Přepis řeči - (Ne)bojím se IPv6!

0:00:16	takže ještě jednou a hezký den
0:00:19	jak bylo řečeno M N matěj grégr někteří z vás možná
0:00:23	a měli to potěšení číst ty články mě a mého kolegy na luke ohledně šest
0:00:30	bity
0:00:31	a skutek skutečně ve se popisovali nějaké základní informace
0:00:36	a tady tahle prezentaci se podíváme
0:00:39	na
0:00:40	některé útoky které se dají pomocí
0:00:43	E graph deskového protokolu použít jak se proti nim bránit a jaké to má další
0:00:48	omezení obecně ta šestková bezpečnost je vnímána není
0:00:54	dosti specificky
0:00:56	lidé kteří se snaží
0:00:58	šest propagovat
0:01:00	a angličtina to je pěkný název manželi
0:01:04	a ve výsledku
0:01:06	říkají že to není problém že stejné věci za měli people eště ste taky
0:01:11	a názor nechci udělá každý sám možná po skončení téhle prezentace
0:01:16	jo na začátku než se pustíme do těch šest k ových útoku
0:01:19	ta
0:01:20	si dovolím rychlosti projít určite ní podobné scénáře které máme výpravě štyřce abychom se synchronizovali
0:01:29	nějak pojmech toho co používáme za technologie a
0:01:33	jak se proti víceméně stejný útoku know podobný útok ubráníme štyřce
0:01:38	celá ta bezpečnost pohledu síťového administrátora záleží
0:01:43	vlastně na
0:01:46	nebo ten síťový administrátor se snažil několika věcí primárně nám jde o to aby
0:01:51	uživatel dostal adresu
0:01:55	o chodí dostane tak abychom miss pohledu administrátora zabránili tomu aby si jediný uživatel tu
0:02:01	adresu přivlastnil to znamená podvržení adresy
0:02:05	chceme zabránit menu velmi do útoku
0:02:08	a chceme víceméně ochránit naše prvky které jsou sítě to znamená si čárou ty
0:02:15	to znamená celá ta
0:02:18	bezpečnost pohledu toho klienta se nebo o počet tomu klientovi se řeší na základě a
0:02:24	autokonfigurace jenom pro připonme nití aute štyřky máme vlastně
0:02:31	a já C penis klient se připojí do sítě text každá sebe si zjistí a
0:02:36	adresu potom přes R T si zjistí adresu nebo mac adresu implicitní brány a následně
0:02:44	potom
0:02:45	o nějakých třeba zde dosazen může normálně běžně komunikovat
0:02:50	abychom dokázali
0:02:52	zajistit
0:02:54	bezpečnost tak se vlastně nasazuju techniky kterým se obecně říká for zlo překryty kterým chceme
0:02:59	ve výsledku zabránit
0:03:01	podvržení tady tu P
0:03:03	tyhle techniky se používají co nejblíže k tomu koncovému klientovi aby
0:03:09	jakékoliv podvrhy se řešily přímo na tom
0:03:12	připojení s větší ve výsledku tak torzo překryty nám řeší
0:03:16	ukradení adresy to znamená podvržení adresy aipí a podvržení adresy mac
0:03:23	otrávení R T různé skladovací mechanismy zahlcení keše vo switche a podobný věci
0:03:31	řeší nám také falešné relace P server je to znamená pokuď mi nějaký klient nebo
0:03:37	nějaký útočník připojit do sítě
0:03:40	zařízení tvářící se jako dá C P server a snaží se opakovat informace
0:03:45	klientům
0:03:47	nějaké svoje vlastní přesměrovali na vlastní stránky a podobně
0:03:51	ve výsledku používáme několik technik P jedna s první dvě porce kvality jenom zjednodušeně řečeno
0:03:58	a když předkonfigurované je nebo pomocí nějakých triku mi zajistíme že na portu nemůže být
0:04:04	na portu switche nemůže být použita jiná adresami si administrátor pře
0:04:09	další technikou je a když cítíš sloupy tím ve výsledku vnucuje M
0:04:15	nebo na základě ten původní výměny se skrz DHCP switch odposlech ne tady tu a
0:04:20	komunikaci a je schopen říct na tom a portů je tahle ani ty adresa tahle
0:04:26	mac adresa a žádná jiná
0:04:30	se nemůže použít všechny tyhle informace se ukládají do tak zvané
0:04:35	když si P sloupy databáze kterou sime než u je nebo kterou spravuje ten daný
0:04:39	switch
0:04:41	na základě tady této databáze a případně použité porce k výpisu využíváme dva mechanismy a
0:04:48	proto je a
0:04:50	a epilog dám záleží výrobce od výrobce někdo tomu někde se to menuje takže N
0:04:55	jinde ona ve výsledku oba dva mechanismy využívají tu vytvořenou databázi skrz D C E
0:05:02	na to aby zabránili
0:05:05	o paketů
0:05:07	no aby zabránili útočníkovi zaslat jiný paket s jinou podvrženou I jede jsou z jiného
0:05:12	odtrženo mac adresou
0:05:15	když zkombinujeme tyto mechanizmy
0:05:17	otce kvality sloupy případně
0:05:20	a pro tech
0:05:23	a získáme tím ve výsledku pro administrátora to že do sítě se není schopen připojit
0:05:30	jiný klient než ten který je nakonfigurovaný na dáte P server
0:05:34	to znamená pokud nemá ten administrátor nad C P server o konfiguraci prodaného klienta tak
0:05:40	je mu z nemůže na vůbec připojení do té dané sítě
0:05:44	ve výsledku zatím chráníme před útočníkem
0:05:46	špatnou konfigurací a nakonec se straně
0:05:50	špatně miloval těmi síťových karet protože ve výsledku
0:05:54	a rámce nebo pakety které jsou zaslané klientem které sou nějakým způsobem podvržené změněné tak
0:06:00	sou daným prvkem zařazovány
0:06:03	s tím že
0:06:04	částečně se tak dá eliminovat určité viry
0:06:09	případně červy které se šíří a které se často před generová Y mac adresy a
0:06:14	snaží se zahltit a keše nás směrovačích
0:06:19	u dají tadle šestky je ta situace trošku odlišná a pro jednotlivé útoky budeme nadále
0:06:26	využíván dvě vlastnosti šest i a to je
0:06:29	rozdělí způsob konfigurace které nejprve šest protokol nabízí
0:06:33	a
0:06:35	to že síťové rozhraní může mít více hýbeme šest adres
0:06:39	tady tenhle rozdělí způsob
0:06:41	já si nebudu zacházet přímo do detailů protože ohledně té šestky a ty základních jim
0:06:46	informací už bylo řečeno do s
0:06:49	o díváme se spíš přímo na ty reálné
0:06:52	útoky
0:06:55	jenom pro porovnání autokonfigurace ve
0:06:58	jdeme čtyři versus ní P V šest
0:07:01	nejprve štyřky nesjel na začátku řekli máme dáte P R T C P
0:07:06	u té Í pravé šestky je stejná konfigurace pro jednoho klienta trošičku složitější
0:07:12	je to ve výsledku jedna protože
0:07:16	se používá kombinace bezstavové stavové
0:07:20	a
0:07:21	konfigurace to znamená bezstavová skrz router advertisement sdělíme klientovi
0:07:29	adresu implicitní brány skrz D S C PC získáme adresu
0:07:34	pro toho daného klienta případně nějaké další informace jako sou ten servery a tak podobně
0:07:40	všechno je to navíc provázané z multicastem protože v šestce sme si
0:07:45	teoreticky eliminovali proud cast a nahradili to všechno multicastová bychom za
0:07:53	sme si do té sítě jako kdyby pohledu síťaři lepší pořádek že s pakety jsou
0:07:57	doručovány opět jenom těm zařízení
0:08:00	tak si to ve výsledku není zas až tak pravda protože
0:08:05	máme multicastovou adresu všechny uzly síti se znamená de facto pro odkaz
0:08:11	switche v dnešní době
0:08:13	o tom
0:08:15	zařízení třeba soudci s K
0:08:17	celkom z nepodporují anode sloupy to znamená stejné se ten multicastu že jako proutkař
0:08:23	to znamená sme tam kde sme byli ve výsledku
0:08:26	nicméně proto aby to všechno správně korektně fungovalo tak zařízení si musí
0:08:33	přihlásit do multicastových skupin aby bylo schopno odebírala odebírat ty dva zprávy které jsou šířené
0:08:39	to znamená jsou tady nějaké a na neděli
0:08:42	a potom
0:08:43	pro jednotlivé šest nové adresy které to zařízení mám jedná se ve výsledku link local
0:08:49	na začátku nese pošlou všechny zprávy se
0:08:52	a posílat kliky adres de teče testuju na síti jestli ta adresa je nebo není
0:08:58	unikátní pokuď není tak musím použít jinou nebo ukončit konfiguraci
0:09:04	o tom použiju bezstavovou konfiguraci state pole s adres autokonfiguraci všem je pomocí proud zeptáš
0:09:10	mens router
0:09:12	což je ten zpráv získávat informaci o default gateway a
0:09:18	a případně to jestli sítí se používá nebo nepůjde ladicí i
0:09:23	pokud se používá text kazdy jestli P se
0:09:26	zeptám na adresu následně ty adresy které jsem obdržel tak se musím přihlásit do jejich
0:09:32	odpovídající multicastových skupin a opět pro tyhle adresy získat přestupek adres detekčním získám unikátnost nebo
0:09:39	ne
0:09:41	a následně potřebuju získat mac adresu implicitní brány abych potom mohl komunikovat
0:09:48	do jisté míry
0:09:49	stejná věc nerozladili ve čtyřce jsme akorát
0:09:53	podstatně za složitele šestce
0:09:56	a benefit tady vtom ale pro toho koncového uživatele případně pro správce není zas až
0:10:03	tak markantní to znamená tady nově z řeším stejně akorát připraví s pak
0:10:10	poďme se podívat co můžeme
0:10:12	klientovi způsoby za těžkosti v rámci vypere šest
0:10:16	jako jsem ukázal na předchozím slajdu
0:10:19	vždycky se používá
0:10:22	pro získání
0:10:23	unikátnosti dané sítě nebo pro otestování duplikuji adrese takže ve výsledku já se ptám používá
0:10:30	vsíti někdo tuhle adresu pokuď už i někdo používá tak mi odpoví ano adresou push
0:10:36	používám to znamená já ju nemůžu použít
0:10:39	díky tomu že si ve výsledku můžu generovat vcelku libovolné množství adres protože ten adresový
0:10:45	prostor používaný v lokální sítě velký si můžu vygenerovat novou adresou zeptat se znovu
0:10:50	nicméně útočníkovi vůbec nebrání nic tomu aby opět odpověděl na toho adresu
0:10:56	okej používám to znamená je dál
0:10:59	ve výsledku asi dá rozum že nemůžeme takle se snažit tento bit jeho zprávy generovat
0:11:04	donekonečna to znamená čas od času ten klient usoudí tak tady mě asi pšenka nepokvete
0:11:11	a ukonči tu komunikaci
0:11:13	jednoduchým příkazem zkres čtecích toolkit
0:11:17	tady tohle dokáže na obrovské konzoly obou popsat asi každý ve výsledku zamezíme všem klientů
0:11:24	a
0:11:26	přístup do sítě jak to potom vypadá praxi
0:11:29	zeptám se jestli někdo používá nějakou a adresu odpoví muže adresou že používaná vygeneruje se
0:11:36	nová odpoví se že adresa je používána a tak dále čemu to pak vede
0:11:41	ve výsledku
0:11:44	já sice mám nakonfigurovanou šestkou gateway to znamená šest a my běží nicméně šestku vůbec
0:11:49	nemám nakonfigurovanou jako adresu ten systém takže to windows mac nebo
0:11:55	do kojit
0:11:56	zdá ve výsledku ty pokusy a řekne že šestku si nepochybovat nemůže
0:12:03	záleží platformě platformy jo na platformě
0:12:07	windows
0:12:08	to zkouší pětkrát ve výsledku je to s plus mínus dle standardu ref céčka že
0:12:13	to mám vyzkoušet několikrát a potom nic administrátorovi že už to opravdu nelze
0:12:19	pokračovat linux povětšinou to naprosto ignoruje asi tato tam volaného to znamená vemu celku jedno
0:12:26	že je tam že není unikátní nicméně opět záleží na distribuci anatomy ste tam použity
0:12:31	nějaký
0:12:32	a ne že jste ta adresa nakonfigurována staticky a tak dál
0:12:37	co se týče směrovačů
0:12:40	odchyluji H precis K případě jiných
0:12:44	ve většině případů
0:12:46	se ptá adresa která je nakonfigurována nepoužívá znamená Z tak vcelku jednoduše zabránit použití
0:12:53	šestkou ve adresy nebo zabránění klienta přístupu šestky
0:12:59	další zábavné určitě
0:13:06	ignoruje že je takže není unikátní to znamená tu adresu používá i přestože nastat teda
0:13:12	ne síti
0:13:19	zahlásí administrátorovi že je tam kolize nicméně o používaná
0:13:27	další zábavný útok který se dá použít je
0:13:32	router advertisement flat a pokuď
0:13:37	si nebo
0:13:39	M řeknu ty na okraj ty proud advertisment zprávy zasílají povětšinou směrovače
0:13:46	s tím že šíří informace o tom že oni jsou cestou do internetu a jaké
0:13:50	prefixy šestko ve se na ten síti můžou použít
0:13:55	pro klienta přijetí této zprávy znamená že adresu ze které přišla si vkládá do svého
0:14:01	routeru list to znamená jako
0:14:04	ja jako adresu ty von gateway s tím že ty prefixy pokud je to povoleno
0:14:08	tak v rámci toho prefixu si vygeneruje vlastně šestkou adresu
0:14:13	pokud je tam tento
0:14:14	opět trochu jednoduchý příklad
0:14:17	tak
0:14:19	dojde k tomu že se do sítě začne poslala posílat
0:14:23	nemalé množství tady těchto zpráv to znamená že ty klienti si pro každou tuto zprávu
0:14:28	musí vytvořit záznam ve své a směrovací tabulce vygenerovat adresy a tak podobně
0:14:34	ve výsledku ze tak vcelku jednoduše zabránit přístupu
0:14:38	a nebo znemožnit
0:14:42	uživateli vůbec tím pracovat já si tady s dovolením
0:14:48	s tím video
0:15:36	tady je ukázka
0:15:40	potom běží
0:15:46	a systému windows kde vlastně použiju ten daný příka
0:15:51	a vidím že
0:15:53	dělá se na nějaké simpsny zatížení teploučka je na nějaké různé úrovni
0:15:58	za středu do té sítě
0:16:01	tady tenhle flat ve výsledku
0:16:04	C P O se zvýší na sto procent za chvíli se zasekne trošku video
0:16:10	existence stane neovladatelný u nových windows Ú dokonce třeba sou smyček spadnou
0:16:17	a
0:16:19	a ve výsledku vidím že sme přestane ji čas jedna
0:16:25	a
0:16:26	pokud se podíváte tak já tam generuju přibližně sto kilo za sekundu a díky tomu
0:16:33	že se ten les že se takhle paket doručuje pomocí multicastu tak zasáhnu všechny klienty
0:16:38	síti
0:16:39	bez omezení
0:16:41	to znamená
0:16:43	tak zajímavé když chcete na čtvrt administrátora tak lze použít tady tento útok
0:16:48	opět vcelku jednoduše realizovatelné na jakékoliv linuxové platformě
0:16:55	jo
0:16:56	poslední verze toho nebo třeba sedmičky už mají večer takové že po skončení toho útoku
0:17:03	C
0:17:04	vcelku stabilizují občas taky ne
0:17:08	a může se potom ten systém na používat mac i třeba se musí restartovat jestli
0:17:13	máte to štěstí a tak dál
0:17:17	tak
0:17:24	to byla jedna věc a posune se
0:17:34	a
0:17:40	na čelo ve výsledku nebo a záleží na tom jestli chcete nebo nechcete porušovat F
0:17:45	C S a standarty linux o tak většinou dělá
0:17:49	že na omezení že může
0:17:52	vložit do té paměti přibližně třicet směrovačů s tím že a další už nepřímá samozřejmě
0:17:59	je to
0:18:01	takový ten of protože já nejsem schopen zajistit který je ten správný to znamená potom
0:18:06	ve výsledku ale linuxy jako vy jediný ten útok ve výsledku stojí díky tady tomu
0:18:10	že po třiceti záznamy push další nepřímá
0:18:17	jo promiň
0:18:20	otázka tedy zněla jestli by nestačil nastat
0:18:23	nastavit jenom nějaký rate limity záznamů cache
0:18:28	zabavme na tomhle problému je že se o něm V přibližně tři roky a
0:18:33	jak to funguje si dokážete představit
0:18:37	a
0:18:42	útok který dokázal původně se do taková slabší verze protože na základě toho některé systémy
0:18:49	třeba schopen B Z nebo takle implementovali
0:18:52	nějaké kontroly ve výsledku
0:18:55	a o ten původní útok končil
0:18:58	jenom tady těmi zprávy ta práce toho router advertisment paketově sem říkal prefixy
0:19:03	jenomže další ovšem která já můžu použitou to advertisement je
0:19:07	říct mu které routery
0:19:09	může které sítě používá to znamená nejenom si že si musím vytvořit záznam ukazující na
0:19:15	disku odrou
0:19:17	a nejenom že si pro tyhle adresy musím vytvoříš
0:19:20	vlastně šestko adresu a nicméně pro všechny tyhle informace já si musím za will vytvořit
0:19:26	další záznam do směrovací tabulky a tím pádem ta náročnost na výpočetní na to klienta
0:19:31	ještě vyšší
0:19:35	nicméně ne končíme pouze vidíme
0:19:40	díky tomu že používáme systémy
0:19:42	windows sedum vista
0:19:45	linux mac android a jo
0:19:48	všechny dva systémy mají podporu být a ve šest
0:19:52	implicitně zapnutou
0:19:55	využijeme tady více méně tady toho a
0:19:59	sestavme si jakoukoliv síť vyplaveš tečkou vyplaveš eskou je to ve výsledku jednu
0:20:05	a do této sítě
0:20:07	zašleme vlastní to ultramontanizme paket kde v říkáme
0:20:12	vezmi si informace další zde hladce parseru šestková
0:20:17	díky tomu že tam a pak je přijde klientovi klient se zeptat zda C P
0:20:22	cosi mimochodem řeknu že standard se to jsem samozřejmě já tak já mu jsem schopen
0:20:26	vnutit
0:20:27	předkové adresy D neseru
0:20:30	dejme tomu díky tomu potom
0:20:34	dotaz skrz DNS směřuje na mě tam vrátím odpověď jakou chci vytvořím si transparentní praxi
0:20:40	dejme tomu a
0:20:42	celý ten provoz sem vlastně vytvořil jsem menu velmi touto
0:20:46	zjednodušeně řečeno
0:20:48	pokuď se normálně klasické sítě připojím na obr C Z tak dostanu skrz
0:20:55	den s nějakou
0:20:57	regulérní adresu a trefí kde takto
0:21:00	pokuď vložím do té sítě
0:21:02	falešný router advertisement kdy mu říkám použít já teprve šest server kterým jsem já
0:21:09	tak
0:21:10	tady je
0:21:11	se ten zeptá pomocí kamery jaké se používají den servery a já mu samozřejmě odpovím
0:21:17	že ten server sem já veškerý provoz potom na síť vutbr C Z pochodě pod
0:21:23	a bude směřovat na mě protože DNS dotazu se mu podvedl ani ty adresu která
0:21:29	je moje
0:21:31	tady tahle útok se dá realizovat
0:21:34	i na špičkové síti nemusí mu mít vůbec českou odporu protože to šestkou podporu mám
0:21:40	na těch zařízení
0:21:41	já ten provoz potom přesměruj tam nechci nebo zahodí nebo si udělám cokoli
0:21:47	opět si ukážeme nějaké zabodne video
0:21:51	a
0:22:01	určitě
0:22:11	a
0:22:14	tak
0:22:17	odnese tady podívat na to jaká je implementace vidím ve listová sem si na zařízení
0:22:24	že
0:22:26	má nastavenou čtyřkou adresu
0:22:30	s tím že ten server je nastavený na nějakou adresu deset jedna který je normální
0:22:36	pokuď zadává normálně nějaký klasický je N zvuk a třeba znaků byl C com tak
0:22:41	mi ten D neztrácí regulerní odpovědi tak jak sem zvyklí
0:22:47	a
0:22:49	pokud si spustí takové předpřipravené skript díky projdem si je podrobněji s tak
0:22:54	a
0:22:55	ve výsledku
0:22:57	zdraví zotavitelné
0:22:59	první si spustí není to znamená DNS server na u svého na počítači s tím
0:23:05	že mu pro nějaké zóny které chci podvrhnout google odběr fenku nebo cokoliv to přesměruj
0:23:12	u že tyhle zóny obsluhu já
0:23:15	další
0:23:17	pokud se podívám jak vypadá
0:23:19	vlastně ta falešná zrovna tak veškeré dotazy které tam jsou to přesměruji na vyplaveš tužkou
0:23:25	adresu toho útočníka
0:23:28	který se používá
0:23:33	já potom vidím že pole adresu používá jámami opravdu nakonfigurovanou
0:23:39	a další věc která spouštím je skryt
0:23:43	rok si řeší ty P na to abych mohl ten traffic přeposílat případě vstupovat
0:23:49	dalším způsobem a nebo spouští
0:23:51	dělící P šestákový server s tím že v rámci těch informací
0:23:58	ten šíři
0:24:01	jsou adresy kdy chci P není si to znamená
0:24:06	já mu hicu velké množství adres je to je v jedné stop je to z
0:24:09	důvodu toho že windowsy dělají bajty foreground robin při dotazování pokud jich má víc takže
0:24:15	a tím já lemují vnutím víc abych měl větší šanci toho že mléčné ten můj
0:24:21	časový záznam tady vidím že všechny tyhle adresy sem si nakonfigurována interfejsu díky tomu že
0:24:26	vše state můžou být libovolné množství tak na všech nemůžu používá
0:24:31	další router advertisement
0:24:33	ve výsledku to je ten způsobech odvrhnul tady tyhle informace s tím že mu nastaví
0:24:40	menu školek
0:24:41	tím ve výsledku říkám desíti je ty citlivé server a použijí ho pro nějaké další
0:24:47	nastavení
0:24:49	a
0:24:57	tady potom
0:24:58	jestli k a teďka přeskočíme
0:25:02	že je to samozřejmě trvá nejsi to zařízení líné adresu znovu
0:25:07	nicméně a se tak stane tak vidím že
0:25:11	do té neserou se vložili všechny ty informace které já se mu tam prvotně potvora
0:25:16	to znamená veškeré dotazy teďka budou rán robin
0:25:20	způsobem
0:25:21	kolovat skrz tady tyhle dotazy na všech odpovídám já všechny mu bodu od vrhal
0:25:28	díky tomu že
0:25:29	použil tenhle server tak dotaz na googlu komu už není ten standardní jak ho znám
0:25:34	ale dostanu to adresu mojí na které běží ten útočník stejně jako tady zvuk stejně
0:25:39	jako
0:25:40	o cokoliv jiného co chci podvrhnout
0:25:45	tak
0:25:47	jak to potom funguje vráně
0:25:49	a
0:25:51	implicitně
0:25:52	ten provoz o třebas nechci nějakým způsobem
0:25:57	upravovat to znamená jenom
0:25:59	chci ho transparentně přenášet to znamená pro uživatele uživatel nepoznám vůbec nic nového
0:26:06	oni ho je to zcela transparentní
0:26:09	problém je pokuď chci vstoupit do SSL spojení protože samozřejmě tohle klient je schopen detekovat
0:26:15	díky tomu že mu to zahlásí
0:26:19	neplatný certifikát
0:26:22	tady vidím že sem normálně přihlášen skrz
0:26:25	nebo na disku
0:26:28	a tak dále
0:26:29	a
0:26:32	kdyby to za hlásilo ihned protože ten zvuk se implicitně přes přepona eště T P
0:26:37	S
0:26:38	před tím byla eště typ je s pouze při přihlášení
0:26:41	znamená teď se přihlásím samozřejmě nikdy tam že je to menu tak
0:26:46	je to zahlásí prohlížeč moc dobře linek se s tím zachází
0:26:51	jak se všem konci a je dál
0:26:55	to znamená že i přestože mám nastavený adres
0:26:59	certifikát jehož jméno neodpovídá
0:27:03	a názvu toho serveru ta tady je ten certifikát a ne akceptujte ho takle se
0:27:09	tahle informace vůbec není proto koncového uživatele viditelná to znamená musí se k tomu složitě
0:27:14	při klikat oženíš na to radši odkrývají na pokoj
0:27:18	jakmile to potvrdím tak samozřejmě jedu a já sem uvidíš ta komunikace může se s
0:27:22	tím dělat co
0:27:26	a
0:27:27	tak že jsme si přesměrovali ve výsledku jakýkoliv provoz ní který chceme
0:27:33	poďme na
0:27:40	jaká je může domobrana
0:27:43	jsou ve výsledku dnešní době dva až tři způsoby které se dají použít jako
0:27:48	obrana vůli dalším útokům jeden z nich S N
0:27:52	co šije
0:27:54	dalo by se říct
0:27:56	nevím jak to popravdě nazvat bez nějakých i nehty full
0:28:00	protože vymysleli se to fini
0:28:03	bloky a společně stiskem vjedete tam K potom kladné
0:28:09	nicméně celá ta princip toho sem do je že podepisuje
0:28:14	neighbor solicitation neighbor advertisments právě to znamená ty co slouží se pro a stejně jako
0:28:19	routrem ptá změn a tak dál
0:28:21	proto abych byl schopen validovat odpověď tak potřebuju P K Í to znamená vnutit s
0:28:26	klientovi certifikát znamená tady většinou můžu skončit protože toho nejsem schopen zajistit
0:28:32	nebo ta složitost administrační vůči si to tomu síťovému administrátory je taková že o
0:28:40	je to nereálné na druhou stranu na další věc která proč je to nereálné že
0:28:44	to někdo nepodporuje
0:28:46	to znamená tahla implementace celku neexistuje sou nějaké
0:28:52	částečné implementace pro linux
0:28:54	pokud si je zkusit rozchodit tak myslím že půjdete radši na pivo budete ten čas
0:28:59	investovat něčemu
0:29:01	navíc tady tenhle způsob není kompatibilní se manuálně nastavilo bitové šestkou adresou zprávy sex ten
0:29:08	že se vy šedesát čtyři adresami díky tomu že potřebuje mít
0:29:13	vlastně vygenerované adresy
0:29:15	kryptografické helejte které jsou další typem tyhle zprava
0:29:20	další způsobem je router advertisment K ve výsledku je to něco podobného jako kdy cyklistů
0:29:26	by případně nastavení nějaký space fialek na daném zařízení
0:29:31	tady tyhle
0:29:33	věci by ve výsledku zahazuju zprávy které nechci nebo ten cítili administrátorech
0:29:39	další sou
0:29:41	grafy nenese to source address validation
0:29:45	je to takové komplexní řešení nezáleží na použitém protokolu ani na použité
0:29:50	technologie platí to je pro štyřku tak pro šestku nicméně implementaci byste tak jak je
0:29:55	to popsáno v těch datech hledali těžko částečná i ty implementace je pomocí neighbor discovery
0:30:01	zkažená podobně to sou takové detaily do kterých se teď nemusíme
0:30:05	nicméně když už existuje obrana poďme si ukázat jak to buben obejít
0:30:12	jedním ze způsobů která se dá použít je pěkná vlastností P ve šestky a to
0:30:16	sou zřetězené hlavičky
0:30:18	klasicky všecko vy paket
0:30:20	ve kterém jde
0:30:22	ICMP vezeš nevypadá takže mám všecko hlavičku s tím že další hlavička je ICMP
0:30:29	já jsem řekněte hlaviček které mám
0:30:32	tak zvaných X ten že nemůžu použít vícero
0:30:35	znamená já
0:30:37	za tu šestkou hlavičku vložil nějakou vlastní nebo jinou a za tu až na ten
0:30:43	proud a tadleta N
0:30:44	sice je v céčku doporučované nějaké pořadí hlaviček případně množství které se dá použít nicméně
0:30:50	nic tomu nebrání abych
0:30:53	při těch hlaviček
0:30:55	pole úkoly chci
0:30:56	díky tady tomu jsem schopen prorazit všechny ochrany které jsou v dnešní době dostupné to
0:31:02	znamená ten router advertisement útoku které jsme se dívali na zamrzne počítač je přestože vám
0:31:08	nasazeno ochranu tak tím prostě projde a je to vcelku
0:31:12	o úplně jedno jestli to ochranu má nebo nemá
0:31:17	další zajímavá věc na kterou jsme zvyklí třebas ze štyřky a která
0:31:22	určitě
0:31:27	a je to tak jo
0:31:31	dotaz zní jestli se ráda dívá na pouze první hlavičku
0:31:36	a
0:31:37	ano i ne
0:31:39	třeba s pokud bezmoci skla tak
0:31:42	sysco je schopno pásová přibližně sedum tady téhleté hlaviček zřetězených
0:31:47	potom je začne propouštět a po šestnácti a víc hlavička zřetězenými zase začne filtrovat
0:31:53	a péčko třeba s
0:31:54	stačí tři hlavičky proto aby semi ho prošel tady toho politikou ve výsledku všechny ty
0:32:02	vole protože tahle implementace je na koncových si čích
0:32:05	kde potřebuju mít nějakou rychlost
0:32:08	to znamená tyhle filtry které se používají se většinou vkládají do
0:32:14	víceméně hardwerové týden tabulky a tam je problém vždycky ze zdroji to znamená tam nejsem
0:32:19	schopen parsovat
0:32:21	cokoliv a tudíž tam dochází tady chtělo způsobu takže ano
0:32:25	eliminuje se tou pod většinou počet skoků které je schopno to zařízení zpracovat až ho
0:32:30	není schopen zpracovat tak by ho mělo přeposlal do
0:32:33	softwarového
0:32:35	softwarové cesty kdyby ho měl zahodit nicméně neděje se to tak protože to dejme tomu
0:32:40	chyba k implementaci
0:32:47	já si vytvořím tady tenhle paket
0:32:50	tím že mám českou hlavičku nějaké zřetězené hlavičky a zatím mám ten a packet ICMP
0:32:57	S větší se podívá šestkou hlavičku oukej další hlavička není ICMP to znamená se podívám
0:33:03	dál na se podívám dal tady užší díky tomu že
0:33:07	nemám ty zdroje tak u se nepodívala tu hlavičku dala propustím
0:33:13	jo klidně
0:33:16	ano a to je tady díky tomu že ty zní
0:33:19	víceméně zdrojů má víc tak je schopen zparsovat cokoliv jo to znamená skrz ten svět
0:33:24	to projde tyto se zbaštil nic a na podle toho se nakonfigurovat
0:33:31	u toho ACL K je nebo obecně
0:33:35	je vždycky jednoduché pomocí nějakých paket craft generátoru jako je s kapiček příč či něco
0:33:41	jiného vytvořit jednoduchou zprávu ani že to ICMP ve šest ping nebo ten R a
0:33:48	nebo něco podobného ve výsledku na jednom řádku si vytvoříte libovolný pak
0:33:52	trošku problematičtější je když si chci vytvořit celé TCP session které by využívalo nějaké tady
0:33:59	téhle vlastnosti
0:34:01	a tohle chci ve většinou ve většině případů udělat když chci projít průsek si přát
0:34:07	přihlásit skrz S áčko a projít nějakým ACL ten protože to co sme si ukázali
0:34:12	na tom předchozím slajdu by ten switche schopen parsovat pouze limitované množství hlaviček
0:34:19	platí i pro A sirotka
0:34:21	to znamená
0:34:22	a o
0:34:24	pro demonstraci tady toho útoku jsem si naprogramoval vlastní terno modu který vkládá pro odchozí
0:34:30	spojení destination hlavičky
0:34:34	cože nástroj který není vcelku asi dostupným D to znamená u si to můžete za
0:34:40	na naprogramovat sami nebo je pěkně poprosit
0:34:45	a
0:34:47	abysme zase si ukázali nějaké zabavme by byl
0:34:53	podívá
0:34:58	na
0:35:13	a
0:35:14	situace
0:35:16	je následující
0:35:17	systémy dost
0:35:21	nám
0:35:23	a
0:35:24	server
0:35:25	na šestková adrese nastavené a jestli jako které mi zahazuje traffic
0:35:31	na S háčko jdoucí na to hosta a nějakého útočníka
0:35:38	jak to potom vypadá praxi
0:35:44	zkusím za přihlásit na
0:35:47	danou adresu
0:35:49	a to normálně pojem protože ještě žádné politiky nemám nastavené to znamená přihlásil jsem se
0:35:54	skrz S háčkem na adresu hosta
0:35:59	podívám se
0:36:02	na
0:36:03	switch který je nebo ten routek který je mezi tím že si vypíšu
0:36:08	A si jako které tam nastavené
0:36:11	vidíme že mám tady nastavené pravidla deny T C P
0:36:15	or dvacetdva destination a nejprve šestková adresa taková znamená klasicky tím zaříznu provoz jdoucí na
0:36:24	S se zápor daného zařízení
0:36:27	pokud do to a dané nejsi jako aplikuju a pokusím se přihlásit
0:36:31	a je to samozřejmě tady máte protože je ten traffic je blokován daným filtr
0:36:37	odkud se podívám jak to vypadá v rámci
0:36:41	aby tak tady vidím že vlastně se
0:36:44	díky tomu že sem nedostal odpověď jak se to snaží přeposlat dál a dál
0:36:49	znamená abych
0:36:51	se pokusil tady toto obejít
0:36:53	tak
0:36:54	si
0:36:55	do kernelu vložím modul ve kterému
0:36:59	teďka pro ukázku
0:37:01	řeknou že má použít dvě zřetězené hlavičky
0:37:05	vidím že pořád se nejsem schopen přihlásit to znamená ten filtr to pořád blokuje pokud
0:37:11	se podívám jak to vypadá na tom daném paketu tak
0:37:16	vidím že sem poslal si a mám tady vloženého hlavičku X takže další zatím je
0:37:21	to T C P
0:37:24	nicméně sme si řekli ty zdroje na daném zařízení jsou limitované to znamená jakým hlaviček
0:37:29	vložit více
0:37:32	a normálně se přihlásí
0:37:37	pokud se podíváte jak to vypadá potom tak si tak vidím že
0:37:41	a
0:37:42	vložil sem
0:37:45	při hlavičky
0:37:46	kterémuž jsou ten limit třebas pro H P a zařízení jenž projde daným vysílat a
0:37:53	normálně sem si přestože mám blokující ACL k o sem byl schopen tady toho rysy
0:37:58	jako prorazit vcelku bezproblémů
0:38:00	teda bezproblémů znal mně to tři
0:38:05	druhá věc
0:38:15	pokud by sme si řekli
0:38:17	tak jo tak H péčko to sou číňani to budou určitě nějací šmejdi
0:38:22	ne těles používáme tisklo tak tam ta situace naprosto stejné
0:38:27	je pravda že tiskově trošku lepší vtom že ty klasické destination ovšem cože ve výsledku
0:38:33	jenom osum bajtů je schopno zparsovat vcelku v libovolné množství
0:38:38	to znamená když si tam dáte sto padesát kdo to tam tento ACL kost parsuje
0:38:44	a nicméně
0:38:46	lze to obejít zase pomocí fragmentace
0:38:49	kdy já vlastně si vytvořím fragment s tím že ten záznam často TCP paket jean
0:38:55	další fragmentu
0:38:56	to znamená že to zařízení má dvě možnosti ono nevidí jaké další hlavička to znamená
0:39:01	v tom prvním paketu se nemůže rozhodnout jestli ho propustit nebo ne propustit
0:39:07	muselo by dělat
0:39:09	assemblery to znamená hašovací ty záznamy skládat je a potom víceméně steaku firewall což samozřejmě
0:39:16	má nároky narychlo
0:39:18	a to znamená většinou je politika propouštět
0:39:22	dá se tady tím a obejít
0:39:24	a vcelku
0:39:26	vývěska ji teska parabole switche ACL kovové ve výsledku cokoliv co chci
0:39:36	a
0:39:37	jenom pro srovnání vezme na tom ve čtyřce a šestce
0:39:41	ne štyřce
0:39:42	pokuď na sloupy
0:39:44	a protekčně masa rizika tak jsem ve výsledku schopen všem těmto útokům zabránit
0:39:51	šestce
0:39:52	je ta situace trošku složitější
0:39:54	pokud máte ráda tak když mi to tam jednu pošle omylem tak tomu zabrání O
0:39:59	K pochutnáme jsi jako to samé
0:40:04	nicméně pokud nám sem tak teoreticky taky ten sme si řekli že příliš složitý takže
0:40:08	horno škrtne
0:40:11	pokuď chci
0:40:13	tak projdou čímkoliv to znamená proti cílem útoku není dnešní době obrana
0:40:19	pokud
0:40:20	si ten šestko V provoz nezakáže
0:40:25	tím vyřešim všechny zvýšené problémy a vlastně sem O K
0:40:31	tak
0:40:33	jenom eště pro srovnání
0:40:37	ta cena za bezpečnost
0:40:38	dycky se říká že
0:40:41	a vlastně ta přirozená odměna hardvéru nám vyřeší všechny problémy s implementací ji pravé šestky
0:40:47	protože když si koupí nové zařízení tak vlastně ty podporu má
0:40:52	udělal jsem si jenom jednoduchá srovnání funny pro
0:40:57	sto padesát uživatelů když chci mít sto padesát uživatelů kterém pro které chceme gigabitový port
0:41:03	B S pole
0:41:05	se všema tyčové dáma pro štyřku které fungujou se dostanu přibližně na devadesát šest dolarů
0:41:11	za port
0:41:13	co to ceny za N z N nejsmu to znamená zkres
0:41:17	transparentní výběrové řízení se realitě dostaneme na trošku nižší hladiny
0:41:22	u šestky
0:41:24	je ta cena
0:41:26	ní trošku vyšší
0:41:29	a nicméně i přestože zaplatím víc nedostanu to ochranu protože jsem stejně schopen pro ní
0:41:35	že teda se rovná tak
0:41:38	pokuď by chtěl veškerou ochranu tak mám přibližně o sto padesát procent vyšší náklady na
0:41:44	to abych zavolat
0:41:46	vytvořil ve výsledku stejně bezpečnou síť
0:41:49	a je taky nevytvořím protože když ten útočník bude chtít tak mi projde tady to
0:41:54	bezpečnostních politik
0:41:57	další věc která je důležitá si uvědomit že všechny tyhle vlastnosti třeba
0:42:04	ty podakce z listy případně rád rádio podobně jsou implementované na zařízeních
0:42:10	třeba
0:42:11	že za půl tisíc ovce čtyři a půl pokuď se z vyznáte trošku scissor boxech
0:42:15	nebo jinde jsou to ty boxy které nám dělají páteřní směrování páteřní přepínání protože já
0:42:22	tyhle fi čili potřebuju co nejblíž uživateli to znamená na té přístupové vrstvě kde ty
0:42:27	zařízení mám nejvíc
0:42:28	znamená já si sice můžu koupit vše za půl tisícovku za
0:42:33	ještě padesát tisíc mesa portu ten M že u šasi si nemůžu dovolit tadytěhle zařízení
0:42:39	si koupit deset aby zapluj abych propoje všechny uživatele které desíti má
0:42:44	díky tomu že
0:42:46	S T přístup a ve světě zařízení potřebu nejvíc to znamená je tam nějaký tlak
0:42:50	na ten
0:42:55	a
0:42:56	abychom to nějakým způsobem shrnuli
0:42:59	pokuď si to šestku
0:43:01	nasadíme
0:43:02	tak
0:43:04	může nám to přinese určité bezpečnostní problémy jedna
0:43:08	jsou to ty o který jsme se zmínili jednak jsou to takové klasické chyby pře
0:43:12	konfiguraci kdy
0:43:15	já si třeba z nastavit firewall pro i P V štyřku ale zapomenu si to
0:43:18	nastavit pro B a šestku
0:43:20	implicitně se totiž ty pravidla nastavená pro jeden protokol na aplikují na druhý protokol to
0:43:26	znamená musím všechno konfigurovat dvakrát
0:43:29	cože takové
0:43:30	zábavné proto administrátora jak jinak to říct
0:43:34	jedná se to
0:43:35	firewall i jiné eska cokoli
0:43:39	obecně nebo to doporučení bylo že když už mám jakou bezpečnostní politiku pro štyřku tak
0:43:44	by ta šestková politika to měla kopírovat znamená měl jsem tam víceméně stejně číst
0:43:51	vůbec sme se při téhle přednášce nedotkli
0:43:54	třeba studovaného provoz
0:43:57	díky tomu že šestka jako taková a sem nasazuje trošku s obtížemi tak tam vzniklo
0:44:03	určité nebo vznikly určité přechodové mechanismy kdy ze čtyřkou jsem schopen komunikovat s nějakým švestkový
0:44:09	mostem a naopak a využívat ve výsledku techniky tunelování to znamená šestku zabalim to štyřky
0:44:15	případně štyřku zabalím do šestky a tak podobně díky tomu je schopen T P ve
0:44:19	čtyři moje host komunikovat českou korunu konektivitu díky tomu že to dávají do štyřky pošle
0:44:26	to na nějakou
0:44:27	na nějakého zařízení které má konektivitu do obou světů toto rozbalí a pošle to jedna
0:44:32	nicméně
0:44:36	většina
0:44:38	a to řeknu s diplomaticky
0:44:40	a
0:44:41	firewallů případně ejsi let není schopna se dívat dovnitř
0:44:46	protokolu to znamená ono vidí ji P V štyřky type ve čtyři provoz jdoucí na
0:44:51	judity portu padesát pět tisíc
0:44:54	a povětšinou tady ten na provozem blokuju protože nejsem schopen tom nějakém uživateli to zakázat
0:45:00	tudíž
0:45:02	přepošlu nadnormální dal do světa
0:45:05	u mě stavy toho pro
0:45:07	paketu je jdeme švestkový pakety jdoucí třebas na S N T P
0:45:13	port to znamená který se normálně blokuje
0:45:17	znamená jsem schopen vcelku efektivně spamu what třeba ze čtyřky i když se ten administrátor
0:45:22	to stačí a zabrání
0:45:25	ta problematika těhle
0:45:27	ní tunelovací mechanismu je mi vcelku mimo rámec tady té hodiny kterou na to máme
0:45:33	jsme je dá se to vcelku efektivně použít takže sme si ukázali obejití ACL X
0:45:38	jak a pomocí těch zřetězených hlaviček dá se to použity pomoc tihle tunelovací protokol
0:45:46	důležité je si uvědomit že propagátor ředitele šestky nejsou zodpovědní za vaší síť kterou provozujete
0:45:53	vy
0:45:54	znamená oni vám sice na slibujou jo bude to super když to nasadíš musíš to
0:45:58	udělat protože jinak si nebudeš moc
0:46:00	za pět let vůbec škrtnout nicméně když bude nějaký
0:46:05	bezpečnostní problém tak
0:46:07	on už bude na kafíčko někde bokem a vyřešit to budete vy to znamená je
0:46:12	třeba si uvědomit tady tohle kdo je zodpovědný za tu C do kterého té kde
0:46:16	ten protokol chci nasadit a domech cenu tak rádi
0:46:20	dost často tyhle lidé jsou lidé kteří si to načetli z R F téček bez
0:46:25	nějakých praktických zkušeností té třeba poznat
0:46:29	důležitá věc na poznámku je taky rozdílnost prostředí
0:46:34	my máme šestkou šestku nasazenou v rámci ve u té ve výsledku všude takové pěkná
0:46:42	ní pískoviště nahrání sou studenti na kolejích nežije asi šest tisíc za dá se tam
0:46:48	s nima
0:46:49	kouzly divadla místo nepoznají a je metodě na stejné
0:46:53	to znamená a já sem na té univerzitě jsem schopen tady tohle dovolit plus mínus
0:46:59	nasadit beztoho i přestože ví že jsou tam byla bezpečnostní problémy protože
0:47:05	když tam někdo bude skladovat pomocí nějakých tihle příkazu tak O K já jsem schopen
0:47:12	z nějakým časovým
0:47:13	zdržením eliminovat mezitím samozřejmě to někomu nepojede L
0:47:17	já se vy může nám peníze a tudíž mám staré zařízení nebo něco podobného
0:47:22	protože je tam taková i ta benevolence ste strany podle mě těch studentů není to
0:47:27	ten člověk který že má pětiminutových výpadek tak volána lelkování co se děje protože platí
0:47:34	nemohla části toho si firma nemůže dovolit protože ta by samozřejmě ihned přišlo o zákazníka
0:47:39	aby pryč
0:47:41	samozřejmě ty
0:47:43	problém že když nějakých problém je tak studénce
0:47:46	o ze možná ještě rychlej z těch pěti minut protože mu nejde ucho nebo něco
0:47:50	takového ale tak to jsou zase další věci
0:47:54	to znamená je třeba si uvědomit kde se autě firmy je opravdu dnešní době vcelku
0:48:00	dalo by se říct bezpečnostní riziko to tam zavést protože
0:48:03	nemám to port kontrolou nebo respektive nám to obtížně pod kontrolou
0:48:10	takže jaký je závěr
0:48:12	jestli všude zakázat ve výsledku to taky není správné řešení protože
0:48:17	když už tam něco mám
0:48:19	a monitoruj to tak má vždycky o tom lepší přehled naší když to vůbec na
0:48:23	monitoru na sem a ne na to tam nasazené to znamená
0:48:27	ideálně se s tím nějak seznámit nasadit a potom se nějak snažit zlepšit tu danou
0:48:32	situaci
0:48:35	dotazy
0:48:46	jo
0:48:46	takže
0:48:48	úsek řeky ta
0:48:49	otázka zněla jestli jsou na tom systémy by jedničkové nebo linuxové které o slouží tady
0:48:55	pro tu komunikaci na tom lépe nebo může
0:49:00	řekl bych že
0:49:01	asi lépe díky tomu že třeba se veškeré ty filtrace
0:49:05	a
0:49:07	řeší ten operační systém to znamená on je schopen to parsovat až ke konci znamená
0:49:12	samozřejmě za podstatně vyšší daň procesoru a podobných věcí nicméně schopno toho
0:49:19	tak nějak pro parsovat znamená ze pokud by vám
0:49:23	pokud byste měl linuxový server který vám slouží jako směrovač a přes ty lidé veškerý
0:49:28	trefit
0:49:29	tak ste tu na ten schulen schopen filtrovat tady tyhle útoky
0:49:34	nicméně
0:49:36	nejste s tím schopen třeba zabránit to že se ten klient pošle
0:49:41	nebo ten menenžment mi to útok výsadku protože ten ho se používá
0:49:47	přímo klient komunikaci to znamená tam to mozek com ale třeba sto ACL k ověřím
0:49:52	že na tom linuxu nepluje díky tomu že za spásu je náš const
0:50:04	zkušenosti s firewall i palo auto
0:50:08	o to sou L sedmičkové firewall i pokud se nepletu nemám
0:50:12	jo tam to
0:50:14	je nemyslelo snažil
0:50:16	protlačit
0:50:18	na jedné konferenciér empatii říká že to je úžasné
0:50:21	praktické zkušenosti s tím jestli tím projdu nebo neprojdu nemám
0:50:26	věřil bych že možná ta situace bude lepší protože ten firewall jako takových C
0:50:31	nebo stav
0:50:33	politika která se nastavuje se řez nastavuje a šperk protokol to znamená eště T P
0:50:37	povolit zakázat nebo něco podobného to znamená jak by to být schopen pro parsovat jaká
0:50:41	je realita si netroufám tvrdit
0:50:43	zatím zkušenost
0:50:45	co má vždycky ukazuje že jsem schopen projít cokoliv
0:50:49	se mi dostane pod takže
0:50:51	možná o to bude světla vím
0:50:55	další
0:51:05	jestli se teda jestli existuje výrobce který
0:51:08	zakazuje Í ta šest
0:51:10	a
0:51:13	tohle jsem schopen vcelku jednoduše udělat už na současném zařízení díky tomu že
0:51:20	dnešní době mi spousta výrobců umožňuje
0:51:24	filtrovat na základě petr tak u
0:51:27	ethernetového rámce ve se podívám že etap tak věřitele šest a ten paket zahodí znamená
0:51:32	ta situace je to chci filtrovat na portu
0:51:37	existuje i dnes a dá se ve výsledku použít není to samozřejmě na všech zařízení
0:51:41	na všech výrobcích
0:51:43	a ale to je takový ten
0:51:47	takže pokud chcete zakázat máte možnost
0:51:53	jako že to zas celé
0:51:57	to nevím
0:52:01	což nějaké další dotazy
0:52:42	jo
0:52:43	než abych
0:52:44	obě zopakoval dotaz takže jestli by
0:52:49	nasazení pouze derivace pravé šest to znamená weste stavové bezstavová konfigurace něčemu poho jestli sem
0:52:55	to pochopil správně
0:52:59	jo
0:53:01	a
0:53:01	z mého pohledu by to bylo super protože bychom měli jeden směrovací protokol nebo jeden
0:53:06	protokolu určený pro autokonfiguraci to znamená nemusel by všechno nemusel vyřešit bezpečnostní politikou bezstavová konfigurace
0:53:14	DHCP ve šest já bych jedem protokol pro všechny by to bylo jednodušší pro administrátory
0:53:20	rozhodně klient klientovi to teďka užší jedna takže mu je to unk
0:53:24	nicméně pokud se podíváme na nějaké politické tlaky v rámci a je T je tak
0:53:29	tam to není vůbec jednoduché protože
0:53:32	tam je velký odpor vůči tady tomu
0:53:35	aby se protože
0:53:37	aby se chytli i ostatní současné době já musím použít jak bezstavovou konfiguraci tak stavovou
0:53:43	protože v rámci té hádce P V šest nemůžu klientovi sdělit adresu implicitní brány
0:53:49	znamená pokud bych chtěl mít pouze relace P V šest tak jak sem zvyklí je
0:53:53	že ho máme štyřce tak to nelze protože klientovi nesdělim adresu implicitní brány to je
0:53:58	ta kombinace že musím použít oba dva mechanismy
0:54:02	dyby se tam tahle myšlenka celé to stojí na tom jestli dráze prvé šest bude
0:54:05	podporovat tu informaci a zatím
0:54:08	to sou
0:54:09	sou vůči tomu tak silné námitky že to podporuje veškeré mechanismy že si nemyslím že
0:54:15	se to někdy přes tenhle dalo by se říct fanatizmus přelije k tomu že se
0:54:20	k toho dočkáme nicméně s pohledu operátora teda nesytil si myslím že by to určitě
0:54:25	byl krok správným směrem mít pouze jeden mechanismus který pak to můžu dotáhnout do detailů
0:54:31	správně jako klienta tak u serveru a stejně samo schopen lépe monitorovat
0:54:37	by to bylo správným směrem nicméně ne myslím si že se to stane nejbližších padesát
0:54:41	dva
0:54:52	jestli je to nebo není cestami zodpovědnosti podle mě
0:54:57	každý se s tím dokáže na to odpovědět sám tam je problém celere šestky je
0:55:02	že vznikala v době kdy se ty sítě provozovaly naprosto jiným způsobem i se provozují
0:55:06	dnes
0:55:08	poláky nebo ty
0:55:09	věci které my potřebujeme dnes
0:55:12	třetímu bez nebyly známé jsou tam určité dalo by se říct fanatická rozhodnutí přes které
0:55:18	je přestože se ukazuje jsou špatné tak se nechcou změnit díky tomu že ten člověk
0:55:23	si to nevymyslel de prostě přesune devat
0:55:26	a jestli se tohle je z někde změní
0:55:30	jo a to si nemyslím že se budem bude se to měnit velice pomalu jestli
0:55:35	vůbec
0:55:36	ve výsledku
0:55:37	o
0:55:39	podle mě se dá se s tím tak jako že pohrát nějak se s tím
0:55:42	naučit dál nechat ten
0:55:44	svědek rozhodne dost často se možná půjde úplně jiným směrem naše
0:55:53	je toho a samozřejmě ten tlak v rámci té standartizační komisi je tlačit u šestku
0:55:59	co to D nicméně praxe možná ukážeme se ta výhybka přehodí na jinou stranu a
0:56:04	tady tyhle páry se necháme modrou a jak se bude chtít
0:56:13	a jedna jakou stranu se překlopit
0:56:16	vy to vyřešíme nebojte se tady v rámci byl teďka
0:56:24	tam je tedy asi vše děkuju za to

(Ne)bojím se IPv6!

Sobota 2.11.2013 - malý sál D0206

Matěj Grégr