Názor k článku IPv6 Mýty a skutečnost, díl I. - Jak jsme na tom od JD - Samotny NAT bez firewalu na to nestaci, ale...
-
JD (neregistrovaný)
Samotny NAT bez firewalu na to nestaci, ale bez nej to udelat nejde.
Predstavte si sit, ktera obsahuje spoustu pocitacu nebo technologickych zarizeni. Kazde zarizeni posila svoje hodnoty (nekdy se tomu rika telemetrie) samozrejme sifrovane kamsi na server na internetu. Nastavite pravidla firewalu ze kazda z masinek se muze pripojit pouze na server, prichozi spojeni konci na DROP. Z pohledu bezpecnosti podle vas idelani, ale bohuzel je tu "postranni kanal" (zjistete si co ten termin znamena), kdy se ven dostavaji adresy pocitacu kdy a kdo komunikuje. Utocnik muze zjistit kdy je vyrobni linka v provozu, jak dlouho, jake je vytizeni, kdy chodeji zamestanci do prace atd. Navrhnete jine reseni nez NAT.VPN lze pouzit pouze v popsanem pripade, zkuste totez pokud dodavetel technologie zajistuje napriklad i distribuovane servery pro aktualizace.
IPv6 Privacy extensions take neni reseni, uvnitr zabezpecene site potrebujete nezpochybnitelne vedet kdo je kdo.
Nejaky jiny napad krome NAT?
ČLÁNKY DO MAILU