dnsmasq как авторитативный ДНС или что-то в этом духе

Особенно рунет и его пользователи. :) Про магистралов и Европу с США я знаю. Вопрос бы не в этом, а в том, что для СОРМ большая часть клиентов так и будет за NAT. И подразумевается полное отключение у них ipv4? :D

Ну, не то что бы оно не нужно, мир к нему не готов.

Потому что миру (пока) оно не особо нужно. Где нужно, там уже сделали.

Вопрос в фанбоизме и не понимании того, что дыра (даже одна и маленькая) в файерволле = угроза безопасности

Родной, прости, а каким раком тут нат и ипв6? :)

Мало того, любые изменения в фаере будут требовать последующего обязательного аудита, т.к. нельзя на 100% гарантировать, что они не были (с точки зрения безопасности) регрессивными.

Лучший аудит - мозги команды, которая все это администрирует.

В вопросах безопасности (особенно, когда речь идет о финансовых и корпоративных данных, а не о домашнем порно тазхейта) будет использоваться та технология, которая работает более «пассивно» и не может иметь кучи мелких и внезапных проколов по своему периметру.

В вопросах безопасности, особенно на тему корпоративных данных, давно уже используются трояны, есличо. Ты фаерволлом точно так же можешь порезать одной командой весь входящий трафик, который не инциирован изнутри. Спрашивается - причем тут нат, лол?

Мало того, в корпоративной локалке в 99,9% случаев ipv6 то не нужен, не то что белые ipv6 адреса. А когда он нужен, это обычно какой-нибудь говнософт, который NAT пробить не может.

Мы говорили про backbone, а не корпоративную локалку. Корпоративная локалка без ipv4 смысла не имеет, ибо настраивать трансляцию потом никакого удовольствия нету.

Я ни один срач прочитал уже на тему «ipv6 круто vs ipv6 безопасность» и про ipv6tables файерволл в режиме роутинга, а не маскарадинга прекрасно знаю. Но в плане безопасности мой выбор непреклонен.

Да, только вот про эту самую безопастность ты походу не в курсе, как она делается.
Объясни мне разницу на «уровне безопастности» между ip6tables -P INPUT DROP на роутере с внешними ipv6 внутри и твоим натом с ipv4. С удовольствием послушаю.

Я готов принести извинения и вычести себя скора, если обидел нашего милого ктулху666.

Мне кажется, что бугурт, как раз, у ipv6-фанбоя, а никак не у параноика.

основную мысль Вы не поняли.

Возможно. Мне вообще не понятные офисные проблемы с трафиком. С моей точки зрения максимум что нужно сделать и прикрыть входящие соединения и выделить вендомашины в отдельную сетку с открытыми наружу портами 80 и 443. Поэтому о каких таких тоннах правил и что тут можно проводить на аудит я не понимаю.

есть сенсоры, ханипуты

никогда этим не страдал, но допустим. Проделать в фаерволе для них дырку и всё. Это делается через ipset.

машин не всегда включены

на что это влияет.

Мы тут говорим про корпоративную локалочку.

Загляни ко мне в профиль. Они это требуют от меня в том числе и как от админа корпоративной локалки университета(~1500 компов, ~1000 логинов на VPN). Это сначала они пришли ко мне как к провайдеру, а потом заглянули и на вторую мою работу, да :-)

Мне кажется, что бугурт, как раз, у ipv6-фанбоя, а никак не у параноика.

Тебе кажется :) Это просто техническая дискуссия.

Таз вспылил, но ты будь умнее и не продолжай. Лучше скажи что ты обиделся и пусть он с себя скор срежет.

Потому что миру (пока) оно не особо нужно. Где нужно, там уже сделали.

Оно нужно уже всем, кто нуждается в дополнительных адресах.

дыра (даже одна и маленькая) в файерволле = угроза безопасности

NAT не имеет НИКАКОГО отношения к безопасности. Вообще. Совсем.
То, что его применяют для «увеличения безопасности» эникейщики и недалекие админы в 95% случаев - еще ни о чем не говорит. Я этот вопрос задавал многим админам, работающим в крупных корпоративных сетях и у провайдеров. И все они сходятся на мнение - NAT надо использовать для того, для чего его придумали - для экономии реальных IP-адресов. Все остальные использования - нецелевые.

Выполнить аудит не так просто, особенно, если в сети есть сенсоры, ханипуты и часть машин не всегда включены. Но основную мысль Вы не поняли. Мысль была в том, что зачем делать небезопасности вещи и проводить аудит, если можно сделать априори безопасные вещи и не проводить аудит так часто?

Оооо, ведущие специалисты по безопастности не открыли для себя вланы. Продолжай, мне уже очень вкусно :)

В вопросах безопасности (особенно, когда речь идет о финансовых и корпоративных данных, а не о домашнем порно тазхейта) будет использоваться та технология, которая работает более «пассивно» и не может иметь кучи мелких и внезапных проколов по своему периметру.

