Рубрика «IPv6» - 8

в 8:09, , рубрики: bash, Dynamic DNS, DynDNS, freedns, IPv6, linux, miredo, Настройка Linux, Сетевые технологии, системное администрирование

IPv6, miredo, dynamic DNS AAAA - 1

Захотелось странного — чтоб мои IPv6-enabled (miredo) хосты еще и динамически обновляемую DNS запись имели. Поизучав вопрос выяснил, что многие распространённые dyndns сервисы или не предоставляют возможность регистрации AAAA (IPv6 эквивалент записи типа A для IPv4), или не предоставляют её бесплатно, или имеют мутные настройки динамического обновления неизвестного уровня безопасности (или вовсе http/plaintext). Перепробовал с десяток сервисов и решил остановиться на freedns.afraid.org
Плюсы:

  • Человеко-понятная админка (без всяких «купить AAAA за $0 USD»)
  • Бесплатно дают AAAA
  • Безопасное (https) обновление
  • URL-based обновление (не приходится испытывать сомнений о конфиге для агентов типа ddclient)

Читать полностью »

в 22:18, , рубрики: IPv6, информационная безопасность, Сетевые технологии

image
Прочитал недавно статью «IPv6 под прицелом» и решил написать более подробно об атаке SLAAC (SLAAC Attack), т.к. эту атаку я уже давно в голове держу, развернутого материала на русском не нашел, да и самому интересно ее было повторить.

Суть атаки

В чем суть атаки? Во-первых, она очень простая и надежная, т.к. использует стандартные технологии и инструменты ОС. По сути, вы просто становитесь единственным IPv6-маршрутизатором в сети и раздаете клиентам IPv6-подсеть, из которой клиенты берут себе адреса либо автоматически генерируя их (SLAAC), либо спрашивая у вашего же DHCPv6-сервера. Напомню, что IPv6 включен по умолчанию во всех современных десктопных, мобильных и серверных ОС, имеет приоритет над IPv4 (кроме некоторых случаев), адрес IPv6, в отличие от IPv4, может быть получен в любой момент, а не только в момент совершения подключения, и крупные веб-сайты уже давно доступны через IPv6. Атака работает как в проводных сетях, так и в беспроводных. Не все свитчи, даже современные, поддерживают фильтрацию Router Advertisement, и, как я полагаю, не все включают эту функцию, даже если она поддерживается свитчем, полагая, что раз в сети нет IPv6, то и фильтровать ничего не нужно. К слову, на данный момент, фильтр Router Advertisement можно обойти на всех свитчах, использовав недостатки реализации.

Я смог придумать две реализации атакиЧитать полностью »

в 9:23, , рубрики: IPv6, Блог компании VPS.menu, Веб-разработка, виртуализация, виртуальные сервера, поиск виртуальных серверов, системное администрирование

Привет!

С момента анонса проекта vps.menu прошло всего две недели, но уже есть новости, о которых хотелось бы рассказать: за это время внесён ряд изменений, улучшающих качество поиска виртуальных серверов.

Обновления на vps.menu - 1

Во-первых, появилась возможность поиска по цене за 3, 6 или 12 месяцев. Очень часто хостеры делают скидки при длительной оплате, поэтому уже сейчас можно указывать период, за который вы хотите произвести оплату и минимальное и максимальное значение цен. При этом, в информации о тарифе будет отображаться общая цена за указанный период.
Читать полностью »

в 0:27, , рубрики: ccna, Cisco, IPv6, Сетевые технологии, сети, системное администрирование

Картинка, которая может ввести в ступор привыкших к IPv4 специалистов:

    R6#sh ipv6 interface brief
    FastEthernet0/0            [up/up]
        FE80::218:18FF:FE45:F0E2
        1::1
        1::2
        1::3
        1::10
        1::100:500
        2::1
        2::2

Причём каждый из этих адресов может быть использован наравне с другими. Как так?
Читать полностью »

в 22:23, , рубрики: ccna, Cisco, eui-64, IPv6, Сетевые технологии, сети

В этой небольшой статье (ещё раз) объясняется, зачем в IPv6 адреса генерируются таким странным, на первый взгляд, образом.

IPv6-адреса через EUI-64: Точки над i - 1

Тех, кто понимает смысл процедуры EUI-48 -> EUI-64 -> Modified EUI-64, статья вряд ли обогатит новыми знаниями. Остальные – добро пожаловать под кат.
Читать полностью »

в 19:51, , рубрики: BGP, Cisco, IPv6, nat, ospf, Сетевые технологии

Поднимаем упрощенную провайдерскую сеть дома - 1Изначально эта статья была дневником по лабораторной работе, которую я придумал сам для себя. Постепенно мне начало казаться, что данная информация может быть полезна кому-то еще. Поэтому я постарался преобразовать заметку в более-менее приличный вид, добавить описание некоторых команд и технологий.

В статье рассматривается построение простейшей сети с несколькими провайдерами и клиентами, в частности, такие технологии, как NAT, OSPF, BGP, MPLS VPN. Многое, естественно, будет не учтено. Например в статье почти нет описания проблем безопасности, т.к. на эту тему можно говорить бесконечно, а текст и так получается довольно объемным. QoS тоже оставлен в стороне, т.к. в лабораторных условиях его особо не проверишь.

По поводу целевой аудитории. Совсем новичкам в сетях статья, боюсь, будет непонятна. Людям, обладающим знаниями хотя бы на уровне CCNP – неинтересна. Поэтому я примерно ориентируюсь на сертификацию CCNA R&S.
Читать полностью »

в 7:00, , рубрики: IPv4, IPv6, Блог компании Журнал Хакер, информационная безопасность

IPv6 под прицелом - 1

Казалось бы, зачем сейчас вообще вспоминать про IPv6? Ведь несмотря на то, что последние блоки IPv4-адресов были розданы региональным регистраторам, интернет работает без каких-либо изменений. Дело в том, что IPv6 впервые появился в 1995 году, а полностью его заголовок описали в RFC в 1998 году. Почему это важно? Да по той причине, что разрабатывался он без учета угроз, с той же доверительной схемой, что и IPv4. И в процессе разработки стояли задачи сделать более быстрый протокол и с большим количеством адресов, а не более безопасный и защищенный.
Читать полностью »

в 11:20, , рубрики: IPv4, IPv6, ripe ncc, выделенный канал, интернет, канал, протокол IPv6, сети, цод

IPv4 - past, IPv6 - future

Всем известно, что адресное пространство IPv4 имеет весьма ограниченный объем и с учетом развития всемирной паутины на сегодняшний момент подходит к концу. Адресное пространство IPv6 имеет значительно больший объем. Переход на IPv6 неизбежен для всех, это лишь вопрос времени. А для нас, как для сервис-провайдера облачных услуг, важно быть готовыми к такому переходу, как внутри собственной сети, так и для наших клиентов. Далее о переходе на IPv6 и схеме сети ИТ-ГРАД.Читать полностью »

в 13:58, , рубрики: IPv6, linux, информационная безопасность, метки:

image

Предисловие

Проснулся я сегодня с мыслью, что огромное количество инструкций по настройке NAT советуют использовать строку вида:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Многие понимают проблемы этой конструкции, и советуют добавлять:

iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Но, зачастую, забывают задать таблице FORWARD действие REJECT по умолчанию, или добавить правило REJECT в конец таблицы.
На первый взгляд, вроде бы, все кажется нормальным. Однако, это далеко не так. Дело в том, что если не запретить маршрутизировать трафик из WAN-порта в WAN-порт, кто-нибудь из вашей WAN-сети (предположим, что провайдер садит весь подъезд в одну /24) может маршрутизировать трафик через вас, просто прописав ваш IP в качестве шлюза. Все современные SOHO роутеры это учитывают, а вот неопытный администратор, который делает роутер под обычным linux, может не знать или забыть об этом. В подсети моего провайдера таких роутеров не оказалось, и мой план по захвату мира провалился. Однако, статья совсем не об этом.

Магические двоеточия

Как вы, может быть, знаете, многие современные программы и сервисы биндятся на IP :: (два двоеточия), а не на 0.0.0.0, как было раньше. IPv6 адрес :: значит то же самое, что и IPv4 0.0.0.0, т.е. «слушаем все интерфейсы». Многие считают, что если программа слушает ::, то этот сокет может принимать только IPv6-соединения, однако это далеко не так.
В IPv6 есть так называемое отображение IPv4-адресов в IPv6 диапазон. Если программа слушает сокет ::, а к ней обращаются из IPv4-адреса 1.2.3.4, то программа получит соединение с адреса ::ffff:1.2.3.4. Этого можно избежать, сделав:

sysctl -w net.ipv6.bindv6only=1

Но это нужно далеко не всегда, т.к. обычно удобно, что программа слушает один сокет, а получать соединения может по двум протоколам сразу. Практически во всех дистрибутивах, IPv6-сокеты ведут себя именно так, т.е. bindv6only=0.Читать полностью »

в 18:16, , рубрики: IPv6, Сетевые технологии, яндекс, метки: ,

Сервисы Яндекс довольно долго работали, используя механизм DNS whitelisting на манер RFC6589. Для этого использовались средства DNS view в BIND. В белый список попадали провайдеры, имеющие прямую связанность с Яндексом (as path равен 1) и анонсирующие нам IPv6 префиксы. Я даже рассказывал про это на одной из конференций YaC. При этом, конечно, большой радости эта конструкция не приносила, хоть и белый список обновлялся автоматически, все равно с ним было неудобно: вроде, сервис и есть, а вроде и люди на него не могут попасть.

Читать полностью »

1...789...12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js