Jak se Česko přepíná na „nový“ internet s IPv6

Ono už se přijde na to jak ten obrovský rozsah zprasit... začne se třeba tím že každý koncák vyfasuje 65536 adres.

I kdyby každý člověk na světě a každý počítač dostal přiděleno 1 bilion adres, tak to není vůbec žádný problém. Pro představu si to číslo zobrazte v kalkulačce. Ten počet adres je fakt nepředstavitelně velkej ;)

;)http://xkcd.com/865/...

Blbost. I kdyby měl každý atom v této galaxii svoji adresu, tak nedojdou. ;)

A kolik obsahuje mléčná dráha (galaxie) atomů ?

Viditelný vesmír je odhadován na 10^80 až 10^100. Pokud jsem dobře vyšťoural odhady hmoty Mléčné dráhy, tak by to mohlo být někde kolem 10^70. Naše sluneční dráha může mít zhruba 10^55 atomů, Země má cca 10^50 atomů.Úplně všech IPv6 adres je 2^128, tj. cca 10^38.
Ale těch atomů může být klidně o pár řádů víc nebo míň - střílím to od boku podle odhadované hmotnosti a počtu vodíkových atomů v jednom kilogramu (cca 10^26), případně třeba uranových atomů (10^24), tam už na nějakém tom řádu nesejde. Každopádně jen na zemi je atomů mnohem, mnohem více. Není už tak podstatné, o kolik řádů je to víc.

A zkusil jsem si přečíst i dovětek? Víte, jakým způsobem se adresy přidělují? Chápete nadsázku?Ale zkusme to věcně - při přidělování IPv6 podle stávajících pravidel nedojde nikdy k tomu, že by byly vyčerpány úplně všechny adresy (koneckonců k tomu nedojde ani u IPv4). Při přidělování IPv6 se (zatím) vychází z toho, že polovina adresy (64 bitů) je síťový prefix a druhá polovina je vytvořena na straně hosta (může to být jedno zařízení nebo domácí síť). Tedy pokud tato pravidla zůstanou zachována, dojde k vyčerpání už u přidělení 2^64 adres síťových prefixů (což je vtipně komentováno právě tím stripem xkcd). Nicméně na druhou stranu je zatím uvolněn k výše popsanému způsobu přidělování jen velmi malý kus z celého adresního prostoru. Pokud by se ukázala tato cesta jako nevhodná, lze do budoucna postup přehodnotit a začít přidělovat jinak. Ale fakt zkuste příště zapnout nadsázku.

Bilion je co ? Nejsme v americe.
BTW říkám třeba "začne" jak to bude pokračovat nevím. A jestli se bude rozdělovat stejným stylem jako kdysi.....

Bilion je normální český bilion (tedy americký trillion), tedy 1 000 000 000 000.
A i kdyby každý dostal bilion bilionů adres, tak stejně pořád nedojdou. Já vím, že je to těžko představitelné, ale je to tak :)

Teď počítám, že s bilionem bilionů jsem to asi přehnal, ale i tak je to prostě moc :)

Moje chyba. Jsem si to spletl s americkým billionem který se píše s dvěma L ... Pro mně by bylo lepší psát exponenty, kdo se v těch jardách a onech má vyznat.

On je rozdíl bojovat s organizovanou armádou narozdíl od spolku partyzánského typu kdy z civilistu se ti během minuty stane bojovník a naopak. Na tento způsob boje ještě nikdo nevyzrál, tam je ti moderní technika k prdu... tak je určená pro boj s pravidelnou armádou.

Že něco šlo v historii rychle je jen dojem daný tím, že o tom čteme na pár stránkách v učebnicích (obrazně řečeno). Naopak reálně je vývoj techniky mnohem rychlejší dnes a to, že se občas zadrhne nějaká drobnost, není moc důležité. Koneckonců ani předchozí protokol se neprosazoval nijak závratně rychle a hodně více či méně lokálních sítí provozovalo dlouho i další protokoly (IPX/SPX, NetBUI apod.).A ohledně válek - pominu teď to, že na válkách se vydělávalo vždy už od starověku (a koneckonců středověké války byly téměř výhradně kvůli zisku a obchodníci tam točili zboží, jak se dalo; a mimochodem korupce v dodavatelských službách třeba potravin a výstroje pro vojsko, byla už tenkrát). Problém dnešních válek je ten, že společnost obecně není ochotna nést následky v podobě úmrtí a zranění vojáků. Viz ten Irák - za jeden rok konfliktu zahynulo více amerických vojáků sebevraždou na území USA než na následky bojových zranění v Iráku. Jenže jeden zastřelený v Iráku se rozmazával (obrazně) na stránkách všech novin aspoň měsíc, zatímco sebevražda nikoho nezajímala. To máte třeba jako s leteckými nehodami - když spadne letadlo s padesáti lidmi, je to téma na týden, ale to, že každý den zahynou na silnicích tisíce lidí, nikoho nezajímá.Jo, a kosmonautika - dnes má NASA bohužel minimální rozpočet. Je to míň než kolik se vyplýtvalo na klimatizaci vojenských stanů na poušti Středního Východu. Naopak, když se letělo na Měsíc, tekly tam peníze bez omezení a nehledělo se na ztráty (a to ani lidské! srovnejte to s dnešní úrovní bezpečnosti).

