5. jún. 2012

5. jún. 2012

IPv6 kvöl eða hvati

Við erum að nálgast þann tíma sem IPv6 verður varanlegur hluti af netinu. 6 júni er ‘IPv6 Launch Day‘ og eftir hann má búast við að fjöldi fyrirtækja muni virkja IPv6 þjónustur hjá sér, þjónustuaðiliar munu veita viðskiptavinum sínum aðgang að IPv6 umferð og þú þarft að spyrja þig hvort þú sért tilbúinn að taka á móti hinu nýja, óreynda, örugga opna neti, hvort sem það er núna, seinna eða aldrei.
Fyrstu kynni mín af IPv6 fengu mig til að hugsa bæði já og nei, og ennþá er ég með efasemdir. Ég hef bætt uppsetninguna hjá mér, ég hef prófað og prófa og sumt hefur gengið vel, annað þurft meiri aðlögunartíma. Ennþá get ég ekki af heilum hug sagt neinum að innleiða IPv6 strax… En ef þú ætlar þér að kanna þetta og prófa, þá fylgja hér nokkur ráð…
Mundu að netið þitt er eingöngu jafn öruggt og það sem er minnst öruggt á netinu hjá þér. Finndu þennan punkt og upp frá honum, hvernig öryggi þarf að vera til staðar og hvernig þú munt fylgjast með og hafa eftirlit með netinu þínu. Margir komast að því núna að eftirlit þeirra er lítið eða ekkert og verkfærin ekki til staðar.
Margir notendur kannast við eftirlitskerfin hjá sér og Event Viewer, syslog, console log, e-ð sem kíkt er reglulega í. En það koma upp ný mál með IPv6 og fyrstu kynni mín sýndu mér:
  • Log skrár ekki lesnar stöðugt og fullt af tilkynningum fara fram hjá manni… fyrir mig var þetta ekki hættulegt þar sem mest allt hefur viðeigandi eldveggi, aðgangslista og eru traustar þjónustur.
  • Margir eldveggir og vírusvarnir hafa ekki hugmynd um IPv6
  • Falin umferð, t.d. teredo göng, freenet o.fl. Þá mynda sumar Windows vélar svona göng án þess að notandi hafi hugmynd, jafnvel þótt lítil eða engin umferð verði til.
  • Þjónustur sem verða sjálfkrafa IPv6 og allskonar hlutir verða hægvirkir, t.d. útaf DNS uppflettingum, allskonar vesen þar sem stuðningsþjónustur eru ekki réttar og vissar stillingar semð IPv4 rúllar í gegnum hætta að virka.
Nokkur dæmi um þjónustur sem urðu fyrir vandræðum eftir að vélar fengu AAAA nafnið lýstu sér í hægagangi og töfum. Stundum vantaði bara skilgreiningu í eldvegg, stundum vantaði DNS færslur og í einstaka tilfellum var þjónustan ekki að hlusta á IPv6.
  • Beinar voru stundum til vandræða, stundum eldveggir eða aðgangslistar. Nýja umferðin er nefnilega ekki eins og í IPv4, “opnum tcp port X, og fáum svar”. Nei, einnig þarf að tala Neighbour discovery/solicitation, router advertisments o.fl. sem tala á handahófskenndum IPv6 tölum (við fyrstu sýn) og ef eldveggurinn svarar ekki rétt þá virkar ekkert rétt! Hér var tcpdump/wireshark málið.
  • Aðgangslistar voru oft vitlausir og hjálpaði að skilja að IPv6 tölur eru ekki skrifaðar á sama máta og IPv4, oft eru tölurnar á þennan máta: [2001:470:;]/32
  • Stýrikerfi hafa misgóðan stuðning við IPv6. Notendur höfðu upphaflega MacOSX Leopard, sem erfitt var að stilla í gegnum “Network” hlutann, en hægt að setja IPv6 tölur í gegnum Terminal hlutann (handvirkt), síðan Snow Leopard sem leyfði ekki neighbour advertisments í gegnum ip6fw eldvegginn nema eftir að búið var að strippa út PowerPC hluta forritsins (of gamall TCP stakkur).
  • Ef þú kveikir á Router Advertisment daemon, munu Linux, MacOSX vélar og margar Windows Vista og allar Windows 7 vélar byrjar að tala IPv6. Windows XP vélar gera þetta ekki án sértækra stillinga. Ath. að gera ráð fyrir að almennar vélar hafa engar IPv6 aðgangsstýringar og líklegar að allt sé opið. Þótt sumar þjónustur séu ekki að útvarpa, þá fjölgar þeim sem gera það end SMB/CIFS tilkynna sig, Bonjour talar mikið… Þessar þjónustur er hægt að tala við og reyna að innskrá sig, án þess að notendur verði varir við það og má búast við innskráningartilraunum út í hið óendanlega…
Ef þú telur að IPv6 netið þitt sé einfaldlega of stórt til að skima eftir vélum, þar sem minnsta netið er 64 bitar að stærð og vélarnar eru “faldar” inn á milli, þá eru samt þjónar og þjónustur sem þú ert að kynna með AAAA færslum og PTR færslur geta gefið upplýsingar um netið. Staðbundnar vélar geta skimað eftir nágrönnum (neighbour discovery og solicitation), og mesta hættun eru því þær vélar sem þegar geta tengst við netið þitt. Einnig munt þú skilja eftir stafrænt fótspor út um allt á netinu þegar þú byrjar að tengjast við þjónustur á IPv6 netkerfum og gera má ráð fyrir að upplýsingar um notendur safnist upp á endanum hjá mis-óprúttnum aðilum sem gætu hagnast á að deila upplýsingum um notendur… Hefðbundin uppsetning virkar þannig að IPv6 talan þín inniheldur MAC vistfangið á tölvunni þinni (einkvæmt númer á hverju einasta netkorti í heiminum…) og með því að hamstra upplýsingum um IPv6 notendur er jafnvel hægt að fylgjast með þér flakka á milli IPv6 net og netkerfa þar sem síðasti hlutinn í IPv6 tölunni er einkvæmt fingrafar tölvunnar þinnar! Hægt er að nota viðbætur við IPv6 sem gera þessa tölu handahófskennda, en bætir ekki upp fyrir öryggisholur eða rekjanleika nema að litlu leyti. Með þeim vibótum er einnig erfiðara að koma við AAAA og PTR færslum á netinu á áreiðanlegan og traustvekjandi máta. Mörg netkerfi munu hafna tengingum frá vélum sem ekki hafa samsvarandi A/AAAA og PTR færslur (sjá RFC931).
Ein leið sem IPv6 nýtir sér er að búa til óheyrilega stórt net – sem á endanum verður samt fyllt (ekki endilega vel nýtt, en klárast). Margir framleiðendur, notendur og fyrirtæki munu einfaldlega búa til fleiri og fleiri net, eyða tíma og orku í beinum og aðgangslistum til að “tryggja” sitt kerfi, en það er ekki góð lausn. Það mun leiða af sér uppsetningu þar sem vefþjónninn þinn situr einn í /64 neti því við getum ekki með góðu móti tryggt aðgang með /120 bita stýringum í beinum eða á staðarneti nema með tiltölulega flóknum reglum og uppsetningum þar sem þú eða kerfisstjórinn þurfið að hafa gott eftirlit með tækjum og umferð. Það eru margar lausnir til og það er mikilvægt að hafa öryggi að leiðarljósi í þeim – ef þú finnur einfaldar leiðir þá deilir þú þeim.

 

Mínar uppástungur?
  • Ef þú ert með kerfisstjóra, sjáðu til þess að hann viti hvað hann er að gera og hafi aðgang/hitt fólk sem þekkir IPv6 og veit hvað skal gera.
  • Án kerfisstjóra, þá þarft þú að fá ráðgjafa og þjónustu – sem þú þarft að velja eða hafna og skipuleggja
  • Lærðu að fylgjast með kerfinu, notaðu verkfæri sem auðvelda það, frí verkfæri eru t.d. ntop og cacti
  • Sættu þig við að sumar þjónustur eru illviðráðanlegar, t.d. hugbúnaður sem er aðgengilegur (t.d. vefsvæði)
  • Afrit, afrit og meira afrit
  • Mögulega er kerfið þitt aðgreinanlegt í netþjóna og notendur, þar með verður aðgangslistinn viðráðanlegri…
  • Þekktu hugtakið fingrafar og fótspor þegar kemur að netinu. “Privacy Extensions” geta hjálpað til að að minka fótspor þitt á netinu, en það er viðbót við aðrar öryggisvarnir en ekki “öryggið”.
  • Þar sem IPv6 myndar samband á milli tveggja staða, þarf öryggi að vera til staðar. Þótt þú getir sett upp eldvegg á beinum, þá er það tímabundin lausn á meðan þú útfærir uppsetningu innandyra hjá þér.
Björn R.
Skildu eftir skilaboð og við munum hafa samband næsta virka dag.
1+3:

Skilaboð móttekin