Ενεργοποίηση

emujabΛογισμικό & κατασκευή λογ/κού

2 Ιουλ 2012 (πριν από 5 χρόνια και 1 μήνα)

216 εμφανίσεις

IPv6 Experiences
Ενεργοποίηση IPv6
•H ενεργοποίηση IPv6 σε έναν server συνεπάγεται
•Νέα διεύθυνση από τη οποία θα γίνονται outgoing connections
ήέά
•Καθυστερ
ή
σεις μ
έ
χρι να κ
ά
νει fallback σε IPv4
•Μη δυνατότητα πρόσβασης σε υπηρεσίες που έχουν IPv4-IPv6 ACLs

Ανάγκηγιαπολιτικήασφαλείαςστονέαδιεύθυνση
Ανάγκη

για

πολιτική

ασφαλείας

στο

νέα

διεύθυνση
•H ενε
ργ
οποί
η
σ
η
IP
v
6 σε έναν service συνεπά
γ
εται
ργηη
γ
•Αλλαγή application, firewall, router ACLs
•Αλλαγές DNS
•Monitoring και επίλυση προβλημάτων χρηστών
2
IPv6 stateless autoconfiguration
•Πλεονεκτήματα
•Άμεσο configuration των clients
•Προβλήματα
•Λειψό configuration
Έλληρθίσ
䑎DN呐
λ

Έλλ
ειψ
η

ρ
υ
θ
μ
ίσ
εων
DNS
,
NTP
κτ
λ
•Παρόλα αυτά λειτουργικό σε dual-stack(DNS over IPv4)
•Stateless DHCPv6 για αποστολή αυτών των στοιχείων
•Γιατί όχι statefull DHCPv6 τελικά;
•Οι IPv6 διευθύνσεις που βγαίνουν από το autoconfiguration είναι
μηεύκολααναγνωρίσιμες
–
μηεπιθυμητόγια
獥牶敲e
μη

εύκολα

αναγνωρίσιμες

μη

επιθυμητό

για
獥牶敲e
•Η IPv6 διεύθυνση είναι εξαρτημένη από την MAC της κάρτας άρα
από την κάρτα. Μη επιθυμητό για servers.
3
IPv6 Privacy Flags
•Πλεονεκτήματα
•Xρήση εφήμερων διευθύνσεων IPv6 για να προστατευθεί η
ανωνυμίατουχρήστηΜίαείναιηπροτιμώμενηκάθεφοράκαι
ανωνυμία

του

χρήστη

Μία

είναι

η

προτιμώμενη

κάθε

φορά

και

αλλάζει σε τακτά χρονικά διαστήματα.

Προβλήματα
Προβλήματα
•Μη χρήσιμο για εξυπηρετητές. Προτείνεται η απενεργοποίηση
του.
4
Application ACLs
•Τα public services δεν έχουν συνήθως πρόβλημα
•Τα private από τη άλλη...
•Συνήθως όποιος ενημερώνει τις ACLs ξεχνάει να ενημερώσει και
την IPv6 έκδοσή τους

?¶?2?Æ?Ì?:?Ï?Î?1?Ç?À?É?Æ?Ì?¿?Ô?Ì?Ò?Ù?Ï?Ô?Ì?/?È?É?2?Ø?Î?Ñ?.?:?Ê?¾?É?¾?:?Î?È?Î?Ð?:?.?Ï?.?:?Î?Ì?È?¿?2?.?È

?¶?2?Æ?Ì

προσθήκη

νέων

χώρων

δικτύου

απλά

κάποιος

παραπονιέται
•Στην αφαίρεση όμως;;;;;
•Π
ρ
οσο
χή
στα IP
v
4 ma
pp
ed addresses
ρχή

•::ffff:192.168.0.1
•Πχ στο bind μπορεί να χρησιμοποιηθούν για να ξεπεραστούν
ά
䅃A
κ
ά
ποιες
ACL
s
5
Server Firewalls
•Η υποστήριξηκαι το εργαλείο διαφέρει ανάλογα
το λογισμικό
•Linux
•ip6tables (άλλο εργαλείο από το iptables αλλά παρόμοιο)

FreeBSD
FreeBSD
•ipfw (ίδιο εργαλείο και για IPv4 και για IPv6για Freebsd >=7)
•Solaris
•ipfilter (οτιδήποτε πριν το Solaris 10 6/06 δεν έχει IPv6 firewall)
•Προτείνεται για λόγους ευκολίας και διαχείρισης η
λή

6
ίίδ

4
(
όί
πο
λ
ιτικ
ή

IPv
6

ν
α ε
ί
ναι
ίδ
ια με το
IPv
4
(
ό
σο ε
ί
ναι
δυνατόν)

ΔΕΝΚΟΒΟΥΜΕΤΟ
䥃䵐I
6
℡℡!
6

ΔΕΝ

ΚΟΒΟΥΜΕ

ΤΟ

䥃䵐I
6

℡℡!
DNS
•Εργαλεία
•Τα διάφορα custom εργαλεία σπάνια έχουν υποστήριξη για IPv6
έ

Τ
ο DNSSEC
έ
ρχεται
•Καλύτερα να γίνει σωστός σχεδιασμός ώστε αποφευχθεί διπλός
κόπος.
κόπος.
•Καλ
ή
π
ρ
ακτικ
ή
ήρή
•Migration path με χρήση αρχικά DNS ονομάτων που είναι αρχικά
IPv6-only, κατόπιν dual αλλά όχι production και τέλος ορισμός
τουτελικούονόματος
του

τελικού

ονόματος

•Πχ smtp6.example.com => smtp46.example.com =>
smtp.example.com
•Προβλήματα θα εμφανιστούν σε όλα τα στάδια.
7
Διάφοραμικροπροβλήματα
•Διάφορα μικροbugs
•Κάποια προβλήματα από resolvers να καταλάβουν τα AAAA
records
records
•Οι DHCPv6 clients είναι σε νηπιακό στάδιο σε κάποιες
πε
ρ
ιπτώσει
ς
, σε άλλε
ς
είναι ανύπα
ρ
κτοι.
ρς
ςρ
•Πολλές εφαρμογές προσπαθούν να κάνουν bind και σε IPv4 και
σε IPv6.
Σεκάποια

το
獯捫ets桡物湧
δημιουργείπροβλήματαγιατον

Σε

κάποια



το

獯捫et

獨慲楮s

δημιουργεί

προβλήματα

για

τον

慤浩渠που βλέπει ένα «port already in use»
•Στο Linux λύνεται με ενεργοποίση τουbindv6only

T
α windows 7 το έχουν ενεργοποιημένο
•Η java δεν το τηρεί

Καθυστερήσειςστο
fallback
Καθυστερήσεις

στο

晡llback
8
Ερωτήσεις
???
9