ΙΑΝΑ: Εξαντλήθηκαν επισήμως και οι τελευταίες διαθέσιμες IPv4 διευθύνσεις

[aiolos.01]

Πριν κάτι μέρες η ΔΕΗ έβγαλε έναν διαγωνισμό για ηλεκτρονικούς μετρητές και καλώς ή κακώς ζήτησε 100.000 IPs.

Αυτό έχει ενδιαφέρον... βέβαια οι 100000 είναι για αρχή. Το πολυτεχνείο έχει μεγάλο περισσευμα, θα μπορούσε να τις πάρει και απο εκεί (λέμε τώρα).

[psyxakias]

οσες φορες και να γινει η συζητηση, η γνωμη σου δεν προκειται ν αλλαξει. Αυτο συμβαινει γιατι πιθανα:
- μπλεκεις το security με το obfuscation ή/και
- δεν εχεις συνειδητοποιησει οτι το μεγαλυτερο μερος των επιθεσεων προς τελικους χρηστες εστιαζονται σε application payload-based attacks ή open (exploitable) ports.

Οπως αντιλαμβανεσαι, σε καμια απο τις 2 περιπτωσεις δε θα σε βοηθησει NAT οποιοδηποτε ειδους.

Μπορείς αν θες να μας το αναλύσεις. Δε βλέπω λόγο να μην αλλάξει η γνώμη μου, αν αναλυθούν λογικά επιχειρήματα.

[xhaos]

αν αναλυθούν λογικά επιχειρήματα.

λογικά επιχειρήματα για τους υπόλοιπους ανθρώπους ή για το άβαταρ σου; αν είναι για το άβαταρ σου τότε: 254963 με φασολάκια στο φούρνο μπλε!

[jimrude]

Μπορείς αν θες να μας το αναλύσεις. Δε βλέπω λόγο να μην αλλάξει η γνώμη μου, αν αναλυθούν λογικά επιχειρήματα.

τι ν αναλυσω? 3 πραγματα εγραψα, τα οποια δεν (θα πρεπε να) χρειαζονται ιδιαιτερη αναλυση. Αν δεν καταλαβαινεις κατι απ αυτα (τα λιγα) που εγραψα, κακως συνεχιζουμε τη συζητηση.

Αν παλι, θεωρεις λανθασμενες τις εκτιμησεις μου για το οτι το συντριπτικο ποσοστο των επιθεσεων προς end-user devices ειναι appication/protocol vulnerabilities, open/exploitable ports και το γεγονος οτι το NAT δεν σου προσφερει καμια προστασια απεναντι τους, τοτε ... "ειμαι ολος αυτια"

[psyxakias]

Off Topic

τι ν αναλυσω? 3 πραγματα εγραψα, τα οποια δεν (θα πρεπε να) χρειαζονται ιδιαιτερη αναλυση. Αν δεν καταλαβαινεις κατι απ αυτα (τα λιγα) που εγραψα, κακως συνεχιζουμε τη συζητηση.

Μάλιστα, δηλαδή όταν σε μια συζήτηση δε καταλαβαίνει κάτι κάποιος, και σου ζητάει να το εξηγήσεις, πρέπει να διακόπτεται η συζήτηση. Με αυτή τη λογική δε θα έπρεπε να γίνονται οι περισσότερες συζητήσεις, εντός και εκτός forums, διότι πάντα υπάρχει κάποιος που δεν καταλαβαίνει κάτι.

Αν παλι, θεωρεις λανθασμενες τις εκτιμησεις μου για το οτι το συντριπτικο ποσοστο των επιθεσεων προς end-user devices ειναι appication/protocol vulnerabilities, open/exploitable ports και το γεγονος οτι το NAT δεν σου προσφερει καμια προστασια απεναντι τους, τοτε ... "ειμαι ολος αυτια"
ΟΚ ας τα κάνουμε νια-νιά.

