velvetech.

Troufam si tvrdit, ze Internet je dostupny vsude, kde je dostupny telefon (ale i na dalsich mistech).

No jo, ale dotycny bude pravdepodobne vyzadovat konektivu 768 kbit/s s neomezenym prenosem dat za 29,90 EUR jako to maji v Ettlingenu pripadne minimalne jako to cetl v diskuznich skupinach.

Ovsem za cenu ktera je vetsi nez za telefon :-)
To se muze hodit nekomu kdo vola tak masivne, ze se mu vyplati voip na neomezenem lince :-)

Leckde nikoliv. Srovnejte ceny za VSATy a satelitni telefony :-)

A pridam dalsi? V dnesnim NATovem IPv4 svete bezne funguje komplexni skala ICQ sluzeb? Realitu znate sami.

Pridam vsak jeste jeden argument, ktery jsem nezaznamenal - pujdu oklikou - proc myslite, ze po IPv6 vyrazne pasou "mobilni" operatori? Modri jiz vedi a ostatnim to nelze jednoduse vysvetlit/popsat...

Jen poznamka:

> Navic IPv6 zadny DHCP server nepouziva/nepotrebuje. Ma lepsi metody.

Ma lepsi metody, ale bezstavova autokonfigurace ma taky svoje musky. DHCPv6 jiz existuje a nevypada to, ze by se nemel pouzivat :)

A nejen pocitace, ale i ty lednicky, zachody, topeni... ;-)

Ze by ten, kdo je prodal? :-)

Kdo Vam dneska "spravuje" lednici nebo mobilni telefon?

Aha, takze prodejce se mi bude starat o bezpecnost moji domaci site zadarmo? Lednici spravuje opravar ;-) U mobilu pokud se vyskytne chyba v softweru tak zajdu do servisu kde mi to opravi bud zadarmo v zarucni lhute nebo za penize. Deje se tohle dnes napriklad u wifi prvku, ktere take maji plno chyb? Myslite, ze takova sofistikovana lednicka bude mit naprosto bezchybny os? A co ten zbytek zarizeni?

Kdo se Vam o bezpecnost Vasi lokalni site stara dnes?

Troufam si tvrdit, ze pokud si vyberete seriozniho prodejce aktivniho prvku, udela Vam stejny servis jako ten prodejce mobilu.

O bezpecnost svoji site se staram sam. Ovsem pri pohledu jak jsou na tom site o ktere se nikdo nestara = nikdo tomu tam nerozumi a nechce platit za udrzbu me jima hruza kdyby ti sami lide dostali moznost pripojit si k internetu pulku domacnosti :-)

Jiste udela, ale za penize a ty muzu rovnou pouzit na zaplaceni konfigurace te vpn.

No vidim, ze zakladni paradigma Internetu (logika je na koncich a uprostred je hloupa sit a umoznuje ji end-to-end konektivita) Vam nic nerika. No jen houst a vetsi kapky. Neni nad to, kdyz budu do Internetu pristupovat pres deset prekladu adres a tucet firewallu.

Je na kazdem uzivateli, aby si zvolil takovou bezpecnost, jaka se mu zda primerena. Tato bezpecnost ale NESMI byt na ukor funkcnosti.

V opacnem pripade vytvarime zadni vratka pro man-in-the-middle utoky. Jako priklad muzu uvest treba aplikacni brany pro H.323 - to je dira jako vrata.

Pripada mi, ze zijete odtrzene od reality. I kdyz je mi to divne, protoze problematice rozumite velmi dobre.

