"Az utolsókat rúgja az IPv4"

Internet, Közösségi média

"Az IP-címek kiosztásáért felelős Number Resources Organization (NRO) mai figyelmeztetése szerint vészesen közeledik az IPv4 tartomány vége, a rendelkezésre álló keret 95 százaléka már elfogyott. Ha a jelenlegi ütemben zajlik tovább a világháló bővülése, 2011 elején végleg elfogyhatnak az IPv4 címek. "Minden érdekeltnek azonnali lépéseket kell tennie az IPv6 bevezetése érdekében" - mondta Axel Pawlik, az NRO igazgatója."

A teljes cikk itt olvasható.

( tompos v | 2010. 10. 19., k – 09:56 )

Ismerek egy ceget, akik most kaptak egy C tartomanyt, merthogy nekik kell a PI tartomany. Jelenleg hasznalnak aktivan vagy 5 IP-t...

Raadasul vmi bagatell osszegert.

Raadasul eloszor csak egy /26-ot vagy /27-et kertek, de azt visszautasitottak, mivel olyat nem route-ol egy szolgaltato sem.

tompos

PI esetén van a RIPE-nál egy 2000 € beugró a tagságra + 325 €/ negyedév szolgáltatási díj. Tehát ha most belépusz, akkor kifizetsz kb. 640.000.- Ft-ot első körben, utána meg évente kb. 350.000.-. 5 címért ez relítív, hogy bagatell összeg-e.
Ha jól tudom, a RIPE figyeli a tartomány kihasználtságát, és ha alacsony, akkor elveszik a tartományt. Szóval az egy dolog, hogy megkapták.

Nem tudom, mi hogyan tortent, par 10K HUF-ot fizettek ki.

Igen, a kihasznaltsagot figyelik _allitolag_, hogy mi a terve ezzel a ceggel, nem tudom.
Mindenesetre ez a figyeles is csak olyan, hogy masik cegnek szinten van PI tartomanya, csak a felet vagy meg annyit sem hasznalnak belole es senkit nem erdekel.

tompos

Raadasul eloszor csak egy /26-ot vagy /27-et kertek, de azt visszautasitottak, mivel olyat nem route-ol egy szolgaltato sem.

/24-nel kisebbet nem oszt a RIPE NCC. Tobb okbol sem:
- route-olni, rdns-t delegalni iszonyatos hekkelesek aran lehet csak;
- irtozatos admin koltsege lenne (per-IP) egy-egy allokacionak;
- meg a mostaninal is brutalisabb fragmentacio lenne, ami a mar amugy is tulterhelt router-eken nem fog segiteni.

Rendben, akkor ne sirjnak, ha elfogy. Ellenben biztositsanak mindenkinek zokszo nelkul, akinek szuksege van ra, attol fuggetlen, hogy kiurul a pool.

Bullshit router tulterheltsegre hivatkozni. A fragmentaciot pedig lehetne csokkenteni szervezessel.

Persze ez csak az en velemenyem. A rev. dns tema meg vegkepp hujeseg. Hol van az leirva, h egy PI range felhasznalo egyben dns szolgaltato is?

tompos

A PI range igény akkor "jogos", ha eltérő routing szabályt szeretnél a többiektől, azaz vagy egynél több, független uplink szolgáltatód van (klasszikus Provider-Independent), vagy az egy szolgáltatódon keresztül az ő több uplinkjén eltérő hirdetésekkel szeretnél megjelenni, és a szolgáltatódnál egyedi eset vagy, nincs több ugyanígy hirdetendő ügyfele.
Ebben az esetben a világ összes sarkában - ahol full BGP-vel mennek - benne kell, hogy legyél egy entryként a routing táblában.

Ha úgy gondolod, hogy nem szeretnél benne lenni minden router routing táblájában, akkor nincs szükséged PI tartományra.

Rendben, akkor ne sirjnak, ha elfogy. Ellenben biztositsanak mindenkinek zokszo nelkul, akinek szuksege van ra, attol fuggetlen, hogy kiurul a pool.

Sirni a userek fognak.
Amugy meg, ha ennyire erdekel a tema, csatlakozz batran a RIPE community-hez - a levlistak nyitottak, meg lehet vitatni mindent.
De biztosithatlak felole, hogy hamar elkuldenek a megfelelo RFC-khez, es ra fogsz jonni, hogy ez a szabvany, mindenki igy csinalja.

Bullshit router tulterheltsegre hivatkozni.

Nem. Probalj meg egy /24-nal kisebb tartomanyt hirdetni BGP-n. A legtobb AS kiszuri az ilyeneket. Amikor terabyte/sec nagysagrendben kell routeolni, akkor nem mindegy, hogy 40K vagy 40M entrynek kell-e hely a szupergyors, 90M+ packet/sec-et lekezelo prociban.

A fragmentaciot pedig lehetne csokkenteni szervezessel.

Nem lehet. Az allokalt tartomanyokat neha visszadjak/visszaveszik (ha nem fizetik a tagsagi dijat/tonkremegy az ISP), vagy meg tobbet kernek. Van egy fix /8-ad, es ugy osztani belole, hogy egyik ISP sose ker tobbet, a masik meg felevente ker meg egy /24-et, es probalj meg legalabb tobbe-kevesbe osszefuggo tartomanyt allokalni neki.

A masik az, hogy ha te ISP vagy, akkor egy /24, 256 IP semmiseg, tenyleg az abszolut minimum (mar ha nem valami mellekallasban futtatott ISP-rol van szo :), tehat igazabol igeny sincs kisebbre.

A PI azert nagyon rossz, mert az egesz biztosan egy kulon bejegyzes lesz a routing tablakban (igy szivatta meg a piratebay is az ugyvedeket - egyszeruen atvittek az IP-t masik szolgaltatohoz, es onnantol ott announce-oltak, ugyvedek meg lestek, hogy akkor most miaszosz van, ugyanazon DNS, ugyanaz az IP, es megint mukodik)

A rev. dns tema meg vegkepp hujeseg. Hol van az leirva, h egy PI range felhasznalo egyben dns szolgaltato is?

Sajnos nem. Ugyanabbol a tortabol kell osztani ugyanis. Vagyis a PI/PA csak egy flag az allokacion, nem forditva.
A revdns nem kotelezo persze, csak szoktak igenyelni az emberek, es ha elolvasod a megfelelo RFC-t (sub-24 revdomain delegation), latni fogod, mekkora otvar hekk-el probaltak megoldani - na ezert sem adnak kisebbet.

( freeoli v | 2010. 10. 19., k – 09:59 )

Fog az még párat rugdosni. De hogy ne felejtsük el, hogy minden szentnek merre is mutat a keze ... a kaliforniai egyetemnek annyi ip-je van mint Kínának összesen :-S

Ezt remelem nem gondolod komolyan. USA-nak sokkal tobb IPv4 cime van mint amennyire szukseguk lehet.. Legalabbis lehetett, amikor kiosztottak maguknak a nagy tartomanyokat.
Forras1: http://www.bgpexpert.com/addressespercountry.php
Forras2: http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.x…
--
ahan nem

Feltéve, hogy ~95 utáni igénylésről beszélünk.
Ugye akik nagy cégként a prehistórikus időkben kaptak (jellemzően /8-as) címtartományokat, azok azt önkéntes alapon szokták (vagy nem szokták) visszaszolgáltatni a köz javára, náluk nem kérdezi senki, hogy kell-e nekik tényleg annyi. Régebben néztem, de simán van ott vagy 10-20 darab olyan /8, amit már régen nem használnak ezek a népek, csak "egyszer jó lesz az még nekünk" alapon tartogatják.

( log69 | 2010. 10. 19., k – 10:00 )

router-ekben egy firmware frissítéssel megoldható lenne a dolog, nem? persze szkeptikus vagyok, mert ebből is majd nyerészkedés lesz, inkább vetetnek új eszközöket gondolom.

- DHCP-re nincs szukseg. Mivel ip cimet kapsz alapbol (radvd es tarsai), valojaban csak egy prefix-et kapsz es abbol general cimet az op rendszer mac alapjan.
- NAT ha jol tudom lehetseges lenne de nincs implementalva, mert minek.
- routolni mindenfelekeppen kell.

Mivel nincs NAT, igy firewall-ra meg nagyobb szerep harul, mivel IPv6 eseteben a szolgaltato egy prefixet ad neked, es azt te oszthatod tovabb az otthoni gepeidre (legalabbis a mostani tuneles megoldasoknal ez van). Szoval az oszes eszkozod kulso IP cimet fog kapni, es kozvetlenul tamadhato a netrol. Szoval IPv6 a kulonbozo worm-ok, virusok, es egyeb kartevok melegagya lesz mivel minden mikro, televizio, es egyeb kutyuk kulso IP-vel fognak kint logni az interneten.

Jo lehet hasznalni DHCPv6-ot, de csak extra dolgokra kell. Egy atlag felhasznalonak tokeletesen megfelel a radvd. En otthon siman megvagyok DHCPv6 nelkul, ipt es routing beallitasokat kapok.

Windows alatt is lehet allitani, hogy random generaljon vagy MAC alapjan. Linux alapbol MAC alapjan general. Mas oprendszert nem probaltam. Attol, hogy random az IP meg nem lesz biztonsagos.

Ez így van, nem lesz biztonságos. Itt olvastam, hogy azért használnak random értékeket alapbeállítás mellett, hogy nehezebben legyen megtalálható véletlen kereséssel: http://www.ipv6.com/articles/general/IPv6-Microsoft-Vista.htm

Ha jól tudom a telekom használ dhcpv6-ot, az adsles ipv6 szolgáltatásánál, egyébként valóban nem szükséges egy teljesértékű ipv6-os hálózat működéséhez.

Nem belédkötni akartam, csak kiegészíteni amit írtál :)
--
ahan nem

Fordítva. Ha a MAC addressből generálják a cím utolsó 8 byteját, akkor sokkal kisebb tartományt kell scannelni, hogy véletlen próbálgatással megtalálják a vírusok a gépet.

Így használják a MAC addresst cím generálásra:
http://standards.ieee.org/regauth/oui/tutorials/EUI64.html

Nagyjából annyi a lényege, hogy a MAC address közepére beszúrnak 0xFFFE vagy 0xFFFF byteokat. Emellett, úgy globálisan tekintve a használt MAC címeket sem random osztogatják, úgyhogy ez jelentősen lecsökkenti a vírusok által scannelendő tartományt. Ezzel szemben ha teljesen random a Interface Identifier, akkor a scannelendő tartomány nagy, és nincs benne rendszer.
--
ahan nem

Nem értem a problémát. Hány olyan vírust tudsz mondani, amelyik úgy terjed, hogy nekiindul és elkezd scannelni ip tartományokat, hogy a potenciális megfertőzendő gépet találhasson?
És ha talál egy elő ipt, akkor mivan?
Továbbra sem értem... Nem azért lesz egy windows vírusos vagy nem vírusos, mert megtudták az ip címét, vagy sem.
--
Discover It - Have a lot of fun!

MSBlaster: http://www.softpanorama.org/Malware/Malware_defense_history/Malware_gal…

This worm scans a random IP range to look for vulnerable systems on TCP port 135.

Sasser: http://www.pchell.com/virus/sasser.shtml

Using one of these IP addresses, the worm then generates a random IP address.

52% of the time, the IP address is completely random.
23% of the time, the last three octets are changed to random numbers.
25% of the time, the last two octets are changed to random numbers.

Because the worm can create completely random addresses, any IP range can be infected.

És nem töltöttem többet fél percnél a kereséssel, nyilván több ilyen is van, ezek relative nagy hírverést kaptak annak idején.
Nyilván nem ezért lesz vírusos egy gép, mert megtudták az ip címét, de ha tudják az ip címét, akkor tudják támadni egy már ismert, vagy még nem ismert hibán keresztül.

--
ahan nem

az egy izgalmas kérdés lesz a generált forgalom nagysága tekintetében, hogyha most egy ügyfélhez egy ipv4-es cím tartozik, ami x millióra nő ipv6 esetén, akkor egy hasznosan feltörhető számítógép kedvéért kettő a sokadikonnal több portscant kell majd végrehajtani...

"Szoval az oszes eszkozod kulso IP cimet fog kapni, es kozvetlenul tamadhato a netrol."
FYI attól még hogy publikus ip címet kap minden eszköz, ugyanúgy ki lehet firewallozni a gatewayen/tűzfalon a forgalmat, mint ipv4 esetén (akár natolt, akár nem)...
--
Discover It - Have a lot of fun!

Miért hárulna nagyobb szerep? Azért, mert minden ugyanaz csak nem kell natolni? Szerintem gondold végig még egyszer, elsőre lehet hogy a nat biztonsági eszköznek látszik, mivel elrejti a valódi belső ip-ket, de ez valójában nem sok mindentől véd. Ha egy forgalmat beforwardolsz belső gépre, az ugyanúgy támadható lesz, a másik esetben meg interneten route-olható címe van egy belső gépnek, de filterezel, és ugyanott vagy a biztonsággal.
---
;-(

azért hárul nagyobb szerep, mivel normális isp nem filterezi/tűzfalazza az user gépét. És az átlag user sem tűzfalazza a gépét. Ha publikus ip címet kap, akkor fullosan tesztelhető/törhető az átlag user gépe.

Ugyanez natolt hálózaton valamivel kevésbé igaz.

elfogadom, hogy épelméjű usernél nem oszt, nem szoroz a nat. De átlag user ettől igen messze van. Átlag usernél gyakorlatilag az egyetlen védelmi vonal a szolgáltatói nat.

"Átlag usernél gyakorlatilag az egyetlen védelmi vonal a szolgáltatói nat."
Ezzel nem értek egyet.

Tegyük fel hogy az átlag user nem 10 éves Windowst használ és/vagy nem 14 éves linuxpistike aki szerint a Linuxra semmi biztonsági megoldás nem kell mert az feltörhetetlen.

Ez esetben a lehetőségek
- A Vistától felfele a Win megkérdezi hogy az éppen feldugott hálózatod otthoni vagy publikus hálózat, és ennek megfelelően állítja be a beépített tűzfalat - rákattint és megvan

- Önmaga be tudja állítani a Win tűzfalát illetve feltesz 3rd party tűzfalprogramot mert hallott erről (a Win kb 2 percenként sikít a tálcáról, ha hiányzik/letiltott a vírusirtó vagy tűzfal, és komolyabb ismeretet igényel a letiltása mint egy tűzfal telepítése - ezt már az XP is tudja)

- A Linuxán/BSD-jén/Plan9-én be tudja állítani a tűzfalat mert tudja, hogy jól felfogott érdeke

Aki ebből kimarad, azok a warez XP userek (hálisten rohamosan csökken a számuk) és a 14 éves linuxpistikék. De ezeknek a gépe amúgy is átjáróház, tűzfallal vagy anélkül...

Nem kell egyetérteni, ki kell menni az átlag ügyfélhez és meg kell nézni a gépét.
Xp-k mindenféle ócska kacatokon. Az már csúcs, ha van rajta service pack, még csúcsabb, ha aktuális.

"Tegyük fel hogy az átlag user nem 10 éves Windowst használ": amennyiben ezt feltesszük, akkor igazad van. A probléma annak bizonyítása, hogy a valóság és a kiindulási feltételezés egybe esik. A tapasztalat az, hogy nem esik egybe.

Az átlag ügyfélnek az is gondot okoz, ha máshova került az explorer ikonja. Nem tud vele mit kezdeni és nem is akarja megtanulni.

Azért, mert NAT esetén a kívülről érkező véletlen próbálkozások jó esetben nem fognak elérni a NATolt gépig. Ez azért jó neked, mert egy csomó worm scannel bizonyos IP tartományokat és bepróbálkozik, hogy az adott gépen van-e olyan szolgáltatás, ami támadható. Ha NAT mögött vagy, akkor a NAToló eszköz ezt nagy valószínűséggel megfogja, publikus IP esetén ez a te dolgod.
http://en.wikipedia.org/wiki/Network_address_translation

Az IPv6 címek pedig 16 byte-osak, és közel sem ugyanaz minden, mint IPv4 esetén :)
http://en.wikipedia.org/wiki/IPv6
--
ahan nem

"Ugyanaz minden, csak a címek 4 bájt helyett 6 bájtosak, és nem kell natolni."
Nyilván lesarkítva értettem...

Az ilyen kis natoló dobozoknak is van alapszintű beépített tűzfala, amivel mondjuk a tcp connectet/icmpt/stb. eldobják, és csak akkor engednek be egy adott portot, ha a dmz-hez kell, vagy forwardoltad valamelyik belső gépre. Ugyanez a tűzfal játszik ipv6-nál is persze, csak ott nem kell forwardolnod, csak egyszerűen beengedni a portot.
--
Discover It - Have a lot of fun!

a kis natoló dobozkában nem a beépített tűzfal funkció az, ami sokat véd (bár az is fontos), hanem az, hogy nincs mire natolni. Hiába támadod meg a 445-ös portját, ha a dobozkában nem figyel ott semmi, a pat táblájában meg nincs egyetlen bejegyzés sem, ami arra a portra vonatkozna. Eldobja a csomagot oszt jónapot. Ezért fog sokat a natoló dobozka.

Ugyanezért számít sokat a szolgáltatói nat, a tűzfal nem találja meg a célját a csomagnak és megy a levesbe.

( kalebris | 2010. 10. 19., k – 10:28 )

ez mindig erdekes amikor errol beszelnek es mindig elgondolkozok, hogy egy nagy websitenak mennyibe kerulne atvaltani ipv6-ra...
Aztan meg arra, hogy hany ipv6 kepes router van a haztartasokban, meg, hogy hany nagy szolgaltato "IPV6 ready".
Itt ahol 30mbites kabel kerul 40 euroba upctol, nincs ipv6 kiosztott cimem de meg csak nem is kerhetek, mert ez egy "unsupported feautre" amire nincs igeny.
Valoban, az atlag end-user leszarja magasrol, hogy mi ujsag van IPv6 teren amig a TV2/RTL/HirTV el nem kezd panikot kelteni, hogy Y2K vagy "Az internetnek nemsokara vege" vagy valami hasonloan frappans, idiotikus cimmel es akkor majd kezd mindenki panikolni es megveszi az egyiket a 3 kereskedelmi forgalomban kaphato ipv6 kepes routerbol es akkor lesz valaki aki majd megnyomja a nagy varazs piros gombot amire IPv6 van rairva es az epkezlab szolgaltatok fognak tudni ipv6-ot. Aztan majd kovetik a tartalomszolgaltatok... De elotte meg lesz egy kis IPv4 feketepiac ahol lehet majd venni a piacon 2 kilo /24-et.....

Sajnos ez mar a valosag, par honapja 10.x-es tartomanybol oszt cimeket a T-Mobile a 'wnw' apn hasznalata eseten. Csak lestunk h miert nem mennek az ipsec tunnelek egyszercsak. Igy most lehet nat-tzni, vagy 'internet' apn-t hasznalni. Persze minden eladott stuffban 'wnw' a deafult apn, szoval nem csodalkozom a lepesen...

A Vodafone alapból privát címet ad mindenkinek, de elég egyszer felhívni az ügyfélszolgálatot, megmondani, hogy te publikusat szeretnél ezentúl, mert szükséged van rá, és onnantól kezdve (esetemben másnaptól) publikus címet kapsz. Nincs plusz költség sem rajta, csak így próbálnak spórolni a szűkös címtartományukkal.

Nagy Péter
www.konquer.org

( PunishR v | 2010. 10. 19., k – 10:41 )

Trey még mindig feleslegesnek érzed a v6ot?

( horvatha | 2010. 10. 19., k – 11:37 )

Én tök hülye vagyok az efféle dolgokhoz. Világosítsatok már fel: van erre valamilyen átfogóbb terv? Országos, a magyar ISP-k felét tömörítő nemhivatalos szervezet, az NIIF vagy bárki adott ki erről valami enyhe ajánlást, ütemtervet, stb.?

Színesen alkalmazkodnék ilyesmihez, ha látnám, hogy tömegesen állunk át IPv6-ra. Elolvasnám, mit kell ehhez tenni otthon és a munkahelyen, megkérdezném a helyi rendszergazdát és az otthoni szolgáltatómat, stb.

El is boldogulnék vele valószínűleg, de csak akkor fektetek bele energiát, ha látom, hogy van értelme és nem zárom ki magam meglevő csak IPv4-et ismerő helyekről.

Azt hiszem, más is van így és az átállás részben az egymásra várás miatt nem indul meg.

Vagy valamit nagyon nem tudok?

Az NIIFI ajánlja, hogy használd. Legalábbis a főbb szolgáltatásaidat tedd így is elérhetővé. Na nem azért, mert a felhasználók már az ajtót verik az IPv6-ért, hanem azért, hogy ha majd itt lesz a nagy BUUUUM akkor ne érjen meglepetésként, hogy akkor ez most mi? Náluk egyébként úgy tudom már mindenhol kérhető/elérhető. (az ADSL-el nem vagyok teljesen biztos, az optikás végeken biztosan ott van már jóideje) Ezt most rendszergazdaként mondom, felhasználói szemszögből egyenlőre sok tennivaló nincs ezügyben. Ha érdekel, járj utána, a beállításba, használatba nem kell sok energiát belefektetni... (értsd: működik)

( uid_4263 v | 2010. 10. 19., k – 12:08 )

Pár (nem olyan sok, max 5) évvel ezelőtt jártam egy félreeső ált. suliba segédkezni a gépek körül.
Akkor ők ha jól emlékszem 15 db publikus, fix ip-vel rendelkeztek (és volt összesen 30 gép, ha az épületben található összes pc-t vesszük).

--
"ktorrent utan az utorrent volt [...] beallithatatlan"
...

( djsilas | 2010. 10. 19., k – 15:43 )

Csak úgy érdekesség képpen: logmein 5.x.x.x hálózata az saját "belső" hálózatuk, vagy azt hivatalosan ők hasznosítják és mondhatni foglalt? Ha lehet hinni az ilyen IPv4 -es visszaszámlálós cuccoknak, akkor ez majd' 10%-a a rendelkeésre álló címeknek...

A logmein egy farok. Csak ugy eldontottok, hogy akkor ok most a 5/8 -as blokkot hasznaljak a virtualis cimekre, es kesz. Volt is jokora anyazas belole, mikor a RIPE NCC megkapta az 5/8 -at az IANA-tol. Utkozesek, miegymas. Nem tudom, mi lett a vege, de a policy szerint nem jogosit extra IP-cimekre, hogy "hat rosszul design-oltuk a rencert, keremszepen".

( ironcat | 2010. 10. 19., k – 16:38 )

Ebből a szempontból szkeptikus vagyok. Szerintem annyi fog történni, hogy 2011 eleje után csak IPv6-os címeket osztanak ki. De ez nem azt jelenteni, hogy az IPv4 gyorsan eltűnik. A vezérelv szerintem az, hogy ami működik, azt ha nem muszáj, akkor ne piszkáljuk. Majd ha valakinek már nem lesz elég a korábban megkapott tartomány, akkor dönt, hogy NAT-ot használ, vagy áttér az IPv6-ra.

-----
"Fontosabb egy jó szomszéd, mint egy távoli rokon." (Árvízkárosult, 2010)

( ablaz | 2010. 10. 20., sze – 08:59 )

Milyen jó lesz:
-Te Béla mondd már meg az IP címed!
-Ő izé... Egyszerűen 2001:0db8:85a3:08d3:1319:8a2e:0370:7334. ...de most miért tökölsz vele ennyit? :D

( uid_17626 | 2010. 10. 20., sze – 20:53 )

Akkor először: 2011 az ipv6 éve! :)

( lgb | 2010. 10. 20., sze – 22:44 )

Most felig-meddig vicc szintjen, de ez a tema ugyanaz kb mint az "ez az en a linux desktop eve" :) [flame megelozese kapcsan, nekem mar 2000 elott is linux desktop eve volt ... masnal nyilvan meg 2010 sem az]

( Zoltan1992 | 2011. 02. 01., k – 18:10 )

Elfogytak az IPv4-es címek.
("Megtörtént: elfogyott az összes internetes cím" - String szokás szerint elcseszte a címet)