«

»

Nis 20 2011

IPv6 Eğitimi Bitti

TÜBİTAK ULAKBİM tarafından düzenlenen IPv6 eğitimini tamamlayıp sertifikayı aldık :)

Oldukça faideli bir eğitimdi. Yer yer zorlasa da gayet keyifli ve doyurucu bir içerik sağlanmış. Laboratuvar ortamı ise gerçekten harika. Onur Bektaş yine inseption yapmış. Herşey sanal… Emeği geçen herkese teşekkür ederim.

Notlarımdan önemli konular yazının devamında…

  • Son kalan 5 adet /8 IPv4 bloğu bölgesel kayıt edici kurumlara (Regional Registrars) dağıtılmış durumda. Bunlardan da en az birinin 2011 Eylül'de tamamen tükenmesi bekleniyor. Tahminler böyle giderse, 2011 Eylül ayından itibaren yalın IPv6 kullanan kurumlar olacak. eheh :)
  • IPv6 adreslerinde :: şeklinde kullanılan ifade arada hep sıfır olduğunu gösteriyor. Ancak bunu sadece bir kere kullanabiliyoruz. Ayrıca bu iki işaret arasında birden fazla 0000 şeklinde blok olmak zorunda.
  • ISP'lere /32 adres veriliyor. Bu da, 296=79.228.162.514.264.337.593.543.950.336 adet IP adresi ediyor. ISP'ler de genelde kurumlara (mesela biz) /48 şeklinde alt ağ veriyorlar. Bir kuruma verilen IP adresi sayısı da, 280=1.208.925.819.614.629.174.706.176 adet oluyor :)
  • Kurumlar IP adreslerini birimlere dağıtırken, /64'ten daha küçük verilmemesi tavsiye ediliyor. Çünkü, IPv6 adresleri dağıtılırken MAC adresinden otomatik üretme yöntemi kullanılırsa, 48 bitlik MAC adresi, ilavelerle birlikte 64 bit'e dönüşüyor. Zaten RIPE ta tavsiye etmiyormuş -özel durumlar haricinde- /64'ten daha küçük ağlara bölmeyi.
    Yani; bir kurum her birimine /60 verse, toplamda 212=4.096 adet birimde kullanabiliyor aldığı IP adreslerini. Her birime verebileceği IP adresi sayısı da: 268=295.147.905.179.352.825.856. Ürkütücü… surprise
  • IPv6 ağında, router advertisement olayı tehlikeli. Casusların ağdaki bilgisayarlara prefix gönderme şansı var. Her VLAN'ı dinleyecek bir makine ayarlayarak bu ve benzeri paketleri dinleyip hiç bişey yapmasan da loglamakta fayda var.
  • DHCP işi de farklı biraz bunda. Eskiden MAC adresine statik olarak DHCP'den belirli bir IP adresini gönderiyorduk. IPv6'da atama MAC adresine göre değil, DUID (DHCP Unique IDentifier) denilen bir zımbırtıya göre yapılıyor. Bu zımbırtı da, hostun ağa ilk bağlanan MAC adresi kullanılarak oluşturuluyor. İşin kötüsü, sanırım bilgisayar formatlanınca DUID değişebiliyor. Çokça kullanılan 3 çeşit DUID var:
    • DUID-LL: Sadece MAC adresi kullanılarak üretiliyor. DUID – Link Local
    • DUID-LLT: MAC adresi ile zaman bilgisi kullanılarak üretiliyor. DUID – Link Local +Time
    • DUID-EN: Firmalar doğrudan cihazın üzerine değişmeyecek iekilde çakıyor. DUID – ENterprise
      (Linux ve Windows'ların hangi tarzı kullandığına dair, farklı söylentilerden fazlasını göremedim. Denemeden öğrenemeyeceğiz.)
  • RFC, sadece NAT-PT'yi kaldırmış. Nat64'te sorun yok. Nat64 sadece 6'dan 4'e çeviriyor. Bir de IVI adında bir çeviri sistemi var, çift yönlü çalışıyor.
  • ICMP6, IPv6'da eskisine göre daha önemli bir konu. Bir ton ICMP mesajı var. Bunlardan 8 tanesi önemli. Eğer bunlar açık olmazsa, IPv6 doğru çalışamıyor. Eskiden olduğu gibi, "kapat gitsin" diyemeyeceğiz artık ICMP6 için.
  • Konu ile doğrudan alakası yok ama notlarıma yazmışım, buraya da yazayım. Iptables veya PF kullanılıyorsa; dDOS durumunda, "cihazın çakılmasındansa bağlantıları koparayım" derseniz, bir betik ile state tablosu gözlenebilir. Tablo şiştiğinde boşaltılması sağlanabilir.
  • Türkiye'de (ve dünyada) IPv6 adresi alan ISP'lerin listesini: http://www.sixxs.net/tools/grh/dfp/all/?country=tr adresinden görebiliyoruz.
  • Ulakbim 6to4 ve Teredo tünel hizmeti veriyor. 8 Haziran için çözüm olabilir :)

Şimdilik bukadar.

Bad Behavior has blocked 18 access attempts in the last 7 days.