Slo-Tech - Letos 8. junija se bo zgodil tako imenovani Svetovni dan IPv6, ki bo namenjen preizkusu pripravljenosti opreme največjih spletnih strani na standard IPv6 in osveščanju uporabnikov, da bo IPv6 kmalu precej bolj realen.
Na omenjeni dan bodo povečali količino prometa IPv6 v omrežju, ki trenutno na internetu ne doseže niti 0,05 odstotka. To bodo dosegli tako, da bodo strani, ki se bodo projektu pridružile (sodelovanje so že napovedali Google, Facebook in Yahoo od največjih), na svoji vstopni strani odgovarjale v IPv6. Tako bo na primer poizvedba za www.google.com najprej vrnila odgovor v formatu IPv6 in šele če se odjemalec ne bo odzval, bo odgovorila tudi v starem IPv4.
Na ta dan tudi ne bo deloval whitelisting, ki ga uporablja na primer Google, da strani prek IPv6 res ponuja le uporabnikom na preverjeno ustrezni infrastrukturi. Tega dne bodo vsi, ki imajo naslove IPv6, do strani dostopali na ta način. Internet Society ocenjuje, da večina uporabnikov ne bo občutila sprememb.
Ne vem, meni se zdi pa to dobra ideja. Ena izmed težav je, da ISPji in njihovi uporabniki težko testirajo infrastrukturo v velikem obsegu - to bo torej prilika, da se IPv6 oprema in softver preizkusi v realnejših situacijah ...
Skratka, ni NAT-a in kar naenkrat bodo vsi domači uporabniki morali imeti vsaj programski firewall. Kar povečini sicer že imajo, bomo pa videli, kako transaprentne jih bodo za IPv6 naredili vendorji.
Skratka, ni NAT-a in kar naenkrat bodo vsi domači uporabniki morali imeti vsaj programski firewall.
NAT nima nič z firewallom, še vedno ga ima komot vsak ipv6 router, oziroma skoraj ziher ga bo imel.
Kot drugo pa je INBOUND firewall itak brezveze. Torej tak na routerju. Maš vdor preko trojanca, firewall ne nuca, maš vdor preko lukenj v raznih FTP,HTTP serverjih, firewall spet ne nuca, ker je uporabnik itak forwardiru port mimo firewalla...
Nuca edino OUTBAND firewall, ki pa ne more bit drugačen kot softwerski, da se na podlagi aplikacije odloči, če pusti povezavo.
Tak da jaz upam, da se firewalla ne bo vklaplalo na home routerjih, sam dodatni problemi z port forwarding...
porte 137-139,445 (IPv4) najbrž blokirajo že sami ISPji...vsaj nazadnje ko sem testiral mi ga ni uspelo spraviti skozi (gledal z tcpdump na linuxu). Sam OS pa nima nobene take zaščite, saj drugače ne bi delal smb preko subnetov... Kako je z IPv6 ne vem.
To je lokalno, če iz zunanjega IPja prihaja paket na 445 ga ziher ignorira, močno dvomim da se kar odziva z imeni sharov lol. Če pa se sem pa v zelo hudi zmoti:)
Jasno je, da so blokirani pri ISP. Ni to vprašanje. Vprašanje, je ali ima Azgard prav, ko reče "Virus Import Service deluje samo če že 10-15 let nisi windows updajta zagnal:)".
Oziroma odgovor na to, neodvisno od vpletenih oseb.
Zaradi odsotnosti argumentov za drugačno mnenje, ostajam jaz pri "block it NOW!".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
445 sicer sploh ni moj point. Firewall, ki po defultu blokira cel spekter je IMO neumnost tudi če 445 še vedno je nevaren. Naj blokira potem samo 445 in ostalo kompanijo, ki je za ostati v mreži, ne pa cel spekter, da moraš za vsak drek port forwarding delat. Port forwardinga nočem v routerju videt.
Port forward je del NATa in kot si že prej napisal, to nima veze s firewallom. Kako imaš pa firewall nastavljen je pa čist odvisno od tebe. Lahko imaš nastavljeno da blokira samo 137-139,445...čeprav je dobra praksa, da je prepovedano vse razen kar ni eksplicitno dovoljeno.
Jah v teoriji je najbolš, da je prepovedan vse, potem se pa UPNP uporablja za dinamično avtomatsko odpiranje portov. Ampak potem v praksi ugotoviš da na žalost UPNP ni vedno uporabljen v programih, recimo zakaj program kot je Filezila ne podpira UPNP je beyond me.
Rešitev tega problema bi bla, da bi štručkoti ipv6 zasnovali tako, da je Upnp en in edini način za odpiranje portov, da drugače kot prek UPNP sploh se ne bi dalo, to bi bla fajn rešitev. Druga najbolša rešitev je po mojem mnenju, da ni firewala, ki bi kar vse blokiral, ampak zgleda nismo na istem glede druge najbolše.