Problem je v te volbe bezpecnosti a tu druhou vetu muzete pouzit treba v jaderne elektrarne :-) Jak jiste vite zabezpeceni pocitace je pro vetsinu domacich uzivatelu neco absolutne nepodstatneho. Nutnost aktivniho pristupu k udrzovani systemu up-to-date je proste odrazuje a vety typu: "Jen at me nabori, stejne tam nemam nic cenneho" jasne ukazuji, ze lide si ani neuvedomuji ze nejde jen o sbirani dat prave z toho jejich pocitace. Pokud by ip stack dostali veci typu lednicky, tak si jiste dovede predstavit jak by to vypadalo. Nebo jste opravdu presvedcen, ze budou ridici programy techto zarizeni bez fatalnich chyb? Ja myslim, ze nikoliv. Teoreticky je mozne navrhout takova neprustrelna zarizeni, ovsem praxe a zvlaste ta levna je nekde jinde. Lide nebudou chtit kupovat drahe veci. A to souvisi i s voip. Mel byste obcas zabrousit do obycejne spolecnosti(a treba i mimo Prahu) kde jsou lide zijici z vyplaty do vyplaty. Vas i me internet zivi a proto mi take pripada cena za linku a konektivitu normalni (ale muze byt i lepsi, ze :-), ale pro obycejne lidi je internet hlavne zabava za kterou musi platit, pro ne internet neni prioritni. ipv6 je zcela jiste dobra vec a necht se prosadi, otazkou ale zustava jestli to potrebujeme hned a za kazdou cenu.
Jiz jsem daval priklad s wifi zarizenimi, kde kvalita os (v odolnosti vuci chybam) v techto prvcich (a nejen v tech levnych) je tristni. U pocitacu jsme take zvykli, ze jejich spolehlivost neni rovna spolehlivosti jednodusich zarizeni. Jiz dnes se da setkat s tim, ze zarizeni vybavane slozitejsim softwarem proste obcas nefunguje (napr. DVD prehravace). Jako uzivatel mate vetsinou jen jednu moznost on/off a zkusit to znova a pak to odnest do servisu. Jenze to on/off se jaksi stalo standardem pro cokoliv co v sobe ma slozitejsi program a je to konzumni zbozi. A jeste neco. Lide si dnes casto ani neumi naladit kanaly na televizi a ted by jeste meli neco nastavovat na lednicce? :-)
Pokud na to koukam svym pohledem tak jsem pro to aby mela adresu kazda zarovka (navic obsahujici i kameru) u me doma. A jsem ochoten s tim experimentovat a experimentuji se zarizenimi ktere nejsou pro masovy trh at uz z duvodu ceny nebo pro svou slozitost.

Myslim, ze ty vety plati univerzalne. I v jaderne elektrarne nesmi byt bezpecnost na ukor funkcionality. A ostatne, v jaderne elektrarne nebuduji Internet (buduji, a to ne vsude, jenom internety).

Kazdy program obsahuje chyby (vcetne firewallu, IDS systemu a dalsich bezpecnostnich komponent). Nicmene jejich dopad na funkcnost muze byt minimalizovan.

IPv6 hned nepotrebujeme. IPv6 potrebuji "hned" hlavne cinani a vetsina ostatnich asiatu, kde naroky na adresni prostor presahuji ochotu RIRu jim ho pridelit. Pro nas evropany jsou (podle meho) dulezitejsi dalsi veci (treba mobilita) - ktere dnes nejsou v prvcich implementovany.

Jinak ja si nemyslim, ze migrace vetsiny Internetu na IPv6 probehne driv nez nekdy v letech 2006-2010 a soubezny provoz IPv4 a IPv6 bude otazkou jeste nekolika desitek let.

Pokud se tyce reseni problemu metodou on/off, verim, ze je to resitelne (napriklad updatem firmware ze site vyrobce pri "hard resetu"). A IPv6 tomu muze pomoci treba autokonfiguraci.

Skutecne je Michal In... - ja bych rekl, ze zrovna "bezpecnost" H.323 je prave intenzivne propirana jak CERTem, tak na BugTraqu...

Kdo vám dnes spravuje ty počítače, které máte ve videu, televizi, autě, ...? On je přeci jen rozdíl mezi jednoúčelovým embedded počítačem, který nemusíte ani nijak konfigurovat, a security gateway pro VPN.

Neni pocitac jako pocitac :-) Ani jedna z tech veci ktere jste jmenoval nema bezne ip stack a uzivatelsky vstup je velmi omezen.

... a uzivatelsky vstup do lednice neni velmi omezen ?

