Vista-pc's kunnen unieke naam krijgen via IPv6

Ars Technica maakt melding van een weliswaar eerder door Microsoft bekendgemaakte maar niettemin onderbelicht gebleven feature van Windows Vista: de zogeheten Internet Computer Name, waarmee met een op het internet aangesloten Vista-machine via een unieke naam verbinding kan worden gemaakt - in plaats van via ip-adres of domeinnaam. Dat geschiedt door de naam te registreren via de standaard in Vista ingebakken PNRP-service, waarna die via een peer-to-peer-model bekend is bij andere Vista-computers: iedere machine kent een aantal willekeurige andere machines en zo kan in een beperkt aantal stappen een computer met een bepaalde naam worden gevonden - danwel worden vastgesteld of de gekozen naam al in gebruik is. Sommige veiligheidsexperts zouden volgens Ars Technica van mening zijn dat computers op deze manier te gemakkelijk toegankelijk zou zijn voor kwaadwillenden, helemaal als de PNRP-service niet waterdicht blijkt te zijn.

IPv6 (verkleind) Met de aldus verkregen Internet Computer Name op zak kan er vervolgens verbinding met de desbetreffende Vista-machine worden gemaakt vanaf iedere andere Vista-computer op de aardbol die ook over een verbinding beschikt die IPv6 ondersteunt. Te denken valt bijvoorbeeld aan Microsofts Remote Desktop, dat ook in Windows XP te vinden is, maar er kan feitelijk alles mee gedaan worden wat thans via domeinnamen danwel ip-adressen geschiedt, zoals een web- of ftp-site benaderen op de hostmachine, of de naam gebruiken in een multiplayer-game-sessie.

Een onlangs uitgekomen update voor Windows XP lijkt overigens te impliceren dat de functionaliteit niet exclusief voor Vista is, hoewel de weblog van Microsofts Noah Horton dat weer wel suggereert.

Reacties (87)

Little Penguin 14 november 2006 21:10

De theorie hierachter is leuk, via een paar andere machines achter de naam van de gewenste computer komen. Toch geloof ik niet dat dit een groot succes zal gaan worden (via het internet dus).

Zodra er namelijk computers uitgezet worden zijn er dus ook belangrijke nodes weg, verder is deze manier van naamgeving erg chaotisch. En daarnaast hebben we nog het probleem van IPv6 absoluut nog niet breed gebruikt wordt...

Verder denk ik niet dat veel gebruikers zitten te wachten op een publiek toegankelijke computer (zelfs al is dat alleen maar voor Remote Desktop), vaak zitten deze ook nog eens achter een router/firewall ook.

Al met al veel leeuwen en beren op de weg, het oude vertrouwde [D]DNS systeem is dus zo gek nog niet...

Verwijderd @Little Penguin • 14 november 2006 21:52

Het BitTorrent DHT netwerk werkt anders op een gelijkwaardige manier en heeft helemaal geen probleem met wegvallende systemen.

http://en.wikipedia.org/wiki/Distributed_hash_table
http://wiki.bitcomet.com/help/DHT_Network_in_BitComet

Het punt is juist dat dit een meer gratis versie van DNS wordt, dus je krijgt geen www.domain-naam.nl, maar meer een soort NETBIOS naam, zoals je ook via \\NAAM op je LAN met andere systemen verbinding kan maken.

@Little Penguin, voor $7.20/jaar koop je inderdaad al .com addressen en voor $6.19/jaar al een .net adres met bijbehorende gratis DNS servers, echter die beginnen dus snel op te raken. Ik denk dat dit syteem meer bedoeld is voor LANs en kleine bedrijfs VPNs, waar het dus puur bedoeld is voor de onderlinge communicatie met andere workstations. Dynamic IPs worden op die manier dan wat gemakkelijker ondervangen, al zou het me niet verbasen als ISPs meer van statistische IPs gebruik gaan maken. Er is helemaal geen tekort meer aan IPs met IPv6, dus technisch geen probleem om een IP vast te koppelen aan elke ISP gebruiker, al zal dat wel privacy problemen met zich meebrengen.

