Обновить
46
Александр@NAI

Инженер, сетевик-затейник в АСУ, отличный парень

0,7
Рейтинг
8
Подписчики
Отправить сообщение

Я немного потерял нить дискуссии.

Мой тезис был о том что "инертность" телеком оборудования в части внедрения - очень сомнительный тезис. Например, стандарты wifi обновляются раз ~5 лет, между собой не совместимы, но при этом у всех все работает.

Чего нельзя сказать о IPv6.

А вы про что?

 А может это просто железо под конкретный рынок

Европа, без ограничений.

по поводу вашего железа я спросил Google. Он прямо сказал, что даже в более ранних версиях этой ОС

Насколько ранних? =) вот даташит на 8.7 (мажОр назад):

У меня нет под рукой коммута, вот вам скрин из доки

Ну вот вам скрин еще более ранней ОС (2019 г.) шота тоже IPv6 не наблюдается.

Скрытый текст

Справедливости ради, надо сказать что в 10ой версии IPv6 завезли, вроде бы, но это не точно и только через cli.

В любом случае, я могу назвать еще пучок устройств которые в 2026 г. не поддерживают IPv6 вообще никак, часть конечно узконаправлены (типа МПРЗ), часть производится в РФ (SNR-ERD-4s, например), часть вообще IoT, но есть и телеком оборудование (типа межсетевого экрана)

А откуда был сделан вывод, что коммутатор отечественный?

Я вам даже больше скажу, он даже не китайский, а, внезапно, немецкий.

Угадайте коммутатор по скрину

Wi-Fi так-то большей частью обратно совместим. 

А не путаете ли вы совместимость устройств и стандартов? А то у меня есть некоторые подозрения, что если на ТД выставить только 802.11ax, то устройства с 802.11ac не смогут подключиться (ну там всякие 1024QAM, OFDMA и прочие радости жизни). Тем более b\g\n (хотя 802.11ax поддерживает 2.4 ГГц).

Раскройте мысль, а то как-то неочевидно что подразумевается под "настоящим" и "сувенирным"

Никакого специального софта я не ставил.

Специально же оставлял ссылку на скандал - https://androidinsider.ru/soft/populyarnyiy-faylovyiy-menedzher-dlya-android-slival-dannyie-polzovateley.html

История не про то что в голой ОС нет открытых сервисов, а про то что сторонний софт может поднять сервис о существовании которого вы никогда не узнаете и не имеете возможность заблокировать. Да что там заблокировать - хотя бы прибить к LinkLocal.

Я пользуюсь софтом который позволяет с одного телефона просматривать камеру на другом (удобно когда выставляешь себя в кадре) - это классический клиент-сервер работающий в локалке

В этой дискуссии мы ходим по кругу.

Где в андройде/яблоке fw? Или в мобильной сети провайдер будет заниматься fw? или мне верить что админ кофейни в 1.5 столика имеет cisco ipv6-certificated (или как оно там у них?) и всё настроил как надо. Еще раз, публичные сети - zero trust, fw должен быть настроен на устройстве.

Если в дефолтном fw будет включено блокировка входящих, то теряется связанность.

При включенном upnp кто будет контролировать сервисы?

Еще раз кто будет заниматься в дивном новом мире всем этими проблемами у домохозяек?

 Если взять рандомно генерируемую хостовую часть адреса v6, то

Рандомная генерация происходит, обычно, при инициализации интерфейса и держится до ребута (сужу по win 11). Соответственно, мой запущенный торрент клиет палит IPv6 адрес в DHT-сети, любой скомпрометированный хостинг\либа на cdn, сразу увидит фактический IPv6-адрес.

Да у злоумышленника будет условно 2-3-8(рабочий день) часов, чтобы заняться моим ПК, но ключевое здесь что - рандомайзер не панацея, а костыль, как раз из-за того что

по факту

с fw на конечных устройствах проблемы, пользователи не знают\хотят их настраивать или они там отсутствуют как класс.

И возвращаясь к первой части вашего ответа, это хорошая правильная теория, которая в жизни сейчас не работает (это спустя сколько то там лет внедрения IPv6).

 то вопрос сводится к тому, как управлять файерволами

Вопрос не про "как", а про "кто". "Как" понятно - профили (общедоступная\частная сеть) еще в win7 появились.

Сейчас домохозяйке не нужен админ, а с IPv6 получается нужен. Не потому что IPv6 плох, а потому что для конечных, не компетентных пользователей несет риск.

