praegune kellaaeg 27.04.2024 00:54:58 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
sõnum   |
|
Etz
HV Guru
liitunud: 27.01.2005
|
19.11.2021 00:00:55
|
|
|
netmaster, ja miks ma peaks sind üldse IP aadressi abil jälitama?
See ju muutub ka IPv6'e puhul, kui sa võrkude vahel roamid.
Palju lollikindlam on muid identifikaatoreid kasutada... 
Kui suur vend sind ikka jälgida tahab, siis seda ka ta teeb, kasuta või morset...
Muuseas, kuna aina enam surutakse (kogu maailma smuideks) sulle koju ISP ruuterit, siis su teoreetikum ei päde,
vajadusel võib su koduses karbis kasvõi netflow käima panna ja kasvõi igat su paketti logida, kui vaid soovi on.
Neid kes oma ruuteri paigaldavad ja seda ise haldavad on ikka suhteline vähemus.
_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
| Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
192 |
|
| tagasi üles |
|
 |
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
19.11.2021 00:18:44
|
|
|
| Etz kirjutas: |
netmaster, ja miks ma peaks sind üldse IP aadressi abil jälitama?
See ju muutub ka IPV6'e puhul, kui sa võrkude vahel roamid. |
Prakltikas toimub valdav enamus "jälitustoimingutest" tagantjärgi serverite logide põhjal, sest liiklus on nagunii krüptitud ja selle pealtkuulamine ei anna eriti midagi. Kui sa tahad teada, kes konkreetse maili saatis või kuskile midagi postitas, siis on oluline IP aadress. Roami kuhu tahes.
| tsitaat: |
| Palju lollikindlam on muid identifikaatoreid kasutada... |
näiteks milliseid identifikaatoreid konkreetse anonüümse kasutaja kohta veebiserveri logid sisaldavad?
Või millist kasutajale või seadmele viitavat identifikaatorit sisaldavad SSH paketid?
IPv6 puhul on mõlemal juhul kindlalt olemas konkreetse seadme IP aadress, mida on tõenäoliselt võimalik ka konkreetse kasutajaga siduda.
| tsitaat: |
| Kui suur vend sind ikka jälgida tahab, siis seda ka ta teeb, kasuta või morset... |
Pealtkuulamine ja hangitud info inimesega sidumine on kaks täiesti erinevat asja. See kehtib ka morse kohta. Organeid huvitab üldjuhul just see inimesega sidumise pool.
| tsitaat: |
Muuseas, kuna aina enam surutakse (kogu maailma smuideks) sulle koju ISP ruuterit, siis su teoreetikum ei päde,
vajadusel võib su koduses karbis kasvõi netflow käima panna ja kasvõi igat su paketti logida, kui vaid soovi on. |
teoreetiliselt küll, kuid tagantjärgi pole sellest mingit tolku. See, et ISP logib kõikide kasutajate pakette juhuks, kui organid küsima tulevad, on ebareaalne.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
kaabakas
HV veteran
liitunud: 01.04.2002
|
|
19.11.2021 00:24:28
|
|
|
Mis puudutab India ja Hiina valitsuste korraldusi, siis nendel on suur vahe sees. Hiinas, ükskõik mida me arvame nende inimõigustest või karupoeg Puhhi autokraatiast, on juhtkond kompetentne, oskab eesmärke seada ja nende saavutamist korraldada. Lisaks näeb partei Hiinas kõvasti vaeva, et otsustavatel kohtadel oleks teravad pliiatsid, kellel on kõrgel tasemel arusaam protsessidest, mida nad juhivad. Ja ilma taolise asjade seisuta ei oleks nad kunagi maast lahti saanud ka.
India võib Hiina edu küll vesistades pealt vaadata, kuid Indias on juhtkond igal tasemel ebakompetentne ja korrumpeerunud. Sellest tulenevalt on riigi haldussuutlikkus nullilähedane ja ükskõik mis korraldused seal ka kõrgemalt poolt tulevad, sumbuvad need kiiresti jõuetusse letargiasse, ja asjade lörri minemisest mööda vaatamisest on huvitatud nii käsutäitjad kui ka käskijad ise.
Ühesõnaga, sõnad on odavad ja poliitikute lubadused veel eriti. Sõnade asemel vaadake sõnade tagant seda, mis päriselt toimub ja toimuda saab. Ja see soovitus kehtib absoluutselt läänemaailmas ka. Koduse ülesandena võite mõelda selle peale, kuidas tulemusi vaadates tundub meiekandi poliitikute lubaduste väärtus.
Mis puudutab küsimust sellest, et ipv4 natib, aga ipv6 mitte, siis siin on pointe küll. Aga mitte tingimata selliseid, mis esimesena pähe tulevad. On tõsi, et ipv6 by default annab kõigile seadmetele avalikud ip-aadressid. See on mõnevõrra parem seis kui varem, sest nii on lõppkasutajal ehk veidi lihtsam oma seadmeid netti kättesaadavaks teha. Aga siin ei ole suurt vahet. Sest küsimus ei ole kunagi olnud tehnilises keerukuses, vaid kasutajaliideses kasutatavuses. Need ajad on ammu möödas, kui kasutajaliides peegeldas backendi tehnilist ülesehitust. Kasutajaliidesesse pole vaja muud kui ühte suurt punast nuppu, kuhu peale on kirjutatud "luba mind väljast siia kaamerasse sisse." Aga kui kuskil peaks leiduma mõni lõppkasutaja ruuter, mille tulemüür by default kõik sissetuleva liikluse sisevõrku edasi suunab, vat see on nii suur ja loll prohmakas, et selline ettevõte leiab loodetavasti kiire otsa.
