W dniu 10.08.2010 23:09, Krzysztof Halasa pisze:
> Sławek Lipowski<s...@l...org> writes:
>
>>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>>
>> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
>> wielkości większymi, ale nie w tym rzecz...
>
> Sam widzisz, zrobienie na tym DDoSu to pestka.

W sensie pestką jest zrobienie DDoSu łącza rzędu 1Gbps, czy mojego
768kbps w domu, bo się pogubiłem? :)

>> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
>> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
>> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.
>
> Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
> moze ominac regulki IPv4.

Możesz napisać dokładnie co masz na myśli? Konkretne przykłady?

>> Naturalne
>> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
>> ssh, niż ten san system bez wystawionego ssh.
>
> Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
> a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
> podstawowe i wlasciwie jedyne zastosowanie)
> b) wystawienie ssh jest czesto niezbedne.

Jak by nie było, to przecież temat nie tyczy się samego ssh i teza
zakładająca, że nie trzeba się przejmować możliwością ominięcia
firewalla, bo ssh jest bezpieczne jest co najmniej lekko nietrafiona. :)

>> Zakładam też, że lepiej
>> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
>> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
>> przeskoczy.
>
> Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
> filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.

Dokładnie tak. Chociaż z tym jasne i oczywiste to bym nie dramatyzował,
bo tak to chyba tylko w idealnym świecie. :)

> Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
> takze powinien odfiltrowac.

Zgadza się. A wcześniej musi mieć świadomość, że powinien to zrobić.

>> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
>> haseł. :)
>
> Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.
>
>> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
>> publicznym IP i nosić je w kieszeni.
>
> Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
> nie bedzie w stanie uzyskac "mojego" IP.

Jedno drugiego nie wyklucza. I jedno i drugie można potraktować jako
kolejna warstwę zwiększającą bezpieczeństwo.

> BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?

Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
operatora komórkowego niż otwarte darmowe wifi.

--
Sławek Lipowski