Vlákno názorů k článku Děravá IPv6, snadné nasazení DNSSEC a Turris (LinuxAlt 2013) od Pavel Šimerda - Pan Matěj Grégr odvedl (zřejmě s dalšími) ve...

Pomohlo by vám podívat se na historii obou protokolů. Řada známých problémů IPv4 nebyla známa v době, kdy IPv6 vznikalo. Boom "internetových útoků" přišel na konci devadesátých let. A to už bylo IPv6 hotové. Nenechte se mást tím, že se IPv6 teprve teď prosazuje, ve skutečnosti už příští rok bude mít volební právo.

IPv6 tyhle problémy samozřejmě řeší, má IPSec a SEND, problém je spíš s nasazováním a využíváním toho řešení, které je ještě o několik řádů odlišnější od současných sítí s IPv4 a potřebovalo by to dalších nejméně pět až deset let vývoje, než to bude plug&play a dostatečně podporované jako třeba SLAAC (např. distribuci veřejných klíčů pro SEND přes WiFi handshake). Nakonec třeba takovou primitivní a naprosto zásadní věc jako RDNSS nepodporují šest let po příslušném RFC ani Windows ani Android. A protože IPv6 je už opravdu nutné začít nasazovat, tak se tohle při nasazování celkem opomíjí a kritici IPv6 to hned používají pro FUD — což je skutečně FUD, protože IPv4 má ty samé problémy, ale na rozdíl od IPv6 ani nemá řešení.

Většina z těch problémů se týká nezabezpečených nižších vrstev. Jak by to podle vás mělo IP řešit?

Samozřejmě, implementovat IPv6 v ASICu je výrazně složitější než v Céčku, stačí se podívat, jak dlouho to trvalo, než bylo v ASICu implementované směrování pro IPv4 :-)

Trvalo to asi deset let soustavného vývoje na straně překladačů i na straně Stroustrupa a ISO WG. Tedy asi tak stejně dlouho, jako se vyvíjelo IPv6 od prvního RFC po stabilní implementace (vývoj těch implementací netrval tak dlouho proto, že by bylo IPv6 příliš složité, ale protože IPv6 se během té doby zkoušelo, měnilo a upravovalo). A taky se podívejte na C++ dnes. Nebo byste raději, kdybychom zůstali u Pascalu, Basicu a K&R C?

Jinak jak jsem už poznamenal, i IPv4 to trvalo deset let, než DARPA uznala, že je dostatečně stabilní pro nasazení. A pak jej protlačila silou.

> IPv6 šlo udělat o poznání lépe, dokonce zásadně lépe.

Mohl bys zkusit popsat nějaké věci, co ti na IPv6 vadí, a jak bys je udělal líp?

Četl jsem tvoje posty a myslím, že bych se konstruktivní debaty nedočkal, je tedy úplně zbytečné se do takové debaty vůbec pouštět.

Četl jsem tvoje posty a myslím, že bych se konstruktivní debaty nedočkal, je tedy úplně zbytečné se do takové debaty vůbec pouštět.

Jsem rád, že používej moje názory a věty, jsou o dost lepší, než ty tvoje ;-)

Ano, většina ostrých kritiků IPv6 by radši současný bordel s IPv4 zachovala a jenom přidala delší adresy. To, že spousta věcí se musí řešit hacky a workaroundy ve stylu „ono to snad bude fungovat“ (uznávám, že většinou to funguje, ale občas taky ne a pak jste dost v loji, takže radši bych to tam neměl), jim jaksi nedochází, oni si svoje sítě jednou složitě nakonfigurovali a nechce se jim to měnit. Být tito kritici v DARPA, zůstali bychom u NCP.

Píšeš blbosti, většina kritiků IPv6 chápe, že změna je nevyhnutelná, jen se jim nelíbí nová implementace.

Zde bych si dovolil nesouhlasit. Pokud se podivate na standartizacni proces, tak jsou zde momenty, kde s onim "plus minus" nelze souhlasit. Nekolik pripadu:

- Az do roku roku 2003 (standartizace DHCPv6 - rfc3315) nebyla v IPv6 moznost predat klientum adresy rekurzivnich name serveru. (Pomineme-li microsoft hack se site local adresama).

