Názory k článku Kdy dojdou IPv4 adresy?
-
Verejne IP se prideluji, registruji i blokuji po blocich. Pokud mate prideleno /64 a vyuzivate 3000 adres, tak po pripojeni noveho zarizeni nic registrovat nemusite, protoze mate porad rezervu (a jakou :-)) a co se konfigurace tyce, proste dostane adresu z toho /48 prefixu ktery je zablokovany pro pristup zvenci ...
A co se tyce dostatecne velkeho adresniho prostoru ... firma si poridi /64 jako vsichni, protoze kdyz si poridi min budou se ostatni manageri tomu jejimu managerovi smat jako by mel zaplatovane sako. /64 samozrejme bude stacit jeste hodne dlouho. -
Vojta (neregistrovaný)Privátní adresy se dají normálně routovat a taky se routují.
Přes půl světa se k privátní adrese asi nikdo nepřipojí, protože páteřní routery neví, kam datagramy směrovat. Pokud je ale útočník nablízku, má to snazší.
Řekněme že máte firmu, uvnitř PC s privátní adresou, linuxový router s veřejnou adresou a povoleným forwardováním IP připojený k inet providerovi. Nyní někdo v síti providera nastaví správně cestu do Vaší sítě (stačí přidat záznam do směrovacích tabulek routerů, ležících po cestě). A spojení je na světě.
Privátní adresy tedy výrazně omezí množinu potenciálních útočníků, omezený okruh lidí ale může spojení s privátní sítí navázat. -
IMHO skype umi UDP hole punching, ktere sice take vyzaduje treti pocitac, ale nezatezuje ho ani zdaleka tolik aby to nemohli delat primo registracni servery.
-
Ondrej "SanTiago" Zajicek (neregistrovaný)> Jeden za všechny (platí pro IPv4): pokud nemám vlastní AS (a která z firem jej má??), změna inet providera rovná se triviální změně konfigurace routeru. Pokud mám v celé síti veřejné IP adresy, tj. je třeba přeadresovat všechna zařízení, tak pomáhejte adminovi všichni svatí.
Pak se nabizi jeste moznost NATovat privatni rozsah na stejne velky verejny rozsah. Tim ti odpadne velka cast problemu s NATem (i kdyz ne vsechny). -
Pokud se budeme bavit o tom, ze neverite vlastni fyzicke/linkove infrastrukture, tak se nabizi spousta dalsich peknych utoku. Aniz bych daval nejake konkretni priklady, arp/rarp neni uplne neprustrelny protokol.
Vzhledem k tomu, ze dnes vetsina utoku chodi z nejakych pocitacu, ktere jsou ode mne pres jeden dva hopy (ano bot nety), pak je diskuse o "delce dosahu smerovani" Vasi privatni site irelevantni :-)
Dovolil bych si to prirovnat "zabezpeceni NATem" k "zabezpeceni WiFi tim, ze nevysilam SSID" ... -
Co se zmen tyce, pokud jste vetsi spolecnost, predpokladam, ze mate PI adresy. Pokud nikolivek, uz jsem par organizacim s prechodem mezi ISP pomahal a verte, ze to prilis bolave nebylo. Zmenu DHCP je mozne udelat jednim zapisem, pripadne jednou davkou. u DNS, vcetne reverzniho je to podobne (pokud nepouzivate treba pro stanice dynamicke DNS).
DHCP neni bezpecne? V jakem smyslu?
Co se tyce pripadu s 10.0.0.5, pokud na pristupovem smerovaci nebudete mit firewall, neni preklad adres neprekonatelnou prekazkou. Ja davam prednost zabezpeceni nikoliv chimerickemu, takze kdyz zakaznik chce zabezpeceni jednoduche, dostane firewall - kdyz slozite, tak holt firewall na stanicich. -
J (neregistrovaný)Duvodem proc nema drtiva vetsina uzivatelu "svuj" rozsah IP je prave ten, ze jich jaksi neni dost. Je jasny ze vam asi tezko bude nekdo smerovat /30. Samozrejme ze pro 5 pocitacu si asi nema cenu zadat o prefix, ale pro 50 uz to smysl ma.
