Кстати, про Ipv6

[iskatel]

Тут Furry в очередной раз вспомнила про Ipv6, переходить на который она (видимо, в рамках корпоративной солидарности) призывает как можно скорее. Вынесу из комментов Далее будет неинтересно всем, кроме коллег и заинтересованных.

Давайте для начала уточним, что тут есть несколько точек зрения. С кажой из них ipv6 выглядит по-разному, но везде он выглядит плохо. Это неизбежное зло, к сожалению, ибо времени на внедрение нормальной адресации уже нет. Но бороться с последствиями его внедрения (и в целом с быстрым внедрением) можно.
Итак, точки зрения.
Начнём сверху.
Крупные операторы (не розница). Дорого, но и так и эдак на переоборудование и внедрение дают миллиарды - так внедрим Ipv6. Подробнейший биллинговый софт тут не особо критичен, не считают тут побайтно.
Операторы, работающие с мелкими, конечными клиентами и мелкие провайдеры в целом.
Для многих на сегодня это - полный приехали.
Они лишь недавно купили "аатличные железяки от Цыски" , а теперь выясняется, что в Ipv6 с full table на железках типа 76хх 65хх [B,C]XL прийдётся попрощаться.
Но это фигня, ибо с Ipv6 не умеет работать бОльшая часть используемого биллингового софта.
А апгрейд софта по деньгам покруче, чем замена 76хх на новые Джуниперы .

Чем дальше они оттянут внедрение Ipv6, тем дешевле и менее болезненно для бизнеса это будет.
Итого - бизнес заинтересован в том , чтобы оттянуть как можно дальше Ipv6.

Производители биллингового софта. О, для них тут золотое дно. Переписывать немного, меняется аж одно поле и связанные с ним расчёты, а деньги сдирают с клиентов... ну, за переход к 4х значному обозначению года сдирали много больше, но все равно дофига.

Датацентры.
Тут ничего не поделаешь, с большим скрипом, но внедряют.

Клиенты датацентров (разные). А им-то что, они почти всегда железо арендуют. 90% проблем - на головы сотрудников ДЦ. Они переконфигурируют свои сервера (да, это время и деньги, но несравнимо мЕньшие, чем в своей корпоративной сети), а ежели кто по сей день арендует какой-то древний pix, так просто сменит и всё. Аренда же.

Корпоративные клиенты.
Тут Ipv6 - одно сплошное зло. Директор с недоумением глядит на докладные, где предлагается закупить новое оборудование. Рушатся известные типовому админу модели безопасности. В каком наркотическом бреду , какие сумасшедшие придумали, что каждый комп и каждое устройство должны иметь свой внешний адрес ?
Они ж одно дырявее другого, и если дырки в ключевых компонентах ОСей ещё как-то фиксят, то вот сетевые принтеры и прочие ip-кофеварки не фиксит почти никто.
Можно, конечно, написать новые конфиги для файрволлов, перекроить всю сеть, вспомнить про v6-to-v4, v6 nat, сменить все старые железки на новые и тд. Всё это - деньги и время очень недешевых специалистов, это работы на сети (поди объясни руководству, зачем..)
Через несколько лет будет дешевле апгрейд железа, да и софта тоже.

Домашние клиенты.
"И зачем мне этот ваш ipv6 ?" Спору нет, смена домашнего файрволла недорога. Но это тоже деньги, а почти все старые коробки - только v4. Масса программ, так или иначе работающих с ip-адресами, либо глючит при виде v6 адреса, либо ... ну, вплоть до крэша.

Вообще весело , конечно - протокол разработан в 90е, и спустя почти 20 лет проблем с купленными несколько лет назад (!) железяками и софтом выше крыши.

Общий вывод. Подавляющее большинство клиентов, от домашних до корпов, мелкие операторы заинтересованы в том, чтобы оттянуть внедрение ipv6 было как можно дальше.

update.

