Представлен черновик IPv8

Личная камера видеонаблюдения не работает, если иностранный Интернет падает.

Ты перепутал личную камеру и иностранный зонд, замаскированный под личную камеру. Зонды надо выявлять и устранять, а уж покупать их точно не следует.

если твой внутренний бардак опасен, когда его «видно», значит, твоя сеть уже скомпрометирована
и нат - это ложная невидимость, любой сканер за 5 минут поймёт, что у тебя за натом сидит 20 машин на венде и 5 на лине
в то же время, в ipv6 вопросы приватности изначально продуманы, можешь использовать ula-адреса внутри и gua снаружи, рандомно менять их хоть каждый час

в корпоративной сети нат - это кошмар для отдела ИБ
когда твой сервер в интернете атакуют из твоего офиса, твой админ видит в логах только один ip роутера
чтобы найти реального гада, ему нужно перерыть гигабайты логов conntrack
без нат ты сразу видишь, какой хост «чудит»
ipv6 делает сеть прозрачной для своих и закрытой для чужих, а nat делает её мутной для всех

Твои сведения весьма устарели, сетей класса А почти не осталось.

с тобой я уже всё понял, твоим авторитетным мнением по данной теме не интересуюсь

и нат - это ложная невидимость, любой сканер за 5 минут поймёт, что у тебя за натом сидит 20 машин на венде и 5 на лине

Уверен? Ну давай, определи сколько и каких машин за firk.cantconnect.ru сидит.

Ок, допустим, nat скрывает, что 95% домашних пользователей сидят в сетях 192.168.0.0/24 или 192.168.1.0/24.

Вдруг провайдер выдал ipv6 и весь мир узнал… Что? Префикс? Какой? 48, 56, 64? Статику ли вообще дал провайдер или потом этот префикс сгинет или уйдёт кому другому?

Firewall то отключил по условию задачи?

Так зонды вместо камер именно из-за отсутствия адреса в Интернете у камер. Кому бы было нужно это облако, если бы можно было со смартфона напрямую к камере подключаться.

любой сканер за 5 минут поймёт, что у тебя за натом сидит 20 машин на венде и 5 на лине

Да правда что ли? Ну-ка расскажи мне, как. Максимум - это если провайдер будет дампить трафик, то сможет что-то понять. Может быть.

когда твой сервер в интернете атакуют из твоего офиса, твой админ видит в логах только один ip роутера чтобы найти реального гада, ему нужно перерыть гигабайты логов conntrack

А, так ты неосилятор... Так бы писал, что не умеешь netflow на роутере настроить, или зеркало хотябы на соседний хост с tcpdump/wireshark, если роутер совсем простой.

Вдруг провайдер выдал ipv6 и весь мир узнал… Что? Префикс? Какой? 48, 56, 64? Статику ли вообще дал провайдер или потом этот префикс сгинет или уйдёт кому другому?

А кому это важно? Роботы будут тыкаться, роботы будут перебирать. Когда-нибудь случайно кто-нибудь натыкает.

Кому бы было нужно это облако, если бы можно было со смартфона напрямую к камере подключаться.

Таких камер тоже достаточно. Только в путь в зомби сети залетают. И не угадаешь, кого покупать-то.

Зонды надо выявлять и устранять, а уж покупать их точно не следует

С чего ты решил, что тебя касается, чем и как пользуются другие люди?

PS IPv8 — китайский троян, в стандарте требующий авторизации всех соединений через JWT и DNS8, что просто исключает свободу и анонимность. Понравится школьникам с ТСПУ на локалхосте типа этого гаврика ☝️

nat скрывает, что 95% домашних пользователей сидят в сетях 192.168.0.0/24

На домашних пользователей всем наплевать так как их сети не представляют интереса. А вот сети крупных организаций, с территориально разнесенными подразделениями и с подключенным всяким промышленных оборудование - другое дело. Там есть в чем поковыряться.

Вдруг провайдер выдал ipv6 и весь мир узнал… Что

Сколько и чего есть в этой сети, а то и где оно расположено. Да, есть конечно те кому нечего скрывать, а я даже свою домашнюю сеть не хотел бы выставлять на всеобщее обозрение. Просто из соображений приватности.

