IPv6 a sprawa polska
- Kamil Folga,
- 27.06.2012, godz. 08:45
Czy można zmusić operatorów do wdrożeń IPv6?
Sytuacja wdrożeń IPv6 w Polsce i na świecie wygląda coraz lepiej, choć nie jest zadowalająca. W październiku 2011 r. 263 z 294 głównych internetowych domen TLD (Top Level Domain) wspierało IPv6. Ze wszystkich sieci znajdujących się w tablicach trasowania BGP, ok. 12% wspierało protokół IPv6.
Właściwie wydaje się, że wszystko jest gotowe na masową adopcję protokołu IPv6 w sieciach. Większa część operatorów jednak przymierza się do tego zadania z pewnymi oporami. Jak wskazują statystyki, stosowanie nowszego protokołu nie przekracza 1% łącznej liczby wykorzystywanych adresów IPv4/IPv6.
Próbę przyspieszenia wdrożeń IPv6 u operatorów podjął Urząd Komunikacji Elektronicznej. Pierwsze próby zmierzenia się z tematem skutkowały podjęciem debat dotyczących problemu. Zdefiniowano m.in. terminy, które powinny zobligować operatorów i dostawców treści. Od d1 czerwca 2012 r. operatorzy powinni oferować możliwość udostępnienia użytkownikowi adresu IPv6. W przypadku usług mobilnych termin ten wyznaczono na 1 stycznia 2013 r. Chociaż UKE nie ma aktualnie prawnych możliwości wpływania na dostawców w tym zakresie, to w razie znaczących opóźnień we wdrożeniu IPv6 urząd może podjąć jednak działania regulacyjne.
Studium przypadku
Warto pamiętać, że nie tylko duże podmioty przygotowują się na przyjęcie IPv6. Interesującym wdrożeniem IPv6 i przykładem dla wielu mniejszych operatorów może być Winogradzka Telewizja Kablowa. Zastosowany tam model wdrożenia może posłużyć za dobry przykład, pokazujący poszczególne etapy wdrażania protokołu IPv6 w każdej sieci.
Pierwszym etapem w WTK było zapewnienie łączności z zasobami IPv6 dostępnymi w internecie. Kolejnym - zagwarantowanie komunikacji między urządzeniami sieciowymi w warstwie dystrybucyjnej oraz dostępowej sieci. Należało także przystosować usługi sieciowe do pracy z wykorzystaniem IPv6. Końcowym etapem wdrożenia było skonfigurowanie dostępu IPv6 dla użytkowników sieci.
Wdrożenie przeprowadzono, stosując model DualStack. Urządzenia końcowe mają jednocześnie dwa adresy IP (w wersjach 4 i 6). Obie adresacje działają równolegle, ale niezależnie od siebie. Komunikacja w szkielecie sieci została oparta na protokole OSPFv3. Konieczne okazało się dostosowanie usług DHCP, DNS oraz mechanizmów bezpieczeństwa do pracy z IPv6.
Uczestniczący we wdrożeniu Borys Owczarzak - specjalista rozwoju i utrzymania sieci teleinformatycznych w firmie Wachowiak & Syn s.c. - zwraca uwagę, że największym wyzwaniem była konfiguracja dostępu IPv6 dla użytkowników w aspekcie bezpieczeństwa transmisji oraz kontroli wykorzystywanej adresacji IP.
Najważniejszym elementem było zabezpieczenie się przed typowymi atakami, takimi jak ND Spoofing, IP Spoofing, DHCP Spoofing. O ile zabezpieczenia dla wersji czwartej protokołu są powszechnie dostępne wśród wielu producentów urządzeń sieciowych, o tyle dla wersji szóstej brak takich mechanizmów. Obronę przed atakami zrealizowano za pomocą dostępnych sprzętowych list kontroli dostępu (hardware access control list) oraz mechanizmów warstwy L2, takich jak: "port security" oraz "private vlan".
Zgodnie z przepisami "Prawa telekomunikacyjnego", każdy przedsiębiorca telekomunikacyjny musi magazynować informacje dotyczące połączeń użytkowników. Identyfikacja użytkownika możliwa jest w przypadku, gdy operator zna adresy IP swoich klientów. Dostępny w wersji 6. protokołu internetowego tryb autokonfiguracji interfejsów sieciowych działa w ten sposób, że brama domyślna wysyła informację do hostów o dostępnym prefiksie (pierwsze 64 bity adresu IP), zaś hosty same generują adres IP (ostatnie 64 bitów). Operatorowi zatem bardzo trudno dojść, który użytkownik, jaki ma adres IP w danej chwili (aczkolwiek nie jest to niemożliwe). Rozwiązaniem jest protokół DHCPv6. Serwer, który przydziela adres IP hostowi, zapisuje w bazie: jaki adres, komu i kiedy został przypisany. Niestety, niektóre systemy operacyjne, mimo otrzymania adresu IP z serwera DHCP, tworzą w trybie autokonfiguracji dodatkowy adres IP i to za jego pomocą komunikują się z "resztą świata". Aby definitywnie wyłączyć możliwość autokonfiguracji, ustawiono flagę "Autonomous" w wiadomości Router Advertisement na "0". Umożliwiło to korzystanie z usług.
Artykuł opublikowano w numerze 04/2012 Networlda