Doplnění k předchozímu: teď jsem článek dočetl, a naprosto s obsahem souhlasím. Přesně popsaná realita z pohledu menších ISP (resp. všech kromě těch pár největších).
Problém na straně domácích zákazníků ISP nevidím jako aktuální. Mohl by být problém s nedostatkem IP adres pro servery v datacentrech, ale tam je situace v současnosti podle mě celkem saturovaná, tj. nelze čekat spotřebu 2× tolik IP každý rok. Takže klidně těch 10 let se dá také vyžít.
No a v té síti, kterou autor popisuje, když bude někdo ojediněle chtít IPv6, tak je nejjednodušší mu dát Mikrotik krabičku (nebo cokoliv podobného) za pár set korun, která bude skrze síť ISP dělat nějaký tunel IPv6-over-IPv4 a na bráně ISP to bude připojeno na naticní IPv6 konektivitu. V podstatě to může být na bázi 6to4 s tím, že gateway bude přímo v síti ISP.
zajimave, ja prave vidim problem u domacich pocitacu. pristup na server v ipv4 se da udelat nakym tim natem. treba ty opuz mechanizmy na prochazeni skrz nat by usetrilo programatorum spousty prace (prenos souboru v jabberu by fungovalo hned, usetril bych cas s radama jak nainstalovat treba to hamachi, mohl bych z mobilu ovladat televizi bez zapinani wifi …).
Fungoval by ten přenos soborů přes jabber ve firemní síti sice s veřejnou IPv4 nebo dokonce s IPv6, ale s firewallem, co blokuje všechno příchozí a odchozí povoluje jen porty 80 a 443? To samé ve škole na něčem jako Eduroam? Buďte si jist, že takových sítí je dost, a důvodem pro firewall není nedostatek veřejných IP a NAT, ale bezpečnostní politika.
No, pokud tam nebudou ty mechanismy, co jsou dnes, tak to nepojede. Nezpochybňuji, že IPv6 nebude přínos. Ale rozhodně nepůjde počítat s tím, že „přímý přenos souboru v jabberu/…“ bude fungovat vždy, když bude k dispozici internet. „internet“ v BFU slova smyslu, tj. „jde otevřít Seznam“. Skype v takovém případě vždy funguje. Dá se říct, že bohu žel funguje.
„Fungoval by ten přenos soborů přes jabber ve firemní síti sice s veřejnou IPv4 nebo dokonce s IPv6, ale s firewallem, co blokuje všechno příchozí a odchozí povoluje jen porty 80 a 443?“
S IPv6 by se dalo přes firewall snadněji prorazit do Internetu, protože si můžete přidělit veřejnou IP pro oba konce tunelu a nemusíte se mrcasit s NATováním a směrováním do domácí sítě (jak už jsem psal, nedej bože, pokud domácí i firemní síť používají privátní IP ze stejného rozsahu).
„Buďte si jist, že takových sítí je dost, a důvodem pro firewall není nedostatek veřejných IP a NAT, ale bezpečnostní politika.“
Pozn.: kdybych se sám nezabýval obcházením různých firewallů a jiných zabezpečovacích zařízení, tak bych napsal, že nemáte co obcházet bezpečnostní politiku a vyhazuje/odpojuje se za to ;-).
Pozn.: kdybych se sám nezabýval obcházením různých firewallů a jiných zabezpečovacích zařízení, tak bych napsal, že nemáte co obcházet bezpečnostní politiku a vyhazuje/odpojuje se za to ;-).
No tak v tom případě asi víte, že jsou sítě, kde obcházení té „bezpečnostní politiky“ naprosto nikomu nevadí, ale zároveň není šance někoho přesvědčit, ať tu politiku přizpůsobí podle mojich představ.
Třeba takový Eduroam nebo sítě na VŠ kolejích je typický příklad. Tam jde o to nepovolit např. aktivní torrent. Protože oficiálně jde o čistě akadamickou síť, která by se měla používat k výuce/vzdělávání/výzkumu, takže různé reporty od IFPI a podobných se berou docela vážně. Ale když si někdo udělá openvpn/ssh tunel nebo pustí Skype, tak to vůbec nikomu a ničemu nevadí.
No, jestli nemáte v síti nativní IPv6, tak všechny Visty a Windows7 mají snahu automaticky aktivovat Terredo tunely a veškerou bezpečnostní politiku sítě vám obejdou (s nevalným výkonem). To dnes ve firemních sítích začíná být na pováženou. Ale IPv6 musíte mít zprovozněnou reálně, jinak lidem už některé věci nebudou rozumně fungovat (AAAA záznam má přednost!). Za to ale uživatele nemůžete odpojovat, to je chyba správce sítě, že neposkytne korektní IPv6 konektivitu včetně pravidel firewallu.
O konci IPv4 se mluví 10 let – a teď, když je opravdu na dohled, bude někdo tvrdit, že ještě dalších 10–15 let? Problém už nastal, je na čase ho řešit a ne čekat dalších X let, až z toho bude malér. Ano, pro ISP je ještě čas delší, než ten rok – ale to znamená, že je potřeba začít něco dělat a ne čekat. Zákazníci zatím IPv6 nevyžadují (nebo si to řeší zatím nějakým tunelem). Až to budou chtít, bude už pozdě začínat.
Vazne? A proc? Predstavte si, jak treba spravcujete sit, nastavite si firewall a najednou vam tam nekdo zanese stroj s Teredem, ktery ma verejnou ip, zcela mimo vasi kontrolu, chranenou jenom firewallem Widli nebo treba ZoneAlarmem. Je to, jako schodit za valky parasutraky nepriteli do tyla. Treba spravci siti s vysokym stupnem zabezpeceni nebo spis siti, ktere by takove zabezpeceni mit mely, jako armady, vyzvedne sluzby, banky… z toho musi byt na vetvi.
