А чем они проще? Я вот дома сделал себе сеть fd22::/48. Вводить проще, чем 192.168.1.0. Хотя такая адресация не приветствуется. Но кто мне дома запретит. Да и сменить адресацию я легко смогу во всей сети изменив настройки маршрутизатора.
Файервол на вашем домашнем шлюзе нужен в любом случае. Просто с IPv4 у вам появляется связка NAT+Firewall, которую гораздо сложнее настраивать, чем просто Firewall для IPv6. Если думаете, что для защиты сети вам будет достаточно NAT, то ок. Когда ты Неуловимый Джо, возможно это сработает... а возможно и не сработает.
Вот мне надо с одного хоста по VNC подключиться к другому внутри локалки.
Такой себе пример. Я бы не стал светить VNC сервером напрямую в интернет. Лучше использовать VPN. Но если принять условие, что вы открываете безопасный сервис в интернет, то всё, что вам нужно сделать - открыть нужный порт в правилах файервола на вашем маршрутизаторе. А чтобы адрес не запоминать, можно использовать DNS. К тому же адрес можно сделать минимальной длины, например, за счёт маленького значения идентификатора интерфейса. А префикс у вас будет постоянным (для переменного тоже можно сделать костыли через DNS).
Просто не открывайте прямой доступ к HA из интернета. Используйте VPN. Он для этого и создан, а не для обхода багов сети, как сейчас многие стали думать.
вот только нат есть в 90% случаев, а файрвола нет или его надо готовить.
А почему вы решили, что нет файервола? И почему «нат есть в 90% случаев»? У меня вот на маршрутизаторе есть файервол для IPv6 и по умолчанию закрыты все подключения по IPv6 снаружи внутрь. Устройства внутри сети имеют доступ к интернету по IPv6, но не наоборот. Если мне нужно открыть доступ к какому-то сервису внутри своей сети я просто прописываю соответствующее правило, которое открывает TCP или UDP порт на конкретно заданный IPv6 адрес. Для того же IPv4 это более геморройно, потому что нужно не просто открыть порт, а выделить порт с внешнего адреса маршрутизатора и указать на какую машину и какой порт будет доставка внутри сети. Если мне нужно вывести в интернет два веб-сервера разных, то их нужно разносить по портам (что не выглядит хорошо, порт нужно будет указывать в адресной строке) или каким-то образом получать второй IPv4 адрес (теоретически, практически я даже не знаю потянет ли большая часть домашних маршрутизаторов такое). Для IPv6 я просто создаю правило в файерволе для каждого своего сервера. Всё просто и хорошо читается.
Ну а NAT сейчас есть практически в 100% случаев только по той причине, что без него невозможно жить в сети IPv4. Производители явно не будут продавать устройства, где пользователям надо будет всё руками настраивать, поэтому и преднастроенный NAT есть практически в любом маршрутизаторе.
У меня всё взаимодействие с certbot на новом сервере сводится к apt install/dnf install. После этого я запускаю команду certbot с определёнными параметрами. Возможно ещё перед запуском надо создать файл с секретами. После этого уже можно прописывать сертификаты в nginx. Больше ничего не надо. Дальше всё работает само. Поэтому я и написал про acme.sh и lego. Там тоже всё просто, но есть проблема с обновлением сертификатов. Это надо вручную настраивать. С хуками столкнулся, когда у меня работал XMPP сервер. Там я настраивал копирование сертификатов новых и перезапуск сервиса.
Из всей статьи разве что может быть полезно для кого-то информация про хуки. Всё остальное вообще не имеет никакого смысла, ибо просто ставишь certbot, даёшь команду на получение сертификата, пользуешься. Ничего вообще трогать не надо ни в Ubuntu, ни в Debian, ни в Fedora.
А вот чего реально не хватает в статье - информации о челленджах по получение сертификата. Есть про webroot, есть про standalone, но совершенно нет информации о получении сертификата через dns, которые позволяют получить в том числе и в wildcard сертификаты, не требуют остановки веб-сервера и вообще установку certbot и получение нужного сертификата можно хоть через ansible сделать.
А вот вся эта маета с настройкой таймеров и крона нужна для acme.sh и lego.
На Хакере лучше статья начинается. Там сразу пишут, что
> Связанная с Китаем APT-группировка TheWizards использует сетевую функциональность IPv6 для проведения атак типа man-in-the-middle, которые перехватывают обновления ПО для установки Windows-малвари.
