Hlavní navigace

Ondřej Filip: pohněme s IPv6, než nám to přikáže stát

20. 1. 2011
Doba čtení: 14 minut

Sdílet

Letos dojdou volné IP adresy a přechod na IPv6 bude nezbytností. V rozhovoru s ředitelem sdružení CZ.NIC Ondřejem Filipem se dozvíme, že variantou je i státní zásah ve prospěch IPv6 i to, jaké jsou vlastně scénáře přechodu.

Ta nejklasičtější otázka: letos mají dojít ty “tradiční” IP adresy IPv4. A co se stane potom? Internet zanikne, infrastruktura se začne rozpadat, hroutit, jaké jsou scénáře toho, že došly IP adresy?

IP adresy dojdou ve dvou fázích. V té první fázi půjde hlavně o psychologickou hranici, očekáváme ji každým dnem. To dostupné IP adresy zmizí z registru IANA. V tuhle chvíli z mostu nikdo skákat nebude, je to hranice spíše pomyslná než reálná. Tahle hranice znamená, že je vyčerpán základní registr, který přiděluje IP adresy do jednotlivých regionů. Teď už budou volné IP adresy jen v pěti regionálních registrech.

Zajímavé je, že v ten den se rozdělí pět posledních bloků jakoby spravedlivě oněm pěti registrům, jenže ve skutečnosti je to dost nespravedlivé, protože každý z regionálních registrů má jinou rychlost spotřeby. Jeden blok o cca šestnácti milionech adres Afričanům vydrží zhruba dva roky, zatímco tři bloky pro asijský APNIC budou zkonzumovány ještě do konce roku. Takže i když dostane APNIC nejvíce adres, také je nejdříve spotřebuje.

Kdo je Ondřej Filip?

Ondřej Filip

Ondřej Filip vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy v Praze – obor Informatika, a University of Pittsburgh – Joseph M. Katz Graduate School of Business (MBA). Během studia na Karlově univerzitě začal pracovat ve společnosti IPEX a.s., kde později působil jako technický ředitel a člen představenstva. Od prosince 2004 je výkonným ředitelem sdružení. Vedle výkonu své funkce v CZ.NIC působí v představenstvu sdružení NIX.CZ a dalších organizací. Ve svém volném čase rád hraje basketbal, cestuje nebo programuje open-source software.

Předchozí rozhovory:

Co znamená “zkonzumovat IP adresy”?

V tomto případě IP adresy jednotlivé regionální registry předávají dalším firmám, především místním ISP, poskytovatelům obsahu a dalším firmám, které potřebují své IP adresy. A tady přichází ona druhá fáze. Té se dočkáme pravděpodobně do konce roku, dost možná ještě dříve, pokud lidé začnou panikařit a budou se snažit na poslední chvíli urvat jakoukoliv volnou IP adresu. V tu chvíli v regionu Asie a Pacifik dojdu bloky adres. Takže každý ISP, každá firma, která bude v tomto regionu žádat o nový volný blok IP adres, jej prostě nedostane. Tedy na oficiálním trhu.

A jaké je z toho východisko?

Obávám se, že v prosinci letošního roku rozhodně nebudeme všichni zmigrováni na IPv6, takže očekávám období určitého chaosu, kdy se objeví černé trhy a kšeftování s volnými IPv4 adresami. Například si nemyslím, že když Afrika dostane blok IP adres, že jí skutečně vydrží ony dva roky. Asijské společnosti si jistě najdou cestu, jak od Afričanů volné IP adresy získat, byť by to teoreticky nemělo jít. Budou existovat pololegální cesty, jak se k volným IP adresám dostat, objeví se poptávka, takže se jistě objeví i nabídka. Adresy v minulosti nebyly rozdělovány zrovna spravedlivě, takže jsou ještě společnosti, které jich mají hodně. Byť si nemyslím, že třeba společnosti jako Apple nebo IBM se do takového businessu zapojí. Ale chvíli se v každém případě bude přeskupovat stávající stav.

Ondřej Filip, ředitel CZ.NIC
Autor: Ivana Dvorská

Ondřej Filip, ředitel CZ.NIC

Jenže každá firma, který na problém s volnými IP adresami narazí, začne logicky IPv6 zavádět a doufejme tedy, že se zavádění IPv6 podaří rozjet do roku 2012 a další hráči, kteří budou vstupovat na trh, si spočtou, že je pro ně lepší začít rovnou s IPv6, než experimentovat s dožíváním IPv4.

Také si myslím, že bude potřeba určitá intervence, která pomůže překonat toto období agónie a takovou intervenci by mohly způsobit velké firmy. Například nyní se objevil návrh, aby Google zvýhodnil výsledky vyhledávání z webů provozovaných na IPv6, což by byl jistě velký impuls pro provozovatele obsahu. Další intervence by mohla přijít ze strany vlád, ty také poskytují svým způsobem unikátní obsah. Kdyby například vlády prohlásily, že do konce roku 2012 přestanou poskytovat obsah na IPv4, tak by to byl jasný signál pro ostatní, že je třeba zrychlit migraci na IPv6.
Ale to jsou otazníky, které jsou ve vzduchu.

Přemýšlím, jakou státní službu bych na Internetu postrádal a nutilo by mě to přejít na IPv6…

Justici byste pravděpodobně postrádal.

Justici bych pravděpodobně postrádal, otázka je, zda by se mi nevyplatilo místo upgrade sítě jít si za 30 Kč vyřídit náhledy do rejstříků na CzechPoint, na poštu. Možná datové schránky, které firmy musí používat?

Datové schránky, to by bylo opravdu trochu přísné, provozovat je pouze na IPv6, asi by to byl dobrý motivátor pro většinu firem, ale už poněkud drsný…

Ono je i v zájmu poskytovatelů obsahu, aby se migrace na IPv6 urychlila. My si z toho sice občas děláme legraci, když si knihy na našem webu můžete přes IPv6 koupit o 50 Kč levněji, což samozřejmě není ten impuls pro přechod, ale chceme tak demonstrovat náš názor, že rychlým přechodem na IPv6 si ušetříme dost nervů i práce.

Vznikne šedý trh s IPv4 adresami, některé firmy začnou přecházet na IPv6 rychleji, jiné pomaleji, některé možná vůbec a budou vyčkávat. A co bude dál?

Až projdeme tímto údobím chaosu, nastane přesně opačná situace, než je dneska. Nějaké části uživatelů najednou přestane být svět IPv4 přístupný. Lidé začnou IPv4 adresy opouštět a přestanou pro ně být zajímavé.

Co se stane, když velký místní ISP se rozhodne, že pro ni by přechod na IPv6 znamenal velké finanční výdaje, a výměnu koncových zařízení a zákazníky nechá na IPv4. Představme si například poskytovatele ADSL, který rozdal řadu ADSL modemů, ty ale nepodporují IPv6. Má nějakou možnost provozovat je v síti na staré IPv4 technologii?

Existují přechodové mechanismy, které umožňují migraci na IPv6 přes IPv4, jenže to vyžaduje změnu nastavení na koncových zařízeních, tedy například výměnu modemů, které tunely nepodporují. Ale zpět k vaší otázce, je třeba si uvědomit, že přechod na IPv6 se neodehraje u nás, dění na české scéně bude pro výsledek přechodu na IPv6 pramálo důležité. Rozhodovat bude to, jak se k němu postaví velké zahraniční firmy jako Google či Microsoft. Místní velké firmy nevydrží diktát uživatelů, kteří najednou zjistí, že jejich oblíbené zdroje nejsou dostupné po IPv4. Budou muset IPv6 zavádět, nic jiného jim nezbude – a pak budou muset informovat uživatele, že si mají vyměnit modemy.

Místní velké firmy nevydrží diktát uživatelů, kteří najednou zjistí, že jejich oblíbené zdroje nejsou dostupné po IPv4.

Nemůže se tedy stát, že se Internet v nějakou chvíli rozštěpí na dvě velké skupiny uživatelů, v jedné uživatelé, které nebude IPv6 zajímat, z nějakého důvodu na něj nepřejdou, třeba proto, že je jim to jedno a výdaje za novou IPv6 techniku jim nepřijdou odůvodněné k tomu, co jim to přinese? Pojedou dále na IPv4 a na druhé straně budou ti, kteří už budou mít i IPv6? A těm prvním prostě pár služeb nepůjde…

To se bojím, že můžete mít pravdu. Adresy dojdou, to je fakt, možná se bude půl roku, rok díky šedému trhu ten moment oddalovat. Nakonec se ale stejně budou muset objevit služby na šestce a pro uživatele na čtyřce budou nedostupné.

Na co by si firmy při přechodu na IPv6 měli dát pozor?

Myslím, že dnes už je většina úskalí přechodu na IPv6 překonána, ale je pár momentů, které nejsou zcela vidět a mohou být problematické. Například dneska stále ještě neexistuje geografická mapa IP adres pod IPv6. Služby, které jsou založené na tom, že povolují přístup jen z určitých geografických lokalit, nebo z jiných důvodů potřebují rozlišit geografickou polohu uživatele, se nemají o co opřít. 

To samé je u účtovacích systémů. Divil byste se, jak často se v nich používá IP adresa – a tady bude přechod na IPv6 také potíž.

Pár momentů při přechodu na IPv6 je problematických a je lepší řešit je včas a v klidu…

Běžné unixové služby s tím žádné potíže nemají, to jste si ostatně vyzkoušeli sami, když jste spustili své služby po Ipv6.

Ano, my jsme právě narazili spíše na ty “drobnosti”. Například máme ve zvyku při vypisování diskusních příspěvků přidávat IP adresu diskutujícího a z ní vymazat D segment. Jenže to u IPv6 vůbec nejde, tam uříznout poslední segment je trochu málo. A byla to určitá mentální změna pro programátory zjistit, kde a jak se musí nově co ořezávat.

Tak to jsou ty v uvozovkách drobnosti, které ale mohou dát dost práce a firmy by měly začít analyzovat už nyní, co pro ně bude přechod na IPv6 obnášet. Právě třeba u ISP je IP adresa často indexem pro účtování a je na to navázán celý rozsáhlý systém, takže pro řadu ISP není nejhorší výměna routerů, to už nějak zvládli, ale změny v interních procesech a systémech.

Změna na IPv6 je větší změna, než se na první pohled zdá. A je třeba si otevřeně říci, že uživatelům přináší poměrně málo. Ale na druhou stranu je potřeba ji udělat. A jako se nám daří přecházet na digitální televizi, tak budeme muset najít způsob, jak přejít na IPv6. A já se zároveň trochu bojím, zároveň to očekávám, že přijde nějaká intervence. Ta přijde buďto ze strany business prostředí, nebo se může stát, že intervence přijde ze strany vlády. Vláda přijde s tím, že samoregulace Internetu selhává v tak důležitém momentě a přijde s nějakou regulací, nařízením.

V čem by samoregulace mohla z pohledu vlády selhat? Pouze po nějakou přechodnou dobu nebudou mít všichni uživatelé všechny služby dostupné. Na to jsme už dnes zvyklí, když vlezete na Hulu.com, také vám server napíše, že pro váš region služba není dostupná…

Ondřej Filip, ředitel CZ.NIC

Branže by si měla uvědomit, že buďto s přechodem na IPv6 pohneme, nebo může zasáhnout stát.

Pokud by většina uživatelů ještě nemigrovala na IPv6 a přitom došly IP adresy v Evropě, což očekáváme na počátku roku 2012, tak by se také dalo říci, že není umožněno novým hráčům vstupovat na trh, protože neseženou IP adresy. A to už by státní úřady začalo zajímat.

Lidé z branže si musí uvědomit, že buď přechod na IPv6 zvládneme a vymyslíme dostatek pobídek, aby uživatelé radostně na IPv6 přecházeli, nebo se může stát, že dojde trpělivost státu, který namítne, že na trhu je chaos, jenž je třeba řešit. A to průmysl bude vždycky bolet. Se státními zásahy by přišli státní regulátoři a měli bychom další tabulky, které bychom museli vyplňovat a vykazovat, kolik kde procent čeho… A naší motivací pro dobro nás všech by mělo být, tohle vyřešit bez toho, aby se angažoval stát.

Jednou z aktivit a pobídek je třeba světový den IPv6, který se chystá na 8. června…

Například my jsme na Lupě přemýšleli o tom, co bychom přes IPv6 mohli nabídnout za prémiový obsah, ale nic moc nás nenapadlo. Pokud nabízíme obsah, chceme, aby byl dostupný všem bez ohledu na technologii. Zajímavé je to snad jen v diskusích, kde si IPv6 adresu neschováte za NATem, takže identita uživatele je zřejmá, nelze se tak snadno vydávat za někoho jiného…

Ano, tady je pro vás například zajímavé, že do IP adresy se v IPv6 běžně zakódovává MAC adresa počítače, takže můžete relativně snadno ověřit identitu uživatele. Nativní IPv6 složí IP adresu z vaší MAC adresy, aniž byste to věděl, takže MAC adresa jde sítí s vámi.

Jaké jiné služby by tedy mohly být nabízeny pod IPv6? Co jiného by mohlo být za argumenty pro koncového uživatele, proč přejít na IPv6, než to, že dojdou adresy?

Podle mě hlavní výhoda – a mnozí jistě namítnou, že i hlavní nevýhoda – je to, že by se měl odbourat NAT. To je technologie, která byla vymyšlena na snížení spotřeby adres v IPv4 a jejím bočním efektem je “základní ochrana” uživatele tím, že se na něj nelze dostat zvenčí. To samozřejmě není plná ochrana, ale určitou úroveň bezpečnosti to uživateli dává. Na druhou stranu je tak uživatel omezen v řadě služeb, typicky peer to peer záležitosti, IP telefonie, vše, co vyžaduje i komunikaci směrem k počítači uživatele. A to IPv6 řeší díky absenci NATu.

Na druhou stranu je třeba ihned připomenout, že je nutné zároveň s tím řešit ochranu uživatele, protože odstranění NATu je změna, na kterou uživatelé a jejich počítače nemusí být připraveni. Byl jsem několikrát svědkem, co se stane, když se nepoučený uživatel připojí do veřejné WiFi sítě, dostane reálnou IP adresu a obvykle netrvá mnoho minut, než zjistí, že se “počítač chová divně”.

A jaké tedy budou bezpečnostní dopady zavedení IPv6? Hovoříte o tom, že najednou odpadne schování počítače za NATem, najedou bude počítač uživatele dostupný na “veřejné” IP adrese a v plné nahotě se tedy ukáží slabiny našich operačních systém a zabezpečení. Co s tím?

Lidé by neměli bezpečnost podceňovat, ale nejsem tak naivní, abych očekával, že se o ni začnou starat. Správci a dodavatelé koncových zařízení budou pravděpodobně implementovat ekvivalentní náhradu NATu. Až se objeví ADSL modemy s podporou IPv6, jistě tam bude implicitní nastavení “nepouštěj příchozí spojení”, ale to také začne stírat velkou výhodu IPv6, takže se to bude týkat třeba jen určitých portů.

Řešením by mělo být aktualizovanou verzi operačního systému a zapojení firewall na počítači. Ale větší aktivitu bych čekal od výrobců software a techniky, myslet si, že uživatel se bude aktivně starat o bezpečnost, je většinou naivní.

Proč je podpora IPv6 v průmyslu tak rozpačitá? IPv6 je tu již deset let a ještě předloni nebyla podpora IPv6 ani ve velkých průmyslových routerech obvyklá? V lepším případě vám řekli, že přijde update…

To je otázka spíše na sociologa nebo psychologa. Necháváme problémy na poslední chvíli a výrobci v tom neviděli žádný business. Nebyla poptávka, tak nebyla ani nabídka, výrobci se zachovali tržně. A podpora začíná od páteří, ISP musí postavit páteřní sítě na IPv6, takže z toho důvodu je v páteřních routerech podpora IPv6 již zcela obvyklá, u domácí techniky je naopak stále na posledním místě.

Je třeba si uvědomit, že není jiná cesta. Chápu argumenty “čtyřkařů”, jenže není jiná změna. I kdybychom vymysleli jiný protokol, stejně bychom jej museli implementovat, stejně bychom museli měnit hromady techniky a postupů, pokud nechceme, aby se rozšiřování internetového trhu uzavřelo a ukončilo spolu s poslední dostupnou IPv4 adresou. A to by, myslím, bylo špatně.

Stejně tak je třeba si uvědomit, že nové služby už záhy nebudou dostávat IPv4 adresy, protože prostě nebudou, nebo se budou vyvažovat zlatem. IPv4 se nebude masově odpojovat, ale nové služby začnou vznikat časem jen na IPv6 a v určité chvíli jako zákazník zjistíte, že nové služby už na IPv4 nefungují, protože žádnou takovou adresu nedostaly.

Nicméně scénářů na přechod je moc a neexistuje žádná autorita, která by v tom měla jasno. Dojde-li k intervenci od významných hráčů v průmyslu, bude mít přechod rychlý spád, jinak se obávám, že něco nařídí Komise. Ale to je to krásné na Internetu, že jej nikdo neovládá a neexistuje plán.

Jak se připravujete na příchod IPv6?

A jaký je stav s IPv6 v Česku?

Na konferenci IT10 jsme začali rozhovory s hráči na českém trhu, vy jste v nich velmi pěkně pokračovali na akci Czech Internet Forum 2010. Na takovýchto kulatých stolech se zformovala aliance mezi Seznamem a Telefonica O2, kdy ohlásili, že se budou koordinovat v postupu při zavádění IPv6. Dva nejvýznamnější hráči na českém trhu jsou si tedy vědomi důležitosti IPv6 a hodlají koordinovat své kroky. 

Podle statistik z prosince 2010 bylo přes IPv6 připojeno 38 453 webů v doméně .CZ, což je 5,19 % z celkového počtu zaregistrovaných domén .CZ k tomuto datu. Statistiky jsou zde na stránkách NICu.

Počet .cz domén s IPv6 adresou (AAAA záznamem) v roce 2010
Autor: CZ.NIC Labs

Počet .cz domén s IPv6 adresou (AAAA záznamem) v roce 2010

Změňme na závěr téma. V listopadu jste dělal rozhovor s kolegou Petrem Krčmářem ze serveru Root ohledně projektu MojeID, který právě startoval: OpenID ještě nikdo nechytil za správný konec. Změnilo se něco od té doby, v jakém stavu je projekt MojeID teď?

Služba je spuštěná, máme tisíce uživatelů, ale my jsme se zatím nezaměřili na koncové uživatele, pro které nyní nemá smysl registrovat se do málo využívaného systému. Hodně jsme pracovali s e-shopy, v prosinci jsme spustili implementaci s Bohemiasoftem, který dodává software pro více než 3300 e-shopů. Také jsme uvolnili implementaci MojeID pro open source systémy PrestaShop a Zen Cart. Tím se MojeID dostává mezi tisíce e-shopů, což už snad uživatele přesvědčí o tom, že má smysl se registrovat. A samozřejmě čekáme na to, až MojeID implementuje i Internet Info i na Lupu :).

BRAND24

Také jsme začali rozhovory s poskytovateli o úplně nových službách, které ještě neexistovaly. Některé zavedené společnosti mají zájem spustit na základě ověřené identity MojeID nové služby. Tato infrastruktura zkrátka poskytuje nové možnosti.

Děkuji za rozhovor.

Byl pro vás článek přínosný?

Autor článku

Autor byl v letech 2008 – 2012 šéfredaktorem serveru Lupa.cz. Stál u zrodu řady projektů. Je spoluzakladatelem Energomonitoru, v CZ.NIC vedl projekt Turris. Je předsedou místní organizace Pirátské strany v Brandýse – Staré Boleslav.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).