Сообщение Re[13]: Разумность 16 байтных IP-адресов - ведь глупость сде от 14.11.2024 6:22
Изменено 14.11.2024 8:05 netch80
Re[13]: Разумность 16 байтных IP-адресов - ведь глупость сде
Здравствуйте, Stanislaw K, Вы писали:
SK>>>Вклеивать на уровень IP адреса?
S>>Нет, наоборот. Не рассчитывать на то, что безопасность будет обеспечена сокрытием IP адреса от внешнего наблюдателя.
SK>Я не встречал человека, который бы думал что может скрыть публичный адрес в публичной сети и тем самым обеспечить некую безопасность.
Ну тогда познакомься: вот аж целых трое из в общем-то уважаемой организации IETF и аналогично уважаемых домашних организаций. TLDR: для отдельных взаимодействий запрашивается временный IP в дополнение к основному, генерируется случайно так, чтобы не совпал с выдаваемыми автоматом (то есть не соответствовал EUI-64 из MAC адреса). Живёт этот IP до закрытия последнего использующего его сокета (или аналога).
При этом никакого scope для того, чтобы через этот временный IP нельзя было достичь тех ресурсов, которые сидят на основном IP и ожидают поступающих соединений (или аналогов), не предполагается. О том, что первое же соединение к злоумышленнику покажет этот временный IP всем, они не думают.
Но это люди из уважаемых организаций, а ты кто?
SK>>>Вклеивать на уровень IP адреса?
S>>Нет, наоборот. Не рассчитывать на то, что безопасность будет обеспечена сокрытием IP адреса от внешнего наблюдателя.
SK>Я не встречал человека, который бы думал что может скрыть публичный адрес в публичной сети и тем самым обеспечить некую безопасность.
Ну тогда познакомься: вот аж целых трое из в общем-то уважаемой организации IETF и аналогично уважаемых домашних организаций. TLDR: для отдельных взаимодействий запрашивается временный IP в дополнение к основному, генерируется случайно так, чтобы не совпал с выдаваемыми автоматом (то есть не соответствовал EUI-64 из MAC адреса). Живёт этот IP до закрытия последнего использующего его сокета (или аналога).
При этом никакого scope для того, чтобы через этот временный IP нельзя было достичь тех ресурсов, которые сидят на основном IP и ожидают поступающих соединений (или аналогов), не предполагается. О том, что первое же соединение к злоумышленнику покажет этот временный IP всем, они не думают.
Но это люди из уважаемых организаций, а ты кто?
Re[13]: Разумность 16 байтных IP-адресов - ведь глупость сде
Здравствуйте, Stanislaw K, Вы писали:
SK>>>Вклеивать на уровень IP адреса?
S>>Нет, наоборот. Не рассчитывать на то, что безопасность будет обеспечена сокрытием IP адреса от внешнего наблюдателя.
SK>Я не встречал человека, который бы думал что может скрыть публичный адрес в публичной сети и тем самым обеспечить некую безопасность.
Ну тогда познакомься: вот аж целых трое из в общем-то уважаемой организации IETF и аналогично уважаемых домашних организаций. TLDR: для отдельных взаимодействий запрашивается временный IP в дополнение к основному, генерируется случайно так, чтобы не совпал с выдаваемыми автоматом (то есть не соответствовал EUI-64 из MAC адреса). Живёт этот IP до закрытия последнего использующего его сокета (или аналога).
При этом никакого scope для того, чтобы через этот временный IP нельзя было достичь тех ресурсов, которые сидят на основном IP и ожидают поступающих соединений (или аналогов), не предполагается. О том, что первое же соединение к злоумышленнику покажет этот временный IP всем, они не думают. Файрволлинг такого IP тоже не очень предполагается, потому что он временный и типа "и так сойдёт" (этого в документе уже вроде нет, но это как реально будут делать).
Но это люди из уважаемых организаций, а ты кто?
SK>>>Вклеивать на уровень IP адреса?
S>>Нет, наоборот. Не рассчитывать на то, что безопасность будет обеспечена сокрытием IP адреса от внешнего наблюдателя.
SK>Я не встречал человека, который бы думал что может скрыть публичный адрес в публичной сети и тем самым обеспечить некую безопасность.
Ну тогда познакомься: вот аж целых трое из в общем-то уважаемой организации IETF и аналогично уважаемых домашних организаций. TLDR: для отдельных взаимодействий запрашивается временный IP в дополнение к основному, генерируется случайно так, чтобы не совпал с выдаваемыми автоматом (то есть не соответствовал EUI-64 из MAC адреса). Живёт этот IP до закрытия последнего использующего его сокета (или аналога).
При этом никакого scope для того, чтобы через этот временный IP нельзя было достичь тех ресурсов, которые сидят на основном IP и ожидают поступающих соединений (или аналогов), не предполагается. О том, что первое же соединение к злоумышленнику покажет этот временный IP всем, они не думают. Файрволлинг такого IP тоже не очень предполагается, потому что он временный и типа "и так сойдёт" (этого в документе уже вроде нет, но это как реально будут делать).
Но это люди из уважаемых организаций, а ты кто?