Ma to navic jednu vemi velkou vyhodu, kdyz potrebujete zalozni linku, coz u stredni firmy uz je skoro nutnost, nemusite resit nejake zhuverile scripty na routeru, ktere vam budou prepinat NAT a milion forwardovanych portu. Staci proste oboum ISP rict, ze maji smerovat rozsah XY pokud linka funguje. -
J (neregistrovaný)Doporucuju takovy snadny test. Pustit traceroute na nejakou privatni IP, z rozsahu, ktery neprovozujete (napr pokud mate 192.168. tak otestujte 10.10.10.10). Uvidite kam az to proleze. Podle RFC by to mel zahodit prvni router cestou (samorejme router ve verejne siti - tudiz v 99% pripadu je to defaultni GW), ale vrele o tom pochybuju.
Ze soukrome praxe to v lepsim pripade proleze az na hranicni GW ISP, v horsim jeste mnohem dal.
No a takovy blbe nastaveny nat udela presne to, co se od routeru ceka, kdyz na nej prijde paket adresovany IP kterou zna, tak jej na ni posle. Navic neni problem rict svemu stroji, ze IP 192.168.1.0/24 zna stroj 62.256.136.322. -
technicka:
uz dnes se o vodu valci.. napr. okupace golandskych vysin sionisty - pravym duvod je zadrzeni vody a jejich zcela nerovnomerne rozdelovani pak kdy jedna strana ilegalniho plotu ji mrha a druha ji nema
malokdo take vi, ze sionisti bagrovaly libanonu urodnou pudu - jednak ji sami potrebuji pro rozsirovani sionismu a jednak to podporuje genocidni programy -
Vojta (neregistrovaný)DHCP zranitelnost - např. podvržený DHCP server. Robustní DHCP vyžaduje nasadit všude spravované switche a zakázat DHCP odpovědi z neautorizovaných portů.
10.0.0.5 - kdo Vám to bude 15 hopů kolem půl zeměkoule směrovat, to jsem teda žádostiv. Samozřejmě, firewall je úplnej základ. Privátní IP adresy jsou pouze dodatečná výhoda - pro mě. Pokud si chce kdokoli komplikovat život vlastním AS a PI adresami, je mu přáno. -
anonymníJe v nasich produktech, tak je nas. Navic obsahuje pronikava patentovana vylepseni, ktera z nej delaji neco zcela jineho nez je nejaky BSD stack, ktery neni ani ze 4% tak uzivatelsky pritulny jako nase verze, ktera ve Viste dosahla urovne dosud nikdy nevidene. Teprve s Vistou je binarni jednicka skutecne jednickou. WOW, tedy HOWG, slunce na Redmontem zapada, jdeme parit pro zmenu do nejakeho pubu.
-
Myslim, ze nejake adresy bychom mohli taky vymenit :-) I kdyz opravdu nekdo stoji o tricet let stary a ojety vehikl?
-
Vono jich je tady 1250 :-) Jeden sem nebo tam ... Muzes provadet demonstrativni dekapitace a voni hned-tak nedojdou. Naklady holt naky budou, ale kdyz odectes rezii Hiltonu, nemusi to stat tolik. Kdyz uz rozvadime tajny plany, tak pocitej, ze se to Vint dozvi a treba neprijede. IETFakum to nema kdo rict - budu mlcet jako hrob a VladaS pise nakej papir na konferenci, tak lupu nesleduje. Navic budeme mit zkusenost a kdyz nahodou prijede dalsi US president, muzeme si to s oplocovanim zopakovat ... Navic mam dojem, ze by treba mohlo v prubehu zajeti vyjit naky RFC, ktery CZF /4 prideluje ...
-
Chtel jsem to napsat k blogu, ale nejak me nema rad. Pasmo 10,5 GHz neni prideleno natrvalo a pred spustenim radaru bude uvolneno. Ocekava se, ze GL, na zaklade ktere se pouziva, bude mit platnost ukoncenu v roce 2009.
