Здравствуйте, netch80, Вы писали:

S>>>Нет, наоборот. Не рассчитывать на то, что безопасность будет обеспечена сокрытием IP адреса от внешнего наблюдателя.
SK>>Я не встречал человека, который бы думал что может скрыть публичный адрес в публичной сети и тем самым обеспечить некую безопасность.
N>Ну тогда познакомься: вот аж целых трое из в общем-то уважаемой организации IETF и аналогично уважаемых домашних организаций. TLDR: для отдельных взаимодействий запрашивается временный IP в дополнение к основному, генерируется случайно так, чтобы не совпал с выдаваемыми автоматом (то есть не соответствовал EUI-64 из MAC адреса). Живёт этот IP до закрытия последнего использующего его сокета (или аналога).
Что-то не вижу в этом rfc твою интерпретацию. Читаем "Problem Statement": "Anytime a fixed identifier is used in multiple contexts, it becomes possible to correlate seemingly unrelated activity using this identifier". Т.е. это не для обеспечения секретной передачи, а для сокрытия корреляций в сетевой активности.
Как я понял, по сути это как бы способ для замены NAT+DHCP, но только позволяет делать stateless реализацию в роутере.

Для секретности есть IPSec, который поддерживается в ipv6 нативно, а не как нашлёпка в ipv4.

N>При этом никакого scope для того, чтобы через этот временный IP нельзя было достичь тех ресурсов, которые сидят на основном IP и ожидают поступающих соединений (или аналогов), не предполагается.
Читаем вместе: "Temporary addresses are typically employed for initiating outgoing sessions". Причём тут "ожидают поступающих соединений"?? Читай 2й параграф секции 2.2 про incoming.

N>О том, что первое же соединение к злоумышленнику покажет этот временный IP всем, они не думают. Файрволлинг такого IP тоже не очень предполагается, потому что он временный и типа "и так сойдёт" (этого в документе уже вроде нет, но это как реально будут делать).
Не понял про файрволлинг. Это для Interface ID части адреса же, а фаерволлят, если я не ошибаюсь, Subnet ID.

Здравствуйте, netch80, Вы писали:

S>>>Нет, наоборот. Не рассчитывать на то, что безопасность будет обеспечена сокрытием IP адреса от внешнего наблюдателя.
SK>>Я не встречал человека, который бы думал что может скрыть публичный адрес в публичной сети и тем самым обеспечить некую безопасность.
N>Ну тогда познакомься: вот аж целых трое из в общем-то уважаемой организации IETF и аналогично уважаемых домашних организаций. TLDR: для отдельных взаимодействий запрашивается временный IP в дополнение к основному, генерируется случайно так, чтобы не совпал с выдаваемыми автоматом (то есть не соответствовал EUI-64 из MAC адреса). Живёт этот IP до закрытия последнего использующего его сокета (или аналога).
Что-то не вижу в этом rfc твою интерпретацию. Читаем "Problem Statement": "Anytime a fixed identifier is used in multiple contexts, it becomes possible to correlate seemingly unrelated activity using this identifier". Т.е. это не для обеспечения секретной передачи, а для сокрытия корреляций в сетевой активности.
Как я понял, по сути это как бы способ для замены NAT+DHCP, но только позволяет делать stateless реализацию на клиенте без какого участия роутера, делает ненужным и NAT, и DHCP.

Для секретности есть IPSec, который поддерживается в ipv6 нативно, а не как нашлёпка в ipv4.

N>При этом никакого scope для того, чтобы через этот временный IP нельзя было достичь тех ресурсов, которые сидят на основном IP и ожидают поступающих соединений (или аналогов), не предполагается.
Читаем вместе: "Temporary addresses are typically employed for initiating outgoing sessions". Причём тут "ожидают поступающих соединений"?? Читай 2й параграф секции 2.2 про incoming.

N>О том, что первое же соединение к злоумышленнику покажет этот временный IP всем, они не думают. Файрволлинг такого IP тоже не очень предполагается, потому что он временный и типа "и так сойдёт" (этого в документе уже вроде нет, но это как реально будут делать).
Не понял про файрволлинг. Это для Interface ID части адреса же, а фаерволлят, если я не ошибаюсь, Subnet ID.