Vlákno názorů k článku Za Internet transparentní od Milan Hejpetr - Pratele, mozna trochu malicko mimo misu, ale : ...

Pratele, mozna trochu malicko mimo misu, ale :

Ja jsem tedy tim tazenim proti NAT, ktere zde v posledni dobe vidim, ponekud zmaten a priznam, ze i neprijemne prekvapen. Rozlisujme 2 veci : Internet a Lokalni site, pripojene k Internetu. Mezi temito 2 ma mame moznost volby - takze ja treba nevidim nejmensi duvod, proc by treba pocitac kazde ucetni mel mit adresu na Internetu, proc by lokalni site, tvorene podobnymi uzivateli, mely blokovat cast adresniho prostoru...Samozrejme - ta ucetni potrebuje posilat maily, potrebuje treba hledat cosi na Webu, potrebuje treba pouzivat i software, ktery pouziva jine protokoly (i kdyz - ruku na srdce - dovedete si predstavit treba ucetni s ICQ ??? - no - dejme tomu, ze takove existuji ...). Maily nejsou problem, ze..., pristup na Web take ne,, ostatni zalezitosti muze velmi dobre resit treba prave NAT ci IP Masquerade...samozrejme - s jistymi omezenimi. Jenze ta omezeni v drtive vetsine pripadu nehraji roli !! Idealni konfiguraci pro stredne velkou firmu s vlastnim WWW a SMTP serverem muze byt treba prave prideleni male subsite o 8 adresach (pardon - bez broadcastu a adresy site...). Zbytek - lokalni adresace - treba 192.168.bla.bla, napojeni na Internetovou subsitku a do Internetu pres router s NAT, pripadne pres nejakou kombinaci FW, Proxy, NAT (IP Masquerade) na Linuxovem stroji - ale to prece vsichni zname...
Samozrejme - nekde se jevi byt uzitecnym pripojeni pracovnich stanic a vlastne cele LAN primo do Internetu - pak je to nutne opravdu dukladne zvazit - nez zacneme blokovat cast cenneho adresniho prostoru.....
Abych nebyl obvinovan :-)) Ja netvrdim, ze NAT je spasa... to ne. NAT je ale velmi uzitecna vec, kdyz s nim zachazime rozumne - proto nechapu to tazeni zde proti nemu - budme realiste. Argumenty typu "Stejne prijde IPv6 a vsechno se vyresi" - ty neberu. IPv6 je hudbou pomerne vzdalene budoucnosti. Vy si snad dovedete predstavit prechod na nej v nejake historicky kratke a prijatelne dobe ??? Ja moc ne - bude to velmi bolestivy a pomaly proces. Pokud ma nekdo na tento prechod jiny nazor - at mne o tom zacne vypravet....
Samozrejme jsem nenapsal nic noveho - berte to treba jako emotivni reakci - proste si myslim, ze se zde zcela zbytecne odsuzuje (za soucasneho stavu Internetu) velmi uzitecna technologie.

NAT rozhodne neni brzdou rozvoje Internetu... Ciste IMHO je to velmi uzitecna pomucka k zamezeni zcela zbytecneho (viz. vyse priklad s mensi firmou) vycerpavani adresniho prostoru soucasneho Internetu. Mozna nase deti - nekdy - ty problemy mit nebudou... Mozna uz budou mit vsude IPv6 :-))) Ja vim... ono to vypada jinak z pozice asaka na univerzite a jinak z pozice toho, ktery na samem zacatku po statnicich ihned zbehl do komercni sfery :-))

Prechod na IPv6 vypada jednoduse proto, ze spousta lidi si neuvedomuje co ten prechod bude znamenat ve firmach co musi fungovat 24/7. Kolik lidsky prace, casu a penez to bude stat. A pritom prave diky treba NATu to neni potreba. To ze IP adresy dojdou se predvidalo uz pred nekolika lety a skutek utek.

Osobne taky nechapu ty katastroficky vize Lupy co se tyce pouzivani NATu a proxy serveru. Internet uz neni to misto kde se dalo vsechno nechat otevreny dokoran. Jak nekdo poznamenal v reakci na hackovani pocitacu: pokud si to nezabezpecite tak je to vase chyba. A nechavat vsechno otevreny a verejne komukoli pristupny je zbytecny risk.

Co se tyce prechodu na IPv6, kuprikladu v Japonsku to tusim vyresili jednoduse. Vsechny firmy maji od vlady prechod narizen do roku 2005. :-))

Jóó, a pak se Japonci oddělí od zbytku internetu, protože to okolí mrcha nechce komunikovat výhradně po IPv4. Skvělé!

A to nemluve o tom, ze jako nova technologie to proste bude mene vyzkousene, mene stabilni - proste problematictejsi. Verejnost nevidi, ze jeden z nejvetsich dodavatelu "velkych" sitovych technologii - CISCO ma dosud pomerne zavazne problemu se svymi IOS i na IPv4 - ruzne chyby a problemy s firmware jsou zde na beznem poradku a najit pro dany hardware (ktery je spolu dodavan a MEL by spolu fungovat) alespon trochu funkcni IOS je prace leckdy detektivni (nekdy se si az clovek mysli, ze to programuje M$). Jakpak to asi bude vypadat s IPv6 ... ? To je jasne - bude to kopec problemu, nestabilit, nefunkcnosti a pruseru, protoze technologie se budu do znacne miry ladit az na zivych zakaznicich.

Jiank je ale potreba peclive rozlisovat - pouziti NAT jako bezpecnostniho prvku je v poradku. Jsou ale i jine zpusoby jak zabezpecit sit a pokud se pro ne rozhodnu, pak bych mel mit narok je snadno provest. V dnesni dobe ma ale na takove bezpecnostni rozhodnuti vliv vec s bezpecnsti nesouvisejici - dostupnost IP adres. A to je to, co je spatne. Brojit proti NATu je tedy v poradku, pokud se broji proti tem, ktere byly nasazeny proto (nebo take proto), ze se tim usetrily adresy.

- takze ja treba nevidim nejmensi duvod, proc by treba pocitac kazde ucetni mel mit adresu na Internetu, proc by lokalni site, tvorene podobnymi uzivateli, mely blokovat cast adresniho prostoru...Samozrejme - ta ucetni potrebuje posilat maily, potrebuje treba hledat cosi na Webu, potrebuje treba pouzivat i software, ktery pouziva jine protokoly (i kdyz - ruku na srdce - dovedete si predstavit treba ucetni s ICQ ??? -

Rika Vam neco pojem: "socialni rasista" ?
V zivote bych si nedovolil timto zpusobem kastovat lidi.

Nakonec ta ucetni potrebuje maximalne psaci stroj ne? Ona prece muze vsechny ty veci delat v sesite ne?

>Rika Vam neco pojem: "socialni rasista" ?
>V zivote bych si nedovolil timto zpusobem kastovat lidi.

No - clovece - takova demagogie snad ani nezaslouzi, abych se ji snazil nejak obsirne vyvracet :). Kratce : Ucetni ke sve praci skutecne nepotrebuje mit pocitac pripojen primo do Internetu. Kdyz budu jejim zamestnavatelem, urcite na to budu brat ohled a nebudu pro LAN, kde dela, shanet adresy verejne site... Osobou ucetni se ted prece vubec nezabyvam - jen tim co dela pro firmu.

homebanking/Internet banking a moznost "man in the middle" utoku pri posilani platebnich prikazu ?

Eeeee ... ?? Ted nejak nestiham tok vasich myslenek. Chcete rici, ze ucetni primo pripojena k Internetu bude usetrena "man in the middle" utoku ?? No - mozna ta moje unava - asi uz vypnu PC...

rozlisujme ... Internet a Lokalni site, pripojene k Internetu

To mi zni jako blabol jakysi. Internet bylo odjakziva propojeni lokalnich IP siti. Lokalni ISP sve lokalni site spojovali pomoci paternich propojeni, cimz vznikal InterNET. Ostatne uz samo slovo inter-net jednoznacne ukazuje, ze slo o propojeni siti ...

Budete muset zrejme urcit, co je to ta "zakladni" jednotka site, ktera uz svym pocitacum nemusi poskytovat plnohodntne pripojeni.

Ja pamatuji jeste casy ceske internetove zlate horecky, kdy vznikaly desitky prtavych "taky-ISP", kteri svym zakaznikum poskytovali "taky-pripojeni" do udajneho InterNETu. A jake bylo prekvapeni nekterych zakazniku, kdyz zjistili, ze jim funguje HTTP,SMTP,FTP a tak jeste POP, ale nic vic. Protoze ISP mel "lokalni sit", podle vasi logiky ji mel za prekladem - to preci nicemu nevadi, zakaznik mel pro svoji sit pridelenou "zakazanou" adresu, respektive blok zakazanych adres - a ISP se jeste tvaril jak mesicek, kdyz tvrdil, ze nemuze rikat, ze nema pripojeni do InterNETu, kdyz mu preci HTTP i posta funguji ...

Takze si to ujasneme - pocitac je vzdy pripojen v ramci lokalni site. Nektere pocitace maji vsak plne pravo pripojeni - jsou tedy schopne dosahnout libovolneho jineho pocitace s plnym pripojenim pomoci libovolneho protokolu postaveneho nad IP protokolem. A jine pocitace takove plnohodnotne pripojeni nemaji.

Clanek nerika nic jineho nez to, ze se rozsiruje NAT, tim se rozsiruje pocet pocitacu, jejichz pripojeni NENI plnohodnotne a tim se omezuje rozvoj Internetu, protoze urcite veci nelze delat efektivne. Lze tak napriklad pouzivat vlastne v podstate pouze TCP, v nekterych pripadech i UDP, ale je vyrazne zabrzdeno navrh a pouziti jinych protokolu, protoze by je neplnohodnotne pripojene pocitace (a tech je dnes jiz spousta) nemohly pouzivat - ackoliv by jinak takovy protokol byl daleko efektivnejsi, nez ten, ke kteremu vas mohutne nasazeni NATu donuti nyni. Jednou vetou - NAT brzdi rozvoj InterNETu (nebrzdi rozvoj HTTP, SMTP, POP3, IMAP4, ale brzdi real-timove prenosy dat, komplikuje end-to-end zabezpeceni atd, atd ...).

Dobre - abychom neslovickarili, upravim tu formulaci :

rozlisujme ... Internet a _privatni_lokalni_site_ urciteho typu firem, pripojene k Internetu.... Je tomu lepe rozumet ?
Nikde jsem nehajil preklad adres na urovni ISP. Pisu prece o necem jinem - preklad adres na urovni privatnich lokalnich siti - tedy to co si vlastnik takove site _sam_zvoli_, protoze je to pro nej vyhodne, vyhovujici a protoze se chova eticky - podle hesla : nebudu blokovat zbytecne adresni prostor, kdyz jej v tak velkem rozsahu vlastne nepotrebuji.
Nereaguji na nic jineho nez na to, ze se zde v nekterych clancich vyvolava v neznalych ctenarich dojem, ze NAT je pricinou vseho zla na Internetu - jsem presvedcen, ze to neni pravda. Ale soucasne netvrdim, ze to je nejaka zachrana a spasa - jde , pri soucasnem stavu, pouze o _uzitecnou_ pomucku, resici urcite situace.