Názory k článku Za Internet transparentní

na tunelovanie akehokolvek protokolu staci napr pristup cez http proxy a nejaky pocitac vonku

Je otazkou, jestli adresni prostor o velikost 64 C-bloku je malo nebo hodne. Treba RIPE se to v dobe, kdy VOL zadal o o neco mensi prostor hodne zdalo :-)

Pochybuji, ze CESNET temi adresami disponuje. Disponuji jimi pripojene VS. CESNET je POUZE smeruje, coz je citelny rozdil.

A kdyz napriklad u CTT odpoctes dva /16, ktere ziskal s komercnim CESNETem, tak mas mene nez tretinu. Takze to s temi rozsahy nebude tak horke.

U CTc odpocitas /16 Eurotelu, tak ziskas 60.000 adres. No a z toho je 25% onech 64 C-bloku ...

vyjde vstric != rozdava

Vyjde vstric = zakaznikovi pomuze vyplnit RIPE-219 ci podobny dokument a dle zakaznikovych potreb zduvodnenych timto dokumentem, prideli adresy nebo forwarduje zadost RIPE.

Jóó, a pak se Japonci oddělí od zbytku internetu, protože to okolí mrcha nechce komunikovat výhradně po IPv4. Skvělé!

Dobre - abychom neslovickarili, upravim tu formulaci :

rozlisujme ... Internet a _privatni_lokalni_site_ urciteho typu firem, pripojene k Internetu.... Je tomu lepe rozumet ?
Nikde jsem nehajil preklad adres na urovni ISP. Pisu prece o necem jinem - preklad adres na urovni privatnich lokalnich siti - tedy to co si vlastnik takove site _sam_zvoli_, protoze je to pro nej vyhodne, vyhovujici a protoze se chova eticky - podle hesla : nebudu blokovat zbytecne adresni prostor, kdyz jej v tak velkem rozsahu vlastne nepotrebuji.
Nereaguji na nic jineho nez na to, ze se zde v nekterych clancich vyvolava v neznalych ctenarich dojem, ze NAT je pricinou vseho zla na Internetu - jsem presvedcen, ze to neni pravda. Ale soucasne netvrdim, ze to je nejaka zachrana a spasa - jde , pri soucasnem stavu, pouze o _uzitecnou_ pomucku, resici urcite situace.

NAT primo vede pripadneho utocnika k realizaci "man in the middle" utoku.

... se neobejdou ?

Bez transparentni proxy - pochybuji. Bez prekladu (neni-li diktovan bezpecnostni politikou) - nesouhlasim - ziskat adresy je sice obtizne, ale nikoli nemozne - a to ani dnes!

Nebo jsem to nepochopil a "se neobejdou" je o necem uplne jinem ?

rozlisujme ... Internet a Lokalni site, pripojene k Internetu

To mi zni jako blabol jakysi. Internet bylo odjakziva propojeni lokalnich IP siti. Lokalni ISP sve lokalni site spojovali pomoci paternich propojeni, cimz vznikal InterNET. Ostatne uz samo slovo inter-net jednoznacne ukazuje, ze slo o propojeni siti ...

Budete muset zrejme urcit, co je to ta "zakladni" jednotka site, ktera uz svym pocitacum nemusi poskytovat plnohodntne pripojeni.

Ja pamatuji jeste casy ceske internetove zlate horecky, kdy vznikaly desitky prtavych "taky-ISP", kteri svym zakaznikum poskytovali "taky-pripojeni" do udajneho InterNETu. A jake bylo prekvapeni nekterych zakazniku, kdyz zjistili, ze jim funguje HTTP,SMTP,FTP a tak jeste POP, ale nic vic. Protoze ISP mel "lokalni sit", podle vasi logiky ji mel za prekladem - to preci nicemu nevadi, zakaznik mel pro svoji sit pridelenou "zakazanou" adresu, respektive blok zakazanych adres - a ISP se jeste tvaril jak mesicek, kdyz tvrdil, ze nemuze rikat, ze nema pripojeni do InterNETu, kdyz mu preci HTTP i posta funguji ...

