Kritisk IPv4-nivå

[abene]

Det begynner å haste med en overgang fra IPv4 til IPv6.

 

Les mer

[Kadmium]

Powertech tilbyr IPv6 til sine kunder, så vidt jeg vet. Kanskje på tide for denne husholdningen å snakke med dem om det. NAT er noe forbanna dritt, selv om det er en livredder.

[King Saul]

At NAT er noe dritt er ingen tvil om. Dessverre har vi disse bedrfitene som ikke en gang vil oppgradere IE fra versjon 6. Lurer på når de blir tvunget til å bruke ipv6...

[ze5400]

Nå er det snart på tide at Telenor og NextGenTel begynner å tilby IPv6.

Dessverre kommer vel ikke noen av disse til å tilby det før deres egne IPv4-blokker begynner å bli magre, noe som effektivt betyr at ingen av de trenger å gå over før godt etter 2012, om jeg har forstått riktig.

[nebrewfoz]

Det kommer ikke til å skje noe før noen tilstrekkelig tunge aktører begynner å føle problemene på kroppen/bunnlinjen. Organisasjoner som NRO (eller IPCC) kan varsle alt de vil, men "det har jo gått bra hittil" er et veldig tungtveiende argument for å ikke gjøre noe ennå.

 

Man kan si hva man vil om NAT-routere, men de beskytter millioner av internettbrukere mot verdens mange crackere og deres botnett. Den dagen alle elektriske apparater i huset ditt har en IPv6-adresse og er på nett, den dagen starter et mye mer omfattende "security race" mellom leverandører og brukere på den ene siden, og crackere på den andre. Hvor ofte må du oppdatere brannmuren på kjøleskapet ditt for å forhindre at en fjortis en eller annen plass morer seg med å tukle med termostatsettingen?

[del_diablo]

Vi trenger at staten tvinger inn IPv6 for å få ut fingern

[arnizzz]

Man trenger ikke NAT for å ha en sentral brannmur.

 

Største problem slik jeg ser det er at applikasjoner ikke er oppdatert for å støtte ipv6.

[tingo]

Man trenger ikke NAT for å ha en sentral brannmur.

Nei, men folk er vant til å tenke "privat ip" = innenfor brannmur, "offentlig ip" = utenfor brannmur.

Hvordan blir det når alt i brannmurloggen er "uforståelige" Ipv6 adresser og du ikke ved første øyekast ser om trafikken kommer utenfra eller innenfra?

 

Se forøvrig diskusjon om IPV6 her.

[Anders Jensen]

Så lenge en har router med brannmur funksjonalitet så er ikke NAT noe sikkerhets tema og hvis man ikke har brannmur så kan det egentlig være det samme. Dessuten er sikkerhetstruslene gjerne på applikasjonslag nå for tiden så en brannmur har også begrenset evne til å beskytte. Dyp pakkeinspeksjon og whitelisting av utgående trafikk kan øke nytten av den. At man har offentlig IP adresse betyr ikke at man behøver å tillate innkommende trafikk.

 

Forøvrig vil jeg tro det er relativt lett å skaffe til veie ledige IP adresser om en bare har nok penger. USA har jo rundhåndet delt ut enorme IP ranges til sine egne bedrifter og organisasjoner den gang Internett var veldig USA sentrisk. Disse kan nok selges for gode penger de neste par åra.

[genstian]

RIPE/NPO burde vel bare si at de avslutter IPv4 i f.eks 2013. Det vil sette fart på ting.

[ATWindsor]

Det kommer ikke til å skje noe før noen tilstrekkelig tunge aktører begynner å føle problemene på kroppen/bunnlinjen. Organisasjoner som NRO (eller IPCC) kan varsle alt de vil, men "det har jo gått bra hittil" er et veldig tungtveiende argument for å ikke gjøre noe ennå.

 

Man kan si hva man vil om NAT-routere, men de beskytter millioner av internettbrukere mot verdens mange crackere og deres botnett. Den dagen alle elektriske apparater i huset ditt har en IPv6-adresse og er på nett, den dagen starter et mye mer omfattende "security race" mellom leverandører og brukere på den ene siden, og crackere på den andre. Hvor ofte må du oppdatere brannmuren på kjøleskapet ditt for å forhindre at en fjortis en eller annen plass morer seg med å tukle med termostatsettingen?

 

Ja, det er jo tydelig, hadde man tankt litt framover så hadde man jo innført ipv6 for lenge siden, det er jo begrensinger pga ipv4 allerede i dag, og det har det vært i mange år.

 

Ellers er det ingenting i veien for en sentral brannmur med ipv6, eller forsåvidt å NATe med ipv6 om man føler det øker sikkerheten så voldsomt. Problemet er at man tvinges til å NATe i dag.

 

AtW

[Lock-Aze]

Bedrifter ser ikke foredelen før den kan måles i kroner og øre, vanlige folk bryr seg ikke før de ikke får internett. Det fungerer jo nå og mange kjører etter filosofien. If it ain't broke, don't fix it

[Samcki]

Kan noen forklare meg hva fordelene er ved IPv6 i forhold til IPv4 annet en flere tilgjengelige adresser?

[Anders Jensen]

Kan noen forklare meg hva fordelene er ved IPv6 i forhold til IPv4 annet en flere tilgjengelige adresser?

Vesentlig mindre CPU intensiv routing og noe mindre CPU intensivt å behandle header hos ende noder. Pluss anycast som kan gi noen fine løsninger for redundans. Tror ikke det er så mye mer egentlig. IP er en ganske enkel protokoll. Å slippe NAT pga flere adresser er imidlertid en enorm økning av muligheter for den gjengse bruker som ikke har fast public IP.

 

Og så glemte jeg at broadcast er fjernet så en slipper en del broadcast problemer og så er det en litt bedre håndtering av automatisk adresse tildeling i nettverk uten DHCP, men DHCP vil ikke forsvinne. Man er vel også garantert ICMP støtte på en IPv6 enhet siden ICMP funksjonalitet er bakt direkte inn i IPv6.

 

..Og mens vi likevel mimrer og editerer så kan jeg legge til automatisk MTU sjekk for en path mellom to noder.

Endret 20. januar 2010 av Anders Jensen

[nree]

Og så glemte jeg at broadcast er fjernet så en slipper en del broadcast problemer og så er det en litt bedre håndtering av automatisk adresse tildeling i nettverk uten DHCP, men DHCP vil ikke forsvinne. Man er vel også garantert ICMP

 

Hvis broadcast blir fjernet, hva blir alternativet til dette?

[Kaymeerah]

2012... året når alt faenskap slår til

[PowerOfNow]

hvorfor er NAT noe tull? fungerer utmerket det.

 

men ja, IPv6 bør komme på plass hos de store aktørene i nærmeste fremtid.

[arnizzz]

hvorfor er NAT noe tull? fungerer utmerket det.

 

men ja, IPv6 bør komme på plass hos de store aktørene i nærmeste fremtid.

 

Det fungerer utmerket for mange protkoller ja. Men enkelte protokoller krever to tilkoblinger begge veier, og legger sin destionation port (som mottakeren skal bruke) i en layer som NAT ikke forstår. Blir vel typisk Layer5 om jeg husker OSI-modellen rett.

 

SIP og FTP er vel to eksempler på det.

[PowerOfNow]

Er da ikke noe problem å kjøre SIP og FTP bak NAT.

 

Poenget er at det er veeeldig få som har behov for noe annet enn NAT.

[arnizzz]

Er da ikke noe problem å kjøre SIP og FTP bak NAT.

 

Poenget er at det er veeeldig få som har behov for noe annet enn NAT.

 

Jo det er et problem. Men i mange routere har man en del hacks for å omgå dette. De har deep-packet-inspection som skriver om pakken.

 

Å sette opp en FTP server bak NAT funker heller ikke spesielt bra.