Ну и кстати про FW - чет я на андройде не вижу FW в принципе =) 2026 год так-то, количество китай-фонов в которых вообще все что угодно может быть открыто зашкаливает.

Сканирование 2^64 адресов в префиксе /64

Вторая часть абзаца парирует этот тезис - я его специально сразу написал... это работает только если вы ходите на ограниченное количество ресурсов с сильным доверием и аудитом.

Который может оказаться неожиданно щедрым и будет прокидывать белые IPv4 адреса на подключающиеся устройства.

За 22 года (а именно в 2004 у меня появился первый ноут), я такого не видел ни разу. Вероятность такой штуки еще ниже чем кулхацкер Васян.

прикрываясь локальными firewall-ами, нормальной авторизацией и вешаясь на адреса, недоступные снаружи

Вопрос был кто это будет настраивать домохозяйкам =) Потому что ситуация когда какое-то ПО поднимает сервис в windows вообще ни разу не гипотетическая

Ну вот по идее девятка дает - Average: 4939 Gbps IPv6:Average: 66 Gbps

(тут конечно тоже можно докопаться до методики\региона), но мне кажется что статистика с точек обмена траффиком самая релевантная

Это статистика о том что у 47% юзеров гугла есть ipv6.

Есть еще пользователи которые не пользуются гуглом. Представьте (мыслительный эксперимент) выдуманную страну Кракожию, в которой забанены все сервисы гугла, нет ipv6, но она генерирует 50% всего мирового траффика (пусть там хостится p*nhub).

Нехитрой математикой за 3 класс общеобразовательной школы получим что реальное количество ipv6-траффика ~23%, а не 47.

Я не видел железо, которые не поддерживают в6 уже лет 10. 

А я вот пару дней назад ставил коммутатор с firmware от 2025 г. который не умеет в ipv6. АСУ ТП передает привет =)

А почему в статистике Google, на которую вы сами привели ссылку, написано 47%?

Потому что читать мелкий шрифт надо:

Скрытый текст

We are continuously measuring the availability of IPv6 connectivity among Google users. The graph shows the percentage of users that access Google over IPv6.

Мы постоянно отслеживаем доступность подключения по протоколу IPv6 среди пользователей Google. На графике показана доля пользователей, обращающихся к сервисам Google через IPv6.

Рутуб\vk\яндекс\мейл\что-там у нас из крупного, поддерживает ipv6? Вот от того и 10%

Слишком длинный и сложный для задания/передачи

Ну во-первых никто не мешает вам использовать 2001:db8:85a3::192:168:10:025

во-вторых, в ipv6 можно развлекаться с 2001:db8:85a3::feed:dead:beef:cafe

Правда в корне противоречит статистике Гугла,

Статистику гугла же разбирали - это статистика по обращению к сервисам гугла. И она была бы релевантной если бы мы пользовались только гуглом. Но мир чуть больше - в нем есть яндексы, vk, habr и прочие рутубы.

Читаем мелкий шрифт https://www.google.com/intl/en/ipv6/statistics.html

We are continuously measuring the availability of IPv6 connectivity among Google users. The graph shows the percentage of users that access Google over IPv6.

Мы постоянно отслеживаем доступность подключения по протоколу IPv6 среди пользователей Google. На графике показана доля пользователей, обращающихся к сервисам Google через IPv6.

Простите, кем конкретно эта концепция признана плохой?

Я понимаю, что отвечать вопросом на вопрос плохая практика, но когда слышу такой довод, то всегда хочется спросить - кто будет настраивать firewall на всех этих устройствах? Мы же не можем сделать на межсетевом экране на входе в квартиру deny all incoming, allow all out иначе теряется концепция связанности устройств. И даже если пропишем такое правило, то где гарантии что в условном кафе есть такое же правило.

Особенно весело все это работает для носимых устройств, которые перемещаются между разными сетями (дом-мобила-общ.сеть-работа). У меня есть ноут. на нем поднят dev-сервис где все пароли admin\admin и http(потому что нафиг мне мучаться\тратить время с сертификатами не на prod\stage). Так вот, дома на микроте правило создал, никаких внешних подключений - все ок. Но как только я окажусь в кафе - где гарантии, что мой dev-сервер не окажется голой жопой в интернете?

Соответственно, мне надо или настраивать два файрволла (на МЭ дома, и на ноуте) - что как бы работы х2 плюс это еще уметь надо (а по факту на всех носимых устройствах, что есть х5) или второе, прибивать (проводить аудтит по всем сервисам) сервис к localhost - что тоже требует телодвижений, и иногда весьма прикольных особенно если софт, проприетарный.