Takze si to ujasneme - pocitac je vzdy pripojen v ramci lokalni site. Nektere pocitace maji vsak plne pravo pripojeni - jsou tedy schopne dosahnout libovolneho jineho pocitace s plnym pripojenim pomoci libovolneho protokolu postaveneho nad IP protokolem. A jine pocitace takove plnohodnotne pripojeni nemaji.

Clanek nerika nic jineho nez to, ze se rozsiruje NAT, tim se rozsiruje pocet pocitacu, jejichz pripojeni NENI plnohodnotne a tim se omezuje rozvoj Internetu, protoze urcite veci nelze delat efektivne. Lze tak napriklad pouzivat vlastne v podstate pouze TCP, v nekterych pripadech i UDP, ale je vyrazne zabrzdeno navrh a pouziti jinych protokolu, protoze by je neplnohodnotne pripojene pocitace (a tech je dnes jiz spousta) nemohly pouzivat - ackoliv by jinak takovy protokol byl daleko efektivnejsi, nez ten, ke kteremu vas mohutne nasazeni NATu donuti nyni. Jednou vetou - NAT brzdi rozvoj InterNETu (nebrzdi rozvoj HTTP, SMTP, POP3, IMAP4, ale brzdi real-timove prenosy dat, komplikuje end-to-end zabezpeceni atd, atd ...).

A to nemluve o tom, ze jako nova technologie to proste bude mene vyzkousene, mene stabilni - proste problematictejsi. Verejnost nevidi, ze jeden z nejvetsich dodavatelu "velkych" sitovych technologii - CISCO ma dosud pomerne zavazne problemu se svymi IOS i na IPv4 - ruzne chyby a problemy s firmware jsou zde na beznem poradku a najit pro dany hardware (ktery je spolu dodavan a MEL by spolu fungovat) alespon trochu funkcni IOS je prace leckdy detektivni (nekdy se si az clovek mysli, ze to programuje M$). Jakpak to asi bude vypadat s IPv6 ... ? To je jasne - bude to kopec problemu, nestabilit, nefunkcnosti a pruseru, protoze technologie se budu do znacne miry ladit az na zivych zakaznicich.

Jiank je ale potreba peclive rozlisovat - pouziti NAT jako bezpecnostniho prvku je v poradku. Jsou ale i jine zpusoby jak zabezpecit sit a pokud se pro ne rozhodnu, pak bych mel mit narok je snadno provest. V dnesni dobe ma ale na takove bezpecnostni rozhodnuti vliv vec s bezpecnsti nesouvisejici - dostupnost IP adres. A to je to, co je spatne. Brojit proti NATu je tedy v poradku, pokud se broji proti tem, ktere byly nasazeny proto (nebo take proto), ze se tim usetrily adresy.

Pokud jste se blize dostal k pridelovani IP adres, pak jiste vite, ze do objemu 128 IP/organizace RIPE nedela prakticky zadne problemy a v podstate ani zadne kntroly. Do tohoto objemu take muze vetsina LIR pridelit IP bez predchoziho schvaleni ze strany RIPE (a uz to jen zaregistruji v databazi). Pokud ale celkovy objem IP adres presahne tuto hranici, hned je to trochu jine. V takovem pripade RIPE nebere alokaci "jen na vedomi", ale skutecne ji schvaluje. Pricemz musite tentokrat jiz pocliveji vyplnit udaje o firme (topologii) - a celkove to trva dele a jsou s tim vetsi obstrukce. Jadna z otazek take je, zda jste zvazil pouziti privatnich adres (a tedy NATu) - coz vidim jako zretelny, i kdyz nikoli nasilny tlak ze strany RIPE na pouzivani NAT - a to ze "spatnych" duvodu (pouziti NAT kvuli bezpecnosti je "dobry" duvod, pouziti kvuli spatne dostupnosti adres je "spatny" duvod).

Je neoddiskutovatelny fakt, ze pomerne obtizna dostupnost IP adres vytvari tlak na vyuzivani NAT a komplikuje navrhy site - bud' totiz pri navrhu site zalzete a nechate si pridelit adresy s rezervou, nebo si o ne reknete teprve az je budete potrebovat - a to nejspis nedostanete navazujici blok, coz vam zkmplikuje konfiguraci site.

Na ICQ je nebezpecny to, ze pro jeho funkcnost je potreba otevrit sit takovym zpusobem, ze vznikle otvory je mozne pouzivat i pro kdo-co jineho (zakazaneho). SSL je neprijemne tim, ze se skrzeva nej daji snadno tunelovat jine protokoly a tim znovu jeho povolenim dochazi k umozneni obchazeni zakazu jinych sluzeb.

Yo. A az, vy mili uzivatele, budete mit mene omezeni a budete si moci delat co budete chtit, tak budeme mit plne site warezovych serveru, plne mailboxy stiznosti - jednak na ty warezove servery, jednak na utoky z vnitrnich pocitacu site - at uz proto, ze to dela primo vnitrni uzivatel neb proto, ze neschopakem nakonfigurovany pocitac uz davno pouziva nejaky hacker. Dale budeme mit na krku plno stiznosti na spamming z nami spravovanych siti - prevazne kvuli neschopnosti lokalnich uzivatelu nakonfigurovat MTA.

AZ vy lokalni uzivatele budete schopni se o sve pocitace starat alespon natolik, ze dokazete zabranit jejich zneuziti tretimi osobami - a HLAVNE - AZ BUDETE SCHOPNI DOBROVOLNE DODRZOVAT STANVENA PRAVIDLA bez vecne snahy je obchazet zapouzdrovanim neceho do neceho jineho, komunikace na nestandardnich portech a tak vubec, jinymi slovy - az jedinci prestanou svoji neschopnosti neboo dokonc zlou vuli ohrozovat provoz cle site jako takove - pak teprve bude tvoje zvolani legitimni a pak take spravci prestanou sve uzivatele zbytecne omezovat. Do te doby bude platit, ze nejde-li to po dobrem (at uz kvuli zle vuli nebo neschopnosti), jde to po zlem. Nejsou-li pravidla dodrzovana dobrovolne a neobchazena, nezbyva nez je prosadit silou. A spravce ta prislusna hesla na prosazeni sve vule ma. Kazdy sveho stesti strujcem ...

Nemyslím si, že by mohly IPv4 stacit pro kazdy pripojeny pocitac - vsichni komercni LIR v CR dohromady maji tak 1 mil. IP adres, RIPE neco pres 100 mil - cili v obou pripadech cca 1 IP adresa na 10 lidi, diky granularite je v praxi vyuzitelna tak polovina, tedy 1 IP adresa na 20 lidi, neboli aktualne 0,5 mil IP adres v CR. Domnivam se, ze je v CR vice pocitacu. V CR je take napriklad pres 1 milion podnikatelskych subjektu - kolik z nich je, a do doby zavedeni IPv6 bude pripojenych k Internetu? Treba u nas ve firme mame skutecne vyuzitych cca 80 IP adres na 35 zamestancu. Kdyz si to shrnete, zjistite, ze bez NATu nelze v dnesni dobe prezit.
Coz by mel byt jen dalsi duvod k urycleni praci na IPv6. Ovsem i kdyz bude adres prebytek, porad bude mit smysl mit uzavrene site pripojene k vnejsimu svetu jen pres aplikacni proxy servery - minimalne kvuli bezpecnosti.

No, tohle je zrovna zásah vedle. ISP zadarmo pouzivaji pro dialup pooly pomerne malo adres, mnohem mene, nez jini provideri pro jine ucely. Pokud jsem se pred casem dival, zadny free ISP nepouziva pro dialup vic nez 64 cecek, tj. 16384 IP adres. Zato jsou tu ISP, kteri disponuji citelne vetsim poctem adres:
Cesnet: 884736
KPNQwest: 197632
Contactel: 165120
Cesky Telecom: (vcetne Eurotelu): 135168
GTS: 73728
Nextra: 73728
SkyNet: 65536
Jak je to s velikosti LIR v CR je videt tady: http://www.ripe.net/ripencc/mem-services/general/indices/CZ.html

"vyjde vstric" znamena v podani zakazniku "date mi xyz adres, aniz bych musel cokoli vyplnovat". Obvykle je xyz nesmyslne velike cislo. Po prvnim dotazu na adresni plan se samo zmensi cca na tretinu :-), realna potreba pak byva mnohdy jeste nizsi.

Eeeee ... ?? Ted nejak nestiham tok vasich myslenek. Chcete rici, ze ucetni primo pripojena k Internetu bude usetrena "man in the middle" utoku ?? No - mozna ta moje unava - asi uz vypnu PC...

homebanking/Internet banking a moznost "man in the middle" utoku pri posilani platebnich prikazu ?

>Rika Vam neco pojem: "socialni rasista" ?
>V zivote bych si nedovolil timto zpusobem kastovat lidi.

No - clovece - takova demagogie snad ani nezaslouzi, abych se ji snazil nejak obsirne vyvracet :). Kratce : Ucetni ke sve praci skutecne nepotrebuje mit pocitac pripojen primo do Internetu. Kdyz budu jejim zamestnavatelem, urcite na to budu brat ohled a nebudu pro LAN, kde dela, shanet adresy verejne site... Osobou ucetni se ted prece vubec nezabyvam - jen tim co dela pro firmu.

Ano, stale si to myslim. Jen nechapu, proc stale davas rovnitko mezi "vyjde vstric" a "rozdavat".

Nemluvim o spolecnosti, u ktere jsi zamestnan (jako LIR, ze?), ale obecne. At mi nikdo nerika, ze neni schopen u sveho providera zajistit stejny nebo vetsi rozsah odpovidajici poctu aktivnich prvku v siti.

Pokud tomu tak je, tak dany ISP je proste SPATNY a NEMA CENU u nej objednavat cokoliv. Protoze pro takovy postup nema zadny rozumny duvod - obvykle to znamena, ze se zakaznik muze stoprocentne spolehnout, ze nedostane primo nektere dalsi sluzby. Zakladem budiz usenet news.

> Obecne plati, ze cim lepsi provider (kvalitou sluzeb) tim
> ochotneji Vam vyjde vstric v pozadavcich na IP adresy.
> Samozrejme pokud mate pocitany dvoumegabit za deset tisic
> u providera s upstream 1 Mb/s, nemuzete cekat, ze se s
> Vami bude parat (natoz, aby mel vlastni LIR).

Michale, vazne myslis ze kvalita sluzeb ISP je primo umerna ochote rozdavat adresy? Podle mne obecne plati jen to, ze cim vic adres pozadujes, tim lepe je musis zduvodnit. 16 adres dostanes bez ptan, 64 jeste pomerne v pohode, 1C uz obvykle musis trochu okecat, ale pokud to radne zduvodnis, taky to neni problem. Ale docela by me zajimalo, jak ceska zakladni skola v dvouletem vyhledu zduvodni potrebu 2C :-)

Zda žiji ještě v socialismu se mě v sobotu také ptala žena v Děčíně, když jsem ráno koupil housky a chleba a tahal je s sebou celé dopoledne.
Naštěstí jsem ještě žil, protože v poledne je už nikde neměli, i když měli otevřeno až do šesti.

Ale no tak ... Zvlaste ISP zadarmo jsou velkymi uzivateli IP adres (pro dial-up pooly). Navic nevim o nikom, kdo by byl v CR Large LIR.

V posledni dobe trochu spolupracuji s jednim lokalnim ISP a mimo jine jsem se dostal i k prideleni IP adres. Z toho mam nekolik postrehu.
Nedavno jsem resil jednu skolu, jenz u puvodniho providera mala minimalne 2Cka. Po prechodu k nam, jsme se schodli na tom, ze jim realne staci blok 64 IP. Po vyplneni prislusnych formularu a jejich zaslani na RIPE, byla dana zadost bez komplikaci vyrizena. RIPE nezjistuje, o jakou linku se jedna, zda 19200 kb nebo 2Mb.
Dle meho nazoru neni problem v prideleni verejnych IP adres, zakaznikum dle jejich oduvodnitelnych potreb. RIPE dokument (pravidla) tomu i odpovidaji. IP jsou verejny omezeny statek, jenz se prideluje zdarma a podle nutnych potreb koncoveho uzivatele IP.
Zde bych videl jeden z problemu, nebot ISP, jenz ma LIR, zaplati za vytvoreni LIRu asi 2 100 EUR a za clenstvi rocni poplatek 2100 - 3900 EUR, a to podle velikosti alokovanych IP bloku pro svuj LIR. Zde je tedy snaha ISP mit LIR co nejmensi, kor kdyz sou IP zadarmo. ISP si muze nauctovat praci spojenou s pridelenim a mozna este neco, ted si nejsem jist.
V informacich RIPE je mimo jine uvedeno, ze kdyz Vam nebude chtit nekdo IP poskytnout, muzete se se stiznosti obratit primo na ne. Ale nevim jak je to s vymahatelnosti takove stiznosti, nebot napriklad podle pravidel RIPE ma LIR do RIPE databaze zanaset rozsahy pridelene koncovym zakaznimkum (inetnum), ale velka cast ISP to dle meho pozorovani nedela. A to mnohdy i ti velci.

- takze ja treba nevidim nejmensi duvod, proc by treba pocitac kazde ucetni mel mit adresu na Internetu, proc by lokalni site, tvorene podobnymi uzivateli, mely blokovat cast adresniho prostoru...Samozrejme - ta ucetni potrebuje posilat maily, potrebuje treba hledat cosi na Webu, potrebuje treba pouzivat i software, ktery pouziva jine protokoly (i kdyz - ruku na srdce - dovedete si predstavit treba ucetni s ICQ ??? -

Rika Vam neco pojem: "socialni rasista" ?
V zivote bych si nedovolil timto zpusobem kastovat lidi.

Nakonec ta ucetni potrebuje maximalne psaci stroj ne? Ona prece muze vsechny ty veci delat v sesite ne?

Clovece Vy zijete v sociku. Jste zakaznik. Platite za tezke penize dvoumegabit. Vyplnte proste RIPE-219 a poslete ho providerovi. Ma povinnost ho poslat RIPE, pokud Vam neprideli pozadovany rozsah adres - napriklad, protoze ma mensi assignment window nez pozadujete. Jinak presne tuto politiku mel pred prodejem komercni site CESNET (na te siti) - skoda, ze jste ho nevidel.

Obecne plati, ze cim lepsi provider (kvalitou sluzeb) tim ochotneji Vam vyjde vstric v pozadavcich na IP adresy. Samozrejme pokud mate pocitany dvoumegabit za deset tisic u providera s upstream 1 Mb/s, nemuzete cekat, ze se s Vami bude parat (natoz, aby mel vlastni LIR).

Ale zároveň je toto příklad netypické situace v síti TEN-CZ oproti poměrům snad všech diskutujících. V TENu se na ničem moc teď šetřit nemusí. To zároveň vysvětluje ony zásadní rozpory v reakcích diskutujících.
Zároveň je ovšem třeba se zamyslet nad tím, když něco (ať už z jakéhokoliv důvodu) odstavím, zda se mohu o analogických věcech pokoušet radit koncepčně lidem, kteří se bez podobného neobejdou?

Co se tyce prechodu na IPv6, kuprikladu v Japonsku to tusim vyresili jednoduse. Vsechny firmy maji od vlady prechod narizen do roku 2005. :-))

>Se zavedenim classless addressingu a rozstepenim class A
>siti volnych IPv4 adres smahem pribylo a jeste nekolik let
>jich bude dostatek; pokud se jimi nebude plytvat,

Ano - pokud se jimi nebude plytvat... A co ma delat firma s cca 100 PC, ktera chce mit pristup do Internetu ?? Ma zadat o prideleni rozsahu IP adres na Internetu nebo si vybudovat interni system s NAT ? Budou ji ony adresy prideleny ?? Co kdyz nebudou ? Co pak ? Nezbyde asi nakonec nic jineho nez ten NAT - a nevidim na tom nic tak hrozneho... Proc se vubec snazit, aby byla takove firme, kde naprosta vetsina uzivatelu stejne potrebuje jen pracovat s postou ci WWW, byla pridelovana vetsi subsit nez 8 ??? Podivejte se trochu do praxe...

(Ne)dostatek IP adres je v praktickém provozu zcela reálný problém. Než jsem opustil Karlín, kde měla svoji IP adresu (neprivátní) i katedrální tiskárna, taky jsem si myslel, že to nebude až tak horké. Teď vidím, jaký je problém vyžebrat k 2Mb lince 8 IP adres. Pohádky o ISP, kteří poskytují IP adresy na požádání (chcete 50? dáme 64, můžu to tak nechat?) jsou mimo realitu. Ještě jsem takového neviděl. A navíc existují i další, neméně důležitá kritéria výběru (rychlost, ztrátovost, spolehlivost, cena).

Když vidím, že prakticky každá menší firma má svou lokální síť připojenou přes IP masquerading, obávám se, že nebýt těchto proklínaných technologií, už by dnes nemusel nedostatek IP adres být jen ve stádiu planých hrozeb. Tím nechci tvrdit, že NAT je všelék a že nemá své mouchy. Ale při připojování menší lokální sítě (5-20 počítačů) se mi zatím ukázal být rozumným řešením problémů, které se prostě nějak vyřešit musely. A počkat na IPv6 opravdu nešlo.

Polemika okolo NATu se netoci ani tak kolem nejake jedne jeho konkretni vlastnosti, nybrz okolo toho, ze TCP/IP je proste postaveno na predpokladu, ze nikdo adresy prekladat nebude, coz kdyz nekdo porusi, okamzite vzniknou desitky problemu. Blize viz diskuse na Lupe o predchozim clanku o NATech.

Zduvodnovat nasazeni NATu nedostatkem IPv4 adres je sice oblibeny argument, nicmene ponekud odtrzeny od reality. Se zavedenim classless addressingu a rozstepenim class A siti volnych IPv4 adres smahem pribylo a jeste nekolik let jich bude dostatek; pokud se jimi nebude plytvat, muze mit bez problemu IPv4 adresu kazdy pripojeny pocitac. Nekterym providerum se to, pravda, vysvetluje tezko, ale jednak vas obvykle nikdo nenuti vybirat si zrovna takoveho providera a jednak regule RIPE pro pridelovani adres jsou zavazne pro vsechny ceske providery, takze je vetsinou staci na existenci a obsah techto reguli upozornit.

Prechod na IPv6 urcite nebude bezbolestny ani s nulovymi naklady, ale kdyz si predstavim, kolik penez stalo instalovani NATu a vyvoj aplikaci, ktere jsou s NATy schopny fungovat a vyvoj berlicek pro ty aplikace, ktere s nimi fungovat nemohou (pricemz techto problemu ani zdaleka neubyva), myslim si, ze prechod na IPv6 bude minimalne dlouhodobe daleko levnejsi reseni. Mimochodem, neni zapotrebi, aby cely Internet najednou na IPv6 presel - sit 6bone tvorena IPv6-kovymi ostruvky propojovanymi skrz IPv4-kovy Internet je toho krasnym prikladem.