Στις application/protocol based vulnerabilities, δεν διαφωνώ καθόλου. Το γεγονός ότι οι περισσότεροι (αν όχι όλοι) οι οικιακοί routers που χρησιμοποιούν NAT δεν κάνουν port forwarding σε όλα τα ports by default τότε έμμεσα (όπως είπα και πριν) υπάρχει ένα είδος προστασίας σε open/exploitable ports, αφού δεν υπάρχει εισερχόμενη συνδεσιμότητα με το internet. Εφ'όσον λοιπόν λες ότι δεν παρέχει "καμία προστασία", θα εκτιμούσα μια ανάλυση γιατί δε συμβαίνει αυτό που περιγράφω.

Εάν όμως εφαρμοστεί σε όλους τους νέους routers αυτό που λέει ο SFH, να έχουν ενεργό firewall και να μην έχουν ανοιχτά τα εισερχόμενα ports μέχρι να τα ενεργοποιήσει ο συνδρομητής, τότε το θέμα έμμεσης ασφαλείας του NAT καταρρίπτεται. Η ένστασή μου όμως περισσότερο ήταν σε όσους γενικευμένα κατηγόρησαν το NAT χωρίς ιδιαίτερα επιχειρήματα, τα οποία συνεχίζω να μη βλέπω στο βαθμό που εκφράζεται το NAT-hate. (σε οικιακούς συνδρομητές πάντα)

[jimrude]

Στις application/protocol based vulnerabilities, δεν διαφωνώ καθόλου. Το γεγονός ότι οι περισσότεροι (αν όχι όλοι) οι οικιακοί routers που χρησιμοποιούν NAT δεν κάνουν port forwarding σε όλα τα ports by default τότε έμμεσα (όπως είπα και πριν) υπάρχει ένα είδος προστασίας σε open/exploitable ports, αφού δεν υπάρχει εισερχόμενη συνδεσιμότητα με το internet. Εφ'όσον λοιπόν λες ότι δεν παρέχει "καμία προστασία", θα εκτιμούσα μια ανάλυση γιατί δε συμβαίνει αυτό που περιγράφω.

οσο για τα open/exploitable ports, μην ξεχνας οτι to nat ακολουθει τη λογικη του permit established... τελοσπαντων, ειμαστε απο 2 διαφορετικους κοσμους, κι επειδη οντως δεν εχω και πολυ υπομονη για αναλυσεις (συνηθως), ας κλεισω καπως χιουμοριστικα, quoting καποιον γεροξεκουτη σλοβενο: "Anyone who thinks NAT is a security feature deserves to become part of a botnet"

[psyxakias]

Off Topic

@jimrude: ΟΚ σε ευχαριστώ για το χρόνο σου. Δυστυχώς επιβεβαιώνεις την θεωρία ότι στις εξυπνάδες είμαστε πρώτοι, με ένα ακόμα απαξιωτικό και "εξυπναδίστικο" post δίχως ιδιαίτερη ουσία, και δίχως προφανώς να διαβάσεις τι έγραψα, που εστιάστηκε περί των "διαφορετικών κόσμων" μας και την έλλειψη... υπομονής για ανάλυση και συζήτηση.

[xhaos]

αφού ρε ψυχάκια στο λέμε πόσα άτομα, το ΝΑΤ δεν είναι μέθοδος ασφάλειας, μπορεί να μοιάζει ότι είναι αλλά ΔΕΝ είναι, και δεν είναι γιατί ένας ιός ένα port scan ένα κάτι μπορεί να το προσπεράσει αέρα πατέρα. το ΝΑΤ μοιάζει με firewall μόνο για εφαρμογές που λειτουργούν by the book και για αυτό σου δημιουργεί την ψευδαίσθηση εσένα ότι κάνει δουλειά έστω και έμμεσα όπως είπες αντίστοιχη του firewall.

[psyxakias]

αφού ρε ψυχάκια στο λέμε πόσα άτομα, το ΝΑΤ δεν είναι μέθοδος ασφάλειας, μπορεί να μοιάζει ότι είναι αλλά ΔΕΝ είναι, και δεν είναι γιατί ένας ιός ένα port scan ένα κάτι μπορεί να το προσπεράσει αέρα πατέρα. το ΝΑΤ μοιάζει με firewall μόνο για εφαρμογές που λειτουργούν by the book και για αυτό σου δημιουργεί την ψευδαίσθηση εσένα ότι κάνει δουλειά έστω και έμμεσα όπως είπες αντίστοιχη του firewall.

Γνωρίζω τι κάνει και τι δε κάνει το NAT, αλλά παρατηρώ τρομερή έλλειψη επιχειρημάτων & απαξίωση και σε αυτό δυσανασχετώ έντονα. Το να λέμε "μακριά από NAT" διότι το λένε αρκετοί, δε λέει απολύτως τίποτα. Ουδέποτε ισχυρίστηκα ότι το NAT είναι το υπέρτατο μέτρο προστασίας, ότι δε χρειάζεται firewall, antivirus, προσεκτική ρύθμιση εφαρμογών/daemons κτλ. Αφού γνωρίζετε (προφανώς) κάτι παραπάνω, προς τι τόσο μυστικισμός για τα "κακά" του NAT και των συγκυριών που ανέφερα ότι το περιβάλλουν; Αποστομώστε με επιχειρήματα & παραδείγματα και όχι ιστορίες για αγρίους, για το πόσο άσχετος είμαι, για το τι είπε κάποιος παλιά στο texas, για τις ψευδαισθήσεις που έχω, σε τι διαφορετικό κόσμο ζω, κτλ. Σε τεχνολογικό forum είμαστε, όχι ψυχανάλυσης των άλλων συμμετεχόντων. (ασχέτως αν την χρειαζόμαστε μερικοί )

Ερωτώ κάτι απλό, για ακόμα μια φορά. Το γεγονός ότι οι routers που χρησιμοποιούν NAT είναι προ-ρυθμισμένοι να μην κάνουν port forward by default, σου παρέχει ένα έμμεσο μέτρο προστασίας (ισχυρό ή αδύνατο) σε περίπτωση που έχεις open ports/services χωρίς password ή με εύκολο password (ευάλωτα σε bruteforce); Αν για παράδειγμα μερικές υπηρεσίες όπως SMB, remote administrator apps (telnet, ssh, rdp, vnc, radmin), proxies (wingate, socks, κτλ) κ.α, "βγουν" από Η/Υ με δική του IP απευθείας στο διαδίκτυο, χωρίς προ-ρυθμισμένο deny firewall, θα γίνουν στόχοι επιθέσεων; Ναι ή όχι;

[jimrude]

Γνωρίζω τι κάνει και τι δε κάνει το NAT, αλλά παρατηρώ τρομερή έλλειψη επιχειρημάτων & απαξίωση και σε αυτό δυσανασχετώ έντονα. Το να λέμε "μακριά από NAT" διότι το λένε αρκετοί, δε λέει απολύτως τίποτα. Ουδέποτε ισχυρίστηκα ότι το NAT είναι το υπέρτατο μέτρο προστασίας, ότι δε χρειάζεται firewall, antivirus, προσεκτική ρύθμιση εφαρμογών/daemons κτλ. Αφού γνωρίζετε (προφανώς) κάτι παραπάνω, προς τι τόσο μυστικισμός για τα "κακά" του NAT και των συγκυριών που ανέφερα ότι το περιβάλλουν; Αποστομώστε με επιχειρήματα & παραδείγματα και όχι ιστορίες για αγρίους, για το πόσο άσχετος είμαι, για το τι είπε κάποιος παλιά στο texas, για τις ψευδαισθήσεις που έχω, σε τι διαφορετικό κόσμο ζω, κτλ. Σε τεχνολογικό forum είμαστε, όχι ψυχανάλυσης των άλλων συμμετεχόντων. (ασχέτως αν την χρειαζόμαστε μερικοί )

Ερωτώ κάτι απλό, για ακόμα μια φορά. Το γεγονός ότι οι routers που χρησιμοποιούν NAT είναι προ-ρυθμισμένοι να μην κάνουν port forward by default, σου παρέχει ένα έμμεσο μέτρο προστασίας (ισχυρό ή αδύνατο) σε περίπτωση που έχεις open ports/services χωρίς password ή με εύκολο password (ευάλωτα σε bruteforce); Αν για παράδειγμα μερικές υπηρεσίες όπως SMB, remote administrator apps (telnet, ssh, rdp, vnc, radmin), proxies (wingate, socks, κτλ) κ.α, "βγουν" από Η/Υ με δική του IP απευθείας στο διαδίκτυο, χωρίς προ-ρυθμισμένο deny firewall, θα γίνουν στόχοι επιθέσεων; Ναι ή όχι;

