Tři důvody proč je konec IPv4 nejen nutný, ale také žádoucí

Karel Wolf , 12. duben 2011 09:20 7 komentářů

Internet
Původní verze protokolu IPv4 je stará čtvrt století, za svého života prošla tolika pomyslnými plastickými operacemi, že dnes připomíná Frankensteina, který drží pohromadě už jen silou vůle. Největší slabiny protokolu IPv4 jsou nedostatek volných bloků IP adres, neschopnost přizpůsobit se časově citlivému provozu a absence dostatečného zabezpečení síťové vrstvy. A na tom vy chcete provozovat svoji nejen firemní komunikaci ještě několik let?

3G
Mobilní hostitelé? Až s IPv6!
Jednotlivé výše naznačené úpravy protokolu byly nutné z důvodu radikální změny demografického složení uživatelů, kteří v době komercionalizace Internetu vyžadovali nové adresy a více typů služeb. I přes veškerou snahu o inovaci ale zůstává IPv4 protokol někde na půl cesty.

Důvod je jednoduchý, IP protokol, tak jak jej používáme dnes, byl navržený pro americké ministerstvo obrany před čtvrt stoletím. To tehdy potřebovalo pouze nějakým způsobem propojit různé typy proprietárních a nestandardních počítačů a sítí do jedné společné. Protokol nikdy nebyl stavěn na tak masivní používání, ke kterému je užíván dnes, a to nejen co do počtu adres, kterých jsou asi jen dvě miliardy (232), ale hlavně také co do řízení a bezpečnosti provozu. Navíc je tu ještě problém se směrováním, ale pěkně popořadě.

1. Nouze o adresy, respektive jejich smysluplné bloky


Před tím, než se objevily mechanismy, které alespoň na čas zbrzdily tempo rychlého čerpání adres, to vypadalo, že bude potřeba přejít na nový protokol nejpozději v roce 1997. Na rok 1996 bylo předpovězeno, že dojdou globální zásoby adresového prostoru třídy B (středně velké sítě).

Internet si sice našel cestu, jak zpomalit vyčerpávání IPv4 adres v podobě schovávání velkých autonomních sítí za NAT a efektivnějším přidělováním adres pomoci tzv. beztřídního adresování (Classless Inter-Domain Routing), jenže jak se nedávno ukázalo, všeho jenom do času. Obě řešení navíc přinášejí nová technologická omezení.

Asi nejpřímočařejší způsob úspory adres je kaskádování sítí pomocí nástroje pro překlad adres – Network Address Translation. NAT funguje tak, že přístupový směrovač (router) sítě mění IP adresy paketů podle toho, zda-li odcházejí do Internetu, nebo naopak přicházejí do lokální sítě. Celá síť si tak vystačí s jedinou veřejnou IP adresou. Bohužel to má jeden zásadní háček, počítače uvnitř nejsou z vnějšího Internetu adresovatelné. Komunikace se tak dá zahájit pouze zevnitř sítě a jedná se vlastně o hrubé porušení nejzákladnějšího principu Internetu, tedy možnosti přímé komunikace dvou zařízení.

V protikladu k tomu stojí rostoucí popularita služeb pro přímou komunikaci mezi uživateli (IM, IP telefonie, videokonference), které musejí pro NAT sítě nasazovat nejrůznější berličky v podobě kontaktních serverů s veřejnými adresami a dalších prostředníků. Navíc, pokud například někdo z vnitřní sítě provede venku útok na nějakou službu, dojde zpravidla k zablokování viditelné veřejné IP, a tím pádem je daná služba nefunkční pro celou síť. IPv6, jehož počet adres je o 2 na 96 více, než u IPv4, řeší nedostatek adres „téměř“ nekonečným adresním prostorem.

Další brzdu rychlého vyčerpávání adres představuje beztřídní směrování (CIDR). To ve zkratce změnilo způsob adresování, rozšířilo agregace cest, čímž se ulehčilo směrovacím tabulkám a přišlo s definicí nadsítí. Co to v praxi znamená a k čemu je to dobré?
Výhoda beztřídního adresování je následující. Třídní rozdělení sice poskytovalo rychlý přehled o velikosti sítě, umožňovalo zachovat si IP adresu po změně ISP, ale představovalo také silnou zátěž pro routovací tabulky (nebyla možná rozšířená agregace cest) a nehorázné plýtvání adresami, zejména v třídě A. Významné množství adres totiž bylo doslova promrháno, protože byly svázány s celým blokem (třídou). Docházelo tak k tomu, že zejména americké úřady a instituce o stovkách zaměstnanců dostávaly bloky o rozsahu 16 777 214 adres, které mohly sotva kdy rozumně využít. Ono ani nejčastěji přidělované bloky třídy B o rozsahu přibližně 65 tisíc adres nebylo vždy možné přidělovat příliš inteligentně.

ipv4
Způsob alokování IPv4 adres
(IANA je momentálně již mimo hru).

