Комментарии 46
«выставлять» сервер «белым» IPv6-адресом в Интернет – довольно опасно
Чем опасно?
Upd. Даже так: кого вам не удалось уговорить, сетевиков или безопасников?
Опасность, в основном, в уязвимостях, в т.ч. 0day. Уговаривать было некому, сетевики и безопасники оказались заодно. Сделали по образу и подобию существующих IPv4-решений.
Так вы NAT66 делаете только для 443 порта?
А чем это отличается от FW, фильтрующего все, кроме 443 порта на хосте?
На самом хосте, в общем случае, открыты ещё какие-то порты и протоколы. Да и сам FW (напр., netfilter) может быть подвержен каким-то уязвимостям. Рекомендации вроде NIST SP 800-215, наряду с прочими мерами, предлагают фильтровать трафик на 1st hop router-е либо на оборудовании доступа.
Так а что общего у фильтрации и statefull firewalling с nat? И как именно защищает последний при наличии первых опций?
И nat, и stateful firewall - это конструкции, на которых часть пакетов будет отброшена, а часть - пройдёт по назначению. На разных устройствах применяются разные механизмы фильтрации, где что удобнее и привычнее. Так, например, nat может быть применен на сетевом оборудовании, а stateful fw - на сервере.
тем, что "NAT - не firewall" (с) прописи
А подскажите ради интереса примерный % соединений по ipv6?
И подскажите провайдера, который выдает IPv6 only адреса. Или хотя бы просто поддерживает IPv6.
Отдельное спасибо, если регион укажете.
С поддержкой ipv6 есть, например, Планета (для физлиц) aka Miralogic (для юрлиц). Чтобы появился ipv6 нужно в кабинете галку нажать.
Свердловская область.
Бывает, что ipv4 отгнивает у оператора из-за каких-то проблем, а v6 работает
Немного проясню свой вопрос.
Интересно предоставление IPv6 мобильными операторами в контексте географической привязки к основному региону обслуживания банка.
СПб, бывший Interzet. Сразу выдает /64. Правда только на pppoe почему-то. А вот какой-нить TimeWeb (хостер) выдает только в РФ и Польше. В Голландии уже ой.
Ростелеком. Но, говорят не во всех областях. Я проверял только в Свердловской и Новосибирской. Могут быть проблемы с входящими соединениями (торренты не будут работать, Wireguard и всё, что использует UDP), но тоже, говорят у кого-то всё нормально работает. У Дом.ру было, но ходит слухи, что они там что-то переделывают и у кого-то пропал IPv6.
Из сотовых - МТС и Мегафон.
А вообще, есть такой список провайдеров: https://version6.ru/isp
И Мегафон
Сижу на Мегафоне, Москва и область. Никакого IPv6 не ощущаю. Вы уверены что он есть?
На Мегафоне ipv6 включается по запросу (см. Использование IPv6 в мобильных сетях России - 4PDA )
По вашей ссылке в разделе "Как подключить" отправляют на сайт Мегафона на страницу услуги "Открытый IPv6". Так вот, там 404. И в кабинете такой услуги тоже нет.
Ощущение IPv6 от МегаФон
Дело не в запросах (если вы про услугу "открытый IPv6", может быть такое что услугу включите, а IPv6 всё равно не появится).
1) Запустили с ноября по регионам, но не во всех (к примеру есть в СФО).
2) Работает не на всех смартфонах (есть предположение связано модулем LTE и настроек со стороны Мегафона, т.к. с МТС работает)
3) Сам же оператор МегаФон не раскрывает технических подробностей, даже про "Открытый IPv6" люди узнали окольными путями, что это аналог услуги у МТС "IPv6+" - открыть порты 0-1023 по IPv6.
У меня МТС в дуалстеке работает, а Ростелеком в тестовом режиме бесплатно в режиме prefix delegation работал
Около 10% запросов, см. 1й абзац заключительного раздела статьи.
Упячная заваруха, конечно...
Вот только формулировка "учет клиентских адресов... " звучит странно. Здесь повествование хотелось бы уточнить. Первое что приходит на ум, так это связь одного пользователя с одним адресом/ми, что вероятно, задача одного из микросервисов и напрягать NGINX этим делом нужно только на проверку. Вместе с этим, инафа пугающая. NGINX, если мне не изменяет память, должен спокойно работать как с 32-битным адресным пространством, так и с "новой технологией" - 128-битными шестнадцатеричными адресами, которые юзают с 1999 года.
PS. Иногда возникает ощущение (только ощущение, это слово надо подчеркнуть с целью не обижать и самому не обижаться), что дорогие devops'ы и разработчики разъехались по разным лагерям и постепенно разучиваются контачить между собой. Спасибо, за историю) Надеюсь пригодится)
IPv6 является более современной версией протокола интернет-протокола, чем IPv4. В первую очередь, при его разработке стояла задача расширения адресного пространства, которые в текущее время уже исчерпано для протокола IPv4, а такая плотность адресации заметно раздувает таблицы маршрутизации из-за того, что необходимо включать в глобальную таблицу маршрутизации небольшие диапазоны адресов.
Действительно, BGP Full View бурно растёт, см. BGP Reports (potaroo.net). И если макс. размер IPv4-таблиц теоретически ограничен числом возможных подсетей /24, то макс. размер таблиц IPv6 - больше на порядки. Современные маршрутизаторы могут держать миллионы записей в FIB, скоро потребуются миллиарды :)
При разработке IPv6 учитывалось, что таблицы могут расти. Поэтому блоки IPv6 выделяются с достаточно большим запасом, чтобы потом не получилось множество отдельных сегментов и чтобы потом заниматься агрегацией маршрутов, если это возможно. Так что если сейчас таблица маршрутизации для IPv6 и растёт, то в будущем этот рост значительно замедлится. Там, где провайдеру нужны десятки, а то и сотни записей в таблице IPv4 для каждого мелкого блока, в IPv6 достаточно одной записи, которая не только покрывает все эти же потребности, но и имеет значительный запас на будущее. В одной сети /32 IPv6 содержится столько стандартных сетей /64, сколько всего адресов в IPv4. А у нас провайдеры ещё и экономные. Они дают клиентам не /48, а /56. Т.е. из 32 бит они себе забирают 24. Много ли вы видели провайдеров с /8? А IPv6 легко сеть такого размера получить и даже больше. А пользователям даже NAT не нужно использовать, потому что у них достаточно адресов.
Совершенно верно, IPv6-адреса выдаются провайдерам крупными блоками, чтоб исключить запросы дополнительной адресной ёмкости. Однако, кроме огромного числа даже таких крупных блоков, на рост таблиц будет влиять ещё фрагментация этих блоков самими провайдерами. Часто провайдеры анонсируют more specific -префиксы, чтоб гибко управлять нагрузкой на межоператорских стыках.
Не /48, а /56
Мне Дом.ru /64 выдал
Это уже конкретно издевательство. Из-за такого распределения я бы вынужден был использовать NAT для IPv6, потому что не могу выделить себе сеть для своих нужд. Нужно пинать провайдера.
Технически можно использовать выданный диапазон /64 для внутренней сети. На внешнем интерфейсе заменяем маску на /128, на внутренний интерфейс вешаем полученную подсеть /64. Причём с pppoe это даже проще настроить из-за того, что маршрутизация настраивается не через шлюз, а через интерфейс. Для ipoe нужно ещё маршрут на адрес шлюза добавить.
Заинтересовало:
1) FQDN банка сайта не имеет AAAA записи
2) Какой мобильный оператор выдаёт адреса v6only?
По статье интересный опыт внедрения v6 банком, при условии что действительно будет похоже первым на территории РФ.
1) AAAA -записи появляются в DNS по мере запуска соответствующих ресурсов на IPv6-адресах. Для ресурсов на адресах IPv4 соответствующие A-записи естественно есть.
2) Таких нам неизвестно, все кто предоставляют IPv6-связность, также дают и IPv4.
Спасибо, мы старались :)
1) Жаль что основной сайт банка не является соответствующим ресурсом :)
2)
Например, мы не раз замечали, что сотовые провайдеры иногда «выдавали»
мобильным устройствам адреса IPv6, не назначив адреса IPv4.
Тогда хотелось бы раскрыть более подробный пример такого случая.
1) Со временем, возможно, и веб-сайт Банка станет доступен по IPv6. Пока такого решения не принято, целесообразность доработки неочевидна.
2) Это были эпизодические непродолжительные случаи, связанные с некорректной работой смартфона или сети. Выглядело так, что смартфон при wifi-sharing-е не выдавал DHCPv4, только IPv6
По п. 2 У Мегафона во время теста в Москве в прошлом году ipv6 работал как в dual stack так и в ipv6 only режиме. Сейчас вроде как тестируют/запускают в регионах, но в мск пока больше не включают.
"«выставлять» сервер «белым» IPv6-адресом в Интернет – довольно опасно." — после этой фразы читать дальше не хочется. :(
К сожалению, ресурсы Банка привлекают повышенное внимание злонамеренных пользователей. Убрать сервер за NAT - вполне рабочее решение.
то есть просто Firewall настроить недостаточно? в чём повышение "безопасности" конкретного сервера, в случае если
а) имеется Firewall (как бы вроде бы требование регулятора, ЕМНИП)
б) открыты публично только "клиентский порты" (443 и что там ещё нужно для работы клиентов)
в) остальные порты (например управление ssh и что там ещё надо) — также на firewall отруливается и доступ разрешён только с доверенных адресов (ну там офиса, или с конечной точки vpn или ещё каким-то образом как вам нужно, ну в общем не публично)
так чем NAT лучше? что он добавляет в эту схему (которая ДОЛЖНА быть уже)?
Убрать сервер за NAT - вполне рабочее решение
надеюсь, админы банка знают с пеленок, что NAT - это вообще (от слова "совсем") не фаервол? иначе мне жаль вкладчиков.
мы изучили долю трафика IPv6 в общем объёме запросов к сервису, оказалось, что она невелика, – около 10%
Ничего себе мало! Вы хоть представляете, сколько усилий и средств рекламный отдел финтеха тратит для увеличения количества клиентов на 10% !?
А это замер сразу после внедрения. Через годик процент изменится.
Как в РНКБ IPv6 внедряли