» »

Naslovi IPv4 bodo pošli prihodnje leto

Naslovi IPv4 bodo pošli prihodnje leto

Ars Technica - V preteklem desetletju smo porabili novih 1,3 milijarde IPv4-naslovov, tako da je prostih le še 722 milijonov. Celotni bazen uporabnih naslovov obsega 3.706.650.624 naslovov, kar je nekoliko manj kot 232, saj so nekateri rezervirani za posebne potrebe (npr. notranja omrežja, multicast ...).

Ob začetku leta 2000 smo uporabljali 1,6 milijarde naslovov, danes pa je potrošenih že več kot osemdeset odstotkov vseh možnih. Največ naslovov je dodeljenih ZDA (1,5 milijarde, 2-odstotno povečanje v zadnjih desetih letih), sledijo pa Kitajska (232 milijonov, 28 odstotkov več), Japonska (177 milijonov, 17 odstotkov več), Nemčija (86 milijonov, 6 odstotkov več) in Južna Koreja (78 milijonov, 16 odstotkov več). S tem tempom bo IANA še zadnje nedodeljene razrede naslovov razdelila prihodnje leto, nato pa bomo počasi primorani preiti na IPv6. Več o tem.

81 komentarjev

«
1
2

Tero ::

Upam da bo kmalu ipv6 in da se bomo znebili neumnosti kot je recimo NAT
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.

filip007 ::

Ja že IP6 mrežni admini se bodo požrli in upam da bo delalo normalno naprej.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

MTm2H37rqt7B ::

ZDA naj ne bo toliko pozresna z rangi pa bo vse uredu.

|GrEgOr| ::

Upam da bo kmalu ipv6 in da se bomo znebili neumnosti kot je recimo NAT

In zakaj je NAT neumnost?

Daedalus ::

In zakaj je NAT neumnost?


Ker pohebe enega izmed bolj uporabnih načel interneta, to je neposredna povezljivost med uporabniki. Al pa recimo dobro skrije, kdo je kaj zahteval. Za več podrobnosti o tem pa si poglej tole predavanje.

Ja že IP6 mrežni admini se bodo požrli in upam da bo delalo normalno naprej.


Oni pametni se pripravljamo na prehod. Oni malo manj pametni bojo pa plačevali mnogo za zunanji support.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Matevžk ::

V preteklem desetletju

Še vedno je isto desetletje ...
lp, Matevžk

Tear_DR0P ::

Še vedno je isto desetletje ...

odvisno kje vzameš startno točko - če gledaš med 1996 in 2006 smo sedaj že kar krepko v drugem desetletju
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

jlpktnst ::

Ja kako bomo prešli, če faking 90% interneta niti še nima dual ipv4/v6 pa laufajo še vedno vse po starem :D Haha... Ja sej, pač ipv6 del bodo vklopil počas in folk ne bo več vsega videl, potem bodo pa mogoče pritisnal na providerje naj dajo ipv6 :D

Keyser Soze ::

Mene bolj skrbi procent porabe s strani ZDA.

In koliko tega dela realno predstavlja "šodr", katerega bi bilo treba odstranit z interneta?
OM, F, G!

Bor H ::

Me zanima če se bo pojavu kak delni mrk čez leto do dve zaradi prepočasnega prehoda na šestico. Kako je pa kej z našimi ISPji? Z računalniki previdevam da ni problema, je sam softwerska fora, problem znajo bit modemi in ruterji predvidevam?

P4ajo ::

Sicer neumno vprašanje, a vseeno.

Ko se bo zgodil pravi prehod na ipv6, potem bodo ipv4 ipje uknilni?

Goldee ::

Prej ali slej bo potrebno preklopiti na IPv6. Vmes bo prehodna faza z dual stacki, IPv4 in IPv6, postopoma pa se bo IPv4 opustil in uporabljal se bo samo še IPv6.
Raznorazni translatorji iz IPv6 na IPv4 pa so le mit. Če pa že bodo obstajali, bodo dodali veliko latency-ja.
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

Lonsarg ::

Vse glavne strani ipd bojo še dooolgo (lahko 20let)ipv4 IN ipv6 dosegljive.

