Názory k článku Bezpečné IPv6: trable s hlavičkami
-
j (neregistrovaný)
Ze bys to trebas navrhnul ty? Mozna se za 100let dockame prvni pouzitelne verze.
jj, uzasny IPv4, sice toho neumi ani 1/100, a spousta veci se na 4ce resi daleko horsima postupama (trebas ipsec po 4ce je posusnani, s N ruznejma implementacema). A pro pripadnej router po ceste kterej s tim chce nejak nakladat to znamena nejen projit nejake hlavicky (ktere u 4ky vubec nejsou), ale zkoumat celej paket a znat konkretni implementaci.
-
ondro (neregistrovaný)
Ja som rovnakeho nazoru ako xurfa aje velka skoda, ze sa to aj neurobilo.
Takto nas o par rokov caka novy protokol. Podla mna ma IPv6 zasadne chyby/nedostatky, ktore maju rozne dovody(doba jeho vzniku, meniace sa poziadavky,...). To, ze neujednotili strukturu rozsirenej hlavicky povazujem za poriadny "pruser". Tipujem, ze drviva vecsina HW podporujuca IPv6 nema ich podporu plne implementovanu a nikdy ani nebude mat. O SOHO krabickach ani nehovorim.
Vyborny serial, ktory podla mna velmi zrozumitelne popisuje IPv6.
-
BobTheBuilderStříbrný podporovatelIPv6 v těch 80% zařízení nejspíš už je - všechny počítače se systémy věkově odpovídajícími Windows Vista, to máme tak asi 7 let. Mezi tím prošly aktualizacemi a IPv6 tam skutečně funguje.
IPv6 už je i na poslední míli - od srpna na ADSL u T-mobile, O2 zapnulo podporu už dřív. A skutečně to funguje - stačí v modemu zaškrtnout IPv6 a je to.
Takže tudy cesta nevede. -
Petr M (neregistrovaný)
Jenomže to ještě není u lokálních WiFi ISP. Dají zákazníkovi tu nejlevnější dostupnou krabičku na střechu, děravý firmware z roku 123, správu povolí jenom z WAN portu, 5x NAT jako obrana sítě a hotovo... Když krabička chcípne, dá se nová, za podporu IPv6 na koncovým zařízení neutrácí, protože jejich síť to nepodporuje. A proč zapínat podporu v síti, když to koncový zařízení nepropustí?
IPv6 je po ně out. Místo toho řeší, jak logovat pro stát, kdo kdy lezl z jaké IP adresy a kde ty data dlouhodobě skladovat... Přitom by stačilo přidělit fixní podrozsah IPv6 a pustit ho ven transparentně.
IPv7 by při výměně toho zastaralýho bince mohlo být aplikováno rovnou...
-
M. (neregistrovaný)
Data retention nemá s privacy extension problém. Pokud ISPík to bere rozumně, že dá koncáku jeho příděl aspoň /64 na jednu přípojku, tak ho akorát zajímá ten prefix /64, aby identifikoval koncovou připojku, když přijde požadavek na identifikaci. Co si nageneruje koncový zákazník do těch poslendích 64-bitů je mu jedno.
Privacy extension má jiný učel, než zabránit identifikaci z jaké přípojky to přichází.Něco jiného je v případě, že ISPík v paneláku dá switch pro X zákazníků, do něj jsou přímo připojeni koncové komply zákazníků jako jeden L2segment, je použita jen izolace portů, aby se zákazníci mezi sebou neviděli a na celý barák dá jednu /64 síť. Pak ano, pak má problém poznat, který z koncových zákazníků to byl, pokud bude mít aktivní PE. Pak dokáže jen ukázat na ten panelák, že někdo tam...
-
M. (neregistrovaný)
Tenhle problém WiFi ISP segmentu je dosti individuální. Jsou sítě, kde dostanete IPv6 automaticky, kde Vám to dají na požádání a i sítě, kde o tom nechtějí slyšet.
