IPv6 prechod ve firemni infrastrukture

RIPE NCC v zari 2012 oznamilo, ze posledni blok IPv4 adres v Evrope byl pridelen. World IPv6 Launch v cervnu 2012 znamenal trvalé zapnuti IPv6 u velkych provideru. Pro firemni IT neni otazka jestli prejit na IPv6, ale jak rychle.

Proc se IPv6 tyka kazde firmy¶

IPv4 ma priblizne 4,3 miliardy adres. S poctem pripojenych zarizeni — servery, pocitace, telefony, tablety, tiskárny, senzory — to uz nestaci. NAT sice prodlouzil zivotnost IPv4, ale prinasi vlastni problemy: slozitost konfigurace, potize s peer-to-peer komunikaci, komplikace pri VPN a videokonferencich.

IPv6 nabizi 340 undecilionů adres — prakticky neomezeny prostor. Kazde zarizeni muze mit globalni adresu. To zjednodusuje smerování, odstrañuje potrebu NAT a umoznuje end-to-end konektivitu.

Pro ceske firmy je dulezite, ze CZ.NIC a cesti ISP aktivne podporuji IPv6. Seznam.cz, Google.cz a dalsi klicove sluzby uz jsou dostupne pres IPv6. Ignorovat tento trend znamena riskovat problemy s dostupnosti v budoucnu.

Dual-stack jako doporucena strategie¶

Nedoporucujeme prepinat na ciste IPv6 — vetsina internich aplikaci a sluzeb zatim nativne nepodporuje IPv6. Misto toho doporucujeme dual-stack pristup: kazde zarizeni a server ma jak IPv4, tak IPv6 adresu.

Dual-stack vyzaduje:

• Routery a switche s IPv6 podporou — vetsina enterprise zarizeni od Cisco, Juniper a HP z poslednich 3-4 let IPv6 zvlada. Starsi zarizeni mohou potrebovat firmware upgrade.
• DHCP a DNS — Windows Server 2008 R2 a novejsi podporuji DHCPv6. DNS musi byt schopne obsluhovat AAAA zaznamy. BIND 9 a Windows DNS to zvladaji.
• Firewall pravidla pro IPv6 — toto je kriticky bod. Mnoho firem ma propracovana pravidla pro IPv4, ale IPv6 provoz prochazi bez kontroly.
• Monitoring — nastroje jako Nagios, Zabbix a PRTG musi monitorovat oba protokoly.

Adresni plan pro firemni sit¶

S IPv6 dostanete od poskytovatele typicky /48 prefix, coz je 65 536 podsiti, kazda s 2^64 adresami. Doporucujeme strukturovany adresni plan:

2001:db8:abcd:0001::/64 — Management VLAN

2001:db8:abcd:0010::/64 — Servery produkce

2001:db8:abcd:0020::/64 — Servery vyvoj/test

2001:db8:abcd:0100::/64 — Uzivatelske stanice

2001:db8:abcd:0200::/64 — Wi-Fi / BYOD

2001:db8:abcd:0300::/64 — Guest sit

2001:db8:abcd:0f00::/64 — DMZ

Pouzivejte logicke cislovani podsiti, ktere odpovidaji vasi stavajici VLAN strukture. Usnadni to spravu i troubleshooting.

Bezpecnostni aspekty IPv6¶

IPv6 prinasi specificka bezpecnostni rizika, na ktera jsme u klientu narazili:

Nerizeny IPv6 provoz. Windows Vista a novejsi maji IPv6 zapnute ve vychozim nastaveni. Pokud vase sit nema IPv6 infrastrukturu, systemy si vytvori link-local adresy a mohou komunikovat mimo dosah vaseho firewallu. Bud IPv6 aktivne spravujte, nebo ho na stanicich vypnete.

Rogue Router Advertisement. V IPv6 se zarizeni mohou automaticky konfigurovat pomoci Router Advertisement zprav. Utocnik muze poslat falesny RA a presmerovat provoz. Resenim je RA Guard na switchich.

Vetsi hlavicka paketu. IPv6 hlavicka je 40 bytu oproti 20 bytum u IPv4. Nektere starsí firewally a IDS/IPS systemy neumi IPv6 pakety spravne analyzovat — testujte pred nasazenim.

Tunelovani. Mechanismy jako 6to4, Teredo a ISATAP mohou obejit firewallova pravidla. Doporucujeme tyto protokoly na firemni siti blokovat a pouzivat pouze nativni dual-stack.

Aplikace a middleware¶

Vetsina modernich aplikacnich serveru uz IPv6 podporuje. Apache Tomcat 7, JBoss AS 7, WebLogic 12c — vsechny fungují na dual-stack bez problemu. Pozor ale na:

• Hardcoded IP adresy — aplikace, ktere maji v konfiguraci nebo kodu IPv4 adresy misto DNS jmen, nebudou pres IPv6 fungovat
• Socket programming — starsi Java kod pouzivajici java.net.Socket s explicit IPv4 adresami musi byt upraven
• Logy a audit — IPv6 adresy jsou delsi. Overte, ze vase log parsery a SIEM zvladaji IPv6 format
• Databaze — Oracle 11g, PostgreSQL 9.x a MySQL 5.6 podporuji IPv6 pripojeni

Testovaci prostredi¶

Pred nasazenim do produkce doporucujeme vytvorit testovaci IPv6 segment. Postup:

1. Vyclenete jeden VLAN pro IPv6 testovani
2. Nakonfigurujte router s RA pro automatickou konfiguraci
3. Pripojte testovaci servery s dual-stack
4. Otestujte klicove aplikace — email, web, databaze, VPN
5. Overte firewall pravidla — jsou IPv6 pakety filtrovany spravne?
6. Zkontrolujte monitoring — vidite IPv6 provoz v grafech?

Cely test zabere 2-3 tydny. Vysledkem je jasny obraz o pripravenosti vasi infrastruktury.

Casovy plan prechodu¶

Doporucujeme fazovy pristup:

• Faze 1 (1-2 mesice): Audit infrastruktury. Ktere zarizeni podporuji IPv6? Ktere aplikace maji hardcoded IPv4?
• Faze 2 (2-3 mesice): Testovaci prostredi. Dual-stack na vybranych segmentech.
• Faze 3 (3-6 mesicu): Produkční nasazeni. Dual-stack na vsech segmentech, IPv6 na externich sluzbach.
• Faze 4 (prubezne): Optimalizace. Postupne odstranovani IPv4 zavislosti.

Shrnuti¶

IPv6 neni budoucnost — je to pritomnost. World IPv6 Launch v cervnu 2012 to potvrdil. Ceske firmy maji vyhodu v kvalitni infrastrukture a aktivni podpoře ze strany CZ.NIC. Dual-stack je bezpecna cesta, ktera umoznuje postupny prechod bez rizika vypadku. Zacnete auditem a testovacim prostredim — prvni kroky jsou jednodussi, nez se zda.