История изменений

Родной, прости, а каким раком тут нат и ипв6? :)

Родной, просто, но lwn и новости читать надо.

Лучший аудит - мозги команды, которая все это администрирует.

Лучший аудит - проверенные и теоретически обоснованные решения. А не наколоченные решения вумных админов, которые не знают про ipv6 NAT и проблемы безопасности.

В вопросах безопасности, особенно на тему корпоративных данных, давно уже используются трояны, есличо. Ты фаерволлом точно так же можешь порезать одной командой весь входящий трафик, который не инциирован изнутри. Спрашивается - причем тут нат, лол?

При отпечатках, возможности легкого разделения потоков данных злоумышленником (=>легкая выборочная подмена, которую не задетектят сенсоры), необходимости разных настроек фильтрации для разных хостов (=>разношерстная конфигурация файеволла => возможные проколы), необходимость сидеть на адресах выделенных провайдеров, без BGP к резервному провайдеру (или есть есть несколько разных провайдеров) без NAT работать не будет, то же не при переезде. Из этого возникает необходимость держать DNS-подсистему, которая легко атакуется без DNS Sec. Я уж молчу про то, что часть ПО для аудита, сенсоров, ханипутов и т.д. не готово для ipv6. Равно, как и неизвестно, что клиентское ПО думает на этот счет в плане контроля доступа.

Мы говорили про backbone, а не корпоративную локалку. Корпоративная локалка без ipv4 смысла не имеет, ибо настраивать трансляцию потом никакого удовольствия нету.

Мы говорили про корпоративную локалку с серверам, а не про backbone. Но даже если мы будем рассуждать о небольших кластерах или серверных, то всё так же. Там ipv6 имеет смысл только «на вырост», либо если его ПО требует.

Да, только вот про эту самую безопастность ты походу не в курсе, как она делается.
Объясни мне разницу на «уровне безопастности» между ip6tables -P INPUT DROP на роутере с внешними ipv6 внутри и твоим натом с ipv4. С удовольствием послушаю.

См. в этом посте выше про отпечатки, разделение потоков или т.д. В случае ip6tables -P FORWARD DROP, разницы нет. Только ты не хочешь понять, что обычно правил более 200 строк и везде может быть ошибка.

Родной, прости, а каким раком тут нат и ипв6? :)

Родной, просто, но lwn и новости читать надо.

Лучший аудит - мозги команды, которая все это администрирует.

Лучший аудит - проверенные и теоретически обоснованные решения. А не наколоченные решения вумных админов, которые не знают про ipv6 NAT и проблемы безопасности.

В вопросах безопасности, особенно на тему корпоративных данных, давно уже используются трояны, есличо. Ты фаерволлом точно так же можешь порезать одной командой весь входящий трафик, который не инциирован изнутри. Спрашивается - причем тут нат, лол?

При отпечатках, возможности легкого разделения потоков данных злоумышленником (=>легкая выборочная подмена, которую не задетектят сенсоры), необходимости разных настроек фильтрации для разных хостов (=>разношерстная конфигурация файеволла => возможные проколы), необходимость сидеть на адресах выделенных провайдеров, без BGP к резервному провайдеру (или есть есть несколько разных провайдеров) без NAT работать не будет, то же не при переезде. Из этого возникает необходимость держать DNS-подсистему, которая легко атакуется без DNS Sec. Я уж молчу про то, что часть ПО для аудита, сенсоров, ханипутов и т.д. не готово для ipv6. Равно, как и неизвестно, что клиентское ПО думает на этот счет в плане контроля доступа.

Мы говорили про backbone, а не корпоративную локалку. Корпоративная локалка без ipv4 смысла не имеет, ибо настраивать трансляцию потом никакого удовольствия нету.

Мы говорили про корпоративную локалку с серверам, а не про backbone. Но даже если мы будем рассуждать о небольших кластерах или серверных, то всё так же. Там ipv6 имеет смысл только «на вырост», либо если его ПО требует.

Да, только вот про эту самую безопастность ты походу не в курсе, как она делается.
Объясни мне разницу на «уровне безопастности» между ip6tables -P INPUT DROP на роутере с внешними ipv6 внутри и твоим натом с ipv4. С удовольствием послушаю.

См. в этом после выше про отпечатки, разделение потоков или т.д. В случае ip6tables -P FORWARD DROP, разницы нет. Только ты не хочешь понять, что обычно правил более 200 строк и везде может быть ошибка.

Родной, прости, а каким раком тут нат и ипв6? :)

Родной, просто, но lwn и новости читать надо.

Лучший аудит - мозги команды, которая все это администрирует.

Лучший аудит - проверенные и теоретически обоснованные решения. А не наколоченные решения вумных админов, которые не знают про ipv6 NAT и проблемы безопасности.

В вопросах безопасности, особенно на тему корпоративных данных, давно уже используются трояны, есличо. Ты фаерволлом точно так же можешь порезать одной командой весь входящий трафик, который не инциирован изнутри. Спрашивается - причем тут нат, лол?

При отпечатках, возможности легкого разделения потоков данных злоумышленником (=>легкая выборочная подмена, которую не задетектят сенсоры), необходимости разных настроек фильтрации для разных хостов (=>разношерстная конфигурация файеволла => возможные проколы), необходимость сидеть на адресах выделенных провайдеров, без BGP к резервному провайдеру (или есть есть несколько разных провайдеров) без NAT работать не будет, то же не при переезде. Из этого возникает необходимость держать DNS-подсистему, которая легко атакуется без DNS Sec. Я уж молчу про то, что часть ПО для аудита, сенсоров, ханипутов и т.д. не готово для ipv6. Равно, как и неизвестно, что клиентское ПО думает на этот счет в плане контроля доступа.

Мы говорили про backbone, а не корпоративную локалку. Корпоративная локалка без ipv4 смысла не имеет, ибо настраивать трансляцию потом никакого удовольствия нету.

Мы говорили про корпоративную локалку с серверам, а не про backbone. Но даже если мы будем рассуждать о небольших кластерах или серверных, то всё так же. Там ipv6 имеет смысл только «на вырост», либо если его ПО требует.

Да, только вот про эту самую безопастность ты походу не в курсе, как она делается.

Объясни мне разницу на «уровне безопастности» между ip6tables -P INPUT DROP на роутере с внешними ipv6 внутри и твоим натом с ipv4. С удовольствием послушаю.
См. в этом после выше про отпечатки, разделение потоков или т.д. В случае ip6tables -P FORWARD DROP, разницы нет. Только ты не хочешь понять, что обычно правил более 200 строк и везде может быть ошибка.