Nevyhody NATu

[Dan Lukes]

Martin Horcicka wrote:

>>Jelikoz to do teto konference uz zas tak nepatri, nebudu prilis
>>polemizovat nad tim, ze s rozumne nastavenym firewallem neni ani pocet
>>pocitacu ani adresni prostor uplne verejne dostupnou informaci -
>>pocitac, se kterym nekomunikuji a komunikovat nehodlam by nemel byt
>>schopen nic z toho zjistit.
> 
> Jiste, pokud dotycny neni schopen odposlouchavat tvou linku, ale to uz se
> mozna opravdu trochu vzdaluji od bezne reality. :-)

	Jenze proti takovemu ti ani preklad nepomuze, protoze pri jen trose snahy 
se probihajici komunikace da ztotoznit s jednotlivymi pocitaci (a casto 
dokonce s jednotlivymi lidmi) podle analyzy obsahu protekajicich dat.

	NAT proste NENI prostredkem pro zabezpeceni siti, ackoliv v urcitych 
situacich tak lze pouzit - a tedy by nikoho nemelo prekvapit, ze pri se 
v tomto ohledu na nej nebere prilisny ohled ani se nebude zachovavat 
"zpetna kompatibilita" pri vyvoji jinych protokolu, prechodu na jine 
adresovani a tak podobne - a NAT proste nadale k tem ucelum, pro ktere 
byl (zne-)uzivan pouzit proste nepujde (a jelikoz ty duvody, pro ktere 
skutecne vznikl zaniknou, je mozne, ze se preklad jako technologie pro 
cokoliv proste opusti.

	Proti utocnikovi, ktery ma pristup k odposlechu linky pomaha jen 
sifrovani - a nebo realisticke nahlednuti, ze protekajici komunikace je 
skutecne citliva jen velmi miziva cast (a ta se take skutecne obvykle 
sifruje, casto na aplikacni urovni) a ten zbytek (tvorici ovsem objemove 
podstatne vetsi cast) - ten at si, s panem bohem, odposlouchava kdo chce ...

	Nicmene, to jsme opravdu hodne odbocili, takze ja (tentokrat skutecne) v 
konferenci s timto tematem koncim (coz nevylucuje pokracovani debaty 
mimo konferenci).
							Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz