0:00:16takže ještě jednou a hezký den
0:00:19jak bylo řečeno M N matěj grégr někteří z vás možná
0:00:23a měli to potěšení číst ty články mě a mého kolegy na luke ohledně šest
0:00:30bity
0:00:31a skutek skutečně ve se popisovali nějaké základní informace
0:00:36a tady tahle prezentaci se podíváme
0:00:39na
0:00:40některé útoky které se dají pomocí
0:00:43E graph deskového protokolu použít jak se proti nim bránit a jaké to má další
0:00:48omezení obecně ta šestková bezpečnost je vnímána není
0:00:54dosti specificky
0:00:56lidé kteří se snaží
0:00:58šest propagovat
0:01:00a angličtina to je pěkný název manželi
0:01:04a ve výsledku
0:01:06říkají že to není problém že stejné věci za měli people eště ste taky
0:01:11a názor nechci udělá každý sám možná po skončení téhle prezentace
0:01:16jo na začátku než se pustíme do těch šest k ových útoku
0:01:19ta
0:01:20si dovolím rychlosti projít určite ní podobné scénáře které máme výpravě štyřce abychom se synchronizovali
0:01:29nějak pojmech toho co používáme za technologie a
0:01:33jak se proti víceméně stejný útoku know podobný útok ubráníme štyřce
0:01:38celá ta bezpečnost pohledu síťového administrátora záleží
0:01:43vlastně na
0:01:46nebo ten síťový administrátor se snažil několika věcí primárně nám jde o to aby
0:01:51uživatel dostal adresu
0:01:55o chodí dostane tak abychom miss pohledu administrátora zabránili tomu aby si jediný uživatel tu
0:02:01adresu přivlastnil to znamená podvržení adresy
0:02:05chceme zabránit menu velmi do útoku
0:02:08a chceme víceméně ochránit naše prvky které jsou sítě to znamená si čárou ty
0:02:15to znamená celá ta
0:02:18bezpečnost pohledu toho klienta se nebo o počet tomu klientovi se řeší na základě a
0:02:24autokonfigurace jenom pro připonme nití aute štyřky máme vlastně
0:02:31a já C penis klient se připojí do sítě text každá sebe si zjistí a
0:02:36adresu potom přes R T si zjistí adresu nebo mac adresu implicitní brány a následně
0:02:44potom
0:02:45o nějakých třeba zde dosazen může normálně běžně komunikovat
0:02:50abychom dokázali
0:02:52zajistit
0:02:54bezpečnost tak se vlastně nasazuju techniky kterým se obecně říká for zlo překryty kterým chceme
0:02:59ve výsledku zabránit
0:03:01podvržení tady tu P
0:03:03tyhle techniky se používají co nejblíže k tomu koncovému klientovi aby
0:03:09jakékoliv podvrhy se řešily přímo na tom
0:03:12připojení s větší ve výsledku tak torzo překryty nám řeší
0:03:16ukradení adresy to znamená podvržení adresy aipí a podvržení adresy mac
0:03:23otrávení R T různé skladovací mechanismy zahlcení keše vo switche a podobný věci
0:03:31řeší nám také falešné relace P server je to znamená pokuď mi nějaký klient nebo
0:03:37nějaký útočník připojit do sítě
0:03:40zařízení tvářící se jako dá C P server a snaží se opakovat informace
0:03:45klientům
0:03:47nějaké svoje vlastní přesměrovali na vlastní stránky a podobně
0:03:51ve výsledku používáme několik technik P jedna s první dvě porce kvality jenom zjednodušeně řečeno
0:03:58a když předkonfigurované je nebo pomocí nějakých triku mi zajistíme že na portu nemůže být
0:04:04na portu switche nemůže být použita jiná adresami si administrátor pře
0:04:09další technikou je a když cítíš sloupy tím ve výsledku vnucuje M
0:04:15nebo na základě ten původní výměny se skrz DHCP switch odposlech ne tady tu a
0:04:20komunikaci a je schopen říct na tom a portů je tahle ani ty adresa tahle
0:04:26mac adresa a žádná jiná
0:04:30se nemůže použít všechny tyhle informace se ukládají do tak zvané
0:04:35když si P sloupy databáze kterou sime než u je nebo kterou spravuje ten daný
0:04:39switch
0:04:41na základě tady této databáze a případně použité porce k výpisu využíváme dva mechanismy a
0:04:48proto je a
0:04:50a epilog dám záleží výrobce od výrobce někdo tomu někde se to menuje takže N
0:04:55jinde ona ve výsledku oba dva mechanismy využívají tu vytvořenou databázi skrz D C E
0:05:02na to aby zabránili
0:05:05o paketů
0:05:07no aby zabránili útočníkovi zaslat jiný paket s jinou podvrženou I jede jsou z jiného
0:05:12odtrženo mac adresou
0:05:15když zkombinujeme tyto mechanizmy
0:05:17otce kvality sloupy případně
0:05:20a pro tech
0:05:23a získáme tím ve výsledku pro administrátora to že do sítě se není schopen připojit
0:05:30jiný klient než ten který je nakonfigurovaný na dáte P server
0:05:34to znamená pokud nemá ten administrátor nad C P server o konfiguraci prodaného klienta tak
0:05:40je mu z nemůže na vůbec připojení do té dané sítě
0:05:44ve výsledku zatím chráníme před útočníkem
0:05:46špatnou konfigurací a nakonec se straně
0:05:50špatně miloval těmi síťových karet protože ve výsledku
0:05:54a rámce nebo pakety které jsou zaslané klientem které sou nějakým způsobem podvržené změněné tak
0:06:00sou daným prvkem zařazovány
0:06:03s tím že
0:06:04částečně se tak dá eliminovat určité viry
0:06:09případně červy které se šíří a které se často před generová Y mac adresy a
0:06:14snaží se zahltit a keše nás směrovačích
0:06:19u dají tadle šestky je ta situace trošku odlišná a pro jednotlivé útoky budeme nadále
0:06:26využíván dvě vlastnosti šest i a to je
0:06:29rozdělí způsob konfigurace které nejprve šest protokol nabízí
0:06:33a
0:06:35to že síťové rozhraní může mít více hýbeme šest adres
0:06:39tady tenhle rozdělí způsob
0:06:41já si nebudu zacházet přímo do detailů protože ohledně té šestky a ty základních jim
0:06:46informací už bylo řečeno do s