Граждане, ратующие за Ipv6, ознакомьтесь.
Comparison of IPv6 support in routers

Manufacturer Model Native IPv6 support? Notes
D-Link DIR-300 No (масовая модель)
D-Link DIR-615 Yes IPv6 supported by hardware revisions C1 and E. Earlier revisions and revision D do not support IPv6. (С и D ревизии - основные, продавались у нас массово, да и сейчас тоже есть. )
D-Link DIR-632 Yes
D-Link DIR-655 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6.
D-Link DIR-685 No
D-Link DIR-825 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6. IPV6 traffic unfirewalled.
825 - топовая модель, дорогая и мощная, гигабитные порты, 680 мгц процессор, 64М памяти.
Но полноценной поддержки нет даже тут. Правда, в другом месте написали, что есть, но не написали, есть ли полноценный ipv6 firewall.

Конечно, можно поставить openWRT / Tomato (и поиметь много возни с этим), что решит вопрос. Не везде, кстати, можно поставить (и не везде после этого будет нормальный wifi ), ну и типовой юзверь ставить не может и не будет.
Он просто пошлёт вас с вашим Ipv6 (и соотв. с необходимостью покупать новый роутер, причем качество реализованной там поддержки Ipv6 непонятно, в обзорах пока что практически не уделяют внимания этому вопросу, те. есть отличные шансы купить барахло, где ipv6 файрволла не будет) и будет прав.

из рассылки
I am with you on this. With the death of NAT having a stateful firewall on your internet connection is even more important than before. (Not that NAT ever provided any actual security anyway.) I would be pretty surprised if any of the major consumer router vendors released an IPv6 capable router without some kinda of built in stateful IPv6 firewall.
Перевожу - тк. придурки , разрабатывавшие ipv6, сначала выкинули из спецификации NAT, а потом вставили обратно (но урезаннный) , то файрволл, причем обязательно с поддержкой учёта состояния сессий, является жизненно необходимым. А его в обчень многих формально-поддерживающих ipv6 домашних роутерах нету.

Comments

[gourry-aka-pm.livejournal.com]

А пул-то кончается :):)

[iskatel.livejournal.com]

А у некоторых корпораций есть личные /8. Почти всё - неиспользуемое. Дефицит Ipv4 адресов создан искусственно.

[buglife.livejournal.com]

Примеры в студию. При этом учитывайте, что там архитектура разряда пару битов на страну, затем 4 бита на город, на рутер, на кампус т 5 битов клиенту. Во факту использование менее 10%, но менять архитектуру - priceless.

Второй пункт в том, что НАТ - зло в чистом виде. Ибо сдирает кучу бабла на рутера с сессиями и фарволлом не является. И юзер с удовольствием хочет получить 256 ип на все "свои устройства", а фирмам и этого мало.

[iskatel.livejournal.com]

>> Во факту использование менее 10%, но менять архитектуру - priceless.

Наложить штраф в лярд баксов, и все проблемы с "менять архитектуру - priceless" были бы решены за несколько недель.

>>НАТ - зло в чистом виде. Ибо сдирает кучу бабла на рутера с сессиями

Чувствуется, что человек просто не понимает, как работают файрволлы.
Почти любой современный файрволл - он stateful, те. все равно отслеживает сессии даже там, где нет НАТ.
А без этого давать доступ наружу устройствам в сети просто нереально - это ж тогда надо открывать всё и вся на вход.

[buglife.livejournal.com]

задача файрволла с сессиями просто уйдет на конечную машину.
В остальном я изначально отказался от NAT в своих сетях и реально не вижу веских причин иметь stateful firewall для обычных пользователей. В 99% и для корпоративных.

Можете привести примеры без NAT, где он необходим?
Перенаправление портов? с учетом количества ip в ipv6 не вижу в этом смысла. Для чего еще?

[iskatel.livejournal.com]

>>задача файрволла с сессиями просто уйдет на конечную машину.

Для офисной сети это означает полный бардак и нулевую безопасность , для домашней тоже плохо, по тем же причинам, но может быть приемлемо в редчайшем случае "1-2 компа+смартфон + владелец, тщательно это настраивающий".