Есть вариант конечно на dev-делать все секьюрно, но давайте будем реалистами - мне надо написать код, а не е*ться две недели с обеспечением безопасности.

Отдельный вопрос что делать с устройствами где нет доступа к FW. Вот у меня pixel 7, даже с 17 андройдом, где гарантия что ES File Explorer не откроет 59777, когда я буду подключен к мобильной сети\сети кафе?

Сейчас, везде NAT, и мой 80 порт конечно торчит голой жопой в кафе, но торчит он сугубо в локалке этого самого кафе. Вероятность что там же окажется кулхацкер Васян2000, ничтожно мала.

Можно сказать что и адресов в ipv6 вагон и попадание под сканер портов еще ниже чем в кафе - да. НО это если никуда не ползать! По факту, любой заход на сайт\запущенный торрент\обращение к DNS - палит ipv6.

Я проводил эксперимент - брал торрнетны и стучался сканером портов на ipv6 - угадайте, сколько веб-морд Transmission'а было найдено =)

Надо было сразу написать что uPNP не предлагать, т.к. это костыль который работает опять таки в очень ограниченном ряде случаев.

Давайте рассматривать кейс с мобилой и ES File Explorer. Дома\на работе админ делает deny all incoming, allow all out, включает "upnp". А в мобильной сети кто этим будет заниматься? А если я с мобилы на даче шарю интернет, мне его(upnp и firewall) где включать?

Далее, upnp - любая майлварь сможет открыть доступ к моему пк\мобиле? Тоже такое себе.

Вы же в курсе как ms закостылили безопасность? В win10\11 забирают себе два ipv6, один статический, второй динамически, периодически меняется, чтобы по вам не прошлись сканером портов (ну или если даже прошлись, не успели воспользоваться). Решение сомнительное, но вот так.

С ipv6 шаринг сервиса становится приключением. Кейс, рабочий ноутубук docker up -p 80:80 dev_container (пример условный). Вроде бы все окей, НО. как только я с этим нотуом окажусь в кафе\мобильном интернете, кто и что настраивал на fw вопрос открытый, для меня это сразу не доверенная железка - т.е. FW должен быть настроен на моем ноуте. Возвращаемся к началу... домохозяйка в душе не знает что и кто у нее там включил и поднял. Она хочет работать листать котиков из дома\кафе\дачи\рабочего места.

В общем, чтобы это все работало нормально нужен или нормальный админ который настроит FW на всех устройствах и МЭ или отказаться от основных фичей ipv6.

был фаервол на домашнем или корпоративном роутере, так и останется

Кто его будет настраивать домашним пользователям?

если домохозяйкам настраивать условный deny all incoming, allow all out, то смысл IPv6 теряется наглухо, т.к. те же peer-to-peer(voip, конференции) сервисы превращаются в тыкву

 мир сети слишком большой и инертный

Что-то это не мешает wi-fi'ю обновляться каждые 5-7 лет. Сейчас сложно найти устройство под wi-fi 4. Они конечно есть, но это совсем уж начальный уровень.

Второе, инертность и затраты, как-то не помешали провайдерам перейти с 10 мб\с, на 100 мб\с, а затем и на 1G. 2G\3G\LTE\4G\5G, соответственно, у мобильных операторов. Я тут кстати с удивлением обнаружил, что собрать сетку на 100 мб\с SFPихах дороже чем на гигабитных.

Проблема IPv6 в том что она не нужна конечному потребителю -> провайдеры не могут это продавать -> нет смысла тратить время и деньги. Бонусом идет забавный факт, что конечному пользователю еще время на настройку Firewall'ов потратить надо, так-то. В вашей мобиле fw настроен? Уверены что какой-ндь ES File Explorer поднимет сервис без вашего ведома, который будет голой попой торчать в IPv6.

Отсылка

...особенность ES File Explorer состояла в том, что даже единичный запуск приложения на Android-устройстве провоцировал его превращение в HTTP-сервер с открытым портом 59777. Именно он позволял участникам локальной сети, к которой подключена жертва, перехватывать ее данные, а также получить доступ к информации об устройстве, что в свою очередь могло послужить основанием для взлома или совершения других деструктивных действий.

https://androidinsider.ru/soft/populyarnyiy-faylovyiy-menedzher-dlya-android-slival-dannyie-polzovateley.html

Я уж молчу про то что не у всех есть компетенции.

1
23 ...

Информация

В рейтинге
2 608-й
Откуда
Санкт-Петербург, Санкт-Петербург и область, Россия
Зарегистрирован
Активность