BEZPEČNOST Z TŘETÍ STRANY - DÍL 21. IPv6 Mýty a skutečnost, Jak jsme na tom

Protokol IPv6 by se měl stát protokolem nové generace používaným v rámci Internetu. Pro odbornou veřejnost dnes už zřejmě nepředstavuje žádnou převratnou technologickou novinku, nicméně málokterá jiná oblast IT budí tak intenzivní emoce a rozporuplné postoje, jako je tomu právě u protokolu IPv6. Zejména v souvislosti s tenčícími se zásobami volných IPv4 adresových bloků začíná být problematika zavádění IPv6 stále častěji konfrontována s každodenní praxí, kde naráží na celou řadu komplikací.

Do jisté míry je tato skutečnost dána poměrně zdlouhavým standardizačním procesem spojeným s obecnou neochotou výrobců hardware, tvůrců software, poskytovatelů a v neposlední řadě uživatelů využívat protokol IPv6 v produkčních systémech. Mnozí IT odborníci dnes stojí před otázkou zavádění IPv6 do existující infrastruktury, tím však velice často narážejí na různé překážky v podobě nedostatku validní a aktuální dokumentace, nedostatku odborníků, implementačních chyb, bezpečnostních aspektů atd. Výsledkem je poměrně značné rozčarování nad skutečným stavem IPv6 a jeho mnohdy zřetelným nesouladem — jednak oproti deklarovaným vlastnostem, a také oproti nejrůznějším plánům a strategiím na zavádění IPv6.

Rozporuplné postoje k IPv6 jsou ještě více přiživovány různými propagačními kampaněmi zaměřujícími se zpravidla na pozitivní rysy protokolu. Tento fakt vede k tomu, že lidé z praxe, kteří jsou konfrontování s IPv6 realitou, se mnohdy nestačí divit, v jakém neutěšeném stavu se některé standardy a konkrétní implementace po patnácti letech vývoje nacházejí. Příkladem může být záležitost autokonfigurace rekurzivních DNS serverů na klientech, nebo oblast bezpečnosti, která je ve valné většině případů odbyta odkazem na bezpečnostní mechanizmy v podobě IPsec-u s konstatováním, že tímto jsou bezpečnostní rizika IPv6 jednou pro vždy vyřešena. Výsledkem těchto rozporů je velice omezené množství reálně fungujících IPv6 sítí, které jsou provozovány spíše jako experiment nebo dílo vzniklé úsilím úzké skupiny nadšenců.

Naštěstí se stále intenzivněji začínají objevovat zdroje informací poukazující na úskalí zavádění IPv6, zejména pak s ohledem na bezpečnostní aspekty. V tomto směru lze jednoznačně doporučit publikaci IPv6 Security (Eric Vyncke, Scott Hogg, Cisco Press), či prezentace z dílny autorů toolkitu pro provádění útoků po IPv6 (vanHauser). Pro čtenáře preferující češtinu (a nejen pro ně) lze doporučit publikaci Pavla Satrapy s názvem IPv6 (edice CZ.NIC), která vás velice čtivě zasvětí do problematiky IPv6. Publikaci můžete navíc získat zdarma v elektronické podobě.

Primární motivací pro vznik tohoto seriálu byla snaha o vyvrácení řady domněnek a dogmat, které kolem protokolu IPv6 kolují, a jejich sladění s praktickou realitou. Inspirací pro tématické dělení se stal web http://www.ip­v6.com, na jehož úvodní stránce najdete odkaz „Top 10 Greatest Features of IPv6“ – velice volně přeloženo jako „10 nejvýznamnějších vymožeností IPv6“. V jednotlivých dílech našeho seriálu se detailněji seznámíme s dílčími vymoženostmi a podíváme se, jak přesně obohatí životy nejen správců, IT specialistů, ale i uživatelů. Cílem není nijak konfrontovat původní ideje, standardy či konkrétní implementace.