- I pres obrovskou poptavku ze strany praktiku protokol DHCPv6 az do roku 2013 (rfc6939) nemel moznost identifikovat klienty podle MAC adresy (coz dost vadi v dualstackovem prostredi).

- Obdobny pripad je s default route v DHCPv6 (to neni dodnes).

- Misto toho je DHCPv6 pevne svazano se SLAAC prostrednictvim rade lidi neintuitivnich flagu (Managed, Other, Autonomous), byt rada spravcu o to moc nestoji.

Je to jen nekolik pripadu, ktere myslim sly resit mnohem lepe. Pokud tyto veci vysvetluji nekomu sestkou dosud nepolibenemu, tak vesmes nevericne krouti hlavou, ze takto to prece nekdo nemohl vymyslet. Bohuzel vymyslel.

Je mi lito, ale za stav ve kterem je IPv6 dnes si muze komunita sama. Misto toho aby se snazila reagovat nejakou sebereflexi, tak IPv6 posouva do roviny nedotknutelne posvatne kravy, kde se je jakakoliv kritika netoleruje a prislusne osoby jsou oznacovany za kacire, pitomce nebo ty, co to necahpou (=blbce).

Vysledek je velice jednoduchy. Rada erudovanych lidi postupne komunitu opousti, protoze si dokazou najit jinou zabavu a zustavaji pouze nekriticti zastanci, coz v konecnem dusledku problem jen prohlubuje.

V praxi se cim dal tim vic setkavam s tim, ze lide kteri byli zapaleni do IPv6 a byli ochotni teto problematice venovat nemaly cas a invenci jsou na zaklade vlastnich zkusenosti a stavem veci znacne flustrovani. Nic horsiho se 6 nemohlo stat - zklamana duvera se da vratit jen obtizne. Osobne se domnivam, ze IPv6 svou sanci promarnila a my vsichni se muzeme pripravit na zivot za NATy. A moment - uz vlastne za nima davno jsme, tak nic.

Na druhou stranu, pokud nahodou 6 skonci na smetisti dejin, tak to nebude ani prvni ani posledni protokol. To smetiste je velke a jeden protokol navic se tam ztrati jako nic - tedy zadne drama se nedeje. Lidstvo bude nejspis fungovat dal :-)

Ted jsem v vzpomnel. Pred 15ti lety, kdyz jsem byl jeste mlady ucho, jsem dostal radu od jedno Unix guru:

"Nepouzivej technologii, ktera ma v nazvu cislici".

Zrovna s tim router discovery muze mit spouta lidi "mentalni" problem. Ve spouste firem plati dogmaticky prirucky o bezpecnosti. Nikdo nesmi mit pristup na vsechny prvky a sitari se moc nebavi se spravci serveru - a naopak. A rozhodne si navzajem nelezou na boxy.

Doted si admini spravovali "svoje" stanice na "svym" DHCP serveru. A to ted nemuzou. Nova technologie vyzaduje i nove procesy a i v tom muze byt problem.

"DHCP server je standardní součást síťové infrastruktury. Osobně jsem moc neviděl, že by síťaři přenechávali DHCP správcům serverů. V tom konkrétně nevidím mezi IPv4 a IPv6 rozdíl."

To jsem si taky myslel. Pak mi ale bylo vysvetleno, ze jediny spravny DHCP (DNS) server je ten, ktery je soucasti Active Directory. Takhle to bohuzel funguje v korporatnim prostredi - o lokalni sit se staraji Windows admini.

U těch, kteří mají s RA mentální problém, by mě zajímalo, kde vidí bezpečnostní rozdíl mezi podvrženým RA a falešným DHCP serverem? IPv6 má pořád DHCP, jen na rozdíl od IPv4 ho aktivně nehledá klient, ale ohlašuje router.

rfc4862:

Even if a link has no routers, the DHCPv6 service to obtain addresses
may still be available, and hosts may want to use the service. From
the perspective of autoconfiguration, a link has no routers if no
Router Advertisements are received after having sent a small number
of Router Solicitations as described in [RFC4861].

M ci O flag v oznameni smerovaci pouze cely proces urychli.

