Názory k článku Ochrana lokální IPv6 sítě

Kdyby ovsem existoval DHCP ekvivalent pridelovani adres pro IPv6 (tedy v ramci LAN centralizovane rizeny system), bylo by potreba rozhodnout, zda je bezestavove pridelovani opravdu takovou vyhodou, aby "cena", kterou je nutnost pridelovani neskutecnych bloku do kazde LAN neni proste prilis vysoka.

Popravde receno, soucasny system pridelovani adres v IPv6 povazuju za hrube nevhodny. Z bezpecnostniho hlediska potrebuji nejen omezit, kdo smi byt v konkretni siti pripojen (coz zajistime autentizaci na druhe vrstve nebo fyzickou bezpecnosti zasuvek) ale musim take vedet, kdo v me siti kdy pouzival jakou adresu. To ve svete, kde "jakou adresu uzivatel dostane" urcoval centralne spravce bylo daleko jednodussi nez ve svete, kde si adresu urcuje uzivatel sam (tim, jak postupne meni MAC na sve sitove karte) a spravce muze jen monitorovat ...

Linux to umí samozřejmě už dlouho.

Windows to umí od XP dál.

IPv4 adresa je braná jako podmnožina IPv6 adres, takže žádný problém.

Kdyby něco, rád si o tomto problému popovídám (doma už to mám nějakých půl roku zavedeno).

Jabber+Mail: pavlix(at)pavlix.net

Tohle si zvládneš najít, zkus to třeba přes Wikipedii

A umí to i Windows a Linux? T.j. když si na IPv6 síti člověk pustí program, který má zadrátované 4-bytové adresy, tak by operační systém správně měl vzít IPv6 adresu z DNS odpovědi, zapamatovat si ji, vymyslet si 4-bytovou adresu, tuto podstrčit aplikačnímu programu a později všechny pokusy o komunikaci na tu 4-bytovou adresu daným programem překládat na tu 128-bitovou IPv6.

Požadavek na maximální délku prefixu nevznikl jen tak, vychází z mechanismu bezstavové autokonfigurace. Takže pokud byste chtěl přidělovat takové rozsahy, jaké navrhujete, znamenalo by to buď bezstavovou autokonfiguraci zrušit nebo zcela změnit její princip.

A vy znate nekoho, kdo ma v CZ na sve siti source routing zapnuty? ;-)

Příspěvek z 20:07 jsem psal já. Na Lupě mám notorický problém strefit se jménem do správného pole ve formuláři.

Uživatel si nepřál zůstat v anonymitě. Uživatel nedával pozor a napsal jméno do špatného chlívku. Příspěvek ze 20:00 jsem psal já.

Existují. Základní prvidla pro vzájemnou konverzi mezi IPv4 a IPv6 definuje Stateless IP/ICMP Translation (SIIT). Ty se pak uplatňují v zařízeních podobných NATu, která ale nemění jen adresy, ale celý datagram z jedné verze protokolu na druhou. Překlad může probíhat v síti, pak se pro něj používá název Network Address Translation - Protocol Translation (NAT-PT), nebo i uvnitř počítače mezi aplikacemi a TCP/IP.

Pochopitelně tam existuje řada různých omezení a praktická použitelnost nebude 100%. Příklady problémů jsou například rozšiřující hlavičky, IPv4 adresy v aplikačních protokolech a podobně.

Existují nějaké metody na interoperabilitu mezi IPv6 a IPv4? T.j. když se připojím na IPv6 síť, existuje na ní nějaká brána, která by umožnila přístup i k IPv4 serverům? Naopak, mohu operační systém s IPv4 připojit na IPv6 síť přes nějakou bránu (která bude odchytávat DNS requesty, a přemapovávat IPv6 adresy na IPv4)?

Bez toho se přechod na IPv6 asi nepodaří, pochybuju, že si všichni lidi naráz updatují všechny počítače. Navíc spousta programů má v sobě natvrdo zadrátované, že adresa je 4 byty.

Představa, že si BFU koupí modem s IPv6 je dost naivní. Modem, který se do lokální sítě tváří jako IPv4 a s providerem komunikuje přes IPv6 by se už prodat dal.

