Vlákno názorů k článku Na návštěvě v IPv6 laboratoři: jste kompatibilní? od anonym - Zajimalo by me, jak nasazeni IPv6 resi provideri...
-
Zajimalo by me, jak nasazeni IPv6 resi provideri v souvislosti s data retention.
Podle data retention bych mel byt vzdy schopen priradit IP adresu ke konkretnimu uzivateli, abych mohl pripadny nelegalni provoz napraskat flojdum.
To pro me znamena bud staticka konfigurace IP adresy (neprakticke) nebo vyuziti DHCPv6 se staticky definovanymy leases. Problem je v identifikatoru uzivatele. U ipv4 to byla MAC adresa sitovky, ktera se prilis casto nemenila a i kdyz se zmenila (uzivatel si zmenil sitovku nebo si pripojil jiny pocitac) tak se dala vazba 'neznama MAC - uzivatel' dohledat (napriklad pomoci option 82 priznaku v DHCP pozadavku, ktery obsahuje identifikaci portu switche/modemu, ze ktereho DHCP pozadavek prisel)
Jak toto resit v IPv6 svete? V DHCPv6 uz neni identifikator pozadavku MAC adresa ale nahodne vygenerovany retezec, ktery se muze necekane menit. Jak tedy zajistit, abych vzdy vedel, ke kteremu zakaznikovi patri konkretni IP adresa?
-
To by slo.
Je tu sice drobna nevyhoda oproti staticke rezervaci IP adresy (nebo /64bit prefixu), protoze dopredu nevim, jakou IP/rozsah uzivatel dostane. Tim padem nemuzu nastavit ip filtry na uzivatelove pripojnem bode, aby mohl komunikovat pouze s adresou, kterou mu pridelim. Tim padem hrozi nebezpeci, ze zaskodnicky uzivatel 'ukradne' ip adresu jineho zakaznika a zpusobi tim IP konflikt na siti. Diky velmi sirokemu adresnimu prostoru IPv6 je vsa pomerne obtizne trefit se do IP adresy, kterou pouziva nekdo jiny takze to asi nebude zas takovy problem.
-
Pekny clanek o bezpecnostnich problemech spojenych s nasazenim IPv6 napr. zde: http://blog.ioshints.info/2011/10/ipv6-end-user-authentication-on-metro.html
-
Sten (neregistrovaný)
U nás už data retention není povinný.
Řešení je celkem jednoduché a IMO je mnohem jednodušší, než pro IPv4: každý klient dostane celou síť (/64, na požádání až /48) a na switchi se provede filtrování portů podle sítě. V té síti si potom uživatel může přidělovat adresy, jak je libo, protože se jeho počítače poznají podle prefixu.
-
Add data retention: je to zruseno jen docasne, ustavni soud nezamitl data retention jako celek, pouze se mu nelibila nektera specifika ceske implementace teto smernice EU. Takze ocekavam ze v pozmenene podobe zacne data retention brzo opet platit.
Add problem s identifikaci klienta: jak chcete provest prideleni celeho rozsahu /64 nebo /48 konkretnimu klientovi? Bud byste musel pouzit DHCPv6 a opet nam tu vyvstava potiz s promenlivymi DUID (tak se nazyva identifikator klienta v DHCPv6) a nebo by jste musel rozdelit sit na druhe urovni ISO/OSI a kazdemu klientovi priradit jeho vlastni VLAN - toto reseni nejspis je mozne a i se mi celkem pozdava ale bude to teda velka zmena oproti soucasnemu stavu, kdy u nas jeden sitovy segment sdili stovky klientu a bezpecnost je zajistena pomoci IP source guard (ip filtru) na pristupovych bodech do site.
-
Sten (neregistrovaný)
Přidělování adres ze sítě /64 se většinou řeší pomocí prefix delegation podle VLANy (které jsou mapované na jednotlivé porty switche), přičemž router podle těch VLANů rovnou routuje (spolu s reverse path filterem). Modemy s podporou IPv6 většinou prefix delegation umí, takže po nastavení switche je stačí u klienta jenom zapojit (a klient klidně může použít nějaký vlastní, pokud k tomu má důvod). Jestli pak doma použije klient DHCPv6 nebo autokonfiguraci, může být čistě na něm. Jediný problém by tak mohlo být to, že nevím o žádném automatizovaném systému, co by ty VLANy spravoval.
IP Source Guard je hodně nespolehlivý, protože spoléhá na to, že klient nefalšuje MAC adresu jinou ze stejného segmentu sítě.
-
Sten (neregistrovaný)
Privacy extension je něco jiného, to slouží, aby firmy nebo tajné služby nemohly sledovat, kudy se nějaký uživatel pohybuje (bez privacy extension jednou zjistíte, komu patří konkrétních spodních 64 bitů, a můžete jej sledovat prakticky po celém světě), případně kolik má daná síť stanic (i když jsem nepochopil, k čemu je tohle dobré), ale policie (u nás s příkazem soudu) může toho uživatele pořád dohledat přes ISP podle adresy jeho sítě.