Rozdil mezi falesnym DHCP serverem a falesnym smerovacem je ten, ze vsechna zarizeni v prislusne podsiti na zaklade falesneho smerovace zmeni/upravi svou konfiguraci behem milisekund. U falesneho DHCP musi byt utok veden sofistikovaneji. Renew se navid u DHCP resi primo (unicastem) se serverem, ktery adresu pridelil, tedy do komunikace je zase o neco slozitejsi zasahnout. Rozdil je tedy v narocnosti provedeni utoku.

Tenhle priklad jsem uvadel jako procesni problem (ne jako bezpecnostni). Proste tymy, ktery spolu doted ani nemluvily najednou musi spolupracovat. A navic k tomu neni ani klikatko do AD - takze je to vlastne cely naprd.

Debaty okolo IPv6 se vice-mene toci okolo objemu transformacnich nakladu a privetivosti pro implementatory.

PS: falesny DHCP server da zablokovat jedinym "cudlikem".

Nemusí, tedy ne nijak víc, než doteď:

V IPv4: síťaři nastavili router, řekli adminům jeho IP adresu a ty to zanesli do DHCP.

V IPv6: síťaři nastavili router, řekni adminům přidělenou IP adresu pro DHCP server a ti ji použili.

Snadno zablokovat jde ale falešný RA taky. Anebo pomocí SEND jde rovnou zablokovat možnost, aby ho někdo bral vážně.

O nativních implementacích nevím, ale znám tohle. V Linuxu to používá ip6tables, takže podvržené pakety NetworkManager neuvidí.

Pokud jde o stanice, tak implementaci je hned několik..

Dovolim si na zaklade vlastnich zkusenosti tvrdit, ze v 99% pripadu plati, ze jak IPv4 tak IPv6 lze vpohode napadnout, protoze admini stejne nepouzivaji ani existujici a dostupne prostredky. Dost casto je to ovsem dano tim, ze se ve fimach chce, aby mohl kdokoli a kdykoli pripojit cokoli a kamkoli. Bezpecnost je proste druhorada.

BTW: Falesny RAcko v siti se (prevazne) pozna narozdil od DHCPka velmi rychle. Ve vetsine pripadu totiz nejde o zadny sofistikovany utok na sit, ale o neci blbe nakonfigurovane zarizeni (v obou pripadech).

To je ale přesně to, co píšu ;-)

Reagovat jsem moc nechtěl, protože diskuze se vede spíše v ideologickém duchu, nicméně mi to nedá, protože veřejná dezinformace je pro mě už docela silné tvrzení. Na základě čeho? Co z dané přednášky technicky rozporujete? Zatím mi to přišlo, že jste napadal formu přednášky, proti čemuž brojit nehodlám - je to věc názoru, někomu se líbí, někomu se nelíbí, nelze se zavděčit všem.

Co se týče ostatních připomínek tak ty lze velice obtížně řešit v diskuzi na Internetu, kde se ztrácí technické detaily. Navíc spousta věcí ani vyřešit nelze, protože na to prostě existují 2 rozdílné názory, nicméně pár připomínek.

