Domů

Rychlé a bezpečné surfování

Přihlásit se
eArchiv

Rychlé a bezpečné surfování

Po zavedení Windows Vista je každý počítač připraven na použití IPv6. Nový internetový protokol zvyšuje bezpečnost a je optimalizován pro multimediální aplikace.
Andreas Hentschel

Internet právě prodělává dvě zásadní revoluce. Ta první se týká obsahové stránky a jmenuje se Web 2.0. Mnohem důležitější technická změna však probíhá nenápadně v pozadí – a velmi pomalu: dosluhující internetový protokol verze 4 je nahrazován novým IPv6.
Internetový protokol je základem celého internetu. Zajišťuje adresování všech počítačů připojených k celosvětové síti a umožňuje v ní výměnu datových paketů (routing). Na systémovou změnu byl už nejvyšší čas: specifikace současně IPv4 byla definována už před 26 lety, a je tedy téměř dvakrát starší než samotný World Wide Web. Od té doby se ovšem nároky extrémně zvýšily. Začátkem osmdesátých let bylo vzájemně propojeno několik tisíc počítačů. Dnes je na internetu více než miliarda lidí – a síť sestává ze stovek milionů počítačů. Místo relativně krátkých textových dokumentů cestují kolem zeměkoule multimediální streamy, telefonáty nebo povely pro on-line hry. Na takové využití samozřejmě nebyl protokol IPv4 stavěn – a proto se nyní ocitl na samé hranici svých možností.

Čtyři miliardy IP adres nestačí

Nejpalčivějším problémem IPv4 je příliš spoře dimenzovaný adresový prostor. Adresy v IPv4 jsou dlouhé 32 bitů a zapisují se zpravidla ve tvaru čtveřice čísel o hodnotě 0 až 255, oddělených tečkami – tedy například 192.168.101.110. Takto lze vyjádřit necelé 4,3 miliardy adres.
Takové množství se zdá v praxi dostačující. Mnohé adresy ovšem patří do geograficky rozdělených subsítí a byly přiděleny již v „pravěku“ WWW. Došlo tak k tomu, že například Kalifornské univerzitě v Berkeley byla přidělena síť třídy A s 16,8 milionu IP adres – pro několik tisíc vědců a studentů. To je vyslovené plýtvání, neboť miliony adres tak zůstávají nevyužity. Jinde naopak vznikají obrovské problémy. V Jižní Americe nebo v Asii, které do internetového věku vstoupily později, dnes už sedí u svých počítačů mnohem více uživatelů internetu než v USA nebo v Evropě. Musí však vystačit s menším adresním prostorem – samozřejmě se jim pak IP adres nedostává. A až během několika let začnou s internetem komunikovat i mobilní telefony a auta, bude nedostatek adres problémem pro další vyspělé technologie.
Podle jedné studie sdružení Internet Assigned Numbers Authority (IANA), které řídí mezinárodní přidělování IP adres, nám ještě zbývají necelé čtyři a půl roku: dne 24. července 2011 budou pěti regionálním internetovým registrátorům (RIR) přiděleny poslední IP adresy – v Evropě je touto organizací Réseaux IP Européens (RIPE). Během dalšího roku pak už regionální registrátoři celou svou zásobu adres dále rozdělí mezi poskytovatele. Výlet po internetu se pak může změnit v „čekací smyčku“: budou-li zadány všechny dostupné IP adresy, dojde na informační dálnici k zácpě. Potom třeba při kontrole e-mailů nezbude než čekat tak dlouho, dokud se nějaký jiný surfař neodpojí a neuvolní se tak jeho IP adresa.

IPv6: Sextiliony adres stačí pro každého – a navěky

Když se v polovině 90. let začal projevovat internetový boom a brzy bylo zřejmé, že adres bude za čas nedostatek, byl zahájen vývoj IPv6. Nové adresy mají délku 128 bitů a sestávají z osmi 16bitových bloků, jejichž hodnoty se vyjadřují hexadecimálně a oddělují se dvojtečkami. Tak například root server RIPE je v IPv6 dosažitelný na adrese 2001:07fd:0000:0000:0000: 0000:0000:0001. Pro lepší přehlednost se dá zápis adresy zkrátit: posloupnost sousedících nulových bloků lze nahradit dvojicí dvojteček (::) a v nenulových vypustit úvodní nuly. IP adresa RIPE serveru tedy může vypadat i takto: 2001:7fd::1.
Tento formát dokáže vyjádřit více než 340 sextilionů adres – o tomto množství si snad uděláte alespoň částečnou představu z číselného monstra vytištěného napříč touto dvoustránkou. Jeden z autorů Wikipedie si vypomohl tímto přirovnáním: V protokolu IPv4 bylo možno každému čtverečnímu kilometru zemského povrchu přiřadit průměrně 8,4 IP adresy. V IPv6 může každý čtvereční milimetr (!) na zeměkouli dostat 667 biliard (tj. 667x1015) IP adres.

Ochrana před útoky: Zabezpečení dat sériově

Kromě nedostatku adres chce IPv6 skoncovat také s dalšími slabinami IPv4. Nový protokol se tak jen velmi málo stará o bezpečnost transportovaných dat. Dnes se protokol těmto záležitostem vyhýbá a realizaci bezpečnostních standardů přenechává softwarovým implementacím jako https nebo PGP.
IPv6 má nyní „na palubě“ IPSec (Internet Protocoll Security) jako sériové vybavení – a tím přinejmenším základní architekturu pro bezpečný přenos dat v sítích. Tak například v rozšířené hlavičce datového paketu IPv6 (viz obrázek) je obsažena hašovací hodnota obsahu tohoto paketu. To útočníkům znesnadňuje možnost obsah paketu změnit.
Položka hlavičky „Next Header“ kromě toho definuje pro další paket použitý protokol – tím tedy už internetový protokol objasňuje, zda má být datový přenos zašifrovaný nebo autentizovaný. Také položka „Hop Limit“ v hlavičce chrání před nepovolenou manipulací: definuje totiž, kolika směrovači smí paket na cestě od odesílatele k příjemci projít. Pokud by jich bylo víc, než bylo předem dojednáno, IPv6 zatáhne za záchrannou brzdu.

Bity s předností v jízdě: IPv6 je ideální pro multimédia a VoIP

Narůstajícímu významu multimediálních streamů a hlasových přenosů se IPv6 přizpůsobil implementací funkce „Quality of Service“. V hlavičce každého datového paketu nastavuje protokol různé hodnoty pro jeho prioritu. Stanoví tak, jaké zpoždění bude při přenosu tolerováno, jak velká šířka pásma musí být datovému proudu rezervována nebo jaká ztrátovost IP paketů je povolena.
Předností IPv6 je, že může tyto různé hodnoty určovat jednotlivě – a „Quality of Service“ tak přizpůsobit dané aplikaci.
V praxi to znamená, že videostreamy nebo telefonát budou po síti dopraveny rychleji a spolehlivěji než obsah nějaké prachobyčejné webové stránky, která „nikam neuteče“. Když se totiž sestavování stránky o desetinu sekundy zpozdí nebo je zapotřebí jednotlivé bajty znovu uspořádat, nikdo si toho ani nevšimne. Kdyby však kvůli takovým prodlevám poblikávalo přehrávání videa nebo telefonát rušily výpadky, bylo by to mnohem nepříjemnější.

Mobile IP: Pevná IP adresa cestuje s vámi

Internet se čím dál tím více stěhuje do mobilních koncových zařízení – od notebooků přes mobilní telefony až po automobily s přístupem na web. IPv6 je díky přídavné službě „Mobile IP“ koncipován tak, aby každému mobilnímu přístroji bylo možno přiřadit pevnou IP adresu, kterou si podrží nezávisle na tom, odkud se na internet připojuje. Pak například notebook doma na stole bude dosažitelný pod stejnou IP adresou jako ve firemní síti nebo na cestách, například v hotelu.
Každému mobilnímu přístroji jsou pod IPv6 přiřazeny dvě adresy. Tu primární (Home Address) mu v domácí síti přidělí „Home Agent“, sekundární (Care-OfAddress) mu v cizích sítích propůjčí tzv. „Foreign Agent“.
Jakmile se přístroj podporující IPv6 přihlásí k internetu v cizí síti, nejprve naváže kontakt se svým Home Agentem a sdělí mu svou momentálně platnou Care-OfAddress. Potom už Home Agent data určená mobilnímu přístroji jenom přesměrovává. Když se mobilní klient vrátí do domácí sítě, odhlásí se u Foreign Agenta – a datové pakety jsou mu pak opět doručovány přímo.

V praxi ještě ne: Přechod na IPv6 potrvá dlouho

Windows XP podporují IPv6 od vydání Service Packu 1, ovšem jen v případě, že tuto funkci zapnete manuálně. Vista už je nyní na protokol nové generace připravena standardně – nemusíte se tedy o nic starat. Pracuje totiž s tzv. dual-IP-layer architekturou, která podporuje jak IPv4, tak IPv6. Nejsou-li v síti žádné záznamy IPv6 k dispozici, PC automaticky použije IPv4.
Přechod však půjde pomalu. Pro internet životně důležité „rout-servery“ jsou už sice pro IPv6 připraveny, přepnout na něj se ale doposud žádný provider neodhodlal. Na dotaz Chipu však všichni velcí poskytovatelé internetových služeb slibují, že s IPv6 počítají ještě v tomto roce. Také přední výrobci routerů potvrdili, že široce rozšířená zařízení bude možné přestavit na IPv6 aktualizací firmwaru. Update leží takřka v šuplíku...
Pro zdlouhavé spouštění praktického provozu uvádějí všichni zúčastnění stejný důvod: nulovou poptávku od zákazníků. To by se však se zaváděním Visty nyní mohlo pomalu začít měnit – určitě ale nejpozději ve chvíli, kdy dojdou adresy...

Jak funguje přenos dat v IPv6

V novém internetovém protokolu už jsou dosavadní přídavné služby jako „Quality of Service“ nebo „IP Security“ pevně integrovány. Díky odpovídajícím položkám v hlavičce paketu (IP Header) si jiné aplikace (browser, mailový klient) ušetří realizaci požadovaných standardů.

Položky v hlavičce paketu IPv6

Version: Uvádí číslo verze použitého internetového protokolu – pro IPv6 tedy „6“.
Traffic Class: Přiřazuje datovému paketu jeho prioritu. Některá data (například mediální streamy) jsou díky tomu ošetřena přednostně.
Flow Label: Stanoví parametry pro „Quality of Service“, například latenci a šířku pásma.
Source Address: IP adresa odesílatele.
Destination Address: IP adresa příjemce.

Nové bezpečnostní funkce IPv6

Payload Length: Hašovací hodnota příslušného datového paketu.
Next Header: Popisuje formát hlavičky dalšího datového paketu.
Hop Limit: Určuje, kolika routery smí paket nejvýše projít..

Dokumenty ke stažení