Т. е. в первую очередь это MitM-атака.
Кстати, если бы сеть была построена только на IPv6, то такой проблемы не возникло. И я сейчас не шучу. Только Windows не умеет полноценно в таких сетях работать. Если у вас MacOS, Linux или любая современная мобильная операционная система, то они могут работать в сети только IPv6 и не испытывать каких-либо проблем. Всё, что нужно - NAT64 шлюз и особым образом настроенный DNS64 (хотя это больше для того, чтобы на клиентах трафик обрабатывался более эффективно, без этого тоже работать будет).
Да, такая проблемы есть. Но неужели обновление системы вообще не проверяет легитимность скачанных пакетов с помощью подписей? Даже если ты перехватишь трафик, то большая часть его будет зашифрована. Т.е. нужно ещё MiM-атаку проводить... А ещё обеспечить корректность цифровых подписей.
Что-то подробности атаки совсем не раскрыты. Да, через RA можно перенаправить трафик. Очень плохо, если кто-то из провайдеров это разрешает. Если речь идёт о локальных сетях, значит злоумышленник уже имеет доступ в локальную сеть.
Даже если трафик был перенаправлен с помощью RA, остаётся открытым вопрос, ка они вклиниваются в защищённое (https) соединение? Подменяют сертификаты? Если да, то у меня плохие новости, они уже имеют доступ на машины, где производят подмену корневых сертификатов. Или у них есть какой-то свой корневой сертификат (как в своё время пытались сделать в Казахстане), чтобы выпускать сертификаты для любых доменов.
Да, RA позволяет перенаравить трафик клиентов на другие узлы, поэтому к нему необходимо проявлять столько же внимания, сколько проявляется для защиты от фиктивных DHCP серверов. Но просто перенаравить трафик - мало.
В смысле становится адом? Там изначально тот ад, что раньше был в виде атрибутов тегов. По мне так Tailwind максимум для прототипирования. Потом нужно всё это переводить в нормальные стили, которые будут описывать элементы интерфейса. Вроде там в новой версии сделали такое, что можно собирать из этих классов какие-то свои.
TailwindСSS вообще какое-то чудо чудесное. Столько времени старались отделить текст от оформления, а в Tailwind взяли и реализовали свои атрибуты HTML тегов через классы...
Столько пафоса, что это революция... прорыв. Неужели они смогли? Не совсем... Java версия в пролёте, а значит под Linux нормально поиграть не получится. Впрочем, поиграть с шейдерами можно было уже лет 12 назад наверно, разной степени качества.
Для денег специальные типы придуманы в компьютерах, чтобы эта погрешность не копилась. Ведение бухгалтерии - это отдельное искусство. Если работаете с деньгами, лучше заранее изучить.
А системы, которые используют числа с плавающей точкой для финансов мне встречались. Одно время провайдер использовал такую и людей массово отключали за неуплату, потому что к началу месяца у них на счёте числился долг в 0,01 копейки. Просто абонентская плата списывалась каждый день. И в один прекрасный момент вылезает погрешность из-за того, что сумма делится на число дней. Лечилось там просто установкой порога отключения в 1 рубль (с запасом). А потом, благо, эту систему сменили.
Мне понравилось высказывание одного из руководителей разработки этого самого IP:
I'm serious, the decision to put a 32-bit address space on there was the result of a year's battle among a bunch of engineers who couldn't make up their minds about 32, 128 or variable length. And after a year of fighting I said - I'm now at ARPA, I'm running the program, I'm paying for this stuff and using American tax dollars - and I wanted some progress because we didn't know if this is going to work. So I said - 32 bits, it is enough for an experiment, it is 4.3 billion terminations - even the defense department doesn't need 4.3 billion of anything and it couldn't afford to buy 4.3 billion edge devices to do a test anyway. So at the time I thought we were doing a experiment to prove the technology and that if it worked we'd have an opportunity to do a production version of it. Well - it just escaped! - it got out and people started to use it and then it became a commercial thing. So, this [IPv6] is the production attempt at making the network scalable. Only 30 years later.
Цитату приводят в таком виде в вики на английском на странице «IPv4 address exhaustion». Также есть ссылка на ролик на ютубе от 2008 года, откуда эту цитату и взяли.
Суть всего этого. IPv4 задумывался как протокол, который должен был работать в условиях «лаборатории». Даже размер адресного пространства выбрали исходя из того, что больше не понадобится, ибо никто, даже министерство обороны США в те года не могли себе позволить такое количество оконечных устройств, чтобы понадобилось больше адресов. А потом этот протокол просто утёк за пределы лаборатории и стал применяться для коммерческих целей. Естественно, спустя какое-то время столкнулись с ограничениями протокола. А если взглянуть на сам заголовок пакета IPv4, то можно увидеть кучу «лишних» полей, которые добавляли, чтобы проверить концепции, а не для реального использования. Как результат, в IPv6 всё лишнее выкинули и сделали реально удобный протокол.
Ну а NAT - это просто костыль, которые приходится применять в IPv4 хочешь ты того или нет. В IPv6 он тоже есть, но если твоя сеть грамотно спроектирована, то он не нужен.
Создатель «Честного Реестра» Александр Литвинов считает, что в отрасли сложилась ситуация, при которой записи о продукции в реестре аннулируются, но заказчики, получившие оборудование, не соответствующее заявленным требованиям, остаются без компенсации.
Не совсем согласен с такой формулировкой. Как раз заказчики получили то, что было нужно. Наличие в реестре - требование от государства. Оно не сказывается на потребительских свойствах продукции.
В данном случае нанесён ущерб другим производителям электроники, которые имеют своё производство и производят технику с отечественными компонентами. Это, скорее всего, обходится дороже. Но из-за подлога, они не могли конкурировать с более дешёвыми импортными аналогами, поэтому проиграли тендер и недополучили прибыль на дальнейшее развитие.
Также ущерб был нанесён государству, т. к. подобные подлоги срывают программу импортозамещения. Другим игрокам просто не выгодно вкладываться в отечественные разработки, ведь их затраты не позволяют снизить цену ниже той, что предоставляют те же Китайские производители.
Люди думают, что очень сложно делать всякие кавычки «ёлочки» и прочее. Но если у вас, например, KDE Plasma на компьютере, то можно сделать себе 3 раскладку клавиатуры. Я вешаю её обычно на правый ALT. Там я могу и €, и ₽, и § добавить, и даже ударе́ние поставить. А уж разделять минус, дефис и тире привык ещё в те времена, когда ещё читал Ководство от Лебедева в 2000-х. Так что есть люди, которые всё это используют. А есть и те, кто даже вместо буквы «ё» ставят букву «е», ровно также, как делает deepl при переводе текстов на русский.
А чем они проще? Я вот дома сделал себе сеть fd22::/48. Вводить проще, чем 192.168.1.0. Хотя такая адресация не приветствуется. Но кто мне дома запретит. Да и сменить адресацию я легко смогу во всей сети изменив настройки маршрутизатора.
Файервол на вашем домашнем шлюзе нужен в любом случае. Просто с IPv4 у вам появляется связка NAT+Firewall, которую гораздо сложнее настраивать, чем просто Firewall для IPv6. Если думаете, что для защиты сети вам будет достаточно NAT, то ок. Когда ты Неуловимый Джо, возможно это сработает... а возможно и не сработает.
Такой себе пример. Я бы не стал светить VNC сервером напрямую в интернет. Лучше использовать VPN. Но если принять условие, что вы открываете безопасный сервис в интернет, то всё, что вам нужно сделать - открыть нужный порт в правилах файервола на вашем маршрутизаторе. А чтобы адрес не запоминать, можно использовать DNS. К тому же адрес можно сделать минимальной длины, например, за счёт маленького значения идентификатора интерфейса. А префикс у вас будет постоянным (для переменного тоже можно сделать костыли через DNS).
Просто не открывайте прямой доступ к HA из интернета. Используйте VPN. Он для этого и создан, а не для обхода багов сети, как сейчас многие стали думать.
А почему вы решили, что нет файервола? И почему «нат есть в 90% случаев»? У меня вот на маршрутизаторе есть файервол для IPv6 и по умолчанию закрыты все подключения по IPv6 снаружи внутрь. Устройства внутри сети имеют доступ к интернету по IPv6, но не наоборот. Если мне нужно открыть доступ к какому-то сервису внутри своей сети я просто прописываю соответствующее правило, которое открывает TCP или UDP порт на конкретно заданный IPv6 адрес. Для того же IPv4 это более геморройно, потому что нужно не просто открыть порт, а выделить порт с внешнего адреса маршрутизатора и указать на какую машину и какой порт будет доставка внутри сети. Если мне нужно вывести в интернет два веб-сервера разных, то их нужно разносить по портам (что не выглядит хорошо, порт нужно будет указывать в адресной строке) или каким-то образом получать второй IPv4 адрес (теоретически, практически я даже не знаю потянет ли большая часть домашних маршрутизаторов такое). Для IPv6 я просто создаю правило в файерволе для каждого своего сервера. Всё просто и хорошо читается.
Ну а NAT сейчас есть практически в 100% случаев только по той причине, что без него невозможно жить в сети IPv4. Производители явно не будут продавать устройства, где пользователям надо будет всё руками настраивать, поэтому и преднастроенный NAT есть практически в любом маршрутизаторе.
У меня всё взаимодействие с certbot на новом сервере сводится к apt install/dnf install. После этого я запускаю команду certbot с определёнными параметрами. Возможно ещё перед запуском надо создать файл с секретами. После этого уже можно прописывать сертификаты в nginx. Больше ничего не надо. Дальше всё работает само. Поэтому я и написал про acme.sh и lego. Там тоже всё просто, но есть проблема с обновлением сертификатов. Это надо вручную настраивать.
С хуками столкнулся, когда у меня работал XMPP сервер. Там я настраивал копирование сертификатов новых и перезапуск сервиса.
Из всей статьи разве что может быть полезно для кого-то информация про хуки. Всё остальное вообще не имеет никакого смысла, ибо просто ставишь certbot, даёшь команду на получение сертификата, пользуешься. Ничего вообще трогать не надо ни в Ubuntu, ни в Debian, ни в Fedora.
А вот чего реально не хватает в статье - информации о челленджах по получение сертификата. Есть про webroot, есть про standalone, но совершенно нет информации о получении сертификата через dns, которые позволяют получить в том числе и в wildcard сертификаты, не требуют остановки веб-сервера и вообще установку certbot и получение нужного сертификата можно хоть через ansible сделать.
А вот вся эта маета с настройкой таймеров и крона нужна для acme.sh и lego.
На Хакере лучше статья начинается. Там сразу пишут, что
> Связанная с Китаем APT-группировка TheWizards использует сетевую функциональность IPv6 для проведения атак типа man-in-the-middle, которые перехватывают обновления ПО для установки Windows-малвари.
Т. е. в первую очередь это MitM-атака.
Кстати, если бы сеть была построена только на IPv6, то такой проблемы не возникло. И я сейчас не шучу. Только Windows не умеет полноценно в таких сетях работать. Если у вас MacOS, Linux или любая современная мобильная операционная система, то они могут работать в сети только IPv6 и не испытывать каких-либо проблем. Всё, что нужно - NAT64 шлюз и особым образом настроенный DNS64 (хотя это больше для того, чтобы на клиентах трафик обрабатывался более эффективно, без этого тоже работать будет).
По поводу этой заметки уже шутят, что «чтобы защититься от ARP спуфинга специалисты рекомендуют отключить IPv4».
Да, такая проблемы есть. Но неужели обновление системы вообще не проверяет легитимность скачанных пакетов с помощью подписей? Даже если ты перехватишь трафик, то большая часть его будет зашифрована. Т.е. нужно ещё MiM-атаку проводить... А ещё обеспечить корректность цифровых подписей.
Что-то подробности атаки совсем не раскрыты. Да, через RA можно перенаправить трафик. Очень плохо, если кто-то из провайдеров это разрешает. Если речь идёт о локальных сетях, значит злоумышленник уже имеет доступ в локальную сеть.
Даже если трафик был перенаправлен с помощью RA, остаётся открытым вопрос, ка они вклиниваются в защищённое (https) соединение? Подменяют сертификаты? Если да, то у меня плохие новости, они уже имеют доступ на машины, где производят подмену корневых сертификатов. Или у них есть какой-то свой корневой сертификат (как в своё время пытались сделать в Казахстане), чтобы выпускать сертификаты для любых доменов.
Да, RA позволяет перенаравить трафик клиентов на другие узлы, поэтому к нему необходимо проявлять столько же внимания, сколько проявляется для защиты от фиктивных DHCP серверов. Но просто перенаравить трафик - мало.
В смысле становится адом? Там изначально тот ад, что раньше был в виде атрибутов тегов. По мне так Tailwind максимум для прототипирования. Потом нужно всё это переводить в нормальные стили, которые будут описывать элементы интерфейса. Вроде там в новой версии сделали такое, что можно собирать из этих классов какие-то свои.
TailwindСSS вообще какое-то чудо чудесное. Столько времени старались отделить текст от оформления, а в Tailwind взяли и реализовали свои атрибуты HTML тегов через классы...
Столько пафоса, что это революция... прорыв. Неужели они смогли? Не совсем... Java версия в пролёте, а значит под Linux нормально поиграть не получится. Впрочем, поиграть с шейдерами можно было уже лет 12 назад наверно, разной степени качества.
Для денег специальные типы придуманы в компьютерах, чтобы эта погрешность не копилась. Ведение бухгалтерии - это отдельное искусство. Если работаете с деньгами, лучше заранее изучить.
А системы, которые используют числа с плавающей точкой для финансов мне встречались. Одно время провайдер использовал такую и людей массово отключали за неуплату, потому что к началу месяца у них на счёте числился долг в 0,01 копейки. Просто абонентская плата списывалась каждый день. И в один прекрасный момент вылезает погрешность из-за того, что сумма делится на число дней. Лечилось там просто установкой порога отключения в 1 рубль (с запасом). А потом, благо, эту систему сменили.
P.S. Систему звали Bill-Master.
Мне понравилось высказывание одного из руководителей разработки этого самого IP:
Цитату приводят в таком виде в вики на английском на странице «IPv4 address exhaustion». Также есть ссылка на ролик на ютубе от 2008 года, откуда эту цитату и взяли.
Суть всего этого. IPv4 задумывался как протокол, который должен был работать в условиях «лаборатории». Даже размер адресного пространства выбрали исходя из того, что больше не понадобится, ибо никто, даже министерство обороны США в те года не могли себе позволить такое количество оконечных устройств, чтобы понадобилось больше адресов. А потом этот протокол просто утёк за пределы лаборатории и стал применяться для коммерческих целей. Естественно, спустя какое-то время столкнулись с ограничениями протокола. А если взглянуть на сам заголовок пакета IPv4, то можно увидеть кучу «лишних» полей, которые добавляли, чтобы проверить концепции, а не для реального использования. Как результат, в IPv6 всё лишнее выкинули и сделали реально удобный протокол.
Ну а NAT - это просто костыль, которые приходится применять в IPv4 хочешь ты того или нет. В IPv6 он тоже есть, но если твоя сеть грамотно спроектирована, то он не нужен.
Не совсем согласен с такой формулировкой. Как раз заказчики получили то, что было нужно. Наличие в реестре - требование от государства. Оно не сказывается на потребительских свойствах продукции.
В данном случае нанесён ущерб другим производителям электроники, которые имеют своё производство и производят технику с отечественными компонентами. Это, скорее всего, обходится дороже. Но из-за подлога, они не могли конкурировать с более дешёвыми импортными аналогами, поэтому проиграли тендер и недополучили прибыль на дальнейшее развитие.
Также ущерб был нанесён государству, т. к. подобные подлоги срывают программу импортозамещения. Другим игрокам просто не выгодно вкладываться в отечественные разработки, ведь их затраты не позволяют снизить цену ниже той, что предоставляют те же Китайские производители.
В этом плане стандартные раскладки - топ. В KDE Plasma разве что надо это руками включить. А дальше просто привыкаешь к тому как настроено.
Я совсем не против, просто рассказал о том, чем пользуюсь я. Рад, что и для Windows есть такие утилиты.
Люди думают, что очень сложно делать всякие кавычки «ёлочки» и прочее. Но если у вас, например, KDE Plasma на компьютере, то можно сделать себе 3 раскладку клавиатуры. Я вешаю её обычно на правый ALT. Там я могу и €, и ₽, и § добавить, и даже ударе́ние поставить. А уж разделять минус, дефис и тире привык ещё в те времена, когда ещё читал Ководство от Лебедева в 2000-х. Так что есть люди, которые всё это используют. А есть и те, кто даже вместо буквы «ё» ставят букву «е», ровно также, как делает deepl при переводе текстов на русский.