IPv6 никак не поковырять?

Если бы ты осилил дочитать дальше заголовка, ты бы увидел проблемы, например, с добавлением MAC-адресов в глобальный адрес.

Если бы ты осилил дочитать про «privacy extension», то знал бы, что это уже не проблема. :)

К потере сети вообще ?

Это лучше, чем дать доступ в локальную сеть. И, что немаловажно, сразу заметно. В отличие от.

Какие у НАТа преимущества перед IPv6 + Firewall?

При отключённом NAT ничего не будет работать. При отключённом файрволле никто ничего не заметит до факапа, а то и после него. Поэтому с т.з. безопасности NAT надёжнее чем просто файрволл, по аналогии с белым и чёрным списком.

UPnP висит вывернутый наружу у половины роутеров, драйвбаями меняются настройки админки роутеров и это уже не говоря о комплектных бэкдорах, которые так не любит затыкать линксис

Далеко не у всех роутеры линксис и даже длинк, здесь нужен индивидуальный подход. С отключённым фаерволом же можно будет автоматически косить целые сети вместе со всеми их устройствами пачками, и тогда вполне возможно что времена, когда можно было перезагрузить машину пингом, покажутся раем.

Это лучше, чем дать доступ в локальную сеть.

Что за бред? С чего это вдруг стало лучше? а) То что у тебя включен НАТ ещё не значит что устройства за ним не видны, при кривом UPnP злоумышленник может легко «простучаться» внутрь и видеть всю твою сетку. б) если у тебя действительно ситуация когда «без файерволла сети не должно быть, точка, то это решается совсем другими методами, вплоть до хардварного ФВ.

Если у тебя есть устройства которые не должны роутиться во внешнюю сеть - дай им link-local address и всё.

Ну и не выключай файерволл что-ли. А то так можно ещё и пластидом роутер обмотать чтобы подрывать если что не так.

а) То что у тебя включен НАТ ещё не значит что устройства за ним не видны

Но это значит, что угадать, что там видно, достаточно сложно.

при кривом UPnP

А кто его использует в нормальной сети ? :-)

При отключённом NAT ничего не будет работать. При отключённом файрволле никто ничего не заметит до факапа, а то и после него. Поэтому с т.з. безопасности NAT надёжнее чем просто файрволл, по аналогии с белым и чёрным списком.

NAT - не метод обеспечения безопасности, я уже сказал. С тем же успехом в NAT будет висеть UPnP наружу и все будут думать что они в безопасности.

Далеко не у всех роутеры линксис и даже длинк, здесь нужен индивидуальный подход. С отключённым фаерволом же можно будет автоматически косить целые сети вместе со всеми их устройствами пачками, и тогда вполне возможно что времена, когда можно было перезагрузить машину пингом, покажутся раем.

Что изменилось с тех диких времён? А, да, в винде теперь по умолчанию идёт файерволл чтобы как раз не допустить таких факапов. «можно будет автоматически косить целые сети вместе со всеми их устройствами пачками» - как же интернет ещё работает-то, где так много машин не сидит за NATом?

Но это значит, что угадать, что там видно, достаточно сложно.

а) там никто не угадывает, там сканируют б) в IPv6 тоже, внезапно, надо или угадывать или сканировать, ND работает только на link-local

А кто его использует в нормальной сети ? :-)

Тот же кто в нормальной сети «случайно» выключает файерволл.

NAT - не метод обеспечения безопасности

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

А, да, в винде теперь по умолчанию идёт файерволл чтобы как раз не допустить таких факапов.

А во многих мобильнопланшетных устройствах он не идёт либо настроен некорректно.

как же интернет ещё работает-то, где так много машин не сидит за NATом?

А с чего ты взял что они не сидят за NAT? Сейчас у каждого второго хомяка кабель из интернетов воткнут в вайфай роутер.

Тот же кто в нормальной сети «случайно» выключает файерволл.