Тебе рассказать о том, что не все реализации NAT-а одинаково «безопасны»?

это обычно какой-нибудь говнософт, который NAT пробить не может.

Обозвать большую часть VOIP говнософтом - это надо совсем быть далеким от энтерпрайза. Тот факт, что протокол предполагает прозрачность в отношении точек назначения(клиентов и серверов) не делает протокол плохим. А вот как раз NAT, нарушающий подобную прозрачность by design - да.

**устало: Я уже повторял данные тезисы 100500 раз

NAT не имеет НИКАКОГО отношения к безопасности

Оно входящие соединения ограничивает? Ограничивает. Если такого уровня защиты достаточно то на этом можно остановиться.

Это весьма ССЗБ, т.к. ipv4 кусок стека нужен для ipv6-to-ipv4 трансляции для ipv6-only софта (либо тебе шлюз нужен)

Шлюз у меня был, эксперимент был именно в IPv6-only клиенте.

а также куча софта хочет 127.0.0.1.

из того, что я протестил - затык был только в NFS

Да и софт, поддерживающий ipv6 может без ipv4 не завестись из-за legacy-проверок.

Отличный повод написать багрепорт

NFS является чисто локальным (а не через Сеть) транспортом, поэтому ipv6 там не особо нужен.

lolwut? IPv6 - это будущая замена IPv4. Так что чем раньше тем лучше.

Спасибо

В любом случае ipv6 в локалке - это обычно ССЗБ и вопиющее ненужно.

Расскажи это главе Gentoo QA team, у которого Tinderbox для теста пакета работает на зафаерволенных наглухо LXC-инстансах. «With no IPv4 connectivity at all» (c) Flameeyes

Родной, прости, а каким раком тут нат и ипв6? :)

Родной, просто, но lwn и новости читать надо.

Лучший аудит - мозги команды, которая все это администрирует.

Лучший аудит - проверенные и теоретически обоснованные решения. А не наколоченные решения вумных админов, которые не знают про ipv6 NAT и проблемы безопасности.

В вопросах безопасности, особенно на тему корпоративных данных, давно уже используются трояны, есличо. Ты фаерволлом точно так же можешь порезать одной командой весь входящий трафик, который не инциирован изнутри. Спрашивается - причем тут нат, лол?

При отпечатках, возможности легкого разделения потоков данных злоумышленником (=>легкая выборочная подмена, которую не задетектят сенсоры), необходимости разных настроек фильтрации для разных хостов (=>разношерстная конфигурация файеволла => возможные проколы), необходимость сидеть на адресах выделенных провайдеров, без BGP к резервному провайдеру (или есть есть несколько разных провайдеров) без NAT работать не будет, то же не при переезде. Из этого возникает необходимость держать DNS-подсистему, которая легко атакуется без DNS Sec. Я уж молчу про то, что часть ПО для аудита, сенсоров, ханипутов и т.д. не готово для ipv6. Равно, как и неизвестно, что клиентское ПО думает на этот счет в плане контроля доступа.

Мы говорили про backbone, а не корпоративную локалку. Корпоративная локалка без ipv4 смысла не имеет, ибо настраивать трансляцию потом никакого удовольствия нету.

Мы говорили про корпоративную локалку с серверам, а не про backbone. Но даже если мы будем рассуждать о небольших кластерах или серверных, то всё так же. Там ipv6 имеет смысл только «на вырост», либо если его ПО требует.

Да, только вот про эту самую безопастность ты походу не в курсе, как она делается.
Объясни мне разницу на «уровне безопастности» между ip6tables -P INPUT DROP на роутере с внешними ipv6 внутри и твоим натом с ipv4. С удовольствием послушаю.

См. в этом посте выше про отпечатки, разделение потоков или т.д. В случае ip6tables -P FORWARD DROP, разницы нет. Только ты не хочешь понять, что обычно правил более 200 строк и везде может быть ошибка.

дыра (даже одна и маленькая) в файерволле = угроза безопасности

Кстати, любая неизолированная машина с хоть каким-то выходом в инет это угроза безопасности. Потому что если её сломают (через дыру в браузере, например) то проникнут и в локалку. Поэтому я скептически отношусь к тоннам правил на фаерволе пока внутри тачки могут общаться напрямую (а других вариантов я не видел).

Кстати, любая неизолированная машина с хоть каким-то выходом в инет это угроза безопасности. Потому что если её сломают (через дыру в браузере, например) то проникнут и в локалку.

Поэтому умные админы используют 802.1x+RADIUS, сенсоры, изоляцию по VLAN, сливание логов на отдельную машину. Особенно это касается компов клиентов (юзеров) с виндой.

Это только всякие тазхейты могут на рабочей машине использовать ssh-ключи к серверам в незашифрованном виде, т.к. там удобнее и скрипты могут автоматически отработать.

Мы говорим про корпоративную локалку.

Еще раз по буквам. Они это требуют от меня, как от сетевого администратора ядра сети и сервисов ДГТУ(не как от провайдера). Или компьютерная сеть госучреждения не считается корпоративной?

Мало того, Вы ещё раз показали, что ipv6 - отличный помощник для злоумышленников.

*triple brutal facepalm*. Я себе лицо разобью, поосторожнее, пожалуйста

И каким образом им помогут белые ipv6, если большая часть роутеров и удаленных серверов ipv6 не юзают?

Веришь, нет - мне насрать как им это поможет. Не хочу скатывать тему в нацпол, но, да - меня просят «сделай то, не знаю что, иначе накажем».

Кстати, сколько оно стоит то?

Арендную стоимость не помню уже. На постоянку единовременно - 50 тыщ убитых американских президентов. А, и да, гарантия, что эта коробочка выдержит наши объемы трафика - 2 года. То есть через 2 года они могут намекнуть на замену.

Внутри какой-нить селерон и общая пропускная способность где-то в 100мбит (по крайней мере так было раньше когда я работал в ДЦ).

нам нужна гигабитная минимум, там цены «немного» выше - смотри предыдущий мой пост

Оооо, ведущие специалисты по безопастности не открыли для себя вланы. Продолжай, мне уже очень вкусно :)

Вероятно, некоторые «админы» не понимаю, что такое вектор атаки и откуда, в данном случае, он берет начало.

Вероятно, что некоторые тазхейты, считают, что их сервера и рабочие станции окроплены святой водой и защищены антивирусами Попова, а книжек по ИБ в глаза не видели.

Даже если ключ зашифрован люди обычно делают ssh-add, откуда его можно достать подручными средствами.

Я, кстати, пока не разработал удовлетворительной схемы «что делать если ноутбук упёрли». Пока у меня принудительно включается скринсейвер с паролем при закрытии крышки или уходе в сон. Ключи зашифрованы (но я их всё равно через ssh-add добавляю в память). Не знаю на сколько это надёжно. Пока стараюсь не оставлять ноут с разлоченным экраном без присмотра.

Так ответь мне, о Великий, как ipv6 поможет гебне разделять доминирующий ipv4-траффик юзеров за натом?

Кстати, хватит переходить на личности, вы сейчас посрётесь.

Оно входящие соединения ограничивает? Ограничивает. Если такого уровня защиты достаточно то на этом можно остановиться.

Знаешь что делал завлаб на моей родной кафедре(бывший прапорщик), когда кулхацкеры-студенты пытались сломать сервер? Правильно: доставал сетевой кабель из сервера. Лучше файрвола не придумаешь, безопасность 100%

Аналогия понятна? :-)

могут на рабочей машине использовать ssh-ключи к серверам в незашифрованном виде

Покажи мне ключ в НЕ зашифрованном виде, пжлст :DDDDDD

Даже если ключ зашифрован люди обычно делают ssh-add, откуда его можно достать подручными средствами.

Если мозга нет, то можно использовать kwallet и gnome-keyring. Хотя, в принципе, я ничего не вижу плохого в этом, если часто нужно ходить на разные сервера (причём ещё и скриптами), и это отдельная машина с centos с зашифрованным хардом.

Упорот? Когда ключ генерируешь, у тебя спрашивают, шифровать закрытый ключ паролем или нет.

как ipv6 поможет гебне разделять доминирующий ipv4-траффик юзеров за натом?

Это уже не мои проблемы. Официальный приказ сверху звучит так: «Обеспечить каждого пользователя публичным IP-адресом». То, что эти чудики не различают IPv4 и IPv6 - не моя проблема. И от IPv4 я отказываться не собираюсь - я в здравом уме, нужен dual-stack. Ибо без переходного периода миграции не будет - масштабы не те. Но оттягивать эту миграцию - это как тянуть кота за яйца - рано или поздно оторвешь, и будет больно!

Упорот? Когда ключ генерируешь, у тебя спрашивают, шифровать закрытый ключ паролем или нет.

Ага, это называется «шифрование паролем», а я спрашиваю, что вот это такое:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

Кстати, хватит переходить на личности, вы сейчас посрётесь.

http://images1.wikia.nocookie.net/__cb20121203124839/ru.starwars/images/6/67/...
Мне кажется, ты не успеваешь за развитием батхертов в данном треде.

Аналогия понятна? :-)

Честно говоря не очень, я поэтому пытаюсь сильно не вмешиваться в тред. Всё что я хочу сказать это то что наличие сильных заморочек с безопасностью зачастую неоправдано и только усложняет работу (зачастую делая её невозможной).

Но это только один взгляд на вещи. Работай я в банке я бы наверно думал по-другому.

Вероятно, что некоторые тазхейты, считают, что их сервера и рабочие станции окроплены святой водой и защищены антивирусами Попова, а книжек по ИБ в глаза не видели.
Вероятно, некоторые «админы» не понимаю, что такое вектор атаки и откуда, в данном случае, он берет начало.

Ясно кароче. На конкретные вопросы мсье отвечать не хочет :)

это ключ в открытом виде в base64 encoding, не? У шифрованных в начале Proc-Type: 4,ENCRYPTED стоит.

Всё что я хочу сказать это то что наличие сильных заморочек с безопасностью зачастую неоправдано и только усложняет работу

Аксиома простая и давно известная: «безопасность=1/удобство»
Ну и вторая аксиома - смотри на заказчика, как нужнее ему.
Будучи эникейщиком, я заботился о безопасности ровно столько, насколько платил заказчик. Почасовка позволяет ;-)

А аналогия с выдергиванием кабеля такова: действия действительно «одинаковые» с одной стороны - отрезают входящие соединения. Но если посмотреть с другой стороны, то картина будет немного другой :-)

часть ПО для аудита

Список в студию!

Мы говорили про корпоративную локалку с серверам, а не про backbone. Но даже если мы будем рассуждать о небольших кластерах или серверных, то всё так же. Там ipv6 имеет смысл только «на вырост», либо если его ПО требует.

Доклад яндекса посмотри, ыгы. С выростом и всем остальным.

В случае ip6tables -P FORWARD DROP, разницы нет.

Ну вот и все, радость моя. Дальше просто фигачишь нужные правила, куда и какой трафик разрешить. А про опечатки в правилах - тебя нат от них не спасет, только добавит путаницы.

это ключ в открытом виде в base64 encoding, не?

-----END RSA PRIVATE KEY-----

Это закрытый ключ в незашифрованном виде. Вероятно, юнный админ знает, что ключ может являться просто данными (как картинка) и может быть зашифрован или нет. А также не знает, что ключем как ключем могут быть зашифрованы данные, но сам ключ для этого должен быть в истинном (plain/незашифранном) виде.

Если же ты мне мне пытаешь тыкать «оформлением» файла сертификата и тем фактом, что ключ там не бинарном виде представлен, а в base64, то открою тайну: это называется транспортное кодирование и нужно, чтобы тазхейты не возмущались, что не могут просто так скопипастить ключ.

-----END RSA PRIVATE KEY-----

таз, это ключ в открытом виде. RSA это тип ключа.

Ммм, на какой машине я могу потестить взлом этого криптографически защищённого ключа?

Только ты не хочешь понять, что обычно правил более 200 строк и везде может быть ошибка.

Угу. А пробрасывать 100500 тыщ миллионов портов для каждого клиента - это конечно же гуд. Это я говорю как человек, к которому минимум раз в месяц приходит заявка на проброс портов. Минимум. А это 2 правила в файрволе. 2, а не одно.

А еще запросы адекватных админов на нижестоящих подразделениях типа: «Дайте нам статистику тех, кто к нам стучался на порт, ибо у нас все входящие с одного IP»

юнный

facepalm.nazi

Если же ты мне мне пытаешь тыкать «оформлением» файла сертификата и тем фактом, что ключ там не бинарном виде представлен, а в base64, то открою тайну: это называется транспортное кодирование и нужно, чтобы тазхейты не возмущались, что не могут просто так скопипастить ключ.

-----END RSA PRIVATE KEY-----
Объясни мне это, гений шифрования :)

Эм. У меня для тебя плохие новости - это НЕЗАПАРОЛЕННЫЙ ключ.

Запароленный выглядит так:

pinkbyte@phantom ~ $ cat .ssh/id_rsa | head -4
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,DD0E2E16F83FD43E06C6110CB1F79699

таз, это ключ в открытом виде. RSA это тип ключа.

Тш, не лезь. Все не так очевидно, как тебе кажется :)

Эм. У меня для тебя плохие новости - это НЕЗАПАРОЛЕННЫЙ ключ.

ДА ЗНАЮ Я ЭТО. Я НЕ ПРО ПАРОЛИ ГОВОРЮ.

Все не так очевидно, как тебе кажется :)

колись, что с ключем сделал?
Неужто патченный ssh? :-)

Это я говорю как человек, к которому минимум раз в месяц приходит заявка на проброс портов

А может дать юзерам веб-морду для управления фаерволом? Потому что иначе, если не автоматизировать, можно нарваться на проблемы, скажем, при поворном использовании адресов итп. Можно так же просто забыть зачем то или иное правило было добавлено.

Короче, я за то чтобы убирать мартышкин труд по управлению сетью. Собстно, об этом и был изначально этот топик.