1) Argumentujete neporovnáním mezi protokoly, avšak na přednášce byly protokoly porovnány mezi sebou - útoky na IPv4 a techniky obrany vůči těmto útokům byly zmíněné na začátku přednášky - ostatně je to popsáno i v článku. Je zajímavé, že u IPv4 útoky jako CAM flood, ARP poisoning, IPv4 spoofing považujeme za vlastnost protokolu - tedy problematický návrh IPv4, u IPv6 se vůči tomuto tvrzení bráníme a poukazujeme na špatnou implementaci. Přitom v základních návrzích od IAB byly požadováno, aby tyto chyby protokolu IPv4 byly v IPv6 odstraněny. Proto tedy netuším, proč se bráníme tomu, nazývat to chybou protokolu IPv6 a nazýváme to chybou implementace.
Resp. IPv4 spoofing považujete za chybu protokolu IPv4 (ARP) že to umožňuje, nebo chybu implementace na přepínači? Obecně to považujeme za chybu protokolu a snažíme se tomuto zabránit třeba DHCP snoopingem. V IPv6 toto ale díky návrhu protokolu udělat jednoduše prostě nelze - zde tomu brání například (a nejenom) skládání extension headers, které znemožňují rozumné filtrování. Věci co jsou špatně je například benevolentní řetězení hlaviček. Proč je povoleno řetězit stejný typ hlaviček, i když hlavičky jsou většinou TLV, takže případně se dá nafouknout a dodefinovat options přímo v dané hlavičce? Ne že by rozšířené hlavičky byly apriori špatné, nicméně proč jsou povolené u link local adres? K čemu u link local je nutná podpora routing header, když ji vlastně ani použít nemůžu - díky vlastnostní link local adres? U IPv4 tento problém není, tam jsem schopen vcelku jednoduše skočit vždy na další protokol, tedy First Hop security je funkční. O nápravu návrhu se snažilo několik lidí, vždy je po sáhodlouhé diskuzi návrh zamítnut. Pokud to vezmu na příkladu - vy jste reportoval race condition u RFC 6106 před rokem, výsledek není žádný - žádná errata, žádné vydání RFCbis. Jen pár zpráv v mailing listu. Tuto race condition považujete - podle mailu, za špatný návrh protokolu, nicméně tato vlastnost lze ošetřit v rámci implementace. Není to ale stejný případ jako u výše zmiňovaných útoků? Protokol umožňuje útok, ale útoku lze zabránit implementací (IPv4 spoofing + DHCP snooping). U IPv6 je to to samé + protokol navíc znemožňuje rozumnou implementaci na čipu. Jakto že je to najednou vnímáno jako špatná implementace? Vkládání RA zpráv do směrovací tabulky u koncových uzlů je dodržování RFC. Implementace se pomocí rate limiting brání vůči RA flood, nicméně takto nejsou schopni zajistit vložení správného RA. Proč je toto najednou bráno jako chyba implementace, když rate limiting nemají (Windows) a ne chyba návrhu? Přitom vývojáři z Microsoftu zcela jasně řekli, že oni pouze dodržují RFC - proto zde nebyla a není extra snaha to opravit.

Add hurónské tvrzení: Pokud vím, tvrdil jsem, že jsem daný firewall netestoval, tedy nevím. Dále, díky tomu, že je to L7 zařízení by to odfiltrovat asi šlo ale záleží co z filtrace používají v HW, jelikož obecně je problém parsovat dynamické věci na čipu. Tvrzení, že by to určitě obejít šlo na základě naší (mojí) zkušenosti s implementacemi byla forma nadsázky. Navíc třeba pomocí Teredo věřím, že by to obejít šlo, protože jsem zatím neviděl firewall, který by dokázal dělat DPI nad UDP a hledat Teredo - a to jsem se na to ptal na nemálo vědeckých a technických konferencích. Pokud máte příklad zařízení, které si můžu dnes koupit a které to umožňuje tak dejte vědět.

Jak už jsem psal výše, tyto věci jsou věcí názorů a je přirozené, že někteří na to mají názor takový a jiní jiný. Nicméně říkat, že někdo záměrně dezinformuje a že je to balast už je spíše argumentace ad hominem, jelikož zatím jsem neviděl v diskuzi od vás žádné technické připomínky k obsahu prezentace, vždy pouze ideologické nebo vůči formě. Mimochodem pro další názory se klidně můžete stavit na fakultu, nemáte to z práce tak daleko.

Proto jsem psal o ostrých kriticích, protože ti většinou reagují slovy „SLAAC je špatné“ (bez znalosti, že ho nemusí používat, pokud jim vadí, a často vůbec bez nějakého povědomí, jak vlastně funguje), „ND/RA spoofing je zásadní problém“ (bez nějakém povědomí o SEND, často navíc vydávané za nový problém přinesený s IPv6) nebo „IPv6 je zbytečně složité“ (bez nějakého zdůvodnění, co konkrétně jim připadá zbytečně složité a proč podobnou vlastnost implementovanou často pomocí různých hacků v IPv4, pokud ji vůbec umožňuje, za složitou nepokládají) a podobně.

Samozřejmě je také spousta konstruktivních kritiků, kteří IPv6 používají dlouhodobě a reagují na reálné problémy, které se objevily třeba při provozu 6bone, a těch si vážím — také proto se ten protokol dost razantně vyvíjel ještě nějakých deset let po prvním RFC a dneska obsahuje spoustu věcí, které při původním vývoji nikoho ani nenapadly.

Není tak zcela pravda. SLAAC musím použít vždy. Nelze se mu vyhnout.