Ano ted je a dokonce i u modelu s vestavenym pocitacem :-) Ale funkcne to asi jeste neni to prave orechove. Proto tam vlastne chceme pripojit ten internet nebo ne? ;-)

No ja od lednice ocekavam, ze v ni budu skladovat potraviny (a z hlediska uzivatelskeho IO je to skutecne velmi omezena funkcionalita). Vy mozna cekate, ze z lednice budete surfovat. To pak ale neni lednice, ale plnohodnotny pocitac zabudovany do chassis lednice (a to je neco kapku jineho).

Pak ovsem nepotrebujete mit v lednici ip stack ;-) Ja ostatne take ne :-)

Rekneme, ze bych rad, kdyby mi lednice dala vedet, ze necemu prosla trvanlivost nebo ze neco chybi. To uz patri k tomu skladovani :-)

Ale ani na to nepotrebuju slozite uzivatelske IO. Zato IP stack by se mi hodil.

Mam jednu verejnou IP a potrebuju adresovat vice stejnych sluzeb v lokalni siti na ruznych mistech? Jak to provedete? Navic, dokazete si predstavit, ze lokalnich sluzeb muze byt vice jak 65535? Ja ano a nemusi to byt az tak velka sit, co pak? Pak uz Vam ani NAT nepomuze...

Nechci prudit, ale neni jen Cckova privatni sit. Jsou A a B :-)

A samozřejmě i jakékoli jiné s délkou prefixu od 8 do 30. Jenže to číslo 65535 s tím nijak nesouvisí, to je počet portů, které můžete použít pro maškarádu/portforwarding. A s tím nehnete...

Dekuji nacelniku, ze ses mne zastal a vykonal spinavou praci (modre jsem uz jmenoval...:-]])...

Ftip je v tom, ze to cislo 2^16 - 1 se nam take vyrazne zmensuje, protoze ne vsechny rozsahy lze pouzit diky nutnosti pouzit NATovani - kazda odchozi session/konexe si uzme jednu, takze realne vyuzitelnych portu je podstatne mene a na realna omezeni se muzete dostat snadno i dnes, zbytek uz jsem psal...

Nefunguje. Ten počítač venku má pořád svou reálnou IP adresu. Teprve security gateway to může v případě potřeby pro vnitřní síť přeNATovat, aby to pro schované počítače vypadalo, jako by měl privátní adresu. Možná vám to připadá, že zbytečně slovíčkařím, ale není to jedno a v konkrétních případech vám ty rozdíly mohou hodně znepříjemnit život.

Bude-li lednička (mikrovlnka, video, ...) klientem, pak veřejnou adresu obvykle nepotřebuje. Proto jsem nastínil jednu z mnoha situcí, kdy má smysl uvažovat o tom, že komunikace bude iniciována z druhé strany. A samozřejmě je i mnoho dalších. Třeba technik v servisu by si mohl na dálku provést diagnostiku a v mnoha případech už by pak mohl jít na opravu už se znalostí toho, co se děje (a vzít si odpovídající náhradní díly).

Ovsem nejsou tu jenom ti hodni, ze ;-)

Jistě. Proto je také třeba omezit přístup k těmto zařízením jen na oprávněné klienty. A věřte nebo ne, fakt, že se mnoho klientů skrývá za NATy, autentizaci/autorizaci neusnadňuje, naopak ji velmi komplikuje.

Ano komplikuje, ale uvazuji o pripadu kdy je lednicka nebo server ve vnitrni siti doma serverem a klientem je pocitac jinde na siti.

Vsak ja s kolegou Kubeckem taky - server je lednice - vyrizuje pozadavek, klient je technik - zada diagnostiku. Kdyby nebyl po ceste NAT a byl nasazen bezny bezpecny (z hlediska kryptologickeho - existuji a jsou dostupne, ze se "bezne" nepouzivaji je podruzny problem, reps. problem tech, kteri sladne spi v nevedomosti) autentizacni mechanismus (kteremu svete div se IPv6 velmi chutna, naopak NAT jej vyrazuje ze hry), nevidim v tom vubec zadny problem a klidne spani pro zmenu budu mit ja...