On 2019-05-12, Mateusz Viste <m...@n...pamietam> wrote:
> On Sat, 11 May 2019 23:11:07 +0000, Marcin Debowski wrote:
>> To w jaki sposób realizowana jest kontrola dostępu do i z sieci lokalnej
>> (jesli chcemy mieć kontrolę dostępu)?
>
> Firewall stateful. Rozwiązanie istniejące od wczesnych lat '90 i znacząco
> prostsze (a zarazem pewniejsze) od jakiejkolwiek implementacji NAT.

Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
bardziej przejrzyste, to trudniej o błędy. W IPv6 jak rozumiem dostanę
pewną pulę adresów od IPSa (też mnie to przeraża, że będę zalezny w
takiej kwestii od IPS). Pewnie da się to też posegmentować, na poziomie
FW i bez NATu. A preferuję segmentacje, bo mam różne warstwy
bezpieczeństwa. Np. nie chcę aby dostep do podsieci gdzie chodzi cctv
był z podsieci, która umozliwia dostęp po wifi.

Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by
było stan ten zmienić.

>> Tak jakbym to robił na MACach
>> sokor wszystkie adresy miałyby być unikatowe?
>
> Nie rozumiem analogii do MAC - to nie ta warstwa. Firewalling przy IPv4
> wykonuje się dokładnie tak samo, jak przy IPv6. Np. "sieć lokalna ma
> dostęp do zewsząd, a cokolwiek innego odrzucam" - to jedna prosta reguła
> skutecznie zastępująca bezpieczeństwo rzekomo zapewniane przez NAT.

Analogia w unikatowosci adresu. Tylko tyle, bo wiadomo, że kontrolować
dostępu po samym MACu to nie jest dobry pomysł.

>> A dynamiczny przydział
>> adresów w sieci z ograniczonym dostępem jest podobny czy różni się od
>> IPv4?
>
> Implementacja różna (NDP lub DHCPv6 zamiast DHCP, oraz ICMPv6 zamiast
> ARP), ale z punktu widzenia użytkownika nic się nie zmienia - "podpinam
> komputer do sieci i po sekundzie mam adres należący do lokalnej sieci".

No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco
"większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To
jak ja mam w tej sytuacji zrobić np. static DHCP? Po segmencie adresu?
Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix),
a adres link-local jest zawsze zachowany?

--
Marcin