Pokud nastavíte v RA ManagedFlag nebo počítač nakonfigurujete ručně, SLAAC se nepoužije ;-)

Ještě bych dodal, že jedním z nastavení počítače může být „zeptej se DHCP serveru“ (jako je často nastaveno v IPv4 sítích), pak počítač posílá DHCPv6 Solicit na ff02::1:2 a funguje to totožně jako DHCPv4.

Ano, takto fungují třeba Windows, nicméně bez RA nedokážete klientovi sdělit adresu default gateway, protože tuto informaci DHCPv6 sdělit neumí. Klientovi je bez default gateway IPv6 adresa z DHCPv6 vcelku k ničemu, proto vždy DHCPv6 musí být provozováno dohromady s RA.

ff02::2

To uz je teda ale hodne drsne. Predpokladam, ze myslite ze by se tato adresa nastavila jako default:

Ok, teoreticky - ff02::2 je multicastova adresa. Plati tedy:

1. V Ethernet siti, kde neni zaply MLD snooping se budou vsechny odchozi pakety sirit jako broadcast - tedy vsem. To mi neprijde jako prilis efektivni forma prenosu.
2. V siti kde MLD snooping zaply je by se paket siril ke vsem smerovacum, vznikala by tedy duplikace (podle poctu smerovacu).
3. Nejsem si uplnejisty zda ve smerovaci tabulce muzete nastavit next hop pro default routu na multicastovou adresu.

Vy to mate tak nekde nakonfigurovane ci spon vyzkousne?

ff02::2 je multicast, proto pomocí Neightbor Discovery (nebo třeba pingu, když to nastavujete ručně) na tuto adresu dostanete unicast link-local adresu routeru (resp. všech routerů v síti) a zjištěnou adresu použijete stejně, jako když přijde Router Advertisment. Vyzkoušené to nemám, protože používám SLAAC, ani nevím, jestli tohle někdo implementoval, ale teď jsem si vyzkoušel, že routery odpovídají a uvádějí svoji link-local adresu.

Řešení, kterým to útočníkovi ještě více usnadníte, protože mu pak nic nezabrání se přihlásit do dané multicast skupiny a odposlouchávat celý uživatelský provoz na LAN. Tuto skupinu navíc nejste schopen filtrovat (zakázat) pro uživatele, protože byste zároveň zamezil zasílání RS a porušil byste tak standard. Navíc jak tuto informaci sdělíte klientovi? Pakety nemohou mít jako source multicast adresu. Jak tedy chcete sdělit klientovi (bez toho abyste ho staticky nakonfiguroval) aby používal ff02::2 jako default? Vaše argumenty jsou naprosto mimo současné standardy. Což není špatný způsob myšlení, protože standardy jsou od toho aby se vyvíjely, nicméně navrhovaný způsob přinese mnohem více problémů, než jich vyřeší - zahlcení klientů, pokud není MLD snooping, jak už zmínil Tomáš je asi nejpalčivější z nich.

Šlo o odpověď na to, jak najít router, který neposílá RA. Tak jsem psal, že routery lze vyhledat pomocí ff02::2, a to tak, že posláním ND nebo pingu na tuto adresu se dozvíte link-local adresu routeru, kterou již můžete použít jako default route (multicast samozřejmě není dobré používat jako routu). Tenhle způsob hledání routerů není běžný, ale je plně v souladu s existujícími RFC a bude fungovat (pokud tedy router naslouchá na dané multicast adrese, jak mu přikazuje RFC). Všechno tedy končí na tom, jestli tohle klient umí. Kdyby to někoho zajímalo, tak tady jsem splácl dost jednoduchou implementaci pro /etc/network/in­terfaces:

up ip route add default via "$(ping6 -nc 1 "ff02::2%$IFACE" | awk '$3 == "from" { sub(/:$/, "", $4); print $4 }')" dev "$IFACE"

Samozřejmě filtrování multicastu je složitější než filtrování RA.

To ze neco odpovida na ff02::2 automaticky neimplikuje, ze takovy router zna cestu smerem ven. Muze to byt napriklad router umisteny na stejne podsiti (napriklad router dalsiho zakaznika), ktery je chycen z nadrazeneho staticky (byt ve vetsine pripadu bude znat default a preposlal by ten paket smerem ven).

Nicmene v te Vasi uvaze jste neudelal nic jineho, nez ze jste nahradil vyzvu smerovaci (RS) a oznameni smerovace (RA) jinym typem ICMPv6 zpravy, ale princip zustava stejny. Navic to nema oporu ve standardech, takze ciste hypoteticky ano, ale v soucasne praxi nikoliv.

Spatruji zde jednu vyhodu. Funguje to pak cele systemem vyzva - odpoved, coz by z principu velkou cast problemu, ktere mame dnes s RA eliminovalo.

> Funguje to pak cele systemem vyzva - odpoved, coz by z principu velkou cast problemu, ktere mame dnes s RA eliminoval.

RA funguji take na principu vyzva (RS, router solicitation) a odpoved (RA, router advertisement), i kdyz ty RA se posilaji i periodicky (kvuli obnove platnosti). Rozumna klientska implementace po pripojeni posle RS, aby nemusela cekat na periodickou RA.

Zalezi na uhlu pohledu. RS slouzi pouze k urychleni procesu zaslani RA. Bez ohledu na to, klient poslucha a zpracovava RA vzdy.

System dotaz - odpoved v predchozim odstavci je myslen tak, ze se klient nezabyva zpracovanim RA paklize mu nepredchazela zadost (RS).

Tim padem utocnik behem jedne milisekundy neni schopen zmenit najednou konfiguraci vsech zarizeni pripojenych v podsiti. Musi se trefit do okamziku od odeslani RS + nejaky cas urceny pro prijem RA. Ne ze by to tyto utoky primo eliminovalo, alespon je komplikuje. Nicmene takhle to neni v IPv6 mysleno, takze tyhle uvahy jsou zbytecne.

Ano, v mé implementaci jsou stále různé gotchas, ale ty by se daly lepší implementací vychytat. Reagoval jsem pouze na to, že bez RA nejde najít default gateway.

Pokud máte na mysli princip fungování, pak to oporu v RFC má (používám link-local adresy dokumentovaným způsobem), ale pokud chcete dokumentovaný postup hledání routerů, tak máte pravdu, že nic jiného než RA není.

RA můžete také provozovat principem výzva — odpověď, neboť je vysíláno také jako reakce na RS. Pak můžete nastavit v RA platnost třeba týden (nebo kolik používáte v DHCPv6) a periodické RA nepoužívat, i když tady si nejsem jistý, jestli to splňuje RFC nebo ne.

Aby mu to fungovalo jako dhcp, tak by jeste musel prenastavit chovani klientu, coz uz urcite RFC odpovidat nebude. Ale nic to neresi. Spis naopak ...

A jaky je rozdil v tom, jestli neco vysila do site nejakou informaci, a klient ji nejak pouzije, vs klient vyzaduje nejakou informaci a neco mu nejak odpovi? Me to prijde prast jako uhod. Nemluve o tom, ze to, ze v siti bude vice routeru je soucasti standardu, a pokud je to spravne implementovano, tak by si s tim klient mel poradit.

Podle toho, jak vnímáte pojem SLAAC. Součástí SLAAC (RFC 4862) jsou RA/RS zprávy, tedy SLAAC musím použít vždy - minimálně zprávy RA. M flagem pouze řeknu, že adresu si můžu nakonfigurovat z DHCPv6, nicméně vždy musím do sítě posílat RA zprávy a tedy provozovat 2 protokoly.

Navíc dle RFC 6434 - IPv6 Node Requirements je SLAAC povinný, zatímco DHCPv6 volitelný (must vs should) - tudíž i Android, který DHCPv6 vůbec neimplementuje vlastně dodržuje standard. To RFC je zajímavé už jenom proto, že třeba IPSec je odstraněn z povinných implementací IPv6, tedy v současné době IPSec je na tom v IPv6 úplně stejně jako v IPv4.

Jeste je treba dodat, ze DHCPv6 neumoznuje predat klientovi informaci o default route a jedina moznost je ji ziskat ze SLAACu (nebo chcete-li oznameni smerovace - RA).

RA je součástí Neighbor Discovery (RFC 4861), RFC 4862 pouze uvádí, jak ho zpracovávat pro SLAAC.

Routery nejsou součástí DHCPv6, protože routery můžete najít vždy na ff02::2. Ale dobře, pokud chcete mít pevně daný router, musíte tam nastavit RA. Máte ale pořád tu samou sadu protokolů jako u IPv4, RA je Neighbor Discovery, což je akorát náhrada ARPu.

Překvapení: v IPv4 je DHCP také nepovinné ;-) Takže je to tak, jak jsem to psal, problém je hlavně v implementaci, ne v protokolu.

Ipv4 ma spoustu problemu, ktere bezni useri ani admini vubec nemusi vnimat a "pouhym" rozsirenim adresniho prostoru by se jeste zhorsily. Kuprikladu fragmentace adresniho prostoru ... To se prechodem na IPv6 casem poresi "samo".

Nebo defakto nefungujici a neexistujici multicast, multihoming ... to vse se da i na IPv4 ... ale defakto se to nepouziva, protoze to ma spoustu ale, a kdyz, tak, mozna, ... proto Ipv6 vypada jak vypada, protoze se vsechny tyhle hacky snazi vyresit nejakym atandardnim postupem.

Ten multicast je zajimavy priklad. Pamatuju si, ze kdyz na Strahovkych kolejich zacali experimentovat s multicastem, tak to pravidelne sestrelovalo paterni router CVUT. Teoreticky ten router umel zpracovavat multicast pres ASIC, ale neco v tom provozu zpusobovalo, ze vsechno slo pres CPU. V tomhle pripade se to kratkodobe resilo tak se se cely Strahov odpojil od site. Dlohodobe se to vyresilo tak ze se sehnaly penize na Nortel se vymenil za Cisco. (On ten Nortel mel i spoustu jinych problemu)

Muze se neco takoveho opakovat na IPv6? Urcite ano - vzdit je to jesne narocnejsi na implementaci nez predchozi verze.
Odlisnost IPv6 muze zpusobit, ze vsichni budou muset znovu resit uz jednou veresene problemy. Mozna, ze je to "chyba" v navrhu, mozna jsou to jen nutne transformacni naklady.

Chci se omluvit za tu silně přehnanou poznámku o nemoci, ta nebyla na místě a byla VELMI nevhodně řečená. Omlouvám se. Měl jsem napsat, že jste do IPv6 "šíblej". Jsem o Vás přesvědčený, že jste blázen do IPv6-kový, za tím si stojím, stejně jako za tím zbytečným hněvem, který ve Vás kritika IPv6 zdá se vyvolává. Na místě je i poznámka o tom, že já na tom nejsem o mnoho lépe, IPv6 je na mě jako červený hadr na býka. A je téměř jisté, že i ve mě IPv6 vyvolává zbytečný hněv. Tedy že jen těžko můžeme najít společnou řeč. Na druhou stranu, musím ocenit Vaše znalosti a odbornost. Inteligence, chytrost a znalosti jsou to, čeho si velmi Vážím, kdybych chtěl, aby pro mě někdo implementoval IPv6, byl byste to právě vy. Dle mého soudu je IPv6 nejhorší zlo, krok špatným směrem a provoz dualstacku je zásadní bezpečnostní i administrativní problém.
Tomuto postoji jistě rozumíte. Chápu, že Váš názor na věc je odlišný. Chci, abyste věděl, že moje případné výpady, byť mají za cíl se trefit, nejsou mířeny proti Vám, jako bytosti, člověku a osobě, ale jen té části osobnosti, která propaguje IPv6. Do té, se pak trefím velmi rád, pokud mi k tomu dáte příležitost. A něco lehčího na závěr, vždy máte možnost odvrhnout falešnou modlu IPv6 a vrátit se pod přívětivá křídla církve IPv4 a přemýšlet o její reformaci!

> Dle mého soudu je IPv6 nejhorší zlo, krok špatným směrem a provoz dualstacku je zásadní bezpečnostní i administrativní problém.

FYI, na neznalého kolemjdoucího podle mě může působit fakt špatně, že jsi toto tvrzení ještě nepodložil žádnými argumenty. Mohl by si pak na to nebo na tebe udělat nečekaný názor.