Если что-то включено, оно может быть выключено. А если чего-то просто нет, оно не появится. :-)

Если что-то включено, оно может быть выключено. А если чего-то просто нет, оно не появится. :-)

Когда обсуждение уходит в сферу кривых рук, то может быть возможно что угодно. З.Ы. ничто не мешает ставить ФВ который будет отрубать сетку при своём выключении. И выключить ФВ ничуть не проще, чем врубить UPnP для «мне надо срочно-пыщь-пыщь-пыщь, начальник сейчас тебе будет свечку вкручивать».

А, да, в винде теперь по умолчанию идёт файерволл

Ага. И верх безопасности - это icmp echo отключить. Рукожопые обезьяны...

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

Да можно что угодно использовать для чего угодно. Тут разговор о том, что этот метод тянет за собой кривость и костыли.

А во многих мобильнопланшетных устройствах он не идёт либо настроен некорректно.

На них как правило и сервисов не висит, которые можно проэксплуатировать.

А с чего ты взял что они не сидят за NAT? Сейчас у каждого второго хомяка кабель из интернетов воткнут в вайфай роутер.

А у каждого первого - прямо в комп и мобильник ещё подрублен прямо в сеть интернет через мобильного провайдера.

А с чего ты взял что они не сидят за NAT? Сейчас у каждого второго хомяка кабель из интернетов воткнут в вайфай роутер.

При этом что на роутере сидит бот через бэкдор или админку с дефолтным паролем наружу, что у хомяка на компе через drive-by. Но самое главное что за NAT - так безопаснее.

Ага. И верх безопасности - это icmp echo отключить. Рукожопые обезьяны...

Ну, это уже совсем другая песня. В принципе, если машину можно поиметь просто зная её IPшник это значит что что-то совсем не так в консерватории и это надо исправлять, а не сидеть в лыбой «а я за НАТом», а потом размазывать сопли и заикаясь спрашивать «как так деньги со счёта увели?».

При этом что на роутере сидит бот через бэкдор или админку с дефолтным паролем наружу, что у хомяка на компе через drive-by. Но самое главное что за NAT - так безопаснее.

Админка во всех более-менее адекватных роутерах по умолчанию не висит на WAN, поэтому чтобы её поиметь, нужно таки прорваться через NAT.

На них как правило и сервисов не висит, которые можно проэксплуатировать.

Не факт. Просто сейчас такой тренд что мобилки, особенно на ведроиде из-за массовости, выгоднее взламывать с помощью таджикских вирусов через мозг пользователя чем удалённо из сети.

А у каждого первого - прямо в комп и мобильник ещё подрублен прямо в сеть интернет через мобильного провайдера.

Вот, кстати, навскидку даже не скажу у кого из моих знакомых нет роутера, все используют несколько устройств для интернетов. У мобильников же обычно все служебные порты закрыты, поэтому там и IPv6 особо не попользуешься.

во всех более-менее адекватных роутерах по умолчанию не висит на WAN

Что не мешает там оставлять бэкдоры от производителя вывешенные на всех интерфейсах. *смотрит на Линксис* Да и по поводу вывешенных на внешний интерфейс админок было много возмущений на всяких домашних коробках.

Просто сейчас такой тренд что мобилки, особенно на ведроиде из-за массовости, выгоднее взламывать с помощью таджикских вирусов через мозг пользователя чем удалённо из сети.

У мобилок не висит ничего наружу куда стучишься. Кроме какого-нибудь листенера пуш-мессаджей.

Вот, кстати, навскидку даже не скажу у кого из моих знакомых нет роутера, все используют несколько устройств для интернетов.

Я про то что есть куча девайсов которые имеют нормальные адреса и тем не менее это не мешает им жить. Собственно это основа и залог нормальной работы интернета. Ты же пытаешься изобразить «у машины есть IP доступный из интернета == машину поимеют».

У мобильников же обычно все служебные порты закрыты, поэтому там и IPv6 особо не попользуешься.

И чем же это мешает пользоваться IPv6? Мобильник точно так же может открыть порт и начать слушать, допустим, SIP поток от другого такого же мобильника и потом закрыть его как только закончит или сможет прокинуть файло напрямую или сможет соединиться со стоящим дома серваком с IPv6.

