Bruce Schneier: Click here to kill everybody.

[vitus_wagner]

Не удержался купил вчера на Амазоне свежую книгу Шнайера. Про безопасность интернета вещей.
Пока только начал читать. Но почти первое на что наткнулся - количество устройств, подключенных к Интернету уже составляет 8 миллиардов - вдвое превосходит возможный диапазон IPv4. И будет еще расти.

Книга, на мой взгляд, расчитана на неспециалистов в области IT. Судя по стилю предисловия, должна быть понятна более-менее любому технически грамотному человеку.

Больше пока впечатлений нет.

Comments

[sur_kg]

> вдвое превосходит возможный диапазон IPv4
Нужно не забывать, что 1/8 диапазона IPv4 была армейским способом про...на.

[tzirechnoy [lj.rossia.org]]

А уж во сколько раз оно превосходит количество автономных систем -- вообще подумать страшно.

[dzz]

> вдвое превосходит возможный диапазон IPv4

Убедительное доказательство того, что NAT почти полностью съел IPv6.

[livelight]

Смотря что они считают "подключенным к Интернету устройством".
В норме у человека стоит какой-нибудь "умный дом", у которого 100500 датчиков, но реально из интернета хозяин этого дома подключается только к единому контрольному центру (который, кстати, сам может сидеть за NAT-ом), а не к каждому датчику по отдельности.

[dzz]

Это зависит. Есть системы умного дома без локальной головы, с сервером в интернете. В этом случае устройства (датчики, актуаторы и камеры) ходят в сеть самостоятельно.

Но фишка тут не в количестве, а в том, что NAT сделал IPv6, предлагавшийся именно для расширения адресного пространства, ненужным.

[vitus_wagner]

Ну не то чтобы совсем не нужным. Но сильно затормозил его внедрение, по крайней мере в Европе и США (в Японии по-моему уж 10 лет как внедрили повсеместно).

В Москве, кстати сейчас очень забавно выглядит мобильный IPv6 у МТС - по принципу "здесь читать, здесь не читать, здесь рыбу заворачивали". В том месте, где я сейчас сижу (угол Дмитрия Ульянова и Вавилова) его нет. В двух километрах в сторону - есть.

[dzz]

Внедрение IPv6 тормозит ещё и то, что он должен подерживаться всеми устройствами в цепочке от клиента к серверу (или выбора адресов по принципу 6to4). А существенного стимула менять работающее магистральное оборудование IPv4 на IPv6 нет.

[vitus_wagner]

Ну магистральны провайдеров, похоже уже всех пропинали.
В Москве оно есть как минимум у ростелекома (onlime) и МТС. Это то чем я лично пользовался и знаю, что точно работает (хотя у МТС и не везде).

[stanislavvv]

Похоже, Москва - сильно не Россия. В екатеринбуржском датацентре ростелекома ipv6 нет и в ближайшее время (пару лет, по словам менеджера) даже не планируется.

[vitus_wagner]

Подключенным к интернету устройством является то, что имеет IP-адрес с которого может установить какое-нибудь tcp-соединение с сайтом, имеющим публичный IP-адрес.

А контрольный центр по нынешим временам будет скорее всего сидеть не за натом в том же доме, а где-нибудь в облаке, на виртуалке, принадлежащей производителю этого самого барахла.

Что в первую очередь и порождает проблемы с безопасностью.

Жизнь была бы гораздо проще, если бы система секьюрити-периметров повторяла бы систему административных границ в физичеком пространстве, поскольку эта система понятна и привычна.

[vitus_wagner]

Кстати, интересно, а во сколько раз NAT принципиально способен расширить диапазон доступных IP?

По очевидным соображениям - не более чем в 65536 раз. Но по-моему, существенно меньше.

[dzz]

Теоретически, если не рассматривать возможность одновременного обращения всех устройств из-за NAT-а наружу, то количество раз равно суммарному количеству адресов во всех немаршрутизируемых сетях (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) минус количество таких сетей (т.к. как минимум 1 адрес в каждой сети выпадает под внешнее соединение). Считать лень :)

Множитель для максимальнго количества одновременно видимых из-под NAT-а адресов равен количеству свободных (т.е. не задействованных под NAT-роутер) портов. Это меньше 64k.

[livelight]

Протокол TCP позволяет NAT-демону с одного и того же порта ходить на произвольное количество внешних TCP (даже не IP!) адресов. Так что количество устройств, которые сами ходят наружу, но не принимают входящих соединений, может быть горааааздо больше, чем 64k на один маршрутизируемый IP-адрес.

[vitus_wagner]

Это при условии что они не хотят все сходить на play.google.com по одному и тому же протоколу.

[dzz]

Понятно, что за NAT-ом можно развернуть ещё один (и даже не один) полноразмерный интернет :)
Основной вопрос - в выходе наружу.

Ну и, на практике, в подавляющем большинстве случаев внутри NAT-зоны используются серые IP, дабы не плодить проблем с маршрутизацией.

[vitus_wagner]

Проблема в том, что никому в наше время (кроме некоторых офисов с развитым интранетом) не нужен "полноценный интернет внутри". Всем нужно ходить куда-то в облака.

[dzz]

Ситуация "два десятка внутренних IP, пара серверов и один выход наружу" характерна для большей части SOHO и даже домохозяйств. Это я ещё про свой квартирный интранет не рассказываю :)

[vitus_wagner]

Надо еще учитывать что каждый хост за NAT-ом может использовать более одного порта.

С другой стороны можно попытаться NAT-ить на один порт роутера обращения разных внутренних хостов к разным внешним.

[dzz]

> один порт роутера обращения разных внутренних хостов к разным внешним

Да, к примеру, для HTTP-запросов неплохо работает проксирование.

[vitus_wagner]

HTTP сейчас довольно успешно извели. Остался https. А он, увы, требует отдельного TCP-соединения для каждого клиента.

[crazy_daemon]

https прекрасно проксируется в http на границе сетей.

[vitus_wagner]

Только если не используются клиентские сертификаты.

[dzz]

Они довольно редко используются, КМК

[sur_kg]

100.64.0.0/10 забыли :)

А еще немаршрутизируемые сети могут вкладываться друг в друга... А еще их при желании можно делить на подсети (например, в каждый из 65533 адресов 10.0.0.0/16 вкладывается по 65533 адреса 10.1.0.0/16)

%)

Только нужно из каждой подсети вычитать не один адрес, а три (нулевой адрес самой сети и последний - броадкаст)

[vitus_wagner]

не, 65535 это не число адресов в 192.168/16, это число портов на внешнем интерфейсе, в которые можно отображать клиентские адреса.

[sur_kg]

Коммент, на который я отвечал, начинался со слов "Теоретически, если не рассматривать возможность одновременного обращения всех устройств из-за NAT-а наружу"

Ну и выше в треде уже обсудили, что symmetric NAT может использовать один внешний порт для скольки угодно соединений.

Конечно, если нужен full cone NAT, то больше 65536 одновременных UDP соединений шлюз не сможет.

[vitus_wagner]

Один из моих ответов был "они захотят все сходить на play.google.com по https".

[dzz]

Да, забыл - и про ноль с бродкастом, и про сотую сетку (которая, впрочем, имеет специфику в использовании как CGN/LSN). Mea culpa :)
Про вкладывание я там где-то ниже написал.

[temmokan]

Безопасность IoT - это сплошной хоррор, насколько я понимаю.

Что написана доступным языком, то плюс. Имеет смысл покупать?

[hungry_ewok]

The "S" in "IoT" is for "Security". (с)старая нешутка.

[temmokan]

Увы, актуальная.

[vitus_wagner]

Если вы читаете каждое утро хотя бы одну англоязычную газету, то имеет. Иначе - стоит подождать, вдруг на русский переведут.

[temmokan]

С английским сложностей нет. Спасибо.