Så skete det: Asien er løbet tør for IPv4-adresser

Asien er som den første region i verden løbet tør for IPv4-adresser. Det skyldes især den eksplosive vækst på mobilnetværket.

Asien har som den første region i verden nu udleveret den sidste blok af Internet Protocol version 4. Det skriver Steven J. Vaughan-Nichols på ZDNet.

I februar annoncerede IANA og ICANN, at de sidste IPv4-blokke var blevet udleveret til de regionale internetregistre (RIR). Men nu kun to måneder efter, er Asiens internetregister (APNIC), altså nu løbet tør for IPv4-adresser.

Ifølge Paul Wilson, der er direktør i APNIC, så skyldes det en enestående vækst på mobilnetværket.

»I betragtningen af det vedvarende behov for IP-adresser, repræsenterer denne dato effektivt den IPv4-udmattelse, som mange af de nuværende operatører nu oplever i den asiatiske stillehavsregion. Fra og med denne dag er IPv6 obligatorisk, hvis man vil bygge nye internetnetværk og services,« udtaler Paul Wilson til ZDNet.

APNIC har i forbindelse med udleveringen af de sidste blokke IPv4-adresser annonceret, at det sidste IPv4-pladser vil blive 'rationeret' til netværksoperatørerne.

»Denne begivenhed er et vendepunkt i IPv4-udmattelsen for Asien og Stillehavsområdet, da de resterende IPv4-adresser vil blive 'rationeret' til netværksoperatørerne for at kunne etablere forbindelse med den nye generation IPv6-adresser. Alle nye og eksisterende APNIC-medlemmer, som lever op til de nuværende allokeringskriterier, vil få ret til en maksimal delegation af en /22 (1.024 adresser) af IPv4-pladserne,« meddeler APNIC.

Læs mere i Steven J. Vaughan-Nichols' blogindlæg her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans Schou

I forbindelse med Digital Signatur, fandt man ud af at den eneste måde at drive den slags igennem på, var at få bankerne med. Så man skal bare lave en lov der tvinger alle banker til at kun at tilbyde ipv-6 til deres kunder, så kommer andre services automatisk efter.

Nu bruger jeg ikke selv netbanker, men hvis arto rykker over på ipv-6, så installere jeg ipv-6 - eller sådan noget lign. :-D

  • 0
  • 0
#2 Henrik Pedersen

Arto? o.O Er du klar over hvor død den side er ;) - De bliver jo pwn'et episk af Facebook.

Men jeg gad nu godt se en lov der sagde noget i retning af. "Alle opgraderinger af eksisterende udstyr og alt nyt indkøbt udstyr skal køre IPv6"...

Der er sikkert nogle der vil tude lidt, sikkert også mig selv da jeg ikke er sikker på jeg har en IPv6 router. Men **** it det er vel for guds skyld den eneste vej frem hvis vi ikke skal vente 5 - 10 år på at folk bliver tvunget alligevel...

Hvad jeg personligt hader omkring teknologi er at det kommer lynende hurtigt (god ting) men samtidigt er folk nogle @!$*%! og får det ikke implementeret hurtigt nok (dårlig ting).

  • 0
  • 0
#5 Henrik Kramselund Jereminsen Blogger

Begynde?

Det er vel allerede igang, Nortel adresserne => Microsoft google:microsoft buys nortel IP

Ting som "Microsoft has just paid $7.5 million to buy some 666,000 addresses from the assets of the bankrupt Canadian networking company Nortel." http://newenterprise.allthingsd.com/20110325/got-any-old-ip-addresses-ne...

Men det pudsige er at ARIN siger at den slags registreringer kun kan overføres hvis man opfylder kravene, så jeg forstår ikke at Microsoft ikke bare ansøgte om adresserne?! Det ville ihvertfald ikke koste det samme.

Det bliver spændende.

  • 0
  • 0
#6 Hans Schou

HENRIK PEDERSEN,

Arto? o.O Er du klar over hvor død den side er ;)

...jeg er nok heller ikke målgruppen der.

Men jeg gad nu godt se en lov der sagde noget i retning af. "Alle opgraderinger af eksisterende udstyr og alt nyt indkøbt udstyr skal køre IPv6"...

Det behøver kun at gælde serversiden. Hvis alle banker og det offentlige kun har ipv-6 servere, først da vil borgerne følge med over på ipv-6. Skattevæsnet kunne være de første, når den nye årsopgørelse er klar, så ville der heller ikke være så meget pres på serveren.

De mest konservative er selvfølgelig web-shops, der vil være dem der i længst tid både vil have ipv-4 og -6, ellers mister de jo kunder.

  • 0
  • 0
#7 Deleted User

Jeg har spurgt dette i årevis, men ingen har kunnet give mig andet svar end "virksomhederne tager sig sammen i sidste sekund og klarer sig igennem uden problemer", men jeg spørger igen: hvor var planen for en glidende overgang til IPv6? Hvor var den internationale kommite der skulle facilitere skiftet? Hvorfor var der ingen der så meget som overvejede at tage IP-tørken alvorligt?

Man siger, at IPv6 og IPv4 ikke er kompatible nok til at køre begge dele i en periode ikke er realistisk for hele verden -- hvem har godkendt så elendigt design, må jeg føle mig nødsaget til at spørge?

  • 0
  • 0
#8 Poul-Henning Kamp Blogger

hvem har godkendt så elendigt design, må jeg føle mig nødsaget til at spørge?

Stort set alle.

Det startede med at man holdt en skønhedskonkurrence og valgte det 3-bedste fordi hun havde de flotteste addressefelter, frem for hende der havde en phd og tænkt over tingene.

Derefter lod man svindelfirmaer som WorldCom manipulere standardiseringen af route-planen, som det passede bedst i deres monopol-kram.

Derefter lod man de andre ISP'er fjerne alle de features der ville give konkurrence blandt dem (multihoming, anycast osv.)

Og så lod man være med at lave en transitionsplan.

Second-Systems Syndrome hele vejen...

Poul-Henning

  • 0
  • 0
#9 Henrik Kramselund Jereminsen Blogger

Nu er PHK altid mere farverig, og potentielt har han været med nogle steder jeg ikke var og ved derfor lidt sjove ting - kom gerne med flere kommentarer.

Jeg skrev speciale om IPv6 og i den forbindelse trawlede jeg gennem mange dokumenter, RFC'er fra IETF, referater, mailinglister, Paul Baran dokumenter osv.

Der var flere forslag til "den nye protokol" IP next generation. Nogle af dem var længere fra IPv4 end det som blev valgt, som forøvrigt var en sammensmeltning af flere andre.

Så vi endte med en anbefaling om at den nye skulle være "Simple Internet Protocol Plus (SIPP) Spec. (128 bit ver)" [Deering94b] som der står i RFC1752.

Specielt opsummeres det i "7. IPng Proposals" at ingen som sådan var forkerte, men at de andre var lidt mere ukendte, usikre, forskningsprojekter osv. Sådan som jeg læser det var man altså ikke klar til at satse butikken på noget helt ukendt.

Spoler vi derefter frem til idag har vi IPv6 (IPv5 var en forskningsprotokol som ikke benyttes, læs mere på ISOC.org FAQ eller lignende) som ganske rigtigt ikke er kompatibel med IPv4 direkte - on the wire - men det er IMHO en god ting.

JA IPv6 kræver et skift, men heldigvis er mange koncepter Internet som det var i de gode gamle dage! Vi har masser af adresser, vi kan kommunikere direkte, formatet passer bedre til afkodning i hardware - fast header fremfor variabel størrelse i IPv4 osv.

Når så IPv6 kræver et skift har de beskrevet mange metoder i alenlange dokumenter - og de er ikke færdige, der skrives stadig nye dokumenter om nye metoder til at migrere og sameksistere - istedet for bare at komme igang FFS!

Check evt. http://en.wikipedia.org/wiki/IPv6_transition_mechanisms hvis du ikke tror der er metoder nok til at skifte - det er HELT sikkert fordi vi mangler dine input til hvordan vi skifter, skriv en transition method ;-)

Nå tilbage til virkeligheden, jeg genlæste nogle af dokumenterne omkring skiftet fra NCP til IPv4 - IPv4 er ikke den første internet protokol. Dengang var der også mange der ikke havde skiftet i tide til IPv4 og det var første efter flere afbrydelser og en hård deadline at det "lykkedes".

Et skift i protokol som kræver bare et minimum af indsats sker ikke af sig selv.

I O'Reilly bogen Network Warrior er det beskrevet som GADs maxims, forfatteren hedder Gary A Donahue :-).

GADs Maxim #1: Network designs are based on Politics, Money, and The right way to do it - in that order. GADs Maxim #2: The only valid reasons to change a properly sized production network are Simplification, Standardization, and Stabilization. GADs Maxim #3: Companies only spend money on IT projects that lower costs, increase performance or capacity, or increase reliability.

Jeg siger ikke det er naturlove, men min erfaring siger det er rammende for mange netværk, projekter og organisationer. Måske mangler han lige at firmaer også bruger penge på projekter der forøger indtjening.

Når vi så erkender at skiftet til IPv6 ikke sker - bare fordi det er sjovt, pænere, bedre for den 3. verden osv. Så må vi skubbe problemet til dem som kan løse det.

Med det i tankerne er det åbenlyst hvorfor lande med få allokerede adresser - og deraf følgende meget NAT i 2,3,4 niveauer synes IPv6 simplificerer netværket og ER igang med at skifte. Dette skete af sig selv, og sker stadig - i asien er det mest udtalt, men internet exchanges på det afrikanske kontinent vil af samme grund formentlig understøtte IPv6 (uden at jeg dog har undersøgt det til bunds).

Ligeledes har vi set at de store transitleverandører, Level3 og Global Crossing som vi bruger allerede HAR IPv6. De kan ikke undvære det, fordi kunderne er begyndt at efterspørge det. De vil altså på et tidspunkt miste kunder hvis den service ikke er til stede. Hurricane Electric som er newcomer har eksempelvis en stigende forretning på netop at tilbyde IPv6!

For den almindelige danske virksomhed er der derimod ikke så mærkbare problemer og derfor er et skift til IPv6 ikke noget der giver bonus på bundlinien og ikke noget der simplificerer - så who cares. Det sjove er så at firmaer typisk har en lidt bedre router, måske har fiber og nemt KUNNE komme på IPv6. Det vil formentlig ske nå de har en partner, producent, leverandør i asien som af en eller anden grund har problemer med IPv4 webserveren eller har glemt at tilføje A-records.

De almindelige danskere, dem som ikke kender til IP og heller ikke læser version2, vil heller ikke øjeblikkeligt se en fordel ved IPv6, fordi vores internet med NAT, NAT (og sikkert snart NAT i 3. niveauer) er "godt nok" til facebook og email som de bruger mest tid på nu. Deres ADSL routere er for ringe - kort sagt elendige - og DSLAM og andet udstyr tæt på slutbrugeren har diverse problemer. Der er lange udsigter selvom produktet "internet" forringes væsentligt.

De lidt mere kyndige internetbrugere ser straks problemerne med at de nu får en RFC1918 privat adresse på ydersiden af deres firewall og derfor kører NAT i flere niveauer - jeg har selv 10.98.0.185 på ydersiden af min Soekris og http://tcpip.dk siger jeg kommer fra 79.142.224.171. Yay, det er SUPER fedt med NAT i flere niveauer og carrier grade NAT skal nok blive superfedt når vi er mange nok der skal på. NOT! Jeg kan allerede nu måle forringelser i latency og forsinkelse i oprettelse af TCP sessioner, øv :-( (BTW jeg kan hos den pågældende udbyder betale 250kr i oprettelse og 40kr/md for en global IP)

Jeg håber internetleverandørerne i Danmark er igang med at finde løsninger der inkluderer IPv6 for ellers bliver det nogle elendige oplevelser med internet og streaming af video og musik gennem flaskehalse hos internetleverandørerne bliver ikke sjovt.

Dem som ikke har indset problemet kan forestille jer at for at besøge mig 2km fra Fields på Amager skulle alle forbi Ørestad, inden de fik en hemmelig vej at vide ned til mig. Tidligere kunne alle blot benytte en af de mange veje ned til min offentligt kendte adresse.

Så nej, problemet bliver ikke løst overordnet, hvis du har nok incitament til at løse det så forbliver det uløst. Personligt er jeg ret ligeglad med om nogle kunder bliver "ladt i stikken" - de er ikke mere ladt i stikken end at de med rettidig omhu kan klare sig!

Problemet med IPv6 er altså ikke et problem, før det er et problem for dig, og så må DU være din egen lykkes smed og løse det.

Når det så er sagt vil det klart være på sin plads at medtage kravet ved indkøb af hardware, bladre i hjælpen til IPv6 på dit operativsystem og lære om IPv6. Den investering i IPv6 vil ikke koste alverden og vil forberede dig så du ikke får et usikkert og ustabilt netværk den dag du SKAL indføre IPv6.

Kilde: http://www.ietf.org/rfc/rfc1752.txt The Recommendation for the IP Next Generation Protocol

  • 0
  • 0
#10 Baldur Norddahl

Jeg håber internetleverandørerne i Danmark er igang med at finde løsninger der inkluderer IPv6 for ellers bliver det nogle elendige oplevelser med internet og streaming af video og musik gennem flaskehalse hos internetleverandørerne bliver ikke sjovt.

Jeg var til møde hos den TDC ejede internetudbyder Dansk Kabel TV, hvor direktøren og deres bedste teknikker var tilstede. De er helt blanke på IPv6. De har ikke planlagt det, og de tror de bare kan installere en eller anden magisk server, som tryller IPv4 til IPv6 når tiden kommer. Jeg gætter på at han har læst lidt om NAT46 og det er deres plan. Meningen er altså at DKTV kunder får tildelt RFC1918 adresser og så bruger DKTV NAT44 henholdsvis NAT46 til at konvertere. Det er jo horribelt af så mange grunde at jeg ikke orker at skrive dem alle op her.

Jeg fik dog kommunikeret at når vores netværk om halvandet års tid skal i udbud igen vil IPv6 stå som krav. Hvis de vil genvinde kontrakten har de altså senest dertil for at lære lidt om sagen.

På det tidspunkt har vi i Europa dog også været tørlagte for IPv4 adresser i mindst et år.

  • 0
  • 0
#11 Carsten Sonne

De lidt mere kyndige internetbrugere ser straks problemerne med at de nu får en RFC1918 privat adresse på ydersiden af deres firewall og derfor kører NAT i flere niveauer

IPv6 eksponering af private adresser på ydersiden, vil forsat medføre NAT i mine systemer. I min optik er IPv6 et tilbageskridt fra IPv4. Jeg beholder mine IPv4 adresser så længe jeg kan.

  • 0
  • 0
#12 Jesper Louis Andersen

IPv6 eksponering af private adresser på ydersiden, vil forsat medføre NAT i mine systemer. I min optik er IPv6 et tilbageskridt fra IPv4. Jeg beholder mine IPv4 adresser så længe jeg kan.

Det vil ikke medføre NAT, men en firewall. Fordelen er at du som programmør ikke ryger ud i at skulle traversere NAT med diverse krumspring, og have at din router skal holde en NAT-table (de er pivringe til det).

Desuden er enheder så mobile i dag at et NAT/Firewall i border ikke udgør nogen nævneværdig øget sikkerhed. Din laptop sidder alligevel alle mulige steder, hvilket er et godt argument for at droppe ideen om at NAT giver dig nogensomhelst form for sikkerhed.

  • 0
  • 0
#13 Carsten Sonne

Det vil ikke medføre NAT, men en firewall.

Sporbarhed på en IPv4 adresse levner allerede rigeligt med muligheder for profiling og andet godt. Med eksponering af hver enkelt enhed igennem en unik adresse, åbnes mulighed for endnu mere detaljet profiling - helt ned på enhedsniveau.

Kald det gerne noget andet en NAT. Jeg ønsker ikke private adresser eksponeret i offentligheden. Prøv at tage kig på RFC 3041 og RFC 4941.

  • 0
  • 0
#14 Baldur Norddahl

Du linker selv til privacy extensions, der som bekendt er slået til i Windows som standard. Systemet umuliggør sporing på enhedsniveau da IP adressen skiftes med få timers mellemrum. Derfor er jeg en kende forvirret, hvad mener du egentlig med dit indlæg?

  • 0
  • 0
#15 Henrik Kramselund Jereminsen Blogger

Du vælger selv dine adresserum, så hvad nu hvis IPv6 gav dig mulighed for at bruge private adresser - med stor sandsynlighed for at undgå kollision med andre?

Hov, det GØR IPv6

FC00::/7 Unique Local IPv6 Unicast Addresses RFC-4193 http://www.simpledns.com/private-ipv6.aspx

IPv6 bestemmer ikke din adresseplan, det gør du.

IPv6 er ikke bestemmende for hvordan din firewall policy er og hvad produkter og metoder du bruger - men at sige NAT giver ret meget idag er at have bind for øjnene.

NAT hjælper på en direkte scan af adresserum, men fakta er at der er 99.999% andre angreb som NAT ikke hjælper på! Så dem der (stadig) taler for NAT, pas på det ikke bliver en sovepude!

PS Jeg forstod heller ikke indlægget, men det er vigtigt at få afmystificeret IPv6, så kom bare med mistro og misinformation - så kan vi mere effektivt få spredt fakta - eksempelvis RFC-4193 som omtalt ovenfor :-)

  • 0
  • 0
#17 Carsten Sonne

Fra RFC 3041:

... The focus of this document is on addresses derived from IEEE identifiers because tracking of individual devices ... the techniques described may also apply to interfaces with other types of [b]globally unique and/or persistent identifiers[/b] ... The use of a non-changing interface identifier to form addresses is a specific instance of the more general case where a constant identifier is reused over an extended period of time and in multiple independent activities. Anytime the same identifier is used in multiple contexts, it becomes possible for that identifier to be used to [b]correlate seemingly unrelated activity[/b] ...

Fra Wikipedia:

A Media Access Control address (MAC address) is a [b]unique identifier[/b] assigned to network interfaces ... MAC addresses are used for numerous network technologies and most IEEE 802 network technologies ...

http://en.wikipedia.org/wiki/MAC_address

Private adresser (læs: adresser på indersiden af firewall/router) eksponeres på ydersiden i IPv6. Der er desværre ikke nogen myte.

  • 0
  • 0
#18 Baldur Norddahl

Kære Carsten, RFC 3041 beskriver jo netop løsningen på det problem som du citerer. Dokumentet starter med at beskrive hvad problemet er (det du har citeret her) og resten af dokumentet er så løsningen!

RFC 3041 beskriver en metode hvor man går væk fra at bruge MAC og i stedet bruger tilfældige adresser, som man omlaver med få timers mellemrum.

Og tilfældigvis bruger Windows som standard privacy extension og ikke en IP adresse baseret på din MAC adresse.

Det du klager over er altså løst i netop RFC 3041 og også implementeret i de gængse operativsystemer.

  • 0
  • 0
#19 Carsten Sonne

RFC 3041 beskriver en metode hvor man går væk fra at bruge MAC og i stedet bruger tilfældige adresser, som man omlaver med få timers mellemrum.

Ja. Det laver stadig ikke om på private adresser eksponeres i offentligheden. Fiksfakserier kan da minimere skaden. Jeg betragter det stadig som et tilbageskridt.

  • 0
  • 0
#24 Carsten Sonne

Baldur,

Dit link kan få Firefox til at crashe ... Jeg ser ingen private IP adresser. Jeg har ingen illusion om min sikkerhed (så vidt jeg ved). Jeg ved dog at min IP adressen på computeren her ikke forlader mit netværk.

Som tidligere skrevet syntes jeg allerede IPv4 levner rige muligheder for profiling - eller som der skrives i RFC 3041: mulighed for at korrelere uafhængige (ikke koblede) aktiviteter. Hvorvidt man syntes 3. parts profiling i sig selv er et problem, er vel sagens kerne.

Vh Carsten

  • 0
  • 0
#25 Baldur Norddahl

Så prøv det her link i stedet: http://www.auditmypc.com/anonymous-surfing.asp

Som du ser tager du fejl, når du tror din interne IP adresse ikke er tilgængelig for andre.

De midlertidige adresser levner ingen mulighed for "profiling". Så jeg synes ikke du har givet svar på spørgsmålet "Hvorfor mener du det er et problem at "eksponere" midlertidige adresser?".

  • 0
  • 0
#26 Carsten Sonne

Baldur,

Angivet hjemmeside fortæller jeg har IP adressen 95.166.205.x. Det er min eksterne IP tildelt af Fullrate, der pt. er min ISP. Computeren her har en IP adresse i netværket 192.168.x.0/24. Teknikken kaldes NAT (network address translation).

En IP adresse kan benyttes af en 3. part til at koble informationer fra en 2. part imellem 2. part og 1. part (dig).

Alt efter hvor mange 2. parts aftaler en 3. part har, kan omfanget af sammenholdning af infomation vedr. 1. parts transaktioner med 2. parter, være mere eller mindre værdifuld.

Alt efter hvor smart 3. part er, kan "midlertidige" adresser med en vis sandsynlighed kobles til samme identitet. Hvis 3. part samtidig benytter såkaldte "trace cookies" eller andre sporingsteknikker, vil sandsynligheden for en korrekt kobling af uafhængende transaktion imellem 1. part og relevante 2. parter, øges.

Hvad andre mener om problemet, skal jeg ikke gøre mig til dommer over. Min holdninger til IPv6 er klar: Jeg er ringere stillet end med IPv4. Derfor beholder jeg mine IPv4 adresser så længe jeg kan.

Vh

  • 0
  • 0
#27 Baldur Norddahl

Længere nede på siden ser du en tekst som følgende: WARNING: Internal IP Address (192.168.1.100) Found!

Den finder min interne adresse hver gang. Jeg kan jo ikke sætte mig ved siden af dig og pege på det.

Alt efter hvor smart 3. part er, kan "midlertidige" adresser med en vis sandsynlighed kobles til samme identitet.

Hvordan?

Derfor beholder jeg mine IPv4 adresser så længe jeg kan.

Hvad mener du egentlig med det? Der er allerede idag indhold du ikke kan tilgå, f.eks. http://ipv6.google.com. Fremtiden er dual-stack så du beholder din IPv4 adresse men du får også en IPv6 adresse så du kan tilgå de servere, som kun findes på IPv6.

Nåja, så er der i øvrigt 10% change for at du godt kan tilgå den URL jeg lige linkede til. Der er nemlig mindst 10% af brugerne der har IPv6 via teredo uden at vide det.

  • 0
  • 0
#29 Baldur Norddahl

Nej, det er op til dig at forklare hvad du mener. Et 64 bit tal der skifter fuldstændigt tilfældigt og alligevel tror du at man kan bruge det til identifikation?!

Det siger sig selv at hvis du tilgår site A og site B ca. samtidig så kan de regne ud at du er den samme. Det kan de også i dag med IPv4 selvom du er bag NAT. Men tilgår du site B bare et par timer efter du tilgik site A, så er din adresse en helt anden. Hvordan har du lige tænkt at det skal kunne bruges?

  • 0
  • 0
#30 Henrik Kramselund Jereminsen Blogger

"Dit link kan få Firefox til at crashe ... " mener du linket http://tcpip.dk/ ??

Det er tilfældigvis mig der har denne service :-)

Der er rent faktisk kun referencer til iframes med referencer til scripts som kører på min server, aka http://ipv4.tcpip.dk/address.gsp, som så blot returnerer ${request.getRemoteAddr()} der er den adresse request kom fra - det er IKKE som mange andre steder en masse javascript der finder adresserne.

Et andet site som tester er http://test-ipv6.com/ og der er kildeteksten faktisk open sourcet nu, og HVIS den crasher din browser, så bør du nok skynde dig at opgradere den - det er en fejl i browseren.

Nå, men jeg tror vi er meget hurtigt på vej væk fra IPv6 snakken og når det kommer til profiling af klienter så er det med specielt browsere ekstremt nemt at identificere en klient, ud fra plugins, browserversion, fonte tilgængelig og endda CSS tricks. Uanset om du kommer fra IPv4 eller IPv6.

  • 0
  • 0
#31 Baldur Norddahl

Jeg tænkte på sektionen "local address" som har teksten:

Local IP addresses on your system Your local IPv4 address: (The local addresses are found using Java, if Java is enabled, works with Camino browser)

Den virker så ikke. Men det gør http://www.auditmypc.com/anonymous-surfing.asp og mon ikke også den fandt Carsten Sonnes lokale adresse? Carsten: den skriver altså både din eksterne adresse og senere mellem "GPS" og "MAP OF YOUR LOCATION" skriver den din RFC 1918 adresse. Kræver dog at man har java installeret.

Der må dog være masser af andre metoder at gøre det på end lige java. Det er måske bare ikke specielt interessant når det i forvejen er meget nemt at profilere en browser. Jeg gik kun ind i det på grund af den fremlagte ide om at RFC 1918 adresser bag ved NAT er specielt svære at finde frem til og at det på en eller anden uspecificeret måde skulle give en ekstra beskyttelse af privatlivet. Men det er en simpelt illusion.

En måde at "skanne" et RFC 1918 subnet bag en NAT er simpelt at lave en masse skjulte billed-tags der forsøger hente noget fra 192.168.x.1, 192.168.x.2, ..., 192.168.x.254. De adresser hvor en computer svarer vil fejle hurtigere end ubrugte adresser. Tilsvarende kan man lave portscan efter samme ide. Det hele kan køres i javascript i en skjult frame.

Man møder mange der tror de er sikre imod skanning med mere bag ved deres NAT - også det er en illusion.

Når man snakker sikkerhed og privatliv er man altså nødt til at overveje om de tiltag man gør har nogen reel effekt. NAT er ligesom at stikke hovedet i et hul. Det hjælper altså bare ikke, vi kan godt se dig alligevel.

  • 0
  • 0
#33 Carsten Sonne

... og HVIS den crasher din browser, så bør du nok skynde dig at opgradere den ...

Jeg bruger seneste version af Firefox.

og mon ikke også den fandt Carsten Sonnes lokale adresse?

Jo, indtil jeg slog Java fra :-)

Det er måske bare ikke specielt interessant når det i forvejen er meget nemt at profilere en browser.

Version2 havde for ca. 1 år siden en artikel der afslørede at 8/10 browsere har en så unikt konfiguration at den er identificerbar: http://www.version2.dk/artikel/14899-du-er-ikke-anonym-8-ud-af-10-browse...

Uagtet eksisterende sårbarheder, er det i min verden meningsløst at advokere for øget identifikation med henvisning til identifikation alligevel er umuligt at undgå. Det er simpelthen for sølle.

  • 0
  • 0
#34 Henrik Kramselund Jereminsen Blogger

Uagtet eksisterende sårbarheder, er det i min verden meningsløst at advokere for øget identifikation med henvisning til identifikation alligevel er umuligt at undgå. Det er simpelthen for sølle."

Hvis noget så argumenterer vi for at man med IPv6 OG Privacy extension har en skiftende adresse - hvor man med IPv4 og RFC1918 har en fast identifikation.

Dvs vi advokerer for at man skifter til IPv6 - fordi det giver mindre identifikation.

Så hvis jeg må prøve at opsummere: IPv6 med EUI-64 afledt af MAC adressen giver IPv6 adresser hvor interface delen er nem at spore - derfor er der foreslået Privacy Extensions.

Med privacy extensions skifter interface delen jævnligt - og vi antager her at der skiftes kryptografisk sikkert, dvs uforudsigeligt.

Uanset privacy extensions på IPv6 eller brug af NAT+RFC1918 vil man komme fra samme netværk - og derfor have samme netværksprefix /64 eller eksterne IPv4 adresse. Når man flytter sig til et andet netværk vil det ikke ud fra hverken IPv6 adressen eller den nye IPv4 eksterne adresse være muligt at spore vedkommende. (Men her kan man spores eksempelvis ud fra browserens profil, historik osv.)

Ovenstående betyder altså at IPv6 som protokol (med privacy extensions) hverken gør identifikation bedre eller værre.

  • 0
  • 0
#37 Baldur Norddahl

Det er kun den lokale MLD daemon der har informationer om du er tilmeldt. Der er ligeså mange MLD daemoner mellem dig og afsenderen som der er routere, og alle undtagen den på dit eget netværk ved kun at der er mindst én der lytter i den retning.

Så medmindre afsender har kontrol over samtlige MLD daemoner i nettet (hele internettet!) har han ingen mulighed for at vide hvem der lytter.

Modsat IPv4 har alle mulighed for at udsende multicast til hele verden. Der følger automatisk et multicast-subnet med til ethvert IPv6 subnet. Det er i virkligheden dét der er den reelle revolution.

Hvis du har 0 lyttere udsender du 0 streams. Hvis du har 1 million lyttere udsender du 1 stream. Det er jo så effektivt at du kan sende din egen TV udsendelse fra din mobiltelefon i god kvalitet. Direkte, billigt og uden mellemliggende servere til at multiplicere signalet.

  • 0
  • 0
#39 Baldur Norddahl

Jeg vil tillade mig at kalde det for anonymt. Det er kun din lokale ISP der kan vide at det er dig der lytter. Og det vil de jo altid kunne bare ved at observere trafikken flyde til din linje, så det kan ikke undgås.

Pointen er at afsender og mellemliggende ISP'er ingen mulighed har for at finde frem til dig.

Eksempelvis vil det være umuligt for pladebranchen at opsætte en falsk piratsender og så knalde alle der tuner ind.

  • 0
  • 0
#40 Carsten Sonne

Jeg vil tillade mig at kalde det for anonymt.

Det afgørende er hvem kan identificere hvad. En ISP har en helt legitim (og nødvendig) grund til at kende den adresse en multicastet pakke skal sendes til.

Jeg kender ikke til multicast implementering i IPv6. Som den er beskrevet lyder den jo umiddelbart til at være en forbedring på flere områder. Multicast i IPv4 er aldrig rigtig blevet udbredt - formegentlig med baggrund i tekniske udfordringer med netop isolation.

Anonymitet er ikke et mål i sig selv. Målet er derimod at sikre ingen har viden om nogen uden en legitim grund. I udgangspunktet må det være en selv, der bestemmer hvilke grunde er legitime og hvilke ikke er - ikke teknologien eller en myndighed.

I specialtilfælde, f.eks. ved tilstrækkelige grove forbrydelse, bør en myndighed selvfølgelig også have adgang til informationer for at kunne foretage identifikation.

  • 0
  • 0
#41 Baldur Norddahl

Jeg læste noget nyt om Teredo - forudsat at version2 ikke fejlfortolker URL'en burde omkring 30% af jer kunne tilgå dette site på IPv6:

http://[2001:470:9905:3::1]/

Der er nok en del der forsværger IPv6 som ikke er klar over at de allerede er "på".

  • 0
  • 0
#43 Henrik Kramselund Jereminsen Blogger

Ja, det virker fint når man paster ind i min Safari :-)

Til dem der ikke kender syntaksen, så er tricket med firkantede paranteser nødvendigt idet man ofte vil angive portnr - hvor man plejer at bruge kolon

Ovenstående kunne altså også skrives, hvis man bruger port 80 som eksempel: http://[2001:470:9905:3::1]:80

Andre steder hvor der ikke er risiko for misforståelse skrives IPv4 og IPv6 helt tilsvarende, eksempel fra Apache HTTPD konfigurationsfil:

Allow from 127.0.0.1 Allow from 2001:1448:81:0f:2d:9f:f6:3f Allow from 217.157.123.123

Mvh

Henrik

  • 0
  • 0
#44 Baldur Norddahl

Jeg kan se at der er en håndfuld Teredo-brugere der har prøvet det af.

Det nye jeg lærte er at Windows kommer med Teredo slået til som standard. Men hvis Teredo er eneste IPv6 adresse på systemet vil Windows aldrig lave et AAAA opslag.

Det virker med andre ord kun hvis man ikke bruger DNS. Derfor er mit link med en IPv6 adresse i stedet for et domæne.

Guderne alene vide hvorfor Microsoft har valgt at hærge DNS i deres Teredo implementering.

Konsekvensen må være at fremtidige IPv6 only sites har brug for en tinyurl.com lignende tjeneste som genkender Teredo og laver en http redirect til IPv6 adressen i stedet for domænet.

Her er samme URL via tinyurl.com så at version2 forhåbentlig godkender den: http://tinyurl.com/3myldew

  • 0
  • 0
#45 Jesper Louis Andersen

Guderne alene vide hvorfor Microsoft har valgt at hærge DNS i deres Teredo implementering.

Det skyldes formentlig fejlkonfiguration af DNS og så tager det tid. I Microsofts verden kommer brugeroplevelsen så før teknikken.

  • 0
  • 0
#46 Baldur Norddahl

Denne lille uformelle undersøgelse af IPv6 adgang blandt version2 læsere har indtil videre ført til følgende:

15 brugere med prefix 2001:0:: (Teredo tunnel, de fleste formodentlig Windows folk)

2 brugere med prefix 2002:: (6to4 tunnel)

3 brugere med prefix 2001:16d9:: (Sixx tunnel)

1 bruger med prefix 2001:470:: (tunnelbroker.net - det er mig selv).

Jeg kan ikke vide hvor mange der har forsøgt og fejlet. Men 15 som det lykkedes for og fra en tråd så lang som den her synes rimeligt godt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere