Обновить
4
Виктор Фролов@VMcS

Сетевой архитектор IP/MPLS

0,3
Рейтинг
1
Подписчики
Отправить сообщение

Рандомная генерация происходит, обычно, при инициализации интерфейса и держится до ребута (сужу по win 11).

RFC8981

но ключевое здесь что - рандомайзер не панацея, а костыль

Да нет, это не костыль, это всего лишь побочный эффект архитектуры ipv6. Как и скрытие открытых портов на вашем хосте благодаря NPAT на роутере - это побочный эффект NPAT.

Но NPAT проектировался с другой целью, как и цель архитектуры IPv6 не безопасность, а транспорт. Возьмите тогда для честного сравнения гипотезу, что ваш роутер получает публичную подсеть IPv4 с назначением публичного IPv4 вашему хосту, то есть нет NPAT, только роутинг. Вы получите аналогичную ситуацию. И решать эту проблему должен FW (или хотя бы ACL), а не IP протокол.

Просто NPAT, как раз задуманный в свое время костылем для решения проблемы исчерпания адресов IPv4, но дал полезный побочный эффект в плане безопасности (и то не панацея в плане защиты и контроля лоступа). NPAT, ставший за годы базовой нормой, стал ошибочно аосприниматься как механизм защиты вместо FW. Произошла подмена понятий и вместо нормы ставить FW на каждый хост возникло обманчивое упование на базовую защиту благодаря NPAT.

Вот есть у вас публичный адрес на хосте. IPv4 или IPv6. Что следует предпринять для защиты - прикрутить NAT или настроить FW?

по факту с fw на конечных устройствах проблемы, пользователи не знают\хотят их настраивать или они там отсутствуют как класс.

FW встроен во все популярные современные OS (по крайней мере десктопные - Win, Linux, macOS, etc.) или входит в пакеты антивирусной защиты. Дефолтной настройки достаточно чтобы закрыть потребности 99% пользователей. Оставшийся процент пользователей, которым нужна специфичная конфигурация отличная от дефолтной, знают зачем им это нужно и как ее настроить.

равильная теория, которая в жизни сейчас не работает

Здесь я не согласен. IPv6 еще не стал повсеместным, совершенно верно, но распространяется все больше и больше. Просто это не так пока заметно (хотя резко ускорился в последние годы). Внутренние сети многих крупных компаний уже на IPv6 (тот же Гугл, Фейсбук), андерлеи датацентров - на IPv6 only (AFAIK тот же Yandex в Финляндии), колличество сайтов доступных через оба стека растет.

"Кто" - в любом случае владелец хоста или сети. Я думаю, что все сведется к обшепринятому подходу - по умолчанию FW должен быть на любом хосте или граничном роутере с политикой по умолчанию accept any to OUT, deny any to IN, если необходимо открыть что-то - внесение правил исключения из правила по умолчанию. Вручную или автоматически через UPnP/PCP - это уже детали. Например такой принцип реализован на всех миллионах наших клиентских маршрутизаторов. Принцип реализован одновременно и одинаково для IPv4 и для IPv6, в этом плане нет никакой разницы между стеками (кроме разве что опции проброса порта через NAT для IPv4, для IPv6 в этом, очевидно, нет необходимости).

На хосте реализация этой защиты является ответственностью производителя OS или на худой случай - владельца хоста. Хорошо если операционка изначально поставляется с файерволом (да еще с профилями по умолчанию), но если нет - логично предположить что владелец должен озаботиться такой защитой. Иначе получится что владелец будет "колоться, плакать, но продолжать грызть кактус".

Я еще раз хотел бы подчеркнуть, что в плане безопасности иметь настроенную фильтрацию (на хосте и в сети) - это обязательный минимум вне зависимости от стеков. А при применении такой политики особых преимуществ у IPv4 c NAT перед IPv6 нет.

это работает только если вы ходите на ограниченное количество ресурсов с сильным доверием и аудитом

Почему? Если взять рандомно генерируемую хостовую часть адреса v6, то эффективность сканирования стремится к нулю. Или я не успел за вашей мыслью.

BugM, Вы вообще в принципиально выигрышной ситуации. Текущее состояние интернета прекрасно соответствует вашим желаниям - IPv4, NAT, все прекрасно работает и будет прекрасно работать еще десятки лет, а то и больше. Всякая ересь и вольнодумство типа ipv6 от лукавого и все никак, уже почитай 30 лет, не завоюет этот мир...

Я единственно что не понмаю - зачем вы вступаете в дискуссии (и под этим постом и ранее, под другими постами на Хабре на тему ipv6)? Я искренне не понимаю что вы пытаетесь разьяснить или доказать? Что ipv6 не нужен не только вам, но и всем остальным? Вам, возможно, нравится спорить о вкусе устриц с теми кто их ел, но со своей стороны я нахожу это занятие бессмысленным и бесперспективным.

В группу со статусом "завершена"? Даже странно, почему вас туда не пускают :) Теория заговора, не иначе.

А найти группы 6man или v6ops что вам не позволяет? Или войти в конкретную группу по любому открытому драфту?

Начните с изучения принципов IETF https://www.ietf.org/about/introduction/#principles

Участником может быть любой. Но вам я этого рекомендовать не стану.

Я не хочу вас разочаровывать, но в мире нет людей, которые должны писать стандарты ipv6. Принять участие в написании стандартов может любой человек, включая вас.

Но все же хотелось бы от вас услышать, кто те люди о которых вы говорите и комитет какой организации нас так жестоко обманывал все эти годы?

Можете сами просканировать пространство DNS на предмет FQDN имеющих только RR AAAA без RR A и актуализировать список.

Я верно понимаю, что вы не сетевой инженер?

Говорит. Тем более, что это AS второго по величине французского провайдера c 27M мобильных абонентов и 5М наземных. Если у вас есть статистика других провайдеров - давайте сравним/проанализируем.

Непросто. В совместимость надо вложить много сил. Это сложная задача которую надо решать. А вот фичи не нужны.

А зачем, если уже вложено столько сил в разработку IPv6? Начинать разработку другого протокола с той же самой целью и встретить те же самые трудности поддержки софтом и оборудованием, да еще сохранив все родовые травмы IPv4? Весьма альтернативно-одаренная идея. Спасибо, но нет.

О том что комитет много лет не замечает реальные проблемы.

Комитет какой организации?

NAT это несущая технология. И она будет теперь всегда. Она идеально работает во всех типовых случаях. <...> И это уже признали и сделали аналог. Не на переходный период, а навсегда. <...> У меня реальный мир. Где все сидят на серых адресах и все отлично работает из коробки.

Не упадите за край Земли. :)

В России низкий уровень ipv6 adoption ( по разным оценкам от 3% до 30-40%), по сравнению с Штатами/Европой/Южной Америкой/Индией/Китаем (50%-90%)

https://stats.labs.apnic.net/ipv6/

https://www.aelius.com/njh/google-ipv6/

и вообще низкой популярности IPv6 внутри рунета.

IMHO наоборот, статистика на IXP не самая релевантная, так как самая большая часть трафика любого ISP приходится на прямые приватные линки, затем на IXP, затем на tier-1. Через IXP не идет (как правило) трафик на Гугл, Фейсбук, Амазон - а это очень весомая часть сегодняшнего мирового IPv6 трафика.

Наиболее репрезентативную точку зрения могут только сами ISP, суммируя статистику всего своего совокупного трафика.

Покажите парочку ipv6 only сервисов. Я что-то ни одного не знаю.

https://www.ev6.net/v6sites.php

Можете сами просканировать пространство DNS не предмет FQDN имеющих только RR AAAA без RR A.

Ошиблись и сильно. Причем прямо в базовых штуках. Они забили на совместимость. Спустя 40 лет это уже очевидно.

Читайте протоколы IETF и мемуары участников. Там есть про обоснование размерности IPv4. И выбор протокола на роль NG, про возможность соместимости и почему не уделялось особого внимания процессу перехода на новый протокол. А задним умом любой силен.

Резонный вопрос. Но если выделить суть, то вопрос сводится к тому, как управлять файерволами в противовес кажущейся защищенности благодаря скрытию внутренней сети посредством NAT. Фактически стоит исхохить из того, что сеть или устройства должны быть защищены от входящих извне соединений вне зависимости какой стек используется и используется глобальная адресация или NAT? Логично предположить, что в разных зонах определяется - должны ли быть открыты некоторые порты или нет (дома и в кафе - нет, в офисе - да). На практике это вопрс не протокола, а реализации файервола (на устройстве или маршрутизаторе), который может поддерживать отдельные профайлы (с соответствующим набором правил) для каждой локации. Профайл должен содержать делегируемый префикс полученный от аплинка, а так же адрес хоста назначаемый устройству (или, в случае роутера, выдаваемый устройству через SLAAC или DHCPv6). Таким образом, для каждой локации существует отдельный профайл, реализующий политику на основе полного GUA устройства. Профайлы могут переключаться вручную или автоматизированно, например, в зависимости от делегируемого префикса, SSID сети wifi, интерфейса wifi vs мобильная сеть, и т.д.

Касательно динамического открытия портов для входящих IPv6 соединений - есть реализация через UPnP или PCP. В этом плане нет принципиальной разницы от динамического проброса портов на роутере с NAT.

Насчет палева адреса. Сканирование 2^64 адресов в префиксе /64 (а ряд провайдеров делегирует абоненту /56) помноженное на 2^16 портов дает несравнимо большее количество вариантов по сравнению с 2^16 вариантов для единственного публичного IPv4 адреса NPAT. К тому же нынешняя тенденция это генерация случайной хост-части адреса (и ее регулярная смена) взамен генерации адреса используя EUI-64, что делает начтожно малой вероятность обнаружения открытого порта сканированием.

Комитет контролирующий работу комитетов и ведущий журнал для журналов. Ага.

Вы о чем?

И даже они буквально недавно признали что NAT это великолепная и нужная технология и добавили аналог в ipv6.

Кто "они"?

NAT в разных видах есть в IPv6 десятки лет, он нужен для переходного переода миграции на IPv6, нужен для специфичных ситуаций и т.д. То что такой инструмент есть и он бывает нужен - никто не отрицает и никто не пытается выкинуть его из идеологических воззрений. Однако никто не пытается, зная о его отрицательных качествах для дизайна и производительности сетей, делать его рекомендуемой по умолчанию технологией.

Никто, кроме буквально всех частных сетей в мире.

У вас какой-то алтернативный мир.

Совершенно верно, потому я не ссылаюсь исключительно на Гугл, а на других игроков в том числе. Точно так же можно сказать, что Netflix и Akamai это исключительно видеоконтент, а пому не дает общей картины.

Собственно статистика по IPv6 traffic sharing публикуется редко кем, большинство приводимой статистики показывает IPv6 adoption. Было бы интересно прсмотреть на статистику других ISP, потому как это дает более репрезентативный срез суммарного трафика для совокупности конечных абонентов/потребителей.

Часть ресурсов уже IPv6-only. Без IPv6 они не недоступны. Так что заметят.

Баги протокола или реализации в оборудовании? Если последние - заурядное и нормальное дело. Баги находятся, баги исправляются. Если ваш призводитель оборудования не исправляет баги, то пересмотрите свои политику работы с таким производителем. Баги протокола? Будте любезны ссылку на конкретный баг.

По остаточному принципу все делается. Не работает, ну и ладно.

Где? У кого?

Это не тот прогресс который нужен. Это ломание работающей технологии просто так. Вместо того чтобы исправить то единственное место в котором ошиблись. Хорошие инженеры так не делают.

Вам лично не нужен. Вполне возможно. А другим нужен. А если вы видите только одну единственную проблему, которую вызван решить IPv6, то вам стоит углубиться в изучение темы. Как хорошему инженеру.

И, кстати, инженеры не ошиблись. Они приняли рациональное и адекватное решение на тот момент времени.

Я тот человек, который реально строит и эксплуатирует сети уже 25 лет. Я не претендую на весомость и авторитетность моего личного мнения, но ценю мнение тех людей, которые этот авторитет имеют и помимо работы над своими сетями, проектирования сетевого оборудования и дизайна сетей, занимаются проектированием протоколов и созданием спецификаций. И занимаются они этим не "где-то-там-в-углу", а в форумах NOG, IETF, ETSI, ISO, ANSI и т.д. где их мнения обсуждаются и рецензируются.

Ваше "миром" означает "никем". Прекращайте говорить за всех. Если лично у вас IPv6 не скрепен и вообще от лукавого, то это не значит, что во всем мире это на самом деле так. "Если к вам не прижимаются в парижском метро, это не означает, что метро в Париже не существует".

Получить PI и свой ASN для компании не проблема, даже с учетом российского законодательства. В глобальном плане это не проблема вообще. Это вопрос стратегии и политики компании.

Вообще IPv6 построенная на применении SLAAC и DHCPv6 изначально предполагает возможность смены префиксов GUA. Смена префикса по причине смены аплинка - это лишь частный и вполне нормальный случай.

Так же IPv6 изначально предполагает множественность адресов на одном сетевом интерфейсе - LLA, один или множество ULA и GUA, что позволяет назначить одному и тому же интерфейсу GUA из делегированных префиксов каждого из ISP-аплинков. Выбор конкретной наилучшей архитектуры резервирования или возможной реадресации - это вопрос отдельный для каждой компании. Чего точно стоит избегать так это NATа как такового.

Это статистика трафика через IPX между сетями, в то время как провайдеры имеют прямые пиры с гуглом, акамаи, различными тьер-1, то есть ваша статистика их не учитывет вовсе. Ваша статистика лишь конкретный частный случай, не репрезентативный если говорить о доли ipv6 в общем трафике. Я могу судить об этой доле с другой стороны: по состоянию на начало этого года, суммарный публичный трафик AS5410 со всеми внешними пирами (приватные+ipx+tier1) : 6.56 Tbps IPv4, 9.34Tbps IPv6. То есть суммарный трафик ISP для IPv6 привышает трафик IPv4 не треть. В понедельник могу посмотреть состояние на сегодняшний день, но сомневаюсь что доля IPv6 за последние 6 месяцев уменьшилась.

Повырезать оттуда все глупости и сойдет. По сути надо решить ровно одну проблему: добавить один октет к ipv4 адресу. Все остальное должно быть только про совместимость и как с этим жить не ломая ничего.

Как, оказывается, все просто. Прям по классике. "Да что тут предлагать?.. А то пишут, пишут… Конгресс, немцы какие-то… Голова пухнет. Взять все, да и поделить..."

IPv6 работает на сегодняшний день, причем в продакшене. Баги лечатся (как и любые баги), проблемы находятся и решаются. Это нормальный процесс в любой технологии без исключения. А с таким подходом зачем вам прогресс и эволюция вообще? Костры, голуби, гонец с депешей - это проще, дешевле, надежнее.

Задайте себе вопрос: 30 лет сетевые инженеры тратят силы на разработку, развитие и внедрение протокола IPv6. Есть ли у них серьезные основания на эти усилия или это делается просто ради блажи?

Простите, кем конкретно эта концепция признана плохой?

Я нигде не встречал подобной позиции высказываемой всерьез, ни на различных NОG, ни в дискуссиях IETF. Не могли бы вы дать ссылку где почитать?

1
23 ...

Информация

В рейтинге
3 027-й
Откуда
Франция
Зарегистрирован
Активность

Специализация

Сетевой инженер, Сетевой архитектор
Старший