Nový rozsah veřejných IPv4 adres

Informace o novinkách a změnách na 4smart.cz
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Nový rozsah veřejných IPv4 adres

Příspěvek od 4smart.cz »

Dobrý den,

Pro 4smart.cz je nově k dispozici další rozsah veřejných IPv4 adres 83.167.254.192/26,
který by měl pomoct vyřešit současný nárazový nedostatek adres z tohoto rozsahu.
Každá IPv4 adresa z tohoto rozsahu je zpoplatněna částkou 40Kč / měsíc.

Veřejnou IPv4 adresu má smysl používat jen v určitých výjimečných případech, například pro provoz poštovního serveru, který vyžaduje nastavení A a PTR záznamů k této adrese.
Ve většině ostatních případů lze použít IPv4 adresu z neveřejného rozsahu, která není zpoplatněna, v kombinaci s některou z našich technologií, jako je Mapování portů http://wiki.4smart.cz/doku.php/funkce_mapovani_portu,
Reverzní HTTP Proxy Server http://wiki.4smart.cz/doku.php/reverzni ... oxy_server, a další. Využít lze také adres z IPv6 rozsahu.

J.M.
MaT
Příspěvky: 364
Registrován: pát 29. bře 2013 14:35:14

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od MaT »

No, není potřeba... Na spoustu věcí možná ne, ale třeba s HTTPS to bez veřejné adresy může být také docela problém. Máte případně nějaké řešení i na toto?
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od 4smart.cz »

MaT píše:No, není potřeba... Na spoustu věcí možná ne, ale třeba s HTTPS to bez veřejné adresy může být také docela problém. Máte případně nějaké řešení i na toto?
viz poslední případ v článku:
http://wiki.4smart.cz/doku.php/reverzni ... oxy_server

J.M.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xsouku04 »

MaT píše:No, není potřeba... Na spoustu věcí možná ne, ale třeba s HTTPS to bez veřejné adresy může být také docela problém. Máte případně nějaké řešení i na toto?
Https můžete mít jen na nestandardním portu. Pokud takto ale přistupují jen správcové stránek, či omezená skupina uživatelů, nemusí to být vůbec na závadu. Odkaz na ten nestandardní port provedete prostě z nezašifrovaných stránek.
MaT
Příspěvky: 364
Registrován: pát 29. bře 2013 14:35:14

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od MaT »

Ok, pro nějaký přístup pouze do administrace to může být v určitých případech využitelné. Já se ale někdy pohybuji i v sítích, odkud se nedostanu na jiné porty než 80 a 443 - a to už může být docela problém.

Jinak ptal jsem se na to HTTPS hlavně s ohledem na to, že se čím dál tím víc doporučuje chránit co nejvíc webů tímto šifrováním i při běžných přístupech. Dříve se jako argument proti šifrování všeho uváděla větší výpočetní náročnost - ale dnes někteří zase naopak brojí proti řešení kdy celý web je na http a jen login se řeší přes HTTPS...
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xsouku04 »

MaT píše:Ok, pro nějaký přístup pouze do administrace to může být v určitých případech využitelné. Já se ale někdy pohybuji i v sítích, odkud se nedostanu na jiné porty než 80 a 443 - a to už může být docela problém.

Jinak ptal jsem se na to HTTPS hlavně s ohledem na to, že se čím dál tím víc doporučuje chránit co nejvíc webů tímto šifrováním i při běžných přístupech. Dříve se jako argument proti šifrování všeho uváděla větší výpočetní náročnost - ale dnes někteří zase naopak brojí proti řešení kdy celý web je na http a jen login se řeší přes HTTPS...
Pravda, že by mohl někdo blokovat všechny ostatní porty než 80 nebo 443 mne nenapadlo, ještě jsem se s tím nesetkal. Pokud vyvíjíte aplikaci pro tento typ zákazníků, je zde ještě možnost požádat o výjimku ve firewallu.
Jestli použít https nebo ne je otázka. Obecně, cokoli je určeno pro čtení veřejností (bez přihlašování a administrace), https nepotřebuje.
Https je dobré hlavně tehdy, pokud se uživatelé připojují přes (často veřejné) wifi a jde o více než jen třeba si zahrát šachy. Pro online hraní šachů může být dokonce vyloženě lepší https nepoužívat kvůli nepatrně rychlejší odezvě.
Přenáší se nějaké důležité, třeba firemní údaje?
Představa, že by Vás někdo odposlouchával někde na páteřní síti, se mi nezdá reálná. K tomu se dostane velmi omezená skupina lidí, pro které jste jen jakýsi anonym, a hlavně má jiné starosti a zájmy. Mohl by to ale dělat majitel wifi AP, nebo routeru směrem k poskytovateli internetu, který Vás zná a ukořistěná data by se mu mohla hodit.