Ik juig het wel toe, nu gebruiken wij No-IP en DynDNS methodes om computers van klanten te benaderen via RDP/VNC. Of een vast IP nummer, echter als we dan gemakkelijk "Bedrijfsnaam_Computer_X" kunnen gebruiken, dan scheelt dat weer t.o.v. 1006:0ab8:f94d:ea56:1156:dead:1522:5fab

Rafe @Verwijderd • 14 november 2006 22:01

Kademlia in eMule is een DHT-implementatie en dat werkt ook prima idd

Little Penguin @Verwijderd • 14 november 2006 22:04

Het BitTorrent DHT netwerk werkt anders op een gelijkwaardige manier en heeft helemaal geen probleem met wegvallende systemen.

Ik denk zelf dat BitTorrent computers een stuk beter bereikbaar zijn (qua 24/7 uptime) dan de meeste Vista computers - dus tenzij men van een systeem bijhoud hoe vaak deze plat gaat voor dat deze als soort supernode ingezet gaat worden kan er zomaar een belangrijke node wegvallen.

Het punt is juist dat dit een meer gratis versie van DNS wordt, dus je krijgt geen www.domain-naam.nl, maar meer een soort NETBIOS naam, zoals je ook via \\NAAM op je LAN met andere systemen verbinding kan maken.

Behalve alle praktische problemen denk ik ook niet dat een Vista Name Protocol echt schaalbaar is, zo'n naam moet natuurlijk uniek zijn - maar wat doe je als alle mooie namen weg zijn? Of maakt dit protocol ook weer gebruik van een hierarchie? In dat geval is het probleem van unieke namen natuurlijk weer een stuk kleiner.

DNS kost eigenlijk ook niks van vgls mij heb je voor minder dan 10 dollar per jaar al een domeinnaam en is het ook wel mogelijk om gratis een DNS server te gebruiken.

itons @Little Penguin • 15 november 2006 08:38

1 woord: redundantie

kwestie van dubbele informatie op meerdere nodes: klaar

hellbringer @Little Penguin • 14 november 2006 21:14

IPv6 absoluut nog niet breed gebruikt wordt

Nog niet inderdaad, maar ik denk dat daar met de komst van Vista behoorlijk wat in gaat veranderen.

vaak zitten deze ook nog eens achter een router/firewall ook.

Volgens mij is deze service er juist voor om dat soort "problemen" te omzeilen.

Maar ik ben zelf ook een beetje huiverig voor dit idee, het klinkt leuk, maar volgens mij is het inderdaad een heel makkelijk taget voor een internet worm

@maartena
XS4all doet hier al IPv6 tunnels...

maartena @hellbringer • 14 november 2006 21:33

Hier in de VS zijn de ISP's zo lui als wat. Maar ja, de VS heeft op eigen houtje zo'n 25% van de wereld's beschikbare IPv4 adressen in handen, en nog ruim voldoende voorhanden voor gebruik de komende 20 jaar, dus echt veel haast hebben de ISP's hier niet.

Ik heb een router die IPv6 ondersteund, Windows Vista met IPv6 ondersteuning, maar een ISP die alleen maar aan IPv4 doet.

Parasietje @maartena • 15 november 2006 08:45

Ach, hier in Vlaanderen is het eender. Ik zit via het universiteitsnetwerk op internet, en ze denken hier nog niet eens aan IPv6...

Verwijderd 14 november 2006 22:41

Weer een nieuw spoofbaar speeltje erbij

En de simpele gebruiker zich maar afvragen waarom hij gebanned is.

da_grum 14 november 2006 21:08

of het surfgedrag van de gebruiker observeren

Koffie @da_grum • 14 november 2006 21:09

Ja, dat kan echt niet anders dan op deze omslachtige manier

Verwijderd @da_grum • 14 november 2006 21:50

Wat verandert er nu in 'shemelsnaam tussen de oude ip en de ipv6? Niets, toch? Omdat er geen (half-kunstmatig) gebrek aan ip-nummers meer is, hoef je geen dynamische nummers meer te hebben, en je kan alles (ipod, printer, ... ) een eigen ip geven, maar daar houdt het op en op zich is het niet veiliger of onveiliger.

De belofte om de protocollen wat beter doordacht te maken heeft weinig invloed, lekken worden gevonden en gepatcht, net als ipv4 niet perfect was op dag 1.

vso @Verwijderd • 14 november 2006 22:07

@MarvinDMartian
anonimiteit is het stukje veiligheid omdat je niet weet wie je moet hebben.

