Цитата:
|
Сообщение от ank
Раз уж не бредить, то одна из декларированных (и весьма правильно) целей внедрения IPv6 - как раз предоставить любому устройству, подключенному к сети, свой глобальный уникальный адрес, дабы была возможность избежать подставления кривых костылей, навроде портмапинга и сетей на серых адресах.
К безопасности это тоже имеет касательство (упомянутый ipsec, в той его части, что касается ah). Что нисколько не мешает централизовано управлять безопасностью, и даже упрощает такое управление (явное выделение пространства для link-local и site-local адресов), в том числе руками домохозяйки.
|
Декларированая возможность подключить все устройства к сети это скорее побочный эффект. Просто адресное пространство нового формата это позволяет. А вот целесообразно ли это - большой вопрос. Я предпочту иметь один файрвол с предоставлением доступа к конкретным сервисам по конкретным портам. А светить любое устройство в мир со всеми его 137, 139, 21, 22, 6000 не хочу. В софте всегда будут дыры. В любом. Мир давно уже знает кучу атак, основанных на банальном сканировании всех подряд IP адресов в попытке присоединиться к конкретному порту, увидеть там нужную сигнатуру ( читай версию сервиса, забинденного на этот порт), а потом просто использовать уязвимости конкретного этого сервиса. Будут зомби-сети из холодильников? Нет уж, спасибо. А ведь какой-нибудь embedded windows ce будет стоять в каждой третьей стиральной машине. И сетевые подсистемы у них будут идентичны. Нафиг такое счастье. Наружу должны быть видны конкретные сервисы конкретных устройств, не более. Использование локальных сетей со своим адресным пространством не представляется мне костылем, учитывая наличие соответствующих стандартов. |