0:06:49o díváme se spíš přímo na ty reálné
0:06:52útoky
0:06:55jenom pro porovnání autokonfigurace ve
0:06:58jdeme čtyři versus ní P V šest
0:07:01nejprve štyřky nesjel na začátku řekli máme dáte P R T C P
0:07:06u té Í pravé šestky je stejná konfigurace pro jednoho klienta trošičku složitější
0:07:12je to ve výsledku jedna protože
0:07:16se používá kombinace bezstavové stavové
0:07:20a
0:07:21konfigurace to znamená bezstavová skrz router advertisement sdělíme klientovi
0:07:29adresu implicitní brány skrz D S C PC získáme adresu
0:07:34pro toho daného klienta případně nějaké další informace jako sou ten servery a tak podobně
0:07:40všechno je to navíc provázané z multicastem protože v šestce sme si
0:07:45teoreticky eliminovali proud cast a nahradili to všechno multicastová bychom za
0:07:53sme si do té sítě jako kdyby pohledu síťaři lepší pořádek že s pakety jsou
0:07:57doručovány opět jenom těm zařízení
0:08:00tak si to ve výsledku není zas až tak pravda protože
0:08:05máme multicastovou adresu všechny uzly síti se znamená de facto pro odkaz
0:08:11switche v dnešní době
0:08:13o tom
0:08:15zařízení třeba soudci s K
0:08:17celkom z nepodporují anode sloupy to znamená stejné se ten multicastu že jako proutkař
0:08:23to znamená sme tam kde sme byli ve výsledku
0:08:26nicméně proto aby to všechno správně korektně fungovalo tak zařízení si musí
0:08:33přihlásit do multicastových skupin aby bylo schopno odebírala odebírat ty dva zprávy které jsou šířené
0:08:39to znamená jsou tady nějaké a na neděli
0:08:42a potom
0:08:43pro jednotlivé šest nové adresy které to zařízení mám jedná se ve výsledku link local
0:08:49na začátku nese pošlou všechny zprávy se
0:08:52a posílat kliky adres de teče testuju na síti jestli ta adresa je nebo není
0:08:58unikátní pokuď není tak musím použít jinou nebo ukončit konfiguraci
0:09:04o tom použiju bezstavovou konfiguraci state pole s adres autokonfiguraci všem je pomocí proud zeptáš
0:09:10mens router
0:09:12což je ten zpráv získávat informaci o default gateway a
0:09:18a případně to jestli sítí se používá nebo nepůjde ladicí i
0:09:23pokud se používá text kazdy jestli P se
0:09:26zeptám na adresu následně ty adresy které jsem obdržel tak se musím přihlásit do jejich
0:09:32odpovídající multicastových skupin a opět pro tyhle adresy získat přestupek adres detekčním získám unikátnost nebo
0:09:39ne
0:09:41a následně potřebuju získat mac adresu implicitní brány abych potom mohl komunikovat
0:09:48do jisté míry
0:09:49stejná věc nerozladili ve čtyřce jsme akorát
0:09:53podstatně za složitele šestce
0:09:56a benefit tady vtom ale pro toho koncového uživatele případně pro správce není zas až
0:10:03tak markantní to znamená tady nově z řeším stejně akorát připraví s pak
0:10:10poďme se podívat co můžeme
0:10:12klientovi způsoby za těžkosti v rámci vypere šest
0:10:16jako jsem ukázal na předchozím slajdu
0:10:19vždycky se používá
0:10:22pro získání
0:10:23unikátnosti dané sítě nebo pro otestování duplikuji adrese takže ve výsledku já se ptám používá
0:10:30vsíti někdo tuhle adresu pokuď už i někdo používá tak mi odpoví ano adresou push
0:10:36používám to znamená já ju nemůžu použít
0:10:39díky tomu že si ve výsledku můžu generovat vcelku libovolné množství adres protože ten adresový
0:10:45prostor používaný v lokální sítě velký si můžu vygenerovat novou adresou zeptat se znovu
0:10:50nicméně útočníkovi vůbec nebrání nic tomu aby opět odpověděl na toho adresu
0:10:56okej používám to znamená je dál
0:10:59ve výsledku asi dá rozum že nemůžeme takle se snažit tento bit jeho zprávy generovat
0:11:04donekonečna to znamená čas od času ten klient usoudí tak tady mě asi pšenka nepokvete
0:11:11a ukonči tu komunikaci
0:11:13jednoduchým příkazem zkres čtecích toolkit
0:11:17tady tohle dokáže na obrovské konzoly obou popsat asi každý ve výsledku zamezíme všem klientů
0:11:24a
0:11:26přístup do sítě jak to potom vypadá praxi
0:11:29zeptám se jestli někdo používá nějakou a adresu odpoví muže adresou že používaná vygeneruje se
0:11:36nová odpoví se že adresa je používána a tak dále čemu to pak vede
0:11:41ve výsledku
0:11:44já sice mám nakonfigurovanou šestkou gateway to znamená šest a my běží nicméně šestku vůbec
0:11:49nemám nakonfigurovanou jako adresu ten systém takže to windows mac nebo
0:11:55do kojit
0:11:56zdá ve výsledku ty pokusy a řekne že šestku si nepochybovat nemůže
0:12:03záleží platformě platformy jo na platformě
0:12:07windows
0:12:08to zkouší pětkrát ve výsledku je to s plus mínus dle standardu ref céčka že
0:12:13to mám vyzkoušet několikrát a potom nic administrátorovi že už to opravdu nelze
0:12:19pokračovat linux povětšinou to naprosto ignoruje asi tato tam volaného to znamená vemu celku jedno
0:12:26že je tam že není unikátní nicméně opět záleží na distribuci anatomy ste tam použity
0:12:31nějaký
0:12:32a ne že jste ta adresa nakonfigurována staticky a tak dál
0:12:37co se týče směrovačů
0:12:40odchyluji H precis K případě jiných
0:12:44ve většině případů
0:12:46se ptá adresa která je nakonfigurována nepoužívá znamená Z tak vcelku jednoduše zabránit použití
0:12:53šestkou ve adresy nebo zabránění klienta přístupu šestky
0:12:59další zábavné určitě
0:13:06ignoruje že je takže není unikátní to znamená tu adresu používá i přestože nastat teda
0:13:12ne síti
0:13:19zahlásí administrátorovi že je tam kolize nicméně o používaná