Tohle není primárně problém IPv6 a pokud by se teď udělal nový, lepší, .... IPv7, tak bude opět stejná situace, než se to dostane do thoto wifi ISP mainstreamu.
A ty wifi ISP sítě vyrobené na technologii od Mikrotiku, tak obvykle s IPv6 problémy nemívají. Jiná věc je, zda "ISPík" so domluví i iPv6 od uplinku nebo ne a až na konci je ten koncový domácí router, kde u řady se ani nedává. -
Uplink není velký problém. Větší problém je představa, že běžný malý ISP jen tak bude tratit peníze a čas na službu, o kterou zákazníci nemají zájem. Většina zákazníků nedostane ani veřejnou IPv4. V tomto případě problém skutečně není v IPv6, ale ale v absenci motivace dodávat víc než jen standardní službu, přičemž názor na to, co je standardní službou, se značně různí.
-
M. (neregistrovaný)
To, že nedávají IPv4 zákazníkům je spíše od toho, že většina menších wifi ISP skoro žádné IPv4 adresy nemají. Pokud od svého uplinku obdrží /24 veřejek, tak jsou rádi a dávají jen za peníz typu stovka/měsíc a výše. Řada "ISP" má max blok /28 a je ráda, že je ráda.
Co se IPv6 adres týče, tak ano, u části je to z toho, že to zákazníci nechtějí, tak se nesnaží, část to řeší jako radost, tak to jde. U části ISPíku, kteří by se moc nebránili, je to pak dáno hlavně tím, že pro své Mikrotik sítě používají řadu hotových nástrojů na správu a konfiguraci celé sítě a dokud tyto nástroje nebudou obsahovat i podporu pro management IPv6, tak to dělat nebudou, protože je to ruční práce navíc.
Těch důvodů je řada.
Co je standardní služba se snaží vyjevit ČTU ve svém doporučení. A bude se nám to snažit vnutit i EU. -
j (neregistrovaný)
Oblibene pindy. Zakaznik nema zadny zajem o IPv4 ani o http ani o dalsi kraviny. Zakaznik chce fungujici internet. A prakticky vsichni uzivatele 150x natovanych pripojek trvale a neustale narazeji na to, ze jim neco nefunguje, proste proto, ze zadny internet nemaji.
Xkrat sem narazil treba na to, ze nekdo chtel videt nejaky fotky, tak sem se lognul domu a fotky mu ukazal. Cumel na to jako pero a chtel to taky. Smolik ... nema internet, nefunguje. Nekteri si kvuli tomu i zmenili ISP. Protoze jim doslo, ze tohle neni jedina vec ktera jim kvuli tomu nefunguje.
-
xuxuk (neregistrovaný)
Všechny svoje sítě mám za NATem a kvůli bezpečnosti blokuji IPv6, ale nemám naprosto problém se do těch sítí zvenčí připojit. Dokonce si můžu vybrat, jestli to chci přes ssh nebo OpenVPN. A sítě jsou mezi sebou propojeny přes OpenVPN na úrovni L2. Tak přestan kdákat nesmysly...
-
Karel (neregistrovaný)
Ale vždyť přesně to se stalo. Takhle vznikl IPv6. Byl navržen čistým způsobem, relativně malým týmem.
Bohužel s některými rozhodnutími je problém se ztotožnit (viz předpoklad, že se po cestě nemá nic filtrovat) a na řadu problémů si prostě pánové nevzpomněli včas. V zásadě tedy IPv6 byl čistě navržený nový protokol. V čem si myslíte, že by to tentokrát dopadlo jinak?
-
Petr M (neregistrovaný)
Těžko říct, záleží, jak se ti lidi poučí z chyb.
Struktura adresy OK, hlavní hlavička OK, je potřeba sjednotit hlavičky a zapracovat na tom, co podělali. Jít RFC za RFC, standardizovat formáty, předělat číslování (třeba horní dva bity v typu hlavičky hodi na rozlišení, jestli se hlavička týká routonání, šifrování,... to by těm síťovým prvkům hodně pomohlo v orientaci) atd.
-
dustin (neregistrovaný)
Po bitvě je každý generál, ale stejně mi přijde, že se při návrhu těch hlaviček tvůrci zrovna moc nezamysleli. Sice to bylo před spoustou let, ale i v té době už byly praktické zkušenosti s IPv4, hardwarovými implementacemi sítových prvků atd. Na tak důležitý formát mi to přijde až neuvěřitelně zfušované a neprofesionální.
-
Ray (neregistrovaný)
To není po bitvě, těch věcí je v IPV6 toliko, že se nejedná o žádné ustřelení, ale jen důsledek kočkopsa a to, že to primarně dělali lidé od stolu, bez vazby na realitu. Pokud s člověk nepouží z dřívějších chyb, tak se historie jen opakuje. A kdokoliv si na IPV6 sáhl, tak tyhle věcí vnímá od počátku, takže nevěřím, že když se dělali testing stacky, že by se na toto nepřišlo...
Takže žádné po bitvě, ale špatně od počátků, přesně jak píšeš.... Stačí se podívat, skoro pod každým oslaným článkem o IPV6 (a že jich tady je, propaganda :) se strhla podobná diskuze. Obvykle ho oslavujou lidi bez limitů času a peněz, co si koupí zařízení, kde to už za ně někdo vyřešil a může jim to být šumák. A pak si jen poměřujou pindíky, kdo přenese víc. Ale realita je i o něčem jiném, než o tom, kdo má víc tlustej kabel... Představa podobných lidí je to, že každé zařízení má neomezené zdroje, neomezený výkon a tudíž evidentní chyby v návrhu jsem vlastne v pořádku a co naplat, že každá implementace je jima zatížena, návrh je přece krásný a to tu jde ne ? (o:
R.
-
iwk (neregistrovaný)
Ono hlavne ipv6 sa snazi vyriesit vsetky problemy, ktore realne (az tak) nikomu nevadili (okrem nedostatku ip adries), pricom prinieslo viac problemov ako nakoniec vyriesilo.
Zrusilo zauzivane postupy a riesenia (napr. dhcp, nat) ale nakoniec sa aj tak implementuje a mame dva standardy (ND a dhcpv6), ktore riesia to iste, lebo sa zistilo, ze niekde nieco chyba.
Rovnako nat pre v6, nemal byt, nakoniec nejaky je/bude lebo ho vlastne treba a je niekedy uzitocny.
Vysledok je, ze nasadzovanie je zufale pomale, vo firemnom prostredi kto nemusi neriesi.Naozaj si myslim, ze sa malo spravit len neajke rozsirenie ipv4 na viacbajtove adresy, ktore by bolo spatne kompatibilne.
Vyhoda ipv4 bola jeho relativna jednoduchost. Na tu pri ipv4 nejak zabudli a mame tu molocha ktoreho nikto nechce. -
Honza (neregistrovaný)
No co dodat ... masakr :-)
Pánové autoři ...supr seriál... hltám to jak školák Harryho Pottera.Opakovat se z minulých diskuzí nemá cenu. většina se tu shoduje na tom, že se vývoj IPv6 vůbec nepoučuje z chyb, které má IPv4. Ovšem takový zmatek a za běhu řešené problémy s hlavičkami je opravdu "průser", který nemá obdoby.. Jak se k tomu mají postavit výrobci HW. Jeden rok se vydá HW s velkou známkou na obalu "IPv6 ready" a za rok se začíná od znovu. OK. Pro zvednutí ekonomické situace výrobce to má pozitiva... lidé si musí koupit zařízení nové, ale reálné nasazení IPv6 je hooodne vzdálená budoucnost.
Čím dál více autoři ukazují na fakt, že si někdo zase uvědomil už několikrát řešený problém s docházejícími IPv4 adresami a rychle se začalo vymýšlet co s tím. "Privátní adresy a NAT už tu máme... pojdmě IPv4 předělat" a tohle je výsledek. Bohužel se to chytlo za špatný konec. Opravdu se na to měl zaměřit pouze jeden tým lidí a mělo se jasně rozhodnout.. zda se protokol předělá.. nebo se navrhne zcela nový, který nebude trpět problémy předchůdce. Bohužel IPv6 je směska obojího.