ναι! αλλα ξεχασα, δεν ειμαστε πια στο 1992 και κανεις δεν προσπαθει να μπει στο pc σου μεσω telnet/ssh/any_remote_admin_app/etc. Ειναι passe, πως να το κανουμε. Οι επιθεσεις οδηγουνται απο trends, τ οποια και ανεφερα σε προηγουμενο post μου. Κι αν θες, μπορω να παραθεσω και στοιχεια για τα ποσοστα στα ειδη των επιθεσεων για τα τελευταια χρονια. Στοιχεια απο well known, well established και well respected security vendors.

Οποτε, η απαντηση που ψαχνεις ειναι: ναι, το NAT σε προστατευει απο κατι στατιστικα αδιαφορο!

Δεν υπαρχει κανενας μυστικισμος, ουτε κρυφα νοηματα. Καποιος που δεν θελει να καταλαβει, δεν προκειται να καταλαβει

[psyxakias]

κανεις ερωτησεις, τοσο συγκεκριμενες. προσπαθωντας με στρεβλο τροπο να οδηγησεις σε μια απαντηση που θα σε δικαιωσει

Οι ερωτήσεις είναι συγκεκριμένες για να υπάρξουν συγκεκριμένες απαντήσεις & επιχειρήματα και όχι γενικά και αόριστα. Επιπλέον δεν τίθεται θέμα δικαίωσης, επιτέλους όμως υπάρχει επιχειρηματολογία (ασχέτως αν συμφωνώ ή διαφωνώ) και χαίρομαι που βρήκες την υπομονή να απαντήσεις.

ναι! αλλα ξεχασα, δεν ειμαστε πια στο 1992 και κανεις δεν προσπαθει να μπει στο pc σου μεσω telnet/ssh/any_remote_admin_app/etc. Ειναι passe, πως να το κανουμε.

Οι επιθεσεις οδηγουνται απο trends, τ οποια και ανεφερα σε προηγουμενο post μου. Κι αν θες, μπορω να παραθεσω και στοιχεια για τα ποσοστα στα ειδη των επιθεσεων για τα τελευταια χρονια. Στοιχεια απο well known, well established και well respected security vendors.

Εμένα γιατί δε μου φαίνονται και εντελώς στατιστικά αδιάφορα, ασχέτως αν υπερτερούν άλλα είδη επιθέσεων που σωστά αναφέρεις, σύμφωνα με port scans του τελευταίου 1 έτους από το SANS ISC:
SMB scanning: 50.000 - 70.000 targets/day
SSH scanning: 50.000 - 120.000 targets/day (+ διάφορα spikes)
Telnet scanning: 10.000 - 30.000 targets/day (+ διάφορα spikes)

Και φυσικά αυτές οι στατιστικές βασίζονται σε δείγματα από reports ή honeypots. Υπάρχουν αρκετοί συνδρομητές που δε γνωρίζουν ή που δε θα έμπαιναν ποτέ στο κόπο να ανοίξουν τα logs των routers τους και να ενημερώνουν το SANS ISC. Προσωπικά όταν ήμουν στην Forthnet (πριν 2 χρόνια) έβλεπα 5-10 connection attempts / μέρα (τα οποία δε συνέχιζαν, αφού δεν άνοιγε το port). Πιο πρόσφατα δεν γνωρίζω, διότι δε τα δείχνει by default ο router μου, και δεν έχω ασχοληθεί να ενεργοποιήσω περαιτέρω logging.

Επιπλέον, μήπως έπαψε να είναι trend λόγω του γεγονότος ότι η πλειοψηφία των broadband συνδρομητών δεν έχουν ανοιχτά ports, επειδή τα όποια ανοιχτά ports στους Η/Υ είναι έμμεσα προστατευμένα πίσω από τους routers τους και το default NAT + no port forwarding; Ποιος μας εγγυάται ότι εάν ξεκινήσουν να υπάρχουν ανοιχτά ports σε μεγάλο αρυθμό συνδρομητών, δε θα ξαναγίνει "trend";

Οποτε, η απαντηση που ψαχνεις ειναι: ναι, το NAT σε προστατευει απο κατι στατιστικα αδιαφορο!