0:13:27další zábavný útok který se dá použít je
0:13:32router advertisement flat a pokuď
0:13:37si nebo
0:13:39M řeknu ty na okraj ty proud advertisment zprávy zasílají povětšinou směrovače
0:13:46s tím že šíří informace o tom že oni jsou cestou do internetu a jaké
0:13:50prefixy šestko ve se na ten síti můžou použít
0:13:55pro klienta přijetí této zprávy znamená že adresu ze které přišla si vkládá do svého
0:14:01routeru list to znamená jako
0:14:04ja jako adresu ty von gateway s tím že ty prefixy pokud je to povoleno
0:14:08tak v rámci toho prefixu si vygeneruje vlastně šestkou adresu
0:14:13pokud je tam tento
0:14:14opět trochu jednoduchý příklad
0:14:17tak
0:14:19dojde k tomu že se do sítě začne poslala posílat
0:14:23nemalé množství tady těchto zpráv to znamená že ty klienti si pro každou tuto zprávu
0:14:28musí vytvořit záznam ve své a směrovací tabulce vygenerovat adresy a tak podobně
0:14:34ve výsledku ze tak vcelku jednoduše zabránit přístupu
0:14:38a nebo znemožnit
0:14:42uživateli vůbec tím pracovat já si tady s dovolením
0:14:48s tím video
0:15:36tady je ukázka
0:15:40potom běží
0:15:46a systému windows kde vlastně použiju ten daný příka
0:15:51a vidím že
0:15:53dělá se na nějaké simpsny zatížení teploučka je na nějaké různé úrovni
0:15:58za středu do té sítě
0:16:01tady tenhle flat ve výsledku
0:16:04C P O se zvýší na sto procent za chvíli se zasekne trošku video
0:16:10existence stane neovladatelný u nových windows Ú dokonce třeba sou smyček spadnou
0:16:17a
0:16:19a ve výsledku vidím že sme přestane ji čas jedna
0:16:25a
0:16:26pokud se podíváte tak já tam generuju přibližně sto kilo za sekundu a díky tomu
0:16:33že se ten les že se takhle paket doručuje pomocí multicastu tak zasáhnu všechny klienty
0:16:38síti
0:16:39bez omezení
0:16:41to znamená
0:16:43tak zajímavé když chcete na čtvrt administrátora tak lze použít tady tento útok
0:16:48opět vcelku jednoduše realizovatelné na jakékoliv linuxové platformě
0:16:55jo
0:16:56poslední verze toho nebo třeba sedmičky už mají večer takové že po skončení toho útoku
0:17:03C
0:17:04vcelku stabilizují občas taky ne
0:17:08a může se potom ten systém na používat mac i třeba se musí restartovat jestli
0:17:13máte to štěstí a tak dál
0:17:17tak
0:17:24to byla jedna věc a posune se
0:17:34a
0:17:40na čelo ve výsledku nebo a záleží na tom jestli chcete nebo nechcete porušovat F
0:17:45C S a standarty linux o tak většinou dělá
0:17:49že na omezení že může
0:17:52vložit do té paměti přibližně třicet směrovačů s tím že a další už nepřímá samozřejmě
0:17:59je to
0:18:01takový ten of protože já nejsem schopen zajistit který je ten správný to znamená potom
0:18:06ve výsledku ale linuxy jako vy jediný ten útok ve výsledku stojí díky tady tomu
0:18:10že po třiceti záznamy push další nepřímá
0:18:17jo promiň
0:18:20otázka tedy zněla jestli by nestačil nastat
0:18:23nastavit jenom nějaký rate limity záznamů cache
0:18:28zabavme na tomhle problému je že se o něm V přibližně tři roky a
0:18:33jak to funguje si dokážete představit
0:18:37a
0:18:42útok který dokázal původně se do taková slabší verze protože na základě toho některé systémy
0:18:49třeba schopen B Z nebo takle implementovali
0:18:52nějaké kontroly ve výsledku
0:18:55a o ten původní útok končil
0:18:58jenom tady těmi zprávy ta práce toho router advertisment paketově sem říkal prefixy
0:19:03jenomže další ovšem která já můžu použitou to advertisement je
0:19:07říct mu které routery
0:19:09může které sítě používá to znamená nejenom si že si musím vytvořit záznam ukazující na
0:19:15disku odrou
0:19:17a nejenom že si pro tyhle adresy musím vytvoříš
0:19:20vlastně šestko adresu a nicméně pro všechny tyhle informace já si musím za will vytvořit
0:19:26další záznam do směrovací tabulky a tím pádem ta náročnost na výpočetní na to klienta
0:19:31ještě vyšší
0:19:35nicméně ne končíme pouze vidíme
0:19:40díky tomu že používáme systémy
0:19:42windows sedum vista
0:19:45linux mac android a jo
0:19:48všechny dva systémy mají podporu být a ve šest
0:19:52implicitně zapnutou
0:19:55využijeme tady více méně tady toho a
0:19:59sestavme si jakoukoliv síť vyplaveš tečkou vyplaveš eskou je to ve výsledku jednu
0:20:05a do této sítě
0:20:07zašleme vlastní to ultramontanizme paket kde v říkáme
0:20:12vezmi si informace další zde hladce parseru šestková
0:20:17díky tomu že tam a pak je přijde klientovi klient se zeptat zda C P
0:20:22cosi mimochodem řeknu že standard se to jsem samozřejmě já tak já mu jsem schopen
0:20:26vnutit
0:20:27předkové adresy D neseru
0:20:30dejme tomu díky tomu potom
0:20:34dotaz skrz DNS směřuje na mě tam vrátím odpověď jakou chci vytvořím si transparentní praxi
0:20:40dejme tomu a
0:20:42celý ten provoz sem vlastně vytvořil jsem menu velmi touto
0:20:46zjednodušeně řečeno
0:20:48pokuď se normálně klasické sítě připojím na obr C Z tak dostanu skrz
0:20:55den s nějakou
0:20:57regulérní adresu a trefí kde takto
0:21:00pokuď vložím do té sítě
0:21:02falešný router advertisement kdy mu říkám použít já teprve šest server kterým jsem já
0:21:09tak
0:21:10tady je
0:21:11se ten zeptá pomocí kamery jaké se používají den servery a já mu samozřejmě odpovím
0:21:17že ten server sem já veškerý provoz potom na síť vutbr C Z pochodě pod
0:21:23a bude směřovat na mě protože DNS dotazu se mu podvedl ani ty adresu která
0:21:29je moje
0:21:31tady tahle útok se dá realizovat
0:21:34i na špičkové síti nemusí mu mít vůbec českou odporu protože to šestkou podporu mám
0:21:40na těch zařízení
0:21:41já ten provoz potom přesměruj tam nechci nebo zahodí nebo si udělám cokoli
0:21:47opět si ukážeme nějaké zabodne video
0:21:51a
0:22:01určitě
0:22:11a
0:22:14tak
0:22:17odnese tady podívat na to jaká je implementace vidím ve listová sem si na zařízení
0:22:24že
0:22:26má nastavenou čtyřkou adresu
0:22:30s tím že ten server je nastavený na nějakou adresu deset jedna který je normální
0:22:36pokuď zadává normálně nějaký klasický je N zvuk a třeba znaků byl C com tak
0:22:41mi ten D neztrácí regulerní odpovědi tak jak sem zvyklí
0:22:47a
0:22:49pokud si spustí takové předpřipravené skript díky projdem si je podrobněji s tak
0:22:54a
0:22:55ve výsledku
0:22:57zdraví zotavitelné
0:22:59první si spustí není to znamená DNS server na u svého na počítači s tím
0:23:05že mu pro nějaké zóny které chci podvrhnout google odběr fenku nebo cokoliv to přesměruj
0:23:12u že tyhle zóny obsluhu já
0:23:15další
0:23:17pokud se podívám jak vypadá
0:23:19vlastně ta falešná zrovna tak veškeré dotazy které tam jsou to přesměruji na vyplaveš tužkou
0:23:25adresu toho útočníka
0:23:28který se používá
0:23:33já potom vidím že pole adresu používá jámami opravdu nakonfigurovanou
0:23:39a další věc která spouštím je skryt
0:23:43rok si řeší ty P na to abych mohl ten traffic přeposílat případě vstupovat
0:23:49dalším způsobem a nebo spouští
0:23:51dělící P šestákový server s tím že v rámci těch informací
0:23:58ten šíři
0:24:01jsou adresy kdy chci P není si to znamená
0:24:06já mu hicu velké množství adres je to je v jedné stop je to z
0:24:09důvodu toho že windowsy dělají bajty foreground robin při dotazování pokud jich má víc takže
0:24:15a tím já lemují vnutím víc abych měl větší šanci toho že mléčné ten můj
0:24:21časový záznam tady vidím že všechny tyhle adresy sem si nakonfigurována interfejsu díky tomu že
0:24:26vše state můžou být libovolné množství tak na všech nemůžu používá
0:24:31další router advertisement
0:24:33ve výsledku to je ten způsobech odvrhnul tady tyhle informace s tím že mu nastaví
0:24:40menu školek
0:24:41tím ve výsledku říkám desíti je ty citlivé server a použijí ho pro nějaké další
0:24:47nastavení
0:24:49a
0:24:57tady potom
0:24:58jestli k a teďka přeskočíme
0:25:02že je to samozřejmě trvá nejsi to zařízení líné adresu znovu
0:25:07nicméně a se tak stane tak vidím že
0:25:11do té neserou se vložili všechny ty informace které já se mu tam prvotně potvora
0:25:16to znamená veškeré dotazy teďka budou rán robin
0:25:20způsobem
0:25:21kolovat skrz tady tyhle dotazy na všech odpovídám já všechny mu bodu od vrhal
0:25:28díky tomu že
0:25:29použil tenhle server tak dotaz na googlu komu už není ten standardní jak ho znám
0:25:34ale dostanu to adresu mojí na které běží ten útočník stejně jako tady zvuk stejně
0:25:39jako
0:25:40o cokoliv jiného co chci podvrhnout
0:25:45tak
0:25:47jak to potom funguje vráně
0:25:49a
0:25:51implicitně
0:25:52ten provoz o třebas nechci nějakým způsobem
0:25:57upravovat to znamená jenom
0:25:59chci ho transparentně přenášet to znamená pro uživatele uživatel nepoznám vůbec nic nového
0:26:06oni ho je to zcela transparentní
0:26:09problém je pokuď chci vstoupit do SSL spojení protože samozřejmě tohle klient je schopen detekovat
0:26:15díky tomu že mu to zahlásí
0:26:19neplatný certifikát
0:26:22tady vidím že sem normálně přihlášen skrz
0:26:25nebo na disku
0:26:28a tak dále
0:26:29a
0:26:32kdyby to za hlásilo ihned protože ten zvuk se implicitně přes přepona eště T P
0:26:37S
0:26:38před tím byla eště typ je s pouze při přihlášení
0:26:41znamená teď se přihlásím samozřejmě nikdy tam že je to menu tak
0:26:46je to zahlásí prohlížeč moc dobře linek se s tím zachází
0:26:51jak se všem konci a je dál
0:26:55to znamená že i přestože mám nastavený adres
0:26:59certifikát jehož jméno neodpovídá
0:27:03a názvu toho serveru ta tady je ten certifikát a ne akceptujte ho takle se
0:27:09tahle informace vůbec není proto koncového uživatele viditelná to znamená musí se k tomu složitě
0:27:14při klikat oženíš na to radši odkrývají na pokoj
0:27:18jakmile to potvrdím tak samozřejmě jedu a já sem uvidíš ta komunikace může se s
0:27:22tím dělat co
0:27:26a
0:27:27tak že jsme si přesměrovali ve výsledku jakýkoliv provoz ní který chceme
0:27:33poďme na
0:27:40jaká je může domobrana
0:27:43jsou ve výsledku dnešní době dva až tři způsoby které se dají použít jako
0:27:48obrana vůli dalším útokům jeden z nich S N
0:27:52co šije
0:27:54dalo by se říct
0:27:56nevím jak to popravdě nazvat bez nějakých i nehty full
0:28:00protože vymysleli se to fini
0:28:03bloky a společně stiskem vjedete tam K potom kladné
0:28:09nicméně celá ta princip toho sem do je že podepisuje
0:28:14neighbor solicitation neighbor advertisments právě to znamená ty co slouží se pro a stejně jako
0:28:19routrem ptá změn a tak dál
0:28:21proto abych byl schopen validovat odpověď tak potřebuju P K Í to znamená vnutit s
0:28:26klientovi certifikát znamená tady většinou můžu skončit protože toho nejsem schopen zajistit
0:28:32nebo ta složitost administrační vůči si to tomu síťovému administrátory je taková že o
0:28:40je to nereálné na druhou stranu na další věc která proč je to nereálné že
0:28:44to někdo nepodporuje
0:28:46to znamená tahla implementace celku neexistuje sou nějaké
0:28:52částečné implementace pro linux
