Re: [PECET] ip4 v ip6

Marcin Debowski <agatek@INVALID.zoho.com> · Sun, 12 May 2019 23:41:02 GMT

On 2019-05-12, Mateusz Viste <mateusz@nie.pamietam> wrote:
> On Sat, 11 May 2019 23:11:07 +0000, Marcin Debowski wrote:
>> To w jaki sposób realizowana jest kontrola dostępu do i z sieci lokalnej
>> (jesli chcemy mieć kontrolę dostępu)?
>
> Firewall stateful. Rozwiązanie istniejące od wczesnych lat '90 i znacząco 
> prostsze (a zarazem pewniejsze) od jakiejkolwiek implementacji NAT.

Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na 
lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest 
bardziej przejrzyste, to trudniej o błędy. W IPv6 jak rozumiem dostanę 
pewną pulę adresów od IPSa (też mnie to przeraża, że będę zalezny w 
takiej kwestii od IPS). Pewnie da się to też posegmentować, na poziomie 
FW i bez NATu. A preferuję segmentacje, bo mam różne warstwy 
bezpieczeństwa. Np. nie chcę aby dostep do podsieci gdzie chodzi cctv 
był z podsieci, która umozliwia dostęp po wifi.

Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by 
było stan ten zmienić.

>> Tak jakbym to robił na MACach
>> sokor wszystkie adresy miałyby być unikatowe?
>
> Nie rozumiem analogii do MAC - to nie ta warstwa. Firewalling przy IPv4 
> wykonuje się dokładnie tak samo, jak przy IPv6. Np. "sieć lokalna ma 
> dostęp do zewsząd, a cokolwiek innego odrzucam" - to jedna prosta reguła 
> skutecznie zastępująca bezpieczeństwo rzekomo zapewniane przez NAT.

Analogia w unikatowosci adresu. Tylko tyle, bo wiadomo, że kontrolować 
dostępu po samym MACu to nie jest dobry pomysł.

>> A dynamiczny przydział
>> adresów w sieci z ograniczonym dostępem jest podobny czy różni się od
>> IPv4?
>
> Implementacja różna (NDP lub DHCPv6 zamiast DHCP, oraz ICMPv6 zamiast 
> ARP), ale z punktu widzenia użytkownika nic się nie zmienia - "podpinam 
> komputer do sieci i po sekundzie mam adres należący do lokalnej sieci".

No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco 
"większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To 
jak ja mam w tej sytuacji zrobić np. static DHCP? Po segmencie adresu? 
Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix), 
a adres link-local jest zawsze zachowany?

-- 
Marcin

To:	pecet@man.lodz.pl
Subject:	Re: [PECET] ip4 v ip6
From:	Marcin Debowski <agatek@INVALID.zoho.com>
Date:	Sun, 12 May 2019 23:41:02 GMT

<Pop. w Wątku]	Aktualny Wątek	[Nast. w Wątku>
Re: [PECET] ip4 v ip6, (continued) Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Marcin Debowski <= Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, marrgol Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Animka Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, 2late Re: [PECET] ip4 v ip6, Mateusz Viste

Poprzedni wg. Daty:	Re: [PECET] ip4 v ip6, heby
Następny wg. Daty:	Re: [PECET] ip4 v ip6, Marcin Debowski
Poprzedni w Wątku:	Re: [PECET] ip4 v ip6, Marcin Debowski
Następny w Wątku:	Re: [PECET] ip4 v ip6, Mateusz Viste
Indeksy:	[Data] [Wątek] [Lista archiwów] [Inne Listy]