OT IPv6 - prakticke zkusenosti
Zuffa Jan
ZuffaJ na cgc.sk
Úterý Říjen 3 09:06:27 CEST 2017
Tak napriklad v bulharsku je verejna IP zo zakona povinna.
To automaticky eliminuje dedinskych ISP ktori pozadovanymi
ip rozsahmi bezne nedisponuju. Preto ak raz EU nariadi, ze kazde zariadenie
v internete ma mat svoju adresu (z pohladu velkeho brata to dava zmysel)
adresy z ipv4 dojdu. A ina nahrada ako ipv6 momentalne nie je.
Preto akokolvek je ipv4 oblubene cesta tadialto nevedie.
j.
-----Original Message-----
From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Zapadlo
Sent: Tuesday, October 03, 2017 8:48 AM
To: hw-list na list.hw.cz
Subject: Re: OT IPv6 - prakticke zkusenosti
Abych řekl pravdu, ipv6 je na vzestupu a moc si nedovedu představit, že v tomto okamžiku to zase zařízneme a začneme s nečím jiným.
Spíše bych doplnil tu zpropadenou autokonfiguraci.
Jak již tu zaznělo, představa bezpečnosti na ipv4 za NATem je iluzorní a proto schovávat IoT zařízení za NAT je celkem zbytečné - pokud budou za slušným FW, tak je jedno jestli jsou na ipv6 a nebo ipv4.
Co mi vadí intenzivně je současná agonie - při změně ISP mám těžký problém dostat veřejnou ipv4 adresu a pokud tak za měsíční poplatek, který často dosahuje ceny za konektivitu, to považujete za normální?
Petr
Dne 03. 10. 17 v 8:17 Jaroslav Meduna napsal(a):
> Ahoj, o posledních Vanocich se jeden "borec" v IETF (Khaled Omar)
> pokusil o takovy vanocni vtipek a poslal do skupiny draft na IPv10
> (kombinaci v4 a v6, tj. 4+6=10). Mělo to slouzit k pobaveni plena v
> době odpocinku. Ale castecne to vypada, ze se to trochu chytlo a v
> lete to IETF vydala jako realny draft, který ted lezi k pripominkam. Z
> toho je videt, jak zoufala je situace kolem IPv6. Kdyby ted bylo k
> dispozici "rozumne" rozsireni v4 protokolu, rada by na to většina
> presla. Osobne si myslim, ze ambice konce devadesátých let, ze je
> třeba zajistit uplnou viditelnost každého zarizeni s kazdym a mobilitu
> cilove adresy, je ve svetle dnešního internetu mimo misu. Cloudove
> technologie to zasadne zmenily, uz jenom kvůli IoT, kde je rozumne ty
> "male, hloupe" krabičky odstínit od zbytku "nebezpečného" internetu za
> nejaky router/NAT/FW, protože mají v sobe maly procesor, do kterého se
> kvalitni bezpecnostni vrstvy nevejdou, nehlede na SLA pravidelne
> udrzby. A pak je divadlo i u těchto krabicek s v6 neefektivni. Pokud
> jedete na moderni (ale spise mondenni) vlne v6, pak je to celkem
> snadne, routry známých znacek mají bezne dualstack, z hlediska
> bezpecnosti si spravne pro v6 nakonfigurujete FW a zbytek byva
> pripraven, vcetne zde drive zminene autokonfigurace klientu, za kterou
> by každý správce naplacal IETF na holou. Pekny den, JM
>
> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr
> Simek
> Sent: Monday, October 2, 2017 9:24 PM
> To: HW-news <hw-list na list.hw.cz>
> Subject: Re: OT IPv6 - prakticke zkusenosti
>
> On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:
>
>>> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl
>>> zvykly na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.
>> S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti
>> je jen chimerou. V IPv6 je to diky SLAAC o trochu horsi.
> V tom je prave ta demence vymyslitelu IPV6 . Na principu
> autokonfigurace neni nic spatneho , koneckoncu dhcp neni nic jineho,
> ale ze to vnutili vsem jednim (blbym) zpusobem to je spatne. Meli uz v
> navrhu pocitat s ruznymi rezimy od volneho po striktni. At si kazdy spravce vybere co potrebuje.
>
>>> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6
>>> pridelit PC konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli
> dohledatelnosti.
>> Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy
>> (podpora pro relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
>> a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo
>> neustale stavel na zadni, ze je to spatne
>> b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by
>> to z fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu
>> DUID :-(
> Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj
> pohled na vec vsem. Diky jim se ta implementace protahla na >20let
> protoze sitovi spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.
>
>> Ono je mozna zapotrebi se na tento problem divat jinak. V ramci
>> jakesi umele nedohledatelnosti *) se spise vyuziva toho, ze se na
>> routeru loguji pouzite
>> MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl.
>> Bohuzel opet detail, tudle ficuru nic rozumneho neumi. Na doma snad
>> jedine nejaky mikrotik, kde si na to musite napsat script.
> No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas
> a infrastrukturu klade naroky na monitorovani..
>
>
>> *) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete
>> -
> vase
>> mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz
> budete
>> v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete
>> sice mit stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit
>> udelat
> korelaci
>> (detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)
> To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.
> Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.
>
>
>> Jan 'yanek' Bortl <yanek [at] yanek. cz>
> *---------------------------------------------------------------------
> ---*
> | Petr Simek APS JU |
> | psimek na jcu.cz |
> *---------------------------------------------------------------------
> ---* _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
_______________________________________________
HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list