0:28:54pokud si je zkusit rozchodit tak myslím že půjdete radši na pivo budete ten čas
0:28:59investovat něčemu
0:29:01navíc tady tenhle způsob není kompatibilní se manuálně nastavilo bitové šestkou adresou zprávy sex ten
0:29:08že se vy šedesát čtyři adresami díky tomu že potřebuje mít
0:29:13vlastně vygenerované adresy
0:29:15kryptografické helejte které jsou další typem tyhle zprava
0:29:20další způsobem je router advertisment K ve výsledku je to něco podobného jako kdy cyklistů
0:29:26by případně nastavení nějaký space fialek na daném zařízení
0:29:31tady tyhle
0:29:33věci by ve výsledku zahazuju zprávy které nechci nebo ten cítili administrátorech
0:29:39další sou
0:29:41grafy nenese to source address validation
0:29:45je to takové komplexní řešení nezáleží na použitém protokolu ani na použité
0:29:50technologie platí to je pro štyřku tak pro šestku nicméně implementaci byste tak jak je
0:29:55to popsáno v těch datech hledali těžko částečná i ty implementace je pomocí neighbor discovery
0:30:01zkažená podobně to sou takové detaily do kterých se teď nemusíme
0:30:05nicméně když už existuje obrana poďme si ukázat jak to buben obejít
0:30:12jedním ze způsobů která se dá použít je pěkná vlastností P ve šestky a to
0:30:16sou zřetězené hlavičky
0:30:18klasicky všecko vy paket
0:30:20ve kterém jde
0:30:22ICMP vezeš nevypadá takže mám všecko hlavičku s tím že další hlavička je ICMP
0:30:29já jsem řekněte hlaviček které mám
0:30:32tak zvaných X ten že nemůžu použít vícero
0:30:35znamená já
0:30:37za tu šestkou hlavičku vložil nějakou vlastní nebo jinou a za tu až na ten
0:30:43proud a tadleta N
0:30:44sice je v céčku doporučované nějaké pořadí hlaviček případně množství které se dá použít nicméně
0:30:50nic tomu nebrání abych
0:30:53při těch hlaviček
0:30:55pole úkoly chci
0:30:56díky tady tomu jsem schopen prorazit všechny ochrany které jsou v dnešní době dostupné to
0:31:02znamená ten router advertisement útoku které jsme se dívali na zamrzne počítač je přestože vám
0:31:08nasazeno ochranu tak tím prostě projde a je to vcelku
0:31:12o úplně jedno jestli to ochranu má nebo nemá
0:31:17další zajímavá věc na kterou jsme zvyklí třebas ze štyřky a která
0:31:22určitě
0:31:27a je to tak jo
0:31:31dotaz zní jestli se ráda dívá na pouze první hlavičku
0:31:36a
0:31:37ano i ne
0:31:39třeba s pokud bezmoci skla tak
0:31:42sysco je schopno pásová přibližně sedum tady téhleté hlaviček zřetězených
0:31:47potom je začne propouštět a po šestnácti a víc hlavička zřetězenými zase začne filtrovat
0:31:53a péčko třeba s
0:31:54stačí tři hlavičky proto aby semi ho prošel tady toho politikou ve výsledku všechny ty
0:32:02vole protože tahle implementace je na koncových si čích
0:32:05kde potřebuju mít nějakou rychlost
0:32:08to znamená tyhle filtry které se používají se většinou vkládají do
0:32:14víceméně hardwerové týden tabulky a tam je problém vždycky ze zdroji to znamená tam nejsem
0:32:19schopen parsovat
0:32:21cokoliv a tudíž tam dochází tady chtělo způsobu takže ano
0:32:25eliminuje se tou pod většinou počet skoků které je schopno to zařízení zpracovat až ho
0:32:30není schopen zpracovat tak by ho mělo přeposlal do
0:32:33softwarového
0:32:35softwarové cesty kdyby ho měl zahodit nicméně neděje se to tak protože to dejme tomu
0:32:40chyba k implementaci
0:32:47já si vytvořím tady tenhle paket
0:32:50tím že mám českou hlavičku nějaké zřetězené hlavičky a zatím mám ten a packet ICMP
0:32:57S větší se podívá šestkou hlavičku oukej další hlavička není ICMP to znamená se podívám
0:33:03dál na se podívám dal tady užší díky tomu že
0:33:07nemám ty zdroje tak u se nepodívala tu hlavičku dala propustím
0:33:13jo klidně
0:33:16ano a to je tady díky tomu že ty zní
0:33:19víceméně zdrojů má víc tak je schopen zparsovat cokoliv jo to znamená skrz ten svět
0:33:24to projde tyto se zbaštil nic a na podle toho se nakonfigurovat
0:33:31u toho ACL K je nebo obecně
0:33:35je vždycky jednoduché pomocí nějakých paket craft generátoru jako je s kapiček příč či něco
0:33:41jiného vytvořit jednoduchou zprávu ani že to ICMP ve šest ping nebo ten R a
0:33:48nebo něco podobného ve výsledku na jednom řádku si vytvoříte libovolný pak
0:33:52trošku problematičtější je když si chci vytvořit celé TCP session které by využívalo nějaké tady
0:33:59téhle vlastnosti
0:34:01a tohle chci ve většinou ve většině případů udělat když chci projít průsek si přát
0:34:07přihlásit skrz S áčko a projít nějakým ACL ten protože to co sme si ukázali
0:34:12na tom předchozím slajdu by ten switche schopen parsovat pouze limitované množství hlaviček
0:34:19platí i pro A sirotka
0:34:21to znamená
0:34:22a o
0:34:24pro demonstraci tady toho útoku jsem si naprogramoval vlastní terno modu který vkládá pro odchozí
0:34:30spojení destination hlavičky
0:34:34cože nástroj který není vcelku asi dostupným D to znamená u si to můžete za
0:34:40na naprogramovat sami nebo je pěkně poprosit
0:34:45a
0:34:47abysme zase si ukázali nějaké zabavme by byl
0:34:53podívá
0:34:58na
0:35:13a
0:35:14situace
0:35:16je následující
0:35:17systémy dost
0:35:21nám
0:35:23a
0:35:24server
0:35:25na šestková adrese nastavené a jestli jako které mi zahazuje traffic
0:35:31na S háčko jdoucí na to hosta a nějakého útočníka
0:35:38jak to potom vypadá praxi
0:35:44zkusím za přihlásit na
0:35:47danou adresu
0:35:49a to normálně pojem protože ještě žádné politiky nemám nastavené to znamená přihlásil jsem se
0:35:54skrz S háčkem na adresu hosta
0:35:59podívám se
0:36:02na
0:36:03switch který je nebo ten routek který je mezi tím že si vypíšu
0:36:08A si jako které tam nastavené
0:36:11vidíme že mám tady nastavené pravidla deny T C P
0:36:15or dvacetdva destination a nejprve šestková adresa taková znamená klasicky tím zaříznu provoz jdoucí na
0:36:24S se zápor daného zařízení
0:36:27pokud do to a dané nejsi jako aplikuju a pokusím se přihlásit
0:36:31a je to samozřejmě tady máte protože je ten traffic je blokován daným filtr
0:36:37odkud se podívám jak to vypadá v rámci
0:36:41aby tak tady vidím že vlastně se
0:36:44díky tomu že sem nedostal odpověď jak se to snaží přeposlat dál a dál
0:36:49znamená abych
0:36:51se pokusil tady toto obejít
0:36:53tak
0:36:54si
0:36:55do kernelu vložím modul ve kterému
0:36:59teďka pro ukázku
0:37:01řeknou že má použít dvě zřetězené hlavičky
0:37:05vidím že pořád se nejsem schopen přihlásit to znamená ten filtr to pořád blokuje pokud
0:37:11se podívám jak to vypadá na tom daném paketu tak
0:37:16vidím že sem poslal si a mám tady vloženého hlavičku X takže další zatím je
0:37:21to T C P
0:37:24nicméně sme si řekli ty zdroje na daném zařízení jsou limitované to znamená jakým hlaviček
0:37:29vložit více
0:37:32a normálně se přihlásí
0:37:37pokud se podíváte jak to vypadá potom tak si tak vidím že
0:37:41a
0:37:42vložil sem
0:37:45při hlavičky
0:37:46kterémuž jsou ten limit třebas pro H P a zařízení jenž projde daným vysílat a
0:37:53normálně sem si přestože mám blokující ACL k o sem byl schopen tady toho rysy
0:37:58jako prorazit vcelku bezproblémů
0:38:00teda bezproblémů znal mně to tři
0:38:05druhá věc
0:38:15pokud by sme si řekli
0:38:17tak jo tak H péčko to sou číňani to budou určitě nějací šmejdi
0:38:22ne těles používáme tisklo tak tam ta situace naprosto stejné
0:38:27je pravda že tiskově trošku lepší vtom že ty klasické destination ovšem cože ve výsledku
0:38:33jenom osum bajtů je schopno zparsovat vcelku v libovolné množství
0:38:38to znamená když si tam dáte sto padesát kdo to tam tento ACL kost parsuje
0:38:44a nicméně
0:38:46lze to obejít zase pomocí fragmentace
0:38:49kdy já vlastně si vytvořím fragment s tím že ten záznam často TCP paket jean
0:38:55další fragmentu
0:38:56to znamená že to zařízení má dvě možnosti ono nevidí jaké další hlavička to znamená
0:39:01v tom prvním paketu se nemůže rozhodnout jestli ho propustit nebo ne propustit
0:39:07muselo by dělat
0:39:09assemblery to znamená hašovací ty záznamy skládat je a potom víceméně steaku firewall což samozřejmě
0:39:16má nároky narychlo
0:39:18a to znamená většinou je politika propouštět
0:39:22dá se tady tím a obejít
0:39:24a vcelku
0:39:26vývěska ji teska parabole switche ACL kovové ve výsledku cokoliv co chci
0:39:36a
0:39:37jenom pro srovnání vezme na tom ve čtyřce a šestce
0:39:41ne štyřce
0:39:42pokuď na sloupy
0:39:44a protekčně masa rizika tak jsem ve výsledku schopen všem těmto útokům zabránit
0:39:51šestce
0:39:52je ta situace trošku složitější
0:39:54pokud máte ráda tak když mi to tam jednu pošle omylem tak tomu zabrání O
0:39:59K pochutnáme jsi jako to samé
0:40:04nicméně pokud nám sem tak teoreticky taky ten sme si řekli že příliš složitý takže
0:40:08horno škrtne
0:40:11pokuď chci
0:40:13tak projdou čímkoliv to znamená proti cílem útoku není dnešní době obrana
0:40:19pokud
0:40:20si ten šestko V provoz nezakáže
0:40:25tím vyřešim všechny zvýšené problémy a vlastně sem O K
0:40:31tak
0:40:33jenom eště pro srovnání
0:40:37ta cena za bezpečnost
0:40:38dycky se říká že
0:40:41a vlastně ta přirozená odměna hardvéru nám vyřeší všechny problémy s implementací ji pravé šestky
0:40:47protože když si koupí nové zařízení tak vlastně ty podporu má
0:40:52udělal jsem si jenom jednoduchá srovnání funny pro
0:40:57sto padesát uživatelů když chci mít sto padesát uživatelů kterém pro které chceme gigabitový port
0:41:03B S pole
0:41:05se všema tyčové dáma pro štyřku které fungujou se dostanu přibližně na devadesát šest dolarů
0:41:11za port
0:41:13co to ceny za N z N nejsmu to znamená zkres
0:41:17transparentní výběrové řízení se realitě dostaneme na trošku nižší hladiny
0:41:22u šestky
0:41:24je ta cena
0:41:26ní trošku vyšší
0:41:29a nicméně i přestože zaplatím víc nedostanu to ochranu protože jsem stejně schopen pro ní
0:41:35že teda se rovná tak
0:41:38pokuď by chtěl veškerou ochranu tak mám přibližně o sto padesát procent vyšší náklady na
0:41:44to abych zavolat
0:41:46vytvořil ve výsledku stejně bezpečnou síť
0:41:49a je taky nevytvořím protože když ten útočník bude chtít tak mi projde tady to
0:41:54bezpečnostních politik
0:41:57další věc která je důležitá si uvědomit že všechny tyhle vlastnosti třeba
0:42:04ty podakce z listy případně rád rádio podobně jsou implementované na zařízeních
0:42:10třeba
0:42:11že za půl tisíc ovce čtyři a půl pokuď se z vyznáte trošku scissor boxech
0:42:15nebo jinde jsou to ty boxy které nám dělají páteřní směrování páteřní přepínání protože já
0:42:22tyhle fi čili potřebuju co nejblíž uživateli to znamená na té přístupové vrstvě kde ty
0:42:27zařízení mám nejvíc
0:42:28znamená já si sice můžu koupit vše za půl tisícovku za
0:42:33ještě padesát tisíc mesa portu ten M že u šasi si nemůžu dovolit tadytěhle zařízení
0:42:39si koupit deset aby zapluj abych propoje všechny uživatele které desíti má
0:42:44díky tomu že
0:42:46S T přístup a ve světě zařízení potřebu nejvíc to znamená je tam nějaký tlak
0:42:50na ten
0:42:55a
0:42:56abychom to nějakým způsobem shrnuli
0:42:59pokuď si to šestku
0:43:01nasadíme
0:43:02tak
0:43:04může nám to přinese určité bezpečnostní problémy jedna
0:43:08jsou to ty o který jsme se zmínili jednak jsou to takové klasické chyby pře
0:43:12konfiguraci kdy
0:43:15já si třeba z nastavit firewall pro i P V štyřku ale zapomenu si to
0:43:18nastavit pro B a šestku
0:43:20implicitně se totiž ty pravidla nastavená pro jeden protokol na aplikují na druhý protokol to
0:43:26znamená musím všechno konfigurovat dvakrát
0:43:29cože takové
0:43:30zábavné proto administrátora jak jinak to říct
0:43:34jedná se to
0:43:35firewall i jiné eska cokoli
0:43:39obecně nebo to doporučení bylo že když už mám jakou bezpečnostní politiku pro štyřku tak
0:43:44by ta šestková politika to měla kopírovat znamená měl jsem tam víceméně stejně číst
0:43:51vůbec sme se při téhle přednášce nedotkli
0:43:54třeba studovaného provoz
0:43:57díky tomu že šestka jako taková a sem nasazuje trošku s obtížemi tak tam vzniklo
0:44:03určité nebo vznikly určité přechodové mechanismy kdy ze čtyřkou jsem schopen komunikovat s nějakým švestkový
0:44:09mostem a naopak a využívat ve výsledku techniky tunelování to znamená šestku zabalim to štyřky
0:44:15případně štyřku zabalím do šestky a tak podobně díky tomu je schopen T P ve
0:44:19čtyři moje host komunikovat českou korunu konektivitu díky tomu že to dávají do štyřky pošle
0:44:26to na nějakou
0:44:27na nějakého zařízení které má konektivitu do obou světů toto rozbalí a pošle to jedna
0:44:32nicméně
0:44:36většina
0:44:38a to řeknu s diplomaticky
0:44:40a
0:44:41firewallů případně ejsi let není schopna se dívat dovnitř
0:44:46protokolu to znamená ono vidí ji P V štyřky type ve čtyři provoz jdoucí na
0:44:51judity portu padesát pět tisíc
0:44:54a povětšinou tady ten na provozem blokuju protože nejsem schopen tom nějakém uživateli to zakázat
0:45:00tudíž
0:45:02přepošlu nadnormální dal do světa
0:45:05u mě stavy toho pro
0:45:07paketu je jdeme švestkový pakety jdoucí třebas na S N T P
0:45:13port to znamená který se normálně blokuje
0:45:17znamená jsem schopen vcelku efektivně spamu what třeba ze čtyřky i když se ten administrátor
0:45:22to stačí a zabrání
0:45:25ta problematika těhle
0:45:27ní tunelovací mechanismu je mi vcelku mimo rámec tady té hodiny kterou na to máme
0:45:33jsme je dá se to vcelku efektivně použít takže sme si ukázali obejití ACL X
0:45:38jak a pomocí těch zřetězených hlaviček dá se to použity pomoc tihle tunelovací protokol
0:45:46důležité je si uvědomit že propagátor ředitele šestky nejsou zodpovědní za vaší síť kterou provozujete
0:45:53vy
0:45:54znamená oni vám sice na slibujou jo bude to super když to nasadíš musíš to
0:45:58udělat protože jinak si nebudeš moc
0:46:00za pět let vůbec škrtnout nicméně když bude nějaký
0:46:05bezpečnostní problém tak
0:46:07on už bude na kafíčko někde bokem a vyřešit to budete vy to znamená je
0:46:12třeba si uvědomit tady tohle kdo je zodpovědný za tu C do kterého té kde
0:46:16ten protokol chci nasadit a domech cenu tak rádi
0:46:20dost často tyhle lidé jsou lidé kteří si to načetli z R F téček bez
0:46:25nějakých praktických zkušeností té třeba poznat
0:46:29důležitá věc na poznámku je taky rozdílnost prostředí
0:46:34my máme šestkou šestku nasazenou v rámci ve u té ve výsledku všude takové pěkná
0:46:42ní pískoviště nahrání sou studenti na kolejích nežije asi šest tisíc za dá se tam
0:46:48s nima
0:46:49kouzly divadla místo nepoznají a je metodě na stejné
0:46:53to znamená a já sem na té univerzitě jsem schopen tady tohle dovolit plus mínus
0:46:59nasadit beztoho i přestože ví že jsou tam byla bezpečnostní problémy protože
0:47:05když tam někdo bude skladovat pomocí nějakých tihle příkazu tak O K já jsem schopen
0:47:12z nějakým časovým
0:47:13zdržením eliminovat mezitím samozřejmě to někomu nepojede L
0:47:17já se vy může nám peníze a tudíž mám staré zařízení nebo něco podobného
0:47:22protože je tam taková i ta benevolence ste strany podle mě těch studentů není to
0:47:27ten člověk který že má pětiminutových výpadek tak volána lelkování co se děje protože platí
0:47:34nemohla části toho si firma nemůže dovolit protože ta by samozřejmě ihned přišlo o zákazníka
0:47:39aby pryč
0:47:41samozřejmě ty
0:47:43problém že když nějakých problém je tak studénce
0:47:46o ze možná ještě rychlej z těch pěti minut protože mu nejde ucho nebo něco
0:47:50takového ale tak to jsou zase další věci
0:47:54to znamená je třeba si uvědomit kde se autě firmy je opravdu dnešní době vcelku
0:48:00dalo by se říct bezpečnostní riziko to tam zavést protože
0:48:03nemám to port kontrolou nebo respektive nám to obtížně pod kontrolou
0:48:10takže jaký je závěr
0:48:12jestli všude zakázat ve výsledku to taky není správné řešení protože
0:48:17když už tam něco mám
0:48:19a monitoruj to tak má vždycky o tom lepší přehled naší když to vůbec na
0:48:23monitoru na sem a ne na to tam nasazené to znamená
0:48:27ideálně se s tím nějak seznámit nasadit a potom se nějak snažit zlepšit tu danou
0:48:32situaci
0:48:35dotazy
0:48:46jo
0:48:46takže
0:48:48úsek řeky ta
0:48:49otázka zněla jestli jsou na tom systémy by jedničkové nebo linuxové které o slouží tady
0:48:55pro tu komunikaci na tom lépe nebo může
0:49:00řekl bych že
0:49:01asi lépe díky tomu že třeba se veškeré ty filtrace
0:49:05a
0:49:07řeší ten operační systém to znamená on je schopen to parsovat až ke konci znamená
0:49:12samozřejmě za podstatně vyšší daň procesoru a podobných věcí nicméně schopno toho
0:49:19tak nějak pro parsovat znamená ze pokud by vám
0:49:23pokud byste měl linuxový server který vám slouží jako směrovač a přes ty lidé veškerý
0:49:28trefit
0:49:29tak ste tu na ten schulen schopen filtrovat tady tyhle útoky
0:49:34nicméně
0:49:36nejste s tím schopen třeba zabránit to že se ten klient pošle
0:49:41nebo ten menenžment mi to útok výsadku protože ten ho se používá
0:49:47přímo klient komunikaci to znamená tam to mozek com ale třeba sto ACL k ověřím
0:49:52že na tom linuxu nepluje díky tomu že za spásu je náš const
0:50:04zkušenosti s firewall i palo auto
0:50:08o to sou L sedmičkové firewall i pokud se nepletu nemám
0:50:12jo tam to
0:50:14je nemyslelo snažil
0:50:16protlačit
0:50:18na jedné konferenciér empatii říká že to je úžasné
0:50:21praktické zkušenosti s tím jestli tím projdu nebo neprojdu nemám
0:50:26věřil bych že možná ta situace bude lepší protože ten firewall jako takových C
0:50:31nebo stav
0:50:33politika která se nastavuje se řez nastavuje a šperk protokol to znamená eště T P
0:50:37povolit zakázat nebo něco podobného to znamená jak by to být schopen pro parsovat jaká
0:50:41je realita si netroufám tvrdit
0:50:43zatím zkušenost
0:50:45co má vždycky ukazuje že jsem schopen projít cokoliv
0:50:49se mi dostane pod takže
0:50:51možná o to bude světla vím
0:50:55další
0:51:05jestli se teda jestli existuje výrobce který
0:51:08zakazuje Í ta šest
0:51:10a
0:51:13tohle jsem schopen vcelku jednoduše udělat už na současném zařízení díky tomu že
0:51:20dnešní době mi spousta výrobců umožňuje
0:51:24filtrovat na základě petr tak u
0:51:27ethernetového rámce ve se podívám že etap tak věřitele šest a ten paket zahodí znamená
0:51:32ta situace je to chci filtrovat na portu
0:51:37existuje i dnes a dá se ve výsledku použít není to samozřejmě na všech zařízení
0:51:41na všech výrobcích
0:51:43a ale to je takový ten
0:51:47takže pokud chcete zakázat máte možnost
0:51:53jako že to zas celé
0:51:57to nevím
0:52:01což nějaké další dotazy
0:52:42jo
0:52:43než abych
0:52:44obě zopakoval dotaz takže jestli by
0:52:49nasazení pouze derivace pravé šest to znamená weste stavové bezstavová konfigurace něčemu poho jestli sem
0:52:55to pochopil správně
0:52:59jo
0:53:01a
0:53:01z mého pohledu by to bylo super protože bychom měli jeden směrovací protokol nebo jeden
0:53:06protokolu určený pro autokonfiguraci to znamená nemusel by všechno nemusel vyřešit bezpečnostní politikou bezstavová konfigurace
0:53:14DHCP ve šest já bych jedem protokol pro všechny by to bylo jednodušší pro administrátory
0:53:20rozhodně klient klientovi to teďka užší jedna takže mu je to unk
0:53:24nicméně pokud se podíváme na nějaké politické tlaky v rámci a je T je tak
0:53:29tam to není vůbec jednoduché protože
0:53:32tam je velký odpor vůči tady tomu
0:53:35aby se protože
0:53:37aby se chytli i ostatní současné době já musím použít jak bezstavovou konfiguraci tak stavovou
0:53:43protože v rámci té hádce P V šest nemůžu klientovi sdělit adresu implicitní brány
0:53:49znamená pokud bych chtěl mít pouze relace P V šest tak jak sem zvyklí je
0:53:53že ho máme štyřce tak to nelze protože klientovi nesdělim adresu implicitní brány to je
0:53:58ta kombinace že musím použít oba dva mechanismy
0:54:02dyby se tam tahle myšlenka celé to stojí na tom jestli dráze prvé šest bude
0:54:05podporovat tu informaci a zatím
0:54:08to sou
0:54:09sou vůči tomu tak silné námitky že to podporuje veškeré mechanismy že si nemyslím že
0:54:15se to někdy přes tenhle dalo by se říct fanatizmus přelije k tomu že se
0:54:20k toho dočkáme nicméně s pohledu operátora teda nesytil si myslím že by to určitě
0:54:25byl krok správným směrem mít pouze jeden mechanismus který pak to můžu dotáhnout do detailů
0:54:31správně jako klienta tak u serveru a stejně samo schopen lépe monitorovat
0:54:37by to bylo správným směrem nicméně ne myslím si že se to stane nejbližších padesát
0:54:41dva
0:54:52jestli je to nebo není cestami zodpovědnosti podle mě
0:54:57každý se s tím dokáže na to odpovědět sám tam je problém celere šestky je
0:55:02že vznikala v době kdy se ty sítě provozovaly naprosto jiným způsobem i se provozují
0:55:06dnes
0:55:08poláky nebo ty
0:55:09věci které my potřebujeme dnes
0:55:12třetímu bez nebyly známé jsou tam určité dalo by se říct fanatická rozhodnutí přes které
0:55:18je přestože se ukazuje jsou špatné tak se nechcou změnit díky tomu že ten člověk
0:55:23si to nevymyslel de prostě přesune devat
0:55:26a jestli se tohle je z někde změní
0:55:30jo a to si nemyslím že se budem bude se to měnit velice pomalu jestli
0:55:35vůbec
0:55:36ve výsledku
0:55:37o
0:55:39podle mě se dá se s tím tak jako že pohrát nějak se s tím
0:55:42naučit dál nechat ten
0:55:44svědek rozhodne dost často se možná půjde úplně jiným směrem naše
0:55:53je toho a samozřejmě ten tlak v rámci té standartizační komisi je tlačit u šestku
0:55:59co to D nicméně praxe možná ukážeme se ta výhybka přehodí na jinou stranu a
0:56:04tady tyhle páry se necháme modrou a jak se bude chtít
0:56:13a jedna jakou stranu se překlopit
0:56:16vy to vyřešíme nebojte se tady v rámci byl teďka
0:56:24tam je tedy asi vše děkuju za to