JanZorz napisal/-a:1. IPsec imaš v samem IPv6 stacku, ker je mandatory. Samo poveš mu, kaj naj počne, lahko ga imaš pa v transport ali tunnel mode. Google is your friend, par komand imas s katerimi poves kako bos s katerim dest. naslovom kriptiral.
Ok, da, imam ipsec6 v xp...slabo dokumentirano, ampak xp tudi ni state-of-the-art ipv6. Vzamem na znanje da je 10 let star.
JanZorz napisal/-a:2. MIP6. Imam postavljen Home Agent in DSMIP6-TLS na nekaj napravah, povsod po svetu imam isti IPv4 in IPv6 naslov. Deluje, ni pa še za široko uporabo (Nokia ja dala zadevo pod brutalen NDA).
OmegaBlue je napisal: "kjerkoli si imaš isti IP (tudi že v praksi lepo deluje)." Glede na to, da se ISPjem dodeljuje /32 subnete, da ti praviš da je stvar pod NDA mi nikakor ni jasno kako bi svoje IPv6 naslove kamorkoli prenašal. Razen če imam svoj AS
JanZorz napisal/-a:3. Traparija. NAT ni security mehanizem, ampak translacija. Nabavi si firewall. BTW, moja televizija, DVD player in vse naprave pri meni doma, ki imajo ETH port in/ali znajo komunicirati preko IP protokola imajo javne IPv4 (in če znajo IPv6) naslove. NAT je "chicken way out" za tiste, ki samo mislijo da vedo, kaj počnejo.
Translacijski mehanizem, ki za sabo potegne določen nivo varnosti. Poznam razliko med NAT in FW, imel sem FW na mašini ko so se ostali še nukali po ircu. Moj border FW ima preko 200 IPv4 pravil (od oka, iptables -nvL | wc -l javi 286, nekaj je praznih in naslovnih vrstic). Ampak vseeno - so bili časi ko Windows nisi mogel naložiti če nisi izklopil mreže in prenesel patche oz fw programa preko ključka/cedeja. Če si za NATom, brez kakršnegakoli firewalla, se ti mašina NE BO okužila sama od sebe. Ne vem, meni se zdi to bistvena izboljšava napram tistemu, da se mašina okuži preden uspeš naložiti firewall. Poleg (unpatched) Windows mašin so tu še ostale druge naprave - kako vem npr. da moj telefon nima nekje na portu 55000+ backdoor admin dostop, zato ker je nek developer pozabil vrstico zakomentirat pred buildanjem release firmwara? Samo z NATom take zadeve elegantno izključiš. Pa da ne bi spet predolgo...da NAT je sam po sebi pokvaril p2p connectivity, ki je bil osnova interneta, ampak je pa zahteval, da si o težavi malo premislil in protokol (upam) zdesigniral tako, da je šel čez NAT in FW. Na IPv6 je adminu enostavneje dati iptables -A FORWARD -j ACCEPT in pozabiti na vse skupaj...dokler ni kje kak backdoor ali pa ne pride spet kak nuke.
JanZorz napisal/-a:4. Dobi si ASN in PI naslovni prostor, dobi si redundanten link in bodi multihomed. Easy ko pasulj
Ja, to sem napisal da je možno. Ampak spet - zakaj komplicirate če bi to hotel naredi ono, nekaj drugega. Poglej - zdaj dobiš na T-2 statičen IP. IP lahko vpišeš v katerokoli napravo jo priklopiš na switch in dela. Še več, IPja mi sploh ni treba nastavljati, dobim kar prek dhcp. Če mi crkne IPv6 router, ne morem priklopiti laptopa na switch in surfati naprej, ne, rabim neko napravo, ki ji bom lahko konfiguriral statični naslov in routing in ki ima na drugi strani radvd ali pa dhcpv6 da se mi bo mreža sploh zbudila. Lahko pa od ponudnika vzamem statless autoconfig, ampak potem pa ne morem imeti routerja/firewalla sploh...razen na vsaki mašini posebej? Ali pa kompliciram z bridganjem, proxyarp in firewall delam na layer2 v ebtables oz. s hookom iptables...kar bistveno presega znanje in zmogljivosti povprečnega domačega routerja.
JanZorz napisal/-a:A lahko dam ta tvoj zapis na go6.si?
Zaradi mene lahko, rad pa bi da iz tega rata kaka konstruktivna debata. Pač, IPv6 širi obzorja, vsega ne vem, kakor kaže smo si več ali manj pred njim vsi zatiskali oči, letos pa bo naenkrat zadeva udarila na plan. Logično je, da zahteva nekoliko drugačno razmišljanje in na to se je treba pripraviti. Se pa bojim ravno to, da vkolikor se bo preveč izkoriščalo odprt p2p dostop, bo pljusknjil povsem nov val črvov, trojancev in vdorov preko undocumented backdoorov, ki so bili dosedaj večalimanj uspešno skriti za SOHO routerji in NATom. Ko bo hladilnik enkrat del botneta, zato ker si mel odprt dostop zaradi tega, da si iz trgovine pogledal koliko imaš še jogurta, se internetu pomojem ne piše dobro.
)