IPv6 – nowe funkcje i bezpieczeństwo – str. 2

0

Dlaczego IPv6 przyjmuje się bardzo opornie?
Przestrzeń adresowa oferowana przez protokół IPv6 jest ogromna. Każdy adres ma długość 128 bitów (adresy IPv4 mają długość tylko 32 bitów), co daje 340 sekstylionów adresów. To raz na zawsze rozwiązałoby problemy z brakiem wolnych adresów i pozwoliło podłączyć do sieci praktycznie każde urządzenie. Tymczasem nowy protokół przyjmuje się powoli. Jakie są przyczyny takiego stanu rzeczy?

Na sprawę można spojrzeć z różnych punktów widzenia. Większość użytkowników prawdopodobnie nawet nie wie, co to jest adres IP, więc z ich perspektywy problem w ogóle nie istnieje, dopóki mają dostęp do Internetu. Możliwość podłączenia do sieci lodówki czy termometru lub korzystania z zaawansowanych rozwiązań peer-to-peer wydaje się zbyt abstrakcyjna, a ewentualne korzyści mgliste.

Duże korporacje nie odczują od razu braku wolnych adresów IPv4, ale powinny zaimplementować podwójny stos na urządzeniach końcowych i routerach. Obsługa IPv6 powinna być włączona na wszystkich zewnętrznych usługach, jak e-commerce czy serwerach pocztowych.

Z punktu widzenia operatorów protokół IPv6 również nie wygląda zbyt atrakcyjnie. Brakuje spektakularnych rozwiązań, które wykorzystywałyby ten protokół i zachęcały do jego wdrożenia. Dlatego, dopóki są wolne adresy z puli IPv4, operatorzy nie rozważają wdrożenia nowej wersji tego protokołu. Chyba, że skłonią ich do tego okoliczności, np. nowego protokołu będzie wymagać duży klient korporacyjny lub pojawią się wymagania związane z nowymi usługami, jak usługi mobilne czy zarządzanie siecią urządzeń.

Jednak te firmy najszybciej odczują wyczerpywanie się adresów, ponieważ ich klienci wykorzystują duże bloki przestrzeni adresowej. Gdy przestrzeń adresowa IPv4 się wyczerpie, dostawcy nie będę mieli innego wyjścia, jak zaoferować klientom adresy IPv6. Pojawiły się również pomysły stworzenia wolnego rynku adresu IPv4, jednak takie rozwiązanie raczej nie pomogłoby dostawcom usług internetowych.

Pojawiają się też głosy, że IPv6 może być zagrożeniem. Zdaniem niektórych ekspertów, proces migracji do IPv6 będzie mieć niekorzystny wpływ na Internet, prowadząc do powstania wielu odizolowanych, nie mogących komunikować się ze sobą obszarów. Przyczyna kłopotów leży w braku kompatybilności pomiędzy IPv4 i IPv6 oraz w problemach, które trzeba będzie rozwiązywać w trakcie migracji. Podstawowy problem to niedostatek wykwalifikowanych specjalistów od bezpieczeństwa w sieciach IPv6.

Wdrażać IPv6 czy szukać alternatyw?
Protokół IP to fundament Internetu i przejście na jego nową wersję jest dużym wyzwaniem. Przed przystąpieniem do wdrożenia należy oszacować jego wpływ na istniejące usługi oraz koszty samego wdrożenia, związane z zakupem nowego sprzętu i oprogramowania.
Analiza kosztów wdrożenia powinna uwzględniać koszty dodania komponentów obsługujących IPv6 na komputerach użytkowników, serwerach oraz urządzeniach sieciowych, koszty projektów oraz szkoleń. Warto porównać koszty modyfikacji istniejącej sieci IPv4 z kosztem budowy nowej sieci od podstaw.

Atrakcyjną alternatywą dla tak złożonego przedsięwzięcia wydaje się być podwójny NAT. W przypadku takiego rozwiązania, oprócz tradycyjnej translacji adresów w routerze dostępowym łączącym sieć lokalną z Internetem, implementuje się jeszcze drugą bramkę NAT w węźle operatorskim.

Podwójny NAT jest jednak mało skalowalny. Wystarczy uruchomić przeglądarkę internetową i otworzyć kilka stron WWW, aby zainicjować ok. 100 sesji. Jeśli założymy taką średnią liczbę sesji na użytkownika, to przy 100 tysiącach użytkowników otrzymujemy 10 milionów translacji. Tymczasem na jeden adres IP przypada 65 tysięcy portów. Pojawia się więc problem z oszacowaniem, ile adresów IP faktycznie potrzeba. Istotną kwestią staje się też ochrona przed atakami DoS i ograniczanie liczby sesji.

Pośrednim rozwiązaniem jest tunelowanie IPv6 over IPv4. Pozwala to na wykorzystanie istniejącej infrastruktury, na którą tunelowanie ma niewielki wpływ. Jednak takie rozwiązanie ma wady. Wprowadza dodatkowy nagłówek, przez co mogą wystąpić problemy z MTU i fragmentacją przesyłanych danych. Pojawiają się trudności z optymalizacją routingu i zarządzaniem. Ponadto tunelowanie ukrywa ruch przed zaporami sieciowymi, listami kontroli dostępu (ACL) oraz systemami wykrywania włamań (IPS). W sieciach operatorskich jest to rozwiązanie niewskazane.

Podwójny stos
Dual stack to rozwiązanie przejściowe, wygodne podczas wdrażania IPv6, gdy jeszcze nie wszystkie urządzenia i aplikacje obsługują nowy protokół. Podwójny stos oznacza, że urządzenie obsługuje jednocześnie protokoły IPv4 oraz IPv6. Aplikacje komunikują się z adresem IPv4 lub IPv6, a wybór zależy od aplikacji lub urządzenia pośredniczącego w komunikacji. To rozwiązanie może być stosowane w urządzeniach końcowych i w sieci korporacyjnej, jak również w sieciach operatorskich (w rdzeniu sieci).

IPv6 potrzebuje promocji
Organizacje RIR współpracują ze sobą na poziomie globalnym i lokalnym, aby promować migrację do IPv6 oraz opracować strategię zarządzania pozostałą pulą nieprzydzielonych adresów IPv6. Otwarte podejście organizacji RIR zaowocowała m.in. przyjęciem globalnej reguły dotyczącej alokacji pozostałej puli adresów IP. Gwarantuje ona, że każda organizacja RIR dostanie jeden z ostatnich pięciu bloków przestrzeni adresowej IPv4. Reguła ta została zaproponowana przez dwie organizacje RIR: AfriNIC oraz LACNIC, mające w swoich regionach wiele krajów rozwijających się, w których szybko rośnie zapotrzebowanie na alokację adresów IPv4.

NRO doradza organizacjom mającym wpływ na funkcjonowanie Internetu – organizacjom rządowym, producentom, dużym korporacjom i operatorom telekomunikacyjnym – angażowanie się w proces migracji do IPv6, podejmując następujące akcje:

Przedsiębiorstwa powinny wspierać IPv6, udostępniając treści na serwerach WWW obsługujących adresy IPv6, żeby zapewnić dostęp użytkownikom korzystającym już z IPv6.
Producenci oprogramowania i sprzętu powinni jak najszybciej zaimplementować obsługę IPv6 w swoich produktach.
Rządy powinny zdobywać wiedzę dotycząc migracji do IPv6, żeby być w stanie wspierać wdrożenia tego protokołu w swoich krajach.
Organizacje społeczne i użytkownicy końcowi powinni wymagać od swoich ISP wsparcia dla IPv6, aby uświadomić im potrzebę wdrożenia tego standardu.

Rola rządów we wdrażaniu IPv6
Najbardziej świadome potrzeby wdrożenia IPv6 są organizacje rządowe, które bez tego protokołu nie widzą możliwości dalszego rozwoju. Mówiąc inaczej, brak publicznych pul adresowych postrzegają jako przyczynę ewentualnego spowolnienia rozwoju Internetu, a w konsekwencji spowolnienia rozwoju firm.

Doradca Komisji Europejskiej, Detlef Eckert, uważa, że wdrożenie IPv6 jest pilną potrzebą, a w tym procesie bardzo ważna jest rola sektora publicznego, jako lidera zmian. Eckert wyjaśnia: “Wdrożenie IPv6 jest pilne, ponieważ w Internecie wyraźnie wyczerpują się adresy IPv4. Adopcja IPv6 napotykała na wiele wyzwań i dotychczas przebiegała powoli, częściowo dlatego, że zbyt wielu branżowych graczy wstrzymywało się z działaniami i obserwowało rozwój sytuacji. Organizacje i firmy nie były wystarczająco zmotywowane do migracji do nowego protokołu IP, ponieważ nie widziały odpowiednio dużo natychmiastowych korzyści. Jednak z perspektywy społecznej i ekonomicznej korzyści szybkiej migracji są znaczące. Dlatego dla sektora publicznego tak ważne jest długoterminowe spojrzenie i wybranie metod wspierania implementacji IPv6.”

Komisja Europejska zaproponowała, żeby kraje członkowskie współpracowały razem nad rozpowszechnieniem adopcji IPv6. Komisja postawiła ambitny cel: do 2010 roku aż 25% użytkowników powinno móc łączyć się z Internetem przez protokół IPv6. Komisja zobowiązała się do używania IPv6 i konsekwentnie rozpoczęła kilka projektów, włączając w to badania dotyczące popularności wykorzystania IPv6 w ciągu najbliższych dwóch lat. Niektóre kraje członkowskie już zajęły się aktywnym planowaniem, a Komisja Europejska pracuje nad dostarczaniem wsparcia, żeby dać impuls całej Unii Europejskiej.

„Postrzegamy rządy jako kluczowych graczy w rozwoju Internetu i naciskamy na nie, żeby odgrywały swoją rolę we wdrożeniach IPv6. W szczególności, żeby dawały przykład udostępniania zasobów przez protokół IPv6,” powiedział Axel Pawlik, dyrektor zarządzający w RIPE NCC.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