ipv6 challenges
TRANSCRIPT
Provocarile IPv6
“Puteti face o migrare planificata si minutioasa sau o puteti face in graba, sub efectul panicii. Si ar trebui sa
stiti ca panica este mult mai costisitoare”.Martin Levy, director of IPv6 strategy for Hurricane Electric
www.adnettelecom.ro
Flavius PORUMB
CTO @ AdNet Telecom
www.adnettelecom.ro
Populatia lumii Penetrare Internet Servicii Internet Adrese IPv4 disponibile
Deci …IPv6 ar trebui sa fie dejaimplementat pe scaralarga.
Totusi, nu este!
Sunt multiple considerente ce au amanat adoptia IPv6 ..
Consideratii generaledespre tranzitia la IPv6 (1)
www.adnettelecom.ro
• African Network Information Centre (AfriNIC)
• American Registry for Internet Numbers (ARIN)
(United States, Canada, Antarctica, anumite parti din Caraibe)• Asia-Pacific Network Information
Centre (APNIC)(Asia, Australia, Noua Zeelanda, sitarile vecine)• Latin America and Caribbean
Network Information Centre (LACNIC)
(pentru America Latina si parti din Caraibe)• Réseaux IP Européens Network
Coordination Centre (RIPE NCC)(pentru Europa, Rusia, OrientulMijlociu si Asia Centrala)
IPv6 nu a fost proiectatsa suporte IPv4
Consideratii generaledespre tranzitia la IPv6 (2)
www.adnettelecom.ro
• Putina istorie telco: Premizele bune nu sunt o garantie a succesului unei tranzitii, asa cum premizele slabe nu inseamna ca gradul de adoptare nu va fii unul importantCUM VA ADMINISTRA INDUSTRIA ACEASTA TRANZITIE DE LA IPv4 la IPv6? VA FII UN SUCCES?VOM PASTRA INTERNETUL CA O RETEA UNICA, COERENTA?• Tranzitiile anterioare in telecomunicatii (FDM ->TDM-> IP etc.) au avut in mare majoritatelogica de business sau functionala
In acest caz insa ..
Nu exista un plan/strategie comun/a de adoptare Nu exista constrangeri/motivari comune Nu exista business-case pentru tranzitii agresive (no D-Day, Y2K)
BENEFICII
• Spatiu de adrese suficient• Autoconfigurare• Mobilitate• Securitate inclusa in protocol• Comunicatii end-to-end• Extensibilitate la noi capabilitati, stimuleaza inovatia in numeroasesectoare• Noi oportunitati de afaceri• “Internet of Things”• Imbunatatiri in automatizareaproceselor, cresterea productivitatii si a eficientei• Reducere strategica de costuri
PROVOCARI
• Tranzitia la IPv6 presupune investitii de capital (echipamente, training)• Potentiale brese importante de securitate• Poate presupune schimbari in modelele de business• Perioada de tranzitie se poate prelungi petermen lung prin diverse modalitati de a face fata lipsei resurselor IPv4• Marirea considerabila a tabelei globale de rutare, daca asignarile nu se fac cu atentie• Mentalitati• “no killer app”
www.adnettelecom.ro
Fazele (probabile) ale tranzitiei globale
• Clienti dual-stack si continut IPv6• Clienti IPv6-only si NAT64• Aplicatii IPv6-only• IPv4 va iesi din uz
www.adnettelecom.ro
• Evitarea cresterii costurilor ICT – la urmatorul ciclu de upgrade retea cereti partenerilorparitatea capabilitatilor IPv4/IPv6(ISP, vendorii de echipamente, furnizorii de aplicatii)
• Minimizare riscuriCurba de invatare nu va fi scurta, daca incepeti sa planificati din timp personalul va avea timp sa castige expertiza necesara
• Content pe IPv6.. sau pierdeti clienti si comunicarea cu parteneri (LTE, Asia, etc)
• Avantaj competitivInternetul nu mai este provider-driven, ci user-driven
www.adnettelecom.ro
NU EXISTA UN PLAN B!
Tranzitie IPv6 (1)De ce este mai scump sa amanati?
Specialistii in securitate nu sunt unitari in parerile despre abordarea tranzitiei la IPv6:
1. Blocare totala trafic IPv6 pana la finalizare upgrade firewall-IPS-IDS
(pt. a permite detectie &/ blocare trafic IPv6 nativ sau tunelat)
2. Audit & Implementare rapida IPv6 (aplicand aceeasi politica de securitate ca sipentru IPv4)
TIPS:• Migrare website pe IPv6• Audit firewall/IPS/IDS/DMZ, aplicatii• Conditii tehnice si comerciale ISP & furnizori
eq. ICT & aplicatii dpdv adoptie IPv6• Obtineti spatiul de adrese IPv6
(NB: PI -multihoming)• Training - dezvoltatori de aplicatii si personal
suport retea• Incepeti sa elaborati strategia de tranzitie!
www.adnettelecom.roTranzitie IPv6 (2)
50% din retele au echipamente cu IPv6 activat ~300.000.000 echipamente cu IPv6 activatExemple Trafic IPv6 neautorizat/nemonitorizat (rogue IPv6 traffic) - Echipamentele
(telco,firewall/IPS/IDS/shaper) asigura traficul, dar nu il inspecteaza. Capacitatea de auto-configurare duce la aparitia unei vulnerabilitati importante –
rogue IPv6 device, respectiv un router ce asigneaza adrese IPv6 in retea, iar traficulIPv6 sa fie interceptat – MITM (Man In The Middle)
Manipularea antetului de rutare => saturarea unor segmente de retea (DoS) Mentalitati, lipsa expertizei operationale, si greselile de implementare Lipsa unei organizatii care sa stabileasca bune practici de tranzitie
De numarul mare de adrese IPv6 vor beneficia si criminalii informaticiSchimbare frecventa a adreselor => dificultatea identificariiBlacklisting ingreunat - 90% din filtre se bazeaza pe aceasta metoda
Inexistenta paritate capabilitati IPv4/IPv6 la vendorii de echipamente
www.adnettelecom.roTranzitie IPv6 (3)Focus: Provocari de securitate
Bre
sed
e se
curitate
imp
ortan
te
www.adnettelecom.ro
Business-case: Beneficii, Costuri, Riscuri
Echipa proiect – “this is no one man show”
Audit retea, servicii, echipamente, sisteme, aplicatii
Elaborare design pentru tranzitie
Elaborarea planului de implementare
Tranzitie IPv6 (4)
Metodologii tranzitie• Core to Edge *• Edge to Core• IPv6 Islands
Dezvoltari IPv6 la nivel global
• Japonia si Corea de Sud• China si India• SUA• Europa
www.adnettelecom.ro
Slovenia, un exemplude bune practici
go6 – initiativa slovena pentru realizarea unui profileuropean IPv6 uniform pentru achizitia de echipamente si servicii ICT“Requirements For IPv6 in ICT Equipment” (RIPE 554). http://www.ripe.net/ripe/docs/current-ripe-documents/ripe-554
Documentul include recomandari de cerinte ale guverneloreuropene pentru conformitatea echipamentelor cu cerintele IPv6, precum si nivelul de expertiza al integratorilor de sisteme.
www.adnettelecom.ro
MULŢUMESC!IPv6 – the new normal
IPv6 Challenges
Flavius PORUMB
Lansarea mondiala IPv6, Romania
2012 June 06th
www.adnettelecom.ro