IPv6 - Pověry a fakta

KapitánRUMFree

IPv6 - Pověry a fakta
« kdy: 15. 09. 2012, 23:26:55 »
Ahoj,

jako první chci uvést, že IPv6 evangelisti a satanisti toto dál číst nemusí a ani do diskuze se nemusí zapojovat.

Většinu článků o IPv6 píší fanatici, kteří tento protokol tlačí stůj co stůj, proto jsem se rozhodl sem dát post takříkajíc z druhého tábora.

Argument IPv6 fanatiků číslo 1:
Pokud všichni budou mít veřejnou IPv6 adresu, svět bude krásnější, protože najednou pojedou takové služby jako je Bittorent, Skype bude mít hromadu "dalších poskytovatelů" a i pračka bude pěkně na internetu.
Pravda:
Většina IPv6 fanatiků nechápe pojem NAT.
NAT sice skrývá vnitřní adresy, ale ten, kdo rozhoduje o tom, jestli packety projdou nebo ne, je Firewall.
Drtivá většina firewallů je nastavená tak, aby pustila pouze spojení inicializovaná z vnitřní sítě.
Proto se s přechodem na IPv6 nezmění vůbec nic, výrobci budou stále dodávat zařízení nakonfigurovaná dostatečně bezpečně, aby nedošlo k ohrožení počítačů ve vnitřní síti. Protože je o něco obtížnější útočit na počítače skryté za NATem, lze předpokládat, že pravidla budou ještě podstatně striktnější. A protože nelze předpokládat, že se většina BFU naučí nastavovat firewall, nelze ani očekávat jakoukoliv změnu. Prostě a jednoduše do vnitřní sítě neproleze nic jako teď. A to se ani nezmiňuji o tom, že bittorent je k vůli šmírování prakticky mrtvý a do hry vstupují věci jako ACTA/HADOPI 3x a dost, které se globálním korporacím tak jako tak povede protlačit i u nás.

Argument IPv6 fanatiků číslo 2:
Když bude mít každé zařízení vlastní adresu na Internetu, bude daleko jednodušší sledovat, kam kdo chodí, data o uživatelích půjde sbírat   jen na základě IP (nebude hrozit, že z té IP leze několik lidí) a díky tomu bude možné o všech sbírat lepší data a nabízet jim tedy lepší služby. (Například bude jasné, že z počítače ..:::01 se chodí na xxx stránky a z počítače ..:::02 se chodí na vaření, proto budou reklamy daleko lépe cílené.)
Pravda:
No, to je pravda, ale uvažte sami, jestli je to taková výhra. I v dnešní době lze uživatele docela slušně šmírovat, otázka je, jestli to je dobře nebo ne, že to půjde ještě přesněji a už díky tomu, jaká se na server připojuje IP, bude možné poměrně jednoznačně rozhodnout, co s tím udělat.

Argument IPv6 fanatiků číslo 3:
IPv6 adresy si nemusíme pamatovat, to je velká výhra oproti stávající situaci.
Pravda:
To není pravda, alespoň u některých providerů (ptal jsem se na to) se nebudou přidělovat stále (statické adresy), ale dočasné.
Proto se Vaše IPv6 bude čas od času měnit podobně, jako je to v případě některých ADSL linek teď.
DynDNS služby se tedy nemusí bát o vymření.
Mezi námi, na firewallech mám nastavená pravidla na základě IP adres a IPv4 adresa se prostě píše lépe než IPv6. 

Argument IPv6 fanatiků číslo 4:
IPv6 adresy jsou požehnání pro velké firmy.
Pravda:
Představme si, že máme síť o 20-ti pobočkách od Mexika po Austrálii.
Realita je taková, že nyní mají firmy vlastní privátní sítě řekněme 10.0.0.0/A rozsekané podle lokalit, propojené pomocí VPN nebo MPLS(že nevíte, co to je) a veřejné adresy jsou jim vlastně ukradené. Nyní, pokud se rozhodnou používat IPv6 only řešení, budou muset každou případnou změnu IPv6 adres zahrnout do DNSka pro všechny důležité servery. Můžu Vám říct, že změna IP adres se různým ověřovacím protokolům ani trochu nelíbí! Stejně tak dříve, když byla celá firma schovaná za jedním NATem, bylo vlastně jedno, jestli se vnější IP adresa mění nebo ne. Obecně bude problém i zaručit to, aby printserver "na hajzlíku" získal zase takovou adresu, abych k němu nemusel lézt a zjišťovat, jakou vlastně má.

Argument IPv6 fanatiků číslo 5:
IPv6 adresy mají jen samá pozitiva.
Pravda:
To není pravda, protože spolupracuji s řadou velkých firem a mohu Vám říct jediné:
Nastává zlatá éra centrálních bonzovacích Proxy serverů.
Opravdu si nejsem jistý, jestli je výměna NATu za Proxy taková výhra.

Shrňme si fakta o IPv6:
- většině BFU to je jedno, jestli mají IPv4 nebo IPv6 a jestli jsou za NATem
- většina BFU nic takového nepotřebuje
- dobře 1/2 čtenářů tohoto fóra jsou odborníci a přesto se za IPv6 žene jen část fanatiků
- dobře 2/3 profesionálů, kteří se živí IT, nepovažují IPv6 za dobře navržený protokol a mají k němu spoustu výhrad
- dobře 2/3 profesionálů je spokojená s tím, že je za NATem a veřejnou adresu nepotřebují
- největší argument pro IPv6 je to, že bittorent půjde lépe

IPv4 adresy jsou nejméně na příští 4 roky, cena veřejných adres bude stoupat, víc počítačů se schová za NATy a zatím není jediný důvod k přechodu. Možná že u WWW stránek bude nutné zajistit funkčnost IPv4 i IPv6 zároveň, ale na to je taky ještě hromada času.
A teď mě kamenujte.
</flame>


Rax

Re:IPv6 - Pověry a fakta
« Odpověď #1 kdy: 15. 09. 2012, 23:45:49 »
[1] Většina IPv6 fanatiků nechápe pojem NAT.

[2] No, to je pravda, ale uvažte sami, jestli je to taková výhra.

[3] IPv6 adresy si nemusíme pamatovat, to je velká výhra oproti stávající situaci.

[4]
Představme si, že máme síť o 20-ti pobočkách od Mexika po Austrálii.

[5] IPv6 adresy mají jen samá pozitiva.

[6] většině BFU to je jedno, jestli mají IPv4 nebo IPv6 a jestli jsou za NATem

[1] NAT není internet. Internet je že každý uzel má svoji vlastní unikátní veřejnou IP adresu a může napřímo komunikovat se všemi ostatními uzly v internetu.

[2] IPv6 zařízení může mít adresu po každé autokonfiguraci pokaždé jinou, je to vlastnost IPv6

[3] IP adresy si nepamatuje nikdo, kromě pár serverových guru. Řeší DNS a dynamic DNS

[4] Korporátní síť bude mít IP buď podle lokálních ISP nebo bude schovaná za VPN, prakticky nic se nezmění.

[5] IPv6 přinese milionům uživatelů domů internet.

[6] Většina lidí pozná rozdíl IPv6 versus NAT v tom, že jim konečně začne fungovat správně VoIP a pochopitelně i zmíněné torrenty a další služby. Také budou správně fungovat limity na uloz.to a rapidshare.com, kde nebude limit pro celou vesnici nebo celou firmu, tak jako se děje dneska. Taktéž půjde zakládat servery pro hry a ostatní hráči se na ně budou moci připojit. Taktéž se o něco sníží latence pro paření her, protože routování IP se děje hardwarově a NAT se děje softwarově.


IPv4 adresy už nejsou zhruba čtvrt roku, už se jenom rozdávají zbytky.
Přechod na IPv6 mají majoritní OS vyřešené 10 let, například Windows se umí připojit na IPv6 server už od Windows 2000.

Pavel 'TIGER' Růžička

Re:IPv6 - Pověry a fakta
« Odpověď #2 kdy: 15. 09. 2012, 23:46:50 »
Já s Tebou souhlasím, z IPv6 také nejsem moc nadšen, alekdyž je něco velmi tvrdě protlačováno, tak to nikterak nezměním. Ono se stačí zamyslet, z jakých důvodů jde o to protlačování. Jedním bude obchod, přeci jen dost nových zařízení a lidé budou muset kupovat. Druhým důvodem je ona lepší kontola uživatelů ... respektive minimalizování soukromí. Tak jako Ti dnes kamery ve městech čumí do bytů, tak Ti všichni budou chtít čumět do počítače. Lidem to přeci nevadí, oni si zvyknou ...

Rax

Re:IPv6 - Pověry a fakta
« Odpověď #3 kdy: 15. 09. 2012, 23:48:48 »
Druhým důvodem je ona lepší kontola uživatelů ... respektive minimalizování soukromí.

ISP tě napráskají i za NATem mají na to logy, doufám že nežiješ v bludu že když má tvůj ISP NAT, tak jsi nezjistitelný.

Pavel 'TIGER' Růžička

Re:IPv6 - Pověry a fakta
« Odpověď #4 kdy: 15. 09. 2012, 23:51:59 »
Důvěřovat ISP je jako důvěřovat kurvě, že je zdravá ...


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:IPv6 - Pověry a fakta
« Odpověď #5 kdy: 16. 09. 2012, 00:43:01 »
Toz, je pravda, ze by bylo zajimave vedet, na cem jeli tvurci ipv6 pri jeho tvorbe. Ale co nadelate, kdyz to tak vymysleli a ted nezbyva, nez tu hruzu zavest? Adresy dosly. ISP sice maji neco nasysleno, ale vecne to nevydrzi. Setrvavani na ipv4 povede tak ke zdrazovani adres, cemuz se ISP jiste nebudou branit nebo ke vzniku spojeni stylu rychleho dial-upu, kdy clovek treba na BBS cekal, az se nekdo odpoji od modemu, aby se mohl pripojit.

Re:IPv6 - Pověry a fakta
« Odpověď #6 kdy: 16. 09. 2012, 01:32:07 »
Minimálně v tom bodě 1 máš dost jednostranností a zamlčených předpokladů. Má ale význam o tom flejmovat? Nemá :)

Takže krátce:
1. Přeceňování úlohy firewallů. V ideálním světě by OS na veřejnost vystrkoval jenom ty služby, které vystrkovat má. Realita je jiná, já vím, ale když už se chceš filosoficky zamýšlet, začni tímhle.

2. Předpoklad, že BFU musí umět nakonfigurovat firewall je hodně velká zkratka. Pokud budou FWs v defaultu odmítat spojení zvenku, jediné, co BFU potřebuje, je povolit si nějaké porty, které chce (nějaké ty hry, VOIP apod.). To není žádná jaderná fyzika.

3. hlavní rozdíl oproti NATu je v tom, že NAT limituje uživatele, kteří věci rozumí - dva uživatelé za NATem si prostě nerozjedou dva servery na standardních portech, i kdyby se rozkrájeli. Takže i kdyby platilo, že pro BFU je IPv6=NAT, rozhodně to neplatí pro ne-BFU. Minimálně tohle je obrovský přínos, protože uživatelů za NATem jsou mraky (viz různí lokální ISPs šetřící adresy apod.).

sanyna

Re:IPv6 - Pověry a fakta
« Odpověď #7 kdy: 16. 09. 2012, 06:08:14 »
Vo co tady sakriš jde??? Rada i pouhá informace se mě hodí.... Někdo mi podle všeho hrabe v compu... a nemám z toho zrovna dobrý pocit.... A už vůbec ne proto, že si myslím, že je to můj nejbližší tedy partner..... :-\

Jak to zjistím pls????? :'(

Sten

Re:IPv6 - Pověry a fakta
« Odpověď #8 kdy: 16. 09. 2012, 06:10:03 »
Koukám, že tomu někdo rozumí :)

  • Většina IPv6 „fanatiků“ NAT (a hlavně jeho limity) chápe a proto proti němu bojují.

    Drtivá většina firewallů pro BFU se uživatele zeptá a po potvrzení otevře příchozí port. NAT se neptá, buď otevírá všem nebo nikomu. Anebo už taky mohl vhodný port (typicky pro multiplayery her) otevřít někomu jinému, tak to potom máte smůlu.
  • A co Privacy Extensions? Smyslem IPv6 je, že každý bude mít veřejnou IP adresu, ale ne nutně stejnou, jako to bývá ve světě IPv4. Základem filosofie IPv6 je lokální síť, ne počítač jako u IPv4.
  • DynDNS nejspíše nahradí nějaké Mobile IP služby.

    Tak budete ty firewally zapisovat trochu jinak, no :-)
  • Firmám je pro vnitřní sítě IPv6 více-méně ukradený, stejně tam budou používat ULA, ale pro vnější adresaci je zajímavé (např. kvůli Mobile IP)
  • Firmy, které používají proxy servery, je budou samozřejmě používat i nadále, zato doma je na rozdíl od IPv4 nebudete potřebovat, takže žádnou zlatou éru nevidím.

  • Většině BFU je úplně jedno, jak počítače komunikují, dokud jim fungují jejich aplikace. Spousta aplikací, které jsou pro BFU zajímavé, má ale s NATy problémy.
  • Většina BFU dnes nepoužívá aplikace, které by to potřebovaly, protože jim ty aplikace nefungují, ale to neznamená, že by je nevyužili, kdyby ty aplikace fungovaly. Stejně jako před pěti lety moc nešel v mobilu internet, tak jej BFU nepoužívali, tak dneska nejde v mobilu SIP. Tipuju, že za pět let tak půlka hovorů půjde právě přes SIP.
  • Eh?
  • V tom případě ty dobré ⅔ IT profesionálů zatím nepochopily, jak IPv6 funguje, a pořád se na něj dívají optikou IPv4 (ostatně to je i moje zkušenost s komunikací s různými ISP). Podle vašich argumentů je to nakonec i váš problém. Já mám samozřejmě k různým vlastnostem IPv6 taky výhrady, ale netroufám si tvrdit, že by ten protokol byl navržen špatně. Jestli to nebude tím, že jej znám a běžně používám :)
  • To je vycucané z prstu, ne? Ještě bych věřil, že ⅔ jich nepotřebuje pevnou veřejnou IP adresu, ale nevěřím, že jsou spokojeni za NATem. Teda pokud to nejsou ájtý eksperti.
  • Největší argument je, že P2P spojení půjdou lépe, a v mnoha případech, že vůbec půjdou. A P2P není jenom stahování warezu, ale třeba dříve zmíněný SIP.

IPv4 adresy již došly. Někteří ISP mají větší zásoby a někteří menší, ale všichni připravují přechod na IPv6. On ten NAT není zadarmo a kvůli současnému masivnímu rozvoji cloudů a VPSek je nedostatek veřejných IP adres hodně limitující.

Re:IPv6 - Pověry a fakta
« Odpověď #9 kdy: 16. 09. 2012, 08:15:38 »
tak dneska nejde v mobilu SIP.
SIP v mobilu jde. SIP může fungovat přes proxy. A přesněji řečeno, NAT není problém pro SIP, ale pro RTP.

Rax

Re:IPv6 - Pověry a fakta
« Odpověď #10 kdy: 16. 09. 2012, 09:50:39 »
SIP může fungovat přes proxy. A přesněji řečeno, NAT není problém pro SIP, ale pro RTP.

SIP může fungovat jen tehdy, je-li alespoň jedna strana napřímo v internetu. Jsou-li obě strany každá za svým NATem tak neexistuje síla, která by zajistila spojení se 100 % spolehlivostí. Pochopitelně přeposílání přes nějaký centrální server se nepočítá. S IPV6 to bude fungovat všem a pořád.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:IPv6 - Pověry a fakta
« Odpověď #11 kdy: 16. 09. 2012, 11:55:06 »
Vo co tady sakriš jde??? Rada i pouhá informace se mě hodí.... Někdo mi podle všeho hrabe v compu... a nemám z toho zrovna dobrý pocit.... A už vůbec ne proto, že si myslím, že je to můj nejbližší tedy partner..... :-\

Jak to zjistím pls????? :'(

Waterboarding?

KapitánRUMFree

Re:IPv6 - Pověry a fakta
« Odpověď #12 kdy: 16. 09. 2012, 12:06:53 »
Toz, je pravda, ze by bylo zajimave vedet, na cem jeli tvurci ipv6 pri jeho tvorbe. Ale co nadelate, kdyz to tak vymysleli a ted nezbyva, nez tu hruzu zavest?

Při odkládání (důvod proč to většina odkládá) je alespoň mizivá šance, že se objeví něco lepšího.
Chápu, že to je spíš přání než realita. Asi nám nezůstane nic lepšího než přechod, ale nemyslím si, že máme jediný důvod přechod na něco horšího nějak idiotsky oslavovat nebo pět ódy na "modlu IPv6". Doufám, že tu s námi bude IPv6 podstatně kratší dobu, než byla IPv4.

Re:IPv6 - Pověry a fakta
« Odpověď #13 kdy: 16. 09. 2012, 12:11:46 »
Mate pravdu NAT != firewall. U IPv6 bude firewall nutnosti, takze opravdu budou prichozi spojeni blokovana, podobne jako u dnesiho "NATu".
Jenze u firewallu i BFU otevre port, podivejte sa ve Windows na to okynko s dotazem, jak vzdy vyskoci.
U NATu exituje protokol NAT-PMP. Pomoci neho si PC muze presmerovat na routeru s NATem port na svoji IP. Jenze je to jen pekna teorie. To by kazdy uzivatel musel mit doma verejnou IPv4 a delat si NAT pro pripojeni vetsiho mnozstvi svych pocitacu. V dnesni dobe, kdyz je kazdy za nekolik NATy, to neni realizovatelne.
Napr. u dedy mam 3 NATy: 1. neverejnou IP mi prideli ISP, dalsi NAT mi dela NanoBridge (od kteryho mi ISP nechce dat heslo) a 3. NAT si delam sam na WiFi routeru. 3. NAT je zbytecny, vim ale ten prastary WiFi router nejde jinak nastavit - a stejne by to nicemu nepomohlo.
IPv6 je jedine soucasne zname reseni problemu. Teoreticky by ISP mohl kazdemu uzivateli presmerovat z verejene IP napr. 10 portu, ale nastaveni a slozitost pro uzivatele by byla mnohanasobne vetsi, nez u IPv6.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

KapitánRUMFree

Re:IPv6 - Pověry a fakta
« Odpověď #14 kdy: 16. 09. 2012, 12:50:22 »
Proboha ::)  ::)

1. Nikdy po mě nikdo z domácích zákazníků protunelování portu do vnitřní sítě nechtěl.
2. Žádná "nekomunistická" komerčně nabízená služba se nemůže spoléhat na to, jestli BFU zavolá někoho, kdo mu na firewallu otevře port.

Důvody, proč se to nezmění:
Lidé, kteří říkají, že se to změní, vychází z následujících chybných předpokladů:
A) Myslí si, že každý má přístup k modemu a proto není problém něco nastavit na zařízení. Což je samozřejmě halucinace největší pitomců, protože nikdy nelze zaručit to, že uživatel bude mít k modemu přístup. Z tohoto důvodu se na to žádná komerčně úspěšná firma nemůže spoléhat. (O modemu rozhoduje otec, modem není domácnosti ale třeba společnost, připojení není za centrálním firewallem jako budou uživatelé mobilních telefonů, služba bude schválně blokovaná poskytovatelem a pod.)
B) Neuvažují globálně, v Americe si žádná firma nelajskne zbytečně někomu doporučit otevření portů na firewallu. Pokud ano, pak to musí být taková služba, aby v případě soudního sporu (a Amíci se soudí i o délku hovna) měli dostatečnou finanční rezervu.
C) Ochotu uživatelů se otevřít do Internetu, protože až jim kamarád řekne "No a teď ti může po počítači šmejdit každej!", tak se podělají strachy.