Vlákno názorů k článku IPv6 Mýty a skutečnost, díl VI. - Bezpečnostní mechanizmy od Petr Bedle - Zacit od piky by byl problem, protoze nikde...

Zacit od piky by byl problem, protoze nikde neni zaruceno, ze by to nevypadalo uplne stejne jako IPv6. Nejspis i to nove od piky vytvarene by vytvareli stejni lide - takze cekani dalsich 15 let, nez by nove IPvX bylo ve stejnem stavu jako je dnes IPv6.

Vysledek za 15 let by byl nejspis takovy, ze bychom v sitich provozovali:
IPv4 - se vsemi jeho problemy
IPv6 - se vsemi jeho problemy
IPvX - se vsemi jeho problemy

Jo jeste k vymene zarizeni.

To ze se vsechna dnes radoby IPv6 ready zarizeni budou muset vyhodit je jasne. Obchodnikum se to celkem hodi. Do jiste miry je to snad snad i zamer. Nejdirv se musi prece neco blbe udelat/vymyslet aby se to pak za tezke prachy mohlo opravit.

Ta potreba IPv6 jeste stale neni tak vysoka. Tohle jsou trzni zakony, ktere bohuzel malokdo z nas dokaze respektovat. Porad je levnejsi ziskat IPv4 adresu a klienty hazet za NAT (oni si poradi, VPN, N2N, Hamachi, Teredo, Skype a podobne) nez budovat nakladnou IPv6 sit. A o tom to je. Ti co IPv6 implementuji pak delaji proto, aby meli oproti konkurenci +1 feature navic, jenze vzdycky tam hraje roli ze jsou +X chechtaku drazsi, nez konkurence. Takhle se IPv6 placa od nikud nikam, ale pomalu dopredu. Ceka se na firmu Y, ktera nabidne uceleny a relativne levny system, uspeje s tim na trhu a prevalcuje s tim ostatni a ustanovi defacto standard (a standarizacni instituce se tomu prispusobi). A prave slovo "levny" je dulezity, protoze musi byt levnejsi, nez soucasne IPv4 reseni, pripade prinaset neco klientum, napriklas nove uzivatele.

Jeste nas ceka obdobi kseftovani s IPv4 adresami (rozsahy). Ocekavam jej tak do roka a bude trvat cca 3 roky(muj odhad)

No zatím se to neprojevuje na koncových cenách. Pořád mám šanci si koupit 1 IP trvale. Dřív nebo později dojde k pronájímání IP adres za nějakou cenu.

Aby mě nebylo chytáno za slovo, pronájem IP adres sem už taky viděl, na různých cloudech a podobných VPS. Zatím jsou ceny takové, že zavádět IPv6 oproti tomu je drahé. Takže proč by se měl svět honit za něčím lepším?

Co nás čeká teď? No čeká nás IPv6. Otázkou je, kdy. Následujících pár let rozhodně masivní nasazení IPv6 neočekávám.

Minimálně podle smlouvy.

Mno, to mate bud tu smlouvu blbe napsanou, nebo ste si ji blbe precet, v kazdym pripade by to mozna mohlo zajimat RIPE - to totiz IPcka taky neprodava, ale prideluje, a tudiz totez ocekava od tech, kterym je pridelil, v opacnem pripade jim je totiz muze taky odebrat.

Ovsem pokud ja vim, tak napr UPC si uctuje 100Kc (nebo tak nejak) za prideleni staticke IP, nikoli za tu kterou IP adresu (a nejak nechapu, proc si uctujou za jednorazovy ukon opakovany poplatek, ale to je na dlouhou debatu).

RIPE by to mozna zajimalo, ale tim to nejspis konci. Maximalne nejaka inkvizicni komise, ktera by dojela, adresy nasilne odkonfigurovala a zrusila jejich propagaci do BGP.

Ve smlouvach se naprosto bezne uvadeji IP adresy a pokud by ISP jen tak menil zakaznikovi adresy, tak by taky velice rychle mohl o toho zakaznika taky prijit.

IP adresy je komodita se kterou se uz dnes vicemene obchoduje, byt je to mnohdy ruznymi formami skryte.

A co obracene. Ma nejaky pravni titul, ktery by mu takove jednani zakazoval?

A je to tak dobře. Obchod s IP adresemi nakonec bude úplně normální, ať se to IPv6 jasánkům nelíbí sebevíc. Právě cena za IPv4 jednoznačně určuje termín nasazení IPv6 masově. Zdražte IPv4 a úspěch je zaručen. Jenže to tak jednoduché není, jak se zdá

(proto ty keci o tom, jak je obchod s IP adresami nelegální)

Uplny souhlas. Ja prilis nerozumim tomu, kde vznikl ten nazor, ze obchod s IP adresami je nelegalni a naproste fuj. Pravidla RIPE a spol. jsou jedna vec, ale jejich pravni vymahatelnost je podle me sporna. Internet nema centralni rizeni a je prakticky veci dohody co se do BGP siri a co ne (byt se to dnes opira o DB RIPE atd.). Nejake centralni zdrazeni adres provest nelze protoze Internet zadne "oni" nema. Vec pripadne urci trh - a zrovna tady to bude fungoat velice dobre.

Ona obecna manie ze s koncem adres jakoby jako mel skoncit Internet je jen takova hysterie. Je to proste "rozdani lidu, co jeho jest", ktery si casti bude za uplatu dle uvazeni smenovat. To ze je adres malo je dano hlavne tim, ze zdanlive nemaji zadnou hodnotu a jsou ted prakticky zadarmo - jen blazen by je dnes pustil.

Nakonec k tomu stejne bude muset dojit, protoze IPv6 absolutne neni pripraveno pro seriozni pouzivani a bude nutne ziskat dalsi cas pro jeho vyvoj, nasazeni a samozrejme nekonecne debatovani o nem na Lupe :-)

Advocatus diaboli: Ten ISP muze vybirat penize za to, ze jeho zarizeni prideli zakaznikovi adresu pokazde identickou a ze tuto adresu bude smerovat krz svoji sit. Protoze o vlastnictvi te site a narocich na vynosy z ni patrne zadna pochybnost nepanuje, jista pravni jistota tam prece jen je.

Aneb IP adresu si klient muze nastavit, jakou chce, to je jeho boj. Ale jenom s tou jednou (dvema, osmi, dvestepadesatisesti apod.), kterou mu rekneme a budeme smerovat, mu to bude fugnovat.

Ehm, IP adresa, dns, ... neni (a nikdy sem to nevidel) soucasti smlouvy s ISP, ale soucasti technicke specifikace, kterazto se muze kdykoli zmenit (v souladu se smlouvou a vseobecnymi podminkami).

Ono se totiz klidne muze stat, ze ISP vymeni vic malych rozsahu za jeden vetsi (uz sem parkrat videl) a nasledne musi samozrejme precislovat celou sit.

No ci presneji receno jak je co nezabezpecene a jak kdo co nefiltruje. To ze se neco objevi v BGP ci nikoliv je veci vule nekoho prislusny blok inzerovat a dalsich subjektu tyto smerovaci informace akceptovat.

Pokud bude ekonomicky tlak bude i vule ustupovat. Vzhledem k tomu cely aparat propojovani Internetu je postaven na ekonomickych principech tak nevidim duvod proc by to neslo. Resp. mate dnes jinou alternativu?

To ze je to zakazane jistymi regulemi nic neznamena. Take by si nikdo nemel s ostatnimi vymenovat stazene mp3 a presto to spousta lidi dela. Pokud neni zalobce, neni soudce.

Prodej adres je mozna zapovezen "jakymisi" pravidly, ale zkuste na tuto "protizakonnou" cinnost napasovat pro zacatek treba neco z legislativy CR.

... a timto se odsuzuje se k trestu odneti svobody na 9 mesicu za neopravneny prodej adresoveho bloku x.y.z.0/20 ....

a nebo spise

... za neopravnene sireni smerovacich informaci do BGP o prefixu x.y.z.0/20, ktery byl ziskan na zaklade neopravnene dohody se spolecnosti ABC....

Coz sice oznamovani toho prefixu trochu zkomplikuje, ale rozhodne mu nezabrani.

Ano, jsou. Jenze zdaleka ne vsichni a to plati i o Tier1. Navic RIPE DB samotna nestaci.

Naopak - IPSec nema uvnitr privatni site co delat - maximalne na pouze mezi white-listovanymi IP adresami. Nezalezi, zda myslis IPv4 ci IPv6.

No, co se týče IPsec a levných domácích krabiček, tak je to tal 1:4, co mám zkušenost. Respektive polovina v sobě má nějakou formu helperku do NATu, který to rozbije (většinou vypínatelný) a tam kde není nebo je vypnutý to funguje, ale stále zbývá tak čtvartina, kde ani za boha nechodí.
V kombinaci s ADSL je to ještě o trošku hůře, zejména v síti O2 vzhledme k jejich oblibě pro reordering paketů a nekorektní implementaci IPv4 v některých krámech, kdy neprojde vícenásobně fragmentovaný paket, pokud fragmenty nedorazí uspořádány v pořadí (což už úspěšně rozbije IKE fázi pokud se používají certifikáty, stjeně jako cokoliv nad UDP s dlouhými pakety).
Nemá smysl se hádat, zkrátka IPv6 má šanci část problémů vyřešit a část nových přinese. Vy zastáváte teorii, že to vše jen zhorší a rozbije, já, že to něco vyřeší. Bohužel, ideální rozřešení tohoto sporu ve formě osobního souboje se poslední století nedrží moc v náklonosti široké veřejnosti a i exekutivy (jinak bych tu měl před domem ideální romantické místo k takovému rozřešení za hradbami města, takže mimo dosah městkých zákonů, a i třídní původ mi umožňuje tuto metodiku), takže nám nezbude, než počkat pár let, jak to dopadne i bez našeho zapřičinění. :-(

Selektivní pamět? To IPsec kontra NAT jsem psal já a stejně tak jsme psal, že jsem v prostředí, kde je IPsec povolen a blbá NAT implentace mi ho kazí, pokud by byly veřejné IPv4 adresy nebo IPv6, tak minimálně mám o tu NAT ptákovinu o starost míň...
Pokud je samozřejmě IPsec jako takový blokván, tak je jedno, zda mám IPv4/6 řešení.
Jinak očekávám obecně, že trošku rozumná firma má vnitřní síť zcela oddělenou a ven se jde jen přes aplikační proxy s rozumným filtrováním a autorizací klientů a volnější komunikace je jen na vybrané konce nebo z oddělených segmentů.
A kdo to tak nemá, tak občas změní názor, až třeba zjisít, že jeho skvělá multifunkční tiskárna/scener/fax/co­py krom příslušných funkcí jako neohlášenou bokovku vše co jí prošlo posílá po netu někam do Koree (viděl jsem už tři takové). Takže v této úrovni IPv4/6 není výrazný rozdíl.
Jiná věc je, že IPsec nad IPv6 podpora u krámů je obvkyle tristní, přestože IPsec je papírově povinná součást.
Nu, já myslím, že šmírovací snahy našich vlád nás postupně donutí implementovat něco defacto podoně funkčního, kdy chudák ISP neuvidí nic, než jen IP adresy koncových bodů a vše, včetně protokolu vyšší vrstvy bude šifrováno (než nám to naši pohlaváři začnou zakazovat). Taková ta idea anonymního IPsec v reálu (ale jeho implmentace je ještě mizernější, než vlastního IPsec). Tohle asi zaítm spíše trápí ISPéčka, co se pokusila zamyslet a zjistila, že jejich systémy na řízení datových toků a řezání rchlostí z toho moc nevykoumají.