Seriál by měl posloužit zejména odborně zaměřeným lidem z IT, kteří stoji před otázkou zavádění IPv6 v sítích, a je pro ně poměrně obtížné se v celé nepřehledné problematice zorientovat. Současně se pokusíme upozornit na případná úskalí, na která je možné narazit, a kde je to možné, pokusíme se poskytnout doporučení. Zdrojem zkušeností budou ve značné míře jednak poznatky získané při zavádění IPv6 v rámci univerzitní sítě Vysokého učení technického v Brně, ale také poznatky kolegů z ostatních univerzit, sdílené v rámci pracovní skupiny pro IPv6, organizované na půdě sdružení CESNET z.s.p.o. V jednotlivých dílech se podrobněji podíváme na následující tematické celky:

  • Dostatečně velký adresový prostor
  • Lepší podpora end-to-end služeb
  • Podpora autokonfigurace
  • Zjednodušené hlavičky
  • Bezpečnostní mechanizmy
  • Podpora kvality služeb
  • Podpora multicastu a anycast provozu
  • Podpora mobility
  • Zjednodušení administrace
  • Snadný přechod ze současného IPv4

Vznik IPv6

První díl dnešního seriálu zahájíme krátkým exkurzem do historie IPv6. Celá historie protokolu IPv6 sahá do roku 1992, kde byla konsorciem IETF, jako důsledek rozrůstajícího se Internetu, vyhlášena prostřednictvím RFC 1550 výzva pro podávání návrhu Internetového protokolu nové generace (pracovně pojmenovaného IPng). Základní požadavky byly následně vyhodnoceny (viz. RFC 1752) a byly ustanoveny pracovní skupiny. V roce 1995, byla uvolněna první sada RFC dokumentů, počínající RFC 1883, definující Internetový protokol nové generace – již pod názvem, jakým jej známe dnes – IPv6. Cílem tvůrců nebylo řešit pouze problém nedostatečného adresového prostoru, ale současně také vyřešit tehdy známé nejpalčivější problémy dosud používaného IP (IPv4) protokolu.

Abychom lépe pochopili motivaci tvůrců, je třeba prvotní myšlenky zasadit do kontextu příslušné doby. Tímto posunem dokážeme lépe porozumět tomu, proč jsou některé myšlenky implementovány z dnešního pohledu poněkud nelogicky a kontroverzně. Je třeba mít na mysli, že v době utváření požadavků na IPv6 byl běžně používaným počítačem PC s procesorem 386 nebo 486, zpravidla s operačním systémem MS DOS 6.22 a s grafickým prostředím Windows 3.11. Na poli síťových systémů kraloval Novel Netware a klienti připojující se sadou protokolů IPX/SPX. S protokolem IP přišla do styku poměrně úzká skupina lidí.

Jednotlivá propojení byla v naších končinách realizována zpravidla prostřednictvím modemů a vytáčených telefonních linek. Byla to doba, kdy málokdo tušil, že Gopherbude za pár let neznámé slovo, a že web dosáhne podoby, v jaké ho známe dnes. O webových prohlížečích v mobilních telefonech, službách, jako je facebook, youtube, wikipedia nebo skype, si mohl někdo jen nechat zdát. Pro představu: v roce 1993 sdružení CESNET provozovalo národní síť s linkou Praha – Brno na rychlosti (na tu dobu neuvěřitelných) 64kb/s.

Je tedy zcela pochopitelné, že v této době se leckteré problémy jevily ve zcela jiném světle než dnes. Záležitosti typu DDoS útoky nebo phishing rozhodně nebyly na pořadu dne. V té době málokdo tušil, že Internet bude růst tak rychlým tempem, jak jsme měli možnost pozorovat. Nelze se tedy divit, že i původní představa o nasazení nového protokolu byla z dnešního pohledu více než optimistická.