Jinak ja abych nebyl pri vymene zbytecne mekky. CZFREE pouziva ted /8 a adresy mizi jak snih na jare, takze bych zadal alespon o /4, aby byla rezerva do budoucna. Navic pokud se zacne CZFREE drobit, tak je potreba preventivne zaregistrovat alespon 2048 cisel AS. -
Ikona se jako rukojmi hodi. Ono mit 300 rukojmi po dobu, nez nam vyhovi, by prislo pekne draho. Specialne v pripade, ze bysme je drzeli v Hiltonu.
Vint ma teda taky nevyhodu, ze je dost starej a nemusel by nam potrebnou dobu vydrzet. Ale mohli bysme ho treba v 80 vymenit za nekoho jineho. Treba za Billa G. kdyz je to ten otec internetu a Vint je jen ded internetu. Udelali bysme generacni vymenu.
Nechci vypadat jako ze hazim flintu predem do zita, ale ono prideleni /4 by mohlo trvat treba dele nez tyden. -
Zadny extra RFC nechci, to bysme taky mohli dostat 256.0.0.0/4, hezky za stavajicich podminek podle stavajicich RFC, samozrejme s objemovou slevou, abysme memuseli platit tak velke clenske prispevky.
Fakt je, ze naucit se oplocovat se muze hodit. To je zcela jiste dira na trhu, protoze unosy celych konferenci nikdo nenabizi. Kdyby jsme to oplotili elektrickym ohradnikem, muzeme jako vedlejsi prijem jeste navic pronajimat prenos dat po elektrickem ohradniku. Nebo ohradnik pouzit jako antenu pro 4G. A nebo dokonce by ohradnik mel parabolicky tvar a pronajal by se jako antena k radaru.
Firma by casem expandovala do zahranici, protoze by nam tady asi dosly konference. Proste to vidim velice nadejne. Jen se bojim, aby mi nezrusili americke vizum. -
Co Vam brani dat staticke adresy i tem IPv6 zarizenim? Hlavne mi prosim nerikejte, ze mate problem zapamatovat si adresu typu 2001:abcd:1::1 ... Pricemz 2001:abcd::/32 je prefix, ktery jste vyfasoval od RIR. Nebo mate za to, ze musite pouzivat vsude eui-64 adresy?
Bezpecnost je v tomto pripade zcela irelevantni pojem. Nema cenu ji diskutovat, protoze sam preklad adres NENI bezpecnostni mechanismus.
Ale tohle vsechno uz diskusemi na LUPE probehlo a nema cenu ho znovu omilat. Zajemce o tento typ diskuse odkazuji do archivu LUPY. -
fmp (neregistrovaný)Souhlas, přesně tak. Nemůže dojít ropa nebo IPv4 adresy: prostě bude dražší a dražší je získávat, takže se to bude řešit jinak. Místo ropy se začne víc využívat něco jiného, protože to začne konečně být levnější, a místo IPv4 se dostane do popředí IPv6 a nebo taky něco úplně jiného... Vždyť NAT z počátku byl obrovský problém a dnes je to všechno jinak, spoustě programů to prostě nevadí. Skype, nyní už i Live Messenger... je to jen o šikovnosti programátorů, jak pakety dostat na správné místo.
-
brambor (neregistrovaný)ja jsem nikdy nepochopil co je tak strasneho na NATu? Myslite ze firmy s nadsenim prijmnou fakt ze muzou mit verejnou adresu na kazdem PC ve firme? Je to pro ne nejaka vyhoda? IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi, a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru. Vyhoda teda vlastne zadna. A polovinu soucasnejch verejnejch IP stejne blokujou domaci uzivatele kteri si ji poridili akorat kvuli torrentum, a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou.
-
Zdenda (neregistrovaný)Máte pravdu, na AŽ TAK dávné doby jsem skutečně nepomyslel. Jenže tehdy taky stačil jeden průměrný hacker a jeden blbě napsaný Sendmail a celý internet (pár desítek tisíc uzlů) byl během hodiny dole. Proto přišly firewally a aplikační brány. Pak byl docela dlouho klid, a teprve potom přišel díky menší dostupnosti veřejných adres NAT.