[buglife.livejournal.com]

Пример. Реальный. Есть сетка частных клиентов с несколькими закрытыми портами (137-139, 25 и подобные). Я ее админю. Также продаю интернет канал и частично помогаю админить другуй сеть с NAT и stateful файрволлом.

Процент взломов/вирусов к данному моменту (5 лет) АБСОЛЮТНО не отличается. По простоте и надежности сеть без NAT выигрывает.

99% пользователей легкомысленно относятся к взлому "а, сломали, придет мастер переустановит виндоуз". 1% знает о защите и в состоянии ее организовать.

С фирмами чутка сложнее. Мелкие мыслят как частники. А крупные могут позволит админов и железяки со stateful, SSL и полной изоляцией сети, где надо. И это совсем другие суммы на железо.

При этом 80% в мире это частники. еще 15% - мелкие фирмы. Иными словами 95% населения stateful не то что не нужен, а никак "не спасет". Ибо не через стэк нынче ловят вирусы, а через браузер/ява/swd/pdf

[iskatel.livejournal.com]

Понимаете-ли, сетевая безопасность - это не только какие-то там вирусы, чаще всего словленные, как совершенно точно замечено, через " браузер/ява/swd/pdf".

Это ещё и контроль трафика и в тч. сотрудника Джо, который на своем компе открыл кучу портов и раздаёт dc++/torrent/ и игровой сервер впридачу поставил.
Конечно, глубокий анализ трафика на 7м уровне завсегда лучше, только это совершенно другие ресурсы и затраты времени (даже на анализ отчётов).

Кстати, о вирусах-троянцах. Подхватывают-то их через браузеры и тд., а вот потом троянцы очень любят открывать порты, превращать машины в спам-ddos-зомби (трафик исходящий, но тщательно настроенный файрволл его не только не пропустит, но и пришлёт уведомления об аномальном трафике) и тд.
Для контроля сетевого трафика на сегодня существующие механизмы V4 намного лучше, проще и дешевле, чем в случае с V6.
Повторюсь - если у нас бюджет не лимитирован, можно сделать то же и с V6.

[iskatel.livejournal.com]

дополнил , Comparison of IPv6 support in routers

[gourry-aka-pm.livejournal.com]

Ага. А потом будет У2К вторая серия, когда реально подожмет, с награждением невиновных и оплатой непричастным.

[romanrm.ru (from livejournal.com)]

> какие сумасшедшие придумали, что каждый комп и каждое устройство должны иметь свой внешний адрес

Наличие внешнего адреса не означает, что он должен быть доступен извне. Запрет входящих соединений снаружи - это две строчки в конфиге на бордере. Где проблема?

[iskatel.livejournal.com]

Наличие внешнего адреса означает
1) раскрытие топологии сети, если мы не используем NAT
2) общение с внешним миром непосредственно cамим девайсом с его (чаще всего) сверхдырявым ip-кодом в прошивке.
3) существенно более сложный конфиг файрволла.
это не 2 и не 3 строчки, тк. какие-то входящие нам все равно нужно разрешать, и не всегда только established.

[buglife.livejournal.com]

Вы читали RFC по IPV6? Насчет локальных канальных и локальных объектных адресов?
Даже в случае с внешними адресами все стало НАМНОГО проще. Можно просто решить, что адреса, у которых установлен определенный бит не предназначен для рутинга в мир. Можно решить это даже путем flow label.

IPV6 дает взамен NAT много других вкусняшек.

Из реальных проблем есть следующие:
Необходимость изменения устройств/топологии/подобного. Да. Проблема есть.
Проблемы связанные с атаками на перепролнение NDP.
Неготовоность большого количества софта.

В остальном вкусняшек больше. Такие как отсутсвие фрагментации, ненужность NAT, возможность отказоустойчивых сетей (два рутера с RA. Если один "улетит" то второй поможет).
Да и таблица рутинга становится меньше. На порядки.

[iskatel.livejournal.com]

>>Неготовоность большого количества софта.

