Hva er det som er likt mellom IPv4 og IPv6 protokollen?

[kpolberg]

Du påstår at denne produkkatalogen ikke eksisterer. Er ikke helt sikker på at jeg er enig i den påstanden heller.

[barfoo]

9 minutes ago, arne22 said:

Teknisk så bør det selvfølgelig fungere likt, men behovet for x milliarder adresser på et nettverk som bare skal kommunisere lokalt og aldri ut til Internett, det er vel kanskje ikke så stort. Det blir vel kanskje litt "tungvint".

Korleis vert det tungvindt? Tvert imot vil det lette ting, fordi du kan velje deg eit ULA, og vere rimeleg sikker på at det aldri vil kollidere med andre ULA. I motsetning til IPv4, der alle forbanna automasjonsnettverk i verden ligg på eitt av tre RFC1918-område, og adressekollisjoner er gedigent problem, så ein må ta i bruk ting som NAT for å hacke seg rundt det.

Og kvifor er ubrukte adresser tungvint?

11 minutes ago, arne22 said:

Selvfølgelig, men hvis man skal produsere og lever produkter, så man forholde seg både til virkeligheten og det som bransjen, myndigheter, kunder og leverandører forventer. Man må levere anbud, beregne pris og levere produkt ut i fra komponenter og utstyr som finnes i virkeligheten.

For ein del innlegg sidan var du veldig opptatt av at premisset for tråden var om IPv6 var egna for automasjonsnett eller ikkje. No er du brått veldig opptatt av om utstyret finst eller ikkje...

Det framstår som du har ein agenda som går ut på å vise at IPv6 ikkje er egna, og kjem med tilfeldige påstander for å underbygge det, og når du får kritikk bytter du tema.

[arne22]

2 hours ago, kpolberg said:

Og hvis du hadde lest den, så hadde du sett at IPv6 er ikke nevnt med ett ord, fordi det er ikke relevant for problemstillingen.

Har du lest den? Nek 820? Hva med en kort presentasjon?

Nå er vel det som står i normen og ellers også lovgivningen at det skal gjennomføres en risikovurering eller "risk assessment", som det heter på "normsk"?

Hvis man bruker VPN da anonymiserer man global ipv4 adresse ..rett? Når man bruker NAT så anonymiserer man den lokale adressen inne på nettverket?

Hvorfor er det slik at ved alle riskovurderinger så vil det aldri ha betydning at man anonymiserer den lokale IP adressen?  Hvordan kan man hevde dette som en generell regel at anonymisering av lokal IP aldri vil ha betydning for risikovureringen?

2 hours ago, kpolberg said:

Men for å komme tilbake til topic, likhetene mellom IPv6 og IPv4 er større enn ulikhetene.

Men packet header er helt forskjellig, strukturen og oppbyggingen av datapakkene er forskjellig, og funksjoner for automatisk tildeling av IP adresser fungerer på en helt annen måte, stemmer ikke det? 

[arne22]

23 minutes ago, barfoo said:

For ein del innlegg sidan var du veldig opptatt av at premisset for tråden var om IPv6 var egna for automasjonsnett eller ikkje.

Agendaen er jo å finne ut om IPv6 er egnet for å bygge virkelige automatiserte systemer som kan brukes i virkeligheten.

Hvordan kan man bruke tid på diskutere utstyr og løsninger som ikke finnes i virkeligheten?

23 minutes ago, barfoo said:

Det framstår som du har ein agenda som går ut på å vise at IPv6 ikkje er egna, og kjem med tilfeldige påstander for å underbygge det, og når du får kritikk bytter du tema.

Nei, bare å finne ut hvordan tingene kan gjennomføres i virkeligheten, og hvordan myndigheter, normkommiteer, leverandører og kunder, bransjen i sin helhet, gjennomfører i forhold til virkeligheten, med andre ord, hvordan man jobber fagmessig korrekt.  

Jeg tror ikke at jeg har makt og myndighet til å instruere automasjonsbransjen i verden, i Europa eller i Norge om å endre praksis, og da blir det å finne ut hva virkeligheten er, og så forholde seg til det.

Hvis man er en leverandør og man baserer sin forretningvirksomhet på å levere produkter som ikke finnes, og man inngår en kontrakt om det, da rammes dette faktisk av straffeloven, og man er en kriminell.

Hvis man da ikke jobber innenfor shamanbransjen, da kan det vel allikevel gå bra. 

Endret 29. april 2023 av arne22

[barfoo]

10 hours ago, arne22 said:

Agendaen er jo å finne ut om IPv6 er egnet for å bygge virkelige automatiserte systemer som kan brukes i virkeligheten.

Svaret er åpenbart ja. Det er ingenting ved protokollen som gjer den ueigna, tvert imot.

10 hours ago, arne22 said:

Har du lest den? Nek 820? Hva med en kort presentasjon?

Har ikkje tatt i NEK820, men kjenner jo IEC62443 3-3, og kort sagt stiller den funksjonelle krav, t.d. tofaktorautentisering for visse sikkerhetsnivå, autentisering av M2M-kommunikasjon, invalidering av sesjoner etc. DNV Cyber Secure regelverket er gratis tilgjengeleg, og inneheld stortsett det samme som IEC 62443 3-3, men ikkje grunngivinger; kun regelverk, med tilpassinger, så om du vil lese standarden er det gratis plass å få litt oversikt på.

10 hours ago, arne22 said:

Hvis man bruker VPN da anonymiserer man global ipv4 adresse ..rett? Når man bruker NAT så anonymiserer man den lokale adressen inne på nettverket?

Galt og galt. VPN er teknologi for å enkapsulere pakker. Det oppfører seg som nettverksinterface på linje med ethernet sånn konseptuelt. Det anonymiserer ingenting. NAT anonymiserer heller ikkje; det skriv om adresser.

Konsekvens av omskrivinga er obfuskering. Du veit ikkje lenger kva nettverk pakken kom frå, fordi du har redigert den. Det kan fort føre til at den kan snike seg forbi brannmurregler.

10 hours ago, arne22 said:

Hvorfor er det slik at ved alle riskovurderinger så vil det aldri ha betydning at man anonymiserer den lokale IP adressen?  Hvordan kan man hevde dette som en generell regel at anonymisering av lokal IP aldri vil ha betydning for risikovureringen?

Fordi anonymisering ikkje har noko med sikkerhet å gjere - tvert imot. Skal du skrive brannmurregler som er så spesifikke som råd, så er det åpenbart viktig å vite kor pakken kjem frå, og NAT herper det. I automasjonssystemer ønsker du å vite kommunikasjonsvegar (conduits i IEC 62443-parlance), og du må dokumentere kommunikasjonsvegar. På høgare sikkerhetsnivå må du til og med autentisere interface - og IP kan vere ein måte å autentisere det på gitt at du sikrer nettet ditt på ein del måter. Kort sagt er anonyme avsendarar antitesa til sikkerhet i eit automasjonsnettverk!

10 hours ago, arne22 said:

Men packet header er helt forskjellig, strukturen og oppbyggingen av datapakkene er forskjellig, og funksjoner for automatisk tildeling av IP adresser fungerer på en helt annen måte, stemmer ikke det? 

Not really...

Header er ulik, men konsepta er like. Viare så er UDP og TCP - som er dei protokollane vi i praksis interagerer med - identiske. Dei har portnummer som med IPv4 også viare. Dvs. at brannmurregler for ein vanleg statefull firewall er identiske med unntak av adresseformatet. Så min konklusjon er enkelt og greit at IP-headeren er stortsett irrelevant både i IPv4 og IPv6. Dei relevante bitane er adresser og protokollnummer. Dei to bitane er like.

Når det kjem til forskjellig tildeling av adresser så joda, det er forskjellige mekanismer, men i automasjonsnett er statisk oppsett vanleg på lågt nivå. Uansett så er det typ ein ettermiddag å sette seg inn i korleis RA og SLAAC fungerer, så det er ikkje veldig stort hinder.

[arne22]

12 hours ago, kpolberg said:

Du påstår at denne produkkatalogen ikke eksisterer. Er ikke helt sikker på at jeg er enig i den påstanden heller.

Det er det de sier de leverandørene som jeg har snakket med hva angår automasjonsutstyr. 

Har du linker til prosessutstyr som benytter IPv6? De leverandørene og de fagkompetansemiljøene som jeg har snakket med sier at det ikke eksisterer. Eksisterer det, så er det jo bare å legge ut link ? 

[kpolberg]

37 minutes ago, arne22 said:

Har du linker til prosessutstyr som benytter IPv6?

Se side 7(eller forøvrig les hva Siemens sier om IPv6).

https://assets.new.siemens.com/siemens/assets/api/uuid:67742ab6-e541-48fa-bf89-6a4994368a9b/Whitepaper-IPv6-6ZB5530-0DH02-0BA0-EN.pdf

[arne22]

20 minutes ago, kpolberg said:

Se side 7(eller forøvrig les hva Siemens sier om IPv6).

Ja, har kikket en del på den. Min konklusjon ved forrige gjennomlesning det var at OPC server er konfigurert med IPv6 på en side og IPv4 på den andre siden, slik at den kommuniserer IPv4 ut mot de komponentene som er ralatert til automatisering, dvs PLS'er, HMI'er osv. Med andre ord IPV4 ned mot prosessen og IPv6 opp mot IT systemene slik at "prosessutstyret" kommuniserer IPv4, i dette oppsettet.

Sitat:

Quote

5. Example: OPC server It is already possible to communicate over IPv6 today by using the OPC server by Siemens. The OPC server takes on the role of a proxy here, offering convenient access to the automation data via IPv4 and IPv6.

Er dette feil, er det ikke slik som det fungerer, altså via en OPC IPV4/IPv6 proxy?  

En slik IPv4/IPv6 proxy funksjon reduserer jo ellers også behovet for å benytte IPv6 ned mot prosessutstyret. 

Endret 30. april 2023 av arne22

[arne22]

2 hours ago, barfoo said:

DNV Cyber Secure regelverket er gratis tilgjengeleg

Har du en link? IEC 62443-3-3 koster ca kroner 5.000,- fra standard.no og NEK 820 koster noe slikt som 14.000,- inklusive moms, så en gratis variant ville være "greit å ha" og kunne styre litt med.

Endret 30. april 2023 av arne22

[kpolberg]

8 minutes ago, arne22 said:

OPC server er konfigurert med IPv6 på en side og IPv4 på den andre siden, slik at den kommuniserer IPv4 ut mot de komponentene som er ralatert til automatisering, dvs PLS'er, HMI'er osv.

Ok, så du ville ha ett spesifikt eksempel? Så hvis jeg finner en PLS, så vil du si at rockwell ikke har IPv6 støtte på sine PLSer?

[arne22]

1 minute ago, kpolberg said:

rockwell ikke har IPv6 støtte på sine PLSer?

Her de det? Link eller dokumentasjon?

[kpolberg]

Vet ikke, utsagnet var ment som ett eksempel på din form for argumentering.

[barfoo]

2 hours ago, kpolberg said:

Vet ikke, utsagnet var ment som ett eksempel på din form for argumentering.

Og i tillegg ignorerer alle tilbakemeldinger som er vanskeleg å svare på, for å repetere påstanden igjen fem innlegg seinare...

[kUaMooMoo]

3 hours ago, barfoo said:

Og i tillegg ignorerer alle tilbakemeldinger som er vanskeleg å svare på, for å repetere påstanden igjen fem innlegg seinare...

Jeg tror noen har en type mani knyttet til IPv4 vs. IPv6…. 

[arne22]

On 4/30/2023 at 11:59 AM, kpolberg said:

Ok, så du ville ha ett spesifikt eksempel? Så hvis jeg finner en PLS, så vil du si at rockwell ikke har IPv6 støtte på sine PLSer?

Og..

On 4/30/2023 at 12:16 PM, kpolberg said:

Vet ikke, utsagnet var ment som ett eksempel på din form for argumentering.

Argumetasjonen er jo bare å finne ut hva som er korrekt og hva som kan underbygges, med andre ord det man kan kalle for "korrekt viten" og "sannhet" eller med andre ord "virkeligheten".  Har så langt ikke sett noe prosessanlegg eller automasjonsutstyr som kjører IPv6. Det har vært IPv4 i de nettverkene som jeg har kikket på. Alt prosessutstyr like så. Finnes det noen PLS eller tilsvarende som kjører IPv6, da er det da ok å vite om det og å sjekke opp den tekniske dokumentasjonen litt nærmere. Hvorfor skulle man nå ikke gjøre det?

Endret 1. mai 2023 av arne22

[arne22]

On 4/30/2023 at 6:17 PM, kUaMooMoo said:

Jeg tror noen har en type mani knyttet til IPv4 vs. IPv6…. 

Eller man har rent praktisk behov for å vite hvilken informasjon som er i samsvar med virkeligheten.

[kpolberg]

Har ikke noe særlig å tilføye. Jeg ser forøvrig at det er etablert fra flere andre i flere av dine andre tråder at det ikke er særlige forskjeller mellom IPv4 og IPv6.

[barfoo]

10 hours ago, arne22 said:

Eller man har rent praktisk behov for å vite hvilken informasjon som er i samsvar med virkeligheten.

Det er jo åpenbart ikkje tilfelle. Du har fått svar på spørsmåla dine - men ignorert dei - mange ganger. Les t.d.

Svaret ditt på det var flåsete: 

On 4/21/2023 at 11:19 AM, arne22 said:

Hele tråden var bare et "pedagogisk hint" om at IPv4 og IPv6 to forskjellige protokoller og at det ikke er bakoverkompabilitet mellom IPv6 og IPv4.

Bare for å sette i gang litt refleksjon og tankevirksomhet omkring hva dette innebærer.

Det er fullstendig åpenbart at du ikkje forstår hverken IPv4 eller IPv6, og følgelig ikkje har grunnlag for å påstå ting om forskjeller.

[arne22]

On 5/2/2023 at 8:15 AM, barfoo said:

Det er fullstendig åpenbart at du ikkje forstår hverken IPv4 eller IPv6, og følgelig ikkje har grunnlag for å påstå ting om forskjeller.

Det er den type argumentasjon man kan møte på diskusjon.no, i alle fall i forhold til denne typen faginnhold. I andre diskusjonfora så er kansje diskusjonen litt annerledes, både i forhold innhold og tiltaleform.

Når det gjelder den linken til DNV sin "Recomended practice" som jeg etterlyste over så fant jeg den, og det var for så vidt et meget godt tips. Nå er "Recomended Practice" fra DNV på 53 sider og orginalen er på ca 1000 sider, så jeg vil vel ikke si at det er helt likt, men noen prinsipper er vel bra gjengitt, og prisen ca 14.000,- inklusive moms kontra kroner 0,- den er jo litt forskjellig.

Slik som jeg vil se det, så er egentlig noen de viktigste prinsippene som formidles, i DNV sin utgave, prinsippene rundt inndeling i sikkerhetssoner. (Og i "min verden" så bør man ikke bruke globale IP adresser til trafikk ut av sikkerhetssonene)

For å få tilgang til en kopi av DNV Pest Practices, så må man registrere seg, og så kan man laste ned "en personlig kopi", dvs navnet ditt vil stå i margen og så vil det stå at du ikke kan distribuere den videre. Mange takk for tipset!

https://www.dnv.com/cybersecurity/recommended-practices/dnv-rp-g108-cyber-security-in-the-oil-and-gas-industry-based-on-IEC-62443.html

.. Og en annen liten sak .. Bruk av portnummer er ikke en likhet mellom IPv4 og IPv6. Portnummer tilhører lag 4 i OSI modellen, dvs portnummrene tilhører "host" og ikke "nettverk". (Bare sjekk).

Endret 6. mai 2023 av arne22

[barfoo]

3 hours ago, arne22 said:

Når det gjelder den linken til DNV sin "Recomended practice" som jeg etterlyste over så fant jeg den, og det var for så vidt et meget godt tips. Nå er "Recomended Practice" fra DNV på 53 sider og orginalen er på ca 1000 sider, så jeg vil vel ikke si at det er helt likt, men noen prinsipper er vel bra gjengitt, og prisen ca 14.000,- inklusive moms kontra kroner 0,- den er jo litt forskjellig.

No aner eg ikkje kva recomended practice du har funne. Cyber security-regelverket er regelverk for DNV-klasse. Krava er tatt frå IEC62443-3-3, og tilpassa bransjen.

Originalen er ikkje på tusen sider; IEC62443 er fleire delar.

3 hours ago, arne22 said:

. (Og i "min verden" så bør man ikke bruke globale IP adresser til trafikk ut av sikkerhetssonene)

Du har altså fortsatt ikkje forstått at NAT ikkje er brannmur. Trafikk styrer du med brannmurer, ikkje ruting.

3 hours ago, arne22 said:

.. Og en annen liten sak .. Bruk av portnummer er ikke en likhet mellom IPv4 og IPv6. Portnummer tilhører lag 4 i OSI modellen, dvs portnummrene tilhører "host" og ikke "nettverk". (Bare sjekk).

Kva er det du forsøker å svare på her? La meg sitere kva eg skreiv om portnummer:

On 4/30/2023 at 9:49 AM, barfoo said:

Header er ulik, men konsepta er like. Viare så er UDP og TCP - som er dei protokollane vi i praksis interagerer med - identiske. Dei har portnummer som med IPv4 også viare.

Eg skreiv ganske eksplisitt at portnummer er eigenskap ved UDP og TCP. OSI-modellen er heller ikkje spesielt god når du kjem over lag 3. Det er stortsett einigheit opp til lag 3, og det er ofte relevant å diskutere forskjellen mellom L2 og L3. Men OSI-modellen er ikkje laga for TCP/IP; den er laga for alternative nettverksstandarder. Så kven er det som skal sjekke kva her?

Forøvrig har du fortsatt ikkje svart på noko av det eg har skreve, du har stortstett snakka om andre ting.

Endret 6. mai 2023 av barfoo