Takže stačí doplnit. Nebo si na to napsat skript. Případně webové klikátko: ipv6-literal.com
edit: jinak neznám sebevraha, který by bez ohledu na bezpečnostní problémy ipv6 tuto technologii nasazoval...
Ze s tim neumis pracovat neznamena, ze s tim neumi i ostatni...
můžu vědět, jak řešíš rogue dhcp server v síti?
Nestacilo by jen vypnout DHCP na hlavnim routeru a znovu se pripojit? Pokud by IP adresu dostal, rogue tam je, pokud ne, je to v cajku :)
to přece neřeší problém? Jedna věc je, když rogue DHCP zapojí nějaký utřinos z vlastní blbosti, a druhá věc je, když něco takového dělá útočník?!
Dost podobne jako u IPv4. RA guard a podobne techniky existuji docela dlouho.
techniky samozřejmě existují. Implementace v zařízeních vázne.
Ale v tom pripade to opet neni chyba protokolu, ale tve neznalosti moznych workaround reseni, pripadne v tom, jak kvalitni ci nekvalitni sitove prvky pouzivas.
V první řadě, workaroundy ani nezmiňuj, takové řešení si můžeš dovolit v malé síti o maximálně pár stovkách access portů, nebo tam, kde mají bezpečnost na háku. V druhé řadě, moje (ne)znalosti workaround řešení nic nemění na tom, že to je technologie z praktického hlediska nedospělá, a to jak pro použití v domácnosti, tak velkých firmách (a to z různých důvodů). V třetí řadě, důvody pro nasazení ipv6 ve firmách prakticky nejsou, respektive to nemá žádné ekonomické opodstatnění - už jen HW upgrade infrastruktury průměrně velké firmy s tisícem portů stojí miliony Kč, o změnách infrastruktury jako takové, tj. topologie, hraniční prvky atd. nemluvě. Stačí si uvědomit, že namísto relativně levného běžného access switche je potřeba vyšší model, který se blíží modelům, co se používají na core.
Z toho všeho plyne, že jsi buď teoretik, nebo člověk, co to jen zapojuje, a nemáš ani páru o tom, co tento nesmysl doopravdy stojí. Navíc ipv6 má "tlačit" další velký bezpečnostní průser, který se jmenuje IoT. Já se dobře pamatuju, jak jsem před 15 lety hackoval síťové tiskárny, a co se s tím dalo všechno dělat. Dneska jsou řadiče těchto a podobných zařízení násobně výkonnější, zvládají více věcí, mají větší paměť. A při uvažovaném množství těchto serepetiček a "kvalitě" vývoje (opět: jsem poblíž a tyhle procesy sleduju, takže vím, jak "kvalitně" píšou kód Číňani a Indové) je to doslova časovaná bomba.
Jojo, když dojdou argumenty, tak ad hominem je vždy nejlepší, což? Kdo chce, hledá způsoby, kdo nechce, hledá důvody.
hele, já to nebyl, kdo napsal, že "když s tím neumíš" (to jsi asi veledušně přehlédl). A tím bych to asi uzavřel, protože chytrolínů je na světě i tak dost.
edit: argumentů jsem IMHO napsal dost a dost. A jen tak mimochodem, "workaround" je sprosté slovo.
Uf, jaké bezpečnostní problémy?
Já ji mám nasazenou.
u tebe předpokládám, že máš kvalitní a funkční switche..
Nicméně osobně nevidím v ipv6 žádný přínos, jen rizika. Je to v podstatě další paralelní síť k ipv4, s úplně jinou filozofií zabezpečení a docela nepříjemnými vlastnostmi co se týká tunelování přes ipv4.
No, mám. I routry. A pochopitelně správně zafirewallované 4 i 6.
Že jsou to dvě paralelní sítě a je třeba hlídat provoz na každé zvlášť je bohužel pravda. Na druhou stranu, u spousty zákaznických projektů si říkám, už aby IPv4 nebyla. NAT a interní/externí DNS atd. mě vytáčí čím dál víc.
Nejsem z toho moudrý. Potřebuji na routeru zakázat přístup na server youtube.com. Ping na mě vyhodí tuto zkrácenou adresu: 2a00:1450:4014:801::200e: což není validní formát. Takže ty nuly chybí kde? Na začátku, uprostřed a na konci nebo kde? A router mi zkrácený formát pochopitelně nebere.
Jestli mu spíš nevadí ta dvojtečka na konci. Nebo za ní ještě něco následuje a ty jsi to nezkopíroval?
Vycházím z pingu a ten mi dá:
Pinging youtube-ui.l.google.com [2a00:1450:4014:801::200e] with 32 bytes of data: Reply from 2a00:1450:4014:801::200e: time=52ms Reply from 2a00:1450:4014:801::200e: time=54ms Reply from 2a00:1450:4014:801::200e: time=53ms Reply from 2a00:1450:4014:801::200e: time=49ms
Ping statistics for 2a00:1450:4014:801::200e: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 49ms, Maximum = 54ms, Average = 52ms
LOL.
dvojtečka na konci je srandózní.
Opravdu se domníváš, že zakázání jedné konkrétní IP z poolu YT clusteru to bude fungovat? Takové blokování se řeší na úrovni DNS...
Díky za nakopnutí. Vadila mu ta dvojtečka na konci.
zkrácený formát vypouští úvodní nuly v grupě:
https://en.wikipedia.org/wiki/IPv6_address#Present ation
Takže stačí doplnit. Nebo si na to napsat skript.
Případně webové klikátko: ipv6-literal.com
edit: jinak neznám sebevraha, který by bez ohledu na bezpečnostní problémy ipv6 tuto technologii nasazoval...
Ze s tim neumis pracovat neznamena, ze s tim neumi i ostatni...
můžu vědět, jak řešíš rogue dhcp server v síti?
Nestacilo by jen vypnout DHCP na hlavnim routeru a znovu se pripojit? Pokud by IP adresu dostal, rogue tam je, pokud ne, je to v cajku :)
to přece neřeší problém? Jedna věc je, když rogue DHCP zapojí nějaký utřinos z vlastní blbosti, a druhá věc je, když něco takového dělá útočník?!
Dost podobne jako u IPv4. RA guard a podobne techniky existuji docela dlouho.
techniky samozřejmě existují. Implementace v zařízeních vázne.
Ale v tom pripade to opet neni chyba protokolu, ale tve neznalosti moznych workaround reseni, pripadne v tom, jak kvalitni ci nekvalitni sitove prvky pouzivas.
V první řadě, workaroundy ani nezmiňuj, takové řešení si můžeš dovolit v malé síti o maximálně pár stovkách access portů, nebo tam, kde mají bezpečnost na háku.
V druhé řadě, moje (ne)znalosti workaround řešení nic nemění na tom, že to je technologie z praktického hlediska nedospělá, a to jak pro použití v domácnosti, tak velkých firmách (a to z různých důvodů).
V třetí řadě, důvody pro nasazení ipv6 ve firmách prakticky nejsou, respektive to nemá žádné ekonomické opodstatnění - už jen HW upgrade infrastruktury průměrně velké firmy s tisícem portů stojí miliony Kč, o změnách infrastruktury jako takové, tj. topologie, hraniční prvky atd. nemluvě. Stačí si uvědomit, že namísto relativně levného běžného access switche je potřeba vyšší model, který se blíží modelům, co se používají na core.
Z toho všeho plyne, že jsi buď teoretik, nebo člověk, co to jen zapojuje, a nemáš ani páru o tom, co tento nesmysl doopravdy stojí. Navíc ipv6 má "tlačit" další velký bezpečnostní průser, který se jmenuje IoT. Já se dobře pamatuju, jak jsem před 15 lety hackoval síťové tiskárny, a co se s tím dalo všechno dělat. Dneska jsou řadiče těchto a podobných zařízení násobně výkonnější, zvládají více věcí, mají větší paměť. A při uvažovaném množství těchto serepetiček a "kvalitě" vývoje (opět: jsem poblíž a tyhle procesy sleduju, takže vím, jak "kvalitně" píšou kód Číňani a Indové) je to doslova časovaná bomba.
Jojo, když dojdou argumenty, tak ad hominem je vždy nejlepší, což? Kdo chce, hledá způsoby, kdo nechce, hledá důvody.
hele, já to nebyl, kdo napsal, že "když s tím neumíš" (to jsi asi veledušně přehlédl). A tím bych to asi uzavřel, protože chytrolínů je na světě i tak dost.
edit: argumentů jsem IMHO napsal dost a dost. A jen tak mimochodem, "workaround" je sprosté slovo.
Uf, jaké bezpečnostní problémy?
Já ji mám nasazenou.
u tebe předpokládám, že máš kvalitní a funkční switche..
Nicméně osobně nevidím v ipv6 žádný přínos, jen rizika. Je to v podstatě další paralelní síť k ipv4, s úplně jinou filozofií zabezpečení a docela nepříjemnými vlastnostmi co se týká tunelování přes ipv4.
No, mám. I routry. A pochopitelně správně zafirewallované 4 i 6.
Že jsou to dvě paralelní sítě a je třeba hlídat provoz na každé zvlášť je bohužel pravda. Na druhou stranu, u spousty zákaznických projektů si říkám, už aby IPv4 nebyla. NAT a interní/externí DNS atd. mě vytáčí čím dál víc.
Nejsem z toho moudrý. Potřebuji na routeru zakázat přístup na server youtube.com. Ping na mě vyhodí tuto zkrácenou adresu: 2a00:1450:4014:801::200e: což není validní formát. Takže ty nuly chybí kde? Na začátku, uprostřed a na konci nebo kde? A router mi zkrácený formát pochopitelně nebere.
Jestli mu spíš nevadí ta dvojtečka na konci. Nebo za ní ještě něco následuje a ty jsi to nezkopíroval?
Vycházím z pingu a ten mi dá:
Pinging youtube-ui.l.google.com [2a00:1450:4014:801::200e] with 32 bytes of data:
Reply from 2a00:1450:4014:801::200e: time=52ms
Reply from 2a00:1450:4014:801::200e: time=54ms
Reply from 2a00:1450:4014:801::200e: time=53ms
Reply from 2a00:1450:4014:801::200e: time=49ms
Ping statistics for 2a00:1450:4014:801::200e:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 49ms, Maximum = 54ms, Average = 52ms
LOL.
dvojtečka na konci je srandózní.
Opravdu se domníváš, že zakázání jedné konkrétní IP z poolu YT clusteru to bude fungovat? Takové blokování se řeší na úrovni DNS...
Díky za nakopnutí. Vadila mu ta dvojtečka na konci.