On 05/05/15 22:05, Jan Dušátko:
K ostatnim informacim, mate nekdo navrhy jak FreeBSD prinutit zajistit rozumnou miru zabezpeceni pro IPv6? 1) Politika - co dovolim a nedovolim, pripadne proc
"obecna bezpecnostni politika" neexistuje a existovat nemuze. Tim se IPv6 od IPv4 nijak nelisi. Bezpecnostni opatreni uz z principu kladou provozni omezeni a to jaka omezeni jsou prijatelna prilis souvisi s individualnimi pozadavky kladenymi na provoz konkretni site.
Nakonec dovolis to, co bude mensi problem dovolit nez nedovolit a zakazes to, co uz ti nebude pripadat prijatelne mit povolene. Pro finalni vysledek pouzijes oznaceni "rozumna mira zabezpeceni", cehoz bylo dosahnouti.
3) Centralni sprava - ideu DHCPv6 jsem stale neopustil
A pri neexistenci alternativy ani neopustis, takze je to slepa vetev uvah. Podotykam, ze stateless autokonfiguraci nepovazuju za variantu centralni spravy lokalni site.
4) Monitoring vyse uvedeneho
Monitoring cehokoliv na IPv6 siti se prinicipialne neodlisuje od monitoringu na IPv4 siti. Nevim co vsechno povazujes za ucelne/nutne/vhodne monitorovat na IPv4, ale vetsinu tech veci bude existovat primo viditelna varianta pro IPv6 prostredi. Takze muzes monitorovat vesele dal.
Samozrejme, tak jako sis kdysi nasel/vytvoril/nakonfiguroval/koupil konkretni nastroje, ktere pouzivas pro IPv4 a ktere vyhovyji tvejm predstavam a pozadavkum, uplne stejne to budes muset udelat pro IPv6. I tady je prakticky nemozny rozumne odpovedet na obecne polozenou otazku.
K tomu je potreba pripocist, ze soucasny poskytovatel IPv6 neposkytuje (nastesti), takze mam cas experimentovat a hledat. K tomu muj paranoidni pristup, poskytovateli neverim. A desim se toho, ze IPv6 jednou zapne.
Zapnuti IPv6 neni, stejne jako v pripade IPv4, jednostranny krok. Pokud na svem vnejsim interface nemas IPv6 nakonfigurovane, je celkem sumafuk, co v tomto ohledu dela nebo nedela nekdo jiny v te siti.
Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