V pouziti IPv6 u koncovych zakazniku, tak jak popisujete, vidim obrovske naroky na zabezpeceni, firewally. Neverim tomu, ze se z kazdeho stane guru na nastaveni krabicky co se na ni prasi u televize a vypada nevzhledne sama o sobe. Lze to resit tim, ze se z venku vse zakaze, ale pak se asi nepripojite k televizi mobilem, ze? Pokud to povolite, tak hrozi riziko, ze se podivam do Vasi lednice a oznacim k dezintegraci vcera koupeny jogurt s mesicni dobou trvanlivosti. A to nastve.
Existoval tusim botnet, ktery na nich jel. Samozrejme, napadal je pres defaultni heslo, ktere spousta lidi nezmeni. Jsou taci, kteri ani netusi, ze v te krabicce je WiFi a ze neni zabezpeceno, natoz pak detail, jako je heslo. A osobne jsem se pokousel zmenit heslo na nejakem pitomem ADSL modemu a at jsem hledal, jak jsem hledal, nenasel jsem, kde by se to dalo udelat. Skoncil jsem tim, ze jsem alespon zakazal pristup z Internetu nebo co jsem s tim provedl. Cili tech defaultnich ci prazdnych hesel po svete je vice, nez by se zdalo.
jj,shodan pomuze ;]
http://www.shodanhq.com/?q=%22default%20password%22
Problem IPv4 adres uz davno nastal, 99% webu napr nemuze fungovat na https, protoze na to potrebuje web svoji vlastni IP, jenze drtiva vetsina webu bezi na sdilene IP adrese. Kdyby kazdy hosting mel pridelovat k hostovanemu webu i IPcko, tak jich potrebuje 1000× vic.
A IPv6 tunel = 1/2 funcionality v trapu. Chtelo by to si trochu nacist co vsechno IPv6 umi, pokud je nativni.
Http ma virtualhosty, klient posle hlavicku s nazvem webu kterej chce a server mu vrati spravnou stranku. Proto neni problem mit na jedny IP adrese libovolny mnozstvi ruznych webu.
Ale u https se prvne domlouva SSL, ktery nic takovyho nema(*), takze na jedny IP muze byt pouze jeden certifikat (pokud pouzijeme pouze standardni https port, coz vetsinou musime, protoze uzivatel zadny nestandardni manualne zadavat nebude). Virtualhosty to sice taky zvlada, ale jen omezene. Bud pomoci wildcard certifikatu pro libovolnou subdomenu, nebo je mozny mit i jeden spolecnej certifikat pro vic domen. Ale pro nejakej masivni webhosting je to nepouzitelny, protoze by se musel certifikat menit s kazdou novou pridanou nebo odebranou domenou.
(*) Nove existuje SNI, ktery to resi, ale s podporou to zatim neni moc zhavy.
Čili nejde o nepodporu HTTPS, ale o podporu vlastních certifikátů. Otázkou je, jak je to žhavé. Pro hosting s možností https je mi to celkem jedno, chci https, ať má hosting validní certifikát. Pokud mám nějakou velkou instituci, banku, portál, tak se mašině s vlastní IP nevyhnu, ale kolik takových bude?
Kdyz uz budu na neco chtit https, tak bych to rad mel na svy domene s vlastnim certifikatem. Po technicky strance asi neni problem nejaky sdileny ssl, kde budu mit k http://mojedomena.tld k dispozici treba https://mojedomena.hosting.tld (s certifikatem pro *.hosting.tld). Ale co uzivatel, bude se citit bezpecne, kdyz bude sverovat svoje udaje z jeho pohledu uplne cizimu serveru? Ono mu to v realu bude nejspis uplne ukradeny, ale predpokladejme nejakyho uvedomelyho. :) Kdyz si takhle zvykne, ze https je bezne na uplne jiny domene, tak az ho to jednou presmeruje na https://mojedomena.zlej-hacker.tld, tak mu ani nedojde, ze je neco blbe.
Ale jinak asi souhlas, vetsina webu se bez https obejde uplne, takze zas tak akutni problem to neni.
Zase takovy problem to neni, lze to resit nekolika zpusoby, napriklad pres Rewrite, proxypass nebo primo v apachi je implementovano SNI http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
To bych tak netvrdil, internet explorer je zdarma a nova verze je dostupna v aktualizicich od microsoftu take zdarma, ale pravda, to by lidi nesmeli mit kradeny OS kde nemuzou aktulizovat protoze by se jim zablokoval, ale to neni nase chyba, ale jejich, ve Windows 7 a Windows vista je novejsi verze s podporou SNI dokonce v zakladu, jedinej problem je s Windows XP, kde v ramci aktualizace je take nove verze, opravdu to, ze lidi pouzivaji kradeny software a neinstaluji si aktualizace neni nas problem, ale jejich a rozhodne tim padem nemaji pravdu, ze chyba neni u nich.
Tak na kradený software bych to převážně nesváděl. Ta kradená windows totiž oproti OEM jdou bez jakékoliv aktivace vč. všech aktualizací a s platným WGA ověřením. Pokud máte na Win XP Volume License Key, tak se aktivace nekoná. Jen je problém, že pár těch klíčů už MS zablokoval, protože se extrémně rozšířily.
Pokud provozujete hosting nebo hostované web aplikace, a máte statistiky že netriviální množství klientů používá IE6, nemůžete jim diktovat, že mají aktializovat.
Je pravda, že se situace už zlepšuje, ale ti co mají IE6 z nějakého důvodu nemohou použít nic jiného. Třeba to tak mají v práci, kde to neovlivní. A kradený SW v tom není, IE8 lze nainstalovat i plně offline bez jakéhokoliv ověřování legálnosti SW.