Ты же пытаешься изобразить «у машины есть IP доступный из интернета == машину поимеют».

Не обязательно, но если у машины нет доступного из интернета IP — вероятность что машину поимеют сильно меньше чем с доступным IP.

или сможет соединиться со стоящим дома серваком с IPv6.

Если у этого сервака есть белый IPv4, то наличие IPv6 или белого IPv4 у клиента совсем не обязательно.

Что не мешает там оставлять бэкдоры от производителя вывешенные на всех интерфейсах. *смотрит на Линксис*

Не покупай линксис, всего делов-то.

Да и по поводу вывешенных на внешний интерфейс админок было много возмущений на всяких домашних коробках.

Мне такие пока не попадались. Возможно это была инициатива какого-то провайдера, раздающего эти коробки нахаляву.

Ну, это уже совсем другая песня. В принципе, если машину можно поиметь просто зная её IPшник это значит что что-то совсем не так в консерватории и это надо исправлять

Ну так поисправляли где-то ближе к концу 90-х. Забавно что оно поражало не только винды, но и эти ваши линуксы с маками, просто все запомнили винду как наиболее массовый объект для атак.

а не сидеть в лыбой «а я за НАТом», а потом размазывать сопли и заикаясь спрашивать «как так деньги со счёта увели?»

Очевидно что NAT защищает лишь от внешних атак, а не от уязвимостей прокладки между монитором и креслом, запускающей всё подряд. Но ведь от них и фаервол не поможет, верно?

А у каждого первого - прямо в комп и мобильник ещё подрублен прямо в сеть интернет через мобильного провайдера

Кстати, ты забыл ещё про сетевые принтера, телевизоры, кофеварки и прочий интернет дырявых вещей, который сейчас вынесен за NAT.

Оставлю это здесь

http://habrahabr.ru/post/134638/

http://samy.pl/natpin/

Очевидно что NAT защищает лишь от внешних атак, а не от уязвимостей прокладки между монитором и креслом, запускающей всё подряд. Но ведь от них и фаервол не поможет, верно?

NAT не защищает ни от чего, для защиты есть файервол, хватит полагаться до «побочные эффекты» продукта, которые ещё и ведут себя непредсказуемо и варьируются от вендора к вендору. NAT не файерволл и оправдывать его существование тем что его побочные эффекты чем-то схожи (иногда) с файерволлом - глупо. Нужен файервол - надо ставить файервол и не сношать мозг ломая к чертям адресацию.

Не покупай линксис, всего делов-то.

Вопрос не во мне. Вопрос в том что этих линксисов и длинков - как навоза у каждого второго.

Мне такие пока не попадались. Возможно это была инициатива какого-то провайдера, раздающего эти коробки нахаляву.

И тем не менее они есть и на них успешно пилят ботнеты.

не только винды, но и эти ваши линуксы с маками, просто все запомнили винду как наиболее массовый объект для атак.

Подозреваю что если были бы подверженны серваки, то все бы это запомнили. Но складывались именно вендомашины.

Кстати, ты забыл ещё про сетевые принтера, телевизоры, кофеварки и прочий интернет дырявых вещей, который сейчас вынесен за NAT.

Которые точно так же можно достать через NAT, дырок в нём достаточно. Проблему решит только а) нормальная обновляемая ось с исправлениями безопасности б) нормально настроенный файерволл. Сейчас «интернет вещей» спасает только то, что им пользуется полтора гика. Как станет массово, то будут нагибать и сквозь НАТ в том числе.

Подозреваю что если были бы подверженны серваки, то все бы это запомнили. Но складывались именно вендомашины.

Да, если бы тогда были подвержены серваки, то это запомнили. Но так как тогда линукс был игрушкой полторы красноглазиков, в то время как на серваках господствовали всякие Netware, этого не случилось. Там же есть ссылка на insecure.org, где можно ознакомиться со всеми уязвимыми системами и их версиями.

NAT не защищает ни от чего, для защиты есть файервол, хватит полагаться до «побочные эффекты» продукта, которые ещё и ведут себя непредсказуемо и варьируются от вендора к вендору.

