vitus_wagner | Bruce Schneier: Click here to kill everybody.

Не удержался купил вчера на Амазоне свежую книгу Шнайера. Про безопасность интернета вещей.
Пока только начал читать. Но почти первое на что наткнулся - количество устройств, подключенных к Интернету уже составляет 8 миллиардов - вдвое превосходит возможный диапазон IPv4. И будет еще расти.

Книга, на мой взгляд, расчитана на неспециалистов в области IT. Судя по стилю предисловия, должна быть понятна более-менее любому технически грамотному человеку.

Больше пока впечатлений нет.

Crossposts: https://vitus-wagner.livejournal.com/1409075.html

Flat | Top-Level Comments Only

From:

sur_kg

> вдвое превосходит возможный диапазон IPv4
Нужно не забывать, что 1/8 диапазона IPv4 была армейским способом про...на.

From:

tzirechnoy [lj.rossia.org]

А уж во сколько раз оно превосходит количество автономных систем -- вообще подумать страшно.

From:

dzz

> вдвое превосходит возможный диапазон IPv4

Убедительное доказательство того, что NAT почти полностью съел IPv6.

From:

livelight

Смотря что они считают "подключенным к Интернету устройством".
В норме у человека стоит какой-нибудь "умный дом", у которого 100500 датчиков, но реально из интернета хозяин этого дома подключается только к единому контрольному центру (который, кстати, сам может сидеть за NAT-ом), а не к каждому датчику по отдельности.

From:

dzz

Это зависит. Есть системы умного дома без локальной головы, с сервером в интернете. В этом случае устройства (датчики, актуаторы и камеры) ходят в сеть самостоятельно.

Но фишка тут не в количестве, а в том, что NAT сделал IPv6, предлагавшийся именно для расширения адресного пространства, ненужным.

From:

vitus_wagner

Ну не то чтобы совсем не нужным. Но сильно затормозил его внедрение, по крайней мере в Европе и США (в Японии по-моему уж 10 лет как внедрили повсеместно).

В Москве, кстати сейчас очень забавно выглядит мобильный IPv6 у МТС - по принципу "здесь читать, здесь не читать, здесь рыбу заворачивали". В том месте, где я сейчас сижу (угол Дмитрия Ульянова и Вавилова) его нет. В двух километрах в сторону - есть.

From:

dzz

Внедрение IPv6 тормозит ещё и то, что он должен подерживаться всеми устройствами в цепочке от клиента к серверу (или выбора адресов по принципу 6to4). А существенного стимула менять работающее магистральное оборудование IPv4 на IPv6 нет.

From:

vitus_wagner

Ну магистральны провайдеров, похоже уже всех пропинали.
В Москве оно есть как минимум у ростелекома (onlime) и МТС. Это то чем я лично пользовался и знаю, что точно работает (хотя у МТС и не везде).

From:

stanislavvv

Похоже, Москва - сильно не Россия. В екатеринбуржском датацентре ростелекома ipv6 нет и в ближайшее время (пару лет, по словам менеджера) даже не планируется.

From:

vitus_wagner

Подключенным к интернету устройством является то, что имеет IP-адрес с которого может установить какое-нибудь tcp-соединение с сайтом, имеющим публичный IP-адрес.

А контрольный центр по нынешим временам будет скорее всего сидеть не за натом в том же доме, а где-нибудь в облаке, на виртуалке, принадлежащей производителю этого самого барахла.

Что в первую очередь и порождает проблемы с безопасностью.

Жизнь была бы гораздо проще, если бы система секьюрити-периметров повторяла бы систему административных границ в физичеком пространстве, поскольку эта система понятна и привычна.

From:

vitus_wagner

Кстати, интересно, а во сколько раз NAT принципиально способен расширить диапазон доступных IP?

По очевидным соображениям - не более чем в 65536 раз. Но по-моему, существенно меньше.

From:

dzz

Теоретически, если не рассматривать возможность одновременного обращения всех устройств из-за NAT-а наружу, то количество раз равно суммарному количеству адресов во всех немаршрутизируемых сетях (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) минус количество таких сетей (т.к. как минимум 1 адрес в каждой сети выпадает под внешнее соединение). Считать лень :)

Множитель для максимальнго количества одновременно видимых из-под NAT-а адресов равен количеству свободных (т.е. не задействованных под NAT-роутер) портов. Это меньше 64k.

Edited Date: 2018-09-28 12:55 pm (UTC)

From:

livelight

Протокол TCP позволяет NAT-демону с одного и того же порта ходить на произвольное количество внешних TCP (даже не IP!) адресов. Так что количество устройств, которые сами ходят наружу, но не принимают входящих соединений, может быть горааааздо больше, чем 64k на один маршрутизируемый IP-адрес.

From:

vitus_wagner

Это при условии что они не хотят все сходить на play.google.com по одному и тому же протоколу.

From:

dzz

Понятно, что за NAT-ом можно развернуть ещё один (и даже не один) полноразмерный интернет :)
Основной вопрос - в выходе наружу.

Ну и, на практике, в подавляющем большинстве случаев внутри NAT-зоны используются серые IP, дабы не плодить проблем с маршрутизацией.

Edited Date: 2018-09-28 01:32 pm (UTC)

From:

vitus_wagner

Проблема в том, что никому в наше время (кроме некоторых офисов с развитым интранетом) не нужен "полноценный интернет внутри". Всем нужно ходить куда-то в облака.

From:

dzz

Ситуация "два десятка внутренних IP, пара серверов и один выход наружу" характерна для большей части SOHO и даже домохозяйств. Это я ещё про свой квартирный интранет не рассказываю :)

From:

vitus_wagner

Надо еще учитывать что каждый хост за NAT-ом может использовать более одного порта.

С другой стороны можно попытаться NAT-ить на один порт роутера обращения разных внутренних хостов к разным внешним.

From:

dzz

> один порт роутера обращения разных внутренних хостов к разным внешним

Да, к примеру, для HTTP-запросов неплохо работает проксирование.

From:

vitus_wagner

HTTP сейчас довольно успешно извели. Остался https. А он, увы, требует отдельного TCP-соединения для каждого клиента.

From:

crazy_daemon

https прекрасно проксируется в http на границе сетей.

From:

vitus_wagner

Только если не используются клиентские сертификаты.

From:

dzz

Они довольно редко используются, КМК

Edited Date: 2018-09-28 03:36 pm (UTC)

From:

sur_kg

100.64.0.0/10 забыли :)

А еще немаршрутизируемые сети могут вкладываться друг в друга... А еще их при желании можно делить на подсети (например, в каждый из 65533 адресов 10.0.0.0/16 вкладывается по 65533 адреса 10.1.0.0/16)

%)

Только нужно из каждой подсети вычитать не один адрес, а три (нулевой адрес самой сети и последний - броадкаст)

From:

vitus_wagner

не, 65535 это не число адресов в 192.168/16, это число портов на внешнем интерфейсе, в которые можно отображать клиентские адреса.

From:

sur_kg

Коммент, на который я отвечал, начинался со слов "Теоретически, если не рассматривать возможность одновременного обращения всех устройств из-за NAT-а наружу"

Ну и выше в треде уже обсудили, что symmetric NAT может использовать один внешний порт для скольки угодно соединений.

Конечно, если нужен full cone NAT, то больше 65536 одновременных UDP соединений шлюз не сможет.

From:

vitus_wagner

Один из моих ответов был "они захотят все сходить на play.google.com по https".

From:

dzz

Да, забыл - и про ноль с бродкастом, и про сотую сетку (которая, впрочем, имеет специфику в использовании как CGN/LSN). Mea culpa :)
Про вкладывание я там где-то ниже написал.