OT IPv6 - prakticke zkusenosti

Zuffa Jan ZuffaJ na cgc.sk
Úterý Říjen 3 09:06:27 CEST 2017 

Tak napriklad v bulharsku je verejna IP zo zakona povinna.
To automaticky eliminuje dedinskych ISP ktori pozadovanymi
ip rozsahmi bezne nedisponuju. Preto ak raz EU nariadi, ze kazde zariadenie
v internete ma mat svoju adresu (z pohladu velkeho brata to dava zmysel)
adresy z ipv4 dojdu. A ina nahrada ako ipv6 momentalne nie je.
Preto akokolvek je ipv4 oblubene cesta tadialto nevedie.

j.

-----Original Message-----
From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Zapadlo
Sent: Tuesday, October 03, 2017 8:48 AM
To: hw-list na list.hw.cz
Subject: Re: OT IPv6 - prakticke zkusenosti

Abych řekl pravdu, ipv6 je na vzestupu a moc si nedovedu představit, že v tomto okamžiku to zase zařízneme a začneme s nečím jiným.

Spíše bych doplnil tu zpropadenou autokonfiguraci.

Jak již tu zaznělo, představa bezpečnosti na ipv4 za NATem  je iluzorní a proto schovávat IoT zařízení za NAT je celkem zbytečné - pokud budou za slušným FW, tak je jedno jestli jsou na ipv6 a nebo ipv4.

Co mi vadí intenzivně je současná agonie - při změně ISP mám těžký problém dostat veřejnou ipv4 adresu a pokud tak za měsíční poplatek, který často dosahuje ceny  za konektivitu, to považujete za normální?


Petr



Dne 03. 10. 17 v 8:17 Jaroslav Meduna napsal(a):
> Ahoj, o posledních Vanocich se jeden "borec" v IETF (Khaled Omar) 
> pokusil o takovy vanocni vtipek a poslal do skupiny draft na IPv10 
> (kombinaci v4 a v6, tj. 4+6=10). Mělo to slouzit k pobaveni plena v 
> době odpocinku. Ale castecne to vypada, ze se to trochu chytlo a v 
> lete to IETF vydala jako realny draft, který ted lezi k pripominkam. Z 
> toho je videt, jak zoufala je situace kolem IPv6. Kdyby ted bylo k 
> dispozici "rozumne" rozsireni v4 protokolu, rada by na to většina 
> presla. Osobne si myslim, ze ambice konce devadesátých let, ze je 
> třeba zajistit uplnou viditelnost každého zarizeni s kazdym a mobilitu 
> cilove adresy, je ve svetle dnešního internetu mimo misu. Cloudove 
> technologie to zasadne zmenily, uz jenom kvůli IoT, kde je rozumne ty 
> "male, hloupe" krabičky odstínit od zbytku "nebezpečného" internetu za 
> nejaky router/NAT/FW, protože mají v sobe maly procesor, do kterého se 
> kvalitni bezpecnostni vrstvy nevejdou, nehlede na SLA pravidelne 
> udrzby. A pak je divadlo i u těchto krabicek s v6 neefektivni. Pokud 
> jedete na moderni (ale spise mondenni) vlne v6, pak je to celkem 
> snadne, routry známých znacek mají bezne dualstack, z hlediska 
> bezpecnosti si spravne pro v6 nakonfigurujete FW a zbytek byva 
> pripraven, vcetne zde drive zminene autokonfigurace klientu, za kterou 
> by každý správce naplacal IETF na holou. Pekny den, JM
>
> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr 
> Simek
> Sent: Monday, October 2, 2017 9:24 PM
> To: HW-news <hw-list na list.hw.cz>
> Subject: Re: OT IPv6 - prakticke zkusenosti
>
> On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:
>
>>> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl 
>>> zvykly na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.
>> S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti 
>> je jen chimerou. V IPv6 je to diky SLAAC o trochu horsi.
> V tom je prave ta demence vymyslitelu IPV6 . Na principu 
> autokonfigurace neni nic spatneho , koneckoncu dhcp neni nic jineho, 
> ale ze to vnutili vsem jednim (blbym) zpusobem to je spatne. Meli uz v 
> navrhu pocitat s ruznymi rezimy od volneho po striktni. At si kazdy spravce vybere co potrebuje.
>
>>> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6 
>>> pridelit PC konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli
> dohledatelnosti.
>> Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy 
>> (podpora pro relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
>> a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo 
>> neustale stavel na zadni, ze je to spatne
>> b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by 
>> to z fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu 
>> DUID :-(
> Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj 
> pohled na vec vsem. Diky jim se ta implementace protahla na >20let 
> protoze sitovi spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.
>
>> Ono je mozna zapotrebi se na tento problem divat jinak. V ramci 
>> jakesi umele nedohledatelnosti *) se spise vyuziva toho, ze se na 
>> routeru loguji pouzite
>> MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl.
>> Bohuzel opet detail, tudle ficuru nic rozumneho neumi. Na doma snad 
>> jedine nejaky mikrotik, kde si na to musite napsat script.
> No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas 
> a infrastrukturu klade naroky na monitorovani..
>
>
>> *) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete 
>> -
> vase
>> mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz
> budete
>> v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete 
>> sice mit stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit 
>> udelat
> korelaci
>> (detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)
> To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.
> Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.
>
>
>> Jan 'yanek' Bortl <yanek [at] yanek. cz>
> *---------------------------------------------------------------------
> ---*
> |                          Petr Simek   APS JU                           |
> |                             psimek na jcu.cz                              |
> *---------------------------------------------------------------------
> ---* _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
> http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
> http://list.hw.cz/mailman/listinfo/hw-list

_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list