V každém případě ale doporučujeme použít neveřejnou ip adresu po dobu, kdy projekt jen vyvíjíte a ladíte nebo pro testovací provoz. Tam je nestandardní port dokonce podstatná výhoda. Podstatně tím snížíte množství záludných internetových botů, kteří zkouší, co by vám mohli na nedodělaném webu vyvést.

Jo a vydávání HTTPS certifikátů je v podstatě ideální trafika, takže je zde určitě i jistý tlak zajistit trafikám kšefty.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od alfi »

Jen doplním, že HTTPS nemusí být jen o soukromých udajích či heslech, ale taky jako ochrana proti man-in-the-middle útokům, kde může být pro někoho zajímavé modifikovat posílanou stránku a něco do ní přidat - od reklamy až po červíky. Tam pak vůbec nejde o konkrétní identitu uživatele, ale o co největší počty zobrazení nebo co největší botnet. ve spoustě LAN sítí to taky nemusí být jen o majiteli-správci, ale taky o ostatních účastnících, pokud na sebe vzájemně vidí (ARP spoofing apod.) :-(

Na trafiku s certifikáty to chce DNSSEC + DANE, ale obojí je ještě hodně v plenkách..
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xtonda »

1. Přístup pouze prostřednictvím HTTP proxy povolující pouze porty 443 a 80 se běžně používá v korporátních, školních a podobných prostředích. Použití nestandardního portu je přijatelné maximálně pro testovací verzi nebo pro web určený pro uzavřenou skupinu uživatelů, která se s tím dokáže vypořádat.

2. Provést odcizení session na volných wifinách je nepříliš složitá záležitost, viz nedávný článek na Lupa.cz o eshopu Alza. Tedy jakmile je uživatel někde přihlášen měla by celá session jet přes HTTPS stejně jako když se odesílá formulář obsahující jen trochu citlivá data, bohužel stále se na to kašle.

3. Díky technologii SNI (Server Name Indication) lze na jedné IP provozovat vícero virtuálních hostů s HTTPS a vlastním certifikátem.
http://www.root.cz/clanky/ssl-na-virtua ... ch-se-sni/
http://en.wikipedia.org/wiki/Server_Name_Indication

Čili řešením je zapnout SNI na té reverseproxy a i HTTPS konexe provozovat prostřednictvím té RP.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od 4smart.cz »

Díky za podměty,

chtěl bych uvést do provozu ještě jeden reverzní proxy server, na něm pak SNI vyzkouším.

J.M.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xsouku04 »

xtonda píše: 3. Díky technologii SNI (Server Name Indication) lze na jedné IP provozovat vícero virtuálních hostů s HTTPS a vlastním certifikátem.
http://www.root.cz/clanky/ssl-na-virtua ... ch-se-sni/
http://en.wikipedia.org/wiki/Server_Name_Indication

Čili řešením je zapnout SNI na té reverseproxy a i HTTPS konexe provozovat prostřednictvím té RP.
Vypadá to tak. Nevýhoda je jen nutná podpora prohlížeče, tedy je možná, že se občas najde někdo, kdo si bude stěžovot že mu to hlásí něco o neplatné certifikátu. "This Connection is Untrusted" a pod, protože mu prostě ono SNI nezafunguje.

Ale napadlo mne ještě jiné řešení.

Co kdybychom koupili wildcard certifikát pro 4smart, který by pokrýval všechny domény v tvaru *.4smart.cz nebo *.4smart.eu . Tedy zjevná nevýhoda používat naši subdoménu. Ale má to výhodu v tom, že nemusíte platit žádnou trafiku a přitom dosáhnete obdobnou bezpečnost, jako kdybyste zaplatili trafikantovi, co vydává certifikáty.
A co více - nemuseli byste o https vůbec starat, naše proxy by to prostě zařídila se vším všudy. Nebo jsem udělal v úvaze někde chybu?
Zamčeno