ISPji nam bodo pa dali lepo na en prikluček za en subnet ipv6 IPjev, in hkrati dinamični ipv4, ki se bo dodelil vsakič sproti, ko bo kater računalnik zahteval ipv4 povezavo. Torej novi modemi bojo, ki bodo rihtal te requeste, prav tako routerji.

Sramota, da zdajšna oprema na trgu za domače uporabnike še ni ipv6 ready.

Bakunin ::

Preden komentirate bi vas rad napotil na spletno stran zavoda go6.si, ki je polna IPv6 informacij in to v slovenskem jeziku.

MrStein ::

Glede prekletstva NAT, govori se tudi o nekem čudu, da bi port naslove/številke "uporabili" kot neko razširitev IP naslova, da bi pridobili nekaj časa pred prehodom na IPv6. Nekaj kao "bergle-na-bergle"...

Je pa hudič, da je večina API-jev vezanih na verzijo IP in je prehod težaven.

Če bi odprtje TCP porta zgledalo tako: TCPPort p = OpenTCPPort("foo.example.com", 8080);
bi že 99,999% programov lepo delalo z IPv6 (in tudi z IPv4). Brez ene spremembe (programa, OS seveda bi bil spremenjen).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BlueRunner ::

In zakaj je NAT neumnost?


Ker pohebe enega izmed bolj uporabnih načel interneta, to je neposredna povezljivost med uporabniki. Al pa recimo dobro skrije, kdo je kaj zahteval. Za več podrobnosti o tem pa si poglej tole predavanje.


Ja. Žorž... Sva že nekajkrat imela zelo žolčne debate na temo neposredno povezljivosti oziroma end to end connectivity. Pa mislim, da še vedno ni dojel zakaj IPv6 tega ne bo prinesel nazaj na takšen način, kot si to on predstavlja. Posledica pa bo, da bodo protokoli, ki bodo zahtevali to neposredno povezljivost še vedno pretežno polomljeni in posledično še naprej "drugorazredni državljani omrežij".

Na koncu dneva bo IPv6 bolj ali manj prinesel samo večji naslovni prostor, pa še to ne tako ogrooooooomen, kot ga nekateri reklamirajo. Ampak recimo, da še vedno zadosten.

Lonsarg ::

Jah ne vem kaj si ti misliš pod neposredno povezljivosto, ampak jaz si mislim to, da bo celo remote assistance, remote desktop in v bistvu kakrškoli server enostavno delal.

In tko neposredno povezljiv ipv6 seveda BO, ipv4 pa zaradi NAT NI.

Matevžk ::

večji naslovni prostor, pa še to ne tako ogrooooooomen, kot ga nekateri reklamirajo. Ampak recimo, da še vedno zadosten.

Kako je 6,67 * 10^27 naslovov za vsak kvadratni meter Zemlje lahko premalo? Če na gosto potreseš senzorje po celi zemlji, pa ima vsak 100 storitev, za vsako pa svoj IP ... pa še vedno je naslovov mnogo preveč. Dlje kot do orbite pa jaz z IP-jem ne bi hodil, ker je enostavno preveč latence in bomo potrebovali posebne protokole. (Latenca je seveda v resnici problem le za TCP, ampak če nimaš TCP-ja, je čisto vseeno, če opustiš še idejo o direktni IP povezljivosti med Zemljo in naselbino na Marsu ...)
lp, Matevžk

JanZorz_go6 ::


Ja. Žorž... Sva že nekajkrat imela zelo žolčne debate na temo neposredno povezljivosti oziroma end to end connectivity. Pa mislim, da še vedno ni dojel zakaj IPv6 tega ne bo prinesel nazaj na takšen način, kot si to on predstavlja. Posledica pa bo, da bodo protokoli, ki bodo zahtevali to neposredno povezljivost še vedno pretežno polomljeni in posledično še naprej "drugorazredni državljani omrežij".


Iz wikija:
End-to-end connectivity is a principal design element of the Internet that allows nodes of the network to send packets to all other nodes of the network, without requiring intermediate network elements to maintain status information about the transmission.