A i kdyby byly (hypoteticky) všechny OS a daemoni psaní pořádně a absolutně bez bezpečnostních chyb, měli bychom v každé větší firmě firewally a aplikační brány taky- zejména proto že se tak mnohem efektivněji šmírujou a kontrolujou zaměstnanci. -
Peppa (neregistrovaný)IP adres je dost, jen je třeba je vracet
Např.
13.0.0.0/8 16.5Mega adres pro jediné výzkumné centrum je zcela zbytečné.
15.0.0.0/8 + 16.0.0.0/8 Hewlett-Packard Company
17.0.0.0/8 Apple
18.0.0.0/8 Massachusetts Institute of Technology
...
Ať vrátí co nakradli ;)
X.0.0.0/12 je až nad hlavu. Jeden "milion" jim musí stačit i pro lednice a rychlovarné konvice s připojením do Netu! -
brambor (neregistrovaný)"ja jsem nikdy nepochopil co je tak strasneho na NATu?"
Tak treba to je hnusna berlicka, ktera obecne nefunguje dobre a kvuli ktere je zpravidla dost omezene pouziti nekterych sluzeb.
-- berlicek je spousta. Obecne nefunguje dobre? Tak jak se ma chovat se chova, nic vic od NATu cekat nelze.
"IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi"
Uff. Pokud je tohle vazne pravda, tak si to ti admini myslim zaslouzi.
--ano, tezko asi neni silny argument proti, ale co na to rict? Je to tak. Lepe si zapamatuju 50 adres od tiskaren, switchu, atd v IPv4 nez IPv6, coz samozrejme ale neni argument proti IPv6, je to jen konstatovani.
"a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru."
To zni, jako byste nechapal rozdil mezi slovy NAT a firewall. Nejde o synonymum, nevidim duvod, proc by vas mel nekdo s prichodem IPv6 nutit firewall prestat pouzivat.
-- ale chapal, ale nevidel duvod proc by uzivatele firemniho prostredi meli mit verejnou adresu.
"a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou."
Zatim co vy mate zrejme jasno. A co to takhle nechat na zakaznicich, resp. lidech, kterych se to tyka? ;)
--at si kdo chce pouziva co chce, mluvim od stavu verejnych adres ktery znam z okoli. A ten stav bude spis nez k IPv6 smerovat k setreni se stavajicima adresama, a treba i jejich odebiranim. -
anonymníPravdu má... brambor!
Drtivá většina firem využívá výhod privátních adres. Z řady dobrých důvodů. Jeden za všechny (platí pro IPv4): pokud nemám vlastní AS (a která z firem jej má??), změna inet providera rovná se triviální změně konfigurace routeru. Pokud mám v celé síti veřejné IP adresy, tj. je třeba přeadresovat všechna zařízení, tak pomáhejte adminovi všichni svatí.
Paskvily, jako např. Skype, torrenty a jiné nekontrolovatelné P2P sítě do firemního prostředí nepatří. Pokud někdo potřebuje zajistit připojení zvenku, není problém na routeru forwardovat TCP spojení odkudkoli kamkoli. -
Vojta (neregistrovaný)Jó, časy se mění. Mám návrh - kdyby to šlo, IANA by mohla kasírovat $1 / rok / IP adresa. Výtěžek třeba na charitu. No a jestli jsou pánové Hewlett a Packard takoví filantropové, že zaplatí 32 megadolarů ročně, smekáme před nimi klobouk! A jestli ne, tak bude dost recyklovaných IP adres.
Akorát teda nemám domyšlené, co udělat, když někdo nezaplatí... že by si routery vyjma směrovacích informací předávaly taky databázi neplatičů? -
Ondřej Čečák (neregistrovaný)"Obecne nefunguje dobre? Tak jak se ma chovat se chova, nic vic od NATu cekat nelze."
OK, myslel jsem spis to, ze i providerum dava zabrat. Nebo je snad trivialni NATovat tisice uzivatelu, nedej boze uzivatelu p2p siti?
