Frågor kring IPv4 och IPv6

Vi hade helt nyligen en intressant diskussion om NAT.

I sammanhanget nämdes att man egentligen borde ta i bruk den nya versionen 6 av IP numrorna,Sk. IPv6.

I den gamla versionen IPv4 finns det inte längre nya nummer. Alla är redan utdelade.

Den nya IPv6 har tillräckligt med IP-nummer åt var och en.

Men hur kommer vi över från de gamla IP-numrorna till de nya? De nya är inte bakåtkompatibla med de gamla och hittills är det bara nån liten procent som valt ipv6.

Eftersom inte all mjuk- och hårdvara ens klarar av ipv6 måste ipv4 hållas vid liv.

Men hur skall vi komma över till de nya numrorna om vi inte kan lämna de gamla? Eller kan vi?

Jag misstänker svagt att det blir att köra burkar som översätter IPv6 till IPv4 (lokalt) under en övergångsperiod men det är inte det stora problemet utan SÄKERHETEN. Hur sköter man säkerheten med IPv6 ? I varje maskin skillt ? Eller med brandmurar (som då i praktiken gör att vi får en massa lokala nät - liksom nu).

Verkar ju nog lite skrämmande att alla skulle ha direktkontakt in i varandras datorer, kylskåp, mobiltelefoner, strömbrytare....

Vad är det där riktiga "killerargumentet" att vi borde gå över till IPv6? Att då skulle IP-numrorna räcka till?

men om alla har sin egen ip så vet man ju vem som jävlas, ip:n=personid


"hej
jag såg att ditt kylskåp var tomt så jag beställde 3 ton julskinka åt dej

hälsningar
21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A
"

Googles snokande nu är rena leksaken mot vad de DÅ kan snoka upp om dej:

"Hej, jag såg att du tog en öl från kylskåpet klockan 03:33:45:36 - behöver du påfyllning så står AB MeraÖl till tjänst för det facila priset på 35 euro med hemleverans"

Verkar ju nog lite skrämmande att alla skulle ha direktkontakt in i varandras datorer, kylskåp, mobiltelefoner, strömbrytare....

Det kommer man inte att ha. Likadant som man kör med brandvägg i hemmaroutern nu, så kommer man att ha brandvägg med IPV6. Med den hårfina skillnaden att den gamla hade NAT. Den gamla routern hade port forwarding och den nya har istället port enabling. Apparater och applikationer som tidigare öppnade port forwarding med hjälp av IGD Upnp kommer fortfarande att kunna göra det, med hjälp av WANIPv6FirewallControl (IGD v2). Så inte ser jag någon skillnad...

Ok, då kan man väl också ta gammal hederlig paketfiltrering i bruk. Eller är det det som IGD går ut på?

Blir inte detta en belastning för hemanvändaren?

Tex. DoS attacker som idag avvärjs i byanätes brandmur måste väl i fortsättningen också plockas bort på den nivån. Eller skall vi låta alla paket rusa in till allas hemroutrar och låta bl.a. tant Gunhild försöka avvärja dem i stället?

Det är just det jag är rädd för. Tant Gunhild har inte skuggan av en chans att fixa till hemmaroutern så det fungerar. Och jag har inte tid att åka omkring till hundra tanter och farbröder för att ställa in deras router.

Det blir nog gemensam brandmur för hela nätet tills jag får sparken eller dör.

Jag förstår inte varför IPV6 hemmaroutrar skulle vara mindre säkra? Nu har jag inte testat IPV6 ännu, men varför skulle det vara mindre säkert?

Ponera att routern stoppar all trafik (vilket det gör by default i en stateful firewall):

# stoppa all trafik
ip6tables -F
ip6tables -X

# tillåt all trafik ut på nätet
ip6tables -A OUTPUT -o <interface> -j ACCEPT

(det behövs förstås lite till, som lokala interface, multcast, icmpv6 m.m. men detta är ett exempel)

Bombsäkert. Sedan kan man manuellt tillåta trafik in till servrar m.m. Och via IGDv2 -protokollet kan applikationer (t.ex. p2p-program) och mojänger (tex. VOIP-telefoner eller kylskåpet!) öppna de portar de behöver (precis som det fungerar på IPV4 NAT-routrar idag med IGD Upnp).

(Förutsatt förstås att routertillverkaren inte är totalt korkad och tillåter all trafik in också by default).

Edit: måste tillägga att jag inte menar att IPV6 skulle vara säkrare på något vis. En brandvägg behövs!

Det är inte alls frågan om det utan vi diskuterade (med Timmy) huruvida man skall ha någon router (brandmur) alls. Enligt hans tolkning (om jag förstod den rätt) så skall det INTE finnas stängda portar eller brandmurar.

Problemet med en hemmarouter är att den mte konfigureras och vi kan ju se hur de trådlösa routrarna fungerar. De är helt öppna för alla skurkar att komma in och härja fritt. Folk vet inte ens om att de borde konfigurera dem och de som säljer sätter inte in något för då blir det garanterat så att kunde ringer och klagar över att burken inte fungerar.

Hemma routern må vara hur fin som helst men i praktiken kan tant Gunhild inte konfigurera den utan jag skulle vara tvungen att åka omkring till hundra platser och konfigurera burkar.

Och det tänker jag inte göra. Jag har inget emot IPv6 men det skall INTE gå att komma in direkt till folks maskiner ! Då har vi bekymmer och riktigt stora bekymmer. Men visst kan jag låta sådana som behärskar tekniken att få öppen linje ut till Internet med global adress. Det kan de få redan nu.

Problemet är egentligen att folk i gemen inte behärskar konfigurering av en router - det må nu sedan vara IPv4 eller IPv6.

Konstaterande 1: Byanäten har en väldigt enkel struktur och enda uppgift är att paketen skall komma fram och se likadana ut när de kommer fram som när de skickades.
Konstaterande 2: IPv4 adresserna är slut eller nästan slut.
Konstaterande 3: De stora teleoperatörerna har svårt att införa NAT i sina nät på grund av orsak, tangerad tidigare i tråden.
Konstaterande 4: IPv4 går att köra "på" IPv6 och tvärtom.
Konstaterande 5: Brandmur behövs.
Konstaterande 6: Var brandmuren placeras är ingen skillnad, bara alla portar och protokoll fungerar.
Konstaterande 7: Om ett nät skall vara dumt kan man inte integrera en brandmur i det.
Konstaterande 8: Om nätet skall vara öppet behöver ISP:n både Globala IPv4 och IPv6 adresser.
Konstaterande 9: Säkerheten är viktig och det är nätoperatören som har ansvaret för att nätet skall fungera i ALLA situationer.
Konstaterande 10: Det finns tekniska lösningar till allt, huvudsaken för Byanäten är att de är lätta att sköta.
Konstaterande 11: Ser ingen skillnad angående säkerheten mellan IPv4 och IPv6 utan att båda är osäkra (båda har stora utmaningar ännu framför sej för att ens komma nära något som är säkert).
Konstaterande 12: Säkerheten hänger i slutändan på den som använder en port eller ett protokoll.

Frågeställning 1: Så varför inte använda IPv6 från början med globala adresser åt alla som utdelas automatiskt nu när det är enkelt (när elektroniken köps in som ny, konfigureras från början och allt görs på en gång)?

Frågeställning 2: Hur sköta säkerheten när man kör IPv4 på IPv6?

Frågeställning 3: Vilken roll har ISP:n när det gäller att stänga linjen till en burk p.g.a. säkerhetsrisk (vad har ISP:n för befogenheter)? En automatisk funktion borde finnas för att "stänga" en enskild burk till uppkoppling om säkerhetsrisk finns. Men vad bör kriterierna vara för att kunna stäng en enskild burk?

Svar: Huvudsaken är att det är lättskött och är något sådär säkert!

Nisse: Problemet med en hemmarouter är att den mte konfigureras och vi kan ju se hur de trådlösa routrarna fungerar. De är helt öppna för alla skurkar att komma in och härja fritt. Folk vet inte ens om att de borde konfigurera dem och de som säljer sätter inte in något för då blir det garanterat så att kunde ringer och klagar över att burken inte fungerar.
Brandmuren bör ligga mellan ett trådlöstnät och burken som är kopplad till nätet för att vara säkert. Med andra ord i burken som kopplas till det trådlösa nätverket och då är det inte någon nytta med en brandmur på linjen ut till Internet.

Framtida behovet kommer att vara mjukvarubaserade brandmurar i varenda en burk som kopplas till Internet precis som moderna telefoner redan idag har ett behov av. Det är enda sättet att kunna säkerställa en något sånär säkerhet, genom att endast de portar, protokoll och paket som behövs för burkens funktioner är öppna och alla andra stängda (bortplockade).

Nisse: Hemma routern må vara hur fin som helst men i praktiken kan tant Gunhild inte konfigurera den utan jag skulle vara tvungen att åka omkring till hundra platser och konfigurera burkar.
Dessa routrar behövs inte i ett enkelskött nät och ett lättillgängligt Internet. Varje burk bör konfigureras skilt för sej. Precis som vilken modern burk som helst (smartfon, pad, kylskåp och termometer o.s.v.). Du har helt rätt i det att du har en omöjlig uppgift om du skall göra det. Min point är att det är försäljaren till burken som skall göra det eller åtminstone slut användaren som skall bekosta kalaset att få den ny inköpta burken konfigurerad så att den fungerar till det nät användaren har där den skall användas (teleoperatörerna har skött det här med ett SIM-kort). Hur skall Byanäten sköta det här? Min mening är åtminstone skall det inte behövas skild hårdvara för att kunna sköta det utan med mjukvara.

Jag tror också att alla IPv6 prylar kommer att skydda sig själva.
De ligger tryggt i sina ägares krypterade VPN-nät.

Nånting....

Problemet är bara att vi till nästa vecka skall ha ihop ett offertunderlag för konkurrensutsättning på Hilma för hur nätet skall byggas. Nånting i stil med det vi hade för stamnätet.


IPv4 måste vara med. IPv6 borde vara med.

Danno, du skrev "IPv4 på IPv6"

Kan du eller nån annan utveckla tanken lite. Efterlyser goda länkar.

Öppnar samtidigt en ny tråd där vi kan konstruera det ultimata byanätet.

Hur skall Byanäten sköta det här? Min mening är åtminstone skall det inte behövas skild hårdvara för att kunna sköta det utan med mjukvara.

Nästan alla byanät i Österbotten har skaffat likadana hemmaroutrar åt alla i sitt nät (typ Packetfront, CTS m.m.). Dessa innehåller mediakonverter och en konfigurerbar router/switch med stöd för VLAN och NAT m.m. Dem kan man köra in samma konfiguration i innan den installeras hos användaren. Dessutom kan de administreras (och i teorin också övervakas) på avstånd och är också en förutsättning för layer-2 tjänsterna (med olika tjänst i varje port). Men jag tycker det är fel att kräva att slutanvändaren ska ha en viss hårdvara av en viss tillverkare. Det hamnar i en laglig gråzon och är inte riktigt försvarbart att byanätet "går in" och ändrar i routern hos slutanvändaren. Jag vill inte att utomstående ställer om mina apparater i mitt hus. Rent tekniskt kan man lika gärna ställa in VLAN i den sista switchen innan huset (ifall det måste göras). Dock kan man i detta fall leverera bara ett VLAN till huset. Då kan också slutanvändaren ha vilken router han vill. Eller så är alla i byn på samma VLAN. Och alla kan ha vilken router de vill ha hemma. Men då borde nog byanätet ha egen brandvägg för att undvika problem. Svårt, svårt....

Enklast att hänvisa till Wikin: http://en.wikipedia.org/wiki/IPv6#Tunneling och http://en.wikipedia.org/wiki/4in6

och till RFC dokument: tools.ietf.org/html/rfc3056 , http://tools.ietf.org/html/rfc2473 , http://tools.ietf.org/html/rfc5572 och http://tools.ietf.org/html/rfc4213

såhär i förbifarten...

Johanh: "... Svårt, svårt....".
Jo, nyckelhålsfenomenet. Ju närmare man kommer desto mer ser man.


Dannos länkar:
Lite fläktar genom tunnlar. Tack för länkarna - kvällen räddad.