Vlákno názorů k článku IPv6 Mýty a skutečnost, díl IV. - Podpora autokonfigurace od Dan Lukes - To samozrejme nestaci, protoze 802.1x vam v siti...

Článek je starý, nové názory již nelze přidávat.

18. 4. 2011 2:51

Dan Lukes (neregistrovaný)

To samozrejme nestaci, protoze 802.1x vam v siti eliminuje uplne nepatricne osoby, ale nevyresi jak v pripade potreby mezi vsemi temi opravnenymi a pripojenymi klienty identifikovat toho jednoho, ktery pachal nejake nepravosti.
802.1x nezabrani opravnenemu klientovi aby umyslne nebo neumyslne narusil konfiguraci cele site tim, ze se bude anouncovat jako router a/nebo DHCPv6 server a dokonce ani nepomuze takoveho klienta identifikovat (protoze 802.1x je svazane s MAC adresou karty, ale v prostredi IPv6 zname jen DUID) ...
Proste - 802.1x neni samospasitelne reseni - jen vhodna soucast opatreni, ktera ve vysledku sit zabezpeci.
A jelikoz na IPv6 ty ostatni nutne potrebne navazujici veci chybi je cele IPv6 na kocku.

Ale to jsme zasli HODNE daleko. Zatim se umi korektne autokonfigurovat pouze Windows. Operacni systemy UNIXoveho typu zvladaji autokonfiguraci vyhradne v sitich s maskou /64 (pokud toho DHCPv6 klienta, ktery na interface nakonfiguruje prave tuto masku bez ohledu na to jakou masku se ze site dozvi nekdo neopravil).

Nema smysl resit slozite veci okolo zabezpeceni u protokolu, ktery je natolik v plenkach, ze jeste nema spolehlive vyresene ani ty nejzakladnejsi operace.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 3. 2011 11:23

TP

Vypínání IPv6 je poměrně častá praxe a v mnoha případech zatím jediné možné řešení jak se vyhnout problémům, které do sítě IPv6 vnáší.

Nicméně i sám Microsoft vypínání IPv6 příliš nedoporučuje, viz.

http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 3. 2011 10:29

ZP (neregistrovaný)

Tak tu sit muzete proti nezadoucim klientum zabezpecit i radou jinych nastroju, napriklad 802.1x, poskytne vam to ostatne vyssi uroven zabezpeceni i pro IPv4. Samozrejme, utoku ze strany tech, kterym duverujete a do site je pustite, tim nezabranite.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 3. 2011 9:34

Marek (neregistrovaný)

V siti kde se nepocita s ipv6 je vhodne ipv6 zakazat i z mnoha jinych duvodu.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 3. 2011 9:29

awert (neregistrovaný)

Tedy u klienta, kde chceme mít jistotu, že se nestaneme obětí útoku s podvrženým rekurzivním DNS serverem prostřednictvím IPv6 (v síti, kde se s IPv6 zatím nepočítá), je nejlepší IPv6 zakázat. Takový já žel dělám závěr.

Nejasnosti (respektive příliš mnoho možností z nichž téměř všechny nejsou dotažené) v IPv6 jsou podle mne jednou z jeho velkých brzd. Obávám se, že tohle mělo být již dávno jasné a to zejména kvůli setrvačnosti výrobců HW a producentů OS.

Aktuality

Policiie vyšetřuje kyberkriminalitu, podklady sbírala i v rozhlase. V případu zadržela dvě osoby

V Česku se i díky 3D tisku rozjela výroba ovladačů pro letecké simulátory

Čip z Česka se začal masově vyrábět. Tropic Square jako první na světě nemá tajnosti

Vlákno názorů k článku IPv6 Mýty a skutečnost, díl IV. - Podpora autokonfigurace od Dan Lukes - To samozrejme nestaci, protoze 802.1x vam v siti...

Aktuality

Policiie vyšetřuje kyberkriminalitu, podklady sbírala i v rozhlase. V případu zadržela dvě osoby

V Česku se i díky 3D tisku rozjela výroba ovladačů pro letecké simulátory

Čip z Česka se začal masově vyrábět. Tropic Square jako první na světě nemá tajnosti

Dále u nás najdete

Průměrná mzda se utrhla ze řetězu. Vzroste i ta minimální