23.03.2015

С 01.06.2015г. все новые пользователи, подключаемые в Бразилии, будут получать и IPv6-адрес. Сейчас 68% бразильских интернет-провайдеров уже используют IPv6. Источник: www.zdnet.com.


  *** Via IPv4 ***  

11.03.2015

На сайте ISOC появился цикл статей про безопасность в IPv6: «IPv6 Security Myths«. Вот краткий перевод-конспект:

Миф первый: я не использую IPv6, и меня это не касается.

Реальность: ваше оборудование может использовать IPv6, вы просто про это не знаете.

 Миф второй: безопасность IPv6 заложена в саму архитектуру протокола и беспокоиться не о чем.

Реальность: протокол был разработан 15-20 лет назад, а за эти годы многое изменилось. Кстати, IPsec — тоже не новый протокол…

Миф третий: отсутствие NAT приводит к ухудшению безопасности.

Реальность: файервол с контролем состояния работает одинаково хорошо как с NAT, так и без NAT.

Миф четвертый: в подсети IPv6 столько адресов, что бесполезно сканировать.

Реальность: диапазон сканирования всегда можно сузить, например хосты с SLAAC вычисляются по ff:fe в середине младшей части адреса. А использование DHCP-сервера приводит к тому, что адреса раздаются последовательно.

Миф пятый: приватные адреса (приватные расширения) спасут от всего!

Реальность: поскольку они «короткоживущие», то это также усложнит и настройку-наладку сети в случае возникновения проблем.

Миф шестой: IPv6 слишком новый протокол, и злоумышленники еще не успели воспользоваться им.

Реальность: Инструменты (программы) для воздействия на сети уже доступны…

Миф седьмой: этот протокол — всего лишь 96 дополнительных бит и ничего нового.

Реальность: это совершенно новый формат. Но запись адресов отличается очень сильно, что может привести к ошибкам в настройке маршрутизации и фильтрации.

Миф восьмой: всё вокруг поддерживает IPv6.

Реальность: Скорее всего, нет! Надпись «Поддерживает IPv6″ скорее всего означает, что на устройстве можно сконфигурировать IPv6 адрес. И всё…

Миф девятый: каких-либо материалов по безопасности в IPv6 нет.

Реальность: Они есть! (см.ссылки на сайте-первоисточнике).

 


Примечание: заметка отображается, как полученная по IPv4, хотя была отправлена из «чистого» IPv6-сегмента. Будем разбираться… :-)


  *** Via IPv4 ***  

10.03.2015

Решили протестировать, какие устройства (из тех, что были под рукой) поддерживают IPv6 через wifi. Собрали тестовую конфигурацию на отдельном интерфейсе Cisco 72xx, настроили в этой подсети DHCP-сервер для работы только с IPv6 (ISC DHCP 4.2.2) и добавили точку доступа Trendnet TEW690AP, предварительно обновив ее прошивку до последней версии.

Для начала протестировали на проводном соединении, убедились что всё работает. После этого перешли на WiFi.

Вот что получили сегодня:

Моб.телефон Nokia 630, wifi. OS Windows Phone 8.1, назначение адреса — через ISC DHCP server. Работает!
Он же, назначение адреса через SLAAC, назначение DNS через DHCP. Работает!

Старенький ноутбук Lenovo IdeaPad S10-3, wifi. OS Windows 7, назначение адреса — через ISC DHCP сервер. Работает!
Он же, назначение адреса через SLAAC, назначение DNS через DHCP. Работает!

Планшет Asus T100T, wifi. OS Windows 8.1, назначение адреса — через ISC DHCP сервер. Работает!
Он же, назначение адреса через SLAAC, назначение DNS через DHCP. Работает!

(добавлено 11.03.2015г.)

Планшет Microsoft Surface (первая версия), wifi. OS Windows RT 8.1, назначение адреса — через ISC DHCP сервер. Работает!
Он же, назначение адреса через SLAAC, назначение DNS через DHCP. Работает!

Планшет Ipad mini, wifi. IOS 7.0.4, назначение адреса — через ISC DHCP сервер. Работает!
Он же, назначение адреса через SLAAC, назначение DNS через DHCP. Работает!

(добавлено 13.03.2015г.)

Моб.телефон Iphone 5S, wifi. IOS 8.1.3, назначение адреса — через ISC DHCP сервер. Работает!
Он же, назначение адреса через SLAAC, назначение DNS через DHCP. Работает!

