[AlexUkr]

В этой теме давайте спорить, нужно провайдерам сейчас внедрять IPv6, или на ближайшие 50 лет хватит и IPv4.

[nic_stav]

кто-нибудь поведает откуда взялось 50 лет?

[AlexUkr]

Если продолжать NAT-ить всё, что можно, то хватит и на сто лет. Другой вопрос, что от NAT-а пора избавляться, чтобы приложения вроде того же Скайпа могли нормально дышать.

[andryas]

50 лет с момента внедрения?

 

Лет 10 отсилы, но думаю, уже через годика два достаточно созреет v6 и нужно будет немного двигаться в его направлении.

[AlexUkr]

Кто-нибудь уже поставил с своей сети цель обеспечить IPv6 хотя бы наиболее продвинутую часть абонентов ко "всемирному дню IPv6" (8 июня)? У нас, например, биллинг пока не позволяет этого сделать, но конкурирующая сеть уже подсуетилась - абонентам ещё не раздаёт, но четырёхзвёздный ripeness они уже получили.

 

А хотя... Биллинг... Для этого ведь 6rd есть, чтобы такие проблемы обходить! Надо на неделе проработать этот вопрос.

Изменено 19 марта, 2011 пользователем AlexUkr

[nic_stav]

NAT - зло. Опять же вопрос внедрения v6, вопрос не только и не столько ISP...

[Irsi]

Если продолжать NAT-ить всё, что можно, то хватит и на сто лет. Другой вопрос, что от NAT-а пора избавляться, чтобы приложения вроде того же Скайпа могли нормально дышать.

Динамический "белый" IPv4 для клиента решает все проблемы, ога. А вот NAT на роутере стоящим у клиента - необходим, за идею его удалить надо судить и расстреливать. А лучше - сразу расстреливать, без суда и следствия. Ибо это преступление против человечества. :)

[AlexUkr]

В данный момент - это вопрос прежде всего ISP. Магистралы к IPv6 уже давно готовы, производители роутеров ждут "сигнала" от ISP (тот же D-Link DIR-300/NRU вообще-то поддерживает IPv6, но в рашн-прошивку эта возможность не включена, потому что провайдеры не просят).

 

Контент-провайдеры уже технически готовы и ждут "отмашки" от ISP, чтобы включить IPv6 одновременно (см. World IPv6 Day). Google со своим YouTube пошёл ещё дальше: любой интернет-провайдер, который задеклалирует поддержку IPv6 в своей сети и подаст соответствующую заявку, будет добавлен в белый список гугловский DNS, и его абоненты будут получать Google и YouTube по IPv6 уже сейчас.

 

А вот NAT на роутере стоящим у клиента - необходим, за идею его удалить надо судить и расстреливать. А лучше - сразу расстреливать, без суда и следствия. Ибо это преступление против человечества. :)

Незнающий азов IPv6 детектед. В IPv6 предусмотрены очень умные механизмы, обеспечивающие аналогичную IPv4-NAT безопасность. Именно для этого аналогом одного IP-адреса IPv4 является целая 64-битная подсеть IPv6: такую подсеть невозможно отсканить, а SLAAC Privacy Extensions обеспечивают регулярную (раз в несколько часов) смену последних 64 бит адреса. Именно поэтому IPv6-адрес потенциально лучше белого публичного IPv4-адреса.

Изменено 19 марта, 2011 пользователем AlexUkr

[Irsi]

В данный момент - это вопрос прежде всего ISP.

Зачем ISP это надо? Зачем ему гиморой с технологией, которая несовместима с кучей клиентского оборудования и програмного обеспечения? Что у частников, что у юриков и неизвестно где ситуация тяжелей.

 

Незнающий азов IPv6 детектед. В IPv6 предусмотрены очень умные механизмы, обеспечивающие аналогичную IPv4-NAT безопасность.

Чем они лучше обычного NAT-а? Угу, ничем. И вообще - чем сложнее механизм, тем он более уязвим, это аксиома.

[AlexUkr]

"Зачем нам мобильные телефоны, если у каждого дома или в офисе есть проводной телефон, а таксофоны расставлены на каждом углу?"

[Irsi]

"Зачем нам мобильные телефоны, если у каждого дома или в офисе есть проводной телефон, а таксофоны расставлены на каждом углу?"

Ой, а вы случаем не с Украины? :)

А вообще факт - в сетях мобильной связи есть смысл развертывать IPv6. Но этого не будет пока Стив Джобс не "изобретет" IPv6, не скорешится на эту тему с AT&T и не скажет "а пошли все нафиг, следующая версия iOS - IPv6 only". Вот тогда дело стронется с мертвой точки ибо там преимущества у IPv6 есть, та же пресловутая система защиты, заменяющая NAT, точнее набор систем... но не важно.

[vitalyb]

А вот NAT на роутере стоящим у клиента - необходим,

NAT и stateful firewall - это две большие разницы.

 

[AlexUkr]

Ой, а вы случаем не с Украины? :)

Ну у меня как бы и в нике это отражено :) Только в чём юмор - я не понял :)

[nic_stav]

пока Стив Джобс не "изобретет" IPv6, не скорешится на эту тему с AT&T

большинство пользователей сотовой связи пользуются яблочными девайсами и услугами AT&T?

[Irsi]

А вот NAT на роутере стоящим у клиента - необходим,

NAT и stateful firewall - это две большие разницы.

В общем и целом - конечно же вы правы. В данном конкретном случае - нет. NAT вполне успешно реализует некоторый базовый функционал фаервола... неполный и ограниченный разумеется, но... с более сложным простой юзер не сладит раз, два - этот базовый и ограниченный функционал отрезает возможности организации очень большого класса сетевых атак среди которых весьма много... неприятных.

Только не надо преписывать мне высказываний о том что якобы NAT это золотая пуля защиты и т.д. Нет - разумеется это не так. Но без него будет гораздо хуже чем сейчас. Да его можно заменить другими средствами. Но самый главный недостаток этих средств заключается в том что их можно отключить. Что и будет сделано 95% юзверей, вместо их настройки под их нужды. Последствия оного я думаю очевидны.

 

Ой, а вы случаем не с Украины? :)

Ну у меня как бы и в нике это отражено :) Только в чём юмор - я не понял :)

Украинский ИТ-шник это мем. Типа британского ученого или телефониста из мегафона. :)

[AlexUkr]

Украинский ИТ-шник это мем. Типа британского ученого или телефониста из мегафона. :)

По фразе "украинский ИТ-шник" гугл находит ноль страниц, по "украинский IT-шник" - одну. Эта будет вторая. Слабоват мем.

[Irsi]

Украинский ИТ-шник это мем. Типа британского ученого или телефониста из мегафона. :)

По фразе "украинский ИТ-шник" гугл находит ноль страниц, по "украинский IT-шник" - одну. Эта будет вторая. Слабоват мем.

Ммм... поищите другие варианты написания, в том числе и не столько политкорректные... Но собственно неважно - как и мегафоновский телефонист это распространено в узком кругу тех, кому довелось поработать с тем же мегафоном или укртелекомом...

 

Вернемся к IPv6... Как я понимаю все воздыхания и надежды на скорый приход IPv6 в узком кругу отмороженных гиков связаны именно с надеждами на прекращения использования NAT. А я продолжаю утверждать что NAT на клиентском роутере приносит гораздо больше пользы чем вреда и хорошо что он там есть - без него было бы гораздо хуже...

[s.lobanov]

А вот NAT на роутере стоящим у клиента - необходим,

NAT и stateful firewall - это две большие разницы.

nat, который работает на cpe является stateful и принципиально от stateful firewall он не отличается, основной сущностью и там и там является таблица tcp/udp-сессий

 

если nat не overload, а 1:1, то в таком случае можно согласится с Вами что это две большие разницы

 

Просто я сомневаюсь, что когда каждый получит себе сетку /64 будут задумываться о каких-то stateful firewall'ах, рассуждая "а зачем, если и так всё работает?". На текущий момент у большинства абонентов с 2умя и более компьютерами(да с одним компом тоже) стоит cpe с snat, которая спасает от огромного кол-ва внешних атак.

 

Случайный IPv6 адрес это конечно защита от сканирования, но когда абонент зайдёт на порносайт, то в ответ ему устроят сканирование портов и попытки взлома.

 

NAT66 всё ещё draft и "пилится" по сей день. http://tools.ietf.org/rfcdiff?url2=draft-mrw-nat66-12

[AlexUkr]

Ммм... поищите другие варианты написания, в том числе и не столько политкорректные... Но собственно неважно - как и мегафоновский телефонист это распространено в узком кругу тех, кому довелось поработать с тем же мегафоном или укртелекомом...

Но, собственно, неважно - дело просто в том, что только когда нет нормальных логичных аргументов, начинают браться за личности и национальности.

[Irsi]

Просто я сомневаюсь, что когда каждый получит себе сетку /64 будут задумываться о каких-то stateful firewall'ах, рассуждая "а зачем, если и так всё работает?".

Я не сомневаюсь... в том что он тупо отключит фаервол при возникновении малейшей проблемы, например с торрентом.

 

Но, собственно, неважно - дело просто в том, что только когда нет нормальных логичных аргументов, начинают браться за личности и национальности.

Собственно когда человек начинает передергивать, он и получает в ответ... деликатную подколку. Чтоб задумался и прекратил передергивать.

[vIv]

На текущий момент у большинства абонентов с 2умя и более компьютерами(да с одним компом тоже) стоит cpe с snat, которая спасает от огромного кол-ва внешних атак.

http://www.google.ru/search?rlz=1C1AVSX_en...%80%D1%82%D1%8B

[AlexUkr]

Я не сомневаюсь... в том что он тупо отключит фаервол при возникновении малейшей проблемы, например с торрентом.

Ну а сейчас он в такой ситуации включает UPnP, и вся "безопасность" NAT-а идёт коту под хвост... Даже нет, UPnP и включать не надо: у современных роутеров он по умолчанию включен.

[Irsi]

Я не сомневаюсь... в том что он тупо отключит фаервол при возникновении малейшей проблемы, например с торрентом.

Ну а сейчас он в такой ситуации включает UPnP, и вся "безопасность" NAT-а идёт коту под хвост... Даже нет, UPnP и включать не надо: у современных роутеров он по умолчанию включен.

Не вся. По прежнему невозможно инициировать соединения с еще не пораженным (но уязвимым) клиентским компом со стороны инета. Да, UPnP может пропилить дырочку, чтоб это стало возможным, но... для этого гадость должна УЖЕ сидеть на клиентском компе.

Непонятно? Хорошо опишу типичный сценарий атаки, исходя из того что все компы в домашней сети пользователя имеют реальные IP, на CPE стоит SPI, включенный по умолчанию.

Юзер обнаруживает что у него не работают... ну скажем торренты. Или SIP - не важно. Что он делает? Правильно - отключает SPI на CPE нафиг. Все начинает работать - юзер доволен. О чем он не подумал? Ну скажем он как-то не подумал что у него есть папочка, расширенная по SMB, что у него в конце-концов есть служебные шары типа C$, более того - он обычно просто не подозревает о наличае подобных шар... У юзера есть дефолтный юзер - Administrator. Как вы думаете - много времени потребуется чтоб сбрутфорсить пароль а-ля 12345? :) NAT от этого - защищает на 100%. Наличие UPnP никак не ослабляет защиту от подобных атак.

Линакс? Не смешите... там те же проблемы, плюс еще добавится по умолчанию висящий ssh... и куча другого г-на.

[s.lobanov]

На текущий момент у большинства абонентов с 2умя и более компьютерами(да с одним компом тоже) стоит cpe с snat, которая спасает от огромного кол-ва внешних атак.

http://www.google.ru/search?rlz=1C1AVSX_en...%80%D1%82%D1%8B

Это опасно только в случае, если абонент нажмёт кнопку "пробросить все порты на компьютер X.Y.Z.W", в случае единичных портов не страшно, т.к. почти вся зараза ходит по "135-ым портам". По поводу upnp аналогично, см. чуть выше пост Irsi

Изменено 19 марта, 2011 пользователем s.lobanov

[AlexUkr]

Всё равно это не проблема: функции IPv6-файрвола будут встроены в домашние роутеры точно также, как сейчас в них встроен NAT. Кто захочет закрыть порты - всегда сможет сделать это в настройках роутера. Но это будет со временем, а на первых порах про открытость портов IPv6 можно вообще не беспокоиться: вирусняку нужен эффек массовости, а пока IPv6 работает только в "заповедных зонах", разработчикам малвари вкладывать в него силы смысла нет.

 

И будьте спокойны, в этих файрвола будут две отдельные кнопки "отключить файрвол совсем" и "отключить файрвол совсем и даже на портах 135, ..., ...". Не дураки люди, подумают об этом. Это вполне решаемые вопросы, из-за них никто отказываться от внедрения IPv6 не собирается.

Изменено 19 марта, 2011 пользователем AlexUkr