Hlavní navigace

Názor ke článku Praktické problémy s IPv6, část druhá od f. - inak EUI64 checking je fajn, ale vzhladom k...

  • 28. 9. 2010 14:39

    f. (neregistrovaný) 88.101.198.---

    inak EUI64 checking je fajn, ale vzhladom k tomu, ze zatial to je akurat tak v linuxe, tak na velkych sietach, kde su HW boxy v ulohe routrov to nie je mozne pouzit. Samozrejme niektori spravci to zatial riesia tak, ze IPv6 prehanaju cez linux router, kde je EUI64 checking zapnuty. Problem je v tom, ze sa tym padom u docasne prinesenych notebookov (hlavne s windows), vyzaduje rekonfiguracia sietovych nastaveni, co casto znamena aj restart windows, co je dost casto velmi iritujuca zalezitost pre uzivatelov - pokial by mal windows defaultne nahodne generovanie IPv6 adresy vypnute, tak by to bolo zatial jedno z najlepsich rieseni, ale takto je to tazko nasaditelne v pripade velkych heterogennych sieti.
    Inak co sa tyka privacy extension (samozrejme nie je to len problem samotnych PE), tak vidim to ako dost velky problem, pretoze vo chvili ked dojde k masivnejsiemu rozmachu IPv6 a zacne sa skodit z nejakeho PC v sieti, tak v cielovej sieti viac menej neostane ina moznost ako vyblokovanie celeho IPv6 rozsahu odkial utocnik pochadza, pretoze bude velmi malo sieti kde bude EUI64 checking a utocnika bude mozne v cielovej sieti vyblokovat zakazanim jeho IP.
    Sice v zdrojovej sieti zistime po case (tj. v pripade analyzy logov ak nejake mame), ze kto vtedy a vtedy skodil, ale v cielovej sieti bude vyblokovany cely nas adresny range. Samozrejme su predpoklady, ze postupne dojde aj k nasadzovaniu inteligentnych IDS/IPS v kazdej vacsej sieti, ale kedze je to otazka penazi a zaroven aj otazka urovne vyspelosti admina, tak sa obavam, ze to az take ruzove nebude.

  • Diskuse byla uzavřena.