Šole v SLO - uporaba javnih IPjev namesto privatnih (ARNES)

To je ok, če imajo poštimano varnost s public v4 IPji, so že v6 ready.

Fantje, mogoče sem vseeno pričakoval kakšen širši odgovor.. Ne v smislu šank debate da navijamo za eno ali drugo, ampak mogoče kakšno besedo več, obrazložitev,...

tonis je 29. mar 2025 ob 13:24 izjavil:

Zanima me, ali je kakšna prednost, da precej šol uporablja public IPje, ki jih dodeljuje ARNES. (pustimo zdaj dejstvo, da je to potrata public IPjev..)

Zame je to predvsem varnostno tveganje, saj so vse naprave neposredno odprte proti ISPju. Verjamem da ARNES ne spušča navznoter kar vseh zahtevkov, imam pa raje zadevo urejeno in speljano čez NAT.

Mnenja prosim... Kako delate ostali?

Dodam mojih 5 dek zenfa:
-to, da ima ARNES tako ogromno javnih IP naslovov je dediščina preteklosti, ko so bile akademske ustanove "zraven" pri razvoju interneta

-to, da še danes tudi v internih mrežah uporabljajo javne IPje je posledica upiranja spremembam (inercije), manka znanja kadra na šolah, in manko volje do dela, s katerim bi IPje na napravah v notranjih mrežah po šolah zamenjali v privatne, saj bi bilo s tem precej dela (ARNES pa tudi najlažje pač ohranja status quo)

-seveda se najdejo tudi neizobraženi lokalni admini, ki mislijo, da je dobro imeti povsod javne IPje, "ker imajo tako več nadzora nad uporabniki" (temu bi v običajni, neakademični družbi rekli potreba control freakov po totalnem nadzoru), nimajo pa volje ali tehničnega znanja, da bi uredili logiranje userjev na svojem DHCP serverju; torej je ideja imeti javne IPje v LANu bob ob steno, brezvezna

-varnost pa... V resnici ne vem, kako je z osnovnimi šolami, ker z njim nisem delal. Prve so firewalle (z enterprise, stateful firewallom ni mreža, ki tudi v LANu uporablja javne IPje nič manj varna kot s privatnimi) kupile ustanove z več denarja (fakultete in srednje šole). Osnovne šole imajo na vsakem linku od ARNESa zagotovo njegov router, kjer pa je pisanje varnostnih pravil (ACLjev) najmanj zelo nerodno, vendar ne vem, če je po defaultu res odprt dostop iz interneta kar v LAN. Najbrž je, ker bi vsaka šola na svoji strani morala imeti še en (tokrat lasten) router ali firewall in na njem omejevati dostop do in iz svojega LANa v internet. Po mojem je tako na vseh OŠ že vsaj 15 let, ker je internet postal preveč nevaren plac, da ne bi imeli firewalla... Po mojem je tvoj strah odveč.

Nazadnje sem neimenovano javno izobraževalno ustanovo, ki je imela javne IPje v LANu in ni imela firewalla/routerja (hja, ali pa je bil ta nepravilno konfiguriran?), ki bi preprečeval dostop do LANa iz javnega interneta, srečal dobrih 20 let nazaj...

bemfa je 30. mar 2025 ob 00:58 izjavil:

Za lažjo sledljivost ko pride do zlorab šolskega omrežja + skladnost z eduroam.

Brez zamere, to so pravljice. Take za otroke (kar akademični na nek način so), ker nimajo poštimanega hranjenja logov na DHCPju. Nimajo, ker se jim ne da. Nimajo pa tudi zato, ker je raziskava takih logov zaradi zakonodaje o zasebnosti nedovoljena brez sprejetih ustreznih pravilnikov, da bi jih napisali pa ni ali politične volje ali pa znanja.

pegasus je 29. mar 2025 ob 13:28 izjavil:

To je ok, če imajo poštimano varnost s public v4 IPji, so že v6 ready.

Mhm, samo cel internet ni v6 ready in je zato v6 omejen na fetis nekaj ljudi, ki ga uporabljajo brez potrebe.

tony1 je 30. mar 2025 ob 01:12 izjavil:

-to, da še danes tudi v internih mrežah uporabljajo javne IPje je posledica upiranja spremembam (inercije), manka znanja kadra na šolah, in manko volje do dela, s katerim bi IPje na napravah v notranjih mrežah po šolah zamenjali v privatne, saj bi bilo s tem precej dela (ARNES pa tudi najlažje pač ohranja status quo)

Ne, zadeva je posledica tako nizkih plac za "informatike", da v javnih institucijah ne dela prakticno nihce vec, od sposobnega kadra. So vsi ze davno pobegnili v privatni sektor, kjer so prakticno potrojili svojo placo. Enako velja za ves sposoben kadar poucevalcev, tako, da nase otroke ucijo ljudje, ki so nesposobni (ampak imajo voljo) in zagotavljajo stalen prirastek nesposobnezev. In tako je ze vsaj 30 let, tako, da se danes, nesposobnezi izobrazeni s strani nesposobnezev ze zaposlujejo, temu primerni pa so rezultati - nihce vec nic ne proizvaja ampak samo gleda, kako bo nekoga drugega nategnil.

Pithlit je 29. mar 2025 ob 13:44 izjavil:

tonis je 29. mar 2025 ob 13:24 izjavil:

Verjamem da ARNES ne spušča navznoter kar vseh zahtevkov, imam pa raje zadevo urejeno in speljano čez NAT.

Because some NAT implementations accidentally provide some firewalling, there is a persistent myth that NAT provides security. It provides no security whatsoever. None. Zero.

Let that sink for a little and try again.

Sej čist mogoče da razne inštitucije ki so na arnesu nimajo poskrbljeno za varnost. Ampak zanašat se na NAT je pa tud en tak security blunder da kar res ni.

S tem se ne strinjam.
Če nimaš port forwarding in upnp potem notranji IP-ji niso dosegljivi zunanjemu svetu.
Seveda to ni nadomestilo za fw. Se pa z izjavo zgoraj vseeno ne strinjam.

Daj ne blodi.

Grimnir3 je 30. mar 2025 ob 21:40 izjavil:

starfotr je 30. mar 2025 ob 21:32 izjavil:

Daj ne blodi.

Blodiš ti.
Jaz lahko dobesedno jutr pogledam kak ip ma kolega na laptopu :)

Jaz iz prve roke lahko povem, da dejansko na napravah so public IPji... Videl na dveh šolah. (kako pa je potem to speljano na Arnesu pa jasno ne vem..)

Na tej, ki pa jo pokrivam, pa imajo privat IPje. In meni je to nekako najbolj logično oz morda tudi higienično. Ampak moje znanje o omrežjih ima določene luknje(pa se nimam za totalnega amaterja), zato sem tudi odprl ta topic da vidim kako ostali pokrivate šole.

Javni IPji tudi na lokalnih mrežah imajo svoje prednosti:

- ni možnosti podvojenih IP naslovov.
- lažji nadzor
- centralni DNS/DHCP server
- IP takoj pove za katero mašino gre.

Nekaj velikih firm ima tako narejeno omrežje, pa so multinacionalke, s pisarnami in tovarnami po celem svetu.

Imam izkušnje iz prve roke. Arnes javni IP-ji so vidni direktno iz interneta, a so na noter povsem zaprti by default. Admin omrežja institucije, ki ima dodeljene IP-je, javi Arnesu katere porte/protokole na katerih IP-jih potrebuje odprte (če jih).
Arnes ti namreč v tvojo institucijo zmontira usmerjevalnik (pri meni je to Cisco), ki ga upravljajo ekskluzivno oni. Tako da kar se varnosti tiče je zanjo poskrbljeno bolje, kot če bi bil v igri samo nek Tenda router za 30 EUR.