Белые адреса, IPv6 и безопасность

Омг, очередной тред про NAT == firewall...

Постой пример. Если на твоем маршрутизаторе нет правила, запрещающего форвард [не предусмотренных] входящих соединений - то НАТ никак не помешает трогать твою внутреннюю сетку за всякое. А если такое правило есть(а оно всегда есть у здоровых людей), то не принципиально, белые или серые у тебя айпи внутри.

This.

/thread

просто пользоваться линуксом

Можно же поставить готовую убунту (или любой другой дистр), где есть пульса и системд и всё как-то уже настроено и работает из коробки.
Хотя зачем нужен такой линукс, если он без пердолинга, тоже вопрос.

NAT ничего не маршрутизирует. NAT транслирует адреса.

А если предположить условный роутер, в котором из правил только -t nat -A POSTROUTING -o wan -j MASQUERADE, а всё остальное в -P ACCEPT, то смаршрутизирует за милую душу.

Вот только так никто не делает и даже в махровой китайщине форвард запрещён по умолчанию.

Увы никто в теме не понял мой основной посыл. Я не говорю, что NAT это фаервол, я говорю о том, что нат сеть скрывает собой и обезличивает всех участников её, фактически просканировав айпи адрес сети ты не увидишь какие порты в ней реально используются, какие сервисы их слушают и к каким можно отправить SYN\FIN запрос напрямую, это реальный рубеж защиты, тогда как даже имея фаервол, белый айпи адрес ответит на SYN пакет, его можно сформировать точно до цели таким образом, чтобы установить соединение и в дальнейшем произвести атаку с использованием того или иного эксплойта, фаервол тут вообще никаким боком не поможет, если 443 порт не фильтруется, да может фильтруются всякие 8080 и прочее, но ориентация будет на всеобъемлющие порты.

Кроме того, простой пользователь нуждается в сером айпи адресе выходном так как сам он нифига не способен настроить и разобраться, чаще всего довольствуется статусом «КВО» или По-Умолчанию, и вот мы же Гики и Админы должны им предоставить наиболее безопасный статус, отдать им всем белые адреса это подставить под удар.

а что, так можно было? (ц)

192.168.0.0/16, 10.0.0.0/8 и прочие принципиально от остальных адресов ничем не отличаются, просто условились считать их выделенными для локальных сетей и в норме в большом интернете пакеты с этих адресов и для них пропускать не должны

т.е. анонимусы из дальних интернетов к тебе не пролезут, но вот сотрудник провайдера, контролирующий сетку, к которой подключён твой комп - вполне

Эта проблема решается тремя путями.

1) На домашнем рутере с IPv6 по умолчанию запрещаются входящие соединения в LAN, даже если выдан префикс. Не скажу за всех производителей, но те, с которыми я очень близко имел дело, делают именно так.

2) Логика автоконфигурации адресов IPv6 обычно работает так, что исходящие соединения устанавливаются со временных случайных адресов, имеющих короткое время жизни (a.k.a. privacy extension). Постоянный адрес посторонним неизвестен. Нарваться на него сканированием - маловероятно.

3) Ну и в целом сейчас намного больше внимания уделяется безопасности самого софта. Даже если у вас торчит в сеть открытый порт, вероятность взлома намного ниже, чем во времена оные.

Вопрос, на что мы расчитываем открывая такой ящик пандоры? Что nmap не сможет охватить малейший диапазон в определенный период времени?

Размер адресного пространства вашей домашней сетки с IPv6 - во много раз больше, чем всего Интернета IPv4. Сканирование в поисках сотни псевдослучайных адресов - малоэффективно.

Если на твоем маршрутизаторе нет правила, запрещающего форвард [не предусмотренных] входящих соединений - то НАТ никак не помешает трогать твою внутреннюю сетку за всякое.

Любопытно. И как оно будет работать? Вот, предположим, есть у меня 1 белый ip на рутере, и за ним - 172.16.0.0/16

Каким образом атакующий (имеющий белый ip) сможет отсканить мою сеточку?

Каким образом атакующий (имеющий белый ip) сможет отсканить мою сеточку?

Это сможет сделать атакующий, находящийся в том же белом сабнете, что и ты.

ip route add 172.16.0.0/16 gw 1.2.3.x # Your external IPv4 address

Чот как-то настолько очевидно, что я об этом даже не подумал :)

В принципе, трудность будет только в том, что бы расположиться в той же сетке.

Ящик пандоры? Т.е. ты считаешь нормальным что дырявый шлак выживает только потому что закрыт НАТ'ом и считаешь что мир должен дальше мучаться без возможности установки прямых соединений только чтобы это говно оставалось в безопасности? Да гореть ему всему огнём. Кстати, если бы ты хоть чуть-чуть подумал, то понял бы что в ipv6 мире массовые атаки как раз невозможны, поскольку всё адресное пространство уже не ни просканировать, ни наугад на протыкать.

В принципе, трудность будет только в том, что бы расположиться в той же сетке.

-взломать роутер соседа

-взломать комп соседа, подключённого к сети напрямую

-поселиться в твоём подъезде, подключиться к тому же провайдеру, с целью хакнуть тебя :)

У меня домашний провайдер выдает еще и локальный 172.21., я в когда-то развлекался тем, что ребутил напрямую подключенные венды с уязвимостбю.

Ящик пандоры в том, что когда у всех будут постоянные выделенные IP адреса, всяким гуглам будет гораздо проще следить за всеми (разумеется, для вашего удобства, чтобы персонализировать контент), никакие приватные режимы не помогут. С точки зрения приватности лучше, когда много народу сидит за одним НАТом, а для p2p можно пробрасывать по несколько портов каждому абоненту.
Разумеется, приватность получится не от майоров - они могут посмотреть логи провайдера, а от всяких гуглов, фейсбуков и прочих ушлых компаний.

это которым надо писать письмо в бумажно-аналоговом виде с просьбой открыть 110/25 порты для почтового сервера?

Если ты это делаешь на канале обычного домашнего/мобильного интернета, то так тебе и надо.

Гуглы и так прекрасно могут за тобой «следить» без всяких IPv6, анархист мамкин.

лучше, когда много народу сидит за одним НАТом, а для p2p можно пробрасывать по несколько портов каждому абоненту

Чтоб тебе так жить.

Гуглы и так прекрасно могут за тобой «следить» без всяких IPv6.

Зачем упрощать ему задачу?
Вот кстати, сейчас если заходишь в гугл с чистым браузером, постоянно выдаёт свою капчу с велосипедами и дорожными знаками, с чего это вдруг? А у меня IP из динамического пула, даже не за НАТом

анархист мамкин

Тебе же написали, что логи провайдера никуда не денутся, нечегоскрыватель, если надо, всё найдут.

Чтоб тебе так жить.

А я не против - ты знаешь провайдера, который работает с НАТом и официально пробрасывает, скажем, 5 каких-нибудь TCP/UDP портов?

Трудность в том, что большинство рутеров (если даже не все) все-таки запрещают входящие соединения в LAN, в какой бы сетке ни располагался атакующий. Хотя во времена комсомольской молодости я этого прикола не знал, и умудрялся делать чистый нат без файрвола.

а если комп воткнут в сеть напрямую, с дефолтными настройками iptables :)

а если комп воткнут в сеть напрямую, с дефолтными настройками iptables :)

Т.е. все порты открыты? Ну в наши дни компы не настолько хрупкие, как раньше. Взлом маловероятен. У некоторых домашние сетки на реальных адресах (провайдер расщедрился), и ничего, не жалуются.

постоянные выделенные IP адреса

Как будто с IPv4 дела обстоят иначе. И что мешает делать адреса динамическими?

Кроме того, есть IPv6 Privacy Extensions, чтобы не светить свой hw address.

IPv4 мало, поэтому для провайдеров обычно слишком жирно выделять каждому пользователю свой статический ip, если не за деньги

IPv6 Privacy Extensions, чтобы не светить свой hw address

А это неважно, главное левая половина адреса постоянная. И например, под баном по IP будет подразумеваться /64, иначе бессмысленно

ИМХО, технически проще давать динамику, чем хранить где-то соответствие абонент <-> адрес, причем сразу для всех абонентов. А кто-то может платить за статику именно потому, что это статика, а не из-за того, что адрес белый.

Такие сообщения писать, всё равно что на вопросы типа: «А можно сделать так, чтобы... ?» отвечать: «Я разрешаю». Одобряю. :-D

Это если у него есть выделенный wan-порт, не?

Интересно будет посмотреть, как себя поведёт тот же checkpoint, без настроенной фильтрации трафика.

Там же еще придется гадать какой хост на какой записи ната сидит, не? И есть ли вообще запись...

не?

Не. Зачем?

Выше описали, как это работает:

Каким образом атакующий (имеющий белый ip) сможет отсканить мою сеточку?

Это сможет сделать атакующий, находящийся в том же белом сабнете, что и ты.

ip route add 172.16.0.0/16 gw 1.2.3.x # Your external IPv4 address

«NAT» как таковой, то бишь одно правило в цепочке POSTROUTING, которое я привёл выше, вообще никак не ограничивает установление соединений из WAN в LAN. Адреса из приватных областей IPv4 — такие же адреса, как и любые другие.

А, тьху, гейт же. Чего-то я сегодня туплю.