Хорошо. Есть два компьютера, один дома, один на работе. Белых IP нет (провайдер не выдаёт).

Этот провайдер тебе точно так же приватный IPv6 выдаст. :-)

Этот провайдер тебе точно так же приватный IPv6 выдаст. :-)

Но зачем? v4 не выдаёт, так как внешних у него меньше, чем пользователей. А v6 зачем не выдавать?

А вот сети крупных организаций

Там всегда есть сетевой экран. Вне зависимости от протокола.

Да, есть конечно те кому нечего скрывать, а я даже свою домашнюю сеть не хотел бы выставлять на всеобщее обозрение.

ip6tables отлично решает эту задачу.

если твой внутренний бардак опасен, когда его «видно», значит, твоя сеть уже скомпрометирована

Сколько-нибудь крупная сеть без бардака - это редкость к сожалению. И таки да - бардак опасен. Так что пусть лучше его будет не видно снаружи.

любой сканер за 5 минут поймёт, что у тебя за натом сидит 20 машин на венде и 5 на лине

Даже количество машин и то не очень-то просто определить. А например то, что часть из них в головном офисе, а часть в других подразделениях, территориально разнесенных - вообще выяснить сложно. И сопоставить активность этих машин с их расположением не просто.

nat делает её мутной для всех

И всем это удобно. Потому что случаев когда куда-то внутрь нужен доступ снаружи - очень намного меньше, чем когда мутность внутреннего устройства сети идет на пользу. Раздавать глобально маршрутизируемые адреса всем подряд устройствам, даже если они им не нужны - это на мой взгляд весьма странное решение.

Добавлю еще один пример когда мутный nat удобен как раз именно в домашней сети. Это случай когда надо быстро переключиться к другому провайдеру. В случае nat (причем не важно IPv4 или IPv6) внутри сети не поменяется ничего. Если же внутри сети используются выдаваемые провайдером IPv6 адреса то поменяются адреса у всех устройств. Что сильно добавит неудобств, особенно учитывая что v6 адреса и так-то весьма неудобны для человека.

Но зачем? v4 не выдаёт, так как внешних у него меньше, чем пользователей.

Оно, конечно, может быть, но, как правило, юрикам-то по запросу выдают. Или правда уж совсем мало. Но странно тогда.

Добавлю еще один пример когда мутный nat удобен как раз именно в домашней сети. Это случай когда надо быстро переключиться к другому провайдеру.

Кстати да, как-то забыл про это. И даже больше: безо всяких переключений провайдеров может быть несколько, допустим хотя бы два, каждый выдал свой адрес, и совершенно незачем настройкам локалки как-то это учитывать. Пусть с внешними адресами разбирается роутер.

Там всегда есть сетевой экран. Вне зависимости от протокола.

Вот именно что он там есть. В ТОМ ЧИСЛЕ и для того чтобы скрывать внутреннюю структуру сети. И в связи с этим выглядит не логичной идея раздавать глобально маршрутизируемые IPv6 адреса каждому устройству в этой сети. Они ВСЁ РАВНО будут за экраном и снаружи доступны не будут (не должны быть).

Да, есть конечно те кому нечего скрывать, а я даже свою домашнюю сеть не хотел бы выставлять на всеобщее обозрение.

ip6tables отлично решает эту задачу.

Тот же вопрос - зачем раздавать всем устройствам в домашней сети глобально маршрутизируемые адреса если доступ снаружи предполагается в лучшем случае к какому-нибудь одному (серверу видеонаблюдения например или умного дома)? А если кабельный провайдер упал и надо сделать переключение на сотового оператора - то в случае ipv6 без nat все адреса в сети поменяются и очень не факт что это не приведет к многочисленным глюкам.

Специально подчеркну что я согласен с тем что nat это не замена настоящего файрвола. Это отдельное удобное средство организации своей локальной сети. Именно локальной, продолжающей работать даже при полном отсутствии интернета, а также с любым возможным вариантом подключения к оному. Не утверждаю что с ipv6 без nat такой локальности нельзя добиться. Но усилий потребуется очень намного больше чем в классическом варианте ipv4+nat.

