OT IPv6 - prakticke zkusenosti

Petr Simek psimek na jcu.cz
Pondělí Říjen 2 21:23:57 CEST 2017 

On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:

>> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl zvykly
>> na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.
>
> S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti je jen 
> chimerou. V IPv6 je to diky SLAAC o trochu horsi.

V tom je prave ta demence vymyslitelu IPV6 . Na principu autokonfigurace
neni nic spatneho , koneckoncu dhcp neni nic jineho, ale ze to vnutili
vsem jednim (blbym) zpusobem to je spatne. Meli uz v navrhu pocitat s 
ruznymi rezimy od volneho po striktni. At si kazdy spravce vybere co
potrebuje.

>> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6 pridelit PC
>> konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli dohledatelnosti.
>
> Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy (podpora pro 
> relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
> a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo neustale 
> stavel na zadni, ze je to spatne
> b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by to z 
> fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu DUID :-(

Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj pohled
na vec vsem. Diky jim se ta implementace protahla na >20let protoze sitovi
spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.

> Ono je mozna zapotrebi se na tento problem divat jinak. V ramci jakesi umele 
> nedohledatelnosti *) se spise vyuziva toho, ze se na routeru loguji pouzite 
> MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl. Bohuzel 
> opet detail, tudle ficuru nic rozumneho neumi. Na doma snad jedine nejaky 
> mikrotik, kde si na to musite napsat script.

No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas 
a infrastrukturu klade naroky na monitorovani..


> *) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete - vase 
> mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz budete 
> v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete sice mit 
> stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit udelat korelaci 
> (detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)

To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.
Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.


> Jan 'yanek' Bortl <yanek [at] yanek. cz>

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*

Další informace o konferenci Hw-list