Mitte et ma propageeriks kaamerate valimatult netti kättesaadavaks tegemist. Aga olgem realistid, see on ilmselt nr.1 pordisuunamise use case.
Aga inimesed, keda huvitab nattimine sisevõrgu topoloogia varjamise eesmärgil, keegi ei keela neid ka ipv6 nattida nii palju kui süda lustib. Vähe sellest, meil on nüüd 6/4 natid jne. Mäng on võimalusi juurde saanud, mitte kaotanud. Muidugi, ipv6 väljatöötamisest on aastaid möödas ja maailm on turvaküsimustes vahepeal muutunud. Saab tuua veenvat argumenti küll, et vaikeseadetes võiks olla natitud, mitte ruuditud ipv6. Ma olen täitsa kindel, et Hiina valitsuse jaoks on ipv6 abil saavutatav läbipaistev sisevõrgu topoloogia üks põhilisi põhjusi, miks nad asjast huvitatud on. Samuti pole mul mingeid illusioone, et Lääne valitsused selles osas paremad oleks. Lihtsalt meil on kombeks, et rahvast tuleb enne aastate kaupa terroristide, pedofiilide, Putini ja Trumpiga hirmutada, et nad ise tuleks paluma taha saada.
Aga võttes arvesse, millise kiirusega ipv6 ikka veel levib, siis selles osas on tehnilistel komiteedel veel aastaid aega neid küsimusi arutada, enne kui ipv6 piisavalt levinud on, et teema aktuaalseks muutuks 
_________________
Mida Ott ei õpi, seda Egon ei tea. |
|
| Kommentaarid: 103 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
93 |
|
| tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
|
19.11.2021 18:07:27
|
|
|
| kaabakas, selles suhtes jään natuke eriarvamusele, et kasutajaliideses piisab ühest punaest nupust ja köögipoolt pole vaja teada. See suur punane nupp teeb kahtlemata elu mugavaks kui ei pea iga liigutuse jaoks käsureale ronima ja seal mitu kuni palju käsku sisestama, aga rangelt soovitav on siiski teada mis kõhus toimub kuna nii need ebaturvalised konfid tekivadki kui kasutaja huupi siniseid, punaseid ja rohelisi nuppe klõpsib.
|
|
| Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
| tagasi üles |
|
|
ece3n
HV vaatleja
liitunud: 12.04.2005
|
|
19.11.2021 19:42:51
|
|
|
| netmaster kirjutas: |
...
| tsitaat: |
Muuseas, kuna aina enam surutakse (kogu maailma smuideks) sulle koju ISP ruuterit, siis su teoreetikum ei päde,
vajadusel võib su koduses karbis kasvõi netflow käima panna ja kasvõi igat su paketti logida, kui vaid soovi on. |
teoreetiliselt küll, kuid tagantjärgi pole sellest mingit tolku. See, et ISP logib kõikide kasutajate pakette juhuks, kui organid küsima tulevad, on ebareaalne. |
kõikide pakettide logimine mitte ei ole ebareaalne, vaid see on kohustus.
https://www.riigiteataja.ee/akt/ESS § 111. Andmete säilitamise kohustus
See tegevus ei ole üldse nii raske kui sa arvad. Isegi kui sul on 1000000 korteriga maja, siis see eeldab et seal on sama paljude portidega ruuter/switsch. Ning selle iga port läheb kindlasse korterisse. ISP logib seda porti mis läheb sinu tuppa, sa võid seal oma ruuterit igapäev vahetada kui tahad, kuid sellest ei ole suurt kasu, kogu su neti logi on ikkagi olemas.
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
|
19.11.2021 20:23:03
|
|
|
ece3n, kas sa ise ka aru saad, mida kõikide pakettide logimine reaalselt tähendaks? Kui su ostujuht naaseb poest kotitäie uute ketastega, siis peab ta kohe otsa ümber pöörama ja jälle uute järele minema. See liiklus on meeletu, mõni kuni mõnikümmend TB teeb täis isegi tavaline kodukasutaja.
Ühendusi ilmselt kuigipalju logitakse kuigi isegi sellega võib kasvõi tavalise linuxi ISO laadimine logid korralikult täis pasandada kui seda torrenti kaudu teha rääkimata sellest kui "onu Kanadast" midagi suuremat saadab.
|
|
| Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
| tagasi üles |
|
|
ece3n
HV vaatleja
liitunud: 12.04.2005
|
|
19.11.2021 20:46:46
|
|
|
| napoleon kirjutas: |
ece3n, kas sa ise ka aru saad, mida kõikide pakettide logimine reaalselt tähendaks? Kui su ostujuht naaseb poest kotitäie uute ketastega, siis peab ta kohe otsa ümber pöörama ja jälle uute järele minema. See liiklus on meeletu, mõni kuni mõnikümmend TB teeb täis isegi tavaline kodukasutaja.
