Jump to content

Recommended Posts

Hmm, to asi není možné za normálních okolností nikde ne? Modem u DS-Lite i Full DS nabízí obojí a co se využije si řídí koncové zařízení. A ano, android neumí v defaultu IPv6 na WiFi deaktivovat. Některé ROM to umí, jinak root a úprava konfigurace. 

  • Agree 1
  • Super
  • Premium 5G
  • 18+
  • Vodafone Station WiFi 6
  • Brüx
Citovat

každé zařízení sedí přímo na veřejné IP adrese. To může být bezpečnostní riziko.

Jelikoz je na Station stavovy firewall, ktery do site nepropusti zadny pokus o spojeni zvenku, tak to zadne bezpecnostni riziko neni. Chova se to stejne jako sit s privatnimi adresami za NATem. Jediny rozdil jsou ty adresy, ktere na druhe strane (na serveru) vidite cele - ale jelikoz je pro domaci sit vyhrazeno 2^64 kombinaci a tahle cast IPv6 adresy se meni, tak to ani nespojite s konkretnim uzivatelem.

Nevypinejte IPv6. Usetrite si zbytecne problemy v budoucnu.

  • Agree 6
  • Haha 1
  • -
  • -
  • -
  • Compal, 3xCA modul
  • Praha
1 hour ago, Ivo2003 said:

U IPv6 je ta adresa moc dlouhá - je to nezapamatovatelné a navíc pak  každé zařízení sedí přímo na veřejné IP adrese. To může být bezpečnostní riziko.

K čemu si pamatovat IP adresy, když existuje DNS (většina zařízení, které poskytují nějaké služby, bude stejně automaticky používat mDNS a doménu .local - dokonce i na Windows je velmi pomalý odklon od NetBios k mDNS - takže pravděpodobně ani člověk nemusí v defaultním nastavení nic nastavovat, aby to fungovalo).

Quote

To může být bezpečnostní riziko.

To bezpečnostní riziko je úplně stejné jako u IPv4 - lidé úplně zapomínají, že existují techniky jako různé formy NAT Hole Punching, které dovolí se připojit z venku k PC za NAT.

A ten IPv6 stavový firewall v defaultním nastavením pustí úplně ty stejné spojení k PC jako na IPv4 přes NAT hole punching 🙂 Vlastně ta technika je úplně stejná na IPv4 a IPv6.
 

  • Agree 4
  • Premium
  • -
  • -
  • -
  • -
před 1 hodinou, zajdee napsal:

, ktere na druhe strane (na serveru) vidite cele - ale jelikoz je pro domaci sit vyhrazeno 2^64 kombinaci a tahle cast IPv6 adresy se meni, tak to ani nespojite s konkretnim uzivatelem.

 

 

Jak často se ten konec IP mění? U Androidu jsem vysledoval, že se mění po restartu mobilu. Jinak ne a drží třeba týden.

 

před 36 minutami, r2d2 napsal:

K čemu si pamatovat IP adresy, když existuje DNS (většina zařízení, které poskytují nějaké služby, bude stejně automaticky používat mDNS a doménu .local - dokonce i na

...

A ten IPv6 stavový firewall v defaultním nastavením pustí úplně ty stejné spojení k PC jako na IPv4 přes NAT hole punching 🙂 Vlastně ta technika je úplně stejná na IPv4 a IPv6.
 

Když mi příjde e-mail z nějaké služby o novém přihlášení, tak pokud tam je ipv4 tak snadno poznám, že to jsem byl já. U ipv6 je ten dlouhý řetězec náročnější k identifikaci, navíc konec se mění.
Kdyby se někdo prostřílel NATem, tak nezná lokální ipv4 daného stroje v případě ipv4 only. Takhle  u ipv6 zná kompletní veřejnou ipv6, takže se stačí prostřílet stavovým firewallem. Navíc ten firewall na modemu je asi jen nějaká "služba" která může kdykoliv nepozorovaně spadnout a přestat "firewallovat".
Ale jsem laik, takže to nemusí být moc přesné.

Edited by Ivo2003
  • Like it 1
  • Start
  • -
  • Základní
  • Compal CH7465
  • Opava

@Ivo2003

Quote

Jak často se ten konec IP mění? U Androidu jsem vysledoval, že se mění po restartu mobilu. Jinak ne a drží třeba týden.

Běžná hodnota je kolem 24 hodin. V praxi se to dá ale nastavit.
 

Quote

Když mi příjde e-mail z nějaké služby o novém přihlášení, tak pokud tam je ipv4 tak snadno poznám, že to jsem byl já. U ipv6 je ten dlouhý řetězec náročnější k identifikaci, navíc konec se mění.

Konec nikoho netrápí, zajímá Vás když už, tak jen přidělený prefix (ideálně /48 - ale bohužel skoro každý implementace nefiremní přípojky je v tomhle ohledu vadná a přidělují se mnohem menší prefixy). Ale stejně já osobně v takovém případě sleduji spíše co mi poslali za lokalitu / prohlížeč a jiné věci, IP adresu si nepamatuji ani u IPv4 🙂 

 

Quote

Kdyby se někdo prostřílel NATem, tak nezná lokální ipv4 daného stroje v případě ipv4 only. Takhle  u ipv6 zná kompletní veřejnou ipv6, takže se stačí prostřílet stavovým firewallem. Navíc ten firewall na modemu je asi jen nějaká "služba" která může kdykoliv nepozorovaně spadnout a přestat "firewallovat".

Když se někdo prostřílí NATem, tak zjistit IP adresy všech strojů na síti je triviální. A pokud se prostřílí někdo stavovým firewallem, tak se dostane i u IPv4, protože ten NAT se pak chová jako router (i na ty neveřejné IP adresy).

NAT = router + stavový firewall + přepis adres
IPv6 = router  + stavový firewall

Z pohledu síťové bezpečnosti jsou to zcela srovnatelné vektory, v obou případech Vás chrání jen a pouze ten stavový firewall.

  • Like it 1
  • Thanks 1
  • Premium
  • -
  • -
  • -
  • -

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...