И nat, и stateful firewall - это конструкции, на которых часть пакетов будет отброшена, а часть - пройдёт по назначению. На разных устройствах применяются разные механизмы фильтрации, где что удобнее и привычнее. Так, например, nat может быть применен на сетевом оборудовании, а stateful fw - на сервере.
Да, корректная настройка Firewall обеспечивает вполне достаточный уровень защиты. Однако, NAT не хуже. Кроме того, у нас были ещё некоторые причины применения NAT, но подробности выходят далеко за тематику статьи.
1) Со временем, возможно, и веб-сайт Банка станет доступен по IPv6. Пока такого решения не принято, целесообразность доработки неочевидна. 2) Это были эпизодические непродолжительные случаи, связанные с некорректной работой смартфона или сети. Выглядело так, что смартфон при wifi-sharing-е не выдавал DHCPv4, только IPv6
Совершенно верно, IPv6-адреса выдаются провайдерам крупными блоками, чтоб исключить запросы дополнительной адресной ёмкости. Однако, кроме огромного числа даже таких крупных блоков, на рост таблиц будет влиять ещё фрагментация этих блоков самими провайдерами. Часто провайдеры анонсируют more specific -префиксы, чтоб гибко управлять нагрузкой на межоператорских стыках.
1) AAAA -записи появляются в DNS по мере запуска соответствующих ресурсов на IPv6-адресах. Для ресурсов на адресах IPv4 соответствующие A-записи естественно есть. 2) Таких нам неизвестно, все кто предоставляют IPv6-связность, также дают и IPv4. Спасибо, мы старались :)
На самом хосте, в общем случае, открыты ещё какие-то порты и протоколы. Да и сам FW (напр., netfilter) может быть подвержен каким-то уязвимостям. Рекомендации вроде NIST SP 800-215, наряду с прочими мерами, предлагают фильтровать трафик на 1st hop router-е либо на оборудовании доступа.
Действительно, BGP Full View бурно растёт, см. BGP Reports (potaroo.net). И если макс. размер IPv4-таблиц теоретически ограничен числом возможных подсетей /24, то макс. размер таблиц IPv6 - больше на порядки. Современные маршрутизаторы могут держать миллионы записей в FIB, скоро потребуются миллиарды :)
"учёт клиентских адресов" - в основном, как один из рубежей DDoS защиты. Для уникального адреса настраивается лимит подключений за определённый период времени. В некоторых случаях также применяются black-листы по ip-адресам/префиксам
Опасность, в основном, в уязвимостях, в т.ч. 0day. Уговаривать было некому, сетевики и безопасники оказались заодно. Сделали по образу и подобию существующих IPv4-решений.
И nat, и stateful firewall - это конструкции, на которых часть пакетов будет отброшена, а часть - пройдёт по назначению. На разных устройствах применяются разные механизмы фильтрации, где что удобнее и привычнее. Так, например, nat может быть применен на сетевом оборудовании, а stateful fw - на сервере.
Разумеется, кроме NAT есть ещё защитные меры, в т.ч. и Firewall-ы
Да, корректная настройка Firewall обеспечивает вполне достаточный уровень защиты. Однако, NAT не хуже. Кроме того, у нас были ещё некоторые причины применения NAT, но подробности выходят далеко за тематику статьи.
К сожалению, ресурсы Банка привлекают повышенное внимание злонамеренных пользователей. Убрать сервер за NAT - вполне рабочее решение.
1) Со временем, возможно, и веб-сайт Банка станет доступен по IPv6. Пока такого решения не принято, целесообразность доработки неочевидна.
2) Это были эпизодические непродолжительные случаи, связанные с некорректной работой смартфона или сети. Выглядело так, что смартфон при wifi-sharing-е не выдавал DHCPv4, только IPv6
Интересно.. Возможно, оно просто ещё в стадии внедрения у МФ.
На Мегафоне ipv6 включается по запросу (см. Использование IPv6 в мобильных сетях России - 4PDA )
Совершенно верно, IPv6-адреса выдаются провайдерам крупными блоками, чтоб исключить запросы дополнительной адресной ёмкости. Однако, кроме огромного числа даже таких крупных блоков, на рост таблиц будет влиять ещё фрагментация этих блоков самими провайдерами. Часто провайдеры анонсируют more specific -префиксы, чтоб гибко управлять нагрузкой на межоператорских стыках.
1) AAAA -записи появляются в DNS по мере запуска соответствующих ресурсов на IPv6-адресах. Для ресурсов на адресах IPv4 соответствующие A-записи естественно есть.
2) Таких нам неизвестно, все кто предоставляют IPv6-связность, также дают и IPv4.
Спасибо, мы старались :)
На самом хосте, в общем случае, открыты ещё какие-то порты и протоколы. Да и сам FW (напр., netfilter) может быть подвержен каким-то уязвимостям. Рекомендации вроде NIST SP 800-215, наряду с прочими мерами, предлагают фильтровать трафик на 1st hop router-е либо на оборудовании доступа.
По-умолчанию, ipv6 предоставляет только МТС, в т.ч. и в роуминге на полуострове.
Действительно, BGP Full View бурно растёт, см. BGP Reports (potaroo.net). И если макс. размер IPv4-таблиц теоретически ограничен числом возможных подсетей /24, то макс. размер таблиц IPv6 - больше на порядки. Современные маршрутизаторы могут держать миллионы записей в FIB, скоро потребуются миллиарды :)
"учёт клиентских адресов" - в основном, как один из рубежей DDoS защиты. Для уникального адреса настраивается лимит подключений за определённый период времени. В некоторых случаях также применяются black-листы по ip-адресам/префиксам
Опасность, в основном, в уязвимостях, в т.ч. 0day. Уговаривать было некому, сетевики и безопасники оказались заодно. Сделали по образу и подобию существующих IPv4-решений.
Около 10% запросов, см. 1й абзац заключительного раздела статьи.