Пусть с внешними адресами разбирается роутер.

Вот именно! Впрочем - в IPv6 вполне возможен NAT,аналогичный тому что используется для IPv4. Так что вопреки распространенному мнению применение IPv6 не противоречит и не исключает возможности применения NAT и создания истинно локальных сетей. На мой взгляд как-то странно выглядит отдавать провайдеру функцию назначения адресов в локальной сети. Особенно учитывая что какому-нибудь пылесосу, холодильнику, стиральной машине и тому подобным вещам вообще в принципе не нужно и даже вредно как быть доступными снаружи так и самим иметь беспрепятственный доступ в интернет. Так что «белые» глобально маршрутизируемые адреса для них - это однозначно зло.

NAT, как явление, вообще не прибит ни в каким пакетным протоколам. Откуда взялись бредни про его невозможность про ipv6 я не знаю.

А v6 зачем не выдавать?

Например потому что абсолютное большинство клиентов этого провайдера не смогут хорошо настроить файрвол и все их устройства окажутся голым задом в интернете. Как вариант - вон Мегафон выдает как бы белые IPv6 адреса но только доступ снаружи к ним нормально не работает. Ни ssh ни почтовик на таком адресе снаружи не доступны. Более того, одно подключенное к мегафону устройство не может обратиться к другому устройству, подключенному к нему же. Зачем такой IPv6 нужен - не слишком понятно. Наверно чтобы типа отчитаться о внедрении.

А потом через n лет тебе понадобится выдать им глобальные адреса и ты будешь думать, как это сделать с наименьшим ущербом.

Исторически NAT в IPv4 именно так и появился: владельцы мелких предприятий просто брали себе куски адресного пространства, никого не спрашивая. И все было хорошо до тех пор пока не требовалось подключить сеть к гастоящему Интернету.
И тогда кто-то придумал делать маршрутизаторы, которые заменяли адреса на лету. Т.е. сначала nat появился «в железе», а потом под него подогнали стандарты, зарезервировали не маршрутизируемые адреса и т.д.

зачем раздавать всем устройствам в домашней сети глобально маршрутизируемые адреса если доступ снаружи предполагается

Если бы мир только ограничивался с запросами от клиента к серверу за веб-страничкой. Во всех остальных случаях это набор чудовищных костылей и компромиссов из STUN, TURN, ALG / NAT helper / Stateful inspection и проблем на пересечениях их разных рализаций.

Любой, кто делал точка-точка приложения поверх Интернета, будет рад это NAT v4 хозяйство закопать и присыпать известью.

Все описанные выше проблемы с безопасностью без NAT выглядят надуманными, решаются граничным фаерволом. В реальной жизни они не воспроизводятся даже на OpenWRT с настройками по умолчанию.

А потом через n лет тебе понадобится выдать им глобальные адреса и ты будешь думать, как это сделать с наименьшим ущербом.

Компов, которым хотябы гипотетически могут потребоваться глобальные адреса - во многие десятки раз меньше чем всяких пылесосов, холодильников, стиральных машин, принтеров, умных лампочек и тому подобного что в принципе не должно иметь доступ ни снаружи ни наружу. А уж если какому-то компу потребуется глобальный адрес - так я ему его выдам руками из той подсетки которую выделил мне провайдер. Разница именно в этом - осознанное моё действие против некоей невнятной автоматической процедуры, за которой надо постоянно следить чтобы не навыдавала лишних адресов тем устройствам которым они вообще не нужны. Еще раз повторю, что очень мало есть случаев когда реально необходим глобальный адрес. Их тут уже все и перечислили, аж целых несколько штук. Намного важнее чтобы локальная сеть продолжала работать локально при отключении интернета или при переключении к другому провайдеру. Именно поэтому в ней должны быть стабильные жестко заданные локальные адреса.

Любой, кто делал точка-точка приложения поверх Интернета, будет рад это NAT v4 хозяйство закопать

А это потому что в случае v4 провайдеры типично вообще не выдают белых адресов. Совсем. В случае V6 белый адрес будет на клиентском роутере и может быть на тех устройствах куда юзер разрешил эти адреса присвоить ЕСЛИ ему требуется использовать на этих компах хоть какой-то p2p софт. Вот так это должно рабоать. А не белые адреса каждому пылесосу. Пылесос не должен зависеть от интернет-провайдера. И я при переключении к другому провайдеру не должен думать о том какой же теперь будет адрес у моего пылесоса.

