OT IPv6 - prakticke zkusenosti

hwnews konference hwnews na cncnet.info
Středa Říjen 4 10:40:27 CEST 2017 

No ja jsem zrejme nejak zastydlej v IPv4, ale nejak mi neni jasne jakym
zpusobem mam otevrit FW, kdyz na zarizeni neni trvala IP a po adresach se
stehuje... Nebo to mam chapat tak, ze pokud zarizeni sedi stale ve stejne
siti tak ma pridelenou stale stejnou IPv6? nebo po restartu dostane nejakou
jinou?

Procital jsem ted ruzne clanky z ruznych konferenci a je to vazne
neskutecnej bordel. Namatkou treba:
https://www.root.cz/clanky/ipv6-je-budoucnost-ne-vsichni-ale-implementuji-spravne/

treba hned ten prvni prispevek od P.Satrapy

RV


Dne 3. října 2017 8:47 Petr Zapadlo <zapik na email.cz> napsal(a):

> Abych řekl pravdu, ipv6 je na vzestupu a moc si nedovedu představit, že v
> tomto okamžiku to zase zařízneme a začneme s nečím jiným.
>
> Spíše bych doplnil tu zpropadenou autokonfiguraci.
>
> Jak již tu zaznělo, představa bezpečnosti na ipv4 za NATem  je iluzorní a
> proto schovávat IoT zařízení za NAT je celkem zbytečné - pokud budou za
> slušným FW, tak je jedno jestli jsou na ipv6 a nebo ipv4.
>
> Co mi vadí intenzivně je současná agonie - při změně ISP mám těžký problém
> dostat veřejnou ipv4 adresu a pokud tak za měsíční poplatek, který často
> dosahuje ceny  za konektivitu, to považujete za normální?
>
>
> Petr
>
>
>
> Dne 03. 10. 17 v 8:17 Jaroslav Meduna napsal(a):
>
> Ahoj, o posledních Vanocich se jeden "borec" v IETF (Khaled Omar) pokusil o
>> takovy vanocni vtipek a poslal do skupiny draft na IPv10 (kombinaci v4 a
>> v6,
>> tj. 4+6=10). Mělo to slouzit k pobaveni plena v době odpocinku. Ale
>> castecne
>> to vypada, ze se to trochu chytlo a v lete to IETF vydala jako realny
>> draft,
>> který ted lezi k pripominkam. Z toho je videt, jak zoufala je situace
>> kolem
>> IPv6. Kdyby ted bylo k dispozici "rozumne" rozsireni v4 protokolu, rada by
>> na to většina presla. Osobne si myslim, ze ambice konce devadesátých let,
>> ze
>> je třeba zajistit uplnou viditelnost každého zarizeni s kazdym a mobilitu
>> cilove adresy, je ve svetle dnešního internetu mimo misu. Cloudove
>> technologie to zasadne zmenily, uz jenom kvůli IoT, kde je rozumne ty
>> "male,
>> hloupe" krabičky odstínit od zbytku "nebezpečného" internetu za nejaky
>> router/NAT/FW, protože mají v sobe maly procesor, do kterého se kvalitni
>> bezpecnostni vrstvy nevejdou, nehlede na SLA pravidelne udrzby. A pak je
>> divadlo i u těchto krabicek s v6 neefektivni. Pokud jedete na moderni (ale
>> spise mondenni) vlne v6, pak je to celkem snadne, routry známých znacek
>> mají
>> bezne dualstack, z hlediska bezpecnosti si spravne pro v6 nakonfigurujete
>> FW
>> a zbytek byva pripraven, vcetne zde drive zminene autokonfigurace klientu,
>> za kterou by každý správce naplacal IETF na holou. Pekny den, JM
>>
>> -----Original Message-----
>> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Simek
>> Sent: Monday, October 2, 2017 9:24 PM
>> To: HW-news <hw-list na list.hw.cz>
>> Subject: Re: OT IPv6 - prakticke zkusenosti
>>
>> On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:
>>
>> No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl
>>>> zvykly na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.
>>>>
>>> S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti
>>> je jen chimerou. V IPv6 je to diky SLAAC o trochu horsi.
>>>
>> V tom je prave ta demence vymyslitelu IPV6 . Na principu autokonfigurace
>> neni nic spatneho , koneckoncu dhcp neni nic jineho, ale ze to vnutili
>> vsem
>> jednim (blbym) zpusobem to je spatne. Meli uz v navrhu pocitat s ruznymi
>> rezimy od volneho po striktni. At si kazdy spravce vybere co potrebuje.
>>
>> Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6
>>>> pridelit PC konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli
>>>>
>>> dohledatelnosti.
>>
>>> Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy
>>> (podpora pro relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:
>>> a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo
>>> neustale stavel na zadni, ze je to spatne
>>> b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by
>>> to z fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu
>>> DUID :-(
>>>
>> Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj pohled
>> na vec vsem. Diky jim se ta implementace protahla na >20let protoze sitovi
>> spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.
>>
>> Ono je mozna zapotrebi se na tento problem divat jinak. V ramci jakesi
>>> umele nedohledatelnosti *) se spise vyuziva toho, ze se na routeru
>>> loguji pouzite
>>> MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl.
>>> Bohuzel opet detail, tudle ficuru nic rozumneho neumi. Na doma snad
>>> jedine nejaky mikrotik, kde si na to musite napsat script.
>>>
>> No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas a
>> infrastrukturu klade naroky na monitorovani..
>>
>>
>> *) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete -
>>>
>> vase
>>
>>> mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz
>>>
>> budete
>>
>>> v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete sice
>>> mit
>>> stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit udelat
>>>
>> korelaci
>>
>>> (detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)
>>>
>> To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.
>> Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.
>>
>>
>> Jan 'yanek' Bortl <yanek [at] yanek. cz>
>>>
>> *-----------------------------------------------------------
>> -------------*
>> |                          Petr Simek   APS JU                           |
>> |                             psimek na jcu.cz
>> |
>> *-----------------------------------------------------------
>> -------------*
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171004/0bf29161/attachment.html>

Další informace o konferenci Hw-list