Mě už se přestává líbít, že autor se snaží spáchat "genocidu" na NAT. Jenom proto, že mu chybí jedna vlastnost, která ještě dost často u běžných uživatelů není žádaná. Ba dokonce absence přímého spojení je leckdy vyžadována z bezpečnostních důvodů.

Trochu mi to připomíná politická hesla. Bude tu dobře, až skoncujeme s komunisty. Bude tu dobře, až skoncujeme s Klausem. Bude tu dobře, až skoncujeme se Zemanem. Bude tu dobře, až skoncujeme s NAT a IPv4.

Ono je to tak, milý autore, každá věc má své pro a proti. Chtělo by to trochu méně bojovnosti. Až se zavede IPv6, tak to za prvé bude chvíli trvat, a za druhé se objeví problémy jiného druhu, které si dnes neuvědomujeme. Protože i u IPv6, stejně tak, jako u jakéhokoli jiného protokolu se praxí ukáží nedomyšlenosti.

Největším problémem je, že IPv6 není zralý na to, aby byl dnes nasazen. Nejdříve je potřeba, aby všechny linky byly schopny obsluhovat jak IPv4, tak i IPv6 současně. Jenom toto je hudba vzdálené budoucnosti. Poté je potřeba pomalu přesunovat aplikace na IPv6. To je hudba ještě vzdálenější budoucnosti.

Chápete vůbec pojmy jako cena přechodu na IPv6, nutnost toho, aby mohly ještě dlouhou dobu pracovat starší aplikace. Pokud ne, tak vězte, že většina firem nechce být kutily na poli IP protokolů, ale chce pracovat.

Co je tak nebezpecnyho na ICQ a SSL????

Prechod na IPv6 vypada jednoduse proto, ze spousta lidi si neuvedomuje co ten prechod bude znamenat ve firmach co musi fungovat 24/7. Kolik lidsky prace, casu a penez to bude stat. A pritom prave diky treba NATu to neni potreba. To ze IP adresy dojdou se predvidalo uz pred nekolika lety a skutek utek.

Osobne taky nechapu ty katastroficky vize Lupy co se tyce pouzivani NATu a proxy serveru. Internet uz neni to misto kde se dalo vsechno nechat otevreny dokoran. Jak nekdo poznamenal v reakci na hackovani pocitacu: pokud si to nezabezpecite tak je to vase chyba. A nechavat vsechno otevreny a verejne komukoli pristupny je zbytecny risk.

Pratele, mozna trochu malicko mimo misu, ale :

Ja jsem tedy tim tazenim proti NAT, ktere zde v posledni dobe vidim, ponekud zmaten a priznam, ze i neprijemne prekvapen. Rozlisujme 2 veci : Internet a Lokalni site, pripojene k Internetu. Mezi temito 2 ma mame moznost volby - takze ja treba nevidim nejmensi duvod, proc by treba pocitac kazde ucetni mel mit adresu na Internetu, proc by lokalni site, tvorene podobnymi uzivateli, mely blokovat cast adresniho prostoru...Samozrejme - ta ucetni potrebuje posilat maily, potrebuje treba hledat cosi na Webu, potrebuje treba pouzivat i software, ktery pouziva jine protokoly (i kdyz - ruku na srdce - dovedete si predstavit treba ucetni s ICQ ??? - no - dejme tomu, ze takove existuji ...). Maily nejsou problem, ze..., pristup na Web take ne,, ostatni zalezitosti muze velmi dobre resit treba prave NAT ci IP Masquerade...samozrejme - s jistymi omezenimi. Jenze ta omezeni v drtive vetsine pripadu nehraji roli !! Idealni konfiguraci pro stredne velkou firmu s vlastnim WWW a SMTP serverem muze byt treba prave prideleni male subsite o 8 adresach (pardon - bez broadcastu a adresy site...). Zbytek - lokalni adresace - treba 192.168.bla.bla, napojeni na Internetovou subsitku a do Internetu pres router s NAT, pripadne pres nejakou kombinaci FW, Proxy, NAT (IP Masquerade) na Linuxovem stroji - ale to prece vsichni zname...
Samozrejme - nekde se jevi byt uzitecnym pripojeni pracovnich stanic a vlastne cele LAN primo do Internetu - pak je to nutne opravdu dukladne zvazit - nez zacneme blokovat cast cenneho adresniho prostoru.....
Abych nebyl obvinovan :-)) Ja netvrdim, ze NAT je spasa... to ne. NAT je ale velmi uzitecna vec, kdyz s nim zachazime rozumne - proto nechapu to tazeni zde proti nemu - budme realiste. Argumenty typu "Stejne prijde IPv6 a vsechno se vyresi" - ty neberu. IPv6 je hudbou pomerne vzdalene budoucnosti. Vy si snad dovedete predstavit prechod na nej v nejake historicky kratke a prijatelne dobe ??? Ja moc ne - bude to velmi bolestivy a pomaly proces. Pokud ma nekdo na tento prechod jiny nazor - at mne o tom zacne vypravet....
Samozrejme jsem nenapsal nic noveho - berte to treba jako emotivni reakci - proste si myslim, ze se zde zcela zbytecne odsuzuje (za soucasneho stavu Internetu) velmi uzitecna technologie.

