Nevyhody NATu

Vladimir Kotal vladimir.kotal at xs26.net
Tue Aug 6 23:20:15 CEST 2002


On Fri, Aug 02, 2002 at 10:18:30AM +0200, Jiri Rosenmayer wrote:
> On Mon, Jul 29, 2002 at 10:54:52AM +0200, Martin Salac wrote:
> > Ahoj.
> > 
> > Asi uz to tu bezelo, ale byl by nekdo od te dobroty a napsal
> > hlavni nevyhody prekladu adres proti fixnim IP. Takovy maly souhrn.
> 
> Kdyz jsme u tech servisu, tak IPSec Vam pres to taky neproleze. 
> 
> Nevyhodou NATu jsou omezeni sluzeb typu peer2peer, zato ma vyhodu 
> v bezpecnosti, kdy celou sit schovate za nejakej stroj a zvenku se 
> dobouchate pouze na ten router, do site se proste neproroutujete.
> Samotnyho by me zajimalo, jak se s timhle v budoucnu vyporada svet IPv6. 

V IPv6 mate moznost pouzivat adresy lokalni pro danou 'site' (at uz je tim
pojmem mysleno cokoliv). Nemyslim link-local adresy (default, napr. 
fe80::202:b3ff:fe95:c52e%fxp0), ale site-local adresy, ktere je mozne
routovat pouze v ramci dane 'site' a je zakazano propagovat je ven.

> 
> Na jednu stranu bude tolik IP adres, ze NAT nebude potreba. Na druhou stranu
> se urcite najde nekdo kdo bude NAT chtit pouzivat kvuli bezpecnosti. Budou
> ty sluzby naprogramovany dobre, ze se vyporadaji s NATem, nebo budou udelany
> blbe a zase budem v ...... ?? Za podobny pripad povazuju IP options, ktere
> v dnesni dobe dropuje kazdy kdo ma rozum, v IPv6 se ale o takrka stejnou
> vlastnost opira Mobile IP

Co tim presne myslite ? Nelibi se vam zpusob prace s Extension headers a
jejich propojeni s AH,ESP ?

Proc se vlastne dnes obecne ma zato, ze IP Options jsou nebezpecne ?
Protoze jsou spatne implementovany. (notoricke DoS zpusobene nekorektnim
alignmentem nebo spatnou praci s pameti) 
Dalsi nevyhoda tkvi v tom, ze IP options mohou byt zkoumany routery po
ceste.

> a dalsi veci. A zase se najde nekdo kdo bude tyhle veci dropovat a nejaka 
> cast site si s Vama nepopovida. No, bude to zajimavy.
> 

Rad bych bezpecnost a korektnost IPv6 implementaci videl optimisticky, ale
protokol je radove slozitejsi nez IPv4, spousta veci se stala povinnou.
Naproti tomu existuje vice ruznych implementaci, ktere se soubezne
pouzivaji a testuji, takze se snad lze vyhnout tomu, ze by se chyby masove 
dedily jako u IPv4.


v.



More information about the Users-l mailing list