Ühendusi ilmselt kuigipalju logitakse kuigi isegi sellega võib kasvõi tavalise linuxi ISO laadimine logid korralikult täis pasandada kui seda torrenti kaudu teha rääkimata sellest kui "onu Kanadast" midagi suuremat saadab. |
Olen töötanud ISP juures ja loginud liiklust, meile ja muud säärast, see logi ei olegi nii üüratu kui sa arvad. logitakse ju ainult: sinu IP (MAC või port, mis on on konstantne), IP millele pöördud, kuupäev ja kellaaeg. Pealegi meile ju hoitakse serversi nagunii kontantselt alles, või noh nii palju kui palju gigasid/terasid või muud säärast mõõtühikut lubatud on ja muidugi veel bakup neile meilidele, mis on üldjuhul tsipa suurem ruum, kuna seal on alles ka kustutatud meilid, vähemalt mingi aeg.
Torrent teeb küll esialgu tohutult ip päringuid, kuid reaalsus on see, et peamine liiklus käib mõnekümne ip pealt.
ja ISP-d saavad regulaarselt Ameerika kurjadelt onudelt kirju, kus nad paluvad kindlaks teha kellele mingi kindel IP kuulub. Õnneks ei ole õigust ilma kohtu loata vastavat infot jagada kolmandatele osapooltega, teine teema on see, kui Eesti enda politsei päringu teeb, siis on kohustus seda infot jagada.
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
19.11.2021 22:58:03
|
|
|
| tsitaat: |
kõikide pakettide logimine mitte ei ole ebareaalne, vaid see on kohustus.
|
sa oled millestki valesti aru saanud. Elektroonilise side seadus ei kohusta kedagi liiklust logima.
| tsitaat: |
(3) Interneti-ühenduse, elektronposti ja Interneti-telefoni teenuse osutaja on kohustatud säilitama järgmised andmed:
1) sideettevõtja poolt eraldatud kasutajatunnused;
2) telefoni- või mobiiltelefonivõrku siseneva side kasutajatunnus ja telefoninumber;
3) kliendi nimi ja aadress, kelle nimele Interneti-protokolli aadress, kasutajatunnus või number olid side toimumise ajal eraldatud;
4) Interneti-telefoni kõne kavandatud vastuvõtja kasutajatunnus või number;
5) kavandatud vastuvõtva kliendi nimi, aadress ja kasutajatunnus elektronposti ning Interneti-telefoni teenuse korral;
6) Interneti-seansi alguse ja lõpu kuupäev ning kellaaeg konkreetse ajavööndi järgi koos Interneti-protokolli aadressiga, mille on kasutajale eraldanud Interneti-teenuse osutaja, ja kasutajatunnusega;
7) elektronposti või Interneti-telefoni teenuse kasutamise alguse (log-in) ja lõpu (log-off) kuupäev ning kellaaeg konkreetse ajavööndi järgi;
8) kasutatud Interneti-teenus elektronposti ja Interneti-telefoni teenuse korral;
9) helistaja number sissehelistamisega Interneti-ühenduse korral;
10) digitaalne kliendiliin (Digital Subscriber Line – DSL) või mõni muu tunnus side algataja kohta.
|
äkki viitad, milline nendest punktidest (või mõni muu punkt selles seaduses) kohustab pakette logima?
Logimine väikeses mastaabis on muidugi võimalik. Vähegi asisemal ISP'il tekib aasta jooksul andmebaas, kus on triljoneid logiridu ja selline asi ei ole lihtsalt hallatav. Üks 10Gbps liides genereerib aasta jooksul ca. 40,000,000,000,000 paketti. Hullemal juhul isegi 2x nii palju. NAT'itud IPv4 kontekstis peaks seda logimist tegema iga kliendi ruuteris (millele ISP'il ei pruugi üldse ligipääsu olla) ja pidevalt kuhugi keskele kokku pumpama. Jne, jne ...
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
kevku
HV kasutaja
liitunud: 05.10.2007
|
|
20.11.2021 14:11:45
|
|
|
Huumor ikka et väidetavad kogemustega asjatundjad väidavad et midagi ei logita, Kui üks humoorik ministeeriumi emaili "häkkis" olid kohtus kohe kõik logid platsis ning TOR kasutamisest polnud abi. rahval ikka mälu lühike.
Teine märgiline juhtum aga see saaremaa delfi laimaja kus kohalik netipakkuja ei viitsinud logida oma NAT ühendusi pole uurinud mis sellest sai.
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
20.11.2021 15:11:14
|
|
|
Eks igaüks logib seda mida vajalikuks peab ja seadus ette näeb. Kui mainitud Saaremaa näitel pannakse terve linnaosa ühe välise aadressi taha, siis see pole kindlasti normaalne ja varem või hiljem tekib sellest mingi jama. Samas, seadus seda ei keela. Millalgi taheti küll sisse viia muudatust, mis kohustaks ISP'e olema võimeline igat kasutajat tuvastama, kuid õige pea saadi aru, et maailmas, kus domineerib IPv4, ei ole see tegelikult tehniliselt võimalik. Või õigemini on ebamõistlikult ressursimahukas ja võibolla ka privaatsust riivav.
Organitel on ka palju muid meetodeid teatud tegude sidumiseks teatud isikutega ja väline IP aadress on lihtsalt üks tõend paljudest.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
kaabakas
HV veteran
liitunud: 01.04.2002
|
|
20.11.2021 15:11:48
|
|
|
Kogutakse metaandmeid. Kes rääkis kellega millal mis kanalis. Kui mina näiteks postitan HV'sse, et kõik parteid on korrumpeerunud ebakompetentsed valetajad, siis võibolla mõnele neist ei meeldi, et keegi seda aastatepikkuse vaatluse tulemusena kindlaks tehtud fakti avalikult välja ütleb. Siis ta saab minna politseisse ja esitada laimamise avalduse. Või moodsama - vihakõne avalduse. Mille peale politsei vaatab HV'st millal postitus tehti ja küsib isp käest, kes sellel ajal HV'ga ühenduses oli. Paraku, tuleb välja, ühe ip aadressi taga võib olla mitu inimest. Sellest tulenevad sellised teemad: https://foorum.hinnavaatlus.ee/viewtopic.php?t=802658
Kusjuures, Eestis toimuv metaandmete massiline kogumine on vastuolus Euroopa õigusega.
https://www.isoc.ee/nuhkimishaav-sonavabaduse-sudames/
https://curia.europa.eu/juris/document/document.jsf?docid=238381&doclang=ET
Pärast Euroopa kohtu viimatist otsust jooksis see teema ka meie ajakirjandusest siit ja sealt läbi. Huvitaval kombel neid artikleid enam üles ei leia. Alles on jäänud mingil määral vanemaid nagu https://www.err.ee/869239/ginter-telefoniandmete-massiline-kogumine-on-inimoigustega-vastuolus
Valitsuse suhtumine nendes artiklites oli üheseltmõistetav - neid ei koti. Küllap me sellist Eestit siis tahtsime, sest meie nad ju valisime sinna. 
_________________
Mida Ott ei õpi, seda Egon ei tea. |
|
| Kommentaarid: 103 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
93 |
|
| tagasi üles |
|
|
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
20.11.2021 19:09:59
|
|
|
| tsitaat: |
| Kogutakse metaandmeid. Kes rääkis kellega millal mis kanalis. |
Milliseid metaandmeid?
Politsei ei küsi mitte seda, kes HV'ga ühenduses oli, vaid seda millise IP aadressi pealt see postitus tehti. HV puhul muidugi võibolla ka seda, kellena oldi sisse logitud ja kas kasutaja on tuvastatav. Seejärel saadetakse ISP'ile päring, kus küsitakse kelle nimel on sel ajal seda IP aadressi kasutanud interneti leping. See on ainuke info, mida ISP on kohustatud säilitama. Seejärel uuritakse lepingu omaniku tausta (on tal peres mõni tuntud radikaal, kes võis olla tegelik postitaja, jne.) ja lõpuks küsitakse, mis tal endal selle kohta öelda on. Milliste andmete kogumist selles ahelas sa ei soovi? Pealegi oled sa ise kõik need andmed vabatahtlikult loovutanud.
Minumeelest on palju suurem probleem see, et iga haige närvikavaga lumehelbeke võib kellele tahes "vihakõne" või "laimamise" eest politsei kaela saata.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
Renka
HV Guru
liitunud: 01.04.2002
|
|
20.11.2021 19:14:02
|
|
|
| netmaster kirjutas: |
/.../
Minumeelest on palju suurem probleem see, et iga haige närvikavaga lumehelbeke võib kellele tahes "vihakõne" või "laimamise" eest politsei kaela saata. |
Soh - kuidas see veel käib?
Sellise asjaga tegeleb siiski tsiviilkohus minu teada mitte politsei.
_________________
There is no place like 127.0.0.1 |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
1 :: |
61 |
|
| tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
|
20.11.2021 19:18:07
|
|
|
| netmaster, vot siin nüüd ongi see teema NAT-ga. Kui ISP ise teeb NATi ehk ühe välise ip taga on mitu kuni palju klienti, siis HV näeb ainult seda välist IP-d. Kui nüüd politsei küsib ISP käest, kes mingil ajal seda IP-d kasutas, siis pole sellest palju abi kui antakse mitusada klienti. Seda võib ISP ju teada ja ilmselt teabki mis kliendil konkreetsel ajahetkel milline sisevõrgu aadress oli, aga see teadmine ei aita jälle kuidagi edasi
|
|
| Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
| tagasi üles |
|
|
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
20.11.2021 23:52:18
|
|
|
| tsitaat: |
| Sellise asjaga tegeleb siiski tsiviilkohus minu teada mitte politsei. |
Üldjuhul tegeleb sellega muidugi tsiviilkohus, kuid sõltub asjaoludest. Kui vihakõnega kaasnevad kellegi arvates reaalsed ohud ja tagajärjed, siis tegeleb uurimisega politsei. Tsiviilkohtunikud ei käi inimeste ukse taga ja kui kedagi kellelegi "kaela saadetakse", siis pigem ikka politseinikud. Olulist vahet muidugi pole.
| tsitaat: |
| Kui ISP ise teeb NATi ehk ühe välise ip taga on mitu kuni palju klienti, siis HV näeb ainult seda välist IP-d. |
täpselt nii see on. Samas, normaalne ISP ei pane ühe IP taha sadu kliente, tekitades sellega igasugu muid potentsiaalseid probleeme. Mobiilifirmadel on tõesti palju suhteliselt piiratud võimalustega seadmeid ja neil pole eriti valikuid.
Kui teemasse tagasi tulla, siis nagu ma varasemalt ütlesin, see on arvatavasti üks põhjustest, miks Hiina, India ja võibolla veel keegi pushivad IPv6 üleminekut, sest sel juhul ei ole NAT'i ja IP aadress on alati seotud konkreetse seadmega. Kõiki on lihtsam jälitada.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
jaakjaak22
HV kasutaja
liitunud: 28.02.2012
|
|
23.11.2021 13:05:57
|
|
|
| netmaster kirjutas: |
Kui teemasse tagasi tulla, siis nagu ma varasemalt ütlesin, see on arvatavasti üks põhjustest, miks Hiina, India ja võibolla veel keegi pushivad IPv6 üleminekut, sest sel juhul ei ole NAT'i ja IP aadress on alati seotud konkreetse seadmega. Kõiki on lihtsam jälitada. |
NATil pole ei turbe- ega anonümiseerimisvahendina mingit väärtust. Läbipääse haldad nii IPv4- kui IPv6 puhul tulemüüris ja häda sellele, kes seda õigesti teha ei oska.
Vastupidiselt netmasteri väitele on IPv6-s klientseadmete trackimine pigem keerulisem kui lihtsam, sest erinevalt IPv4 maailmast on IPv6-s klientseade kuningas, mitte võrguomanik: klientseade otsustab, kas kasutab MAC-aadressi pealt genereeritud staatilist IPv6-aadressi või randomiga valitut, kui tihti ta seda muudab jne. Näiteks on linuxilistes võimalik seadistada, et iga connection läheb uue aadressi pealt välja. Jah, DHCPv6 on olemas ja pmst on võimalik klassikalist "DHCP-server ruulib" lahendust arendada, aga reaalsuses see enam ei toimi, sest nt Android-seadmed on nõus ainult SLAACiga ehk "klient ise otsustab oma aadressid". Lisame siia juurde, et nii Androidid kui iOSid randomiseerivad MAC-aadresse nii et tolmab ja saamegi IP-tasemel tunduvalt raskemini jälitatavad seadmed.
IPv4 -> IPv6 ülemineku põhiliseks poindiks ja ühtlasi ka takistuseks on, et IPv4-internet on kümneid aastaid jubedalt kokku traageldatud kompott, mille lahti võtmist ja uuesti kokkupanemist väga paljud suuuuuuured ettevõtted ja asutused ette ei taha võtta.
Algne teema jääb siiski ülesse, et kuidas ja kauaks on Eesti ISP-del üldse plaani public IPv4-aadresse pakkuda.
|
|
| tagasi üles |
|
|
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
23.11.2021 17:35:45
|
|
|
| jaakjaak22 kirjutas: |
| NATil pole ei turbe- ega anonümiseerimisvahendina mingit väärtust. |
kuidas ei ole? Või tead sa mingit võimalust, kuidas näiteks veebiserveri logidest saadud IP aadressiga on võmalik siduda konkreetne sisevõrgu seade. Või kuidas ilma porti suunamata saab ligi NAT'itud sisevõrgu seadmele?
| tsitaat: |
| Läbipääse haldad nii IPv4- kui IPv6 puhul tulemüüris ja häda sellele, kes seda õigesti teha ei oska. |
99% inimestest ei tea, ega tahagi teada midagi tulemüüridest. Kui ruuteri kasutajaliidesel on nupp, mis lülitab sisse NAT'i, siis võib enamvähem kindel olla, et sisevõrk on Interneti eest maskeeritud, kõik seadmed kasutavad sama välist IP aadressi ja keegi väljast sisse ei saa. Kui ruuteri kasutajaliidesel on nupp IPv6 tulemüüri jaoks, võib see tähendada mida iganes. Alates sellest, et ruuter ise on kaitstud ja sisevõrk on alasti internetis, kuni selleni, et kõik on kinni keeratud.
| tsitaat: |
| Vastupidiselt netmasteri väitele on IPv6-s klientseadmete trackimine pigem keerulisem kui lihtsam |
Sõltub asjaoludest. Kui kasutaja viistib konfida ja vaeva näha, siis on võimalik saavutada IPv4'ga sarnane anonüümsus, st. näha on võrgu osa aadressist (justkui väline IPv4 aadress) ja konkreetse seadme osas saab jälgi segada. IPv4 annab sisuliselt sarnase anonüümsuse mittemidagi tegemata ja enamus inimesi ei viisti oma jälgede segamisega tegeleda. Vaikimisi muudavad opsüsteemid IPv6 aadressi iga päev, või iga kord, kui liides maha käib. St. keskmisel kasutajal on päeva jooksul siiski sama IP ja kõiki tema tegevusi saab jälitada. Kui keegi logib mingi IP pealt facebooki ja tund hiljem sama IPv6 aadressiga solvab kedagi delfi kommentaariumis, siis on praktiliselt 100% kindel, et tegemist on sama seadmega ja väga tõenäoliselt ka sama inimesega. IPv4 puhul saab väita vaid, et need kaks asja tehti sama ruuteri tagant, kuid muud midagi.
| tsitaat: |
| ülemineku põhiliseks poindiks ja ühtlasi ka takistuseks |
Põhitakistuseks on IPv6 rakendamise keerukus ja vajaduse puudumine. Selles mõttes on sul õigus, et IPv4 kõrvale tuleb sisuliselt ehitada paralleelselt teine võrk. Kõiki edaspidiseid toiminguid tuleb teha kahe võrgu jaoks topelt, jne, jne. Firmajuht või lõpptarbja ei tea midagi IP aadressidest ja niikaua, kuni kõik käib, pole sellise jamaga tegelemiseks ühtegi põhjust. ISP'ide jaoks on kahe aadressiruumi järgivedamise vajadus eriti ressursimahukas. Et seda aega lühendada, tehakse küll ettevalmistusi, kuid rakendatakse võimalikult hilja.
| tsitaat: |
| Algne teema jääb siiski ülesse, et kuidas ja kauaks on Eesti ISP-del üldse plaani public IPv4-aadresse pakkuda. |
nii kaua, kuni IPv4 töötab.
IPv4 aadressid ei kao kuhugi. Pooled RIPE poolt välja antud IPv4 aadressidest seisavad tegelikult kasutamata. Tõenäoliselt jõuab ühel heal päeval kätte see hetk, kus mingid teenused on kättesaadavad ainult üle IPv6'e ja eks siis igaüks otsustab, kuipalju tal või tema klientidel neid teenuseid vaja on. Täna veel ei julge keegi ainult IPV6 peale panustada. Ma arvan, et kuni 10a. perspektiivis ei juhtu eriti midagi. IPv6 vindub vaikselt edasi nagu ta on viimased 10a. teinud.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
jaakjaak22
HV kasutaja
liitunud: 28.02.2012
|
|
24.11.2021 13:28:07
|
|
|
| netmaster kirjutas: |
| jaakjaak22 kirjutas: |
| NATil pole ei turbe- ega anonümiseerimisvahendina mingit väärtust. |
kuidas ei ole? Või tead sa mingit võimalust, kuidas näiteks veebiserveri logidest saadud IP aadressiga on võmalik siduda konkreetne sisevõrgu seade. Või kuidas ilma porti suunamata saab ligi NAT'itud sisevõrgu seadmele?
|
Juba varem vastati, et reaalsuses ei seota mitte konkreetset seadet vaid jõustatakse võrgu omaniku lepingulist vastutust võrgus/prefiksis toimuva eest ning sotsmeedia identifikaatoreid. Ka Delfi märgistab su ära ja ühendab nii anonüümsed kui sisselogituna tehtud kommentaarid kokku. Suur mõttekoht, kas lasta sõpru-tuttavaid oma koduvõrku ja arvutitesse/tahvlitesse. Robert Sarvele piisab sõnast "pooletoobine" või "rongaema" et ühenduse omanikult välja pressima hakata. Mängib selle peale, et kui esimese ähmiga tema nõudekirjale vastad, siis jääd juriidilises sõnavaras pigem alla ja oled nõus ähvarduse eest midagi maksma, algul suurema summaga ähvardades lähed väiksema summaga liimile. Soovitan on üldse mitte vastata, siis ta su seljatagust ei tea ja ei juhtu midagi.
| netmaster kirjutas: |
| 99% inimestest ei tea, ega tahagi teada midagi tulemüüridest. Kui ruuteri kasutajaliidesel on nupp, mis lülitab sisse NAT'i, siis võib enamvähem kindel olla, et sisevõrk on Interneti eest maskeeritud, kõik seadmed kasutavad sama välist IP aadressi ja keegi väljast sisse ei saa. Kui ruuteri kasutajaliidesel on nupp IPv6 tulemüüri jaoks, võib see tähendada mida iganes. Alates sellest, et ruuter ise on kaitstud ja sisevõrk on alasti internetis, kuni selleni, et kõik on kinni keeratud. |
Taaskord: kui IPv4 puhul arveldatakse välise IP-aadressiga, sis IPv6 puhul arveldatakse prefiksiga. Näide: Telia staatilise IP teenus tähendab a) staatilist IPv4-aadressi b) staatilist IPv6-prefiksit. Seadmeaadressi pool on täiesti vähetähtis, sest seade ise otsustab, mitut aadressi ta kasutab kui tihti ta neid vahetab. 90% ruuteri konfimisest jääb samaks, lihtsalt liigutakse ühelt protokollilt teisele ja NAT 4->4 ehk maskeraad asendub NAT 6->4. Ehk kui praegu tähendab ruuteri defaultkonf dhcpv4-klient + ipv4-fw + NAT44 + dhcpv4-server, siis tulevikus pigem dhcpv6-klient + ipv6-fw + NAT64 + ND.