Na kazdy centimetr jich neni 32 ale cca 6 * 10^19 (vic nez v celym ipv4)

Pokud zakaznik ktery "obyva" 80 metru ctverecnich dostane 2^64 adres, tak dostal adresu "urcene" cca 4 centimetrum ctverecnim. Takze v tom problem nebude, ale na rozdeleni na vyssich urovnich by mohl byt pokud by se to delalo prilis neefektivne (isp s 5 zakazniky dostane /32 prefix)

Ipv4 se taky zpocatku rozdavalo ve velkem po subnetech /8 ... jakmile se zacne zdat ze to nebude stacit, zacne se zas setrit :)

Zase jestli se bude na ipv6 v budoucnu napojovat "kdejeka blbost" vcetne mobilu, lednicky, toasteru, bezdratove klicenky apod tak jedne domacnosti by treba /120 nemuselo stacit a uz by potrebovali /112. A pokud se zavade standard jedna IP pro kazde virtualni PC nebo tak neco, tak by /112 nemuselo nekterym stacit ...

source routing?

Mate samozrejme teoreticky uplnou pravdu, jen mi prozradte ten univerzalni kouzelny zpusob jak takove datagramy propasovat na tu FW nebo GW... - tedy pokud nejste ISP, ke kteremu je takovy nestastnik pripojen (a pak Vas za koule veset:-)) a tedy nemate ve sprave prvni HOP po jeho ceste...

"Nicméně skutečnost, že počítače v lokální síti nejsou z Internetu volně dostupné .."

Toto samozrejme neni pravda, ze. Ty pocitace, pokud tam neni zaroven FW volne dostupne jsou. Staci vedet, ze verejna IP xy je GW s NATem a poslat na ni pakety s cilem v prislusnem privatnim rozsahu. Pokud neni takova komunikace zakazana (jako ze by byt mela), tak samotny NAT nezabrani routovani takovych paketu do vnitrni site.

A samozrejme se takto spousta NATu i chova, staci trochu zkoumani na netu a predevsim stroje typu mail.domena.cz nebo gw.fomena.cz.

> Globální IPv6 adresy musí začínat na 2 nebo 3, takže z okna vyhodili další 3 bity.

Ty 3 vyhozené bity znamenají, že pokud se vyčerpá stávající IP prostor, tak zbývá ještě 7 pokusů na to zkusit vymyslet přidělování IP lépe. A protože při dalších pokusech by protokol byl stále stejný, jen by se měnil způsob přidělování, tak by se žádný HW ani SW nemusel předělávat, na rozdíl od současného stavu, kdy IPv4 nestačí ale už s tím nejde nic dělat.

A pokud se nepletu, tak koncovych 6 cisel by se melo odvozovat od MAC adresy Muzete odkazat na cislo RFC? (tedy, krome link-local adres, samozrejme)

> a pak zbyva prostor pro 2^32 takovych alokaci pro jednotlive LIR, coz je sice zdanlive dost

Globální IPv6 adresy musí začínat na 2 nebo 3, takže z okna vyhodili další 3 bity. Pro jednotlivé LIR je alokací tedy jen 2^29.

Proc? Protoze IPv6 adresy uz nebudou "vzacny zdroj". Uvedomme si, jak nehorazne se s nimi plytva. Na kazdy ethernetovy segment se doporucuje pouzit rozsah /64, coz je 2^(128-64), tedy 2^64 adres (1.84*10^19), kazdy zakaznik ma dostat /48, tedy 2^80 adres, coz je rozsah, v nemz se naleza 65536 subnetu /48. Kazdy ISP dostava bezne /32 (tedy 2^96 adres), coz je zase rozsah pro 65536 takovych zakaznickych alokaci (ovsem typicky ma LIR vice zakazniku, nez ma zakaznik subnetu, jiste, pak muze dostavat vetsi bloky, treba i /16) a pak zbyva prostor pro 2^32 takovych alokaci pro jednotlive LIR, coz je sice zdanlive dost (kazdy jedenapulty obyvatel planety by mohl mit vlastni LIR), nicmene pokud se s tim nebude zachazet rozumne, neni to zase TAK dost.

V praxi by mohlo pro kazdy eth segment stacit /96, mozna dokonce /112 (ukazte mi nekoho, kdo ma na jednom segmentu 2^32 zarizeni, tolik jich neni na cele planete), per zakaznik /80 (v pripade /112 per segment pak /96), per LIR pak /48 (v pripade /112 per segment pak /64). Razem by byl address space 65536-krat (ci sestnactimilionkrat) vetsi ;-)