Как будто у фаерволов нет побочных эффектов, которые ведут себя непредсказуемо и варьируются от реализации к реализации.

Вопрос не во мне. Вопрос в том что этих линксисов и длинков - как навоза у каждого второго.

Мои собственные наблюдения показывают что у большинства тп-линк. Хотя они, конечно, могут не совпадать с твоими.

И тем не менее они есть и на них успешно пилят ботнеты.

Бесплатный сыр в мышеловке. Фишка в том что дырявый роутер можно в любой момент один раз перепрошить на более новую официальную или стороннюю прошивку или поменять на другой. В случае же с кучей дырявых говноустройств с белыми адресами нужно следить за каждым устройством, всё время обновлять прошивку на каждом и молиться на каждого вендора дабы чего не вышло.

Проблему решит только а) нормальная обновляемая ось с исправлениями безопасности

Ага, в теории. По факту мы уже имеем кучу дырявых ведроидов с версиями старше говна мамонта, на которые вендор давно забил.

Сейчас «интернет вещей» спасает только то, что им пользуется полтора гика

Сетевые принтера, например, в конторах довольно распространены.

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

То, что гланды можно удалять, не означает что их нельзя попробовать удалить через жопу

Аналогия примерно такая же.

Оставлю это здесь

Слишком много звёзд на небе должно совпасть для успешности такой атаки. Кроме того, не все фаерволы адекватно реагируют на подмену адреса источника, поэтому они также могут быть подвержены такой атаке. Разумеется, фаервол нужен, но это лишь одна из ступеней безопасности, как и NAT.

http://samy.pl/natpin/

Connection to XXX.XXX.XXX.XXX:21 - fail
Error #110 (Connection timed out)

:(

То, что он изначально создавался не ради безопасности ещё не значит что его нельзя для этого использовать.

То, что он изначально создавался не ради безопасности, вовсе не означает, что от него будет хоть какой-то плюс в этой самой безопасности.

То, что гланды можно удалять, не означает что их нельзя попробовать удалить через жопу
Аналогия примерно такая же.

Если уж пошли аналогии, то Intel вообще изначально создавала процессоры для управления светофорами, но это же не значит что теперь нужно выбрасывать ПК на свалку.

Ага, в теории. По факту мы уже имеем кучу дырявых ведроидов с версиями старше говна мамонта, на которые вендор давно забил.

Что, опять же, не мешает совершенно их иметь внутри сети если администратор не настроил нормальный роутинг и так же не мешает администратору врубить stateful firewall по умолчанию для всех девайсов включить и отключать в личном кабинете.

Сетевые принтера, например, в конторах довольно распространены.

И к ним точно так же цеплялись. Вопрос не в IPv4/IPv6 а в настройках сети пряморуким админов. Тебе уже выше целую кучу примеров накидали как обходится NAT. Причём как цисках, так и на домашних фекалороутерах. Ну не средство это обеспечение безопасности. От слова вообще.

В сухом остатке - NAT ломает к чертям нормальную архитектуру point-to-point в сети интернет ради экономии адресов и иногда, при удачном стечении обстоятельств может* выполнять функции stateful firewall, но при этом не выполняет их чаще чем выполняет.

Если уж пошли аналогии, то Intel вообще изначально создавала процессоры для управления светофорами, но это же не значит что теперь нужно выбрасывать ПК на свалку.

а) Твоя аналогия вообще не к селу ни к городу, потому что сейчас Intel выпускает именно процессоры общего назначения, а NAT как не имел безопасности в своих целях, так и не имеет.

б) Ну сколько можно мусолить мочалку? NAT - не секрьюрити. Точка. То что некоторые _имплементации NAT'а_ по случайному стечению обстоятельств могут выполнять функции statefull firewall'а (а могут не выполнять) - это именно что хреновый бонус, на который нельзя полагаться.

Разумеется, фаервол нужен, но это лишь одна из ступеней безопасности, как и NAT.

NAT безопасности не добавляет. По такой логике - поставь 2 файерволла, будет ещё надёжнее.