Все описанные выше проблемы с безопасностью без NAT выглядят надуманными, решаются граничным фаерволом.

Еще раз повторяю, что NAT - это НЕ замена файрволу. Это отдельный инструмент удобной организации ЛОКАЛЬНОЙ инфраструктуры. Условный пылесос ДОЛЖЕН быть ЛОКАЛЬНЫМ и никак иначе. У него в принципе не должно быть глобально маршрутизируемого адреса потому что присвоение этого адреса зависит от провайдера. И дело тут не только и не столько в безопасности, сколько в сохранении работоспособности локальной сети при отсутствии подключения к интернету и/или экстренном переключении на другого провайдера. Пылесос всё равно должен оставаться доступным по жестко привязанному локальному адресу.

Откуда взялись бредни про его невозможность про ipv6 я не знаю.

От тех кто использует NAT как замену файрволу и единственное средство безопасности своей сети. Естественно это неправильно. Файрвол и NAT - это разные инструменты, решающие разные задачи. NAT нужен для создания ЛОКАЛЬНОЙ независимой от провайдеров инфраструктуры. Собственного адресного пространства.

Еще раз повторяю, что NAT - это НЕ замена файрволу

По-моему, вы мудрствуете без реальной проблемы.

Условный пылесос ДОЛЖЕН быть ЛОКАЛЬНЫМ и никак иначе

Обратите внимание на Unique Local Address.

вы мудрствуете без реальной проблемы.

Я кажется вполне внятно описал задачу, которую решает NAT - создание локального управляемого пространства адресов, которым распоряжаюсь я, а не провайдер. Почему-то во всяких других случаях потребность в локальных namespace никого не удивляет, а в случае IPv6 в этой потребности людям отказывают(ну, пытаются убедить в ненужности, технически-то оно возможно).

Обратите внимание на Unique Local Address.

Которые нередко формируются из MAC-адреса. (не уверен что всегда). А у китайских устройств одинаковые mac-адреса не такая уж невозможная редкость. А также при замене железа в компе MAC нередко меняется и соответственно этот адрес тоже. Не скажу чтобы всё это было чем-то фатальным, но это дополнительные неудобства. А есть еще устройства где в прошивке не отключить запрос глобального адреса. Стоит не уследить и какой-нибудь пылесос его таки получит. Такие вещи должны работать не сами по себе, а по явному разрешению пользователя.

Сколько и чего есть в этой сети

Из каких данных? Правда интересно.

роботы будут перебирать

Вы ведь в курсе, что количество адресов в 64 префиксе в несколько раз больше всех возможных ipv4 адресов?

Точнее даже не в несколько. А как просканировать ipv4 внутри ipv4.

Нередко по исходящему трафику можно определить устройство с которого он исходит. Особенно это относится к всякому embedded софту. И нет, не обязательно использовать это для взлома непосредственно этих устройств. Можно например собирать информацию в целях промышленного шпионажа (что, где, сколько, в какое время работает). Напомню, что всякая разведка, как военная так и коммерческая, большинство данных собирает из открытых источников. Не вижу причин способствовать умножению числа этих открытых источников, выставляя в глобальный интернет всё подряд.

Нередко по исходящему трафику можно определить устройство с которого он исходит

[локальный хост] – [маршрутизатор] – [фаервол] – … – [публичный хост]

Специфичный для системы фингерпринт L4-L7 ничем не будет отличаться между сценариями с NAT и прямой маршрутизацией; получение фингерпринта требует перехвата трафика с доступом к каналу или активного взаимодействия с хостом, которое должно быть явно разрешено фаерволом в обоих случаях.

Выше у вас написана праздная чушь. Все ваши воображаемые проблемы отсутствия NAT решаются граничным фаерволом.

Я конечно восхищен вашей самоуверенностью в решении проблем, возникающих у других людей, но всё же неплохо бы пояснить как вы без NAT собираетесь решить проблему личного приватного адресного пространства в ЛОКАЛЬНОЙ сети. Которая может иметь разные варианты подключения к интернету в разное время или даже в какое-то время не иметь таких подключений вообще. При этом она должна продолжать работать внутри себя независимо от выдаваемых провайдерами адресов. И нет, «локальная сеть» это совершенно не обязательно единственный сегмент ethernet с единственным коммутатором. Это может быть довольно сложная конструкция если например предприятие имеет несколько подразделений. Какие-то из них могут быть даже и туннелями подключены. И их адресация тоже не должна зависеть от того какие там у этих туннелей внешние адреса в данный момент случились. К тому же в случае например слияния/реорганизации предприятий могут обнаружиться пересечения адресных пространств и там тоже без трансляции адресов не обойтись ибо полная переделка сетей явно намного сложнее.

проблемы отсутствия NAT решаются граничным фаерволом.

Еще раз повторю - NAT это НЕ файрвол. Уж вроде сколько раз в куче мест объяснялось почему это так. NAT - он решает другие задачи. Наиболее очевидная из них - независимость и постоянство локального присвоения адресов от действий (или бездействий) провайдеров интернета.

Можно сравнить с ведомственными телефонными сетями. Там тоже используется локальная нумерация, а связь с телефонной сетью общего пользования обеспечивается посредством местной АТС, которая занимается и преобразованием номеров тоже. Причем ведомственные сети бывают весьма огромными - у РЖД например своя сеть по всей России.

Также замечу, что у хорошего файрвола по умолчанию запрещено всё что явно не разрешено. А вот типичный роутер с IPv6 по умолчанию позволяет устройствам нахватать себе глобальных адресов если это явно принудительно не запретить. Это совершенно неправильное поведение. Глобально маршрутизируемые адреса должны выдываться устройствам только по явному разрешению. И только тем, которым они действительно необходимы настолько что без них не обойтись.

количество адресов в 64 префиксе в несколько раз больше всех возможных ipv4 адресов

Зачем сканировать все, если можно начать с тех, с которых исходит хоть какая-то активность?

получение фингерпринта требует перехвата трафика с доступом к каналу

Безусловно. Но общепринято считать все нешифрованные внешние каналы потенциально прослушиваемыми.

Зачем сканировать все, если можно начать с тех, с которых исходит хоть какая-то активность?

Ну тут тоже, конечно, вопрос: активность по всем адресам только провайдер отследить может. С произвольной-то точки в Интернет только перебором.

FYI, в реализации SLAC в v6 есть механизмы рандомизации адресов для локальных сетей:

# IPv6 Privacy Extensions (RFC 4941)
# ---
# IPv6 typically uses a device's MAC address when choosing an IPv6 address
# to use in autoconfiguration. Privacy extensions allow using a randomly
# generated IPv6 address, which increases privacy.
#
# Acceptable values:
#    0 - don’t use privacy extensions.
#    1 - generate privacy addresses
#    2 - prefer privacy addresses and use them over the normal addresses.
net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

sysctl net.ipv6.conf.all.temp_prefered_lft в linux по умолчанию 1 день, sysctl net.ipv6.conf.all.temp_valid_lft — неделя.

Про мой один маршрутизируемый v4 адрес менты и маркетинг знают больше, чем про v6 скоп. Остальным удачи в сканировании.

В универах как сейчас с обучение IPv6?

Похоже, таки учат. https://www.youtube.com/@Lixiqing/videos

и/или экстренном переключении на другого провайдера

Насколько мне известно, такое решается, что у тебя хоть 20 ipv6 адресов могут быть одновременно навешаны на интерфейс.

через НАТ будут точно также проходить исходящие данные, просто привязаны они будут не к адресу а к порту нат-сервера :)

для примера это похоже на «филькину защиту» когда sshd вешают не на 22 на какойнить иной порт и считают что стало ваааще защищенно.

механизмы рандомизации адресов для локальных сетей

То есть предлагается в ЛОКАЛЬНОЙ сети получить адреса не только зависимые от провайдера к которому она в данный момент подключена, но еще и постоянно меняющиеся? Я бы не назвал такую ситуацию удобной для пользователя. Каждый раз прежде чем обратиться к какому-либо устройству в сети - сначала выяснять какой же у него сейчас адрес.