> Ten vidím v bezstavové automatické konfiguraci a vůbec bych se nezlobil, kdyby se to celé scratchovalo. Nahradit kontrakt (DHCP ease) volným přijímáním konfiguračních parametrů z okolí mohl být dobrý nápad pro jednoduché sítě typu domácí automatizace, jestli vůbec, ale rozhodně ne pro konfiguraci počítačů.

Me to prijde jako vcelku dobry napad, ale pro urcity segment. Pokud mam nejakou nemanagovanou sit (ad-hoc sit nebo treba domaci sit), tak distribuovana autokonfigurace a distribuovany neighbor discovery je IMHO optimalni. Pokud mam ale managovanou sit (napr. podnikovou ci koncovou sit ISP), tak ma smysl mit oboje centralizovane (tedy i neighbor discovery). V tomhle ohledu jak IPv4 tak IPv6 selhava a je videt, ze ten samy problem se resi hned na nekolika vrstvach a po kazde znova.

Pokud chces administrovat sit a resit co se ti kde pripoji/nepripoji, tak na to jsou nastroje o layer niz. Trebas IEEE 802.1X. Technicky neni zasadni problem nechat libovolny zarizeni projit autorizaci a teprve potom mu umoznit komunikovat do zbytku site. Samo to vyzaduje prislusny prislusne nakonfigurovany HW = managovatelne switche, a zadne krabky ruzne v rohu/pod stolem/...

Tim zaroven vyresis onen "problem" s falesnym dhcp/ra. Pri predpokladu, ze svuj HW mas plne pod kontrolou, ze si useri nemuzou instalovat/pre­nastavovat kde co, se pak proste nemuze stat, ze by takovy zarizeni proslo pres port switche.

Realita je ovsem samo jinde, a proto se i tu resi co se resi ...

Kdo se připojí/nepřipojí řešit přes 802.1X lze (pominu-li fakt prakticky dost často špatných implementací), nicméně tento proces je zcela nezávislý na přidělení adresy klientovi, či pokud autentizovaný klient odesílá podvržené informace do sítě. Tzn. vůbec případ podvržených RA, DHCP či čehokoliv neřeší. Proto je to třeba vždy kombinovat s FHS, kde potom třeba díky DHCP snoopingu vnutím klientovi jednu adresu, kterou mám pod kontrolou já a zamezím tak podvržení, flood, MiM apod. Jediné co mi 802.1X umožní je potenciální rychlejší dohledání útočníka. Nicméně to je pozdě.

Jakto ze neresi ... resi to naprosto vpohode. Jakejkoli ucastnik v siti je autorizovanej. Zaroven plati, ze ucastnici site jsou pod kontrolou admina === uzivatel si nenainstaluje ani nespusti nic, co by admin neschvalil => naprosto logicky nemuze nastat pripad, ze by se nekomu v siti povedlo spustit RA nebo DHCP.

Me by fakt zajimalo, jak si jako user s omezenejma pravama spustis na tom stroji dhcpko nebo neco co bude posilat RAcko, protoze ty se jednoduse ani nedostanes k prislusnym portum/adresam. Nejdriv bys musel hacknout firemni system, ale to se bavime uz o ponekud jinym levelu, nez ze "nekdo prisel a podvrhnul RA".

Samo, pokud chces provozovat nejakym zpusobem verejne pristupnou sit ... je to ponekud neco jinyho, ale v takovym pripade je to proste "as is". O svoji bezpecnost necht se pak kazdej postara jak umi.

> Jakto ze neresi ... resi to naprosto vpohode. Jakejkoli ucastnik v siti je autorizovanej. Zaroven plati, ze ucastnici site jsou pod kontrolou admina

Jenze to plati jen pro nektere typy managovanych siti (napr. podnikove), v jinych nema sitovy admin kontrolu nad pripojenyma stanicema.

Ve chvíli, kdy jsem tohle psal, jsem ten tvůj kajícný příspěvek nečetl, protože jsi ho napsal jen o hodinu předtím a o tři úrovně níž a já nerefreshuji diskusi každou chvíli.

Od tebe už nečekám vůbec nic :-P

Mimochodem já jsem jen zrcadlo. Všimni si, že když někdo přijde s argumenty, reaguji argumenty, ale když na někoho jen útočíš nadávkami, musíš čekat, že se ti to vrátí. A jsi to ty, ne já, kdo v celé této diskusi nepřišel s jediným argumentem.