445 sicer sploh ni moj point. Firewall, ki po defultu blokira cel spekter je IMO neumnost tudi če 445 še vedno je nevaren. Naj blokira potem samo 445 in ostalo kompanijo, ki je za ostati v mreži, ne pa cel spekter, da moraš za vsak drek port forwarding delat. Port forwardinga nočem v routerju videt.
Ja, torej imamo, FW ki blokira: - port 445 - kaj pa porti 135-139??? - kaj pa še eni podobni porti, katere še noben ni omenil? - kaj pa NFS server, ki ga je Franc instaliral, da lahko z nekega unixa dostopa? Seveda brez access kontrole? - itd.???
Sicer pa je moje vprašanje še vedno: "Kaj pomaga (OUTBAND(???)) firewall, če je malware že na mašini?"
Rešitev tega problema bi bla, da bi štručkoti ipv6 zasnovali tako, da je Upnp en in edini način za odpiranje portov, da drugače kot prek UPNP sploh se ne bi dalo, to bi bla fajn rešitev. Druga najbolša rešitev je po mojem mnenju, da ni firewala, ki bi kar vse blokiral, ampak zgleda nismo na istem glede druge najbolše.
To je seveda nonsens.
socket();bind();listen() in basta.
socket();bind();listen();try_to_convince_nearby_routers_to_permit_the_operations_on_beginning_of_the_line() je popolnoma nepotrebno kompliciranje.
Kar seveda pomeni, da bodo 100% nekaj takega naredili.
Enako kot se na vsako komunikacijo zdaj pritisne HTTP ovojnica. Ker je s tem kao bolj simpl in varno
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Stvar protokola je, da defirina kateri porti se nucajo za medmrežno komunikacijo, če se res ne da tehnično izvest da mašina ve ali prihaja paket iz mreže ali iz zunaj, kar se kolikor jaz vem komot da izvest. Če se vse fajn definira(kar upam da se pri 15-letnem in več pisanju ipv6 protokola je), potem že od začetka daš piscu ipv6 aplikacije v vednost kako mora aplikacijo napisat. Če pa pametni dečkoti v kak draft ruknejo, da se "pričakuje" firewall potem pa si škodo že naredil in boš spet imel workarounde(firewalle) kot pri ipv4.
Protmalweru ti noben firewall ne nuca. Firewall je samo workaround za OS stupidity. Seveda se ima firewall v kakem IT, da maš dvojno zaščito, ampak brez firewalla mora tudi že biti vse varno.
Nikjer nisem outband firewalla zagovarjal, ne vem od kje si ga zdej privlekel Njegova naloga načeloma sploh ni security. Smisel pa še kako ima, se pa ja zgodi da hočeš kakemu programu blokirat dostop.
Pa ne sprašujem če router ve kje je prispel paket a res ne bereš kaj sem napisal. Gre se za tvoj slavni port 445 z kompanijo ostalih podobnih portov. Operacijski sistem VE ali prihaja iz networka paket (192.xxx.xxx.xxx) ali prihaja iz zunaj in ne rabi firewalla za LAN only comunication čemur je port 445 namenjen.
Sej sm ti razlužu zakaj ga nuca, kaki aplikaciji kdaj ne dovoliš na internet ane. Zakaj točno si se odločil najino debato o routerjih ignorirati in kar naenkrat privlekel en moj stavek iz 50 postov nazaj ko sem mimogrede omenil software firewall mi ni jasno.
Mene namreč resnično zanima/skrbi, če so ipv6 tako slabo definirali, da se bojo ipv6 aplikacije/naprave še vedno zahtevale firewall za varno delovanje. Torej za primer če vzameva popularno Windows mašino brez zunanjega firewala in njen 445 port. Naprimer windows server je tak primer, te ponavadi nimajo še dodatnih firewalov zadaj, vsaj ne če se trudi imeti "čisto" mrežo.
Sej sm ti razlužu zakaj ga nuca, kaki aplikaciji kdaj ne dovoliš na internet ane. Zakaj točno si se odločil najino debato o routerjih ignorirati in kar naenkrat privlekel en moj stavek iz 50 postov nazaj ko sem mimogrede omenil software firewall mi ni jasno.