Stel je voor ik kom achter jou IP's van jou thuis apparaten koelkast, magnatron etc .. dan kan jij ipv eten wel vergif aan het bakken zijn omdat we je menus gewijzigd hebben. of je pc wordt gehacked .. etc etc nu kan het ook maar de kans dat je IP wijzigt is groter dan met IPv6 zeg maar

Ip's kunstmatig ? misschien.
Relevant van dit bericht .. niet echt voor IPv6 was het allang bekend dat elke meter v.d aarde inclusief water oppervlak zijn eigen IP kan houden. dus waarom niet voor elke pc

van mij hoeft elk intern apparraat niet zijn eigen extern adres te hebben

En microsoft of andere producten met de eigen AI om "phone home" te doen vind ik al helemaal niet chill .. Firewall rules zeg ik dan maar weer

SirBlade @vso • 15 november 2006 07:38

Anonimiteit helpt alleen als iemand een specifiek doelwit heeft. Anonimiteit helpt geen ene fuck als een script-kiddie op een hele ip-range een exploit loslaat. De meeste gebruikers hebben meer last van script-kiddies dan van een cracker die zo'n hekel aan ze heeft dat hij de moeite gaat doen die ene gebruiker lastig te vallen.

masteriiz @vso • 15 november 2006 09:09

Hangt geheel van de gebruiker af, ik denk dat sommige bedrijven meer last hebben van gerichte aanvallen, bijvoorbeeld Microsoft.

Nekje64 @vso • 15 november 2006 10:15

diameter aarde: 12768 km
straal: 6384000 m
opp: 4*pi*r^2: 5,12*10^14 m2
aantal IP's: 2^128: 3,40*10^38
Als de aarde een vlakke bol zou zijn hebben we 664 miljard adressen per vierkante -micrometer-.
Tja, met 64 bit (handiger voor processoren) zouden we maar 36018 adressen per vierkante meter hebben, echt te weinig voor een gemiddelde huiskamer.

Verwijderd @vso • 19 november 2006 10:54

Als je firewall op 'stealth' staat is die scriptkiddie scan ongevaarlijk. Een hacker laat zich niet zo snel foppen door een firewall.

killingdjef @Verwijderd • 14 november 2006 23:48

wellicht slim om dan ook met een onderbouwing te komen want zo manifesteer je jezelf alleen maar als een arrogant individu

Ik ken de verschillen ook niet maar ben wel benieuwd hiernaar

Maurits van Baerle @Verwijderd • 14 november 2006 23:57

Het gaat er niet om wat er allemaal bijkomt met IPv6, hij bedoelt dat je met IPv4 ook niet anoniem was, wat dat betreft verandert IPv6 dus niets en is dit 'veiligheidsissue' dus ook redelijk overdreven.

Verwijderd @Verwijderd • 15 november 2006 12:42

wellicht slim om dan ook met een onderbouwing te komen want zo manifesteer je jezelf alleen maar als een arrogant individu

Alles is te vinden op het net. Er zijn zoveel verschillen dat dit niet 1 2 3 hier even neer te schrijven is. Neem gewoon alle documentatie op het net eens door.

Moet alles nu echt voor iedereen voorgekauwd op hun bord gegooid worden ?

Iemand die lult dat IPv6 niks niuews is die mag dat zondermeer posten, maar iemand die zegt dat die persoon aan het lullen is wordt terechtgewezen...

Tweakers begint echt meer en meer aan geloofwaardigheid in te boeten sinds ze een 'commercieel' bedrijf geworden zijn...

Idiote moderaties, ook in het forum, 1 tot 2 dagen achterstaan met nieuwsitems, enz...

Jullie zijn niet goed bezig mensen.

En ja hoor, mod me maar weer weg.. we zijn hier niet anders meer gewend...

RobIII @Verwijderd • 15 november 2006 03:53

Wat verandert er nu in 'shemelsnaam tussen de oude ip en de ipv6? Niets, toch?

Niet echt

http://en.wikipedia.org/wiki/Ipv6#Features_of_IPv6

Koffie 14 november 2006 21:12

Eigenlijk is dit dus gewoon een soort IPv6 DNS manier waarbij alle Vista PC's server en client in 1 zijn (de DNS servers dus), en werkt het blijkbaar ook alleen als je Vista hebt.

Uiteraard marketing technisch gezien een goede zet; persoonlijk zie ik er geen nut in omdat het alleen in Vista zit (wellicht dat het als lossen download voor XP beschikbaar komt ?).

otah : dit zou wel eens het goede duwtje in de rug kunnen zijn om IPv6 bij het grote publiek te krijgen (mits de ISP's meewerken), de tweakers die IPv6 thuis draaien zijn nou niet echt het grote publiek namelijk

[eNeRGy] @Koffie • 14 november 2006 21:17

Update for Windows XP (KB920342)
Peer Name Resolution Protocol (PNRP) version 2.0 allows you to publish and resolve peer names with other PNRP nodes running v2.0. This is important for peer-to-peer applications on your system. After you install this item, you may have to restart your computer.

Staat sinds gisteren via Windows Update op mijn XP machine

engelbertus 14 november 2006 21:51

deze service is volgens mij helemaal niet zo uniek. ipv6 kent zoeveel adressen, dat een systeem als NAT niet nodig is, en niet gebruikt wordt. het probleem van routers en dergelijke is daarmee niet aan de orde, ook is de vzogenaamde veiligheid van een nat router/firewall daarmee uit de weg geruimd. het was dan ook een schijnveiligheid uiteraard.
als je alle ipv6 adressen scant heb je hetzelfde effect als scannen op een naam.

het systeem werkt volgens mij dus ook als dns. bij het uitvallen van een pc zijn er genoeg pcs over die ook op de hoogte zijn van de koppelig van een ip66 adres aan een bepaalde pc. en bij dynamische ipv6 systemen zal het wel zo werken dat die informatie netjes wordt bijgewerkt, door middel van bijvoorbeeld via ipsec gecodeerde berichten
ook zit in ipv6 al de functionaliteit om naburige machines /services op te sporen op het netwerk.

consumenten pc's zullen verder 3waarschijnlijk nooit echt rechtstreeks op het internet angesloten zijn, maar gebruik gaan maken van d zogenaamde prive adressen die je me ipv6 tot je beschikking hebt.

verder denk ik dat je nog een hele tijd aangewezen bent op ipv6 tunnels wil je deze service gebruiken, omdat de meeste modems misschien helemaal nog geen ipv6 ondersteunen, en je dus aangewezen bent op een tunnel.

dat je dus minder veilig bent met deze service kan ik niet een juiste conclusie noemen. as als de prnp (of hoe het ook weer was) service zelf lekken bevat. maar dat doet niets af aan de veiligheid van het idee er achter.

ook in de andere wel geaccepteerde protocollen bevatten rgelmatig fouten waardoor systemen van buiten je eigen netwerk gemakkelijk doelwit kunnen worden van kwaadwillende mensen.
simpelweg de aanwezigheid van een systeem in een netwerk kunnen ontdekken zegt helemaal niets over diens kwetsbaarheid.

zelfs niet als deze service lek blijkt te zijn. nog steeds zal een aanval ergens op een poort binen moeten komen en vervolgens onjuist moeten worden behandeld voor er ongewenste zaken met de pc kunnen worden gedaan.

Verwijderd @engelbertus • 14 november 2006 22:06

@engelbertus:

Ik heb er geen verstand van, maar kun je me uitleggen waarom een NAT router een schijnveiligheid is?

AFAIK gooit een NAT router binnenkomende connecties gewoon weg tenzij je heel expliciet aangeeft dat ie dat niet moet doen...

Als dat niet veilig is dan weet ik het ook niet meer?

Maurits van Baerle @Verwijderd • 15 november 2006 00:01

Een NAT werkt over het algemeen maar voor de helft van de verbinding, van buiten naar binnen. De andere kant op staat alles meestal nog steeds wagenweid open. Voor een 'hacker' of portscan van buiten ben je dan een beetje beschermt, een trojan van binnenuit kan nog steeds alles doen.