Από κάτι μερικώς στατιστικά αδιάφορο πλέον θα έλεγα, χωρίς εγγύηση ότι δεν θα επανέλθει στο προσκήνιο. Η μόνη ελπίδα είναι αυτό που είπε ο SFH για default deny ρυθμίσεις σε όλους τους routers.

Ξαναλέω, ο σκοπός μου δεν είναι ούτε να δικαιωθώ, ούτε να αποδείξω ότι το NAT είναι φοβερό και τρομερό. Αλλά ότι πυκνά-συχνά βλέπω NAT-hate χωρίς επιχειρήματα και ότι στους οικιακούς συνδρομητές δεν θεωρώ ότι δημιουργεί τόσο μεγάλο πρόβλημα το NAT και περισσότερες πιθανότητες θεωρώ ότι υπάρχουν να δημιουργήσει επιπλέον μπελάδες η bridged χρήση IPs ανά Η/Υ, αν δεν γίνει σωστά.

[jimrude]

Οι ερωτήσεις είναι συγκεκριμένες για να υπάρξουν συγκεκριμένες απαντήσεις & επιχειρήματα και όχι γενικά και αόριστα. Επιπλέον δεν τίθεται θέμα δικαίωσης, επιτέλους όμως υπάρχει επιχειρηματολογία (ασχέτως αν συμφωνώ ή διαφωνώ) και χαίρομαι που βρήκες την υπομονή να απαντήσεις.

Εμένα γιατί δε μου φαίνονται και εντελώς στατιστικά αδιάφορα, ασχέτως αν υπερτερούν άλλα είδη επιθέσεων που σωστά αναφέρεις, σύμφωνα με port scans του τελευταίου 1 έτους από το SANS ISC:
SMB scanning: 50.000 - 70.000 targets/day
SSH scanning: 50.000 - 120.000 targets/day (+ διάφορα spikes)
Telnet scanning: 10.000 - 30.000 targets/day (+ διάφορα spikes)

Και φυσικά αυτές οι στατιστικές βασίζονται σε δείγματα από reports ή honeypots. Υπάρχουν αρκετοί συνδρομητές που δε γνωρίζουν ή που δε θα έμπαιναν ποτέ στο κόπο να ανοίξουν τα logs των routers τους και να ενημερώνουν το SANS ISC. Προσωπικά όταν ήμουν στην Forthnet (πριν 2 χρόνια) έβλεπα 5-10 connection attempts / μέρα (τα οποία δε συνέχιζαν, αφού δεν άνοιγε το port). Πιο πρόσφατα δεν γνωρίζω, διότι δε τα δείχνει by default ο router μου, και δεν έχω ασχοληθεί να ενεργοποιήσω περαιτέρω logging.

Επιπλέον, μήπως έπαψε να είναι trend λόγω του γεγονότος ότι η πλειοψηφία των broadband συνδρομητών δεν έχουν ανοιχτά ports, επειδή τα όποια ανοιχτά ports στους Η/Υ είναι έμμεσα προστατευμένα πίσω από τους routers τους και το default NAT + no port forwarding; Ποιος μας εγγυάται ότι εάν ξεκινήσουν να υπάρχουν ανοιχτά ports σε μεγάλο αρυθμό συνδρομητών, δε θα ξαναγίνει "trend";

Από κάτι μερικώς στατιστικά αδιάφορο πλέον θα έλεγα, χωρίς εγγύηση ότι δεν θα επανέλθει στο προσκήνιο. Η μόνη ελπίδα είναι αυτό που είπε ο SFH για default deny ρυθμίσεις σε όλους τους routers.