Zato, ker si ti to omenil, jaz pa sem vprašal, zakaj je to dobro. Rad imam stvari dokončane.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Hm...berem tole in se čudim da se vam zdi firewall en nuisance namesto da bi videli da je to pač nujna zadeva. Zakaj imamo na vratih ključavnice ali vrata ne vedo da si to vendar ti ko hočeš vstopiti (malo butast primer, ampak ne tako zelo daleč od primerjave). Stack, najsibo IPv4 ali IPv6 ne more vedet, ali je nek paket pooblaščen da pride v sistem ali ne. To je naloga firewalla, ne tlačit vse stvari skupaj. Pa boš rekel, čemu koristi 445 odprt, naj to zapre že stack sam...resno? Nisi nikoli povezoval več subnetov preko VPNja, ker je folk hotel brskati po mašinah/serverjih na drugi lokaciji. Ok...potem naj stack dovoli 445 (in kompanijo) samo za RFC private IPje. Naka, kaj če firma uporablja za svoj subnet public IPje (dandanes se to ob pomanjanju IPv4 IPjev čudno sliši, vendar še ni tako dolgo nazaj, ko je Arnes šolam in ustanovam dodeljeval cele ali pa pol C klase in so iz tega naredili lokalno omrežje - si predstavljaš ta razstur brez border firewalla?). UPNP je druga zgodba. Si res želiš da aplikacija sporoči firewallu katere porte naj ji odpre? Jaz si ne..."halo tukaj viru...ahem, skype, daj mi prosim odpri kar vse porte. rabim nujno" :)). Jaz ne vidim problema, da ne bi imel na meji nekega firewalla, ki ti (podobno kot danes NAT) blokira vse incoming zahteve. Tiste 3 porte ki jih rabiš na notri odprte lahko vsaka mama poklika preko web interfaca (če pa ne zna, pa tudi ne rabi met odprte). Za vse ostalo (dinamično odpiranje ftp portov, DirectPlay ali karkoli že je) mora poskrbeti stateful firewall sam (ali pa kak namenski layer 7 analyzer) in seveda da se protokole definira tako, da se ve na katerih portih se pogovarjajo.
Še to...že sedaj je malo morje domačih naprav, ki so priklopljene na mrežo - NAS diski, televizije, NMT predvajalniki, telefoni in tega bo vedno več (hladilniki, luči, pametne hiše, itd..) ki imajo zelo malo ali celo nič avtentikacije. Jaz nočem imeti na vsaki napravi 25 mestno geslo, zato da bodo hackerji lahko dan in noč poskušali gesla. Daj eno linux mašino na net z odprtih ssh, v roku dveh dneh boš v logih upazil tam od 3000-6000 različnih poskusov dictionary attackov. Samo en slabo zaščiten account je dovolj, da si hackerju odprl vrata. Ne vem, jaz rajši odprem take zadeve na nek manjši rang IPjev in s tem odrežem 99.99% interneta stran...
Ma firewall te pač ščiti proti kakšnim sistemskim oslarijam. Ala: nimamo pojma kolk lukenj mamo v našem software-u, boljš da se sem gor ne povezuje glih vsak.
Zakaj se delamo, da je med incoming in outgoing povezavami neka huda razlika? Virus je lahko glih tako problem, če posluša, ali pa, če se povezuje nekam ven. Če posluša se ga še lažje opazi...
Ko imaš enkrat virus je konec finito, ko je sistem compromized ti UPNP nič več ne škodi, ker je itak vsa škoda narjena. Drugje kot v že compromized sistemu pa UPNP tako ali tako ne dela škode.
Gleda VPNja pa se v primeru vključitve port 445 lepo začne odzivati tudi na zunanje IP-je seveda z primernim vprašanjem po geslu. Brez kakršngakoli firewala se to da narest.
Anekdota: Ko bo moj hladilnik del mojega subneta bom zelo nesrečen, ko bom v trgovini hotel kupiti par stvari, pa bom hotel preveriti vsebino, koliko imam že doma in bom mel probleme. Ko sem kupil hladilnik sem se z njim lepo pogovoril da hočem z določenim geslom do njega dostopat, v trgovini pa ugotovim, da mi jo je firewall zagodil. Jaz kot geek se bom preko remote povezave povezal na svoj server pa od tam spremenil router nastavitve. En laik bo pa v tem primeru klical na LG da hoče vrnit hladilnik...
IPv2 se na internetu ni nikoli uporabljal (AFAIK). IPv6 je za trenutne razmere čez glavo (in najbrž za nadaljnjih vsaj sto let), samo počasi bi ga bilo dobro že uvesti ...
Z levakyjem deliva skupno prepričanje. V primeru divjega širjenja naših naprav kam izven meja orbite našega planeta komunikacija tako ali tako ne bo potekala v obliki IP.
Zakaj se delamo, da je med incoming in outgoing povezavami neka huda razlika? Virus je lahko glih tako problem, če posluša, ali pa, če se povezuje nekam ven. Če posluša se ga še lažje opazi...