Это очень, очень мягкая формулировка.
Огромное количество не только софта, но и железа не просто не готово, оно в принципе не поддерживает Ipv6 и уже никогда (для сотен миллионов железок) не будет его поддерживать.
Идиоты, создававшие убожество по имени ipv6, не позаботились о механизмах сетевой трансляции v6-> v4, сделав лишь тоннели для проброса трафика между V6-сегментами через V4-мир.

>>Да и таблица рутинга становится меньше. На порядки.

Это сегодня она меньше. А когда все перейдут на V6, она будет больше. И железки (те же циски 65хх и 76хх), аппаратно заточенные под v4 и имеющие поддержку V6 для галочки и на первое время, уйдут в утиль - потом в XL модули просто не влезет full table.

>> Можно просто решить, что адреса, у которых установлен определенный бит не предназначен для рутинга в мир. Можно решить это даже путем flow label.

Много чего можно, только вот для этого нужен мощный файрволл, который всё это поддерживает, и высококвалифицированный админ, который это настроит.
По факту на сегодня многие домашние/small office железки, для которых как-бы заявлен ipv6 ready / firewall, на самом деле не имеют stateful ipv6 firewall.
Какие к черту метки, оно сессии не умеет отслеживать.

===
Всего-то вместо коробки за полтинник-сотню предлагается купить младший Джунипер или аналоги.

[buglife.livejournal.com]

Насчет неготовности железа согласен целиком. Данная проблема есть.

Зато то, что нет "обратного преобразования v6->v4 меня ОЧЕНЬ радует. Ибо огормное количество дырок и багов возникает из-за необходимости поддерживать старую и часто убогую архитектуру. Стоить отпустить ipv4 c миром. Он хорош, но свое отслужил.

> Это сегодня она меньше. А когда все перейдут на V6, она будет больше.
С чего бы? В основном 1 провайдер - 1 блок. Сейчас 1 провайдер - от двух до сотен блоков. На уровне FULL VIEW фильтровать все, что меньше /32
Внутри сети - строгая йерархия и звезда. При правильном проектировании таблицы станут меньше в разы.

С чем еще согласен с вами, что админ должен стать умней, а юзер может стать глупей.

[iskatel.livejournal.com]

>>Стоить отпустить ipv4 c миром.

А добрые советчики, призывающие отпустить ipv4 c миром, не хотят это профинансировать ? для всего мира.
Сеть - она не ради сети как таковой, она строится и обслуживается ради того, чтобы в ней работали железки, с которыми работают люди.
И пока в ней есть железо и сервисы, требующие V4, прийдётся держать полноценную V4 сеть.
кстати, зачем тогда V6 , а ? И не стоит ли пришедшего с планом внедрения сотрудника ИТ-отдела немедленно спустить на землю, а план - перечеркнуть ?

Все эти лозунги "давайте быстро всё перестроим на V6" находятся в прямом противоречии с реальностью, и это одна из причин, по которой уже 2е десятилетие идёт болтовня про v6, а на практике он внедряется крайне медленно и плохо.

>>В основном 1 провайдер - 1 блок. Сейчас 1 провайдер - от двух до сотен блоков.

В теории с учетом огромного количества адресов - да, сразу будут получать блок, которого хватит навсегда.
На практике, уверен, будет иначе.

>>С чем еще согласен с вами, что админ должен стать умней, а юзер может стать глупей

Я этого не говорил, не надо.
Я говорю, что от админа требуются бОльшие усилия и затраты времени, + знания и понимание, во многих случаях - значительно бОльшие.
Многие компании (а рынок мелких и средних компаний я неплохо знаю) просто не захотят (это в ближайшем будущем. Про настоящее я даже не говорю - и так ясно) оплачивать построение хорошо спроектированной и защищенной V6 сети.

[buglife.livejournal.com]

В рамках корпоративной сети админу придется также знать ipsec и как его использовать для ipv6. В рамках корпоративной сети это хорошо защитит от Man in the Middle и многих других атак.