Ξαναλέω, ο σκοπός μου δεν είναι ούτε να δικαιωθώ, ούτε να αποδείξω ότι το NAT είναι φοβερό και τρομερό. Αλλά ότι πυκνά-συχνά βλέπω NAT-hate χωρίς επιχειρήματα και ότι στους οικιακούς συνδρομητές δεν θεωρώ ότι δημιουργεί τόσο μεγάλο πρόβλημα το NAT και περισσότερες πιθανότητες θεωρώ ότι υπάρχουν να δημιουργήσει επιπλέον μπελάδες η bridged χρήση IPs ανά Η/Υ, αν δεν γίνει σωστά.

τα port scan που αναφερεις, τα επιβεβαιωνω. Ξερουμε ομως οτι προκειται για script-kiddies. Απ την αλλη, δεν διαφωνω και στο οτι τα security trends δημιουργουνται απο τις εποχιακες ελλειψεις σε security . Συμφωνα με το CSI (το security-related CSI προφανως) παντως, στο συνολο των επιθεσεων τα τελευταια 4-5 χρονια, δεν υπαρχει κατηγορια επιθεσεων οπου η χρηση του NAT θα τις απετρεπε (αν θες μπορω να σου στειλω το report).

[psyxakias]

Άσχετο με τη παραπάνω συζήτηση, αλλά εντός θέματος όσον αφορά το νήμα.

Κυκλοφορεί μια φήμη ότι θα επανεξεταστεί η χρήση των /8's και πιθανόν να ζητηθούν να επιστραφούν στην IANA αρκετά LEGACY /8 blocks (16,7 εκατομμύρια IPs το καθένα) από όσες εταιρείες τους είχαν δοθεί απλόχερα στις αρχές της δεκαετίας του '90, όπως επέστρεψε το Stanford πριν χρόνια την 36.0.0.0/8, καθώς έχουν σπαταληθεί πάνω από 500 εκατομμύρια IPs σε μόλις 10-12 εταιρείες/φορείς (πχ General Electric, Level3, IBM, AT&T, Xerox, MIT, Ford κ.α.).. δίνοντας μια γερή ανάσα στο πρόβλημα με τις IPv4 IPs. Υπάρχει καμιά σχετική είδηση ή πρόκειται απλά για ανυπόστατη φήμη;

Λίστα με τα /8 blocks που έχουν δοθεί: http://www.iana.org/assignments/ipv4...ss-space.xhtml

[xhaos]

δίνοντας μια γερή ανάσα στο πρόβλημα με τις IPv4 IPs.

γερή ανάσα ή/και πισωγύρισμα; ελπίζω να μην έχουμε παλινωδίες και να πάμε μπροστά με το v6

[fits79]

Μετά από αυτά τα νέα μου γεννιούνται κάποιες πολύ πρακτικές ερωτήσεις που είναι:

1. Αν τελικά ΚΑΤΑΡΓΗΘΟΥΝ οι ipv4 θα πρέπει να αλλάξουμε και τα ρουτερ μας με αποτέλεσμα όλες οι συσκευές που είναι συνδεδεμένες πάνω στο ρουτερ μας να δεχθούν την νέα ipv6(Ισως αν και καποια συσκευή δεν το υποστηρίζει) ή μπορούμε να κρατήσουμε τα παλιά μας ρουτερ(Που δεν υποστηρίζουν ipv6) και με ένα firmware update να υποστηρίξουν και το νέο ipv6?

2. Θα μπορώ να εχω το ρουτερ μου να δέχεται από τον όποιο Internet provider ipv6 και ότι συσκευή εχω συνδεδεμένη πάνω σε αυτό να δουλεύει με ipv4 ή θα πρέπει από τι στιγμή που δέχεται από τον ίντερνετ provider ipv6 όλες μα όλες οι συσκευές που είναι συνδεδεμένες πάνω του να δουλεύουν κι αυτές με ipv6?

3. Αν τώρα επιχειρήσω να μπω με το αρχαίο ipv4 ρουτερ μου σε μια ipv6 θα μπορώ? Υπάρχει καμία ipv6 να δοκιμάσω? Αν δεν μπορώ να μπω τι πρέπει να κάνω για να μπορέσω να μπω με το ipv4 router μου?

Ας απαντήσει κάποιος που γνωριζει υπεύθυνα για το τι επρόκειτο να γίνει.

ΕΥΧΑΡΙΣΤΩ ΠΟΛΥ.