Puvodni plan zavadeni IPv6

Původní plán zavádění IPv6
Převzato z Measuring IPv6 Deployment
Geoff Huston, George Michaelson

Původní plán předpokládal, že nový protokol IPv6 se stane přirozeným nástupcem tehdy užívaného protokolu IPv4, a během další dekády protokol IPv4 přestane být zcela zajímavý a prakticky zmizí z povrchu zemského. Jak už to tak s plány chodí, realita se nakonec začala ubírat poněkud jiným směrem. Klíčové přibrždění praktického nasazování IPv6 mu zasadily dvě bolestivé rány. Jednak to byl přechod ke směrování na základě síťové masky (Classless routing) a zejména pak vytvoření mechanizmu překladu adres a portů, dnes označovaný jako NAT.

Tato dvě v podstatě technicky jednoduchá opatření způsobila, že do zavádění IPv6 se nikdo nijak vehementně nevrhl. Výrobci hardware i software se podporou IPv6 ve svých zařízeních nijak zvlášť nezatěžovali. O IPv6 zkrátka přestal (či spíš ani nezačal) být zájem. Služby se na IPv6 nezaváděly, protože nebyli klienti a klienti nebyli, protože neexistovaly služby, ke kterým by se připojovali. Problém vyčerpání volných IPv4 adres se přesunul za daleký horizont, čímž jakoby přestal být viditelný, zhruba v duchu přísloví „Co můžeš udělat dnes, odlož na pozítří a budeš mít den volno.“

Když to nejde po dobrém, půjde to po zlém

Když se do podpory IPv6 nehrnuli výrobci, poskytovatelé připojení a ani uživatelé nikterak nevzpláli touhou po IPv6, začal se problém řešit po politické linii. Vlády jednotlivých zemí, vědomy si vážnosti problému, začaly vypracovávat smělé plány zavádění a přechodu na IPv6. Pro názornost několik příkladů:

  • EU: ADVANCING THE INTERNET Action Plan for the deployment of Internet Protocol version 6 (IPv6) in Europe,Brussels, 27.5.2008, COM(2008) 313 final –
  • USA: Transition Planning for Internet Protocol Version 6 (IPv6), to set the US Federal Agencies a hard deadline for compliance to IPv6 on their core IP networks
  • China: China Next Generation Internet (CNGI) sets out a 5 year plan (2006–2010) for the early adoption of IPv6
  • Korea: IPv6 Promotion Plan II which sets a vision of deploying IPv6 for the public sector by 2010
  • Australia: Preparation Jan 2008-Dec 2009, Transition Jan 2010-Dec 2012, Implementation Jan 2013-Dec 2015

Jak už to tak bývá, vládní prohlášení a plány jsou jedna věc, a realita je zpravidla poněkud odlišná. Příkladem může být zavádění IPv6 v EU, kdy Evropská komise si ve svém akčním plánu centrálně naplánovala závazek zpřístupnění IPv6 Internetu alespoň 25 % uživatelů do roku 2010. Na výsledek odvážného plánu se můžete podívat na webu http://www.ip­v6monitoring.e­u/. Dnes toto číslo nepřesahuje ani 6,5 %.

Ani vláda České republiky nezůstala v aktivitách kolem IPv6 pozadu. Na základě „Zprávy o přechodu na internetový protokol verze 6 (IPv6)“ ze dne 8. 4. 2009, přijala 8. června 2009 usnesení č. 727, ve kterém nařizuje zprovoznění vládních veřejných služeb protokolem IPv6 před koncem roku 2010.A jak to celé dopadlo? Následující tabulka shrnuje, jak se s nařízením jednotlivá ministerstva vypořádala k 19. lednu 2011:

