IPv6, DLD og NAT

Den uheldige treenighet

Steinar Haug IPv6 guru / Senior network architect steinar.haug@ventelo.no

Hvem er vi?

•  Ventelo er en komplett tjenesteleverandør –  Mobiltelefoni / fasttelefoni –  Bredbånd –  Datacom –  Kapasitet

•  Landsdekkende infrastruktur på fiber, DSL

og radio •  Bedrift, wholesale og privat

•  IPv6 i kjernenettet siden 2003 –  Produktifisering. –  Pilot-tjeneste tilbys bedriftskunder. –  Første større IPv6 leveranse til The Gathering påsken

2009, Vikingskipet.

Slide 2

Uheldige forkortelser?

•  Data og nettverksbransjen liker forkortelser –  En yrkesrelatert sykdom?

•  Dagens forkortelser: IPv6, DLD og NAT –  IPv6: Internet Protocol version 6. –  DLD: Datalagringsdirektivet. –  NAT: Network Address Translation.

•  Disse har en del innebygde konflikter –  Jeg skal belyse konfliktene og problemene. –  Jeg kommer med en del påstander om IPv6, DLD og NAT. –  Det er lov å være uenig. –  Hvis dette får dere til å tenke, er alt vel!

Slide 3

MP3

IPv6 IPv4

TCP IKT

WWW

PHP

DLD

NAT

ISP GSM

LTE

API ADSL

Datalagringsdirektivet

•  Vedtatt i Stortinget 4. april 2011 –  Dramatisk svekking av personvernet: Alle betraktes som mistenkte! –  Opphetet debatt i mange fora på forhånd. –  Men mange gir blaffen og bryr seg ikke.

•  Lagring av info om alle som bruker teletjenester –  Minimum 6 måneders lagring. –  Sender, mottaker, posisjon – men ikke innhold. –  Krever i praksis veldefinert kobling mellom IP-adresse og kunde. –  Forslag til ny åndsverkslov peker i samme retning.

•  Detaljer ennå ikke avklart! –  Detaljert utforming av regelverket er ikke klart – hverken Storting

eller andre vet egentlig hva som er vedtatt! –  Kostnader forbundet med DLD er ikke avklart – men vi vet at de blir

betydelige.

Slide 4

Network Address Translation

•  NAT er svært vanlig i forbindelse med IPv4 –  ”Mange til en” NAT: Flere IPv4 bokser bak én offisiell adresse. –  Hver enkelt boks er ikke lenger direkte adresserbar! –  NAT ”sikkerhet”: Egentlig kommer dette fra ”stateful firewall”. –  Sikkerhetspolicy: Vanlig at det kun aksepteres returtrafikk

for sesjoner som er startet fra ”innsiden” (lokalnettet). –  NAT-boks må ha tilstand for sesjoner. –  De fleste ADSL hjemmerutere bruker NAT. –  Bedrifter bruker ofte NAT på brannmur mot omverden. –  NAT gir leverandøruavhengighet: Kun NAT-boks (brannmur)

trenger å endres ved bytte av leverandør.

•  NAT er ikke definert for IPv6! –  Både faglig begrunnet og ”religiøs” motvilje. –  Men det tvinger seg frem likevel (brukerkrav). –  Relevant skille: ”En til en” oversetting (NAT66) versus

”mange til en” oversetting (NAPT66).

Slide 5

IPv6 adressetildeling •  IPv6 adressetildeling som ligner på IPv4

–  Statisk adresse: Eksplisitt konfigurering pr. boks. –  DHCP: Tildeling styres av DHCP-server.

•  Disse er ”DLD-vennlige”: –  Enkelt å holde oversikt over kobling mellom IP-adresse og bruker/boks. –  DHCP-server gir sentralisert logging.

•  Inkompatibel med DLD: Autokonfigurasjon (SLAAC) –  Ny mekanisme i IPv6 – finnes ikke i IPv4. –  Adresse lages vha. prefiks (fra ruter) og lokal del (bestemt av boksen selv).

–  Vanligvis ingen logging som viser kobling mellom boks og IPv6-adresse.

–  Inkompatibel med DLD! –  ... som betyr at denne mekanismen normalt ikke kan brukes av tjenesteleverandører.

Slide 6

2001:db8:: 215:17ff:fe2a:2fde

Hvilke adresser skal brukes?

•  En datamaskin vil ofte ha IPv4 og IPv6 adresser –  Hvilke adresser skal brukes? Dette er ikke opplagt! –  Nyere operativsystemer foretrekker normalt IPv6 foran IPv4. –  Hva om IPv6-adressen er en 6to4 eller Teredo tunnel-adresse? –  Hva om IPv4-adressen er en privat IP-adresse (pga. NAT etc)? –  Hva skjer med VPN-forbindelser med IPv6 i nettet? –  Valg av dårlig/ikke fungerende adresse kan være katastrofalt for brukeropplevelse

(30 sekunder timeout o.l.), og innholdsleverandører er redd for å miste inntekter!

•  Det er gjort en god del målinger for å detektere problemer –  Google målinger: http://ripe61.ripe.net/presentations/223-World_IPv6_day.pdf –  Redpill Linpro målinger: http://www.fud.no/ipv6/

•  Resultatet er at VG/A-pressen har skrudd på IPv6 på servere –  Mengden ikke-fungerende klienter er lav nok til at de kan leve med det. –  Og det skal vi alle være glade for

Slide 7

IPv6 vil gi økt bruk av NAT

•  NAT ikke definert for IPv6! –  IPv6 tilbyr full ende til ende kommunikasjon, uten NAT. –  Mange brukere er vant til NAT, og ønsker det for IPv6! –  Leverandøruavhengige adresser (PI) finnes, men er

vanskelig tilgjengelige. –  Fullstendig krasj mellom teori og praksis

•  IPv6 vil gi mer bruk av NAT enn IPv4! –  Iallfall i de nærmeste 5 – 10 årene. –  Mange ”overgangsmekanismer”: NAT64/DNS64, DS-Lite, ... –  Hvordan kan en IPv6 boks nå IPv4 innhold? –  Hvordan kan en IPv4 boks nå IPv6 innhold? –  Hvordan skifte IPv6 leverandør uten å endre alle

IPv6 adresser i bedriften? –  Hvordan håndtere DLD krav til identifikasjon av kunde?

Slide 8

IPv6 og NAT

•  Tanken var... –  At ”alle” skal bruke ”dual stack”, dvs. implementasjon av både IPv4 og IPv6.

Nødvendig fordi IPv6 og IPv4 bokser ikke kan snakke direkte med hverandre. –  Og etter noen år har ”alle” gått over til IPv6, og IPv4 kan skrus av. –  IPv6 trenger ikke NAT, fordi det er nok adresser – ikke nødvendig å definere NAT. –  Slik gikk det ikke!

•  Sentralisert NAT for å kunne fortsette med bruk av IPv4 –  Tjenesteleverandører trenger IPv4-adresser til nye kunder. –  IPv4-adresser kan frigjøres ved å kjøre sentralisert NAT (”Carrier Grade NAT”, NAT444). –  Krever enorme mengder logging for å tilfredsstille DLD-krav.

•  NAT for IPv4 – IPv6 kommunikasjon –  Både sentraliserte og distribuerte løsninger (CPE) er mulig. –  Tilby IPv6 tjenester eksternt uten å endre dagens servere. –  CPE-baserte løsninger krever at tjenesteleverandør kontrollerer CPE.

Slide 9

IPv6, NAT og DLD

•  NAT444 = NAT44 (kunde) + NAT44 (tjenesteleverandør)

•  Sentralisert NAT gir store utfordringer mht. logging –  Logging er påkrevet for å kunne identifisere kunde i forhold til DLD. –  Logging betyr normalt tidspunkt, IP-adresser, portnumre, etc. Minimum 50 – 100 byte. –  Logging må gjøres for hver sesjon, fordi kobling mot kunde er dynamisk! –  En nettside resulterer i mange sesjoner (kan være 100 eller mere). –  Resultatet er store volumer med loggdata, og høy kostnad for lagring og administrasjon. –  Du kan forvente å få et nært og varmt forhold til din lagringsleverandør

Slide 10

IPv6, NAT og DLD 2

•  Finnes det noen måter å unngå logge-eksplosjonen? –  I prinsippet enkelt: Implementer IPv6 ende til ende.

Sørg for at alle kunder og tjenester er tilgjengelig over IPv6.

•  I praksis vanskelig: –  Det er svært kort tid igjen for de som først begynner nå. –  Det er allerede tomt for IPv4-adresser mange steder

(f.eks. ikke mulig å dekke behov på mobilsiden). –  Det er fortsatt mange produkter som ikke støtter IPv6:

Mobiltelefoner, hjemmerutere, etc.

•  Trodde du smartmobilen din støttet IPv6? –  Den gjør den antagelig – men kun med WiFi tilkobling. –  Nesten ingen smartmobiler støtter IPv6 mot GSM-nettet. –  Svært mange mobiloperatører kan ikke fakturere IPv6 datatrafikk.

I praksis er mobilverden helt avhengig av NAT.

Slide 11

Summa summarum

•  IPv6 autokonfigurasjon inkompatibel med DLD –  På grunn av behov for identifikasjon av kunde, –  Og manglende logging av adressetildeling.

•  IPv6 vil gi mer bruk av NAT enn dagens IPv4 –  På grunn av behov for IPv4-adresser til nye kunder og tjenester. –  Og ulike overgangsmekanismer mellom IPv4 og IPv6.

•  IPv6, DLD og NAT vil gi store mengder logging flere år fremover –  En ”våt drøm” for lagringsleverandører? –  Dette blir definitivt ikke gratis. –  Noen må betale for dette. Staten?

•  Raskest mulig overgang til IPv6 er det beste vi kan gjøre –  ... for å redusere smerten.

Slide 12