1. Насколько ощущается нехватка IPv4 адресов непосредственно в работе ВАШЕЙ организации?

[sdy_moscow]

Друзья, для понимания необходимости поднятия вновь дискуссии о дальнейшей судьбе IPv4 на встречах RIPE и RIPE NCC хочу изучить насколько актуален для ваших организаций вопрос IPv4 и перехода на IPv6.

 

Пожалуйста, по возможности, пройдите этот опрос! Это очень важно для меня.

[SOFTOLAB]

Где опрос?

Если бы v6 не была такой кривой и слабоприспособленной для прода, может быть и выстрелила бы, а так там глаза кровоточат даже при просмотре адресов, молчу уж про изучение логов с IPv6.

 

Ната тоже не завезли для тех кому он нужен, вобщем полный провал.

Изменено 4 ноября, 2020 пользователем SOFTOLAB

[alexgreat]

Я не планирую использование ipv6

[lugoblin]

Моя организация в основном разрабатывает софт, ещё занимаемся консалтингом по IT, в том числе по инфраструкуре и сетям, примерно с 2010-го года.TI для наших клиентов, как правило, не профильное направление. Размер типичного клиента -- 100-2000 сотрудников, 2-10 каналов в Интернет,

Много работаем с приватными и оверлейными сетями, чуть-чуть с публичными, всё на IPv4. Взаимодействие с публичными IP сетями всегда через какого-нибудь провайдера: on-premises, в коммерческих датацентрах или в облаке.

 

Нехватки адресов IPv4 непосредственно не ощущаем, но наслышаны. Провайдеры, обычно, дают сколько попросим (просим по малому, /29, /28 или /27 за раз), за что денег особо не дерут. С потребностью что-то делать именно на IPv6 не сталкивались ни у себя, ни у клиентов, вообще. На IPv6 поглядываем издалека, в основном из спортивного интереса.

 

[Ivan_83]

Мы не провайдер, мы вендор.

Пока у нас IPv4 only, прибитый на гвозди, и внутри везде так же.

Но IPv6 будет, просто потому что я лично проконтролирую чтобы он был в ядре продукта, ибо смысла хардкодить нет.

Клиенты пока про IPv6 не спрашивают, да и вообще, часто уровень и клиентов и партнёров-интригаторов оставляет желать лучшего. Подозреваю что все адекватные валят из страны, и тут в основном эникеи остаются. Ну или это у нас специфика ЦА такая :)

 

5 часов назад, SOFTOLAB сказал:

Если бы v6 не была такой кривой и слабоприспособленной для прода, может быть и выстрелила бы, а так там глаза кровоточат даже при просмотре адресов, молчу уж про изучение логов с IPv6.

 

Ната тоже не завезли для тех кому он нужен, вобщем полный провал.

Это вы слабо приспособлены для прода IPv6, кровотечение из глаз - это как раз один из симптомов.

NAT - костыль, который в принципе не нужен, нужно отучать себя от мышления натами.

 

В идеале даже фаерволы не сильно то нужны, просто авторам сетевых сервисов необходимо внести мизерную правку в софт: задание TTL/HOPLIMIT для каждого слушающего сокета и исходящего, тогда выставив 1 - будет гарантия того что сервис даже при наличии белого маршрутизируемого IPv6 адреса доступного из инета не будет взломан.

Но большинство сетевого софта написано кое как, там даже биндинг отличный от 0.0.0.0 бывает трудно задать.

 

Лично у меня дома дуалстак уже лет 5 если не больше, IPv6 работает на всех девайсах которые способны в него.

Оно просто работает и есть-пить не просит.

[pppoetest]

ISP, не лир. Дефицит умеренный. Переход на в6 нет.

 

5 минут назад, Ivan_83 сказал:

Но большинство сетевого софта написано кое как, там даже биндинг отличный от 0.0.0.0 бывает трудно задать.

Вот соглашусь. Приходится  netfiltr-ом изощряться.

[vols-vl]

Илон Маск уже свои протоколы предлагает:

Will be simpler than IPv6 and have tiny packet overhead.

:)))

[Ivan_83]

21 минуту назад, vols-vl сказал:

Илон Маск уже свои протоколы предлагает

Через создание своих протоколов должен пройти каждый :)

[sdy_moscow]

7 часов назад, SOFTOLAB сказал:

Где опрос?

Если бы v6 не была такой кривой и слабоприспособленной для прода, может быть и выстрелила бы, а так там глаза кровоточат даже при просмотре адресов, молчу уж про изучение логов с IPv6.

 

Ната тоже не завезли для тех кому он нужен, вобщем полный провал.

 

В верху страницы, шрифт мелкий 3 вопроса

 

[SOFTOLAB]

7 hours ago, Ivan_83 said:

Мы не провайдер, мы вендор.

Пока у нас IPv4 only, прибитый на гвозди, и внутри везде так же.

Но IPv6 будет, просто потому что я лично проконтролирую чтобы он был в ядре продукта, ибо смысла хардкодить нет.

Клиенты пока про IPv6 не спрашивают, да и вообще, часто уровень и клиентов и партнёров-интригаторов оставляет желать лучшего. Подозреваю что все адекватные валят из страны, и тут в основном эникеи остаются. Ну или это у нас специфика ЦА такая :)

 

Это вы слабо приспособлены для прода IPv6, кровотечение из глаз - это как раз один из симптомов.

NAT - костыль, который в принципе не нужен, нужно отучать себя от мышления натами.

 

В идеале даже фаерволы не сильно то нужны, просто авторам сетевых сервисов необходимо внести мизерную правку в софт: задание TTL/HOPLIMIT для каждого слушающего сокета и исходящего, тогда выставив 1 - будет гарантия того что сервис даже при наличии белого маршрутизируемого IPv6 адреса доступного из инета не будет взломан.

Но большинство сетевого софта написано кое как, там даже биндинг отличный от 0.0.0.0 бывает трудно задать.

 

Лично у меня дома дуалстак уже лет 5 если не больше, IPv6 работает на всех девайсах которые способны в него.

Оно просто работает и есть-пить не просит.

Вы там софт свой пишите и не указывайте кому без натов и фаерволов сидеть, кто то их целенаправлено делает.

А вы можете хоть тупой длинк всунуть в порт оператора, и сразу в девайсы, пусть вообще роутинга не будет, сразу все попой в мир.

 

4 hours ago, sdy_moscow said:

В верху страницы, шрифт мелкий 3 вопроса

 

Уже увидел давно, изначально его не было, глюки ajax'а на форуме уже сильно доставляют.

[Ivan_83]

10 минут назад, SOFTOLAB сказал:

Вы там софт свой пишите и не указывайте кому без натов и фаерволов сидеть

Оно для аудита действий админов и юзеров, не для фаирволинга/роутинга/ната.

 

10 минут назад, SOFTOLAB сказал:

А вы можете хоть тупой длинк всунуть в порт оператора, и сразу в девайсы, пусть вообще роутинга не будет, сразу все попой в мир.

Вообще то всё придёт к тому, что лет через 10 будет роутер с практически зероконфигом, где можно и нужно будет задавать только пароль для вифи.

IPv6 он получит от провайдера и раздаст дальше, девайсы которым в инет не надо - могут выставить ттл=1 и роутер из зафильтрует автоматически, а те кому наоборот надо - они будут сразу иметь белый IPv6.

Так в общем то и было задумано изначально, и примерно так и было до прихода NAT, когда корпорации получали большие блоки IPv4 адресов чтобы каждый комп мог ходить в инет.

[SOFTOLAB]

12 hours ago, Ivan_83 said:

Вообще то всё придёт к тому, что лет через 10 будет роутер с практически зероконфигом, где можно и нужно будет задавать только пароль для вифи.

IPv6 он получит от провайдера и раздаст дальше, девайсы которым в инет не надо - могут выставить ттл=1 и роутер из зафильтрует автоматически, а те кому наоборот надо - они будут сразу иметь белый IPv6.

Так в общем то и было задумано изначально, и примерно так и было до прихода NAT, когда корпорации получали большие блоки IPv4 адресов чтобы каждый комп мог ходить в инет.

Боже упаси такое увидеть, сейчас дырявых роутеров куча, а будет еще огромная куча дырявых холодильников, микроволновок, стиралок, телевизоров, приставок, пылесосов и толчков...

[s.lobanov]

В 04.11.2020 в 16:14, Ivan_83 сказал:

Вообще то всё придёт к тому, что лет через 10 будет роутер с практически зероконфигом, где можно и нужно будет задавать только пароль для вифи.

зачем задавать пароль на wifi? он обычно сзади роутера уже написан. большинство роутеров и так уже давно zeroconf для операторов с ipoe

[edo]

В 04.11.2020 в 08:34, Ivan_83 сказал:

NAT - костыль, который в принципе не нужен, нужно отучать себя от мышления натами.

если у меня в локалке больше одного провайдера, то без nat тяжело извернуться.

 

впрочем, nat в ipv6 есть. как и приватные диапазоны адресов.

 

В 04.11.2020 в 08:34, Ivan_83 сказал:

В идеале даже фаерволы не сильно то нужны, просто авторам сетевых сервисов необходимо внести мизерную правку в софт: задание TTL/HOPLIMIT для каждого слушающего сокета и исходящего, тогда выставив 1 - будет гарантия того что сервис даже при наличии белого маршрутизируемого IPv6 адреса доступного из инета не будет взломан.

лол

 

фаервол нужен чтобы на роутере закрыть потенциально уязвимые хосты (а иногда и не потенциально, а точно известно, что уязвимые).

вы же предлагаете переложить защиту на 100500 клиентских устройств со всем зоопарком необновляемого/просто кривого софта

[lugoblin]

3 hours ago, edo said:

фаервол нужен чтобы на роутере закрыть потенциально уязвимые хосты

А в корпоративных сетях, одни внутренние системы надо защищать от других, тоже внутренних. И офисных юзеров друг от друга. И абстрагировать это дело от, собственно, админов и (не дай бог) авторов этих систем.

В общем, поддержу, файервол нужен, и много для чего.

 

[Ivan_83]

6 часов назад, edo сказал:

фаервол нужен чтобы на роутере закрыть потенциально уязвимые хосты (а иногда и не потенциально, а точно известно, что уязвимые).

вы же предлагаете переложить защиту на 100500 клиентских устройств со всем зоопарком необновляемого/просто кривого софта

Я говорю о том, что дома этим фаерволом всё равно никто пользоваться не умеет, а иногда и в корпоративе тоже. (да порой и тут разные перлы встречаются, хотя это основной вид деятельности участников)
Для домашних юзеров об их безопасности может и заботится только вендор устройств самого хомячка.

Игры с ттл эффективно заменяют фильтр в виде NAT для хомячков при наличии доступных из инета адресов. К этому всё может придти в ближайшие лет 10.

 

Простой пример.

Если бы в самбе была настройка ттл=1 я бы её поставил с самого начала, потому что мне никогда не нужно чтобы доступ был откуда то кроме локалки.

А так я один раз прошляпил правила фаервола и какой то одарённый вирус по попортил мне ехе файлы прямо из инета.

 

И так можно поступить с кучей сервисов, одна строчка кода сделает их безопасными по дефолту для локальных юзеров, при этом програмисту не нужно гадать какие там адреса в локалке, писать логику фильтрации и тп.

Весь UPnP/DLNA - просто мастхэв ттл=1, по дизайну.

Админка роутера - почему бы и нет? (кетайцы явно не пойдут на такое, у них бэкдоры испортятся :) )

 

В общем это очень простое и дешёвое в реализации средство сразу закрывает (ограничивает до хомяка, его гостей и возможно сотрудников провайдера) огромный пласт проблем с безопасностью во всяких подключённых к сети домашних девайсах.

 

3 часа назад, lugoblin сказал:

В общем, поддержу, файервол нужен, и много для чего.

Я ж не против, но вы своим абонентам его настраиваете?)

И два средства для безопасности основанных на разных принципах лучше одного. В данном случае эта настройка которая сразу ограничивает доступ только локалкой, и для многих применений только этого одного будет достаточно.

 

Речь о том, что IPv6, обозначенный в топике уже пришёл, и чтобы не ломать его преимущество в виде прямой связности между любыми девайсами не плохо бы научится жить без фильтров и nat, при этом отдельные сервисы выпускать в инет не хочется, но так же не хочется или не можется постоянно трахатся с фаерволами.

Вот тот юзкейс для ттл=1 о котором я говорю.

 

Так то я в курсе что нынче корпоратов натягивают на NGFW за кучу бабла.

[edo]

33 минуты назад, Ivan_83 сказал:

Для домашних юзеров об их безопасности может и заботится только вендор устройств самого хомячка.

проще запретить по умолчанию подключения снаружи на роутере (как оно получается по дефолту с ipv4+nat), чем пытаться добиться разумных настроек от всех вендоров умных лампочек и утюгов.

 

и да, установка ttl=1 защитит от ping of death? )

[Ivan_83]

1 час назад, edo сказал:

проще запретить по умолчанию подключения снаружи на роутере (как оно получается по дефолту с ipv4+nat), чем пытаться добиться разумных настроек от всех вендоров умных лампочек и утюгов.

Это дуратская практика, явившаяся следствием распространением NAT.

При этом оно привело к когнитивным искажениям у разработчиков вида: а зачем нам думать о безопасности если эта хренянашмегапродукт дома за роутером?

 

Опять же, кто на роутере будет это запрещать?

Зачем это запрещать, когда скажем у типового хомяка дома телефоны, планшеты и ноуты - всё это и так уже давно умеет жить в инете без дополнительных заборов?

 

 

Если мыслить масштабно, то есть два противоположных тренда, которым выгоден NAT/firewall и которым он доставляет неудобства.

 

С одной стороны это всякие централизованные сервисы, которые привыкли к тому что юзер не может просто так взять и запустить у себя что то чем могут пользоватся другие, и ему приходится идти к ним сосалку/сайт/облако/тп за этим сервисом.

 

С другой стороны это любители покопошится в чужой жизни у которых своей самой популярной в мире сосалки нет - те кетайцы, ну и в целом другие вендоры. Помимо любви к прекрасному у них ещё лень и раздолбайство, в стиле если можно чего то не делать - оно никогда не будет сделано. Ну и прочие вендоры, которые делают мобилы/планшеты/пишут ос для ноутов - давно привыкли к доступности из инета, им пофиг.

 

Первым сейчас в общем то пофиг на это движение, они не видят опасности для себя, и они ничего не вкладывают в то, чтобы этого не случилось.

Ну а кетайцы, ты же сам знаешь - они даже вебморду роутера за 15 лет не смогли и не захотели сделать безопасной.

 

Думаешь твоё мнение относительно фильтрации входящих по IPv6 в роутерах кто то учтёт? Хотя бы отключённую по дефолту галочку думаешь сделают?

Вот и моё мнение относительно ТТЛ всем похер, единственное что я могу сделать - это пойти и заняться евангелизмом на гитхубе и прочих площадках, заводя issue в релевантных проектах относительно опции ttl и её дефолтного значения.

 

1 час назад, edo сказал:

и да, установка ttl=1 защитит от ping of death? )

Ну и много ты хотя бы в одной /64 напингуешь за день? :)

[Sergey Gilfanov]

9 часов назад, edo сказал:

если у меня в локалке больше одного провайдера, то без nat тяжело извернуться.

(NAT всем сломал мозги, похоже) В случае IPv6 в локалке просто у каждого устройства по два адреса выдается. Из сети первого провайдера и из сети второго.

[Ivan_83]

9 часов назад, edo сказал:

если у меня в локалке больше одного провайдера, то без nat тяжело извернуться.

Значит вы не типичный пользователь и обязаны страдать и платить. :)

И я не понимаю зачем в таком случае NAT, что мешает каждому девайсу получить по одному белому IPv6 от каждого провайдера?

[Sergey Gilfanov]

2 часа назад, Ivan_83 сказал:

Я говорю о том, что дома этим фаерволом всё равно никто пользоваться не умеет, а иногда и в корпоративе тоже.

 

Я ж не против, но вы своим абонентам его настраиваете?)

Домашние девайсы вполне успешно научились просить им порт на NAT пробросить. Тем же самым способом можно просить и открыть его на файрволе.

 

14 минут назад, Ivan_83 сказал:

Зачем это запрещать, когда скажем у типового хомяка дома телефоны, планшеты и ноуты - всё это и так уже давно умеет жить в инете без дополнительных заборов?

Только частенько превращаются в среду жизни бот-ферм. Оно надо?

 

14 минут назад, Ivan_83 сказал:

Думаешь твоё мнение относительно фильтрации входящих по IPv6 в роутерах кто то учтёт? Хотя бы отключённую по дефолту галочку думаешь сделают?

Оно, кажется, в требованиях иконки на маршрутизаторе "IPv6-чего-то-там-ready" прописано. Во всяком случае во всех что я видел с IPv6 - файрволл таки включен и внешние коннекты запрещены.

[Ivan_83]

1 час назад, Sergey Gilfanov сказал:

Домашние девайсы вполне успешно научились просить им порт на NAT пробросить. Тем же самым способом можно просить и открыть его на файрволе.

UPnP и надстройка/сервис IGD это называется.

https://habr.com/ru/post/279969/

там портмапинг точно есть, а вот насчёт просто открытия порта на форвадинг на указанный хост - не уверен, нужно читать спеки. Опять же не факт что в софте оно есть реализованное.

 

1 час назад, Sergey Gilfanov сказал:

Только частенько превращаются в среду жизни бот-ферм. Оно надо?

И сколько случаев вы знаете когда к ним по сети оно само пролезло а не юзер сам поставил?

Чёт мне кажется тут будет 99,5% когда оно в результате мышкоюзания пролезло, а не вломилось через сеть само в дефолтную инсталяцию.

 

1 час назад, Sergey Gilfanov сказал:

Оно, кажется, в требованиях иконки на маршрутизаторе "IPv6-чего-то-там-ready" прописано. Во всяком случае во всех что я видел с IPv6 - файрволл таки включен и внешние коннекты запрещены.

Надо посмотреть.

[lugoblin]

10 hours ago, Ivan_83 said:

13 hours ago, lugoblin said:

В общем, поддержу, файервол нужен, и много для чего.

Я ж не против, но вы своим абонентам его настраиваете?)

Я бы сказал что да, настраиваю, но у меня абоненты другие.

Мой абонент это "внутренний клиент", администратор приложения которому требуется окружение для его детища. Типичный случай - дать доступ к виртуалке, право писать в специально обученную директорию в юзерспейс, поднимать сервис и слушать сеть на определённом порту.

 

Для каждой пары клиент-сервер, файервол настраиваем эшелонированно и дёргаем по 3 раза. Один раз в группе правил описывающей конкретно это клиентское приложение в сетевой инфраструктуре, что ему можно OUTGOING туда-то. Второй в раз в группе правил конкретно этого серверного приложения, там-же, что к нему можно INCOMING оттуда-то. Третий раз на хосте сервера, что можно INPUT оттуда-то и на такой-то порт.

По модели AWS прямо так и получается. Если развёртываем on-premises или где-то ещё, то придумываем какой-то экивалент, на базе существующих NGFW, например. Формально, сетевой и системный администраторы не доверют благоразумности друг друга (даже если это один и тот-же человек). Они оба не доверяют администратору приложения, которому иногда ещё неплохо было бы научиться смывать за собой в туалете и мыть руки перед едой. Как подобную схему сделать на TTL-ах, я себе не представляю.

 

Это востребованно в условиях прямой связности, в моём случае по IPv4 в рамках внутренней сети предприятия. Которая, кстати, может быть растянута на несколько локалок и облаков. Интернет от которого мы за NAT-ом, считается за частный случай, в той-же парадигме "все враги".

 

[edo]

9 часов назад, Ivan_83 сказал:

Зачем это запрещать, когда скажем у типового хомяка дома телефоны, планшеты и ноуты - всё это и так уже давно умеет жить в инете без дополнительных заборов?

ну не знаю, у меня психика сломана теми временами, когда выставлена «голой жопой» в интернет винда и пятнадцати минут не жила.

 

9 часов назад, Ivan_83 сказал:

При этом оно привело к когнитивным искажениям у разработчиков вида: а зачем нам думать о безопасности если эта хренянашмегапродукт дома за роутером?

гхм, ложиться костьми чтобы сломать? не, спасибо.

и всегда будут необновляемые системы, в которых есть уязвимости. производитель выпустил лампочку и умер — ничего с этим не сделаешь.

 

9 часов назад, Sergey Gilfanov сказал:

(NAT всем сломал мозги, похоже) В случае IPv6 в локалке просто у каждого устройства по два адреса выдается. Из сети первого провайдера и из сети второго.

отдавать выбор канала на откуп устройству? мне привычнее, когда этим занимается роутер.

 

вообще правильнее, наверное, брать свой PI блок, но это дополнительные траты, плюс не факт, что все провайдеры дадут bgp.

[st_re]

32 минуты назад, edo сказал:

 

вообще правильнее, наверное, брать свой PI блок, но это дополнительные траты, плюс не факт, что все провайдеры дадут bgp.

Да!! в каждую квартиру по ПИ блоку! пусть РКН подавится своими XMLями.. 50 миллионов ХМЛ файлов (или сколько у нас там домохозяйсвт в стране)! ура.. но правда раньше подавятся операторы связи всё то рутить. да и РИПЕ не поймет`с... да и рутер придется купить не длинк за пару копеек, а чё посерьёзнее..

 

37 минут назад, edo сказал:

ну не знаю, у меня психика сломана теми временами, когда выставлена «голой жопой» в интернет винда и пятнадцати минут не жила.

 

Во времена разгула редкода на сеть /24 прилетало порядка 300 сканов за минуту.. ну тоесть если снять фаервол и поставить виндовый 2000 сервер next-next-next (тут ставился иис с "нужными" обработчиками) то он стал бы частью редкода за секунд 20-30. если очень повезло бы, то за минуту.

 

Еще весело было наблюдать msSQLи в некоторые моменты времени непуганых админов, неумеющих фаервол.. исходящитй канал UDP сканом он укладывал в полку вплоть до 100мб (при достаточно мощной железке на сервере, естественно.) 10Мбит убивалось до полной потери связи..

 

не не, NAT или если ipv6, то deny from any in  и только так. ну их..