NAT rozhodne neni brzdou rozvoje Internetu... Ciste IMHO je to velmi uzitecna pomucka k zamezeni zcela zbytecneho (viz. vyse priklad s mensi firmou) vycerpavani adresniho prostoru soucasneho Internetu. Mozna nase deti - nekdy - ty problemy mit nebudou... Mozna uz budou mit vsude IPv6 :-))) Ja vim... ono to vypada jinak z pozice asaka na univerzite a jinak z pozice toho, ktery na samem zacatku po statnicich ihned zbehl do komercni sfery :-))

Ciste pro vasi informaci - pokud si vase organizace nemuze dovolit firewall umoznujici analyzovat aplikacni prislusnost prochazejich paketu, je lepsi rozsah portu ICQ zakazat. Komunikace ICQ pouziva takovy rozsah portu a tolik IP adres, ze se primo nabizi pro tunelovani, napriklad trojskym konem jiz ovladajicim vas pocitac.

Jeste drobnost k clanku. Je nemyslitelne instalovat firewall systemem co neni zakazano, je povoleno. Pokud by "typicky spravce" postupoval timto zpusobem, tak se mame vsichni na co tesit. Leda ze by mel kristalovou kouli a mohl predem odhadnou vsechny utoky.

Toto je jiz v kratke dobe druhy clanek na Lupe, ktery v lidech vyvolava dojem ze technologie jako NAT mrzaci internet. Je mi lito lidi, kteri trpi, protoze amatersti spravci jejich siti maji problemy s konfiguraci. Psat ale zobecnene a velmi povrchni clanky bez navrhu alternativnich reseni je prinejmensim neprofesionalni, a rozhodne to vnimani internetu a predevsim bezpecnostnich aspektu neprispiva.


runner

Jeste je jedna moznost. Nepouzivat peer-to-peer reseni, ale pouzivat reseni s verejne dostupnymi servery. Podobne jako treba www. Tam zadene firewaly a NAT nevadi...

Mozna by bylo i resenim zavest neco jako stinove DNS. Na stinove DNS servery by se uzivatele registrovali, tam by se vyhledavali, pres komunikacni servery by se vedla komunikace, ...

Asi je to blbost, reseni s IPv6 bude jednodussi... ;-)

A jak to dopadne, pokud vás správci nebudou omezovat? Druhý den si přijde desetinásobek uživatelů stěžovat, jim někdo zvenku zlikvidoval obsah počítače (nebo spíš, že jim přestal počítač fungovat).

YO!,
ten nas dementni firewall nepovoluje ani SSL komunikaci na portech u browseru!, ICQ je uplne dead...

SPRAVCI SERVERU, neomezujte uzivatele'!!!!!!!!!