Jste připraveni na nový Internet?
Dne 3. února 2011 organizace IANA rozdělila posledních pět bloků globálních adres klasického protokolu IP, o kterém budu dále psát jako o IPv4. Tyto bloky (velké přibližně 16 milionů) adres byly rozděleny mezi pět regionálních registrů (RIR). V každém z nich je větší či menší rezerva pro přidělování bloků lokálním registrům (LIR), mimojiné poskytovatelům připojení k Internetu.
Z regionálních registrů nás nejvíce zajímá organizace RIPE NCC, která kromě dalších činností spravuje bloky IP adres určené pro Evropu. Jejími členy jsou velcí i někteří menší poskytovatelé připojení k Internetu a také firmy z jiných oblastí. Jen v česku jsou stovky členů.
RIPE NCC má zásobu těchto bloků, které postupně přiděluje svým členům. Oficiální odhad vyčerpání této zásoby ukazuje na konec roku 2011. Takovéto odhady se vyvíjejí v čase a přesné datum se bude očekávat se napětím, jako se očekávalo vyčerpání globálního registru. Z posledního bloku RIPE NCC bude opatrně přidělovat LIRům přibližně po tisícovkách adres, aby se udržela aspoň nějaká kontinuita.
Ať bude průběh jakýkoli, blížíme se nevyhnutelně stavu, kdy LIRové nebudou moci své potřeby a potřeby svých zákazníků pokrýt z rozsahů od RIPE NCC. Po nějakou dobu ještě budou moci nedostatek vykrývat ze svých vlastních zásob, ale i ty se jednou vyčerpají.
Zákazníci se budou muset uskromnit ještě více, než tomu dělali doteď. Co tedy bude dál a jak se vůbec ve světě Internetu pohybovat?
Překlady adres v koncových sítích
Jedním z pilířů původního Internetu byla takzvaná end-to-end konektivita, kdy každé zařízení na Internetu mohlo navázat komunikaci s kterýmkoli jiným. Nejlépe si to lze představit na zjednodušeném internetovém telefonování, kdy vezmete do ruky telefon, vyťukáte číselnou adresu, a telefon na druhé straně začne zvonit.
Aby toto fungovalo, je potřeba, aby každá firma i každá domácnost, kde je více než jedno internetové zařízení, měla přidělený rozsah veřejných (globálních) IP adres. Každé zařízení v síti dostane některou z IP adres. Každá aplikace na daném zařízení použije nějaké číslo portu (0–65535) pro navázání spojení.
A jak je tomu ve skutečnosti? Domácnosti i mnohé firmy mají IPv4 adresy z privátních rozsahů (192.168.0.0–192.168.255.255, 172.16.0.0–172.31.255.255 a 10.0.0.0–10.255.255.255). Na okraji sítě bývá router, který navíc provádí překlad adres a portů a zprostředkovávají tak komunikaci s okolním světem.
Překlady adres se souhrně označují jako NAT (Network Address Translation). Schovávání více privátních adres za jednu veřejnou se říká IP maškaráda (Masquerade). Zpřístupňování jednotlivých služeb pod společnou veřejnou adresou je realizováno pomocí přesměrování portů.
Tyto překlady adres dokázaly ve své době oddálit vyčerpání IPv4 o mnoho let, za cenu, že koncové počítače nejsou plnohodnotnou součástí Internetu a funguje na nich jen část služeb.
Překlady adres u ISP
U větších poskytovatelů bývá zvykem, že překládající router překládá na veřejnou IP adresu přidělenou od poskytovatele. Menší poskytovatelé často dávají veřejné adresy pouze na požádání, takže se kombinuje překlad u uživatele s následným překladem u poskytovatele. Kvůli kritickému nedostatku adres tuto možnost pravděpodobně brzo zavedou i ti, kteří dosud automaticky dávali zákazníkovi jednu veřejnou adresu pro router.
Překlady adres mimo zákaznickou síť jsou ale úplně něco jiného. Přináší s sebou spoustu problémů, jako je například nedostatečná identifikace koncových sítí i počítačů. Zákazníci sdílejí nejen veřejnou adresu, ale například různá omezení nebo zařazení na blacklisty.
Jediný zákazník tak může svým chováním na síti způsobit problémy ostatním. V případě dohledávání takových problémů navíc nezbývá než sáhnout po logování všech spojení, aby vůbec šly pozdějli přiřadit ke konkrétní přípojce.
Sdílení adres mezi servery
Aplikace tradičně počítají s tím, že každý server má svoji adresu, která je stejná při přístupu odkudkoli. Ve chvíli, kdy server nemá veřejnou adresu jen pro sebe, používá se přesměrování jednotlivých portů na jeho privátní adresu. Mnoho aplikací lze nastavit tak, aby v tomto prostředí fungovaly. Některé, zvláště ty, které ověřují adresu z bezpečnostních důvodů, si s tím úplně neporadí.
Pryč s maškarádou
Ať to vezme člověk z jakékoli strany, překlady adres jsou opravdu užitečné jen ve výjimečných případech. Potkávat je na každém kroku přináší jen hromadu problémů, zbytečných nákladů, a hlavně naprosté technologické zabrždění.
Konkrétně na maškarádu naráží takové jednoduché a užitečné aplikace, jako je telefonování, videohovory, přístup ke vzdálené ploše, sdílení dokumentů a mnoho dalších.
Jakékoli bezpečnostní zdůvodnění nasazení maškarády padá na argumentu, že to vše lze zařídit lépe. O zabezpečení se stará stavový firewall, na zabezpečení soukromí by stejně byl potřeba větší adresní prostor.
Jak z toho ven
Pokud bychom přijali myšlenku, že maškaráda je až na speciální výjimky nežádoucí, jak se ji vlastně zbavíme? Potřebujeme znovu dovést veřejné adresy až na každý koncový počítač. Bude tedy potřeba používat delší adresy, které pokryjí dnešní potřeby.
Delším adresám je potřeba přizpůsobit protokol, a když už jsme v těch změnách, stojí za to vylepšit protokol IP i v dalších směrech. Takto vznikl protokol IPv6, tedy protokol pro nový Internet.
Porovnání adresního prostoru
Adresy protokolu IPv6 jsou dlouhé 128 bitů (16 bajtů), které se dále člení. Nejdůležitější členění dělí adresu na dvě poloviny.
Prvních 64 bitů adresy slouží v koncové síti jako síťový prefix společný všem počítačům. Z toho první tři bity jsou pevně dané pro současný způsob alokace. Připojením devíti bitů získáte prefix, který se přiděluje RIRům, tedy v našem případě RIPE NCC. Dalších dvacet bitů má RIR na identifikaci prefixů, které přiděluje LIRům, například místním ISP.
Tedy ISP, který je členem RIPE NCC, dostává prefix dlouhý 32 bitů, což odpovídá celé adrese IPv4. Z toho je vidět, že se do IPv6 vejde tolik lokálních registrů, kolik bylo v IPv4 adres celkem. Pokud LIR použije na své vnitřní členění 16 bitů, může dávat zákazníkům 48bitové prefixy a nechat jim tak dalších 16 bitů na jejich vnitřní členění. Tím vzniknou potřebné 64bitové prefixy pro koncové sítě.
Přidělování adres
Indentifikátor počítače v síti zabírá 64 bitů, což umožňuje hned několik způsobů přidělování adres. Nejjednodušší z nich je takzvaná bezstavová automatická konfigurace, kdy počítače dostanou přidělený pouze síťový prefix a identifikátor si volí sami. Při samostatné volbě identifikátoru se nejčastěji volí mírně upravená MAC adresa, čímž automaticky získáte statickou (tedy neměnnou) adresu. Druhá nejčastější možnost je volba dočasné náhodné adresy, která vám zajistí soukromí.
Další možností je plánovité přidělování pomocí DHCP serveru z nějakého rozsahu nebo na základě interního identifikátoru počítače (DUID). Pro větší sítě existuje i možnost přidělovat rozsahy DHCP serverům od jejich nadřazených DHCP serverů.
Souběžně s těmito globálními adresami se používá speciální prefix pro linkové adresy, které fungují nezávisle na tom, jestli je na vaší síti zajištěno přidělování adres. To se zvláště hodí v malých domácích a firemních sítích nebo k jednoduchému propojení dvou zařízení mezi sebou.
Celosvětová migrace na IPv6
V nedávné době jsme zažili přechod od anologové televize k digitální. Digitální a analogová televize jsou věci technologici i hardwarově velice odlišné, ale při nějakých těch investicích na straně vysílačů i přijímačů se migrace v jednotlivých oblastech podařila.
IPv6 se připravuje někdy od roku 1994. Stojí na úplně stejných principech jako IPv4. Data se posílají po paketech, směruje se pomocí směrovacích tabulek. Podstatné rozdíly jsou snad jen v adresaci a způsobu přidělování adres.
Ukazuje se, že největší brzdou přechodu od IPv4 k IPv6 není ani tak technologická náročnost či nepřipravenost dodavatelů hardware a software, jako prostý nezájem účastníků internetové komunikace.
Poskytovatelé internetu dostávají od většiny svých zákazníků peníze za konektivitu pomocí protokolu IPv4. V posledním roce se situace výrazně zlepšila, ale IPv6 konektivitu poskytovatelé stále ještě nepovažují za automatickou součást služby „připojení k Internetu“.
Poskytovatelé obsahu a majitelé webových stránek stále ještě nevidí na IPv6 dostatek zajímavých zákazníků. Teprve v posledních dvou letech začali významní hráči na trhu zavádět IPv6, a to ještě velmi opatrně. Webhostingové společnosti ještě nedávno nebraly IPv6 vážně.
Uživatelé, ať už domácí nebo firemní, se pokud možno síťovou infrastrukturou nezabývají, dokud nezjistí, že jim něco nefunguje. Kromě chyb, které si uživatel způsobí sám, naprostá většina problémů souvisí s IPv4 NATem. Nefunguje mi telefonování po internetu, nefunguje mi vzdálená plocha, nemůžu přistupovat na domácí úložiště z venku. Firemní uživatelé si zaplatí zavedení nějakého VPN řešení, i kdyby ho měli používat jen na obcházení maškarády. Domácí uživatelé se smíří s tím, že svět není dokonalý.
Oddalování přechodu na IPv6 způsobilo, že se zpomalil nástup nových internetových zařízení a aplikací. V blízké budoucnosti může toto oddalování způsobit, že nepůjdou nasazovat ani ty, které dosud fungovaly.
Protokoly IPv6 a IPv4 nejsou kvůli délce adresy vzájemně kompatibilní. Stroj, který umí pouze IPv4 nedokáže do odchozích paketů vměstnat adresu protokolu IPv4. Oproti migraci na digitální televizi je potřeba postupovat tak, že se IPv4 a IPv6 používá souběžně, a to po dobu mnoha let.
Pokud byste v současné době chtěli ve vaší síti IPv4 úplně vypnout, museli byste vědět, na které všechny služby potřebujete přistupovat, a služby jednu po druhé zkontrolovat, případně provozovatele přesvědčit, aby přidal podporu IPv6. Pro jednoduché služby jako je přístup na web, se připravuje řešení s překladem adres mezi IPv4 a IPv6, které je velmi podobné tomu v sítích IPv4, jen ještě o něco komplikovanější.
Co tedy IPv6 vlastně přinese
Nejdůležitější věcí, kterou IPv6 přinese je, že nás zbaví nutnosti používat překlady adres. Nikde není psáno, že se nenajdou velmi speciální případy, kdy se překlady adres použijí. Důležitá je ale možnost volby a také to, že vaše síť nebude předem rozbitá či omezená.
V důsledku se výrazně zjednoduší zavádění všech služeb, které jsou založené na přímé komunikaci. Mezi ně patří už zmíněné telefonování včetně videohovorů, přístupy k souborům, vzdálená správa počítačů a mnohé další.
A pak je tu ta věc s vyčerpáním IPv4, o které jsem psal na začátku článku. Takže i kdyby nás nezaujaly výše uvedené výhody IPv6, stejně nemáme na výběr.
A co bezpečnost
Protokol IPv6 má velmi podobné bezpečností vlastnosti jako IPv4. Významnou výhodou IPv6 je povinně implementovaný IPsec, který se ale prosadil i v IPv4. Na lokálních sítích se pro IPv6 připravují různá vylepšení, ale dokud se neprosadí, bude na tom IPv6 stejně špatně jako IPv4.
Zajímavé bezpečnostní implikace má absence maškarády v koncových sítích. Maškaráda sice skrývá vnitřní sítě za jednu IP adresu, ale tím, že to není myšleno jako bezpečnostní opatření, nejsou vlastnosti maškarádujících routerů srozumitelně popsány. Dalo by se říct, že je to jeden velký zmatek.
Zmizení maškarády nejspíš paradoxně bezpečnost sítí zlepší. Překážka, která bránila navazování komunikace zvenčí zmizí, a projeví se potřeba chránit sítě a počítače skutečným firewallem.
Takový firewall je navíc konfigurovatelný, tudíž můžete konkrétní služby nebo i stroje bez problémů z venku zpřístupnit. V kombinaci s IPsecem navíc můžete jednotlivé sítě propojovat šifrovaným kanálem a vyhnete se tím konfiguraci nějaké složitější VPN.
Problémy s IPv6
V současné době největší problémy s IPv6 jsou tam, kde jsou nakonfigurované adresy, případně jen nastavené záznamy v DNS, a přitom IPv6 konektivita nefunguje. Můžou to být různé špatně nastavené routery, servery i uživatelské počítače.
Zajímavé je, že pokud jedna straná má v konfiguraci IPv6 chybu, a druhá strana IPv6 nepodporuje, všechno proběhne v pořádku po IPv4. Lepším řešením, než čekat se zprovozněním IPv6, je samozřejmě na tyto chyby upozornit a zajistit jejich nápravu.
Světový den IPv6
Na 8. června 2011 byl vyhlášen světový den IPv6. Některé velké společnosti, například Google, Yahoo a Facebook, které zatím držely IPv6 jen na speciální adrese (ipv6.google.com, ipv6.www.facebook.com), chystají na tento den testování IPv6 na běžných adresách (www.google.com, www.facebook.com).
Mnozí další se k testování jistě přidají. Nebojte se IPv6. Zprovozněte své služby na IPv6 do 8. června. Kontaktujte své poskytovatele připojení, webhostingy a serverhostingy. Používejte IPv6 a IPsec k bezpečnému propojení vašich poboček. V České republice jsme v mnohém napřed, v řešení bezpečnosti domén pomocí DNSSEC, v používání Jabberu pro běžnou i mezifiremní komunikaci, tak proč ne IPv6?