Nevyhody NATu
Dan Lukes
dan at obluda.cz
Tue Aug 6 13:08:14 CEST 2002
Martin Horcicka wrote:
>>Jelikoz to do teto konference uz zas tak nepatri, nebudu prilis
>>polemizovat nad tim, ze s rozumne nastavenym firewallem neni ani pocet
>>pocitacu ani adresni prostor uplne verejne dostupnou informaci -
>>pocitac, se kterym nekomunikuji a komunikovat nehodlam by nemel byt
>>schopen nic z toho zjistit.
>
> Jiste, pokud dotycny neni schopen odposlouchavat tvou linku, ale to uz se
> mozna opravdu trochu vzdaluji od bezne reality. :-)
Jenze proti takovemu ti ani preklad nepomuze, protoze pri jen trose snahy
se probihajici komunikace da ztotoznit s jednotlivymi pocitaci (a casto
dokonce s jednotlivymi lidmi) podle analyzy obsahu protekajicich dat.
NAT proste NENI prostredkem pro zabezpeceni siti, ackoliv v urcitych
situacich tak lze pouzit - a tedy by nikoho nemelo prekvapit, ze pri se
v tomto ohledu na nej nebere prilisny ohled ani se nebude zachovavat
"zpetna kompatibilita" pri vyvoji jinych protokolu, prechodu na jine
adresovani a tak podobne - a NAT proste nadale k tem ucelum, pro ktere
byl (zne-)uzivan pouzit proste nepujde (a jelikoz ty duvody, pro ktere
skutecne vznikl zaniknou, je mozne, ze se preklad jako technologie pro
cokoliv proste opusti.
Proti utocnikovi, ktery ma pristup k odposlechu linky pomaha jen
sifrovani - a nebo realisticke nahlednuti, ze protekajici komunikace je
skutecne citliva jen velmi miziva cast (a ta se take skutecne obvykle
sifruje, casto na aplikacni urovni) a ten zbytek (tvorici ovsem objemove
podstatne vetsi cast) - ten at si, s panem bohem, odposlouchava kdo chce ...
Nicmene, to jsme opravdu hodne odbocili, takze ja (tentokrat skutecne) v
konferenci s timto tematem koncim (coz nevylucuje pokracovani debaty
mimo konferenci).
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list