Radek Zajíc, Seminář IPv6,

Podobné dokumenty
Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Co nového v IPv6? Pavel Satrapa

WrapSix aneb nebojme se NAT64. Michal Zima.

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Úvod do IPv6. Pavel Satrapa

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Co znamená IPv6 pro podnikovou informatiku.

Počítačové sítě 1 Přednáška č.5

Stav IPv4 a IPv6 v České Republice

Implementace protokolu IPv6


Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Gridové služby a IPv6. Jiří Chudoba, Marek Eliáš, Lukáš Fiala, Tomáš Kouba

Dual-stack jako řešení přechodu?

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Radek Zajíc, Seminář IPv6,

IPv6 Autokonfigurace a falešné směrovače

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Směrovací protokoly, propojování sítí

Seminář pro správce univerzitních sí4

Správa systému MS Windows II

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Nasazení IPv6 v podnikových sítích a ve státní správě

BCOP aneb jak správně nasazovat

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Obsah. Úvod 13. Věnování 11 Poděkování 11

IPv6 v CESNETu a v prostředí akademických sítí

Flow Monitoring & NBA. Pavel Minařík

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Inovace bakalářského studijního oboru Aplikovaná chemie

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Implementace ENUM v síti NETWAY.CZ

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Komunikace v sítích TCP/IP (1)

IPv6 v Sokolovské uhelné

Vodafone v6. Ladislav Suk Core Network Strategy Manager Pavel Fryč - One Net Solution Manager Tomáš Darda - Senior OneNet Solution Engineer

Něco málo o mně. Radek

Jak funguje SH Síť. Ondřej Caletka

IPv6 využití v praxi.... z pohledu ISP

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

DNS, DHCP DNS, Richard Biječek

Firewall. DMZ Server

Obrana sítě - základní principy

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Inovace výuky prostřednictvím šablon pro SŠ

Proč implementace IPv6 vázne? Pavel Satrapa

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Standardizace IPv6 v IETF Matěj Grégr

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Site - Zapich. Varianta 1

JAK ČÍST TUTO PREZENTACI

Základní principy obrany sítě

CCNA Network Upgrade

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

FORPSI Cloud Computing Virtuální datacentrum v cloudu

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Nasazení IPv6 v síti poskytovatele obsahu

Základy IOS, Přepínače: Spanning Tree

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

ové služby na IPv6-only

SINEMA Remote Connect platforma vzdálené správy. Siemens Všechna práva vyhrazena.

Úvod do IPv6. Pavel Satrapa, TU v Liberci

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

STRUČNÝ NÁVOD K POUŽITÍ

Budování sítě v datových centrech

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

L2 multicast v doméně s přepínači CISCO

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

Ladislav Pešička KIV FAV ZČU Plzeň

SCALANCE XM-400 Více možností pro Vaši síť

Virtualizace MetaCentra

Téma 2 - DNS a DHCP-řešení

Inovace bakalářského studijního oboru Aplikovaná chemie

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Falšování DNS s RPZ i bez

Standardizace Internetu (1)

Návod na změnu nastavení modemu s aktivní Wi-Fi ARRIS TG 2494

KONTROLA VSTUPŮ / ČASOVÁ PREZENCE OBRAZOVKA WEBU. Uživatelský manuál

Řešení jádra sítě ISP na otevřených technologiích

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

STATUTÁRNÍ MĚSTO TEPLICE zastoupené Magistrátem města Teplice, oddělením informatiky a výpočetní techniky Náměstí Svobody 2, Teplice

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Check Point Software Technologies. Miloslav Lujka Channel Manager

Inovace výuky prostřednictvím šablon pro SŠ

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Správa linuxového serveru: DNS a DHCP server dnsmasq

Transkript:

Radek Zajíc, radek@zajic.v.pytli.cz Seminář IPv6, 6. 6. 2019

Máme dostatek IPv4 adres, IPv6 nebudeme zavádět Jako komunita selháváme ve vysvětlování, že "Internet" je dnes síť s IPv4 a IPv6 obsahem.

IPv6 zapneme, až to bude třeba Skutečně jako poskytovatel služby chcete posuzovat, jestli "už je IPv6 třeba"? Jste k tomu dostatečně kompetentní?

IPv6 vám zapneme na vyžádání Běžný uživatel si o IPv6 nepožádá. Stejně tak si nepožádá o IPv4. Uživatel chce přístup k Internetu. Celému.

IPv6 v tomto novém produktu nemáme, protože <výmluva> Nový produkt si zaslouží podporu IPv6 již v základu. Dodatečně doplňovaná podpora je drahá. Dodatečná implementace je často jako čekání na Godota.

/64 musí stačit každému Mysl, uzavřená ve světě IPv4, nedovolí nabízet použitelnou službu. Uživatelé pak jsou omezeni, nefungují subdelegace prefixů, guest WLAN, atp. Proč? Válcují obchodníci techniky?

/64 není bezpečné Původně dokonalá myšlenka neomezeného množství uzlů na segmentu. Následně noční můra, která může způsobit zahlcení tabulky sousedů. Na sítích bez autokonfigurace tak dávají smysl sítě jako /112, /120.

SLAAC+RDNSS vs. DHCPv6 Dva (ne)soupeřící mechanismy pro konfiguraci IP a rekurzivního DNS Žabomyší války a roztříštěné implementace. DHCPv4 je standard. DHCPv6 je nadstandard. SLAAC není vhodné do enterprise. Google vede ideologickou válku proti DHCPv6.

