W dniu 10.08.2010 23:09, Krzysztof Halasa pisze:
> SÅ‚awek Lipowski<slawek@lipowski.org> writes:
>
>>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>>
>> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
>> wielkości większymi, ale nie w tym rzecz...
>
> Sam widzisz, zrobienie na tym DDoSu to pestka.
W sensie pestką jest zrobienie DDoSu łącza rzędu 1Gbps, czy mojego
768kbps w domu, bo się pogubiłem? :)
>> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
>> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
>> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.
>
> Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
> moze ominac regulki IPv4.
Możesz napisać dokładnie co masz na myśli? Konkretne przykłady?
>> Naturalne
>> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
>> ssh, niż ten san system bez wystawionego ssh.
>
> Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
> a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
> podstawowe i wlasciwie jedyne zastosowanie)
> b) wystawienie ssh jest czesto niezbedne.
Jak by nie było, to przecież temat nie tyczy się samego ssh i teza
zakładająca, że nie trzeba się przejmować możliwością ominięcia
firewalla, bo ssh jest bezpieczne jest co najmniej lekko nietrafiona. :)
>> Zakładam też, że lepiej
>> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
>> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
>> przeskoczy.
>
> Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
> filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.
Dokładnie tak. Chociaż z tym jasne i oczywiste to bym nie dramatyzował,
bo tak to chyba tylko w idealnym świecie. :)
> Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
> takze powinien odfiltrowac.
Zgadza się. A wcześniej musi mieć świadomość, że powinien to zrobić.
>> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
>> haseł. :)
>
> Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.
>
>> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
>> publicznym IP i nosić je w kieszeni.
>
> Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
> nie bedzie w stanie uzyskac "mojego" IP.
Jedno drugiego nie wyklucza. I jedno i drugie można potraktować jako
kolejna warstwę zwiększającą bezpieczeństwo.
> BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?
Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
operatora komórkowego niż otwarte darmowe wifi.
-- SÅ‚awek LipowskiReceived on Tue Aug 10 23:35:02 2010
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Tue 10 Aug 2010 - 23:40:01 MET DST