Nevyhody NATu

Jiri Rosenmayer jiri.rosenmayer at skynet.cz
Wed Aug 7 09:49:27 CEST 2002


> > Nevyhodou NATu jsou omezeni sluzeb typu peer2peer, zato ma vyhodu 
> > v bezpecnosti, kdy celou sit schovate za nejakej stroj a zvenku se 
> > dobouchate pouze na ten router, do site se proste neproroutujete.
> > Samotnyho by me zajimalo, jak se s timhle v budoucnu vyporada svet IPv6. 
> 
> V IPv6 mate moznost pouzivat adresy lokalni pro danou 'site' (at uz je tim
> pojmem mysleno cokoliv). Nemyslim link-local adresy (default, napr. 
> fe80::202:b3ff:fe95:c52e%fxp0), ale site-local adresy, ktere je mozne
> routovat pouze v ramci dane 'site' a je zakazano propagovat je ven.
> 
> > 
> > Na jednu stranu bude tolik IP adres, ze NAT nebude potreba. Na druhou stranu
> > se urcite najde nekdo kdo bude NAT chtit pouzivat kvuli bezpecnosti. Budou
> > ty sluzby naprogramovany dobre, ze se vyporadaji s NATem, nebo budou udelany
> > blbe a zase budem v ...... ?? Za podobny pripad povazuju IP options, ktere
> > v dnesni dobe dropuje kazdy kdo ma rozum, v IPv6 se ale o takrka stejnou
> > vlastnost opira Mobile IP
> 
> Co tim presne myslite ? Nelibi se vam zpusob prace s Extension headers a
> jejich propojeni s AH,ESP ?

Asi takhle, vim ze pri pouziti Mobilni adresy je potreba nejak pouzit 
autentizaci, pokud chci aby paket necestoval pres muj "domaci router" a chci
aby pouzil nejkratsi cestu za pomoci "IP options", ale abych se priznal, nezkoumal 
jsem zatim jak.  Takze nemuzu rict, jestli se mi to libi nebo ne.

> 
> Proc se vlastne dnes obecne ma zato, ze IP Options jsou nebezpecne ?
> Protoze jsou spatne implementovany. (notoricke DoS zpusobene nekorektnim
> alignmentem nebo spatnou praci s pameti) 
> Dalsi nevyhoda tkvi v tom, ze IP options mohou byt zkoumany routery po
> ceste.

Nevidel bych ani tak problem v tom, ze v nekterych implementacich byly chyby, jako
spis v tom, ze IP options se nepouzivaly na nic jineho nez na zneuziti ( nemusite
mi dokladat vyjimky, urcite to nekdo pouzil s dobrym umyslem :-)). Jako priklad 
uvedu to, ze Firewall-1 (Checkpoint) Vam nabizi 3 moznosti jak zachazet s IP options.
1) zahodit, logovat a vyvolat alert, 
2) zahodit a logovat
3) zahodit

:-))). Zadna moznost jak to pustit skrz (aspon v GUI, mozna ze nekde hodne nizko
se to da prekonfigurovat ). Proste IP Options se dneska dropuji, tak to vidim ja.

> Rad bych bezpecnost a korektnost IPv6 implementaci videl optimisticky, ale
> protokol je radove slozitejsi nez IPv4, spousta veci se stala povinnou.
> Naproti tomu existuje vice ruznych implementaci, ktere se soubezne
> pouzivaji a testuji, takze se snad lze vyhnout tomu, ze by se chyby masove 
> dedily jako u IPv4.

ja bych to taky rad videl optimisticky. Ale jak jste sam poznamenal, protokol je
radove slozitejsi. Abych se sam priznal, to co jsem napsal, jsou veci, ktere mi po
nejakem pocatecnim zkoumani IPv6 vrtaly hlavou a doufal jsem ze vyvolam nejakou diskuzi.

				JR

---
Jiri Rosenmayer
Vedouci odd. security
SkyNet, a.s.
Ptasinskeho 309/6
CZ 602 00 Brno

http://www.skynet.cz
tel: +420 5 41 59 41 59
fax: +420 5 41 59 41 00
e-mail: Jiri.Rosenmayer at SkyNet.Cz
PGP fingerprint: 1907 1F79 CC70 74EE FC55 F649 5651 33A4 50D4 ABB9     



More information about the Users-l mailing list