хоть 20 ipv6 адресов могут быть одновременно навешаны на интерфейс.

Вопрос же не в том, сколько их может быть навешано, а то, по какому адресу сегодня обращаться к устройству. Хотелось бы чтобы он не менялся при смене провайдера или даже вообще отключении от интернета. Именно для этого и нужен NAT - чтобы в локальной сети иметь своё собственное пространство адресов которым рулишь сам, а не провайдер.

через НАТ будут точно также проходить исходящие данные

Будут. Но в этом случае снаружи существенно сложнее определить сколько и каких устройств находятся за NAT. И уж тем более не определить внутреннюю структуру локальной сети за NAT. К примеру какое из генерирующих трафик устройств находится в главном офисе, а какие в территориальных подразделениях. И какие в какое время работают/не работают. Как я уже выше говорил - NAT это не защита самих устройств от взлома, это средство сокрытия структуры сети. Он дополняет, а не заменяет настройки правил файрвола.

когда sshd вешают не на 22 на какойнить иной порт

Чаще это делают не для защиты, а по причине не работоспособности входящих соединений на 22 порт. Как например у Мегафона с его якобы «белыми» IPv6 адресами. Там ни ssh ни веб-сервер ни почтовик на стандартных портах не работают. Впрочем - у меня не работало ни на каких, хотя один человек отписался что у него (в другом регионе) ssh работал на нестандартном порту.

Я уже вам советовал обратить внимание на Unique Local Address, но у вас совсем не получилось.

Давайте кратко:

В IPv6, который обсуждать приятнее, чем v8, есть немаршрутизируемый диапазон ULA. Назначаете у себя адреса из fc00::/7 с любой длиной префикса, котрый можете маршрутизировать или транслировать только явно — ничем не отличается от «серых» v4.

Для настройки v6 адресов на хостах доступны варианты для любых сценариев:

• статический — как угодно;
• stateless — адреса считаются узлом самостоятельно через SLAAC с анонсируемым маршрузизатором RA префиксами: ULA и глобальными;
• stateful — адреса выдаются сервером DHCP, можно фиксировать токен (суффикс адреса) через DUID или другие атрибуты хоста.

Нет никакой обязанности использовать какой-то из этих механизмов, они все заменимы и включаются явно, например: отключили RA c DHCP и настраиваете всё руками. Все эти адреса могут быть настроены независимо и использоваться одновременно. Вам стоит разобраться, а не транслировать домыслы.

Узлы внутри сети доступны по фиксированным адресам из ULA; для доступа к Интернету они могут использовать глобальные адреса любого происхождения или NAT из ULA.

NAT в v6 очень редко решает настоящие задачи и чаще парирует ошибки в архитектуре сети.

существенно сложнее определить сколько и каких устройств находятся за NAT

А в IPv6 без NAT это делается по щелчку пальцев?

К примеру какое из генерирующих трафик устройств находится в главном офисе

Можно у яндекса или фейсбука вычислить сколько, где, чего? Уже давно вычислили всё?

Везде читаю такие мнения: отследить, вычислить. Но почему то как это кто-то сделал на практике не попадалось. А вам?

FYI, в реализации SLAC в v6 есть механизмы рандомизации адресов для локальных сетей:

Ага-ага. А потом ищи принтер. Или ftp сервер на смартфоне (ага, хреновы параноики-рандомизаторы MAC на wifi).

для примера это похоже на «филькину защиту» когда sshd вешают не на 22 на какойнить иной порт и считают что стало ваааще защищенно.

Оно, конечно, не защита, но трафик экономит заметно. Как и нарузку, и объём логов. Хотя, конечно, fail2ban тоже помогает.

А потом ищи принтер. Или ftp сервер на смартфоне (ага, хреновы параноики-рандомизаторы MAC на wifi).

Прибил токен к хосту на dhcp или статикой — хост доступен для входящих с постоянным адресом, а исходящие наружу со случайным адресом SLAAC.

Учёные не такие дураки.