Ač v září a říjnu byly poznat dozvuky letních měsíců a na poli IPv6 bylo poměrně klidno, rozhodl jsem se vyzobat a zrekapitulovat ty události, které za zmínku stojí. Pojďte si přečíst o zmatcích ohledně IPv6 a NATu, IPv6 jako potenciální hrozbě, o tom, zda má smysl IPv6 v systému vypínat a jak to správně udělat a o mnoho dalších tématech.
V srpnu bylo na poli IPv6 poměrně klidno. Nejen já jsem trávil teplé letní dny spíše u kornoutu zmrzliny a odpočinkem. Během září a října se situace u ostatních mírně zlepšila, u mě však nikoli V zaměstnání jsme měli takříkajíc frmol a tak na aktualizaci nebylo moc času. Pojďme se tedy vrhnout na změny, které by neměly Vašim očím utéct.
NAT a IPv6
Jedním z cílů IPv6 je pokud možno úplné vymýcení (a nezavlečení) překladů adres. Zatím se to daří velmi dobře, až na jednu výjimku. Jediným opravdu plánovaným využitím NATu je překlad mezi IPv6 a IPv4 světem – tedy v přechodovém mechanismu.Z několika nenápadných zpráv se však v nedávné době rozšířila fáma, že do IPv6 bude implementován NAT v takové podobě, v jaké ho známe dnes – tedy pro skrytí sítě počítačů s tzv. privátními adresami za jednu vnější (často veřejnou, ale ani to v poslední době nemusí být podmínkou) IP adresu. Tak přátelé, zachovejte klid, takhle to nebude. Alespoň doufám, zatím to tak nevypadá.
IPv6 jako bezpečnostní hrozba
Další bomba, kterou vypustili do světa ‚IT odborníci‘, se týká automaticky vytvářených IPv6 tunelů. Pokud máte počítač s rozumně starým operačním systémem (Windows, Linux, …), může se stát, že už dnes váš počítač dokáže využít IPv6 zdroje. K tomu může využít buď tunelovací mechanismus 6to4 (to v případě, že máte přímo na PC veřejnou IP adresu) nebo Teredo (kteréžto je automaticky aktivní pouze v operačních systémech Windows). Až sem jde o vlastnost systému, která možná nemusí být vítaná, ale rozhodně není kritická.
Problém může plynout z toho, že ne všechny firewally si s IPv6 poradí, nemluvě o tom, že někteří uživatelé (mezi nimi i autor tohoto blogu) firewall nemají vůbec aktivní. Pak samozřejmě v případě existence výše zmíněných automatických tunelů může dojít k tomu, že porty, které máte otevřené, budou dostupné i potenciálnímu útočníkovi zvenčí.
Proto pokud se chcete podobnému nebezpečí vyhnout, zkontrolujte, zda váš firewall v počítači podporuje i IPv6, případně zakažte automatické vytváření tunelů.
Zakazování IPv6 protokolu
Mimo zákazu automatického vytváření tunelů může dojít i k situaci, že nemáte aktivní žádný tunel a váš poskytovatel internetového připojení nenabízí nativní IPv6 konektivitu a proto nemáte zájem IPv6 jakkoli v počítači mít. V moderních operačních systémech už však často IPv6 najdete a dokonce je i aktivní. Týká se to zejména Windows Vista, Windows Server 2008, rozumně mladých distribucí Linuxu a dalších *NIXových operačních systémů.
V případě systému Linux to sice může přinést kýžený efekt, kdy se počítač nezkouší připojit na IPv6 adresy, v případě systémů Windows Vista a Server 2008 jde však dle mého názoru o zbytečnost. Síťová vrstva Windows Vista a Server 2008 – jakkoli je zkriplená – má totiž jednu úžasnou schopnost či vlastnost. Když totiž nastavíte IPv6 síť mezi vaším počítačem a routerem, systém se pokouší zjistit, zda mimo lokální IPv6 konektivity máte i IPv6 konektivitu do internetu. A pokud ne, nevrací při běžné práci aplikacím AAAA záznamy a tyto se tedy na IPv6 adresy nepřipojují a tudíž by nemělo docházet k žádnému zpoždění při načítání stránek či podobných činnostech.
Pokud už však opravdu musíte IPv6 zakázat, udělejte to pořádně, tedy editací systémového registru. Pokud totiž pouze odškrtnete zaškrtávátko před protokolem IPv6 ve vlastnostech síťového adaptéru, mohou vás potkat velké nepříjemnosti, zejména pokud používáte Windows Server 2008, SBS edici.
Afrika jako lídr v zavádění IPv6
Podle oficiálního blogu ICANN, mezinárodní organizace pro přidělené internetové názvy a čísla, vede v zavádění IPv6 Afrika. Protože takovéto prohlášení od jedné z nejdůležitějších organizací na internetu má velkou váhu, chytla se ho okamžitě média. Ve skutečnosti však jde pouze o relativní čísla, kdy je porovnáván počet IPv6 prefixů a celkový počet čísel autonomních systémů konkrétního regionu.
Ve skutečnosti jde jen o důsledek efektu, kdy se Afrika k ‚internetizaci‘ dostala jako poslední a tak na ni dnes připadá jen malé procento ze všech přidělených čísel autonomních systémů a IPv4 adres. Kvůli různým tunelům dnes nelze jednoznačně říci, kdo v zavádění IPv6 vede, vezmeme-li ale absolutní počet čísel autonomních systémů, které oznamují do světa své IPv6 směrovací informace, bude na tom nejlépe asi Evropa. Není bez zajímavosti, že na druhém místě v počtu viditelných (ku všem přiřazeným) IPv6 prefixů je Německo, Česká Republika je „až“ devátá.
Zajímavým úhlem pohledu by taktéž mohlo být srovnání dostupnosti IPv6 koncovým uživatelům – tam bychom se asi moc vysoko neumístili, protože koncový uživatel u nás prakticky nemá šanci získat nativní IPv6 konektivitu – ani kabeloví operátoři ani poskytovatelé ADSL se do IPv6 nehrnou.
A tím se dostáváme k dalšímu bodu, kterým je
Nepodpora IPv6 v DSL síti Britského Telecomu
Ano, čtete správně. Když jsem nedávno dělal miniprůzkum mezi našimi ADSL operátory, nikdo z nich nebyl schopen IPv6 nabídnout ani odhadnout, kdy jej nabízet budou. Alespoň u nás bez problémů fungují různé 6to4, 6in4 a další tunelovací mechanismy.Ve Velké Británii jsou na tom uživatelé hůře. Nejen že jim operátoři (až na výjimky) IPv6 nedokážou nabídnout, ale dokonce nová síť (honosně nazvaná „21CN, Síť dvacátého prvního století“) tamního dominantního operátora, Britského Telecomu, oficiálně protokol IPv6 nepodporuje. To mimo jiné znamená, že Britský Telecom není schopen zaručit, že skrz jeho síť projdou v pořádku pakety, které mají co do činění s IPv6. A to jak nativním, tak tunelovaným.
A co kabeloví operátoři
Kabeloví operátoři jsou na tom o něco lépe, i když ani oni nemají na růžích ustláno. Podporu IPv6 v kabelových sítích oficiálně doplňuje totiž až standard DOCSIS 3.0. Migrace na nový standard si ovšem vyžádá nákladný upgrade síťového hardware na různých úrovních, od centrálních řídících prvků sítě až po koncové modemy. Vezmeme-li v potaz, že čeští operátoři mnohde pracují ještě s verzí (Euro)DOCSIS 1.0, není důvod migrovat na verzi 2.0, aby posléze při vyčerpání IPv4 adres migrovali na verzi 3.0.
Hybatelé pokroku
Mezi hybatele pokroku můžeme jednoznačně zařadit aplikace, které uživatele motivují k zavádění IPv6 a tlačení na své poskytovatele, aby pokud možno poskytovali nativní IPv6 konektivitu. Mezi tyto hybatele můžeme zařadit např. webové služby či torrenty.
Mezi webovými službami jednoznačně vyniká projekt ipv6porn.com, který si klade za cíl nabídnout uživatelům s IPv6 zdarma lechtivý obsah, za který by při použití pouze IPv4 museli na jiných serverech platit. Realizace tohoto projektu se ovšem neustále oddaluje a tak se objevily jiné projekty, které se snaží tuto myšlenku zrealizovat. U nás jde o server prujem.cz a na Novém Zélandu vznikl ipv6porn.co.nz, který se mi však (na rozdíl od našeho Průjmu) nepodařilo v prohlížeči ani načíst.
Mezi torrenty sice zatím není mnoho obsahu, který by uživatele nalákal, postupně se ale objevují služby, kde lze pomocí IPv6 získat různý obsah. Mezi prvními byl bezesporu IPv6 tracker na SixXS.org a nedávno se přidal i IPv6 tracker pro distribuci oblíbené linuxové distribuce Ubuntu.
Samotné trackery však nemohou fungovat bez kompatibilních klientů a tak přichází na scénu nová verze populárního klienta BitTorrent protokolu, program uTorrent. Ten ve své verzi 1.80 nabízí nejen kompatibilitu s IPv6 trackery, ale zároveň i možnost uživateli automaticky nainstalovat a nakonfigurovat IPv6 protokol a Teredo tunel.
Právě torrenty mohou být – pokud IPv6 implementuje i některý z velkých populárních torrent trackerů – dost velkým hybatelem. Jakožto peer-to-peer síť totiž naplno využijí možnosti přímé komunikace mezi dvěma IPv6 uzly, která v IPv4 kvůli všemožným NATům silně pokulhává.
Windows Server 2008, Microsoft Exchange 2007 Service Pack 1 a IPv6
Mnozí uživatelé produktů Microsoftu, kteří jsou zároveň zastánci IPv6 protokolu, zajisté dlouho vyhlíželi možnost využití IPv6 v operačním systému i v poštovním serveru Exchange. Po dlouhé době se konečně dočkali, první servisní balíček pro Microsoft Exchange 2007 konečně přidává rozumnou podporu IPv6. Ovšem pozor, to vše pouze na Windows Serveru 2008, pokud jste tedy uvažovali o tom, že budete používat Exchange 2007 na Windows Serveru 2003, IPv6 nebudete moci využít.I zde ale platí: pokud IPv6 naopak využívat nechcete, nezakazujte bezhlavě IPv6 ve vlastnostech síťového připojení.
Pavel Satrapa – IPv6, druhé vydání
Pokud jste hledali česky psané tištěné zdroje o IPv6, určitě vám neunikla kniha pana Pavla Satrapy, která je nazvaná prostě IPv6. Její první vydání z roku 2002 však už nekoupíte a její obsah taktéž není v některých částech aktuální.
Pavel Satrapa se proto rozhodl knihu aktualizovat o možnosti nových operačních systémů, změny a doplnění jak protokolu IPv6 samotného, tak různých podpůrných mechanismů (IPv6 a DNS, přechodové mechanismy NAT-PT, NAT64, atp.) a to vše nejprve konzultuje s vámi, potenciálními čtenáři!
Kniha vyjde v Edici CZ.NIC a její aktuální pracovní verze je dostupná na adrese http://knihy.nic.cz/ipv6/ – tamtéž můžete panu Satrapovi v komentářích pod jednotlivými kapitolami zanechat komentář a knihu tak obohatit.
A jedna perlička: pan Satrapa v knize uvádní i adresu tohoto blogu jako jednoho z nejaktuálnějších míst na českém internetu, kde lze najít informace k IPv6. Pane Satrapo, děkuji!
Síťové programování a IPv6
Mezi mnoha Google Alerty mi na téma IPv6 přistál v e-mailové schránce i odkaz na zajímavou knihu o programování v IPv6 sítích.
IPv6 novinky v zemích Českých
A na konec jsem si nechal novinky, které se týkají IPv6 v zemích Českých. Není toho moc, vlastně jen jedna. Na začátku září obdržela IPv6 prefix společnost STARNET, s.r.o., která nabízí své služby v jižních Čechách. Ať už si prefix pořizují z nějakého konkrétního důvodu nebo jen pro testování, oznamují jej do globálních směrovacích tabulek již od třicátého září, čímž předbíhají většinu „velkých poskytovatelů.“