Tá pomalosť NESÚVISÍ s tým, že je technika ďalej.Pomalosť súvisí s tým, že keď chceš meniť niečo, čo je globálne zabehnuté, tak to zákonite musíš meniť pomaly. Inak sa to technicky, finančne, ani organizačne nedá zvládnuť.Čím je naopak nejaká vec viac lokálna a menej početná, tak sa dá riešiť podstatne rýchlejšie.

Možná to povede k tomu že přispívat půjde jen ze zaregistrovaných a ověřených IP adres...

Protože ho navrhovali akademici a zástupci velkých firem vyrábějících síťový HW a ne síťoví administrátoři.

Ale ono to jde mapovat, zleva 80 nul pak 16 jedniček a pak IPv4 adresa: http://en.wikipedia.org/wiki/IPv6...

Dualstack je pouze dočasné řešení situace "nelze celý svět okamžitě přepnout". Teď tvoří IPv4 většinu provozu, spousta zařízení ani IPv6 neumí, rovněž většina služeb je dostupných pouze na IPv4. Nová zařízení ale už IPv6 umět budou, postupně se bude zvyšovat množství obsahu dostupné "na šestce" a až se časem z IPv4 stane něco nepoužívaného, co bude tvořit jen malou část datového toku, tak se začne vypínat... Samozřejmě, že v mezičase bude postupně přidělování IPv4 adres omezováno více a více, poskytovatelé, kteří dávali veřejné IPv4 adresy zákazníkům začnou nové zákazníky dávat za NAT, případně odebírat adresy i těm, kteří je dostali dřív...

Myslim, ze jste to nepochopil. Dualstack umozni zejmena jiz existujicim pripojenim pomalou migraci na IPv6 pri zachovani soucasneho komfortu sluzeb na IPv4, dokud nebudou odstreneny vsechny mouchy v IPv6 komunikaci. Soucasne pokud bude nove prichozi zakaznik pozadovat vedle IPv6 (kterou dostane primarne) i IPv4, tak ho soupnou za NAT44 a bude vymalovano. Tohle reseni prave zacina byt na poradu dne, tedy pouziti NAT44.

No a policajti můžou sledovat naše mobilní telefony. Asi byste ten svůj měl rychle zahodit...

nie iba policajti, zariadenie na odposluch gsm kupis za par tisic dolarov

Ako má akože súvisieť neanonymita v IPv6 s odpočúvacími zariadeniami pre GSM???
Nijako.

a kde v mojom prispevku vidis zeby to malo suvisiet?

Článok i debata je o IPv6. Ty si na príspevok o sledovaní mobilu (v súvislosti s IPv6) začal písať niečo o odpočúvaní pomocou GSM....
Totálne nesúvisiace veci.

reagoval som na totalne nesuvisiaci prispevok v podvlakne. niesom autista aby mi take nieco malo trhat vlasy :)

Myslenka schovavani se za NAT jde uplne proti principu Internetu. Cely NAT je hack, jak resit nedostatek verejnych adres (tj. odlozit problem na pozdeji, cili na ted ). Proc je dneska neresitelny problem poslat nekomu po Internetu obycejny soubor? Musime sahat k priloham mailu, fileserverum, torrentum. NAT rozbil vetsinu puvodnich protokolu Internetu, protoze porusil jejich zakladni predpoklady. Po zavedeni IPv6 budeme mit konecne sanci mit Internet "dobre".

souhlas ... a pak se té maškarádě říká služba - firewall

přesně tak - většina lidí považuje NAT za bezpečnostní prvek a zaměňuje to s firewallem. Přitom to nemá s bezpečností nic společného, při komunikaci lze relativně snadno podvrhnout adresu z vnitřní sítě (relativně snadno znamená, že na to zatím nejsou nástroje pro script kiddies).Nemluvě o tom, že kvůli NATu ustrnulo mnoho služeb a na jejich úkor se rozvinuly jiné, které sice přes NAT projdou, ale mnohdy za dost nepříjemnou cenu. Viz třeba Skype vs. SIP. Místo decentralizovaného, otevřeného protokolu SIP, který umožňuje skutečnou P2P komunikaci bez jakéhokoli prostředníka (a tedy i hlídače či pokladníka vybírajícího poplatky), tak je nejrozšířenější Skype, který potřebuje supernody, na kterými nemá telefonující člověk kontrolu. Totéž pro další P2P služby - vzájemné sdílení obsahu, vzdálená spolupráce atd.V tomto kontextu mi pak přijde pokaždé úsměvné, když NAT začne obhajovat někdo, kdo současně křičí, že internet je čím dál více hlídaný. A nedokáže pochopit, že právě NAT je jednou z nejjednodušších cest, jak datové toky koncentrovat do několika snadno hlídatelných uzlů.

Teda, odporovat sám sobě v jednom příspěvku, to chce fakt pokročilou schizofrenii Nejdřív píšete, že NAT vlastně žádnou komunikaci neblokuje a pak zase jak strašně brzdí rozvoj služeb, protože blokuje komunikaci Mimochodem pro _SIP_ NAT žádný problém nepředstavuje, problém je následný transport media streamů. A pro ten je NAT stejnou překážkou, jako firewall.

Teda, nepochopit pár odstavců textu, to je pokročilá funkční negramotnost, co? ;)No, a tím jsme si odbyli invektivy ad hominem a zkusme to věcně.
NAT blokuje přístup zvenčí při použití standardních metod - tj. pošlu dotaz na veřejnou IP adresu na předem daném portu, tak NAT neví, kam ten dotaz má přesměrovat. Jediné, co může udělat, že to přesměruje na jednu pevně danou adresu (pokud je tak nastaven). Takže je-li za NATem více počítačů, je to problém. To ale na druhou stranu neznamená, že nelze komunikaci podvrhnout. Základní princip je zjednodušeně takový, že podvrhnu jednotlivé pakety tak, že dojdou na router s veřejnou adresou, ale jako odchozí i cílovou adresu mají z rozsahu vnitřní sítě. A router to s klidem pošle do vnitřní sítě, většina routerů (zejména domácích krabiček) totiž vůbec nemá zapnutou ochranu před tímto typem útoku. Z principu tomu nemůže zabránit NAT, ale jedině firewall.Další možnosti útoku využívají specifických vlastností a chyb jednotlivých zařízení, ale to už není tak podstatné.
No, a nakonec k SIPu - je krásné, jak v prvním odstavci kritizujete něco, co uděláte sám. Tedy cituji "pro SIP NAT žádný problém není ... je NAT stejnou překážkou...". Tak je NAT problém nebo není? Rozhodněte se.Zkusím vám napovědět - zatímco na firewallu vám stačí na povolení SIPu pro všechny počítače za firewallem jediné pravidlo, NAT tohle neumožní. Můžete povolit komunikaci jen jednomu (zkrátka pošlete komunikaci na jednu IP uvnitř sítě). Pokud byste jich chtěl povolit více, musíte využít nestandardní porty, musí to podporovat klienty protistrany, musíte nastavovat pravidla pro každý port atd. Případně využijete prostředníka (virtuální ústřednu) na veřejné IP adrese, který celou komunikaci převede do vnitřní sítě. Tím se ale ztrácí možnosti nezprostředkované P2P komunikace.Tvrdit tedy, že NAT je stejnou překážkou jako firewall, je opravdu těžké nepochopení problematiky.

Ale já ty odstavce pochopil, zato vy vidíte v mém textu něco, co nikde netvrdím (že NAT je stejnou překážkou jako firewall) a to s tím SIPem jste evidentně nepochopil (rozvádím dále). A můžu vás ujistit, že problematiku chápu opravdu dobře.NAT není firewall a dá se obejít, nicméně to jednak vyžaduje, aby byl špatně nastavený (vypnutá ochrana proti IP spoofingu) a to i routery po cestě (dost jich packety s adresami z privátních IP rozsahů zahazuje) a pak je problém dostat ten packet na ten NAT - musíte být těsně u něj, případně se spoláhat na source-routing. Ne, že by to nešlo, ale rozhodně to není tak triviální, jak by se mohlo z vašeho popisu zdát.Co se týče toho SIPu, tak tam koncový uživatel většinou neprovozuje vlastní SIP server, ale na nějaký se připojí (ten je na veřejné IP, SIP zprávy přeposílá a stačí na to normální tracking na NATu, aby se dostaly na správné místo). Lze takhle přeposílat i datový tok přes media proxy, ale je to nešikovné - to je kde říkám, že NAT dělá problémy.Pointa je v tom, že:a) Bez speciální konfigurace to nechodí ani za NATem, ani s veřejnou adresou (předpokládám, že mám firewall)
b) S konfigurací to může chodit jak za NATem, tak za veřejnou adresou.Tedy ani kdyby se přešlo plně na IPv6 neznamená, že problémy s posíláním souborů mezi počítači přestanou - místo NATů budou problém firewally.Samozřejmě když budou mít všechny počítače veřejnou IP, tak bude konfigurace jednodušší než s NATy, to je jasné, ale IPv6 zase přináší jiné problémy - před časem o tom vyšla krásná série článků na Lupě.

Prosím, podívejte se na svůj post znovu. Tu větu "NAT je stejnou překážkou jako firewall" tam máte doslova. To jen k tomu, zda vidím v textu, co tam není.
Problém je, že vy celou dobu vycházíte ze stavu, který je dnes, kdy je velká část schována za NATem. To je už důsledek a proto máte dnes mraky SIP zprostředkovatelů, kteří tento problém musejí řešit. Jenže pokud by zde od začátku fungovalo základní paradigma internetu, tj. umožnění komunikace každý s každý pomocí veřejných adres, tak tohle neřešíte - SIP se může spustit kdokoli, nemusí hledat jiná řešení a souběžně by se řešilo zabezpečení firewallu (a které by bylo mimochodem mnohem dál než dnes, protože by firewall byl přirozenou součástí).Takže pointa je v tom, že firewall musím mít vždy a jeho nastavení musím řešit vždy. To je prostě základ (který ovšem dodnes řada lidí ignoruje, ale to je jedno). NAT v tomhle přidává jen problém navíc, který se musí samostatně řešit, nastavovat, obcházet. Zkrátka to přináší mraky problémů, které by bez NATu vůbec nebyly.Jinak články na Lupě pochopitelně čtu a problematiku sleduju už řadu let. O problémech s IPv6 vím a řada z nich se vyřeší právě až v praxi (nejde vše navrhnout od stolu). Tak je to ale vždy - IPv4 je (byl) také průběžně upravován a doplňován o mnoho vlastností, které v první návrhu vůbec nebyly (stačí už jen NAT). To je normální a nelze kvůli tomu odmítnout nový protokol. Podstatné je to, že nový protokol toho vyřeší podstatně více a problémy lze postupně dořešit a většina z nich díky souběhu obou IP protokolů půjde velmi hladce. Koneckonců mnoho sítí IPv6 provozují a funguje to. To je ten nejdůležitější argument.
P.S.: popis útoku byl zjednodušený a výslovně jsem to psal. Popsal jsem základní princip (a mimochodem, mám v tom popisu chybu - odchozí adresa pochopitelně nemůže být z vnitřní sítě, to by pak nebylo možné komunikaci vrátit). Důležité je, že ten útok vychází ze samotného principu NATu a ochranu před ním zajišťuje jedině firewall, tedy nikoli NAT! A nenechte se ukolébat, tu komunikaci fakt propustí většina zařízení a zejména pak zmíněné domácí krabičky, které jsou na tom s bezpečností fakt tragicky. Zkrátka NAT není bezpečnostní prvek, přináší mnoho problémů a jeho jediná užitečnost je v tom, že fakticky oddálil vyčerpání IPv4 adres o pár let.

Ještě mne tak napadá...Vyjděte ze současné situace - máte síť za NATem chráněnou dobře nastaveným firewallem (takový ideální stav).Zkuste si teď schválně položit dvě otázky (a z nich vycházející další):Co se stane, kdybyste NAT nemusel použít, ale firewall zůstal?
Co se stane, kdybyste vypnul firewall, ale NAT zůstal?Jak to ovlivní bezpečnost? Jak to ovlivní řešené problémy? Jak to ovlivní správu sítě?

suhlas, nat ma sral skoro cele desatrocie. v case ked este filehostingy ci ine hostingy neboli, ci boli za velke peniaze bolo poslat subor nepredstavitelny problem. pritom ipv6 tu je uz hooodne dlho

Na druhou stranu nebudeš muset poklekat s 200 kč v ruce před ISP, aby ti přidělil veřejnou pevnou IP, která také není k zahození.

přesně, mně je fuk jak píšou v článku, že to nepodoruje můj tablet. Mně by už teď stačilo, že bych ušetřil každý rok 600 Kč za pevnou IP ... za koncového uživatele s tím tedy nemám problém, tedy pokud bude na trhu dostatečná nabídka zajímavých routerů.

Aha, veřejnou budou mít všichni, tak se o těch 200,- Kč zdraží a je to...

Tak jisty bych si tim nebyl. Mnoho spolecnosti tlaci na myslenku zachovani NATu i v IPv6. Nejsem si jist jestli uz existuje RFC, ale pokud ne, tak pravdepodobne brzy jiz bude. Duvod muze byt rize z duvodu zachovani soukromi, ale i jine.

Protože NAT slouží i k mnoha jiným věcem, než jen rozšíření adresního prostoru (a zachování soukromí není IMHO na předních místech, už proto, že k tomu NAT až tak nepomáhá).

myslíš? :) ono se z pohodlnosti najde většina poskytovatelů, která bude natovat i IPv6 :)