Ola Thiago, Em Qui 23 Mar 2006 13:40, Thiago Macieira escreveu: > >> Significa que, se o A pode abrir uma conexão para B, então B pode > >> abrir uma conexão para A. > > > Naquela época, IP não era problema. Então todo mundo tinha IP. E não havia > problemas de segurança, porque, afinal, eram apenas alguns institutos de > pesquisa que tinham Internet. Então não havia firewalls.
Eram "tempos mais simples". A realidade hoje e completamente diferente e "esconder" sua rede sob um firewall me parece uma boa solucao para aumentar o controle e seguranca de uma rede corporativa/pessoal. > Conclusão: abrir uma conexão extra, no sentido contrário, não era > problemas. Nao era, hoje acho que e, nao gosto de pensar em maquinas externas abrindo conexoes com os micros da minha rede. > Idiotice foi ter quebrado a bidirecionalidade. Acho que o problema neste caso, foi descobrir muito tarde que a bidirecionalidade e um inconveniente para seguranca. A Internet e a maior parte dos servicos de rede foram criados em uma epoca "mais ingenua". Acho que hoje e necessario uma visao diferente. Procurando problemas antes que eles se materializem. > Se A conversa com B, B conversa com A. Quebrar essa simples regra foi > idiotice. Acho que se deveria levar este conceito para como funcionam as linhas telefonicas: Se A conversa com B, B conversa com A aproveitando a mesma ligacao. Assim, se A nao quer ser incomodado ou ficar exposto. Por que B tem que poder ligar de volta? Se arruma solucao para tanta coisa, nao podemos ficar apenas na primeira e quase confiavel ligacao de A para B? > Quanto antes as pessoas começarem a perceber que as dificuldades que o NAT > introduz são maiores que os benefícios, tanto antes teremos uma solução > definitiva (não "acoxambrações"). Acho que uma solucao definitiva que tenha como prioridade seguranca seria muito bom, mas ate la, precisamos de um modo de sobreviver. Acho que NAT ainda e melhor que nada. > IPv6 não suporta NAT. Repetindo: não existe NAT sobre IPv6. A > bidirecionalidade é restaurada. Ate quando? Acho que no inicio do IPv4 tambem nao tinham pensado em NAT, quando a industria se ver sem saida, acaba apelando para solucoes ruins, mas que atendem a necessidade imediata. Se a "solucao definitiva" chegar antes, otimo, senao, IPv6 pode mudar. Nao conheco muito do protocolo, poder ser que tenha sido criado toda uma estrutura para impedir isso, mas nunca duvide da criatividade do ser humano para "driblar regras", a civilizacao cresce deste jeito. > Quer um exemplo? Email. > > "Tente pingar minha máquina. Meu IP é 10.3.0.77." > > Aquele IP acima não quer dizer absolutamente nada para alguém fora da > rede. Mesmo para aqueles que eu consigo pingar. > > Suponha agora que eu precise abrir uma porta para receber um arquivo. Como > eu vou descobrir qual é o meu IP externo? Como eu vou fazer para o > firewall/NAT permitir que eu receba a conexão? É exatamente esse o > problema que o servidor de FTP em modo passivo, o cliente de FTP em modo > ativo ou um programa usando H.323 enfrentam. Entao talvez seja hora de ja pensar em NAT ou em outra alternativa ao criar um novo servico/protocolo. Sei que FTP e e-mail sao "ancioes", mas o H323 ja poderia ser criado pensando mais em seguranca, em se adaptar a pratica do mercado, ja que o NAT deve ser mais antigo que o H323 ( e mesmo ou estou me equivocando? ). Me parece a filosofia da Microsoft e similares: Os mecanismos de seguranca do programa/aplicao X nao permitem que eu crie uma facilidade que vai convencer o usuario a comprar meu produto. Por que melhorar meu produto para se encaixar nas regras de seguranca, ou verificar se o usuario realmente precisa da facilidade que serve de argumento de venda, mas nao necessariamente serve para o usuario, se eu posso forcar que abandonem o mecanismo de seguranca? Acho que vemos esta historia muitas vezes na nossa area. Ate a linguagem Java, que no inicio era exaltada por ser segura, porque ninguem criaria programas maliciosos em Java, se dobrou a facilidade e necessidades da industria, cedendo em alguns aspectos de seguranca se nao me engano ( falo como alguem que "ouviu as noticias", conheco pouco de java, mas o que me lembro da propaganda inicial me faz pensar que a ideia era ser mais segura do que e hoje ). Josinei --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