NAT misbruiken als firewall is een aardig begin maar zeker niet volledig.

engelbertus @Verwijderd • 14 november 2006 22:29

ik bedoel schijnveiligheid omdat het weggooien van die berichten niet een veiligheidmaatregel is, maar alleen omdat de router niet weet waar het naartoe moet. de veiligheid van nat is de een "neveneffect, of bijwerking" die voor de configuratie van netwerken een hele hoop bedrijven een hele hoop geld heeft gekost omdat het toegankelijk maken van een netwerk erdoor dus extr werk oplevert. alles moet geforward worden van netwerk nar netwerk, tunnels moeten worden opgebouwd etc.

wordt e echt aangevallen als je achter een router zit, komt diegen heus wel verder. maar op je netwerk betekent niet dat ie iets kan doen, da moet er nog steeds binnengedrongen worden op een pc oid. en daarvoor moet de hacker toch een vulnerbility uitbuiten. of je hebt je pc niet goed beveiligd, en poorten staan zomaar wagewijd open. of er wordt geen authenticatie toegepast.

nat is ongeveer netalsof je je brieven bus achter de heg neerzet omdat je dat veiliger vindt.
iemand die het op je brievenbus voorzien heeft vindt hem echt wel, en zo nu en dan loopt de postbode je bus voorbij, en gooit je post in de sloot omdat ie niet weet waar het heen moet.

Verwijderd @engelbertus • 14 november 2006 23:31

Dat is toch geen schijnveiligheid dan? Dat is een hele goede beveiliging.

Je bent per definitie veilig (dat dat een neveneffect is heeft er niets mee te maken, het is ooit zo ontworpen en dat was vast iets wat ze toen als voordeel gezien hebben) tenzij je iets open zet.

Je moet zelf actie ondernemen om iets open te zetten en dus wordt je geforceerd na te denken over waar je mee bezig bent wat fouten voorkomt.

Je vergelijking met een brievenbus gaat niet echt op, das niet de manier waarop internet werkt en ook niet de manier waarop een NAT systeem beveiliging geeft.

Als je een netwerk toegankelijk wilt maken moet je geen NAT router gebruiken maar een switch

Een tunnel heeft er al helemaal niets mee te maken, die gebruik je als je een veilige netwerkverbinding wilt hebben in een per definitie onveilige omgeving.

En er is geen manier om voorbij een NAT router te komen tenzij die router een bepaalde exploit heeft. Dat is het risico met iedere vorm van beveiliging en kun je voorkomen door de boel up 2 date te houden en het scannen op exploits te voorkomen (iets wat vrij standaard is in de meeste routers tegenwoordig, bij een portscan of veel verbindingen wordt de verzendende partij buitengesloten).

Er zijn naar mijn weten maar erg weinig exploits waarmee ook echt iets gedaan kan worden. En gezien het aantal routers is het lang zoeken voordat je een specifieke exploit gevonden hebt voor het betreffende type router die je dan ook nog eens toegang geeft tot iets waar je iets mee kunt. De meeste exploits zorgen ervoor dat de router crasht, gezien goedkopere routers dat toch wel doen is dat niet zo'n punt.

Als je eenmaal in een router komt zodat je poorten kunt openzetten of iets anders kunt doen ben je nog nergens, je moet dan ook nog eens een computer op het netwerk vinden en dan die computer ook nog eens aanvallen.

Alles bij elkaar geeft een NAT router dus een perfecte beveiliging voor zo goed als alle aanvallen.

In 1 ding heb je gelijk: Als ze je moeten hebben weten ze je wel te vinden. Het is alleen gemakkelijker om je adres op te zoeken, in te breken en je PC in elkaar te trappen als dat het is om in te breken vanaf het internet door een NAT router heen.

engelbertus @engelbertus • 14 november 2006 23:49

het is wel schijnveiligheid. nat is nooit als beveiliging ontwikkeld.
het was een oplossing die er voor zorgde dat je twee netwerken aan elkaar kan knopen die via internet. en die noodzaak begon te ontstaan doordat ip adressen schaars zijn.

nat belemmert immers het doel van het internet protocol, dat pc elkaar kunnen vinden, ook als bijvoorbeeld de helft van het netwerk door een atoombom niet meer werkt.

JIJ zou je iets meer moeten verdiepen in hoe ip adressen werken, dan zul je zien dat het precies andersom is.

de beveiliging hoort nioet in routers en switches te zitten, maar in firewalls, en op pc's zelf.

pas dan gaat het op dat je ipv een router een switch moet gebruiken, maar dat kan niet als de adressen niet uniek zijn. daardoor is NAT ontstaan, en het droppen van pakketjes waarvoor de bestemming niet bekend is, is niet een oplossing, maar eigenlijk een onopgelost probleem.

bij NAT wordt je wel gedwongen na te denken, maar niet over veiligheid, maar over hoe je toch bereikbaar bent.

op de router kun je geen poorten dichtzetten, dat moet je immers op de pcs doen. zet je verkeer naar een bepaalde pc open ( dmz) gaat al het verkeer daarnaartoe, ook portscans en andere bedreigingen.

een router voorbij komen is niet zo moeilijk, maar een bestemming vinden achter de router is veel moeilijker.

als je er op vertyrouwt dat NAT een indringer buiten blijft, is je interne netwerk meteen in gevaar als NAT niet werkt. en dat kan zomaar. immers. de bedoeling van NAT is eigenlijk het doorlaten van verkeer.

de vergelkijking met een postbus gaat wel op. de postbode, samen met de postbus is het NAT systeem. op het nmoment dat niet bekend is waar de bestemming te vinden is wordt het pakket gedropt.

jij bent een van die mensen die serieus denken dat NAT een beveiligings middel is, terwijl dat feitelijk slechts een leuk bijkomend voordeel is, in sommige situaties. bedenk eens hoeveel topics er minder zouden zijn geweest opGOT als mensen nooit een pooort hadden hoeven forwarden, of voorbij routers moesten proberen te komen om bijvoorbeeld p2p , msn of zoiets aan de raat te krijgen. dat kan nooit de bedoeling zijn geweest van het NAT systeem.

verdiep je ook eens in wat een switch is, en wat een router is. een router is niets meer dan een witch, die de mogelijkheid heeft om om te gaan met twee verschillende netwerken en verkeer tussen beide mogelijk moet maken.

poorten moeten dicht zitten op je pc, DAAR moet je over nadenken. niet in de eerste plaats over of de poort in de router wel open staat.

Verwijderd @engelbertus • 15 november 2006 01:31

@engelbertus:

Jij hebt nogal lef om te bepalen hoe alles wel of niet moet werken.

Het is behoorlijk naief om te denken dat een systeem op dergelijke schaal ontwikkeld en gebruikt kan worden en dan nog steeds kan voldoen aan alle eisen die je van te voren hebt bedacht.

Zo ook met het internet, het is vanzelf geworden zoals het is geworden. Het is aan de makers van de software om te zorgen dat het ook achter een NAT router goed werkt.

Schijnveiligheid is wanneer iets veilig lijkt maar het eigenlijk niet is. Een NAT router geeft een prima beveiliging ook al is het er niet voor ontworpen.

Er zijn zoveel dingen die een prima nut hebben zonder er ooit voor ontworpen te zijn. Sterker nog: veel van de grote uitvindingen zijn 'bij-effecten' van hele andere zaken en dus per ongeluk ontdekt.

Natuurlijk is het geen absolute beveiliging. Er bestaat niet zoiets als een absolute beveiliging. En natuurlijk zijn er nog zaken waarvoor je niet veilig bent als je gebruik maakt van een NAT router. Dat ik een NAT router heb wil niet zeggen dat ik geen slot meer op m'n voordeur hoef te doen.

En begrijp me absoluut niet verkeerd, dit heeft helemaal niets te maken met wat ik denk over het onderwerp. Het enige wat ik denk over het onderwerp is dat ik er niets om geef omdat ik niet verantwoordelijk ben voor de veiligheid van de systemen die ik gebruik, daar heb je systeembeheerders voor.

Ik stelde je een vraag, maar blijkbaar heb je geen goed antwoord. Het blijkt dus te zijn dat NAT helemaal geen schijnveiligheid is omdat het wel dergelijk een beveiliging geeft tegen een groot aantal veiligheidsrisico's.

Dat de beveiliging niet absoluut is heeft daar niets mee te maken, er is geen enkel systeem wat een absolute veiligheid geeft.

Maxxi 14 november 2006 21:26

Sommige hier zijn een beetje pesimistisch.
Wel eens een IPv6 ip gezien?

Nu is je ip nog wel te onthouden, maar een v6 echt niet.

webfreakz.nl @Maxxi • 14 november 2006 21:42

Ik heb anders nogsteeds een ISBN nummer onthouden sinds vorige week toen ik een boek voor school moest bestellen.

Klinkt stom. Punt is dat een IP adres zeker wel te onthouden is, en er ook nog een zekere logica in IPv6 adressen zit

CrisT @webfreakz.nl • 15 november 2006 10:03

Jij gaat dus zo'n adres:
3ffe:0501:0008:0000:0260:97ff:fe40:efab
met heel veel logica erin (8x4 hexadecimale getallen...)
even makkelijk onthouden als een isbn nummer:
9059561643

of een IPv4-adres
192.168.1.1

Verwijderd @CrisT • 19 november 2006 10:44

Vandaar die collisions op mijn LAN.
Jij gebruikt mijn IP

engelbertus @webfreakz.nl • 14 november 2006 22:18

als je een heel ipv6 adres uitschrijft ben je langer bezig dan het uit je hoofd leren van 1 isbn nummer, dat kan ik hje wel vertellen;-) en dan moet je het nog gaan onthouden...

TGEN @Maxxi • 14 november 2006 21:42

Ik heb geen moeite met het onthouden van bijvoorbeeld 2001:838:32c:2::2

Verwijderd @Maxxi • 14 november 2006 21:43

Je kan onder DNS gewoon een AAAA (IPv6) record aanmaken. Dus waarom "automatisch" koppelen aan een centrale DNS?

Ik wil sowieso niet aan een centrale DNS van MS hangen, ik voeg wel een record in binnen mijn eigen DNS, dan kan ik beslissen welke machine publiekelijk bekend is.

Hoe gaat die centrale naamgeving trouwens heten? computernaam.clients.live.com?

/me stapt van XP over naar Linux, dus ik heb er geen "last" van.

SED @Verwijderd • 15 november 2006 14:25

jij krijgt nog genoeg last dus maak je niet druk over die Vista gebruikers

Verwijderd @Maxxi • 14 november 2006 21:51

En wat Vista nou weer kan, is een naam aan dat adres koppelen zodat je neit dat adres hoeft te onthouden. soort van DNS systeem maar dan op P2P basis

Verwijderd @Maxxi • 15 november 2006 09:55

Hoe werkt dit dan. Kun je een URL creeren richting een computernaam ?
En hoe herkent bijvoorbeeld je browser dan dat het een computernaam betreft en niet een domeinnaam.

Verwijderd 14 november 2006 21:37

PNRP must be started from the command line, with Administration privileges.

Bij een lek in het protocol heeft de hacker dus gelijk weer admin rechten. Ik dacht dat ze daar iets voor gedaan hadden in Vista?

Maurits van Baerle @Verwijderd • 14 november 2006 23:55

In Linux moet je voor veel config zaken sudo naar 'root'. Dat de config door 'root' gedaan moet worden zegt toch niet dat een service meteen onder 'root' draait.

Ik vind het niet meer dan logisch dat het installeren en/of beheren van sommige services/deamons authenticatie vereist.

engelbertus @Verwijderd • 14 november 2006 22:04

en hoeveel andere services denk je dat er draaien op jou pc met administrator privileges??

er staat dat degene die het start admin privileges moet hebben, om te voorkomen dat een niet gioed beveiligde pc zomaar een bekdne naam krijgt op de hele wereld. zodat jan met de pet niet zomaar deze service start. netzoals jan met de pet andere zken nu ook niet meer mag starten bij vista.

dat je admin rechten nodig hebt betekt niet automatisch dat de service zef ook adminrechten heeft. die kunnen best beperkt zijn.

Verwijderd @engelbertus • 19 november 2006 11:20

Ik vraag me sterk af ofdat dat Admin gedoe dingen veiliger zal maken.
Admin bestaat nu ook al. Heel veel mensen werken gewoon onder een admin account.
Deels omdat men niet weet dat er ook andere andere account types zijn.
Deels omdat ze het gezeik met installeren onder niet admin accounts beu zijn.
Het succes van Vista op veiligheids gebied zal dan afhankelijk zijn v/h gebruikers gemak.
Als het in usermode constant loopt te zeiken over privileges zal de gebruiker snel overstappen admin mode.
Als usermode 'flexibel' is bied het geen bescherming.