| netmaster kirjutas: |
| Põhitakistuseks on IPv6 rakendamise keerukus ja vajaduse puudumine. Selles mõttes on sul õigus, et IPv4 kõrvale tuleb sisuliselt ehitada paralleelselt teine võrk. Kõiki edaspidiseid toiminguid tuleb teha kahe võrgu jaoks topelt, jne, jne. Firmajuht või lõpptarbja ei tea midagi IP aadressidest ja niikaua, kuni kõik käib, pole sellise jamaga tegelemiseks ühtegi põhjust. ISP'ide jaoks on kahe aadressiruumi järgivedamise vajadus eriti ressursimahukas. Et seda aega lühendada, tehakse küll ettevalmistusi, kuid rakendatakse võimalikult hilja. |
Dual-stack ja topelttöö vastu on lahendus olemas ning põhiline inerts on võrgumeestel vajaduse/motivatsiooni puudumine: IPv4-aadresside hinna tõus, riiklikud nõuded ja seesama topelt-töö ellimineerimise vajadus nendeks saavadki. Ka telekomid peavad sellele mõtlema ja siit ka selle teema algatamine.
Tegelikult lähevad ruuteri konfiguratsioonid lihtsamaks, tulemüüris "vaikimisi kõik sisse kinni, välja lahti" jääb samaks, portforwardi asemel hakkad lihtsalt porte avama ja võrgutõrkeid muutub vähemaks, sest kaovad kattuvate sisevõrgu vahemike probleemid (VPN, topelt-NAT jne). Teenuste IPv6 lubamisel ja IPv4 liikluse vähenemisel on kõigile ruuteritele positiivne mõju, sest koormus ja ka IP-protokolli overhead vähenevad: tulemüüris jah/ei on lihtsam kui ühendusi jälgida ja pakettide päiseid ümberkirjutada. Nagu esimeses postituses kirjutasin, siis sisevõrku dhcpv4-server alles jätta pole probleemi. Klientseadmetest nutijunnid töötavad ju kõik linuxil ja suurte riikide nõuete tõttu saavad ka firmwared IPv6 toe juurde, kui juba pole.
| tsitaat: |
| Ma arvan, et kuni 10a. perspektiivis ei juhtu eriti midagi. IPv6 vindub vaikselt edasi nagu ta on viimased 10a. teinud. |
Mina pakun, et 1. jaanuaril 2024 kodukasutajal ilma lisatasuta IPv4 avalikku IP-d enam pole 
|
|
| tagasi üles |
|
|
netmaster
HV kasutaja
liitunud: 21.08.2004
|
|
24.11.2021 16:10:50
|
|
|
| tsitaat: |
| Ka Delfi märgistab su ära ja ühendab nii anonüümsed kui sisselogituna tehtud kommentaarid kokku. |
sa ei vastanud mu küsimusele. Küsimus oli, kuidas saab NAT'i taga olevat konkreetset masinat siduda veebiserveri logis oleva IP aadressiga. Ma ei tea veebiserverit, mis logiks cookiesi või ühtegi seadust, mis käsiks delfil logida või välja anda anonüümsete kasutajate võimalikke identifikaatoreid. IP aadress on ainuke asi, mida kõik on kohustatud logima ja mida organid saavad kõigi käest välja nõuda ja IPv6 puhul on üldjuhul väga lihtne seda siduda muude tegevustega, mida kasutaja päeva jooksul tegi. Näiteks chat'is kellegagi Facebookis ja seejärel sõimas Delfis. Kui IPv6 aadress on sama, siis on 100% kindel, et seda tehti samast masinast ja Delfis sõimajat on suht lihtne kindlaks teha Facebooki konto kaudu. IPv4 puhul on peale NAT'i must auk. Ilma läboitsimist korraldamata ja masinaid konfiskeerimata ei ole võimalik midagi öelda. Sealt tulebki anonüümsuse vahe.
| tsitaat: |
| lihtsalt liigutakse ühelt protokollilt teisele ja NAT 4->4 ehk maskeraad asendub NAT 6->4. Ehk kui praegu tähendab ruuteri defaultkonf dhcpv4-klient + ipv4-fw + NAT44 + dhcpv4-server, siis tulevikus pigem dhcpv6-klient + ipv6-fw + NAT64 + ND. |
Kasutada sisevõrgus IPv6 ja välisvõrgus IPv4 on ikka eriline perverssus. IPv6'te rakendada lihtsalt selle pärast, et IPv6'te rakendada pole mingit mõtet. Et kui IPv4 ära kaob, siis saab jälle ringi tegema hakata?
Pragu on dhcpv4-klient + ipv4-fw + NAT44 + dhcpv4-server
ja kui täna tahta native IPv6 peale üle minema hakata, tuleks teha iga ruuteriga dhcpv4-klient + ipv4-fw + NAT44 + dhcpv4-server + dhcpv6-klient + ipv6-fw + ND + DHCPv6-server. Märkad pikkuse vahet?
Lisaks võivad IPv4 puhul sisevõrgu liideste aadressid korduda, seega võib erinevate ruuterite konfid teha suures osas copy-pastega. IPv6 puhul peab sisuliselt iga ruuteriga konfi mudima. Lisaks kõikvõimalikud erilahendused jms.
Ma olen seda asja mitu korda alustanud ja õhtuks on iga kord villand saanud. Minu IPv4+IPv6 ruuteri konf (Mikrotik) oli julgelt 2x pikem, kui ainult IPv4. Teha seda 10x pole nii hull, aga mul on võrgus üle tuhande ruuteri.
| tsitaat: |
| Mina pakun, et 1. jaanuaril 2024 kodukasutajal ilma lisatasuta IPv4 avalikku IP-d enam pole |
mõnel nõrganärvilisemal ISP'il - võibolla. Et kõigil? Väga vähetõenäoline. Eks kliendid saavad siis otsustada, kellega nad liituvad.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
jaakjaak22
HV kasutaja
liitunud: 28.02.2012
|
|
20.12.2021 00:43:16
|
|
|
| netmaster kirjutas: |
Kui IPv6 aadress on sama, siis on 100% kindel, et seda tehti samast masinast ja Delfis sõimajat on suht lihtne kindlaks teha Facebooki konto kaudu. IPv4 puhul on peale NAT'i must auk. Ilma läboitsimist korraldamata ja masinaid konfiskeerimata ei ole võimalik midagi öelda. Sealt tulebki anonüümsuse vahe.
|
IPv6 puhul otsustab klientseade, mitut IPv6 aadressi ta kasutab ja kui tihti vahetab. Kui ma õigesti mäletan, siis Windowsid kahmasid kohe 4-5tk, macid 2-3 ja linuxilistel saad käsurealt määrata, et vahetagu kasvõi iga 5sek tagant. Tänapäeval vahetavad mõistlikud klientseadmed endal iga wifivõrgu jaoks MAC-aadressi ka, nii et järjest vähem on võimalik neid traceda.
| tsitaat: |
Kasutada sisevõrgus IPv6 ja välisvõrgus IPv4 on ikka eriline perverssus. IPv6'te rakendada lihtsalt selle pärast, et IPv6'te rakendada pole mingit mõtet. Et kui IPv4 ära kaob, siis saab jälle ringi tegema hakata?
Pragu on dhcpv4-klient + ipv4-fw + NAT44 + dhcpv4-server
ja kui täna tahta native IPv6 peale üle minema hakata, tuleks teha iga ruuteriga dhcpv4-klient + ipv4-fw + NAT44 + dhcpv4-server + dhcpv6-klient + ipv6-fw + ND + DHCPv6-server. Märkad pikkuse vahet?
|
See on dual-stack ehk IPv4+IPv6. Kogu teema on algusest peale sellest olnud, et kaua on siinmail ajani kui klient saab AINULT ipv6-prefixi ja IPv4-only teenused jäävad ka tööle tänu ISP juures NAT64 teenusele, mille maht järjest väheneb ja mida on lihtsam üleval pidada kui terves võrgus topeltstacki. ISP NAT64 koormust on lihtne alla ka viia, piisab pisut koostööst, et Postimees/Delfi Grupid loadbalanceridele IPv6 sisse lülitaks. Ruuterisse jääb ainult dhcpv6-klient prefixi jaoks + assign IPv6-aadress + ipv6-fw (mis teeb allow/deny, mitte kogu pasale NATi). Märkad vahet? Klientseadmed manageerivad ise omale nii palju aadresse ja nii tihti kui tahavad.
Siin on pulkadeks ja piltidega: https://blog.apnic.net/2016/06/09/lets-talk-ipv6-dns64-dnssec/
| tsitaat: |
| Ma olen seda asja mitu korda alustanud ja õhtuks on iga kord villand saanud. Minu IPv4+IPv6 ruuteri konf (Mikrotik) oli julgelt 2x pikem, kui ainult IPv4. Teha seda 10x pole nii hull, aga mul on võrgus üle tuhande ruuteri. |
Ka IPv6-s teed valmis võrguplaani ja selle järgi tükeldad prefixit peenemaks ja jagad minema, mikrotikkudes kasutad dhcpv6-clientis prefix-hint ja ::1 süntaksit ja sellele kleebitakse prefix automaatselt otsa. Saad sama ruuterikonfi laiali kopeerida südamerahuga ja ei mingit topelt-tripelt-kvadripelt-NATimisi, sisevõrkude kattumisi jne.
Pilt ka postile kaasa, mismoodi võiks tulevik välja näha. India, USA ja pool Euroopat on juba klientidele ipv6-only ISPe täis, küll tuleb siinpool ka. Elektrit on ju nüüd vaja kokku hoida, näiteks pannes ruuterid vähem NATi tegema
|
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
