Původní verze protokolu IPv4 je stará čtvrt století, za svého života prošla tolika pomyslnými plastickými operacemi, že dnes připomíná Frankensteina, který drží pohromadě už jen silou vůle. Největší slabiny protokolu IPv4 jsou nedostatek volných bloků IP adres, neschopnost přizpůsobit se časově citlivému provozu a absence dostatečného zabezpečení síťové vrstvy. A na tom vy chcete provozovat svoji nejen firemní komunikaci ještě několik let?
Mobilní hostitelé? Až s IPv6!
Jednotlivé výše naznačené úpravy protokolu byly nutné z důvodu radikální změny demografického složení uživatelů, kteří v době komercionalizace Internetu vyžadovali nové adresy a více typů služeb. I přes veškerou snahu o inovaci ale zůstává IPv4 protokol někde na půl cesty.
Důvod je jednoduchý, IP protokol, tak jak jej používáme dnes, byl navržený pro americké ministerstvo obrany před čtvrt stoletím. To tehdy potřebovalo pouze nějakým způsobem propojit různé typy proprietárních a nestandardních počítačů a sítí do jedné společné. Protokol nikdy nebyl stavěn na tak masivní používání, ke kterému je užíván dnes, a to nejen co do počtu adres, kterých jsou asi jen dvě miliardy (232), ale hlavně také co do řízení a bezpečnosti provozu. Navíc je tu ještě problém se směrováním, ale pěkně popořadě.
1. Nouze o adresy, respektive jejich smysluplné bloky
Před tím, než se objevily mechanismy, které alespoň na čas zbrzdily tempo rychlého čerpání adres, to vypadalo, že bude potřeba přejít na nový protokol nejpozději v roce 1997. Na rok 1996 bylo předpovězeno, že dojdou globální zásoby adresového prostoru třídy B (středně velké sítě).
Internet si sice našel cestu, jak zpomalit vyčerpávání IPv4 adres v podobě schovávání velkých autonomních sítí za NAT a efektivnějším přidělováním adres pomoci tzv. beztřídního adresování (Classless Inter-Domain Routing), jenže jak se nedávno ukázalo, všeho jenom do času. Obě řešení navíc přinášejí nová technologická omezení.
Asi nejpřímočařejší způsob úspory adres je kaskádování sítí pomocí nástroje pro překlad adres – Network Address Translation. NAT funguje tak, že přístupový směrovač (router) sítě mění IP adresy paketů podle toho, zda-li odcházejí do Internetu, nebo naopak přicházejí do lokální sítě. Celá síť si tak vystačí s jedinou veřejnou IP adresou. Bohužel to má jeden zásadní háček, počítače uvnitř nejsou z vnějšího Internetu adresovatelné. Komunikace se tak dá zahájit pouze zevnitř sítě a jedná se vlastně o hrubé porušení nejzákladnějšího principu Internetu, tedy možnosti přímé komunikace dvou zařízení.
V protikladu k tomu stojí rostoucí popularita služeb pro přímou komunikaci mezi uživateli (IM, IP telefonie, videokonference), které musejí pro NAT sítě nasazovat nejrůznější berličky v podobě kontaktních serverů s veřejnými adresami a dalších prostředníků. Navíc, pokud například někdo z vnitřní sítě provede venku útok na nějakou službu, dojde zpravidla k zablokování viditelné veřejné IP, a tím pádem je daná služba nefunkční pro celou síť. IPv6, jehož počet adres je o 2 na 96 více, než u IPv4, řeší nedostatek adres „téměř“ nekonečným adresním prostorem.
Další brzdu rychlého vyčerpávání adres představuje beztřídní směrování (CIDR). To ve zkratce změnilo způsob adresování, rozšířilo agregace cest, čímž se ulehčilo směrovacím tabulkám a přišlo s definicí nadsítí. Co to v praxi znamená a k čemu je to dobré?
Výhoda beztřídního adresování je následující. Třídní rozdělení sice poskytovalo rychlý přehled o velikosti sítě, umožňovalo zachovat si IP adresu po změně ISP, ale představovalo také silnou zátěž pro routovací tabulky (nebyla možná rozšířená agregace cest) a nehorázné plýtvání adresami, zejména v třídě A. Významné množství adres totiž bylo doslova promrháno, protože byly svázány s celým blokem (třídou). Docházelo tak k tomu, že zejména americké úřady a instituce o stovkách zaměstnanců dostávaly bloky o rozsahu 16 777 214 adres, které mohly sotva kdy rozumně využít. Ono ani nejčastěji přidělované bloky třídy B o rozsahu přibližně 65 tisíc adres nebylo vždy možné přidělovat příliš inteligentně.
Způsob alokování IPv4 adres
(IANA je momentálně již mimo hru).
V současnosti se tak IP adresy přidělují namísto toho po CIDR blocích, s velikostí danou příslušnou maskou. Výhodou takovéhoto počínání je menší plýtvání IP adresami, protože namísto pevně daných třídních bloků (zejména u tříd A a B), lze nyní pružně přizpůsobovat velikost bloku velikosti sítě. Přechodem k beztřídnímu adresování se sice již neuvolnily IP dříve přiřazené bloky, ale došlo alespoň k efektivnějšímu rozdělování zbylých adres. Původní architektura adresování protokolu IPv4 znala sítě s 8bitovým (třída A), 16 (B) a 24bitovým (C) číslem sítě, CIDR nahradil pevné kategorie obecnějším sítovým prefixem, který může mít v daném intervalu libovolnou délku (například 20bitovou), takže není třeba se vejít do vymezeného adresního prostoru. Směrovače s podporou CIDR odvozují číslo sítě podle počtu bitů uváděného za lomítkem (např. 192.168.70.2/20).
Poslední „výhoda“ tohoto systému je tvorba tzv. „nadsítí“ (supernetting), což není nic jiného než simulace rozsáhlého adresového prostoru z několika spojitých bloků adres třídy C. Pokud byl totiž dříve někdo nucen budovat sít o více jak 254 hostitelích, musel buď zažádat o třídu B, což bylo při dejme tomu 500 počítačích docela plýtvání (65 034 adres přišlo vniveč), nebo se uskromnit a použít více bloků třídy C. Druhá možnost sebou ale nese úskalí v daném případě sice nutného leč nežádoucího směrování mezi příslušnými síťovými doménami.
Jenže i CIDR je ve skutečnosti spíše berlička a přináší navíc nová technologická úskalí. Tím hlavním je závislost IP adresy na použitém ISP. Pokud změním poskytovatele, musím nyní přejít na jeho IP adresy (které se navíc v poslední době často přečíslovávají), dříve jsem si oproti tomu mohl své adresy při změně ponechat, jen bylo potřeba změnit příslušné položky ve směrovacích tabulkách.
2. Bezpečnost
Současná implementace TCP/IP je dennodenně na Internetu terčem (často úspěšných) útoků, které sahají od odposlouchávání až po aktivní útoky jako Denial of Service. Bezpečnostních rizik spojených s používáním IPv4 protokolem je opravdu hodně. Počítač, který již se jednou dostal do naší autonomní sítě může například obsadit adresu IPv4 jiného počítače nebo sítového zařízení ve stejné podsíti, což zmate síťové směrovače, a ty vytvoří nesprávnou položku ve své mezipaměti ARP (Address Resolution Protocol). Důsledkem je pak to, že veškerá data určená pro počítač s napadenou adresou IPv4 jsou přenášena do počítače útočníka. Efektivní obrana na úrovni IPv4 protokolu prakticky neexistuje.
Neautorizovaný směrovač v autonomní síti může zase jednoduchým zásahem způsobit změnu konfigurace klientů a přesměrování dat po IPv4. Toho lze následně zneužít k útoku DoS (Denial of Service), nebo „únosu“ (přesměrování) přenosu. Výše popsaný problém mimochodem zdaleka netrápí pouze autonomní sítě, ale je zneužitelný i na úrovni samotného „Velkého Internetu“.
Před třemi lety byl na konferenci DEFCON Antonym Kapelou a Alexem Pilosovem prezentován hypotetický útok na páteřní routovací protokol BGP (Border Gateway Protocol) metodou „man in the middle“. Přednáška ukázala, jak lehce lze odposlouchávat příchozí data libovolné vzdálené sítě. Útok je založen na důvěře, kterou mezi sebou mají BGP routery. Jak před historicky nedávnou dobou opakovaně dokázala Čína, a ještě před tím Rusko, obava z podobného útoku byla zcela oprávněná. Přestože je útok ve skutečnosti umožněn hlavně díky ne vždy oprávněné důvěře jednotlivých BGP routerů při vzájemné výměně směrovacích informací, byl by jen těžko efektivní, kdyby současný IP protokol byl již ve výchozím stavu zabezpečený na úrovni protokolu IPSec. Ta byla sice od IPv4 protokolu dodatečně přidána, ale pouze jako nepovinná nadstavba.
3. Směrování
O směrování se sice v souvislosti s ústupem od IPv4 zase tak často nehovoří, ale je to ve skutečnosti také jeden z kritických důvodů k přechodu na novou verzi IP protokolu. IPv4 je totiž svázaný 32bitovou architekturou adresování, dvouúrovňovou hierarchií adresování a třídami adres. Problém je v tom, že hierarchie adresování s pouhými dvěma úrovněmi, které tvoří hostitelský a doménový název/adresa neumožňuje vytvářet efektivní hierarchie adres, jež by mohly směrovače v tak velkém měřítku, jaké představuje dnešní Internet, snadno agregovat. IPv6 oproti tomu nabízí mnohem bohatší schéma adresování, které navíc počítá i s další geometrickou expanzí Internetu.
Když porovnáme IPv4 a IPv6, nalezneme zhruba ještě dalších sedm důvodů pro rychlý přechod na novější verzi protokolu, ale to zase třeba v nějakém článku o IPv6. Jisté je, že současný stav mnoha poskytovatelům (zejména těm velkým) vyhovuje, protože dokud bude hrát na Internetu prim IPv4, nebude tu prostor pro novou konkurenci, prostě proto, že nesežene (nebo jen velmi draho) dostatečný rozsah tolik potřebných adres.