Mitenkäs sillon onnistuu sisäverkko? Jos se ei enää reititä, osaavatko paketit mennä oikealle koneelle kulkematta nettiliittymän kautta?
Osaa, kunhan käytetään vain paikallisia osoitteita. Toimii ihan hyvin IPv4:lla ja IPv6:lla. Kysehän on siitä ohjataanko liikenne broadcastina tai gatewaylle vai osoitetaanko se suoraan MACiä käyttäen lähiverkossa olevalle laitteelle. Jolloin el-cheapo kytkinkin osaa ohjata liikenteen ihan oikeaan paikkaan, eikä se edes mene muihin portteihin jakeluun.
Monesti tuntuu siltä, että useimmat NATin hehkuttajat eivät tiedä miten IP protokolla toimii ja sen takia vannovat NATin nimiin ja uskovat sen tuomaan vaheelliseen turvallisuuteen.
NAT on oikeasti paha keksintö ja tuli käyttöön osoitepulan vuoksi. Monessa monessa organisaatiossa oli ennen NAT aikaa myös "sisäverkoissa" käytössä "ne pahat julkiset ip:t".
Useimmat NAT ihmiset eivät todennäköisesti koskaan ole edes nähneet kunnollista palomuuria. Useimpia el-cheapo laitteita kun ei saa luopumaan NAT roolistaan millään ilveellä ja toimimaan siltaavana (eli liikennettä suodattavana) palomuurina. ;(
Samalla koneella voi todellakin olla useita erilaisia IP-osoitteita (eri interface) ja kaikkiin niihin voidaan määritellä omat ja eri palvelut ja omat tietoturva-asetuksensa.
Toisaalta, olen sitä mieltä että nykyjään olisi järkevämpää kehittää lähtökohtaisesti turvallisia ja oikein toteutettuja palveluita ja sovelluksia, jolloin sillä tuleeko yhteydet "lähiverkosta", "intranetistä" vai "internetistä" ei ole oikeasti yhtään mitään merkitystä kun autentikointi suoritetaan kunnolla aina.
- fe80::/10 This is a link-local prefix offered by IPv6. This address prefix signifies that the address is valid only in the local physical link.
- fec0::/10 This is a site-local prefix offered by IPv6. This address prefix signifies that the address is valid only within the local organization. Subsequently, the usage of this prefix has been discouraged by the RFC.
Netissä onkin ollut jo kirjoituksia siitä, että kuinka
IPv6 vaarantaa koko internetin turvallisuuden kun ihmiset eviät tee asioita oikein, eivätkä ymmärrä mitä ovat tekemässä. (Tämä tosin liittyy kaikkiin muihinkin asioihin.)
Jos haluaa turvallisen verkon, NAT ei todellakaan riitä. Vaan kannattaa ehdottomasti käyttää protokollakohtaisia proxyjä, jotka osaavat todella tarkasti seuloa liikenteen. Monilla on harha siitä, että NAT suojaa verkon. Sitä se ei tee. mm. selaimen / exploittien kautta koneelle luikerrellut haittakoodi nauraa ilkeästi NATille. Vaikka ulosmenevät portit olisi tukittu, on todennäköisesti kuitenkin https ja dns jätetty auki joka on jo massiivinen fail, koska se tarkoittaa sitä että tiedot voidaan vuotaa ihan mihin vaan maailmassa. Nuokin pitäisi rajoittaa ja liikenteen sisältöä valvoa (eli käytännössä liikenne purkaa omalla sertifikaatilla ja DNS liikenne analysoida.) Noin saadaan täysi näkyvyys ja logitettavuus kaikkeen liikenteeseen palomuurin rajalla. Helpointa on käyttää mm. Linux purkkia ja sopivia softia. Rauta laitteina näillä ominaisuuksilla varustetut vehkeet tahtoo olla kalliita, ainakin jos kuluttajan lompakkoa ajattelee.
Monet halvat NAT laitteet on myös suorituskyvyltään niin huonoja, että kun niille tuuppaa paljon pieniä paketteja ne kyykkää ihan totaalisesti. Taas yksi hyvä syy olla käyttämättä niitä. Koska tässä tapauksessa tietokone selviäisi hyvin näistä turhista pienistä paketeista, mutta surkea NAT vehje jumittuu niistä näin aiheuttaen DoS tilanteen verkon rajalle.
Kannattaa myös ihan aikansakuluksi märehtiä
Wikipediasta IPv6 artikkeli ja siihen liittyvät linkit.
p.s. DoS asioista muuten on juttua
mun blogissa, kannattaa katsoa HULK kohta, koskee myös cachea ja yleisesti web-palveluiden / verkkojen optimointia.
