DHCP / DHCP6

[Dan Lukes]

On 05/05/15 22:05, Jan Dušátko:
> K ostatnim informacim, mate nekdo navrhy jak FreeBSD prinutit zajistit
> rozumnou miru zabezpeceni pro IPv6?
> 1) Politika - co dovolim a nedovolim, pripadne proc

"obecna bezpecnostni politika" neexistuje a existovat nemuze. Tim se 
IPv6 od IPv4 nijak nelisi. Bezpecnostni opatreni uz z principu kladou 
provozni omezeni a to jaka omezeni jsou prijatelna prilis souvisi s 
individualnimi pozadavky kladenymi na provoz konkretni site.

Nakonec dovolis to, co bude mensi problem dovolit nez nedovolit a 
zakazes to, co uz ti nebude pripadat prijatelne mit povolene. Pro 
finalni vysledek pouzijes oznaceni "rozumna mira zabezpeceni", cehoz 
bylo dosahnouti.

> 3) Centralni sprava - ideu DHCPv6 jsem stale neopustil

A pri neexistenci alternativy ani neopustis, takze je to slepa vetev 
uvah. Podotykam, ze stateless autokonfiguraci nepovazuju za variantu 
centralni spravy lokalni site.

> 4) Monitoring vyse uvedeneho

Monitoring cehokoliv na IPv6 siti se prinicipialne neodlisuje od 
monitoringu na IPv4 siti. Nevim co vsechno povazujes za 
ucelne/nutne/vhodne monitorovat na IPv4, ale vetsinu tech veci bude 
existovat primo viditelna varianta pro IPv6 prostredi. Takze muzes 
monitorovat vesele dal.

Samozrejme, tak jako sis kdysi nasel/vytvoril/nakonfiguroval/koupil 
konkretni nastroje, ktere pouzivas pro IPv4 a ktere vyhovyji tvejm 
predstavam a pozadavkum, uplne stejne to budes muset udelat pro IPv6. I 
tady je prakticky nemozny rozumne odpovedet na obecne polozenou otazku.

> K tomu je potreba pripocist, ze soucasny poskytovatel IPv6 neposkytuje
> (nastesti), takze mam cas experimentovat a hledat. K tomu muj paranoidni
> pristup, poskytovateli neverim. A desim se toho, ze IPv6 jednou zapne.

Zapnuti IPv6 neni, stejne jako v pripade IPv4, jednostranny krok. Pokud 
na svem vnejsim interface nemas IPv6 nakonfigurovane, je celkem sumafuk, 
co v tomto ohledu dela nebo nedela nekdo jiny v te siti.

Dan