First hop security DHCPv4 snooping je běžný i na levných switchích. Chcete RA guard a DHCPv6 snooping? Budete hledat dlouho. Řešit bezpečí pro IPv6 je problém i u vybavených switchů. Ochrany se kvůli rozšiřujícím hlavičkám IPv6 dají obejít. Nedostatky vedou k dalšímu nenasazování IPv6.

First hop security Off-link prefixy jsou zemí neprozkoumanou a občas prostě nefungují. Ultimátnímřešením bezpečnosti je vlastní L2 segment mezi routerem a koncovým uzlem. To bohužel není kompatibilní s adresací IPv4 světa. Funkční, jednoduchá first hop security je tedy bájným jednorožcem.

Delegace prefixů Stěží jsme výrobce routerů naučili delegovat prefixy mezi ISP a prvním routerem v domácnosti. Skutečně použitelné IPv6 sítě budeme mít až tehdy, kdy každý* router bude mít dostatek prefixů a z nich bude schopen subdelegovat prefixy dalším routerům v domácnosti.

Přechodové mechanismy Je jich prostě příliš mnoho! To tříští implementace a stojí zbytečně moc úsilí. Velkou šanci mají ty, které nabízejí IPv4 jako službu, kterou jednou vypneme. Největší úspěch mají ty, které nabízejí přístup k IPv4 Internetu i na IPv6-only síti. Tedy ty, které používají DNS64/NAT64 (jakkoli rozbíjí DNSSEC).

Dual-Stack Měl to být dočasný přechodový mechanismus, než se celý svět objeví na IPv6. Místo toho je to bestie, kterou z LAN v nejbližší desetiletce nejspíš nevymýtíme. Obejít se bez něj umí aktuálně jen mobilní sítě, kde vládne 464XLAT. Běžný hardware v domácnosti (IoS, konzole, receivery, ESP) ale 464XLAT nepodporují a nejspíš nikdy nebudou.

Happy Eyeballs Mechanismus, který měl na dual-stack sítích maskovat rozbitost (zejména) IPv6. Posloužil výborně v dobách, kdy ve světě IPv6 bylo běžné tunelovat pomocí 6to4 a nativní implementace IPv6 způsobovaly velkou chybovost. Slouží dobře i dnes, ale bohužel maskuje skutečné problémy IPv6 jako například AAAA záznam v DNS, který ukazuje na neodpovídající webserver.

Happy Eyeballs Obvykle jsou implementovány jen v browserech (a ne všech). Maskované problémy obvykle nikdo neřeší. IPv6 je preferována a timeouty jsou v minutách, takže např. SSH spojení na nedosažitelný server je prakticky nerealizovatelné

IPv4 Literals Čiré zlo. Typicky URL načítaná na webové stránce. Odkazuje na IPv4 adresu. Ta na IPv6 síti není dostupná. Dnes už spíše zřídka k vidění. Kromě 464XLAT a dual-stacklan tento problém není řešen žádným přechodovým mechanismem.

Rozbitá konektivita/nastavení hostovaných služeb Kam hlásit problémy? Chybí něco jako security.txt, ale pro konektivitu. hostmaster@<domena>.cz? Máte, vybíráte? AAAA záznam ukazuje, kam nemá, a web vrací 404. Pokud vlastník webu nemá IPv6, považuje vaše hlášení za nesmysl (pokud už vygooglíte majitele firmy a napíšete mu). Nebo AAAA záznam ukazuje, kam nemá, a web není po IPv6 dostupný. Zatím tu nemáme mobily s 464XLAT, který v případě existence AAAA záznamu neprovádí fallback na IPv4, takže to tolik nebolí. Ale to přijde!

Dual-Stack (funkční IPv4 i IPv6) IPv6 (funkční, preferováno) IPv4 (funkční, nepreferováno)

Dual-Stack (funkční IPv4, nefunkční IPv6) IPv6 (nefunkční) IPv4 (funkční, preferováno)

NAT64 (nefunkční IPv6) IPv6 (nefunkční, preferováno) IPv4 se nepoužívá

nat64check.org

IPv6 v cloudu Obvykle neexistuje. Pokud existuje, je jen na front-end load balanceru. Nebo je v betaverzi, nebo používá IPv6 NAT 1:1. Nebo dostanete jen 16, 64,... adres. Nebo dostanete prefix, ale není routovatelný (je jen na L2 segmentu datacentra).

Rozbitá konektivita u ISP Vyskytuje se až podezřele často (zdravíme do O2, T-Mobile a UPC). Neexistují rozumné kanály, jakými problém nahlásit, aby se jím někdo začal zabývat. Řešení nepřichází v minutách, ale hodinách, dnech, týdnech, měsících. Často svádění problému na dodavatele a doporučování vypnutí IPv6. Chyby ve všech známých případech odhaleny zákazníkem (!).

Statický routing se přece nemůže rozbít

Feature parity Ačkoli je v roce 2019 situace kolem IPv6 zejm. v open-source oblasti dobrá, mnoho (často placených) produktů pořád nemá rozumnou IPv6 feature parity. Nebo jsou rozbité a IPv6 nepodporují v základu vůbec (zdravíme paní Javu z Oraclu).

Občan druhé kategorie? Definice? Páté kolo u vozu? Nechtěný, nepovedený parchant levoboček? Opomíjený kolega? Protokol, který je v případě volby až druhý v řadě? Protokol, který se ve školách učí až po IPv4?

Občan druhé kategorie? Spíše ano. L Ale zejména v zemích, kde se rozmáhají 464XLAT sítě, se to pomalu mění. Chyby v IPv6 se tam už neodpouští.