Ja, na "Level 1 Internet Wizard" še ni to znanje obvezno, zgleda... (opazi, kako trikrat vprašam, kaj koristi outbound blokada in kako dobim nič odgovorov)
UPNP je druga zgodba. Si res želiš da aplikacija sporoči firewallu katere porte naj ji odpre? Jaz si ne..."halo tukaj viru...ahem, skype, daj mi prosim odpri kar vse porte. rabim nujno" :)). Jaz ne vidim problema, da ne bi imel na meji nekega firewalla, ki ti (podobno kot danes NAT) blokira vse incoming zahteve. Tiste 3 porte ki jih rabiš na notri odprte lahko vsaka mama poklika preko web interfaca (če pa ne zna, pa tudi ne rabi met odprte).
Torej mame nimajo kaj fotk vnukeca dobit? Ali poslat?
Za vse ostalo (dinamično odpiranje ftp portov, DirectPlay ali karkoli že je) mora poskrbeti stateful firewall sam (ali pa kak namenski layer 7 analyzer) in seveda da se protokole definira tako, da se ve na katerih portih se pogovarjajo.
socket()/bind()/listen() je ravno "dinamično" odpiranje porta. Kako pol tone layer 7 analyzerja naredi stvar boljšo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
socket()/bind()/listen() je ravno "dinamično" odpiranje porta. Kako pol tone layer 7 analyzerja naredi stvar boljšo?
Če delaš aplikacijo uporabi standardni protokol. Če delaš nov protokol, si izberi port za server in se tega drži. Kako bodo pa klienti vedeli na kater port se priklopit, če boš na serverju ga vsakič alociral dinamično?
Ko imaš enkrat virus je konec finito, ko je sistem compromized ti UPNP nič več ne škodi, ker je itak vsa škoda narjena. Drugje kot v že compromized sistemu pa UPNP tako ali tako ne dela škode.
Se ne bi čisto strinjal...zato pa so dodatne zaščite. Ali misliš da je najbolje da takoj ko dobiš virus kar pokličeš avtorje, jim zdrdraš številke kreditnih kartic in tekočih računov ker je že itak konec, finito...
Gleda VPNja pa se v primeru vključitve port 445 lepo začne odzivati tudi na zunanje IP-je seveda z primernim vprašanjem po geslu. Brez kakršngakoli firewala se to da narest.
VPN ni nujno da teče na istem strežniku kot je share...seveda pa bi lahko programčku (oz. dialogu ali karkoli že je), kjer izbiraš kdaj in na katere IPje se port 445 odziva lahko rekli, hmm, firewall?
Anekdota: Ko bo moj hladilnik del mojega subneta bom zelo nesrečen, ko bom v trgovini hotel kupiti par stvari, pa bom hotel preveriti vsebino, koliko imam že doma in bom mel probleme. Ko sem kupil hladilnik sem se z njim lepo pogovoril da hočem z določenim geslom do njega dostopat, v trgovini pa ugotovim, da mi jo je firewall zagodil. Jaz kot geek se bom preko remote povezave povezal na svoj server pa od tam spremenil router nastavitve. En laik bo pa v tem primeru klical na LG da hoče vrnit hladilnik...
Router nastaviš 1x, ne vsakič ko si v štacuni...in to za vse naprave, ki jih imaš v mreži. Ne vem, raje to, kot da na vsaki napravi vsakič znova nastavljam gesla, ACLje za dostop, upam da ni kakšnih skritih odprtih backdoorov ipd. Border firewall efektivno zapre dostop do celotnega lokalnega omreža, brez da bi moral vsako napravo posebej nastavljati z mislijo da bo dosegljiva celemu svetu in da bo vsaka manjša napakica v konfiguraciji pomenila, da bodo vsi ostali vedeli kakšen jogurt pijem za zajtrk.
Če delaš aplikacijo uporabi standardni protokol. Če delaš nov protokol, si izberi port za server in se tega drži. Kako bodo pa klienti vedeli na kater port se priklopit, če boš na serverju ga vsakič alociral dinamično?
Ce pod dinamicno razumes random, potem je problem. Ce pa dinamicno pomeni, da se port prebere iz neke konfiguracije, potem je pa to prakticno nuja za vsako sreznisko aplikacijo.
socket()/bind()/listen() je ravno "dinamično" odpiranje porta. Kako pol tone layer 7 analyzerja naredi stvar boljšo?
Če delaš aplikacijo uporabi standardni protokol. Če delaš nov protokol, si izberi port za server in se tega drži. Kako bodo pa klienti vedeli na kater port se priklopit, če boš na serverju ga vsakič alociral dinamično?
V primeru divjega širjenja naših naprav kam izven meja orbite našega planeta komunikacija tako ali tako ne bo potekala v obliki IP.