ipv6

Svetové spustenie IPv6, DIGMIA je pri ňom!

Firmy a organizácie, ktoré prevádzkujú veľké siete alebo webové služby sa rozhodli pre zapnutie internetového protokolu novej generácie IPv6 na nimi prevádzkovaných sieťach, aby tak odštartovali prechod na tento protokol novej generácie. Tento krok nastal krátko potom ako organizácia IANA, ktorá má na starosti prideľovanie IP adries oznámila, že sa minuli všetky adresné bloky staršieho protokolu IPv4. Dátum spustenia je 6. jún 2012.

Medzi firmy, ktoré spúšťajú podporu IPv6 sú Facebook, Google alebo operátor T-Mobile USA. K spusteniu sa pripája aj DIGMIA (ak máte IPv6, tento blog čítate už pravdepodobne cez tento protokol). DIGMIA taktiež zapla použitie IPv6 pre svojich zákazníkov. Takže cez IPv6 sa dostanete napr. na portál itnews.sk. Zapojil sa taktiež hackerspace Progressbar z Bratislavy, ktorého stránky www.progressbar.sk sú tiež dostupné cez IPv6 (web hostujeme tiež my). V deň spustenia pribudnú ďalšie slovenské weby pod našou správou.

Spustenie znamená, že na sieťach operátorov bude automaticky fungovať prevádzka cez IPv6 a klienti dostanú IPv6 adresy. U webových operátorov bude hlavný web dostupný aj cez IPv6 adresu (doteraz mali väčšinou pre podporu IPv6 osobitnú adresu, napr. ipv6.google.com).

Ako bude zapnutie prebiehať?

Pre klientov, ktorí majú zapnutý iba protokol IPv4 alebo ich zariadenia nepodporujú protokol IPv6 bude všetko ako doteraz. Jediná nevýhoda bude tá, že niektoré servery už postupne začnú podporovať iba IPv6 a túto časť Internetu nebudú títo užívatelia vidieť. V dohľadnej dobe nepredpokladáme, že bude týchto webov veľa.

Pre klientov, ktorí majú IPv6 aj IPv4 závisí na nastaveniach siete, ktorý protokol sa použije. Moderné operačné systémy a prehliadače použijú IPv6. Ak chcete vyskúšať, či používate IPv6, môžete použiť klasický test pomocou tancujúcej korytnačky: Navštívte http://www.kame.net/ a ak uvidíte tancujúcu korytnačku, používate protokol IPv6. Takíto používatelia používajú oba protokoly natívne.

Niektorí používatelia, najmä v Japonsku a Kórei používajú už iba IPv6. Keďže tento protokol je preložiteľný sieťovým prvkom na IPv4, dokážu sa títo užívatelia pripájať aj na servery s podporou iba IPv4. Niektorý smerovač po ceste preloží IPv6 na IPv4.

Jediný problém s celosvetovým zapnutím IPv6 môžu mať používatelia, ktorí majú podporu IPv6, ale majú ho zle nastavený, resp. ich poskytovateľ im poskytne zlé nastavenia. V tom prípade každé pripojenie cez IPv6 nebude fungovať. Používatelia môžu skúsiť opraviť nastavenia alebo vypnúť podporu IPv6 vo svojom operačnom systéme.

Výhody protokolu IPv6

Väčší adresný rozsah

IPv6 má 128-bitový adresný priestor, čo je takmer 3.4 x 10^38 adries. Pre porovnanie: Súčasne najpoužívanejší protokol IPv4 má 32-bitový adresný priestor. Jeden z najdôležitejších problémov, ktoré nový protokol rieši je teda nedostatok adries v súčasnom protokole.

Autokonfigurácia zariadení

Návrh protokolu IPv6 myslel aj na zjednodušené pripájanie nových zariadení do siete pomocou tzv. SLAAC (stateless autoconfiguration). Na zariadení, ktoré slúži ako predvolená brána pre daný segment siete, je spustená služba, ktorá odpovedá na žiadosti o konfiguráciu (podobne ako pri protokole DHCP – protokol SLAAC je len výrazne jednoduchší). Toto zariadenia aj automaticky posiela nové informácie v pravidelných intervaloch.

Pomocou protokolu SLAAC sa veľmi jednoduchým spôsobom konfigurujú novopripojené zariadenia. Klient obdrží paket s informáciami o adrese siete a IPv6 adresu brány. Po prijatí paketu si klient musí vygenerovať 64 bitov IPv6 adresy. Pre generovanie sa používa niekoľko algoritmov ako EUI64, ktorá zoberie MAC adresu rozhrania a použije ju v adrese. Tento algoritmus narazil na nevôlu ľudí, lebo dava MAC adresu rozhrania do adresy a mnohí berú ako citlivú informáciu pretože sa stávajú ľahko stopovateľní na Internete. Ďaľší spôsob, ktorý sa používa je použitie tzv. Privacy extensions. Pri použiti tohto spôsobu operačný systém pripájajúceho stroja náhodne vygeneruje príponu. Po vygenerovaní adresy sa stroj opýta v sieti, či sa daná adresa nepoužíva. Ak nedostane opdoveď, tak túto adresu začne používať.

Jednoduchšie spracovanie paketov

Hlavička IPv6 paketu ma fixnú veľkosť 40 bajtov. IPv4 hlavička môže mať premenlivú veľkosť 20 alebo 24 bajtov v závislosti od toho či sú IP možnosti zapnuté. Hlavička IPv4 paketu taktiež obsahuje kontrolnú sumu pre paket, ktorá sa pri každom spracovaní mení (znižuje sa Time-To-Live hodnota v IP hlavičke). IPv6 hlavička tento kontrolný súčet nemá a preto je spracovanie IPv6 paketov jednoduchšie. Pre detekovanie chýb sa používajú kontrolné sumy na druhej sieťovej vrstve alebo potom pri jednotlivých protokoloch vyšších vrstiev.

Menšie smerovacie tabuľky

Vďaka lepším geografickým a hierarchickým pravidlám pri prideľovaní IPv6 rozsahov, zaberajú tieto rozsahy dnes iba sedminu toho, čo obsahujú smerovacie tabuľky pre protokol IPv4. Situácia sa však môže časom zmeniť ako budú alokácie IPv6 rozsahov pribúdať.

Zmeny v komunikácií na lokálnej sieti

Na zisťovanie MAC adries v IPv4 sieťach sa používa protokol ARP. Pri IPv6 bola funkcionalita protokolu ARP nahradená protokolom NDP, ktorá je sučasťou ICMPv6. Pre správne fungovanie IPv6 nesmieme blokovať cele ICMPv6 na firewalli. To by nám spôsobilo, napr že stroj nebude môcť najsť MAC adresy iných zariadenií v sieti a teda nebude vedieť s nimi komunikovať. Pre komunikáciu s celou lokálnou sieťou sa používajú multicastové adresy, nie broadcastové. Pri broadcaste sa vec dostala každej IP adrese v sieti bez ohľadu či sa používa alebo nie. Pri multicaste sa daný paket dostane len strojov, ktoré sú prihlasený v multicastovej skupine a teda neposiela sa to hlúpo na všetky adresy.

Povinná, neskôr dobrovoľná podpora bezpečnostných mechanizmov

V pôvodnom návrhu protokolu IPv6 sa povedalo, že každá implementácia musí podporovať protokol IPSec. IPSec je protokol, ktorý nám zabezpečuje autentifikáciu a šifrovanie na sieťovej vrstve. Podpora IPSecu vo vačšine operačných systémov je, ale pre konfiguráciu a správne fungovanie IPv6 ho nepotrebujeme. Kedže návrh diktoval jeho podporu v akejkoľvek IPv6 implementácii a nie jeho používanie, neskôr sa jeho podpora zmenila z povinnej na dobrovoľnú.

Riziká a problémy

Okrem toho, že nový protokol nepodporujú všetky zariadenia je tu aj viacero iných rizík. Veľmi častým problémom je nastavenie firewallu, ktorý je častokrát nastavený iba pre protokol IPv4, ale protokol IPv6 nie je ochránený filtrom. V prípade, že sa na serveri alebo stanici spustí nejaká služba, ktorá automaticky podporuje IPv6, je častokrát dostupná z celého sveta. Pri staniciach je problém o to závažnejší, že sa málokedy robí po IPv6 NAT a stanice sú adresovateľné priamo z Internetu.

Tento protokol taktiež nerieši všetky bezpečnostné a výkonnostné nedostatky protokolu IPv4, nakoľko mnohé boli objavené až po vytvorení IPv6 štandardu.

Ďalšie zmeny v infraštruktúre Internetu

Na podporu protokolu bolo potrebné prispôsobiť aj systém doménových mien DNS. Ten musí vedieť uložiť tzv. AAAA záznam, teda záznam pre IPv6 adresu. Názov vychádza z toho, že IPv4 má 32-bajtov a záznam tejto adresy sa volá “A”. 128-bitov je teda “AAAA”.

Doménový systém čaká ďalšia dôležitá úloha a tou je nasadenie podpory DNSSec pre kryptograficky podpísané DNS záznamy. To taktiež umožní zjednodušiť podporu protokolu SSL, pretože nebude nutné overovať platnosť certifikátu oproti certifikačnej autorite. Vďaka stromovej štruktúre systému DNS je pre každé meno delegovaný podpisovací kľúč a vierohodnosť serveru je teda možné zabezpečiť aj pomocou podpísaného verejného kľúča web servera v systéme DNSSec.

Záver

Na svetové spustenie protokolu IPv6 svet čakal od roku 1996, kedy bol štandardizovaný. Bolo potrebné prispôsobiť zariadenia, pretože IPv6 nie je priamo kompatibilný s predchádzajúcim protokolom. 6. júna sa používanie tohto protokolu pravdepodobne urýchli, ale na úplný prechod bude potrebné ešte pár rokov počkať.

Podobné blogy