DoménaNSMXWEB
Web vládyvlada.czANOANO
Ministerstvo dopravmdcr.czANOANOANO
Ministerstvo financímfcr.czANOANOANO
Ministerstvo kulturymkcr.cz
Ministerstvo obranyarmy.cz
Ministerstvo práce a sociálních věcímpsv.czANOANO
Ministerstvo pro místní rozvojmmr.cz
Ministerstvo průmyslu a obchodumpo.czANOANO
Ministerstvo spravedlnostijustice.czANO
Ministerstvo školství, mládeže a tělovýchovymsmt.czANO
Ministerstvo vnitramvcr.cz
Ministerstvo zahraničních věcímzv.czANO
Ministerstvo zdravotnictvímzcr.cz
Ministerstvo zemědělstvímze.cz
Ministerstvo životního prostředímzp.cz
Czech Pointczechpoint.cz
Datové schránkydatoveschranky.infoANOANOANO

Legenda:

  • NS – alespoň jeden jmenný server je dostupný prostřednictvím IP­v6
  • MX  – alespoň jeden e-mailový server má záznam po IPv6
  • WEB – adresa www.<doména>  má alespoň jeden záznam v DNS po IPv6

Vidíme, že stav jednotlivých ministerstev je velmi různorodý. Většina institucí se orientuje na vystavení webu prostřednictvím IPv6. Dvě ministerstva se rozhodla dokonce zpřístupnit po IPv6 svůj MX záznam směrující na poštovní servery. Uvedený přehled je třeba brát s jistou rezervou. Samotný fakt, že na příslušný web vede IPv6 adresa, neznamená, že ostatní služby jsou provozovány pod IPv6. V praxi se vládní nařízení mnohdy řeší pouze úvodní stránkou dostupnou po IPv6, a tím je úkol splněn. Osobně toto považuji za lepší řešení než „křečovité“ zavádění IPv6 služeb bez znalosti patřičných důsledků.

Jak si na tom stojíme s IPv6 v sítích dnes

Ponechme pro tuto chvíli stranou plány a strategie a zkusme se podívat, jaké je v současné době zastoupení IPv6 protokolu v sítí. Na Internetu najdeme celou řadu článků různých autorů zabývajících se problematikou dlouhodobého monitorování, zpravidla na úrovni inzerce IPv6 adres v globálních BGP tabulkách. Pro zájemce lze doporučit web Geoffa Hustona, případně za Českou republiku statistiky na nic.cz. Jak můžeme vidět v obou statistikách, počet nově vznikajících AS (autonomních systémů) inzerující IPv4 adresy je ve výrazné přesile oproti AS inzerující nějaký IPv6 prefix. Vypadá to tedy, že do IPv6 se stále nikomu nechce.

Podívejme se ale detailněji na IPv6 z trošku jiné úrovně – a to z pohledu kampusové sítě čítající řádově desítky tisíc koncových zařízení, a s tomu odpovídajícím počtem uživatelů. Jedná se o univerzitní síť, kde je podpora IPv6 zavedená téměř ve všech koncových sítích. Lze tedy s klidem říci, že síť počtem uživatelů i penetrací IPv6 poskytuje už relativně solidní statistický vzorek, na základě kterého lze vyvozovat poměrně relevantní závěry.

Zpravidla bývá zvykem ukazovat, v souladu s principem „grafy vždy rostou nahoru“, jak celkový objem IPv6 provozu každým dnem roste. Pro lepší interpretaci statistik je dáme do kontextu současného IPv4 provozu. Následující graf zachycuje skladbu IPv4 a IPv6 provozu na připojovacích linkách univerzity v průběhu jednoho týdne (od 3.1.2011 do 10.1.211).

Mnozstvi trafficu IPv4 versus IPv6

Celkový objem přenesených dat IPv4 a IPv6 protokolem

Zájemce o to, kde je v grafu zachycen právě onen IPv6 provoz, se musí pozorně zaměřit na ty sotva viditelné zelené oblasti v dolní části grafu. Pokud si data převedeme do řeči čísel, tak týdenní průměr IPv6 provozu lze vyjádřit číslem cca 17 Mb/s, zatímco u IPv4 je toto číslo na úrovni 773 Mb/s. Skladba provozu je tedy 1:45 ve prospěch IPv4, nebo chcete-li IPv6 se podílí pouhým 2,1 procentem na celkovém objemu přenesených dat.

Nutno podotknout, že celkový objem přenesených dat ještě nemusí vypovídat nic zásadního. Na dostatečně rychlé síti není problém, aby jedno či dvě zařízení vytvořila prakticky celý IPv6 provoz. V síti s dostatečnou propustností není problém uměle nagenerovat provoz například 600Mb/s jedním PC zapojeným do sítě, a vytvářet statistiky s takovým průběhem, jaký zrovna potřebujeme. Mnohem objektivnější a zajímavější pohled může poskytnout další údaj, a tím je počet komunikujících zařízení s jedním či druhým protokolem. Následující graf zachycuje počet unikátních IPv4 a IPv6 adres na Internetu navštívených v průběhu jedné hodiny z univerzitní sítě. Zjednodušeně řečeno, s kolika unikátními adresami po celém Internetu univerzitní síť během hodiny komunikovala.

Pocet komunikujicich adres IPv4 versus IPv6

Počet komunikujících adres s IPv4 a  IPv6 protokolem

Vzhledem k tomu, že křivka zachycující komunikaci prostřednictvím protokolu IPv6 je v tomto grafu sotva viditelná, je znázorněna v dalším samostatném grafu s upraveným měřítkem na svislé ose.

Pocet komunikujicich IPv6 adres

Počet komunikujicích adres IPv6 protokolem

Opět si můžeme převést získané statistiky do řeči čísel. V případě protokolu IPv4 během jedné hodiny síť komunikovala průměrně s 340 tisíci unikátními adresami, zatímco protokol IPv6 byl použit pro komunikaci s přibližně dvěma tisíci adres. Pokud vyjádříme podíl protokolu IPv4 versus IPv6, dostaneme číslo 1:180 ve prospěch IPv4, tj. reálně síť komunikuje s přibližně 0,54 % adresami IPv6 protokolem.

Na první pohled by se dalo říci, že není důvod k nějakému znepokojení a statistiky jednoznačně ukazují, že IPv6 je stále okrajová záležitost, prakticky bez reálného dopadu na provoz sítě. Pragmaticky zaměřený člověk si jistě řekne: „To je tedy povyku a řečí kolem IPv6, prostě klídek, pohoda, počkáme, jestli se jim to jejich IPv6 vůbec ujme, a pokud ano, tak pak se tím začneme teprve zabývat.“ Podívejme se ale ještě na jednu statistiku. Ta nám penetraci IPv6 poodhalí z poněkud jiného úhlu.

Třetí průběh v pořadí ukazuje podíl zařízení v jedné z koncových sítí, na níž je zprovozněn jak IPv4, tak IPv6 protokol (dualstack). Na dvou průbězích je znázorněn počet unikátních MAC adres v ARP tabulce (pro IPv4) a neigbour cache (odpovídající struktura ARP tabulce v IPv6 světě).

Počet záznamů v NC a ARP tabulce

Počet adres v cache sousedů (NC) a ARP tabulce

Horní křivka (zelený průběh) zachycuje počet unikátních MAC adres v ARP tabulce. Vyjdeme-li z předpokladu, že všechna zařízení v sítí v současné době mají alespoň jednu IPv4 adresu, pak můžeme tento průběh prohlásit za celkový počet zařízení v sítí. Dolní křivka (červený průběh) zachycuje počet unikátních MAC adres v neighbour cache, tj. ve statistice je zachyceno každé zařízení, které má nakonfigurovánu alespoň jednu IPv6 adresu. Jak vidíme, zde je situace dramaticky odlišná oproti objemu přenášených dat nebo počtu komunikujících zařízení. A zde je právě jádro celého problému. V současné době můžeme na sítích najít více než polovinu připojených zařízení, která:

  • jsou schopná a připravená používat protokol IPv6,
  • mají zpravidla nakonfigurovanou alespoň jednu IPv6 adresu,
  • ve většině případů, aniž by o tom uživatel nebo správce vůbec věděl (probereme detailněji v rámci přechodových mechanizmů),
  • zpravidla nejsou nijak nebo jen minimálně zabezpečena proti nejrůznějším formám útoků (např. firewallem).

Toto číslo zcela jistě bude postupně stoupat s postupným nahrazováním starších operačních systémů bez automaticky aktivované podpory IPv6 (dnes zejména Windows XP). Nahrazovány budou novějšími systémy, kde je podpora IPv6 automaticky aktivována – tj. prakticky jakýkoliv novější operační systém.

Jen pro úplnost uvedeme, že statistika byla záměrně zachycena v síti, kde je vysoké pokrytí uživatelů připojujících do sítě vlastní zařízení, do jejichž konfigurace má správce velice omezené možnosti zásahu (studentská kolej). Tímto získáváme relativně věrohodný přehled o zařízeních, která se běžně připojují do sítě. Je přirozené, že statistika by vypadala trošku jinak v korporátní síti, kde má správce možnost jednotně nastavit politiku jím spravovaných zařízení. Pro naše účely prostředí kolejní sítě mnohem více odpovídá modelu připojování zařízení např. sdílené WiFi sítě nebo připojování domácích počítačů.

Lze z toho něco vyvodit?

V současné době příliš nezáleží na tom, jaký je váš vztah k IPv6, zda si o protokolu myslíte, že je to slepá ulička vývoje anebo skvělý nápad. Jak názorně ukazují statistiky, protokol IPv6 je tady, a to na více než na polovině zařízení v sítí. Bylo by jistě velice naivní myslet si, že všechna tato zařízení jsou dokonale zabezpečená proti nejrůznějším formám zneužití (ukážeme si v dalších dílech seriálu). Situace je o to složitější, že řada chyb v implementacích IPv6 jednak dosud nebyla odhalena, anebo jejich řešení stojí absolutně na okraji zájmu výrobců hardware a software.

Paradoxně se dostáváme do stavu, kdy protokol IPv6 se nepoužívá k tomu, k čemu byl primárně určen (tedy ke komunikaci), ale na mnoha místech vytváří jakési zadní vrátka umožňující snadný vstup do síťové infrastruktury. Je třeba myslet také na skutečnost, že IPv6 neohrožuje pouze samotnou IPv6 infrastrukturu (to by asi ani tolik nevadilo, když ji téměř nikdo nepoužívá), ale výrazným způsobem může ovlivnit chod již existujících zařízení a služeb využívajících IPv4. Neberte tedy prosím existenci IPv6 na lehkou váhu. Prostá ignorace může poměrně zásadním způsobem ohrozit jak samotný chod sítě, tak i chod služeb na ní provozovaných.

Dalším důvodem, proč se IPv6 vůbec zabývat, je fakt, že se jedná o poměrně nový protokol obsahující mnohé novinky a jisté záludnosti. Do jisté míry lze tvrdit, že budoucnost IPv6 je v tuto chvíli jistá a vše je už jen otázkou času. Je zřejmé, že bude docházet k menším či větším změnám ve specifikacích a jejich sladění s reálnou praxí. To ovšem neznamená, že je zde prostor k čekání, až bude vše vyřešeno k dokonalosti, což ostatně nebude nikdy. Čím dříve se začnete problematikou IPv6 zabývat, tím větší množství zkušeností získáte a vyhnete se překvapením v podobě nečekaných problémů – a věřte je jich víc než dost. Věřím, že náš seriál alespoň částečně přispěje ke zlepšení povědomí o IPv6 a bude přinejmenším částečným vodítkem těm, kteří se chtějí nebo musí IPv6 zabývat, ale zatím jim chybí dostatek informací, vědomostí a nebo odvahy.

Zdroj: lupa.cz

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *