Date: Mon, 21 Jan 2002 23:26:48 +0100 From: Henrik Lund Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: IPv6 læser eller skaber den problemer
On Mon, 21 Jan 2002 20:20:42 +0100
"Jesper Skriver" <none@jesper--skriver.dk.lh.bsd-dk.dk> wrote:
> On Mon, Jan 21, 2002 at 02:41:46PM +0100, Henrik Lund Kramshøj wrote:
> > Hej Rødder
> >
> > Nogle stykker ved at jeg er ved at skrive speciale om IPv6 og pt. har
> > jeg en problemstilling som jeg gerne vil diskutere/have input til
> > og hvad er mere naturligt end at spørge hos dem der allerede har IPv6
> > indbygget i operativsystemet :-)
> > (Fra www.KAME.net Platforms with KAME code merged in:
> > FreeBSD 4.0 and beyond, OpenBSD 2.7 and beyond, NetBSD 1.5 and beyond
> > BSD/OS 4.2 and beyond )
> >
> > Spørgsmålet er om IPv6 løser eller skaber problemer, og jeg ønsker ikke
> > blot JA eller NEJ, men hellere eksempler.
> >
> > Første eksempel:
> > IPng processen startede som bekendt med at man erkendte at 32-bit
> > addresser vil være utilstrækkelige på langt sigt.
> > 128-bit adresser i IPv6 løser dette problem - alle kan få RIGELIGT
> > med adresser (freenet6.net giver dig eksempelvis en /48 prefix :)
> >
> > Andet eksempel:
> > Jeg bliver (gang på gang, *av av* fj og Chrille :) konfronteret med
> > dynamisk update af DNS i forbindelse med autoconfiguration og "renumbering"
> > af netværk. Det er ikke shvj opklaret hvordan man på sikker vis kan
> > få opdateret DNS - men vent er det ikke også et problem ved IPv4 ??
>
> Jo - der er faktisk meget værre med IPv4, hvis A6 records ellers tager
> fart, da alle hosts kører med automatisk adresse tildeling, og DNS kan
> ændres med en enkelt linie.
Men er A6 ikke deprecated en smule, for kompleks og for uigennemtænkt ?
- jeg er ret sikker på at jeg har et par posts i den retning på en af IPv6
mailinglisterne (KAME, ipng, IETF en eller anden mailingliste)
(A6 er til forskel fra AAAA records, der giver hele adressen 128-bit, en
delvis opløftning hvor forskellige servere giver dele af svaret - efter
en relativt avanceret/kompleks metode)
Desuden løser den heller ikke problemet med tillid til resultatet, som jeg
tror er klagepunktet. HVIS et netværk ændrer prefix ændres alle adresser
og problemet for klienter bliver derfor at kunne stole på de IP adresser
man får fra DNS - og DNSsec eller lignende løser ikke pt. de problemer, idet
de kræver at der laves signerede records "svar" for alle IPadresser
(har ikke sat mig ind i DNSsec, ret mig gerne hvis du ved mere).
Kunne man lave en form for signeret prefix-signatur ?
Således at serveren lavede en signeret record for hvert prefix ? - og så stole
på at serveren er den den siger den er, og så er de records den sender OK
- der er sikkert en del dygtige DNS folk der arbejder på slige sager pt. og
generelt stoler vi jo på de svar vi får fra DNS, undtagen når vi forbinder
os med SSH hvor vi kræver højere sikkerhed, og derfor bruger keys til OGSÅ
at verificere at serveren er den man forventer (måske det skal udbygges
således at man pr. navn kan gemme serverens hostkey, da den ellers vil
ligne en helt ny - på den nye adresse).
>
> > Det gøres måske mere synligt med IPv6, men er problemet ikke ens for både
> > IPv4 og IPv6 (og hvis er der så nogen grunde til at sparke IPv6?)
>
> Se ovenfor - spark IPv4
Så, så - den skal jo lige holde nogle år endnu :)
>
> > Så hvis du kender til nogle problemer som IPv6 løser, ikke-løser, burde
> > have løst osv. så send en mail TAK.
> >
> > Jeg er nok efterhånden blevet overbevist om at IPv6 er en æstetisk såvel
> > som funktionelt god base for fremtiden - og at problemerne nok til dels
> > svarer til de problemer IPv4 HAR løst hen ad vejen.
>
> IPv6 er nemmere for routere at implementere i HW, da headers er fixed
> længde, og adresse felterne er 32 bit aligned.
Endda 64-bit aligned. Hvis headeren er 64-bit aligned er alle options i første
64-bit og source og destination er begge 64-bit aligned.
>
> Tilgengæld tror jeg ikke på at det som folk siger med at IPsec er
> indbygget i IPv6 betyder noget, da der ikke som sådan er nogen forskel
> på hvad man laver i IPv6 og IPv4.
Forskellen er vel at det er MANDATORY, om man så kan blive enige om at finde
en key osv. er en anden sag (der måske kræver PKI infrastruktur ??)
>
> Men langt det vigtigste jeg kan se med IPv6 er det enorme antal adresser
> man får, og derfor kan man droppe NAT og alle de problemer som NAT giver
> for diverse mærkelige protokoller ...
Hørt!
>
> > Så fat den kritisk pen, og giv mig et skud for boven.
> > (også gerne kritik til arbejdskopien af mit
> > speciale der ligger på www.inet6.dk - der kommer en version 0.40 iaften.
> > Findes også på http://[2001:6c8:7::14]:80/index.html - indtil jeg får
> > opdateret en AAAA record for inet6.dk :)
>
> Din Tunnel er ikke aktiv.
heh - jeg var nok lidt for restriktiv i min IPF conf. Chrille har været på den
tidligere, og den skulle være OK igen - håber jeg.
*snip ipv6 tools ping osv.*
> /Jesper
>
og tak for al den feedback der allerede er kommet!
--
Med venlig hilsen / Best Regards
Henrik Lund Kramshøj, hlk@{sikkerhedsforum|kramse}.dk, lund@diku.dk
"The only secure Microsoft software is what's still
shrink-wrapped in their warehouse..." (Forno)
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:17 CET