Ja, tem pogledu imas prav, saj morajo firewalli v vecini primerov drzati session tabele. A vseeno, ceprav se to dogaja, končni host ima moznost, da komunicira z drugim koncem brez translacije in to danes steje kot end2end. host1:port lahko poslje paket na host2:port.


Na koncu dneva bo IPv6 bolj ali manj prinesel samo večji naslovni prostor, pa še to ne tako ogrooooooomen, kot ga nekateri reklamirajo. Ampak recimo, da še vedno zadosten.


Prevelik. Izracunali so, da bi potrebovali 50.000let in vso trenutno razpolozljivo procesorsko moc na planetu da bi samo alocirali vse naslove v kosih po /32, kaj sele da bi vse to zaceli uporabljati. Skratka, dovolj bo prostora za vse.

Jan Zorz
--
http://go6.si/

nekikr ::

No ja, ker tudi 640kb pomnilnika očitno ni dovolj bi se takih preroških napovedi vzdržal. Kaj pa veš, morda bo pa čez 10 let vsaka naprava imela 150 IP naslovov zaradi kakšnih internih for in se bodo ti naslovi hitreje porabljali. Bojazni, da jih v doglednem času zmanjka seveda ni, ampak 50.000 let? Še za 10 let vnaprej pojma nimamo kaj bo.

Looooooka ::

IPv6 naslovov bo dovolj.
In ja....najlepsa stvar je to, da lahko NAT koncno crkne.
Sam...ko bomo mi vidl smrt aplikacij, ki zahtevajo ipv4...in s tem NAT...bomo pomojem ze vsi sivi pa smrdel po zemlji.

noraguta ::

nism še nč kej čekiru , kuko gre pa kej snmp po ipv6,
pa aje kaka fora da si adrese zapomnš če ti dns ne dela?
Pust' ot pobyedy k pobyedye vyedyot!

Zgodovina sprememb…

  • spremenilo: noraguta ()

Lonsarg ::

Ja sej za server si naštimaš od zadnih 64 bitov same ničle razen ene številke na koncu, tako da si moraš samo 64 bitov napravm 32 bitov pri ipv4 zapomnit, pa še teh 64 bitov je zaradi 16iškega zapisa je IP naslov krajši, tako da je samo ene 50% dalši, kot paipv4 zapis, če seveda serverju daš tak leš IP.

BlueRunner ::

NAT bo šel adijo, kar je dobra stvar. Jan ( pozdravljen, pa srečenega in zdravega ;) ) pa me je presenetil. Očitno sem mu nekje vmes prišel malce do živega. >:D

Ja, sam sem mnenja (brez dokazov, samo oseben občutek da ne bo pomote), da bodo požarni zidovi na IP6 povzročali težave v marsičem podobne tem, ki jih danes povzroča NAT. Po drugi strani, pa bodo te težave rešljive, če jih bo uporabnik znal in želel rešiti. Pri NAT recimo marsikatera težava sploh ni enostavno rešljiva, pa če se na glavo postavim.

Tipičen zaplet pa bo, da bo potrebno požarnem zidu, ki pazi na robu domačega omrežja, še vedno pojasniti, da je na drugi strani računalnik, ki želi sprejemati povezave. Pri temu pa bo še vedno potrebno opletati s tem katera vrata, kateri protokoli, ... To pa še vedno polomi premiso povezljivosti, ki je sicer možna, ker je vsak relevanten IP6 naslov globalno naslovljiv naslov, hkrati pa bodo HG naprave prevzele vlogo NAT-ov pri današnjem fašističnem obravnavanju dohodnih povezav. Resnici na ljubo, bo to za večino domačih omrežij kar pametna izbira, saj se ne ve kakšne vse naprave se bodo začele v prihodnjih letih doma priklapljati na omrežje. S tem pa, ko bo velika večina laičnih uproabnikov uporabljala takšen fašističen požarni zid, pa se bo s tem dejansko izolirala od end-to-end povezljivosti, ki jo IP6 sicer tako lepo omogoča. Posledica pa je, da aplikacije, ki se bodo zanašale na to povezljivost, preprosto ne bodo mogle postati popularne - večina ljudi jih z privzetimi domačimi nastavitvami požarnih zidov ne bo mogla uporabljati.

