Vlákno názorů k článku IPv6 Mýty a skutečnost, díl VI. - Bezpečnostní mechanizmy od pavuk - uz pri citani predchadzajucich dielov som nadobudol dojem,...
-
sojkovec (neregistrovaný)
Suma sumárum je na tom z hlediska bezpečnosti IPv4 stejně jako IPv6, není zde žádný zásadní rozdíl. Protokol sám prostě nic spasit nemůže, vše vždy bude záležet na konkrétní implementaci a jak s ní admini a useři budou zacházet. Rozřešením zranitelnosti jedné přidáte dvě další, nemají-li být na úkor použitelnosti...
-
Do jisté míry souhlasím. Zejména pokud někdo získá přístup do lokální sítě, tak na mnoha místech není problém provádět záškodnickou činnost.
Zásadní problémem je, že v současné době dokážete v IPv4 takové čínnosti alespoň omezit - DHCP snooping, ARP protection, dynamic lock down atd. (viz. díl s autokonfigurací). Problémem současného stavu IPv6 je, že tyto prostředky nedokážete nasadit ani pokud byste se rozkrájel a nebo za cenu obrovských nákladů.
-
LP (neregistrovaný)
Ochrana před většinou v článku uvedených útoků závisí podobně jako v IPv4 na schopnostech přepínače. Když o nich někde povídám, tak končím doporučením, aby při nejbližších plánovaných upgradech přepínačů si vybrali takové, které budou schopni poskytnout ochranu aspoň proti některým uvedeným útokům.
V současnosti je nejdůležitější možnost filtrování ohlášení směrovače, popř. filtrování odpovědí DHCP serveru (DHCP snooping).
Netvrdím, že tyto funkce má každý přepínač na trhu, ale lze vybrat na přijatelné cenové úrovni. -
Zde bych viděl jistý rozpor. Není podstatné kdy se začaly tyto technologie používat - někde dřív, někde později na spoustě míst vůbec protože k tomu nebyla realná potřeba.
Problém spíš vidím v tom, že při budování nových sítí je nenavrhujete tak aby fungovaly v době před dvěmi lety, ale tak aby fungovaly dalších 5 let. A důvod proč jsou víc potřeba tyto věci je velice prostý. Společně s elektronizací kdejaké agendy a závislosti na sítí rostou každým dnem nároky na jejích spolehlivost. Výpadek sítě dnes není to co výpadek sítě řekněme před 5 lety. Tenhle trend zkrátka a jednoduše musí sledovat i technologie na kterých se sítě stavějí.
-
Petr Bedle (neregistrovaný)
No nuti, kdyz kazde Visty, 7, Linuxy a uz kdejake telefony maji nebo budou mit IPv6 zaple. Tezko asi muzu zajistit aby kazdy kdo se pripojuje do site si nejdriv odinstaloval/vypnul IPv6.
Jen nechapu, ze ty problemy s IPv6 snad nikomu nevadi a resi se nejake ptakoviny jako ipsec, ktery zas tolik lidi nepotrebuje, a zakladni veci nejsou vubec doresene.
-
Petr Bedle (neregistrovaný)
To neni tak uplne pravda. Treba na reditelove ipadu ipv6 nevypnete, protoze to jednoduse nejde. Takovych zarizeni bude vic. To co pisete plati tak pro PC napriklad v domene, kde to dokazete s primerenym usilim zajistit. Dnes je vypnuti IPv6 na MS prakticky nutnost - nekontrolovane tunely atd. Otazkou je jestli to pujde tak udelat i v dalsich verzich.
Na druhou stranu IPv6 se asi casem vyhnout nejde a zavadet ho vypinanim mi prijde trochu nelogicke. Asi je lepsi odstranit ty chyby a doresit problemy. Jen by me v tomhle zajimalo jestli to bude trvat dalsich 15 let.
-
rootless.rooter (neregistrovaný)
cau,pavucik ;]
k tvojej poznamke o migracii - zalezi aj od toho,co a ako migrujes.
v pripade spolocnost kde pracujem mame jasno [aspon zatial] - volime cestu 4in6 - interne siete zostavaju aj nadalej v IPv4 a VPN ktorymi ich prepojujeme budujeme nativne nad IPv6.momentalne mam na stole 'ipv6 lab' - uspesne mam odsimulovane 4in6 a 6in6 AutoIKE [komplet postavene na Juniper boxoch] - jedine non-juniper zelezo su PC,na ktorych mi bezia Vyatta routery... a beha to spolahlivo. vidim to tak,ze dalsi tyzden/dva stravim nad zabezpecenim a testovanim [THC/backtrack 4]
-
Zeptám se ryze ze zvedavosti. Vede vás k tomuto řešení nejaky praktický důvod, anebo pouze vidina perspektivního řešení ?
Předpokládám, že propojujete mezi sebou pobočky. Jsou vám schopní poskytovatelé nabídnout spolehlivě fungující IPv6 konektivitu - tedy jednak, že to fakticky funguje a také, že jsou schopní smluvně garantovat SLA ?
ČLÁNKY DO MAILU