OT IPv6 - prakticke zkusenosti

Jan 'yanek' Bortl yanek na yanek.cz
Pondělí Říjen 2 21:02:54 CEST 2017 

Dne 2.10.2017 v 20:10 Petr Simek napsal(a):
> On Mon, 2 Oct 2017, Miroslav Mraz wrote:
>
>> Zrovna nedávno jsem se na tohle téma bavil s místním správcem vesnické 
>> sítě WiFi a reakce byla zhruba následující:
>> 1. musel bych se to naučit.
>> 2. kromě tebe to nikdo nechce.
>> Z jeho pohledu mu musím dát za pravdu, nemá žádný důvod hrabat do něčeho, 
>> co v podstatě funguje. Ale voni mu to soudruzi z EU jednou nařídí zákonem.
>
> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl zvykly
> na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.

S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti je jen 
chimerou. V IPv6 je to diky SLAAC o trochu horsi.

>
> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6 pridelit PC
> konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli dohledatelnosti.

Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy (podpora pro 
relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo neustale 
stavel na zadni, ze je to spatne
b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by to z 
fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu DUID :-(

Ono je mozna zapotrebi se na tento problem divat jinak. V ramci jakesi umele 
nedohledatelnosti *) se spise vyuziva toho, ze se na routeru loguji pouzite 
MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl. Bohuzel 
opet detail, tudle ficuru nic rozumneho neumi. Na doma snad jedine nejaky 
mikrotik, kde si na to musite napsat script.

*) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete - vase 
mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz budete 
v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete sice mit 
stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit udelat korelaci 
(detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)

>
> *------------------------------------------------------------------------*
> |                          Petr Simek   APS JU                           |
> | psimek na jcu.cz                              |
> *------------------------------------------------------------------------*
>

-- 
Jan 'yanek' Bortl <yanek [at] yanek. cz>
http://yanek.cz/ | jabber: yanek [at] mitranet. cz
-----------------------------------------------------------------
"Maybe one day you will learn that your way is not the only way."
                                         Opher [StarGate: The Nox]

Další informace o konferenci Hw-list