Seveda pa obstaja izhod. Potrebno bo začeti delati na standardih, ki so se spočeli v IP4 svetu NAT-ov in s katerimi so host-i obveščali svoj lokalen prehod o temu kater dohoden promet si želijo prejemati. UPNP IGD in NAT-PMP bo potrebno vzeti v roke in razmisliti kako rešiti njihove varnostne težave, pri temu pa host-u v omrežju dati fleksibilno možnost, da požarni zid obvešča o svojih trenutnih potrebah. Bistvena razlika med IP4 in IP6 pa bo ta, da pri postopku več ne bo prihajalo do preslikave naslovov in vrat, kar bo na koncu delo požarnih zidov tudi bistveno olajšalo. Težava v tem trenutku je samo ta, da so vsi evnagelisti IP6 do sedaj pozabljali na praktičen aspekt varnosti in uporabe IP6 v rezidenčinh okoljih, kjer preprosto ni strokovnjakov, ki bi lahko ali pa se jim bi sploh dalo ukvarjati s tehniko. Preprosto pričakujejo, da bodo naprave po vklopu delovale. Če pa nas je v informacijski varnosti dosedanja zgodoina kaj naučila, pa nas je zagotovo naučila to, da je najbolj nevarno varnost prelagati naslednjemu v verigi.

Kar se pa tiče števila naslovov pa je zelo dobro. Ni pa stvar čisto tako promočrtna, kot jo je izračunal Matevžk. Naj poskusim pojasniti: trenutna paradigma je, da se rezidentom iz več praktičnih razlogov podeljuje oziroma načrtuje podeljevanje prefiksov velikosti /64. Kar pomeni, da smo z eno samo potezo že takoj v začetku razpoložljiv prostor že zmanjšali na 2^64 namesto 2^128. Potem se odšteje še FE80::/10 za LL in FF00::/8 za MC in mogoče še nekaj prefiksov. Kar pomeni, da se bomo do nadaljnjega igrali s približno 2^63 končnih prefiksov velikosti 2^64. To je še vedno zelo velika številka: 9,2E18. Torej bodo lahko ISP-ji s takšnim trošenjem naslovov priključili skoraj deset miljard miljard končnih lokacij. Na vsaki izmed teh lokacij pa bo teoretično priključiti dejanske končen hoste. No... številka je še vedno ogromna. Ni pa tako zelooooo ogromna, kot se sliši na prvo žogo. So pač tehnične omejitve zaradi katerih bo ogromno naslovov preprosto neizkoriščenih, ker jih tudi v najbolj divjih sanjah ne bo možno izkoristiti. Vendar nič hudega. Morda ne bo vsako zrno peska dobilo svoj IP6 naslov, bo ga pa lahko skoraj vsak insekt.

Če bi bil zloben in, če bi hotel zavajati, bi rekel, da bo tipičen uporabnik dobil 2^64 naslovov, od česar jih bo v povprečju izkoristil 2^5. Torej bo povprečen izkoristek IP6 naslovnega prostora cca. 100/2^59%. To je približno 1,7E-16%. Varčni zagotovo ne bomo. :D

Zgodovina sprememb…

Lonsarg ::

Ja res ne bomo varčni, samo ko bo vsako domače omrežje dobilo /64, bo to lahko zadosti tudi čez 500 let, ko bo v tem domačen omrežju magar tisoč naprav, ki majo svoj IP.

Sicer pa firewall ja itak bolj uporabno imeti na operacijskem sistemu, prav tako recimo hladilnik, ko bo imel svoj IP, bo pač mel ignore, oziroma firewall na vse razen enega porta, kjer bo čekiral promet in hotel geslo pravo. Zame osebno je bedarija imeti en "skupni" firewall.

Mislm iskreno upam, da se ne bo pojavu na ipv6 routerjih kak forewall vgrajen, ki blokira stvari kot so porti 80, 3389(remote desktop) pa taki porti. Ker to bi bla pa uber bedarija. V bistvu je katerkoli block bedarija, bo že OS ignoru. Če maš pa trojanca, k na enem portu posluša je pa itak antivirus kriv. Če se bo vedelo, da te znane porte aje firewall skozi, potem je isto kot da ne bi imel nobenega firewalla, ker bodo trojanci pač narejeni za te porte...

Torej še enkrat, zakaj firewall drugje kot na napravi sami, bedarija.

Daedalus ::

Zame osebno je bedarija imeti en "skupni" firewall.


Torej še enkrat, zakaj firewall drugje kot na napravi sami, bedarija.


Ti pa še nisi nikol bolj konkretnega omrežja vidal, ane?
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Lonsarg ::

Sem bolj mislil jest na domača omrežja ja, oziroma pač routerje z hardware firewalli notri. Taka naprave pokvarijo vse.

Bolj konkretna omrežja pa za ruter ja nimajo ene napravce z striktnim firewallom, ampak komp, ki skrbi poleg routanja tudi za firewall.
Kjer se lepo manual naštima, katere porte se blocka katerim clientom, niti slučajno pa ne kar vsesplošni firewall, ki brezkompromisno kar vse zablokira...

Torej tak, ki se nahaja na domačih routerjih, ki se dostkrat vklopi kar skupaj z NAT in sploh ne posebaj. Tak firewall sem mislil kot bedarijo, ne kar vse skupne firewalle, kakor sem se narobe izrazil.

Daedalus ::

NAT se obnaša podobno kot firewall. Ne rabiš nič vklapljat. Verjetno to misliš? NAT != routing, da smo si na jasnem.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

SasoS ::

Jasno da bo treba met en border firewall...glede na ceno takih naprav že danes, je karkoli drugega velika neumnost. Ja seveda, OS bo skrbel, pol pa trojanec gor in puf. Plus bodo tudi ostali gadgeti imeli vsak svoj firewall (naprimer hladilniki, telefoni, NAS diski, ipd.?) ali boš pustil celemu svetu da vidi kdaj si kupil salamo :D
Kar pa pomeni, da v končni fazi ne bo dosti drugače kot zdaj...še vedno se bodo našli protokoli (če gremo od pasivnega ftpja naprej), ki bodo hoteli na random odpirati porte, pa jih border fw ne bo spustil skozi in ti end2end connectivity ne bo pomagal prav nič.

Lonsarg ::

Ne rabiš ti z firewallom blockat porta, če ta port hladilnik itak ignorira. Kira bedarija imeti firewall pred tem pametnim hladilnikom in potem odpreti ta port, da lahko gledaš kaj maš v hladilniku. In doseše samo to, kar si imel že na začetku. Prost dostop do tega porta in igrnore/block za vse ostalo.

Mislim od kje ideja, da bi naprave, ki majo fiksen software gor in se ne da ničesar nalagati rabile firewall jao.

Kar se pa trojanca tiče, v tem primeru je firewall samo dodatna dvojna zaščita, prav je morala že pasti, da je bil firewall sploh potreben. Pa niti slučajno tako uspešna kot prva zaščita, torej ga sploh ne dobiti. Velika omrežja so drugo, kjer vsaka mala dodatna varnost prav pride, sploh pa v tem primeru hočeš omejiti kliente, ker dostikrat sploh vsem ne zaupaš. Znižat varnostno tveganje za melenkost in oklestiti dostopnost naprav na domačem omrežju pa ne hvala.

Naj ma router funkcije, da se nastavla kak firewall, potem pa ročno dodaja za kire kliente gleda promet, po defultu pa nočem jest čez 50 let priklopit v svoje domače omrežje neko napravico, pa potem iti na dopust in ugotoviti, da firewalljo blokira, ker nisem porta naštimal... Plug and Play mrežo prosim.

MrStein ::

BlueRunner :

Seveda pa obstaja izhod. Potrebno bo začeti delati na standardih, ki so se spočeli v IP4 svetu NAT-ov in s katerimi so host-i obveščali svoj lokalen prehod o temu kater dohoden promet si želijo prejemati. UPNP IGD in NAT-PMP bo potrebno vzeti v roke in razmisliti kako rešiti njihove varnostne težave, pri temu pa host-u v omrežju dati fleksibilno možnost, da požarni zid obvešča o svojih trenutnih potrebah.