Enterprise řešení, bankovní systémy a pod. s takovým polo řešením a nemožností přesně kontrolovat IP pakety snad nepřejdou na IPv6 nikdy. Začíná to být zajímavé a a těším se na další díl.
-
Nechápu tu kritiku, že se někdo zaměřil na řešení problémů s IPv4. Podle mě je hlavní problém, že ti, co se zaměřit měli, se na to normálně vysrali a tudíž se sami vyhnuli možnosti vývoj korigovat dle svých znalostí a zkušeností. Aneb kdo nic nedělá, nic nezkazí.
Problémy s IPv6 podle mě nejsou o přebytku lidí v jeho vývoji, ale o tom, že si po *mnoha* letech někdo vzpomněl, že má připomínky. Teď to vytrestá právě ty, kteří se na to měli už dávno zaměřit.
-
SB (neregistrovaný)
Pan Podermański má asi recht (i když by to chtělo i názor někoho dalšího) - nejednotný a nevhodný formát rozšířených hlaviček je chybou a osobně bych šel cestou jejich zastarávání a nahrazování (tj. lepší problémy na začátku než špatně napořád), a to z důvodu, že to v nejhorším případě stejně dopadne jako s IPv4, které na ně úplně sere, neboli horší už to nebude. Zařízení, které je neznají, by je přeskakovaly, byly by nepovinné, časem by byly zapracovány do většiny zařízení, případně pro využití jejich funkcionality by si zákazník musel připlatit za kvalitní, aktuální zařízení.
Takže za mě hlavičky opravit. -
"Původní autoři IPv6 totiž veškerá mezilehlá zařízení (middlebox) považují za čisté zlo, které by se nemělo v síti vůbec vyskytovat."
Správně.
"Požadavky se však od roku 1998 značně změnily a prakticky ladění čtenáři nám jistě dají za pravdu, že v dnešní době, kdy DoS či DDoS útoky jsou takřka na denním pořádku, je možnost filtrace, například podle portů nebo příznaků v TCP, naprosto nezbytnou provozní nutností."
Nedají a není. Internet, nebo spíš arpanet byl navržen tak, aby přežil atomový útok a vyrovnal se z výpadkem hromady uzlů. Decentralizovaná síť pro peer-peer komunikaci.
IPv4 a nedostatek adres toto zprznil na několik málo centralizovaných uzlů, ke kterým se připojují klienti (server-client). Klienti typicky za maškarádou, takže další klacky pod nohy peer-peer.
IPv6 měla přinést návrat k peer-peer a odstranění centralizovaných uzlů. Bohužel, nástup byl tak pomalý, že toto už je v podstatě utopie.
Takže, kdy už máme několik málo centralizovaných uzlů, kam asi tak bude směřovat útok? Na uzel v Horní Dolní asi ne, že.
Změna protokolu tomu a obrana proti DDOS útokům vůbec ničemu nepomůže a nezabrání. Jedinou obranou je původní myšlenka arpanetu. Pokud bude těžiště na peer-peer, tak to, že někdo vybombarduje 1/4 sítě (ať již fyzicky, či pomocí nějakého elektronického útoku) by ostatní účastníky nemělo ovlivnit.
Takže problém vůbec není v protokolu, problém je ve zprzněné síti jako takové.
-
Ivan (neregistrovaný)
Tohle neni dano IPv4 a nedostatkem IP adres. Tohle je obchodni politika nadnarodnich korporaci. Dneska uz je technicky mozne aby velky ISP mel pouze dva paterni routery a zbytek provozu (ve vsech zemich) jel na L2. Vsecha AS-ka lokalnich provideru, ktere casem koupil, by pak mohl zrusit. Korporace porad hledaji nejake "synergie" a pokud nekdo spocita, ze takove reseni je nejlevnejsi na investice a na spravu, tak to tak jednou dopadne.