"To zni, jako byste nechapal rozdil mezi slovy NAT a firewall.
[...] "
"ale chapal, ale nevidel duvod proc by uzivatele firemniho prostredi meli mit verejnou adresu."
OK, sice to zni spatne, ale -- proc? Jaky je rozdil(*), jestli firemni pocitace v siti budou mit verejnou adresu, nebo privatni? Kdyz se pripojim k routeru s adresou ze stejneho privatniho rozsahu, tak me pustite dovnitr? (mozna spatna otazka, ono se to stava :))
(*) a ano, nejsem tak uzkoprsy; ale argument "na privatni adresu za NATem se nikdo nedostane" mi moc presvedcivy neprijde, stejne jako konstatovani "je to tak bezpecnejsi" -
KArel (neregistrovaný)Pokud bude mít každé zařízení ve firemní síti veřejnou IP, tak to opravdu dobré nebude. Připojení nového zařízení (notebook, PDA, mobil) by pak znamenalo (zbytečnou) registraci veřejné IP (a následné zablokování pro přístup zvenčí), které jen zesložiťuje systém. Nehledě na to, že firma by si na začátku musela koupit "dostatečně" velký adresní prostor, aby měla spojitý pool adres (protože jinak se administruje fakt blbě). Zbytečná investice.
-
J (neregistrovaný)Jsou nutnosti jen proto, ze neexistuje e2e konetivita. Vazne nevidime zadny duvod k tomu, pouzivat nejaky srv, kdyz chci mluvit s nekym, jehoz IP adresu vidim. Samozrejme, muzu vyuzivat nejake sluzby typu hlasova schranka ... ale kdyz nic takoveho nechci, tak nepotrebuju ani nikomu platit za nejakou virtualni ustrednu, kterou virtualne potrebuju k tomu, abych mohl s nekym mluvit.
Kdyz chcete mluvit s lupou, tak taky nepotrebujete zadne rozhrani a servery, staci, kdyz ma vas stroj pristup do site a da se s nim komunikovat. Vzhledem k tomu ze jde o komunikaci jednostranou, staci, kdyz je dostupna prave ta jedna strana, ale pokud chcete komunikovat obema smery .... -
Ondřej Čečák (neregistrovaný)Presne tak.
"Připojení nového zařízení (notebook, PDA, mobil) by pak znamenalo (zbytečnou) registraci veřejné IP (a následné zablokování pro přístup zvenčí), které jen zesložiťuje systém."
To mi nedava smysl -- privatni adresu neregistrujete, verejnou ano. V tom pripade si treba vydupejte smernici, ze ve firme chcete registrovat i privatni, nebo naopak zadne adresy. :) -
Pavel Hroneš (neregistrovaný)Spousta lidí se tu ohání tvrzením, že pouhý NAT (a vnitřní sít s neveřejnými adresami) pro zabezpečení zvenčí nestačí.
Nemáte někdo nějaké tipy na zdroje informací, proč tomu tak je a jaké jsou možnosti zneužití?
Laickým pohledem by se totiž zdálo, že když má někdo adresu z privátního rozsahu, nemůže se mu nic stát! -
z80pin6 (neregistrovaný)To se da snadno zaridit. Rezervuje se jedna adresa, ktera se da za kristalove sklo na mahagonovou policku se slonovinovou intarzii a zlatym ramovanim. Ta se nikdy neprideli. Smysl te adresy bude jenom aby IPv4 adresy nikdy formalne nedosly.
Takova adresa ale uz stejne existuje, napr. 127.0.0.1 nebo 192.168. nebo 10. nebo 255.255.255.255 nebo 0.0.0.0 :)
Spis nes kdy dojdou IPv4 adresy by se mely merit smysluplnejsi metriky, jako napr. jak hodne sajou NATy :)
A co na to BLEK.? A kdy dojdou baby? -
J (neregistrovaný)Plkate pekne nesmysly panove, viz napr VoIP. Kdyz se bude chti nekdo zvenku dovolant do firmy, musite mit nejaky bazmek na tom NATu, ktery to zaridi. Kdyz ta firma ma 10 pocitacu, je to jen dalsi misto pripadnych zavad navic, ale kdyz ta firma ma 10 000 pocitacu je to vpodstate neresitelny. Kdyby vsechny stroje meli verejne IP, je to ciste o nastaveni pravidla pro jeden port. Podobnych aplikaci je samozrejme vicero.
-
Ondřej Čečák (neregistrovaný)"ja jsem nikdy nepochopil co je tak strasneho na NATu?"
Tak treba to je hnusna berlicka, ktera obecne nefunguje dobre a kvuli ktere je zpravidla dost omezene pouziti nekterych sluzeb.
"IPv6 ma hure zapamatovatelne adresy, tudiz admini ztratej prehled co jim kde lezi"
Uff. Pokud je tohle vazne pravda, tak si to ti admini myslim zaslouzi.
"a pristup zvenci na kazde PC v jejich firme si stejne nemuzou dovolit z hlediska bezpecnosti, takze i tak tu sit s verejnejma IP nekde odriznou na nejakem routeru."
To zni, jako byste nechapal rozdil mezi slovy NAT a firewall. Nejde o synonymum, nevidim duvod, proc by vas mel nekdo s prichodem IPv6 nutit firewall prestat pouzivat.
"a nebo jen tak, protoze jim nekdo nabilikoval ze je to mnohem lepsi, ale fakticky ji vubec nepotrebujou."
Zatim co vy mate zrejme jasno. A co to takhle nechat na zakaznicich, resp. lidech, kterych se to tyka? ;) -
obrbaz (neregistrovaný)No to je mi kravina, 127.0.0.1 nebo 192.168. nebo 10 nebo 255.255.255.255 nebo 0.0.0.0 se neřadí do veřejného rozsahu ip adres. Btw 0.0.0.0 není žádná ip, už jste vyděli někdy telefonní číslo 000000... a 255.255.. už je mimo rozsah ipv4, ta má jen do 254. Já osobně se domnívám proč by nemohly být bitově větší ip adresy? Např 320.... atd
-
Vojta (neregistrovaný)DHCP znám. Ale
1) jsem docela rád, když si adresy pamatuju a mám v nich v hlavě přehled
2) serverům, routerům, switchům dávám adresy statické. Tato zařízení jsou jakési pevné body, které nechci konfigurovat z DHCP, protože DHCP se mi taky může přestat fungovat a navíc je z pricipu věci insecure.
Administrace lokální sítě postavené na privátních adresách je podle mě jednodušší a bezpečnější než pokud bych všem zařízením dal veřejné adresy. -
Vojta (neregistrovaný)Souhlasím, možná jsem se nepřesně vyjádřil. Chtěl jsem říct, že v IPv4 světě je výhodné použít uvnitř lokální sítě privátní adresy, protože např. v případě změny v připojení do internetu není nutno cokoli měnit (DNS, DHCP, ...).
Čtěte prosím pozorněji. Já jsem řekl, že DHCP není bezpečné, a na tom taky trvám. O NATu nepadlo ani slovo, NAT samozřejmě nemá žádný bezpečnostní význam.
Naopak použití privátních adres bezpečnost zvýší. Pokud nebudu mít žádný firewall a přitom budu mít privátní adresu za routerem, radikálně omezím množinu možných útočníků zvenčí. Zkuste se ke mně připojit, když mám 10.0.0.5 a vy ke mně máte 15 hopů :-). -
tyfus (neregistrovaný)Chtel jsem napsat radoby vtipny prispevek, ze na jednu isp sit staci dve ip adresy - smerovac a nat. Pak by bylo adres dost a dost.
Ale pak jsem si vzpomnel, ze cisla pro bgp dochazi rychleji. A sance, ze nekdo dobrovolne nasadi ctyrbajtova cisla AS je srovnatelna s sanci na nasazeni ipv6.
Takze ipv4 nedojde, protoze ti co ho zatim nemaji by stejne s novymi adresami nemohli nic uzitecneho delat.
ČLÁNKY DO MAILU