Zakaj je bolj varno, če namesto:
- aplikacija OS-u reče: sprejemaj mi povezave na portu 1234
imamo tole:
- aplikacija OS-u reče: sprejemaj mi povezave na portu 1234
- aplikacija ali OS reče firewall-u: dopuščaj povezave na port 1234 in moj IP naslov
?


(en razlog je seveda v Windows vdelan Virus Import Service - port 445,135,...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BlueRunner ::

Zato, ker naprava lahko tega ne reče. Prvi postulat varnosti je "zavrni vse". Potem pa spuščaš skozi tisto, kar potrebuješ.

Imaš server? Super, ta bo požarnem zidu rekel kaj naj mu spusti notri. Če je strežnik ranljiv, je pač ranljiv. Kaj čmo ,svet ni popoln.

Imaš TV? Super, ta napravi ne bo rekel ničesar. Zato bo v domačem omrežju še vedno dosegljiv, navzven pa ne. Ima kakšno ranljivost IP6 skladu? OK, jo pač ima. Ampak zunanjem svetu ta ranljivost ne bo dosegljiva.

Sicer lahko to isto težavo rešiš tudi z LL naslovi, ki se jih ne da usmerjati, vendar pa bi to potem avtomatično pomenilo, da tudi več ne moreš vzpostavljati povezave z zunanjim svetom (EPG, interaktivne vsebine, ...). Lahko uporabljaš privacy extenstions, ampak tudi ti imajo svoje težave. Na koncu bodo požarni zidovi verjetno ostali v igri. Samo usposobiti jih bo potrebno za nove čase. Kar pa ne vem, če bo hitro in/ali samoumevno.

Goldee ::

Vsi opletate s tem kako bomo imeli 10 na N naslovov na vsak kvadratni meter Zemlje in 10 na N naslovov na en strežnik za naslednjih 1000 let.. kaj pa vemo kaj bo čez 20 let? Si upate napovedati? Sploh pa ko govorimo o informatiki, ko vsi vemo, da so že današnje novice out-dated...
Bomo sploh še uporabljali isti (stari) protokol?
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

Matevžk ::

Vsi opletate s tem kako bomo imeli 10 na N naslovov na vsak kvadratni meter Zemlje in 10 na N naslovov na en strežnik za naslednjih 1000 let.. kaj pa vemo kaj bo čez 20 let? Si upate napovedati? Sploh pa ko govorimo o informatiki, ko vsi vemo, da so že današnje novice out-dated...
Bomo sploh še uporabljali isti (stari) protokol?

Kakšen naslovni prostor bi pa ti predlagal?
lp, Matevžk

Daedalus ::

Bomo sploh še uporabljali isti (stari) protokol?


Definitivno. Dela čisto OK, pa dosti je razširjen, da bi migracija na karkoli drugega pomenila več stroškov, kot koristi. Vsaj zaenkrat.

Vsi opletate s tem kako bomo imeli 10 na N naslovov na vsak kvadratni meter Zemlje in 10 na N naslovov na en strežnik za naslednjih 1000 let.. kaj pa vemo kaj bo čez 20 let? Si upate napovedati? Sploh pa ko govorimo o informatiki, ko vsi vemo, da so že današnje novice out-dated...


Če malo pretiravam - dokler ne bomo začeli omreževat posamičnih atomov, bo ok.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

SasoS ::

Azgard: Mislim od kje ideja, da bi naprave, ki majo fiksen software gor in se ne da ničesar nalagati rabile firewall jao.

Mogoče zato da omejuješ KDO lahko KAJ gleda? Niso problem porti, ki jih naprava ignorira, ampak tisti ki jih ne. Gesla? Sure, ko bo hladilnik 24h/dan na mreži bodo imeli svetovni hackerji neskončno časa da ti pohekajo tisti 6 ali 8 črk gesla, taka naprava jasno ne bo imela kakšnih logov dostopov...z border firewallom omejiš dostop na svoj subnet. Podobno je z vsemi ostalimi embedded devici, za katere je zaželjeno da dostopaš iz lastnega subneta, mogoče še od kje zunaj (služba, frendi, vsaj ni se ti treba ukvarjati z NATom), ostalih 99,9999999999....% mrežnih naprav pa nima kaj dostopati do nje.

Azgard: Kar se pa trojanca tiče, v tem primeru je firewall samo dodatna dvojna zaščita, prav je morala že pasti, da je bil firewall sploh potreben. Pa niti slučajno tako uspešna kot prva zaščita, torej ga sploh ne dobiti.

Sure...samo, da bi jaz prej obrnil uspešnost. Dosti večja verjetnost je, da uporabnik dobi trojanca in ga blokira firewall kot da ga ne bo dobil. Uporabnik je daleč najšibkejši člen v varnosti, to hekerji dokazujejo že več kot 20 let.

Azgard: Plug and Play mrežo prosim.

Hočeš reči Plug and Hack? :D
Koliko ljudi sploh ne zamenja default gesla, naprimer? :\

MrStein ::

Problem: Default geslo.
Rešitev: Naprava pri prvem vklopu zahteva postavitev gesla. (preden gre na mrežo)

Je sicer res argument za externi firewall horda naprav z varnostnimi luknjami (kaj luknjami, garažnimi vrati).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Goldee ::

Vsi opletate s tem kako bomo imeli 10 na N naslovov na vsak kvadratni meter Zemlje in 10 na N naslovov na en strežnik za naslednjih 1000 let.. kaj pa vemo kaj bo čez 20 let? Si upate napovedati? Sploh pa ko govorimo o informatiki, ko vsi vemo, da so že današnje novice out-dated...
Bomo sploh še uporabljali isti (stari) protokol?

Kakšen naslovni prostor bi pa ti predlagal?


Kaj pa 40bitno naslavljanje? Ampak ok, se strinjam, če že ustvarjamo naslovni prostor na novo ga definirajmo za prav! Drugače pa se mi zdi ipv6 naslavljanje prekomplicirano IMO. Tukaj bodo masovno prišli v poštev DNS-ji..



Bomo sploh še uporabljali isti (stari) protokol?



Definitivno. Dela čisto OK, pa dosti je razširjen, da bi migracija na karkoli drugega pomenila več stroškov, kot koristi. Vsaj zaenkrat.


Čez 20 let?
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

Bakunin ::

Tukaj bodo masovno prišli v poštev DNS-ji..


Zato je bil narejen.

PS: IPv6 ima se ostale prednosti, ki prispevajo k vecji prepustnosti in manjsi obremenitvi usmerjevalnikov (mtu, fiksni header,...).

ABX ::

Fuck NAT.

'nuff said. :)
Vaša inštalacija je uspešno spodletela!

Bakunin ::

Ravno pred kratkim sem analiziral vdor/zlorabo ene "sw SIP" centrale iz intraneta.

Grozno koliko vecjih podjetij se zanasa na NAT (intranet) kot "mejo" oz. varno zatocisce.

Zgodovina sprememb…

  • spremenil: Bakunin ()

ABX ::

Ravno pred kratkim sem analiziral vdor/zlorabo ene "sw SIP" centrale iz intraneta.

Grozno koliko vecjih podjetij se zanasa na NAT (intranet) kot "mejo" oz. varno zatocisce.


Se ne zanašajo, ampak sledijo logiki, good enough.

Sej tudi znotraj Intranet-a se da zapret porte.
Vaša inštalacija je uspešno spodletela!

MrStein ::

Goldee:
Drugače pa se mi zdi ipv6 naslavljanje prekomplicirano IMO. Tukaj bodo masovno prišli v poštev DNS-ji..

Levi del je network address, desni pa host address. Enako kot pri IPv4. V bistvu še poenostavljeno glede na IPv4, ker je meja tam "plavajoča" pri IPv6 pa v 95% primerov fiksna. Kje vidiš kompleksnost?

Glede DNS: Neki mazohisti se danes pri IPv4 in se bodo jutri pri IPv6 izogibali DNS. Če jim paše bolečina, kar naj. Jaz pa lepo natipkam www.kame.net in mi lepo leti preko IPv6. Oziroma sploh ne tipkam, samo na link kliknem.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

noraguta ::

Glede DNS: Neki mazohisti se danes pri IPv4 in se bodo jutri pri IPv6 izogibali DNS. Če jim paše bolečina, kar naj. Jaz pa lepo natipkam www.kame.net in mi lepo leti preko IPv6. Oziroma sploh ne tipkam, samo na link kliknem.


ko toubleshootaš dns je faajn vedet ene par naslovov iz glave , ne sam fajn nujno. sem samo spraševal , če kdo ve za kako magijo , ker men ni blo nč všeč konfigurirat zadeve.


aja za snmp pa ni kacga workarounda.
Pust' ot pobyedy k pobyedye vyedyot!

Lonsarg ::

Azgard: Mislim od kje ideja, da bi naprave, ki majo fiksen software gor in se ne da ničesar nalagati rabile firewall jao.

SasoS: Mogoče zato da omejuješ KDO lahko KAJ gleda? Niso problem porti, ki jih naprava ignorira, ampak tisti ki jih ne. Gesla? Sure, ko bo hladilnik 24h/dan na mreži bodo imeli svetovni hackerji neskončno časa da ti pohekajo tisti 6 ali 8 črk gesla, taka naprava jasno ne bo imela kakšnih logov dostopov...z border firewallom omejiš dostop na svoj subnet. Podobno je z vsemi ostalimi embedded devici, za katere je zaželjeno da dostopaš iz lastnega subneta, mogoče še od kje zunaj (služba, frendi, vsaj ni se ti treba ukvarjati z NATom), ostalih 99,9999999999....% mrežnih naprav pa nima kaj dostopati do nje.



Ampak fora je, da bi jaz itak v firewalu, port za hladilnik sforwardiral, ker ga HOČEM dosegati iz interneta. Torej najprej bi z firewallom dostop preprečil potem pa z nastavitvijo omogočil, kaj je fora potem.

Če hoče bit hladilnik na subnetu, se to naštima na hladilniku, defult je seveda tako nastavlen, da je samo iz subneta dosegliv.

Kar se pa hekanja tiče, pa je tu itak še ena dodatna pomoč, ki mi je tudi ena dobrih novosti. Namreč hladilnik se v primeru napačnega gesla ne sme odzivati, tako da napadalec ne bo vedel, na katerem IPju je hladilnik, mel jih bo pa za poskušat vseh 2^32, good luck :)

noraguta ::

Ampak fora je, da bi jaz itak v firewalu, port za hladilnik sforwardiral, ker ga HOČEM dosegati iz interneta. Torej najprej bi z firewallom dostop preprečil potem pa z nastavitvijo omogočil, kaj je fora potem.
da centralno admnistriraš dostop do lana. in da nisi odvisen od vsakega buga v napravi.
Pust' ot pobyedy k pobyedye vyedyot!

BlueRunner ::

tako da napadalec ne bo vedel, na katerem IPju je hladilnik, mel jih bo pa za poskušat vseh 2^32, good luck :)

2^64. Even more luck needed.

ABX ::

tako da napadalec ne bo vedel, na katerem IPju je hladilnik, mel jih bo pa za poskušat vseh 2^32, good luck :)

2^64. Even more luck needed.


To itak je že vse avtomatizirano. Pač bo potrebovalo nekaj več časa, oz. odvisno od hitrosti mrežne opreme.
Vaša inštalacija je uspešno spodletela!

BlueRunner ::

Če želiš pregledati 2^64 IP6 naslovov na enem prefiksu in, če vsak poskus traja samo 1E-6s (eno mikrosekundo) boš potreboval "samo" 583344 let, tri mesece in nekaj dni.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Uber še vedno z izgubo

Oddelek: Novice / Rezultati
156166 (5211) WhiteAngel
»

Google presenetil z ogromnim dobičkom, delnica rekordno

Oddelek: Novice / Rezultati
3415043 (12746) BaToCarx
»

Google z rastjo prihodkov in dobička

Oddelek: Novice / Rezultati
115656 (4507) next_byte
»

Microsoft rekordno, a Bing še vedno prideluje izgubo

Oddelek: Novice / Rezultati
106576 (5910) cleanac
»

Apple krepko presegel pričakovanja

Oddelek: Novice / Rezultati
4813454 (11764) Matek

Več podobnih tem