Motrax 14 november 2006 21:38

Dus met andere woorden weer een feature waar het nut niet helemaal van bekend is, maar waar wel nieuwe risico's geintroduceerd worden? Weer een service uit te schakelen dus. Ik ben niet tegen Windows, niet tegen Vista, niet tegen vooruitgang, maar dit is een service dat vraagt om misbruik.

Hoewel het werken met poorten en ip-adressen niet ideaal is, is het wel een stuk veiliger dan een Vista installatie die met al zijn buren loop te babbelen.

Enige wat ik had kunnen verzinnen is dat binnen een bedrijfsnetwerk dit een leuke feature was, behalve dat daar computernamen, mac-adressen en diverse client beheer tools meer dan voldoende zijn.

engelbertus @Motrax • 14 november 2006 22:13

het nut is zeker bekend. je kunt je pc nu een naam geven ipv een getal van 12 cijfers, of strks een combinatie van hexadecimale getallen al of niet met een privaat deel. dat wrden pas lange namen om te onthouden.

de tools die jij noemt zijn juist ointstaan door de complexiteit van het ip systeem als je dat gebruikt in coimbinatie met nats, subnetten, netmasks en dergelijke. en die worden allemaal overbodig met ipv6 ( dt zou tenminste kunnen, maar ja door bestaande netwerkstructuren en werkwijzen zal het nog wel heel lang duren voor iedereen zuke oude tools niet meer gebruikt

onveilig is het niet mijns inziens. ik gebruik lievber dit dan een of andere p2p filesharing progje. deze service geeft immers geen toegang, het laat alleen de nam van de pc weten aan de buitenwereld. misschien accepteert het wel heelmaal geen opdrachten van buiteaf, en registreert het louter de naam van andere pc's in het netwerk.

ipv6 kent volgens mij ook private en public delen in het adres, en zo kun je als je dat wilt toch nog een deel ( je eigen netwerk) afschermen van de rest van de wereld als je dat wilt. misschien dat in die situate dan ook namen te gebruiken zijn die ook in het prive etwerk van een ander mogen voorkomen.

maar een makkelijke admin zal dat alsnog willen voorkomen. een naam moet zo uniek mogelijk zijn om geen vergissingen / fouten te krijgen

bartje 14 november 2006 21:15

lijkt me leuk voor filesharing
Maar ik ben het wel met die veiligheidsexperts eens.
Wat nou als ik zo'n naam registreer en een kennis van mij toegang verleer tot mijn systeem en die kennis wordt vervolgens gehackt. Dan lijkt het mij een heelle kleine stap om mij ook te hacken of iig bestanden van mij te bekijken.

engelbertus @bartje • 14 november 2006 21:55

de naam wordt geen account en ikd denk ook niet dat het een recht of eigendom wordt die naam te mogen gebruiken. maar dat laatste kan ik natuurlijk fout hebben.

ook nu is het zo als je een kennis van jou toegng verleent tot jou pc, en hij wordt gehackt. dat de hacker ook toegang heeft tot jou systeem, maar dan weer alleen tot de plekken war je kennis oook kan komen ( en dat is als het goed is , niettot op sysyteem/ admin nivo)

het acken van jou machine blijft dus even moeilijk, maar daartegenover staan andere veiligheidszaken die in ipv6 zit ingebakken, en andere voordelen van ipv6 boven ipv4
je zou dus kunnen zeggen dat je pc er moeilijker door te hacken wordt ten opzichte van je ipv4 systeem nu.

renevanh 14 november 2006 21:15

Hoe zit dat dan met routers? De meeste zijn toch niet in staat om die IPV6 zooi te forwarden naar de betreffende Vista PC?

engelbertus @renevanh • 14 november 2006 21:58

een router resolved ook niet de ipv6 pakketejs dan , maar de pakketjes die in ipv4 die naar de tunnelservr gestuurd worden. je makt dus gebruik van een ipv6 tunnel naar een ipv6 machine van je isp.

xs4all heeft die bijvoorbeeld. en als jij dat wilt kun je volgens mij ook gewoon een echt ipv6 adres krijgen van xs4all..
ik denk dus dat een groot deel van de backbones van isp's al werkt met ipv6. het kan namelijk naast ipv4 op een zelfde router werken.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (87)

Sorteer op:

Weergave: