OT IPv6 - prakticke zkusenosti

Petr Zapadlo zapik na email.cz
Úterý Říjen 3 08:47:43 CEST 2017 

Abych řekl pravdu, ipv6 je na vzestupu a moc si nedovedu představit, že 
v tomto okamžiku to zase zařízneme a začneme s nečím jiným.

Spíše bych doplnil tu zpropadenou autokonfiguraci.

Jak již tu zaznělo, představa bezpečnosti na ipv4 za NATem  je iluzorní 
a proto schovávat IoT zařízení za NAT je celkem zbytečné - pokud budou 
za slušným FW, tak je jedno jestli jsou na ipv6 a nebo ipv4.

Co mi vadí intenzivně je současná agonie - při změně ISP mám těžký 
problém dostat veřejnou ipv4 adresu a pokud tak za měsíční poplatek, 
který často dosahuje ceny  za konektivitu, to považujete za normální?


Petr



Dne 03. 10. 17 v 8:17 Jaroslav Meduna napsal(a):
> Ahoj, o posledních Vanocich se jeden "borec" v IETF (Khaled Omar) pokusil o
> takovy vanocni vtipek a poslal do skupiny draft na IPv10 (kombinaci v4 a v6,
> tj. 4+6=10). Mělo to slouzit k pobaveni plena v době odpocinku. Ale castecne
> to vypada, ze se to trochu chytlo a v lete to IETF vydala jako realny draft,
> který ted lezi k pripominkam. Z toho je videt, jak zoufala je situace kolem
> IPv6. Kdyby ted bylo k dispozici "rozumne" rozsireni v4 protokolu, rada by
> na to většina presla. Osobne si myslim, ze ambice konce devadesátých let, ze
> je třeba zajistit uplnou viditelnost každého zarizeni s kazdym a mobilitu
> cilove adresy, je ve svetle dnešního internetu mimo misu. Cloudove
> technologie to zasadne zmenily, uz jenom kvůli IoT, kde je rozumne ty "male,
> hloupe" krabičky odstínit od zbytku "nebezpečného" internetu za nejaky
> router/NAT/FW, protože mají v sobe maly procesor, do kterého se kvalitni
> bezpecnostni vrstvy nevejdou, nehlede na SLA pravidelne udrzby. A pak je
> divadlo i u těchto krabicek s v6 neefektivni. Pokud jedete na moderni (ale
> spise mondenni) vlne v6, pak je to celkem snadne, routry známých znacek mají
> bezne dualstack, z hlediska bezpecnosti si spravne pro v6 nakonfigurujete FW
> a zbytek byva pripraven, vcetne zde drive zminene autokonfigurace klientu,
> za kterou by každý správce naplacal IETF na holou. Pekny den, JM
>
> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Simek
> Sent: Monday, October 2, 2017 9:24 PM
> To: HW-news <hw-list na list.hw.cz>
> Subject: Re: OT IPv6 - prakticke zkusenosti
>
> On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:
>
>>> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl
>>> zvykly na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.
>> S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti
>> je jen chimerou. V IPv6 je to diky SLAAC o trochu horsi.
> V tom je prave ta demence vymyslitelu IPV6 . Na principu autokonfigurace
> neni nic spatneho , koneckoncu dhcp neni nic jineho, ale ze to vnutili vsem
> jednim (blbym) zpusobem to je spatne. Meli uz v navrhu pocitat s ruznymi
> rezimy od volneho po striktni. At si kazdy spravce vybere co potrebuje.
>
>>> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6
>>> pridelit PC konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli
> dohledatelnosti.
>> Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy
>> (podpora pro relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
>> a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo
>> neustale stavel na zadni, ze je to spatne
>> b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by
>> to z fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu
>> DUID :-(
> Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj pohled
> na vec vsem. Diky jim se ta implementace protahla na >20let protoze sitovi
> spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.
>
>> Ono je mozna zapotrebi se na tento problem divat jinak. V ramci jakesi
>> umele nedohledatelnosti *) se spise vyuziva toho, ze se na routeru
>> loguji pouzite
>> MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl.
>> Bohuzel opet detail, tudle ficuru nic rozumneho neumi. Na doma snad
>> jedine nejaky mikrotik, kde si na to musite napsat script.
> No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas a
> infrastrukturu klade naroky na monitorovani..
>
>
>> *) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete -
> vase
>> mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz
> budete
>> v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete sice mit
>> stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit udelat
> korelaci
>> (detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)
> To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.
> Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.
>
>
>> Jan 'yanek' Bortl <yanek [at] yanek. cz>
> *------------------------------------------------------------------------*
> |                          Petr Simek   APS JU                           |
> |                             psimek na jcu.cz                              |
> *------------------------------------------------------------------------*
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list