Alarm: 9 ud af 10 IP-adresser er taget

Der er færre end 10 procent af IPv4-adresserne, som ikke taget i brug. Derfor er det nu tid til, at myndigheder, virksomheder og internetudbydere tager IPv6 i brug, advarer de regionale internetregistre.

Vi har nu brugt mere end 90 procent af de knap fire milliarder IP-adresser, der er tilgængelige med den gamle version af internetprotokollen IPv4. Det oplyser de fem regionale internetregistre, RIR, som står for at uddele IP-adresserne til blandt andet internetudbyderne.

Med færre end ti procent af IPv4-adresserne tilbage svarer det til, at der er under 400 millioner adresser, som endnu ikke er blevet uddelt. Det svarer nogenlunde til, hvor mange kinesere, som i øjeblikket har adgang til internettet.

Manglen på unikke IP-adresser har været det mest slagkraftige argument for at skifte til den nye version af internetprotokollen IPv6, som giver mulighed for et astronomisk stort antal adresser.

»Med mindre end ti procent af hele IPv4-adresserummet til rådighed til allokering er det afgørende, at internetmiljøet skrider til handling for at sikre den globale udrulning af IPv6,« udtaler Axel Pawlik formand for Number Resource Organization, NRO, ifølge en pressemeddelelse.

NRO påpeger, at antallet af IPv4-adresser svinder hurtigt. Det har flere gange været forudsagt, at vi ville løbe tør for ledige adresser til allokering til udbyderne omkring 2012. Hidtil har teknologier som NAT, hvor flere pc'er på et internt netværk blot har én IP-adresse udadtil, sørget for at forlænge livet for IPv4.

NAT regnes imidlertid ikke for at være en teknisk optimal løsning, fordi den sætter begrænsninger for direkte kommunikation mellem to vilkårlige enheder på internettet.

NRO anbefaler, at virksomheder begynder at gøre mere aktivt for udbredelsen af IPv6 ved eksempelvis at tilbyde tjenester som webhosting med IPv6. Selvom de fleste styresystemer i dag understøtter IPv6, så er der stadig meget software, som kun benytter IPv4. Derfor bør softwareleverandørerne ifølge NRO også gøre en større indsats.

Endelig mener NRO, at regeringer og myndigheder bør gå forrest og udbyde deres tjenester på IPv6, så folk, der skifter, også får noget ud af at benytte IPv6 frem for at holde fast i IPv4.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Sommer

I de sidste par semestre på Aalborg Universitet har jeg forsøgt at flette IPv6 ind i semesterprojektet. Enten ved at ville arbejde med noget på IPv6 som primære opgave, eller blot at sørge for at de ting vi udviklede fungerede til IPv6 også.

Alle undervisere og vejledere jeg har været i kontakt med, har været forskellige steder mellem direkte afvisende til blanke og ligeglade. Den værste mente ligefrem at IPv6 bare var noget for sjov, men aldrig ville blive anvendeligt i virkeligheden.

Jeg har senere taget to kurser i generelle netværksting, på et andet universitet og på Ingeniørhøjskolen i København. Ingen af kurserne nævnte IPv6 en eneste gang.

Dén holdning hjælper jo heller ikke til at uddanne nye i forståelse af, brug og udvikling med IPv6. :|

  • 0
  • 0
Joe Karlsen

Vi er så heldige at have fået os en c-klasse. Men må da indrømme at det langt fra optimalt at en ISP udleverer en c-klasse til en virksomhed på 70 ansatte der snildt kan klare det meste med NAT. Så jeg vil da mene at ISP's sidder med en stor del af skylden.

Vi har så ikke tænkt os at give den op forløbig, da vores netværk er bygget op omkring den c-klasse. Med tiden vil vi dog NAT'e da det er langt nemmere at administere sikkerhedsmæssigt for klienterne. Serverne nyder dog adgangen til c-klassen og vil blive ved den vej so far.

  • 0
  • 0
Anonym

Selvfølgelig er det problematisk at IPv4 addresserummet er under pres.

Men det skyldes hovedsageligt mangel på fleksibilitet og dynamik.

Fejlen i den aktuelle tankegang ses af

NAT regnes imidlertid ikke for at være en teknisk optimal løsning, fordi den sætter begrænsninger for direkte kommunikation mellem to vilkårlige enheder på internettet.

Nej, nej. Vi skal IKKE have direkte forbidndelse baseret på persistente IPv6 adresser. Det eliminerer dataseurity og gør devices til nemme ofre for f.eks. Denial of Service attacks.

I stedet skal man tænke i logiske forbindelser hvor hver enkelt devices kun skal kunne kontaktes og addresseres hvis den vil kunne kontaktes.

F.eks. en RFID post-sales skal være desideret umulig at addressere og selv hvis ejeren aktiverer den, så må den ikke lække persistente identifiers. At proppe en IPv6 addresse på devicen er en grov fejl og overflødig begræsning.

Man kan derimod broadcaste en krytperet wake-up kontakt indenfor et begrænset rum - og kun hvis beskeden er legitim kan det føre til en wakeup og respons. Logiske Domains er persistente, men de kan i princippet sagtens køre over en ny IP hver gang hvis man blot sikrer logikken til at håndtere dynamisk DNS.

  • 0
  • 0
Johan RB

Det hjælper ikke meget at få et par /8 tilbage. Det udskyder problemet en lille smule, men det er langt fra nogen løsning. /24 er helt ligegyldige. Det er sammenligneligt med temperatursvingninger ved urinering i beklædningsgenstande.

Min frygt er at vi begynder at se NAT på ISP-level. Jeg tør ikke tænke tanken til ende.

  • 0
  • 0
Anonym

Min frygt er at vi begynder at se NAT på ISP-level. Jeg tør ikke tænke tanken til ende.

Ud fra en datasikkerheds- og markedsbetragtning vil det da være noget nær genialt.

Det kan f.eks. være med til at blinde Google og anden tracking/profiling hvilket er et primært behov.

  • 0
  • 0
Carsten Rhod Gregersen

NAT regnes imidlertid ikke for at være en teknisk optimal løsning, fordi den sætter begrænsninger for direkte kommunikation mellem to vilkårlige enheder på internettet.

Hvad er det for noget bavl... se på (vores) Nabto, Skype, gBridge, Hamachi mv... de kan sagtens skabe direkte forbindelser imellem to vilkårlige enheder på internettet...

/Carsten

  • 0
  • 0
Bryan Østergaard

Interessant betragtning, men "sagtens" er at bøje tingene temmeligt voldsomt.

Tricket ved såkaldt NAT traversal er normalt at man forsøger at oprette en forbindelse til den anden maskine vel vidende at det ikke lykkes pga. NAT.

Men dette forsøg sikrer at ens egen NAT midlertidigt har en åbning som den anden ende af forbindelsen så kan udnytte.

Alt dette kræver typisk koordination via en tredje server der er direkte forbindelse til og baserer sig på at alle NAT implementationer følger en forventet protokol.

Dette hack er i øvrigt væsentligt nemmere at implementere via UDP end TCP, men man skal under alle omstændigheder ikke forvente at det "sagtens" virker. Af samme grund så har Skype mv. også support for at trafik bliver routet igennem deres servere i de mange tilfælde hvor NAT traversal hacket ikke virker.

  • 0
  • 0
Kristian Hald

Godt beskrevet.

Som kommentar vil jeg påpege, at hvertfald ved UDP traversal, der afhænger det meget af hvordan routeren har implementeret NAT. Nogle routere kan oprette forbindelse direkte til hinanden for det meste, da producenten vælger at hvis der sendes en pakke indefra på port Y, så bruger den også port Y i routeren, hvis den er ledig.

Andre routere kræver at du først sender en pakke til A, hvorefter routeren nu tillader at route pakker fra B, C, D osv via samme port, som blev åbnet til brug for A's kommunikation.

Så er der så de mere sikre implementationer. De tillader ikke, at andre udefra sender data til en port som allerede er åben. Her er der et check på om dataen virkelig kommer fra A og ikke B, C, D osv. Derudover så kan deres port ikke gættes let, da de pseudo randomiser den næste port de vil bruge udfra dem som er ledig.

Det kan være meget tilfældigt om en forbindelse kan oprettes uden at benytte sig af en relay server.

  • 0
  • 0
Carsten Rhod Gregersen

Jeg sagde ikke at det var trivielt... det er at implementere IPv6 heller ikke.

NAT regnes imidlertid ikke for at være en teknisk optimal løsning, fordi den sætter begrænsninger for direkte kommunikation mellem to vilkårlige enheder på internettet.

Ja... men betyder det så at man sætter alle enheder på nettet uden beskyttelse af firewall? det tror jeg ikke... og så er man tilbage i samme problem...

/Carsten

  • 0
  • 0
Baldur Norddahl

Hvad er det for noget bavl... se på (vores) Nabto, Skype, gBridge, Hamachi mv... de kan sagtens skabe direkte forbindelser imellem to vilkårlige enheder på internettet...

Nej. Det er simpelthen ikke rigtigt, og du ved det.

Der er ingen kendte måder at skabe forbindelser gennem symmetrisk NAT til en anden computer også bagved symmetrisk NAT.

NAT der er ikke er symmetrisk er en fejl-implementering. I udnytter et sikkerhedshul, og hvad er så pointen?

Der er ikke behov for NAT til at udføre firewall funktioner.

  • 0
  • 0
Carsten Rhod Gregersen

NAT der er ikke er symmetrisk er en fejl-implementering. I udnytter et sikkerhedshul, og hvad er så pointen?

Hvilket er din påstand, og iøvrigt også fuldstændigt irrelevant i praksis siden langt de fleste firewalls ikke er symmetriske, samt at så mange applikationer efterhånden udnytter defacto-standarden at producenterne efterhånden ikke tør lave hjemme-firewall der ikke understøtter den.

Men uanset om vi så havde IPv6 imorgen... så vil der gå laaaanggg tid inden alt er overflyttet...

  • 0
  • 0
Baldur Norddahl

[quote]Min frygt er at vi begynder at se NAT på ISP-level. Jeg tør ikke tænke tanken til ende.

Ud fra en datasikkerheds- og markedsbetragtning vil det da være noget nær genialt.

Det kan f.eks. være med til at blinde Google og anden tracking/profiling hvilket er et primært behov. [/quote] IPV6 har en feature hvor din computer med jævne mellemrum skifter til en ny tilfældig adresse. Det er godt nok kun de sidste 64 bit der skifter, men de øverste 64 bit deler du potentielt med mange andre brugere. Det må derfor være mindst ligeså godt til at "blinde" google som NAT.

I samme stil er det også en bedre beskyttelse end NAT imod tilfældige indgående forbindelser. Det er simpelthen umuligt at scanne et 64 bit adresse område for at finde din computer.

  • 0
  • 0
Carsten Rhod Gregersen

NAT der er ikke er symmetrisk er en fejl-implementering. I udnytter et sikkerhedshul, og hvad er så pointen?

Hvilket er din påstand, og iøvrigt også fuldstændigt irrelevant i praksis siden langt de fleste firewalls ikke er symmetriske, samt at så mange applikationer efterhånden udnytter defacto-standarden at producenterne efterhånden ikke tør lave hjemme-firewall der ikke understøtter den.

Men uanset om vi så havde IPv6 imorgen... så vil der gå laaaanggg tid inden alt er overflyttet...

  • 0
  • 0
Baldur Norddahl

Hvilket er din påstand, og iøvrigt også fuldstændigt irrelevant i praksis siden langt de fleste firewalls ikke er symmetriske, samt at så mange applikationer efterhånden udnytter defacto-standarden at producenterne efterhånden ikke tør lave hjemme-firewall der ikke understøtter den.

Alle firewalls der er baseret på Linux er symmetriske.

Det er ikke en defacto standard. Den rigtige måde er at bruge Upnp til at bede firewallen åbne en port. Det virker pålideligt og er ikke baseret på en dårlig implementering af NAT.

  • 0
  • 0
Anonym

IPV6 har en feature hvor din computer med jævne mellemrum skifter til en ny tilfældig adresse. Det er godt nok kun de sidste 64 bit der skifter, men de øverste 64 bit deler du potentielt med mange andre brugere. Det må derfor være mindst ligeså godt til at "blinde" google som NAT.

Længere diskussion. Nej det er ikke nok fordi man vil se forsøg på at bygge kommunikation med udgangspunkt i de persistent IPv6-adresser.

Devices må slet ikke svare/kunne addresseres på en persistent IPv6 request.

  • 0
  • 0
Baldur Norddahl

Der ser ud til at herske stor uvidenhed omkring IPv6 her.

Vi løber tør for IPv4 adresser inden for 18 til 24 måneder. Vi bruger ca. en /8 (klasse A) blok på en måned. Det er blevet foreslået at tvangsindrage ineffektivt udnyttede klasse A net. Det vil udskyde problemet ca. 6 måneder. En anden foreslår at slå en pæl gennem IPTV ved at slagte multicast og bruge området 224-255. Det vil så give 31 måneder ekstra.

Og så er dem der tror NAT er en god ting, som beskytter computeren. Det er din firewall der beskytter computeren. Samtidig har IPv6 nogle unikke muligheder, som f.eks. IP adresser som skifter tilfældigt.

Med en IP adresse der indeholder 64 bit som er dannet med en tilfældighedsgenerator ved opstart, er du sikker på kun at kommunikere med dem du har initieret forbindelse med.

Sider du på et net med flere brugere, der alle har tilfældigt skiftende IP adresser, så er du beskyttet mod terrorlog med mere. Man kan simpelthen ikke afgøre hvilken computer der havde en bestemt IP adresse tilbage i tiden.

IPv6 løser alle problemerne der har været med IPSEC. Krypteret kommunikation kan blive standard. Igen en pæl gennem myndigheder og virksomheder som snager lidt for meget.

  • 0
  • 0
Baldur Norddahl

Devices må slet ikke svare/kunne addresseres på en persistent IPv6 request.

Hvad er en persistent IPv6 adresse?

Jeg tror vi taler forbi hinanden. Du bestemmer selv de sidste 64 bit af din adresse. Jeg kan kun kommunikere med dig, hvis jeg ved hvad du har valgt. Der er ikke andre adresser som jeg kan vælge at bruge i stedet.

Så snart du er træt af at jeg kommunikere med dig, så skifter du bare din adresse. Og vupti, så er det umuligt for mig at kontakte dig.

Smart? IPv4 har ikke noget tilsvarende.

  • 0
  • 0
Carsten Rhod Gregersen

Jeg er selv datalog, og er glad for gode teoretiske løsninger...

Men man bliver nødt til at forholde dig til hvordan verdenen ser ud p.t. og hvordan den vil se ud i mindst 5-10 år endnu... Der går lang lang tid inden det sidste IPv4 net med NAT bliver slukket... og mit budskab er også at selv på det tidspunkt så har IPv6 ikke løst alle problemer...

Vores kunder har brug for kant-til-kant trafik nu... og derfor vælger de vores løsning...

  • 0
  • 0
Jesper Louis Andersen

Der vil komme en masse krampetrækninger mens IPv4 langsomt vil lide døden. Det første er at det bliver sværere at få nye addresseallokeringer og til sidst umuligt.

Så kommer handler med adresserum. Der er kun en delmængde til rådighed så det kommer til at koste penge at få en IPv4 addresse (der er problemer med at cutte adresserum op for routere, men ignorer venligst dette). Hvis man ikke har råd, så må man enten lade være eller ty til IPv6.

ISP'er vil forsøge sig med NAT for at komme problemet til livs. Der vil være ramaskrig mens det står på. For at komme dette til livs må de begynde at udbyde IPv6. Det er så spadestikket til at komme fra v4 -> v6.

NAT traversal af forskellig art vil da være interessant en del år frem i tiden, men på et eller andet tidspunkt er det mere besværligt at lave NAT-traversal set i forhold til at snakke IPv6. Og så kommer det til at gå stærkt.

En anden begrænsning er at mange IPv6 stakke i OS'er rundt omkring næppe har set så meget krig som IPv4 stakkene. Der kommer nok nogle sjove ting ud af det :)

  • 0
  • 0
Baldur Norddahl

Jeg skal ikke gøre mig til dommer over jeres produkt. Det har jeg ingen interesse i. Jeg har heller ikke sat mig ind i hvad det kan.

Men tillad mig at forudse at fra engang i 2012 kommer alle NAT traversal produkter i direkte konkurrence med IPv6.

Skiftet til IPv6 bliver ikke så svært og omstændigt som mange tror. Stort set alle computere kører idag dual-stack. I ved det bare ikke.

Jeg satte en IPv6 router op på vores lokale net, med det resultat at samtlige computere fik en IPv6 adresse uden yderligere konfiguration. Det kræver end ikke en ændring i opsætningen af DHCP serveren.

Så snart din internetudbyder ser lyset, sætter de en IPv6 router op og så er du også på IPv6 nettet.

Det store vejbump er de mange routere ude i hjemmene som ikke har IPv6 support. De skal skiftes eller opgraderes. Skiftet er allerede i gang - min Linksys WRT 610 har IPv6 support, omend i lidt primitiv form.

Vi kommer så til at køre dual-stack i mange år fremover. Det vil sige at alle har både en IPv6 adresse samt en legacy IPv4 adresse. Din v4 adresse vil formodentlig komme bag en kæmpe fælles NAT hos din internetudbyder. (*)

Alle der ønsker at bruge peer to peer teknologier, som internettelefoni og filudveksling, kan så vælge mellem produkter der kan lave huller i NAT'en, eller de kan vælge at opgradere routeren til en som kan IPv6.

De to metoder er ikke kompatible. Dem der vælger kun at være på IPv4 nettet kan ikke kommunikere p2p med dem der er afhængige af IPv6 til p2p (og omvendt). Man kan forvente at der på et tidspunkt opstår et pres for at skifte til IPv6 hvis man vil have fuld glæde af alle mulighederne.

Jeg vil ikke være overrasket hvis skiftet til IPv6 bliver et hurtigt skift. Forstået på den måde at majoriteten af brugerne har en IPv6 adresse. Der vil sandsynligvis stadig være en server i en kælder med en IPv4 adresse om 20 år.

(*) Som vil være symmetrisk fordi internetudbyderen sandsynligvis sætter en Linux server op til at udføre NAT.

  • 0
  • 0
Per Sikker Hansen

Hvor er den globale plan for udfasning af IPv4? Hvor er arbejdsgruppen der skulle oplyse og hjælpe folket omkring flytnignen til IPv6? Hvorfor er det at alle, absolut alle, fortsat har udviklet til IPv4 uden tanke på en absolut nær fremtid? Hvorfor er det at man istedet for at udfase IPv4 ligeså stille, åbenbart forventer at alle mennesker, på dagen vi løber tør for ip-addresser, laver et hard switch på al deres software og alle deres routere til IPv6, sådan "lige"?

At skulle overgå direkte til IPv6 istedet for at fase ind i IPv6 ligeså stille over årene er jo fuldstændigt urealistisk. Hvorfor har man snakket så meget så længe uden at gøre noget?

  • 0
  • 0
Christian E. Lysel

Hvad er det for noget bavl... se på (vores) Nabto, Skype, gBridge, Hamachi mv... de kan sagtens skabe direkte forbindelser imellem to vilkårlige enheder på internettet...

Du beskriver hvordan to enheder, via en tredje enhed, kan.

  • 0
  • 0
Poul Pedersen

Det er en klassisk "ulven kommer" der får lov til at køre helt til ende. Alle er dødtrætte af at høre om enden på ipv4 som der har været skreget hysterisk om siden 1995.

ISP'erne modarbejder kraftigt, da de ikke gider betale for noget af det, selvom de sidder i den vigtigste position til at kunne tilbyde ipv6.

Når ulven engang kommer, så bliver der dejligt meget panik og run på alle de dårligt testede ipv6-stakke rundt omkring. Det skal nok blive skægt. :-)

Men der går med sikkerhed længere tid end de konsulenter som skal leve af ipv6-skiftet forudser. Rigtigt mange ISP'ere og virksomheder leverer ikke ip-adresser tilbage eller rydder bare lidt op i det.

  • 0
  • 0
Anonym

Baldur

Dine ord fik mig til at søge lidt mere og jeg kan se der er sket noget på stateless autoconfiguration som jeg må dyrke lidt mere før jeg kan afgøre om det hænger sammen. http://tools.ietf.org/html/rfc4941

Jeg vil gerne fastholde at sikkerhed IKKE skal håndteres i netværkslaget, men at det kunne se ud som om man i det mindst optionelt har erkendt dele af dette.

Du vil stadig have behov for NATs/firewalls for at undgå hjemmet eller virksomheden vidensprocesser blotlægges på tværs af al kommunikation ud af gruppen af enheder, men 3041 leverer et konstruktive bud på centrale dele i form af håndtering af den helt basale dekobling mellem device identitet og IP-adresse i den enkelte device.

  • 0
  • 0
Jimmy Christiansen

En ting der ikke er berørt endnu i dette emne er forbrugerne. Det være sig de private og de professionelle.

Advarsler der kan gøre slutbrugere af produkterne opmærksomme er vigtig for at starte en efterspørgsel på produkter der understøtter ipv6.

Lidt lige som vores nylige skift af tv-signal. Hvor forbrugerne nu efter oplysningskampanger ved at de skal efterspørge tunere med mpeg4 og ikke kun mpeg2.

Og nogle producenter, selv af nicheprodukter, er fremme i skoen med udstyr der understøtter ipv6.

  • 0
  • 0
Log ind eller Opret konto for at kommentere