 


  *** Via IPv4 ***  

01.03.2015

Итоги февраля и первых двух месяцев 2015 года.

Наш IPv6-трафик практически не изменился, и составляет 0.012% от IPv4-трафика. В логах данного сайта за февраль зафиксированы обращения с 223 уникальных IPv6-адресов (с 176 адресов, если считать по уникальным /64), это примерно на 20% меньше, чем в предыдущем месяце.
В «большой» BGP-таблице получаем почти 21342 префикса, от MSK-IX приходит 1170.

 


  *** Via IPv4 ***  

08.02.2015

В конце 2014г.  уровень внедрения IPv6 в Эстонии вырос до 5% в течение четырех недель. Один из эстонских провайдеров (Elion/Estonian Telecom) заменил (или обновил) клиентское оборудование на самое современное. Сеть этого провайдера построена на DSL/GPON/wimax/p2p-ETH технологиях, причем IPv6-трафик передается в одном vlan с IPv4- трафиком. MPLS-сеть построена на оборудовании Alcatel 7750.

Каждому пользователю теперь выделяется в сумме до 4 адресов (и v4, и v6). V4-адреса выделяются при помощи обычного DHCP- сервера, назначение v6-адресов происходит также при помощи DHCP, адрес шлюза берется из анонсов роутера. В этих анонсах нет
информации о DNS. RA передаются как unicast для CPE MAC, то есть другие CPE не видят такого анонса. Для быстрого переключения между роутерами в качестве маршрута по умолчанию используется виртуальный link-local адрес.

Клиентам делегируется префикс /56, период обновления 30 минут, в случае необновления префикс сохраняется за клиентом на 24 часа. Аутентификация клиента проходит по IPv4, используется Опция 82. У клиентов устанавливалось CPE-оборудование с модифицированной прошивкой от OpenWrt. Префикс /56, делегируемый каждому клиенту, разбивается на блоки /64, первый блок резервируется для использования в качестве lo-интерфейсов для управления CPE. Второй блок /64 отдан для LAN и третий — для публичного WiFi (по желанию). По желанию клиента поддерживается stateless DHCPv6 для получения адресов DNS-серверов. Также в CPE есть модуль настраиваемого файервола с поддержкой IPv6. Для упрощения внедрения сначала были настроены L2 ACL для изоляции IPv6-трафика (по типу фрейма ), затем были применены все необходимые обновления, и только после этого началось подключение IPv6-интерфейсов. Возникало много проблем из-за большого количества применяемого у клиентов оборудования.

Сейчас в Эстонии более тридцати тысяч пользователей активно работают через IPv6 (это примерно 15% пользователей данного провайдера), у 81% из них есть хотя бы одно устройство с IPv6-адресом, у 70% таких устройств как минимум два. Наибольший
трафик приходит от Google+Youtube, Facebook and Akamai.

Неплохой результат для страны с населением 1.3 миллиона человек! На очереди — мобильные сети.
Источник: европейская операторская рассылка по IPv6.


  *** Via IPv4 ***  

01.02.2015

Итоги января 2015 года.

Наш IPv6-трафик практически не изменился, и составляет 0.01% от IPv4-трафика. В логах данного сайта за январь зафиксированы обращения с 280 уникальных IPv6-адресов (с 224 адресов, если считать по уникальным /64), это почти на 20% больше, чем в предыдущем месяце.
В «большой» BGP-таблице получаем почти 21000 префиксов, от MSK-IX приходит около 1130.


  *** Via IPv4 ***  

24.01.2015

Одной из главных причин появления и внедрения протокола IPv6 называют слишком малое количество адресов в IPv4. Но так ли это на самом деле? Вот пример рационального подхода: есть страна, где используется всего 1024 адреса. Да-да, тысяча адресов на всю страну!


  *** Via IPv4 ***  

01.01.2015

Итоги декабря и всего 2014 года.

Наш IPv6-трафик не изменился, и составляет всё те же 0.009% от IPv4-трафика. В логах данного сайта за декабрь зафиксированы обращения с 238 уникальных IPv6-адресов (184, если считать по уникальным /64), это практически столько же, сколько было в предыдущем месяце.
В «большой» BGP-таблице получаем 20600 префиксов, от MSK-IX приходит около 1100.

В качестве шутки-развлечения: посмотрите, как можно интерпретировать в цвете ваш IPv6-адрес. Так и просится текст: серый у пацаков, зеленый у чатлан :-)

 


  *** Via IPv4 ***