V současnosti se tak IP adresy přidělují namísto toho po CIDR blocích, s velikostí danou příslušnou maskou. Výhodou takovéhoto počínání je menší plýtvání IP adresami, protože namísto pevně daných třídních bloků (zejména u tříd A a B), lze nyní pružně přizpůsobovat velikost bloku velikosti sítě. Přechodem k beztřídnímu adresování se sice již neuvolnily IP dříve přiřazené bloky, ale došlo alespoň k efektivnějšímu rozdělování zbylých adres. Původní architektura adresování protokolu IPv4 znala sítě s 8bitovým (třída A), 16 (B) a 24bitovým (C) číslem sítě, CIDR nahradil pevné kategorie obecnějším sítovým prefixem, který může mít v daném intervalu libovolnou délku (například 20bitovou), takže není třeba se vejít do vymezeného adresního prostoru. Směrovače s podporou CIDR odvozují číslo sítě podle počtu bitů uváděného za lomítkem (např. 192.168.70.2/20).

Poslední „výhoda“ tohoto systému je tvorba tzv. „nadsítí“ (supernetting), což není nic jiného než simulace rozsáhlého adresového prostoru z několika spojitých bloků adres třídy C. Pokud byl totiž dříve někdo nucen budovat sít o více jak 254 hostitelích, musel buď zažádat o třídu B, což bylo při dejme tomu 500 počítačích docela plýtvání (65 034 adres přišlo vniveč), nebo se uskromnit a použít více bloků třídy C. Druhá možnost sebou ale nese úskalí v daném případě sice nutného leč nežádoucího směrování mezi příslušnými síťovými doménami.

Jenže i CIDR je ve skutečnosti spíše berlička a přináší navíc nová technologická úskalí. Tím hlavním je závislost IP adresy na použitém ISP. Pokud změním poskytovatele, musím nyní přejít na jeho IP adresy (které se navíc v poslední době často přečíslovávají), dříve jsem si oproti tomu mohl své adresy při změně ponechat, jen bylo potřeba změnit příslušné položky ve směrovacích tabulkách.

2. Bezpečnost

Současná implementace TCP/IP je dennodenně na Internetu terčem (často úspěšných) útoků, které sahají od odposlouchávání až po aktivní útoky jako Denial of Service. Bezpečnostních rizik spojených s používáním IPv4 protokolem je opravdu hodně. Počítač, který již se jednou dostal do naší autonomní sítě může například obsadit adresu IPv4 jiného počítače nebo sítového zařízení ve stejné podsíti, což zmate síťové směrovače, a ty vytvoří nesprávnou položku ve své mezipaměti ARP (Address Resolution Protocol). Důsledkem je pak to, že veškerá data určená pro počítač s napadenou adresou IPv4 jsou přenášena do počítače útočníka. Efektivní obrana na úrovni IPv4 protokolu prakticky neexistuje.
Neautorizovaný směrovač v autonomní síti může zase jednoduchým zásahem způsobit změnu konfigurace klientů a přesměrování dat po IPv4. Toho lze následně zneužít k útoku DoS (Denial of Service), nebo „únosu“ (přesměrování) přenosu. Výše popsaný problém mimochodem zdaleka netrápí pouze autonomní sítě, ale je zneužitelný i na úrovni samotného „Velkého Internetu“.

Před třemi lety byl na konferenci DEFCON Antonym Kapelou a Alexem Pilosovem prezentován hypotetický útok na páteřní routovací protokol BGP (Border Gateway Protocol) metodou „man in the middle“. Přednáška ukázala, jak lehce lze odposlouchávat příchozí data libovolné vzdálené sítě. Útok je založen na důvěře, kterou mezi sebou mají BGP routery. Jak před historicky nedávnou dobou opakovaně dokázala Čína, a ještě před tím Rusko, obava z podobného útoku byla zcela oprávněná. Přestože je útok ve skutečnosti umožněn hlavně díky ne vždy oprávněné důvěře jednotlivých BGP routerů při vzájemné výměně směrovacích informací, byl by jen těžko efektivní, kdyby současný IP protokol byl již ve výchozím stavu zabezpečený na úrovni protokolu IPSec. Ta byla sice od IPv4 protokolu dodatečně přidána, ale pouze jako nepovinná nadstavba.

3. Směrování

O směrování se sice v souvislosti s ústupem od IPv4 zase tak často nehovoří, ale je to ve skutečnosti také jeden z kritických důvodů k přechodu na novou verzi IP protokolu. IPv4 je totiž svázaný 32bitovou architekturou adresování, dvouúrovňovou hierarchií adresování a třídami adres. Problém je v tom, že hierarchie adresování s pouhými dvěma úrovněmi, které tvoří hostitelský a doménový název/adresa neumožňuje vytvářet efektivní hierarchie adres, jež by mohly směrovače v tak velkém měřítku, jaké představuje dnešní Internet, snadno agregovat. IPv6 oproti tomu nabízí mnohem bohatší schéma adresování, které navíc počítá i s další geometrickou expanzí Internetu.

Když porovnáme IPv4 a IPv6, nalezneme zhruba ještě dalších sedm důvodů pro rychlý přechod na novější verzi protokolu, ale to zase třeba v nějakém článku o IPv6. Jisté je, že současný stav mnoha poskytovatelům (zejména těm velkým) vyhovuje, protože dokud bude hrát na Internetu prim IPv4, nebude tu prostor pro novou konkurenci, prostě proto, že nesežene (nebo jen velmi draho) dostatečný rozsah tolik potřebných adres.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 13. duben 2011 07:47

"Protokol nikdy nebyl stavěn na tak masivní používání, ke kterému je užíván dnes, a to nejen co do počtu adres, kterých jsou asi jen dvě miliardy (2^32),..."

Teď to chce ještě článek o nedořešených problémech IPv6....

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 13. duben 2011 22:05

Velky problem je take v tom, ze nejmasoveji rozsireny operacni system nasadime na verejnou IP adresu a bez dodatecneho nebo predsunuteho firewallu vydrzi fungovat jak dlouho? To je hlavni duvod, proc zakaznikum i kdyz ho nechteji, davame pred PC temer vzdy maly router s NATem. A kolik zarizeni pro SOHO dnes umi firewall na IPv6?
Ale je fakt, ze nektere featury IPv6 jsou moudre - jako treba retezeni hlavicek, o cemz tady bohuzel neni ani zminka. A IPv6 adresami se plytva jeste hur nez IPv4 a nema to nic spolecneho s rozvojem internetu - na to se zapomina a za par let se zjisti, ze to nevycerpatelne penzum adres mizi rychleji, nez se cekalo.
Skoda, ze se nevenuje tolik energie do aktivnich siti, ktere resi spoustu napr. i implementacnich problemu (ono kdyz dva vyrobci implementuji stejny standard, tak vime jak to dopada - vsichni se divi, ze se BGP od vyrobce A nedomluvi s BGP vyrobce B a tak se rekne, ze nejlepsi je vyrobce C a vsichni pak nasazuji jednu technologii, aby si nepridelavali praci)

Karel Wolf 13. duben 2011 23:01

<em>"Ale je fakt, ze nektere featury IPv6 jsou moudre - jako treba retezeni hlavicek, o cemz tady bohuzel neni ani zminka. A IPv6 adresami se plytva jeste hur nez IPv4 a nema to nic spolecneho s rozvojem internetu - na to se zapomina a za par let se zjisti, ze to nevycerpatelne penzum adres mizi rychleji, nez se cekalo."</em>

Souhlasim, clanek se venuje primarne IPv4, na ng v6 narazi jen letmo, pokud by o to byl ctenarsky zajem, je mozne na toto tema pripravit samostatny text. Jinak nemyslim, ze by bylo IPv6 samospasitelne, ale je to dnes nejmensi zlo.

<em>"A kolik zarizeni pro SOHO dnes umi firewall na IPv6?"</em>

Hlavni prusvih myslim, je, ze se maloobchody porad snazi doprodavat zastarale IPv4 only kusy, co maji na skladech, jinak by nabidka myslim byla (nechci nikomu delat reklamu).

Sten #5
Sten 15. duben 2011 03:37

Windows XP nevydrží moc dlouho ani za NATem. Windows Vista a 7 naproti tomu mají docela rozumný firewall, který IPv6 umí.

IPv6 adresami se zatím plýtvá docela rozumně (s ohledem na routery), protože se přiděluje (a ještě hodně dlouho bude) jednom z bloku 2000::/3 (kde je nějakých 300 milionů sítí pro každého člověka) a kdyby se náhodou zjistilo, že to není to pravé pro další alokace, tak dalších bloků je pro jiné alokační strategie dostupných ještě sedm.

Pavel Šlechta #7
Pavel Šlechta 16. duben 2011 16:31

Rozhodně jich nezbývá 7, ale méně než 7. Kam byste chtěl zahrnout individualní lokální adresy, multicast apod.?

Mrkněte na http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
tam je přehledá tabulka, jak to ve momentálně je.

pht #6
pht 16. duben 2011 22:18

NAT není firewall. Firewall jde posadit i před zařízení s veřejnou adresou.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů