Gå til innhold

Hva er det som er likt mellom IPv4 og IPv6 protokollen?


Anbefalte innlegg

Det skjer nå en "glidende overgang" mellom IPv4 og IPv6 ute på Internett. Det diskuteres mye hva som er "forskjellene", mellom IPv4 og IPv6. Her er en oversikt over ulike "forskjeller":

https://www.guru99.com/difference-ipv4-vs-ipv6.html

https://nordvpn.com/no/blog/ipv4-vs-ipv6/

https://www.juniper.net/us/en/research-topics/what-is-ipv4-vs-ipv6.html

Så vidt jeg kan forstå, så oppdager man jo det, når man kikker litt nærmere inn i disse to protokollene, at det ikke er noen bakoverkompabilitet, og at det stort sett ikke er noen ting som er likt, med unntak av enkelte grunnleggende prinsipper. På detaljnivå så ser det da ut som at IPv6 en helt ny protokoll.

Hvis man skal ha støtte for IPv4 og IPv6 så må man kjøre "dual stack" som betyr "to ulike protokoller samtidig".

Så kan vi snu litt på problemstillingen og spørre:

"Hva er det som er likt mellom IPv4 og IPv6 protokollen, når man ser på detaljene i oppbyggingen av protokollene?"

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse

Du @arne22 virker å ha fått IP-adresser på hjernen og er helt besatt. 😃 Først lignet det en vanlig og intens fascinasjon de fleste kan oppleve, når man oppdager noe nytt og interessant. Men nå, etter såpass lang tid og såpass lange og meningsløse tråder, begynner det å gli mer over i en form for mani. Du har fått svar på dine mange sirkulære spørsmål, så det er på tide å trappe ned. Gå ut og pust litt frisk luft, få litt sol på kroppen. Ro ned og finn noe annet mer fornuftig å drive med.

Å være så opptatt av adresser, herregud .........

  • Liker 5
Lenke til kommentar
  • 2 uker senere...
On 3/19/2023 at 2:39 PM, nightowl said:

Du @arne22 virker å ha fått IP-adresser på hjernen og er helt besatt. 😃 Først lignet det en vanlig og intens fascinasjon de fleste kan oppleve, når man oppdager noe nytt og interessant. Men nå, etter såpass lang tid og såpass lange og meningsløse tråder, begynner det å gli mer over i en form for mani. Du har fått svar på dine mange sirkulære spørsmål, så det er på tide å trappe ned. Gå ut og pust litt frisk luft, få litt sol på kroppen. Ro ned og finn noe annet mer fornuftig å drive med.

Nå var det vel bare snakk om å gå gjennom en bok å få en litt komplett oversikt over IPv4 kontra IPv6 og så litt diskusjon rundt dette. For meg så synes jeg det er helt greit og kanskje også nødvendig å kunne dette. Det skulle ha vært gjort for lenge siden, slik at man kan se helhet og sammenheng. 

Boken var denne:

https://www.amazon.com/dp/B07212JBMT

Boken var meget bra, og den anbefales.

Brukte en gang i tiden også litt tid på å sette meg inn i IPv4, men det er lenge siden.

Synes nok det er bedre å forklare den tekniske virkemåten til IPv4 kontra IPv6, på en mest mulig enkel og grei måte, i stedet for å drive med personangrep. Dette er jo egentlig forholdvis enkelt stoff, selv om de tekniske endringene fra IPv4 til IPv6 er forholdsvis store, slik som forklart i boken 🙂

Endret av arne22
Lenke til kommentar

Nå kaster jeg meg ikke inn i diskusjonen rundt personlig interesse rundt et tema, men hvis jeg skal prøve å oppsummere et svar på det jeg mener jeg tror jeg vet, så tenker jeg at det koker ned til:

  • Prinsipielt ingen forskjell på IPV4 og IPV6 foruten antall bits brukt. Prinsippet om bruk av ip-maske for oppdeling av network address og host address i utgangspunktet det samme.
  • Bør ikke være noe problem med nettverksutstyr så lenge enhetene støtter begge protokoller. For en enkel hjemmeswitsj vil ikke dette være et tema uansett (ser bare mac-adresser).

 

For ordens skyld legger jeg ved lenker til et utvalg nettsider med relevant informasjon:

https://en.wikipedia.org/wiki/IP4

https://community.fs.com/blog/know-ip-address-and-subnet-mask.html

  • Hjerte 1
Lenke til kommentar
On 3/29/2023 at 8:54 PM, arne22 said:

Synes nok det er bedre å forklare den tekniske virkemåten til IPv4 kontra IPv6, på en mest mulig enkel og grei måte, i stedet for å drive med personangrep. Dette er jo egentlig forholdvis enkelt stoff, selv om de tekniske endringene fra IPv4 til IPv6 er forholdsvis store, slik som forklart i boken 🙂

Kan ikkje du forklare skilnadane då? Kva praktiske skilnader har det på t.d. brannmursdesgin å gå frå IPv4 til IPv6? Vil best practice for firewall endre seg?

Lenke til kommentar
On 4/1/2023 at 7:44 PM, barfoo said:

Kan ikkje du forklare skilnadane då? Kva praktiske skilnader har det på t.d. brannmursdesgin å gå frå IPv4 til IPv6? Vil best practice for firewall endre seg?

Er for lengst ferdig med å sette meg inn i problemstillingen rundt IPv4 og IPv6 og det pedagogiske hintet i tittelen det var jo at "nei IPv4 og IPv6 er to helt forskjellige protokoller, uten bakoverkompabilitet, for det som skjer på lag 3, det er i virkeligheten så godt som ingen ting av det som skjer på på lag 3 i OSI modellen som er likt".

Når det så fortsatt blir påstått at "forskjellene er små, det er bare lengden på adressene som er forskjellig", da nytter det jo ikke å forsøke å diskutere denne problemstillingen. Da må heller folk heller lese bøkene selv, eller tro hva de vil.  

Hvilke praktiske konsekvenser dette vil ha for konfigurering av brannmurer, det er da en sak som kan diskuteres, men det er jo ikke samme saken.  Effekten av hvordan to forskjellige protokoller vil virke inn på konfigurering av brannmurer vil jo avhenge av brannmuren eventuelt støtter IPv6 og på hvilken måte den støtter IPv6.

For Netfilter/Iptables så er det vel mange prinsipper som er like, men detaljene er ulike.

https://www.linux.com/topic/networking/iptables-rules-ipv6/

Hvis man eventuelt konfigurerer brannmurer ved å kikke på pakkenes innhold i en packet sniffer, så er jo pakkens struktur og oppbygning forskjellig, slik at på dette nivået så blir tingene ganske forskjellig.

Prinsippene for automatisk tildeling av IP adresser er jo også helt forskjellig og prinsippene for NAT og ende til ende kommunikasjon og ulike prinsipper for nettverksegmentering kan bli noe forskjellig.

For mitt lille hjemmenettverk så fungerer forskjellene i praksis slik med default konfigurering fra leverandør.

IPv4: NAT i 2 nivåer pluss brannmur funksjon. (CGNAT)

IPv6: Helt åpen ende til ende kommunikasjon uten noen form for brannmurfunksjon, slik at alle PC'er kan fungere som servere ut mot Internett. PC er helt ubeskyttet, med unntak av den siste software brannmuren inne på PC.

        

 

Lenke til kommentar
On 4/8/2023 at 3:12 PM, arne22 said:

Er for lengst ferdig med å sette meg inn i problemstillingen rundt IPv4 og IPv6 og det pedagogiske hintet i tittelen det var jo at "nei IPv4 og IPv6 er to helt forskjellige protokoller, uten bakoverkompabilitet, for det som skjer på lag 3, det er i virkeligheten så godt som ingen ting av det som skjer på på lag 3 i OSI modellen som er likt".

Det er jo sterkt misvisande. Det er to ulike protokoller - men likheitstrekka er påfallande mange. T.d. korleis pakkar vert forwarda er identisk. Protokollane under - altså UDP, TCP også viare er i svært stor grad identiske. Så det er for enkelt å hevde det er to ulike protokoller. Dei har meir til felles enn det som skil dei.

On 4/8/2023 at 3:12 PM, arne22 said:

Når det så fortsatt blir påstått at "forskjellene er små, det er bare lengden på adressene som er forskjellig", da nytter det jo ikke å forsøke å diskutere denne problemstillingen. Da må heller folk heller lese bøkene selv, eller tro hva de vil.  

Eventuelt så må du underbygge kvifor det er så store skilnader. Er du åpen for at du - som ikkje hadde tatt i IPv6 for eit halvår sidan - kanskje kan mindre enn folk som har brukt det i fire-fem år?

On 4/8/2023 at 3:12 PM, arne22 said:

 

Hvilke praktiske konsekvenser dette vil ha for konfigurering av brannmurer, det er da en sak som kan diskuteres, men det er jo ikke samme saken.  Effekten av hvordan to forskjellige protokoller vil virke inn på konfigurering av brannmurer vil jo avhenge av brannmuren eventuelt støtter IPv6 og på hvilken måte den støtter IPv6.

Altså. Om den ikkje støtter IPv6 kan vi jo for pokker anta at ingen er idiot nok til å prøve å filtrere IPv6 med den? Det er jo... litt søkt problemforståelse?

Og på kva måte? Altså. Korleis skal ein brannmur støtte IPv6? Ved å kunne filtrere det! La oss anta ein alminneleg tilstandsfull brannmur, ala nftables eller pf?! Parametrane er sånn omlag (protokoll, src IP, src port, dst IP, dst port). Uavhengig av om det er IPv6 eller IPv4. Ting som three way handshake på tcp er identisk, så det blir likt som for IPv4. Kort sagt: skilnaden er adresseformatet.

On 4/8/2023 at 3:12 PM, arne22 said:

Hvis man eventuelt konfigurerer brannmurer ved å kikke på pakkenes innhold i en packet sniffer, så er jo pakkens struktur og oppbygning forskjellig, slik at på dette nivået så blir tingene ganske forskjellig.

Då bryr du deg truleg om neste lag - altså TCP eller UDP. Det er likt. Og IPv4 og IPv6 har litt forskjellige headere, men i det vesentlege er det samme felt som er i bruk. Du må gjerne nevne i detalj kva forskjeller du tenker på, ettersom det ikkje er åpenbart for andre...

On 4/8/2023 at 3:12 PM, arne22 said:

IPv4: NAT i 2 nivåer pluss brannmur funksjon. (CGNAT)

NAT != Firewall. Om du forsto ruting ville du forstått grunnen.

Kort sagt så trur eg ikkje du har forstått IP generelt. Difor trur du det er skilnader som ikkje er der.

  • Liker 3
Lenke til kommentar
  • 2 uker senere...
8 hours ago, kpolberg said:

Men du påstår at den eldre Mk4 med manuell gir er sikrere enn den nyere Mk6 med automat gir?

Det kommer an på situasjonen og i hvilken sammenheng. Det finnes neppe noe generelt svar.

I miljøer med høye krav til sikkerhet og der ende til ende kommunikasjon ikke er akseptabelt, så vil IPv4 kanskje være best egnet.

Dette gjelder nok først og fremt for miljøer som er satt opp etter IEC 62443-3-3.

Litt med info i samme gate:

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-82r2.pdf

For kontrollsystemer med høye krav til sikkerhet så bruker man IPv4 som standardløsning på verdensbasis.

For min internettleverandør så viste det seg at default konfigurering av router medførte at brannmur ut mot Internett ble stående helt åpen, ved bruk av IPv6, slik at i det tilfellet så ble også sikkerheten for IPv4 en hel del bedre enn for IPv6. (Når jeg scannet utenfra med portscanner, så var brannmur helt stengt ved bruk av IPv4, og så viste det seg at den var helt åpen ved bruk av IPv6)

For generelle nettverksanvendelser, så vil man nok etterhvert få på plass konfigureringer og løsninger slik at sikkerheten til IPv6 blir helt OK, for IT miljøer der direkte ende til endre kommunikasjon annses som sikkerhetsmessig akseptabelt. Men konfigureringen må jo være gjort riktig enten det dreiers seg om IPv4 eller IPv6.

Men tråden handler jo egentlig om den eventuelle likheten mellom IPv4 og IPv6. Det enkle svaret er vel at det er ingen bakoverkompabiltitet eller "likhet". De utfører den samme "jobben" på litt forskjellig måte. Forskjellene i måten oppgaven blir utført på kan ha litt forskjellige konsekvenser i en praktisk sammenheng.

Endret av arne22
Lenke til kommentar

Trenger ikke ta det flere ganger, men det finnes flere måter for bakover kompabilitet (og fremover) SIIT, NAT64/DNS64 osv.

Når det kommer til ende til ende konnektivitet, så er det ingenting i IPv4 land ved bruk av NAT som hindrer dette. vice versa er det ingenting som garanterer ende til ende konnektivitet ved bruk av IPv6.

Heldigvis er det oppdragsgivere som setter kravspec til leverandører, jeg ser ingen grunn til at man ikke vil se bruk av IPv6 i OT systemer. Spesielt nå som det sies at OT skal nærme seg mer og mer mot IT siden. Ingenting av dette er motstridende mot purdue modellen som de fleste innen OT referer til.

Lenke til kommentar
11 hours ago, kpolberg said:

Heldigvis er det oppdragsgivere som setter kravspec til leverandører, jeg ser ingen grunn til at man ikke vil se bruk av IPv6 i OT systemer. Spesielt nå som det sies at OT skal nærme seg mer og mer mot IT siden. Ingenting av dette er motstridende mot purdue modellen som de fleste innen OT referer til.

Man refererer vel også til EU sin normserie som er IEC 62443 som er EU sin normserie for denne typen Cybersikkerhet, i Norge gitt ut som NEK 820. Det vil vel være litt spesielt å spesifisere at produktet ikke skal være CE merket og oppfylle EU sine krav til cybersikkerhet?

En av de tekniske komponentene man bruker for å ivareta kravene etter IEC 62443 serien er "data dioder". Hvordan bruker man slike "data dioder" på en hensiktsmessig måte ved bruk av IPv6?

https://www.genua.eu/fileadmin/Loesungen/Downloads/WP_en_genua-data-diode-for-critical-plants-and-processes.pdf

Hvis målet er: "well-isolated production plants" vil da en "endring" til IPv6 gi en "tilbakebetaling av kostnad?"

Det er vel helt sikkert at IPv6 i utgangspunktet kan brukes innenfor nettverk som er bygd opp etter Purdue modellen, men hvis det ikke finnes komponenter for automatisering, på grunn av en hel bransje på verdensbasis har funnet det uhensiktsmessig, hvordan bruker man da Purdue modellen, i forhold til IPv6 og komponenter og utstyr som ikke finnes i vireligheten?

Vil det ikke være naturlig å ta utgangspunkt i komponenter og utstyr som faktisk finnes, protokoller som støttes,  utstyr som kan kjøpes inn og gjeldende regelverk og bransjenormer når man bestiller et teknisk anlegg?

Man kan selvfølgelig bruke IPv6 hvis/når utstyret finnes, men da kan man jo regne på "hva som lønner seg".

 

 

 

 

Endret av arne22
Lenke til kommentar
1 hour ago, arne22 said:

Man refererer vel også til EU sin normserie som er IEC 62443 som er EU sin normserie for denne typen Cybersikkerhet, i Norge gitt ut som NEK 820.

Det kommer vel helt an på? Ofte blir det vel også referert til relevante ISO standarder. Uanset kan jeg ikke se at IEC 62443 spesifiserer bruk av IPv4?

1 hour ago, arne22 said:

En av de tekniske komponentene man bruker for å ivareta kravene etter IEC 62443 serien er "data dioder". Hvordan bruker man slike "data dioder" på en hensiktsmessig måte ved bruk av IPv6?

På akkurat samme måte, hvis du leser nærmere så ser du at de snakker om OPC UA og Industri 4.0, som meg bekjent ikke har noen som helst krav til IPv4. Genua som leverandør har flere produkter som støtter IPv6.

 

1 hour ago, arne22 said:

Vil det ikke være naturlig å ta utgangspunkt i komponenter og utstyr som faktisk finnes, protokoller som støttes,  utstyr som kan kjøpes inn og gjeldende regelverk og bransjenormer når man bestiller et teknisk anlegg?

Nei? Det er flere av oss som aktivt jobber med nye funksjonelle krav inne på anlegg. Da vil det være naturlig å sette kravspec i henhold til forventet levetid på anlegget.

Bransjenormer og regelverk er ikke en statisk greie og utvikles hver dag. At det noen ganger går ulidelig tregt i OT verdenen får så være.

  • Liker 1
Lenke til kommentar
8 hours ago, kpolberg said:

Det kommer vel helt an på? Ofte blir det vel også referert til relevante ISO standarder

Nå er det vel normkommite 65 som jobber med dette? Har de ikke plukket ut IEC 62443 serien for "Cybersikkerhet for industrielle automatiserings- og kontrollsystemer"?

https://www.nek.no/nek-komiteer/oversikt-over-komiteer/

8 hours ago, kpolberg said:

På akkurat samme måte,

Poenget med "datadioder" det er jo å isolere forholdvis små lokale nettverk fra intertnett. slik at det ikke skal være mulig å overføre data inn fra internett og inn på lokalnettet. Det skal bare være mulig å ivareta en enveis datastrøm, vanligvis til enketmaskiner på "nettverk på nivå over" (Ref Purdue modell"). Rent teknisk så kan det vel fungere med IPv6, men behovet for IPv6 på de forholdvis små isolerte lokalnett som ut i fra sikkerhetshensyn aldri skal kommunisrere ut mot Internett, er kanskje ikke så stort.

8 hours ago, kpolberg said:

Da vil det være naturlig å sette kravspec i henhold til forventet levetid på anlegget.

Jo, man kan selvfølgelig "klargjøre for framtidig oppgradering" for de komponenter og deler av nettverket av nettverket der dette er mulig. Hvis man refererer visdere til Purduemodellen så vil det jo være PC'er på de øvre nivåene som har behov for IPv6. Det er vel først når man er nede på prosessnettverk at man har behov for IPv4.

Det skjer vel ellers også en form for "utvannlig og oppløsning" av Purdue modellen. Mye interessant å lese i denne rapporten. Det står også om bruken av datadioder for å isolere/begrense trafikk til nettverkssegmenter (Side 30).

https://www.ptil.no/globalassets/fagstoff/prosjektrapporter/ikt-sikkerhet/ikt-sikkerhet-og-uavhengighet-2021.pdf

Korriger meg gjerne hvis jeg har tatt feil, for jeg har ikke lest rapporten "kjempegrundig".

Endret av arne22
Lenke til kommentar

Og hvis du hadde lest den, så hadde du sett at IPv6 er ikke nevnt med ett ord, fordi det er ikke relevant for problemstillingen.

Ei heller er NAT en barriere eller sikkerhetsfunksjon.

Men for å komme tilbake til topic, likhetene mellom IPv6 og IPv4 er større enn ulikhetene. Man filtrerer pakker basert på kilde og destinasjon, samt port og protokoll. Man ruter trafikk mellom subnet med en ruter. Eneste forskjellen er at man ikke er tvunget til å bruke NAT. Det at adressen er lenger og består av bokstaver og tall er en mindre detalj i så måte(jada jeg hopper bukk over detaljer som ndp vs arp osv).

  • Liker 1
Lenke til kommentar
9 hours ago, kpolberg said:

Det kommer vel helt an på? Ofte blir det vel også referert til relevante ISO standarder. Uanset kan jeg ikke se at IEC 62443 spesifiserer bruk av IPv4?

For det første er det forskjell på normer og lovkrav. Normer er ikkje bindande. For det andre så er det jo fullstendig korrekt at IEC62443 ikkje spesifiserer protokoller. IEC62443 omhandler funksjonelle krav. Du kan implementere IPX og vere fullstendig innanfor IEC62443.

10 hours ago, arne22 said:

En av de tekniske komponentene man bruker for å ivareta kravene etter IEC 62443 serien er "data dioder". Hvordan bruker man slike "data dioder" på en hensiktsmessig måte ved bruk av IPv6?

Kvifor skal datadioder vere forskjellig med IPv6 versus IPv4? Er det tekniske grunner til det?

  • Liker 1
Lenke til kommentar
2 hours ago, barfoo said:

Kvifor skal datadioder vere forskjellig med IPv6 versus IPv4? Er det tekniske grunner til det?

Teknisk så bør det selvfølgelig fungere likt, men behovet for x milliarder adresser på et nettverk som bare skal kommunisere lokalt og aldri ut til Internett, det er vel kanskje ikke så stort. Det blir vel kanskje litt "tungvint".

2 hours ago, barfoo said:

For det første er det forskjell på normer og lovkrav. Normer er ikkje bindande. For det andre så er det jo fullstendig korrekt at IEC62443 ikkje spesifiserer protokoller. IEC62443 omhandler funksjonelle krav.

Selvfølgelig, men hvis man skal produsere og lever produkter, så man forholde seg både til virkeligheten og det som bransjen, myndigheter, kunder og leverandører forventer. Man må levere anbud, beregne pris og levere produkt ut i fra komponenter og utstyr som finnes i virkeligheten. Å sette sammen et teknisk anlegg ut i fra en produktkatalog som ikke finnes, det kan ikke medføre noen særlig god økonomi i prosjektet.  

Endret av arne22
Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...