SÅ‚awek Lipowski <slawek@lipowski.org> writes:
>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>
> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
> wielkości większymi, ale nie w tym rzecz...
Sam widzisz, zrobienie na tym DDoSu to pestka.
> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.
Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
moze ominac regulki IPv4.
> Naturalne
> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
> ssh, niż ten san system bez wystawionego ssh.
Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
podstawowe i wlasciwie jedyne zastosowanie)
b) wystawienie ssh jest czesto niezbedne.
> Zakładam też, że lepiej
> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
> przeskoczy.
Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.
Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
takze powinien odfiltrowac.
> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
> haseł. :)
Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.
> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
> publicznym IP i nosić je w kieszeni.
Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
nie bedzie w stanie uzyskac "mojego" IP.
BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?
-- Krzysztof HalasaReceived on Tue Aug 10 23:15:03 2010
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Tue 10 Aug 2010 - 23:40:01 MET DST