Чому для IoT потрібен IPv6?

Нещодавно я натрапив на цю цитату з безпеки інтелекту про Інтернет речей та IPv6:

Аналітики прогнозують, що до 2020 року буде 30 мільярдів пов'язаних «речей», проте адресний простір IPv4 вміщує лише 4 мільярди і змінюється. Навіть при перекладі мережевих адрес (NAT) та приватному просторі адрес апетит IoT до адрес подолає здатність IPv4 їх наситити.

Введіть IPv6, який розширює адресний простір до 340 undecillion або 3,4 × 10 ³⁸ . Ну, технічно це трохи менше, ніж деякі комбінації зарезервовані; тим не менш, це все ще достатньо корисних адрес, щоб виділити близько 4000 кожній людині на планеті.

Що мене спантеличує, це те, чому Інтернет речей змінив би необхідність переходу на IPv6. Мені здається, що переважна більшість Речей підключені до маршрутизатора, отже, потрібна лише одна всесвітня IP.

Наприклад, IP-адреса вашої розумної духовки (або будь-яка інша) - це 192.168.0.52, що не перешкоджає Echo вашого сусіда мати той самий IP-адресу, оскільки для доступу до цієї IP-адреси поза вашим домом потрібно пройти IP вашого будинку адреса, напр .: 148.238.24.9.

Чому поява IoT потребує переходу на IPv6?

ip-address

— анонімний2
джерело

Цікаво, як 340 Uncillion унікальних адрес (за винятком кількох зарезервованих) зводяться до 4 000 для кожної людини на планеті?

— Ганіма

Дивіться це відео: "Горішки хороші. Вони забезпечують безпеку", і будь ласка, спробуйте IPv6 привід бинго .

— Відновіть Моніку - М. Шредер

Це не потребуватиме вимикача так само, як електромобілі не потребують наявності електричних «автозаправних станцій». Але обоє впевнені роблять це набагато зручніше.

— користувач253751

Адресація IPv4 надає 2 ^ 32 адреси, тоді як IPv6 надає 2 ^ 128 адреси (менші накладні витрати). Є <2 ^ 33 людини, плюс компанії, школи та ін. Тож називайте це 2 ^ 36 особа / місця. Це залишає 2 ^ 92 адреси на людину / місце, набагато більше 4000 (2 ^ 12) на людину / місцеположення. IPv6 був би золотим у 2 ^ 64, і прийнятий раніше.

— ChuckCottrill

Див. RFC 7368 про те, як очікується, що IPv6 працюватиме в домашній мережі.

— Майкл Хемптон

Відповіді:

Є дві причини.

(1) Спочатку простіше, підключення до кінця . Якщо і джерело, і місце призначення мають загальнодоступну IPv4 (або, звичайно, IPv6) адресу, вони можуть підключитися один до одного в будь-якому напрямку в будь-який час.

192.168.0.52Однак ваш IoT з приватним IP може використовувати НАТІЛЬНО NAT для підключення до будь-якого загальнодоступного IP в Інтернеті, коли він захоче, але решта Інтернету не може підключитися до нього. Були кладжі як DNAT і UPNP , який використовується , щоб вказати , що деякі вхідні з'єднання дозволені, але вони ламаються всі більше і більше в даний час в зв'язку з реалізацією CGNAT з - за браку IPv4.

Поширене (так зване) «рішення» цієї проблеми полягає в тому, що всі ваші (NATED) пристрої підключаються до якогось центрального місця з загальнодоступним IP-адресою (як правило, розміщується виробником пристрою). Це змушує працювати технічно, але пов'язане з питаннями конфіденційності (ви надаєте всі дані від ваших IoT), проблеми з безпекою (оскільки ви широко відкриті для них, працівник порушення або незадоволений працівник може зробити все, що ваш пристрій IoT може зробити і отримати доступ ) та питання надійності (коли виробник припиняє свою діяльність або вирішує припинити підтримку старих пристроїв або зазнає відключень) всі ваші (і всі інші) повністю функціональні пристрої перестануть працювати.

(2) Друга проблема полягає в тому, що вона все-таки перестане працювати (навіть для вихідних з'єднань) деякий час у майбутньому (не через рік-два, але все ж. Чим більше ІОТ і сервісів наздоганяють, тим швидше вона почне ламатись).

Це тому, що NAT дозволяє приватним адресам, як, наприклад, 192.168.0.52виходити в Інтернет. Це робиться, змінюючи адресу джерела 192.168.0.52на загальнодоступний IP вашого маршрутизатора, але замінює вихідний порт на безкоштовний з пулу.

Наприклад, ваше перше з'єднання може бути 192.168.0.52:1000може бути (CG) -NATed до (громадської IP) 198.51.100.1:1000, і ваш сусід 192.168.0.77:1000може отримати до через NAT 198.51.100.1:1001. 192.168.0.52:1001Тоді ваше друге з'єднання від буде NATED та 198.51.100.1:1002ін.

Проблема полягає в тому, що навіть такі прості речі, як відкриття веб-сторінки, швидше за все, відкриють десятки підключень та використовуватимуть десяток портів (для запитів DNS, HTTP (S) для різних елементів, аналітики JS на різних сайтах тощо).

Дорожчі програми, як торент-клієнти, легко використовуватимуть тисячу портів . І для будь-якої IP доступно лише 65535 портів.

Це означає, що декілька ваших сусідів, які діляться одним і тим самим CGNAT IP, використовують більшу частку з'єднань (і більше IoT означатиме більше з'єднань), і раптом використовуються всі 65535 порти на цьому загальнодоступному IP 198.51.100.1. Це означає, що ніяких нових зв’язків не можна встановити для вас та ваших сусідів. Що в більшій мірі означає, що багато людей відрізані від своїх ІО, а цивілізація, як ми знаємо, руйнується :-)

Оскільки ми хотіли б затримати цей цивілізаційний крах якомога довше, ми переходимо на IPv6 . Будь ласка, підтримайте продовження існування цієї цивілізації, використовуючи IPv6, якщо це можливо . Спасибі!

— Матія Наліс
джерело

"І для будь-якої IP-адреси доступно лише 65535 портів." але з'єднання ідентифікуються за допомогою чотирьох каналів IP-джерела, порту джерела, IP-адреси призначення та порту призначення. Таким чином NAT може використовувати один і той же порт публічного джерела для декількох напрямків (залежно від того, буде він чи ні, залежить від впровадження)

— Пітер Грін,

@PeterGreen це правильно, оскільки є два IP-адреси (src і dst), є два пули портів. Я вже переходив до технічної, щоб я там не заглиблювався. І реалізація може повторно використовувати один і той же вихідний порт для різних напрямків (чи ні, оскільки це призведе до завантаження маршрутизаторів через пошук списків). Однак зауважте, що призначення зазвичай фіксується з якоюсь метою - ви, наприклад, завжди підключаєтесь до 8.8.8.8:53отримання DNS-рішення DNS google або до порту 80 (або 443) для підключення до HTTP (-ів) якогось веб-сервера. Але NAT має лише розкіш мінливих вихідних портів, а не порту призначення.

— Matija Nalis

@PeterGreen Уже описані повідомлення про збій апаратного забезпечення CGNAT у описаному тут способі. Це виявляється як дивно ненадійні зв’язки без очевидних причин. Дивіться, наприклад, цей звіт Ofcom . У будь-якому випадку, CGNAT просто кидає хороші гроші після поганого, продовжуючи йти IPv4, коли розгортання IPv6 давно назріло.

— Майкл Хемптон

Я бачив, як NAT-пластикові маршрутизатори вмирають від простого спроби вирішити декілька імен DNS з нуля, тобто без використання рекурсивного сервера імен DNS в загальнодоступному DNS, але робити рекурсію локально.

— Йонас Шефер

@ V7d8dpo4 НЕ обов'язково погано - правда, але в разі пристроїв ВГДА в переважній більшості випадків це є поганим - IoT пристрої зазвичай буде посилати свої дані (іноді навіть зашифровано, але не так часто) до виробника, який потім майже у всіх випадках розшифровує дані, щоб показати вам приємну сторінку HTML (чи будь-яку іншу). Таким чином, виробник (або той, хто працює з цим загальнодоступним ip) має у вашому розпорядженні всі ваші дані та може командувати вашим пристроєм IoT за своїм бажанням. Зараз у кількох випадках ви можете доручити пристрою підключитися до власного загальнодоступного IP-адреси та запустити програмне забезпечення на сторонній сервер, яке надається вам там, але це дуже рідко :(

— Matija Nalis

IPv6 є необхідністю в даний час ; ми вже майже поза IPv4-адресами . Оскільки все більше людей приходить в Інтернет, ми починаємо доходити до того, що IP-адреси повинні ділитися між кількома людьми, а не лише на одне домогосподарство ( NAT-клас ), що неприпустимо, і це не лише проблема для IoT.

IPv6 дозволяє перейти до більш семантичного подання, де один IP = один пристрій , який має кілька переваг. Якщо ви можете безпосередньо звернутися до свого розумного пристрою (будь тостера, духовки, лампочки, телевізора чи чогось іншого), ви можете просто надіслати свої команди безпосередньо на пристрій , а не проходити через концентратор. Наразі NAT ускладнює цю налаштування, оскільки для цього потрібні спеціально переадресація портів ваших пристроїв IoT (а це може не працювати для NAT-класу).

Можливо, варто прочитати "Перехід на IPv6 передбачає відмову від NAT. Це гарна річ? з вини сервера, якщо ви переживаєте про наслідки для безпеки; наявність усіх ваших пристроїв IoT з публічною IPv6 адресою насправді не є великим недоліком безпеки; це все-таки спричинить проблеми в мережі, що підтримує NAT.

Ця стаття IEEE має деякі хороші моменти:

Наступним логічним кроком від мереж мобільних пристроїв до мереж спілкування "Речі" є IoT. Наступний крок відобразить послідовність подій мобільних мереж. Власні протоколи вийшли першими, оскільки прибуток окремої компанії часто надходить до розгляду загального блага. Але використання IP та прозорості (тобто протоколів із відкритим кодом) є основоположними для розробки IoT, так як простота використання та невидимість технології важливі для кінцевих користувачів. На основі нашого дослідження, ми бачимо, що цінність прозорості та зручності використання, а ще важливіша потреба в сумісності, сприятиме прийняттю IPv6 на ринку IoT.

Отже, коротше:

На даний момент 1 IPv4-адреса представляє ... хто знає? Іноді пристрій, іноді роутер, іноді ціла мережа різних клієнтів.
Використання IPv6 дозволяє надати кожному пристрою IoT «ім’я» в Інтернеті.
Можливість адреси своїх пристроїв дозволяє контролювати їх та спрощує налаштування та управління.

— Aurora0001
джерело

Це краще, ніж це. Один пристрій може мати численні адреси IPv6, і, як очікується, це буде.

— Майкл Хемптон