OT IPv6 - prakticke zkusenosti

Jaroslav Meduna meduna na mikroklima.cz
Úterý Říjen 3 08:17:31 CEST 2017 

Ahoj, o posledních Vanocich se jeden "borec" v IETF (Khaled Omar) pokusil o
takovy vanocni vtipek a poslal do skupiny draft na IPv10 (kombinaci v4 a v6,
tj. 4+6=10). Mělo to slouzit k pobaveni plena v době odpocinku. Ale castecne
to vypada, ze se to trochu chytlo a v lete to IETF vydala jako realny draft,
který ted lezi k pripominkam. Z toho je videt, jak zoufala je situace kolem
IPv6. Kdyby ted bylo k dispozici "rozumne" rozsireni v4 protokolu, rada by
na to většina presla. Osobne si myslim, ze ambice konce devadesátých let, ze
je třeba zajistit uplnou viditelnost každého zarizeni s kazdym a mobilitu
cilove adresy, je ve svetle dnešního internetu mimo misu. Cloudove
technologie to zasadne zmenily, uz jenom kvůli IoT, kde je rozumne ty "male,
hloupe" krabičky odstínit od zbytku "nebezpečného" internetu za nejaky
router/NAT/FW, protože mají v sobe maly procesor, do kterého se kvalitni
bezpecnostni vrstvy nevejdou, nehlede na SLA pravidelne udrzby. A pak je
divadlo i u těchto krabicek s v6 neefektivni. Pokud jedete na moderni (ale
spise mondenni) vlne v6, pak je to celkem snadne, routry známých znacek mají
bezne dualstack, z hlediska bezpecnosti si spravne pro v6 nakonfigurujete FW
a zbytek byva pripraven, vcetne zde drive zminene autokonfigurace klientu,
za kterou by každý správce naplacal IETF na holou. Pekny den, JM

-----Original Message-----
From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Simek
Sent: Monday, October 2, 2017 9:24 PM
To: HW-news <hw-list na list.hw.cz>
Subject: Re: OT IPv6 - prakticke zkusenosti

On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:

>> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl 
>> zvykly na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.
>
> S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti 
> je jen chimerou. V IPv6 je to diky SLAAC o trochu horsi.

V tom je prave ta demence vymyslitelu IPV6 . Na principu autokonfigurace
neni nic spatneho , koneckoncu dhcp neni nic jineho, ale ze to vnutili vsem
jednim (blbym) zpusobem to je spatne. Meli uz v navrhu pocitat s ruznymi
rezimy od volneho po striktni. At si kazdy spravce vybere co potrebuje.

>> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6 
>> pridelit PC konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli
dohledatelnosti.
>
> Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy 
> (podpora pro relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
> a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo 
> neustale stavel na zadni, ze je to spatne
> b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by 
> to z fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu 
> DUID :-(

Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj pohled
na vec vsem. Diky jim se ta implementace protahla na >20let protoze sitovi
spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.

> Ono je mozna zapotrebi se na tento problem divat jinak. V ramci jakesi 
> umele nedohledatelnosti *) se spise vyuziva toho, ze se na routeru 
> loguji pouzite
> MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl. 
> Bohuzel opet detail, tudle ficuru nic rozumneho neumi. Na doma snad 
> jedine nejaky mikrotik, kde si na to musite napsat script.

No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas a
infrastrukturu klade naroky na monitorovani..


> *) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete -
vase 
> mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz
budete 
> v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete sice mit

> stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit udelat
korelaci 
> (detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)

To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.
Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.


> Jan 'yanek' Bortl <yanek [at] yanek. cz>

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*
_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list