К чему я хочу подвести - IPv6 имеет гораздо больше возможностей для более безопасной сети. При в данный момент он стоит денег и времени.

В любом случае ipv6 придет. Для чего и почему - можно спорить, но уже начинает припирать.

[buglife.livejournal.com]

именно. При том как написал выше, учитвая что юзер по реккомендации получает не менее /64 для этого можно зарезервировать определенный бит. А то и десяток :)
Еще один ламерский вариант - дать "кривой адрес" без связки с днс. Попробуй, проскань /64, найди его :)

[romanrm.ru (from livejournal.com)]

> какие-то входящие нам все равно нужно разрешать

И это будет на порядок проще, чем ПРОБРОС ПОРТОВ, который требовался для той же задачи в случае с IPv4 и одним внешним адресом.

[iskatel.livejournal.com]

нет.
Хотя бы потому , что во всех файрволлах есть максимально упрощающие конфигурацию Nat+порты интерфейсы
(я-то моуг написать руками многостраничный конфиг, и они работали во десятках сложных случаев, а вот типовой юзверь или админ мелкой конторы - нет ).
Одна галочка - готов NAT, всё работает. Все девайсы внутри сети, 2-3 нужным сделаем проброс, ещё 5 нажатий.
Все имеют внутренние адреса, которые админ раздаёт так, как ему удобно, их замена вообще никак не касается внешних сайтов, с которым идёт обмен ip-пакетами.

В случае с ipv6 всё это значительно сложнее.

[romanrm.ru (from livejournal.com)]

> Одна галочка - готов NAT, всё работает. Все девайсы внутри сети, 2-3 нужным сделаем проброс, ещё 5 нажатий.

Такие же галочки будут (или уже есть) и для соответствующих функций IPv6.

[iskatel.livejournal.com]

Внешний адрес для каждой Ip-кофеварки в любом случае представляет собой проблему.
Ipv6 nat есть, но вот реализации...

[buglife.livejournal.com]

Кофеварка фигня. На днях обсуждали на abuse@ee конференции тот случай, что местный cert простым сканнированием нашел "умный дом". На внешнем ип без пароля с управлением света, отопления и камерой со звуком :)

А владелец кофеварки может захотеть иметь к ней доступ с работы. Посмотреть, не пора ли купить кофе? Исходя из этого NAT не спасет. Только файрволл и правильные системы аунтификации.

[iskatel.livejournal.com]

дополнил , Comparison of IPv6 support in routers.

Там не то, что галочек, там во многих моделях, на которых шлепнули наклейку "ipv6 supported", вообще нет ipv6 файрволла.

[buglife.livejournal.com]

Чем сложнее? Если сеть одноранговая, то внутри они общаются пол локальным канальным адресам, согласно приоритету в IPV6. Локалка готова. Далее пару правил на запрет из внешнего мира к определенным портам.

Основная разница IPV6 - он требует ДРУГОГО подхода и к слову, больших знаний о протоколе у админа. При этом юзеру проще. Даже dhcp не нужен. совсем.

[iskatel.livejournal.com]

dhcp - великолепный инструмент для управления адресами устройств.
"не нужен" обычно говорят те, кто плохо понимает, зачем оно нужно.

>>Далее пару правил на запрет из внешнего мира к определенным портам.

и в итоге все дырявые Ip-стеки всех компов и устройств открыты миру, кроме тех самых пары портов ? классный подход. Чувствуется глубокое понимание сетевой безопасности.

[buglife.livejournal.com]

У меня есть в сетке dhcp :)
И я был первый, кто принес в Россию идею dhcp snooping + option 82 через форум nag.ru с прмерами конфига через helper/relay на основе цисок 2950/3550. После этого те же фичи стал внедрять dlink. И это ОТЛИЧНЫЙ инструмент для ipv4.

И абсолютно ненужный для ipv6, где можно "тупо" делать vlan per user + ra.

Насчет портов. NAT и stateful прячут проблему, но не решают. Решать ее надо на уровне грамотного стека. Чем больше будет открыто, тем быстрей решат.

[iskatel.livejournal.com]

>>Решать ее надо на уровне грамотного стека. Чем больше будет открыто, тем быстрей решат.

Ну что делать с черт-те как написанным сетевым принтсервером, у которого всегда есть Ip-адрес ?

Кстати, часто встречающаяся конфигурация в небольшой сети - принтсервер без аутентификации (например, в смешанной сети типовой ИТ-аутсорс--компании, с компами на нескольких ОС, сделать идеально работающую и удобную для всех auth -нереально. Или аутентификация+проблемы, или удобство печати с всех и всяческих компов, планшетов и смартов).

[buglife.livejournal.com]

Если компы в одной сети, то дать принтеру только локально-канальный адрес. Который рутится даже не умеет.

[iskatel.livejournal.com]

хехе, а если у нас сеть не примитивно-одноранговая ? А доступ к принтерам нужен отовсюду - из разных офисов и даже через VPN ?
А если принтерам (на сегодня это чаще всего МФУ, где есть всё) надо время от времени обновлять прошивки по сети ? Админ. персонал будет бегать с ноутбуком ?
Только правильно настроенный файрволл и никак иначе.

[iskatel.livejournal.com]

>>И абсолютно ненужный для ipv6, где можно "тупо" делать vlan per user + ra.

Не совсем понял, это Вы серьёзно ? А о каких клиентах речь, может, я Вас не так понял ?

[buglife.livejournal.com]

Мелкие фирмы / частный клиент. Один рутер на 3000-4000 клиентов с user per vlan и шейпингом.

Решает кучу проблем со спуфингом/man in the middle / авторизцией (можно забыть PPPxX)/не нужно никаких таблиц с маками пользователя. Прописал на влане ему /64 и пусть он ее использует как хочет.

Само собой не забыть поставить лимит в сотню NDP на каждый влан.

[iskatel.livejournal.com]

снова не понял. Предлагается внутри локальной сети сделать 4000 вланов с шейпингом на конечного юзверя ? Это наворачивание избыточных сложностей, ну и рост потенциальных проблем с администрированием в разы.

Или же речь об провайдере и продаже интернета ? Так там , опять же, мелким хорошо давать pppoE / L2TP (хуже), крупным - статику и вланы.

[buglife.livejournal.com]

О продаже. PPPoE наелся, слишком большая нагрузка на суппорт (забыл пароль и т.п.). Option 82 в dhcp свел количество звонков к минимум. Влан на пользователя + ra должен свести в ноль. По крайней мере с точки зрения "не получаю ип".

Плюс стоит учитывать, что либо всю сеть делать с поддержкой ipv6 на железе (cisco 2960/3560/3750 и выше) либо просто прокинуть влан на дешевых (нынче) но очень приятных 2950T и поставить два софт рутера с кучей влан.

По деньгам - минимум, с точки зрения стабильности и защищенности весьма хорошо.

[iskatel.livejournal.com]

Возможно, я немного не в курсе , что сегодня предлагается на рынке, но ещё недавно основная проблема была не в аутентификации (пароль или dhcp, да хоть мак-адрес с фильтром на портах свитча) , а в дальнейших шейперах и layer3 роутинге.
С pppoE шейпера, роутинг и балансировка нагрузки делаются очень хорошо и относительно недорого.
Клиента вообще не касается, вышел из строя BRAs концентратор №19 или нет, просто сессия передернется.

То, что предлагали Циско, Джунипер, Алкатель для шейперов и балансировки нагрузки, стоило совсем других денег, если строить хорошо. С огромной разницей.
Или же несколько дешевле (но все равно дороже хорошей pppoE сети), но хуже по балансировке и возможностям гибкого назначения шейперов.
Варианты Linux-servers-BRAS без pppoE тоже получались значительно хуже, чем с ним, по тем же критериям.

[iskatel.livejournal.com]

речь о мелких домашних-офисных юзверях.
Не о хостинге, конечно же.