Ipv6 – sťaží nám zase pár vecí?

Implementácia novej LAN siete vo firme. Rozhodnutie a rada z mojej strany padla na implementáciu Ipv6 protokolu v Lan (išlo o 30PC s jedným serverom (Ubuntu Server) a predpokladom na rast staníc)

Prečo práve Ipv6?

Ako iste viete dochádza k vyčerpaniu voľných IP adries. Hlavným dôvodom je obrovský rozmach hlavne v Ázií.

Ako sa vlastne adresy Ipv4 prideľovali? Nuž IANA( Internet Assigned Numbers Authority ) prideľuje bloky adries lokálnym registrom (RIR – Regional Internet Register) ktorých je 5. (Európa, Ázia – Pacifik, Afrika, Amerika, Austrália). Jeden blok adries obsahuje 256na3 adries ( okolo 16 miliónov). Celkovo je daných blokov 256 ale s toho sa ciastocne dá využiť iba 221 (úplne je to menej), o celkovom množstve niečo okolo 4 miliárd adries, v októbri bolo k dispozícií iba 12 blokov (pre upresnenie Ázia minie jeden blok za 80-90 dní). Preto sa ešte v roku 1994 prijalal IPv6 protokol. Ano niečo pred 16-mi rokmi. Celá špecifikácia Ipv6 je v RFC1883, RFC1933RFC2460, RFC4294, RFC5095, RFC5722, RFC5871. A nejde o to, žeby operačné systémy na to neboli pripravené (Linux kernel podporuje Ipv6 od verzie 2.1.8, IBM AIX od verzie 4.3, Solaris, Windows, freeBSD, NetBSD, OpenBSD od roku 2000)

Tak kde je chyba?

Protokol Ipv6  mal by problém s nedostatkom adries vyriešiť, podporuje totiž viac než bilión adries na centimeter štvorcový Zeme. To však nie je jednoduché, väčšina ADSL a káblových modemov Ipv6 nezvláda. A to už nehovoriac o poskytovateľoch služieb. A to i napriek tomu že adresa Ipv4 ide ľahko konvertovať na adresu Ipv6. Ide o takzvaná mapped Ipv4 adresu vyzerá nasledovne ::ffff:1.2.3.4 čo je možné zapísať ako:

::ffff:192.168.89.9 alebo ::ffff:c0a8:5909

Tak kde je problém?

IPv6 adresa sa zvyčajne zapisuje ako osem skupín po štyroch hexadecimálnych čísliciach.

Napríklad:

2001:0db8:85a3:0000:1319:8a2e:0370:7344

poprípade je možné nuly vynechať a zápis bude nasledovný:

2001:0db8:85a3::1319:8a2e:0370:7344

No problém nastáva pri adresách s viacerými nulami (2001:0DB8:0000:0000:0000:0000:1428:57ab) nie je možné zapísať skrátene a nahradiť 0000 zankmi ::.

To je prvé úskalie. Ďaľším je viac druhov Ipv6 adries.

Ide o tieto tri základné kategórie: Unicast, Multicast, Anycast.

Unicast adresy sú adresy, ktoré reprezentujú konkrétny počítač. Čo pri množstve Ipv6 adries nie je problém (

Multicast adresa je používaná na definovanie množiny rozhraní a je možné ju využiť na hromadné posielanie dopytov.

Anycast adresy sú adresy tiež pre viac rozhraní, a väčšinou sú určené najbližšiemu rozhraniu (najbližšie routery a pod.)

A to značí výmenu väčšiny routerov či switchov.

A to nejdem radšej do podrobností implementácie v operačných systémoch.

Tam to zhruba vyzerá takto:

Microsoft Windows používa číselnú identifikáciu zóny: fe80::3%1

BSD používa číselnú identifikáciu zóny: fe80::3%pcn0

Linux používa číselnú identifikáciu zóny: fe80::3%eth0

Riešením vo firme je pripraviť sa na Ipv6 a popritom používať Ipv4 naďalej. Toto riešenie sa nazýva DualStack Host (RFC2893, RFC4213).

Nuž pomaly ale isto som sa pri pokuse o plnohodnotnú implementáciu Ipv6 strácal. A moja práca ako dopadla?

Nuž celá sieť je na Dual stacku.

Doporučené čítanie k Ipv6:

Hlavné specifikácie

RFC 2460: Internet Protocol, Version 6 (IPv6) Specification (obsoletes RFC 1883)

RFC 2461/RFC 4311: Neighbor Discovery for IP Version 6 (IPv6) (4311 updates)

RFC 2462: IPv6 Stateless Address Autoconfiguration

RFC 4443: Internet Control Message Protocol (ICMPv6) for the IPv6 Specification (zmena RFC 2463)

RFC 2464: Transmission of IPv6 Packets over Ethernet Networks

RFC 4291: Internet Protocol Version 6 (IPv6) Addressing Architecture (zmena RFC 3513)

RFC 3041: MAC address use replacement option

RFC 3587: An IPv6 Aggregatable Global Unicast Address Format

Bezstavová autokonfigurácia

RFC 2461: Neighbor Discovery for IP Version 6 (IPv6)

RFC 2462: IPv6 Stateless Address Autoconfiguration

Programovanie

RFC 3493: Basic Socket Interface Extensions for IPv6 (zmena RFC 2553)

RFC 3542: Advanced Sockets Application Program Interface (API) for IPv6 (zmena RFC 2292)

RFC 4038: Application Aspects of IPv6 Transition

RFC 3484: Default Address Selection for Internet Protocol version 6 (IPv6)

Reklamy

Staré HTC s Androidom

Vzhľadom k častým problémom z mrznutím môjho starého HTC Pharos (HTC P3470) som hľadal riešenie. Nie je dokonalé ale telefón nemrzne.

Jedným z riešení by bolo upraviť SPL (BIOS telefónu) za pomoci utility HardSPL alebo JumpSPL a použiť nejaký upravený ROM alebo nájsť iné riešenie.

Keďže mám relatívne slabý procesor (201MHz) vo svojom Pharose tak som nepremýšľaľ nad WM (Windows Mobile) 6.5 ale skôr nad niečím čo už je vyladené. Po pár pokusoch s JumpSPL (dočasné nahradenie SPL ) som sa rozhodol pre Wing Linux vo verzií 0.4.2, čo je port Androidu na HTC s procesorom TIOMAPTM 850. V release 0.4.2 je Android vo verzií 2.0.

Ale ten, bohužiaľ, vôbec nie je stabilný ale potešil ma ako výzorom tak aj fungovaním.

Lockscreen

Obr. Obrazovka Androidu

Inštalácia bola relatívne rýchla, menej než 20 min s možnosťou kedykoľvek sa reštartom vrátiť do WM 6.

Inštalačné súbory spolu s nastavením pre Pharos stačí dať na SD kartu. Následne stačí spustiť cab s inštalátorom (rootfs.cab).

android_instal_100708.jpgandroid_wing_linux_100708.jpg

Obr. Inštalácia a reštart pred dokončením inštalácie

Po prebehnutí je nutné spustiť ešte inštaláciu configu pre daný telefón, (v mojom prípade wing-linux-0.4.2-pharos.cab)

Po týchto krokoch je možné s menu -> programy -> WingLinux spustiť Android.

Čím sa spustí haret boot loader a ten nahradí Windows Mobile (dočasne)

android_boot_100708.jpgandroid_detail_100708.jpg

Obr. Bootovanie linuxu a Androidu

Pri prvom spustení je nutné nakonfigurovať dotykovú obrazovku. Následne už nie je nutné v Androide nastavenie žiadnych parametrov.

android_menu_100708.jpgandroid_sms_100708.jpg

Obr. Menu a písanie SMS

Osobne som jedine prestavil pozadie, tón zvonenia a dal som si namiesto angličtiny čestinu.

android_incoming_100708.jpg

Obr. Prichádzajúci hovor

No aby ste si nemysleli že to ide tak ľahko ako je to napísané. Inštalácia sa podarila na štvrtý pokus. A to až po odinštalovaní Avira mobile antivirus.

Ale na oplatku za tú námahu to stálo.

Nižšie pár screenshotov z práce s ním.

Moje skúsenosti s ním su nasledovné:

Pozitíva:

Telefón mi nemrzne

Pohodlné ovládanie bez pera

Bezproblémový prístup k sim karte  (kontakty)

Bezproblémové písanie SMS (väčšia klávesnica)

Prístup k shellu a možná komunikácia cez USB s iným Linuxom (Ubuntu)

Na karte treba cca 300MB voľného miesta.

Negatíva:

Občasný problém so zvonením (opravené by to malo byť vo verzií 0.5)

Častá nefunkčnosť pripojenia na internet (opravené by to malo byť vo verzií 0.5)

Nutné odtránenie (nevyžadovanie) PINu pri prístupe ku karte (cez WM)

Nepodporuje GPS (aspoň mne sa to nepodarilo rozbehať)

Manuálne nastavenie časti vecí cez configuračný súbor.

Zdĺhavé napísanie nastavení služieb O2 do konfiguráku

android_file_br_100708.jpgandroid_net_100708.jpg

Obr. Prehliadač súborov, Internet

android_ovladanie1_100708.jpg

android_ovladanie_0_100708.jpg

android_ovladanie_0_100708.jpg

Obr. Ovládanie

android_shell_100708.jpg

Obr. Shell

Na záver ako sa ovláda klávesami telefónu:
Ľavý (button 1) – ANDROID Späť
Pravý (button 2) – ANDROID plocha
Windows – ANDROID MENU
OK – ANDROID OK
Hlasitosť – ANDROID hlasitosť
Volanie (zelený Call) – ANDROID Volanie
Power – ANDROID End / Suspend

IT v modernej vojne

Tak veru. Informatika, počítače a telekomunikácie sa stávajú čím ďalej dôležitejšími v boji. Nejde len o podporu, ale už i o súčasť boja, kedy sa stávajú informácie zbraňou i štítom.
Moderné bojové prostriedky týkajúce sa IT (Informačných technológií) sa dajú rozdeliť do dvoch základných kategórií podľa nasadenia: na aktívne a pasívne. Poprípade ďalšie rozdelenie môže byť na hardvérové (zariadenia), softvérové (programy) a infovér (informácie). Každá z týchto 3 kategórií môže byť pasívna alebo aktívna.
Skúsim podrobnejšie rozobrať.
1.) Hardvér – senzory, roboty, bezpilotné lietadlá, komunikačná technika, elektronické súčasti zbraní.
Senzory: Môžu byť pasívne pôsobiace, na vyhľadávanie zdrojov tepla, rádiového signálu či pohybu. Medzi senzory sú zaradené aj družicové systémy. Aktívne senzory slúžia na rušenie signálu, navádzanie striel a podobne. (Radar jammer, electronic countermeasure,
Bezpilotné bojové prostriedky (roboty, lietadlá (drony) alebo vrtuľníky) môžu byť iba monitorovacie alebo priamo útočné. Niektoré sú ovládané mikroprocesormi alebo riadené „operátorom“.
Špecifickým je projekt LandWarrior (landwarrior) Kde pechota je doplnená rôznymi elektronickými hračkami. Viac v :
landwarrior_final_lowres.pdf
landwarrior_fusion.pdf
Mountedwarrior_0307.pdf
Warriorsystems_0307.pdf
2.) Softvér – ide o programy na ovládanie zariadení, analytické nástroje či o „utility“ v oblasti bezpečnosti.
Prienik respektíve ochrana počítačových, komunikačných sietí. Ovládacie programy pre senzory, analýza z výstupov.
3.) Infovér (Infoware) – informácie ich úpravy, podsúvanie či mätenie. Poprípade odchytávanie nepriateľských informácií (klasická špionáž)
Celý tento systém je úzko prepojený a plne funkčný aj vo vojne. Podľa štúdií Ministerstva obrany USA je najväčší dopad využitia elektronického boja (electronic warfare) v nasledovných oblastiach:
Network-centric warfare (NCW) – proti sieťam a uzlom nepriateľa či komplexnej infraštruktúre (logistika)
Electronic warfare (EW) elektronický boj (všeobecne ) – v tomto konkrétnom prípade sa myslí využitie proti elektronickým systémom (napríklad grafitové bomby (E-bomby) alebo EMP)
Information warfare (IW) – správne využitie informácií (úzko spojené s propagandou a špionážou)
psychological warfare (PSYWAR) – alebo inak povedané propaganda

Čím ďalej tým viac začíname byť závislí na IT (telefóny, počítače) a tým je jednoduchšie pôsobiť a spôsobiť škody na majetku bez strát na životoch.
Podľa niektorých sa tento spôsob nazýva VirtualWar. (defence journal , RMA )
Michael G. Vickers(1953 United States Assistant Secretary of Defense for Special Operations and Low Intensity Conflict) dáva vysoké hodnotenie práve tomuto spôsobu boja v budúcnosti.
Či sa nemýli, ukáže budúcnosť, ale každopádne to už nič nezmení na súčasnosti, kedy niektoré štáty majú špeciálne skupiny v oblasti ministerstiev na boj proti kybernetickým útokom, či na ich vykonanie.
Existujú minimálne skupiny v Číne, USA, Izraeli, Rusku, Nemecku a vo Veľkej Británií. Sčasti sa k nim dajú pripojiť skupiny v Iraku, Iráne, Sýrií, Palestíne a v ďaľších krajínách, ktoré sa venujú cyber kriminalite (terorizmu).
Odporúčané stránky a štúdie:
Winn Schwartau, ed, Information Warfare: Cyberterrorism: Protecting your personal security in the electronic age, Thunder’s Mouth Press, 2nd ed, (1996)
John Arquilla and David Ronfeldt, Networks and Netwars: The Future of Terror, Crime, and Militancy
Science at War: Information Warfare, The History Channel (1998).
Cyberspace and Information Operations Study Center, Air University, U.S. Air Force.
Information Warfare, I-War, IW, C4I, Cyberwar odporúčam aj kvôli štúdiam ktoré sú na stránke
The Information Warfare Monitor

SOUD vs Echelon

Elektronický boj nie je dominantou súčasnosti a ani jedného štátu. Moderný boj začal v polovici roku 1976, keď kongres USA navrhol zákon o odpočúvaní.

Do toho času sa odpočúvali telefonáty, telegramy a monitorovali vysielanie TV či rozhlasu. NSA (National Security Agency) na základe toho zákona postúpila na rozšírení projektu Echelon (vznikol v 1947 v spolupráci USA, UK (United Kingdom), Kanady, Austrálie a Nového Zélandu) na odpočúvanie domácností a tiež satelitov Intelsat, čím pokryl väčšinu telekomunikačných operátorov. Taktiež k nemu priradili v roku 1981 špeciálne satelity na monitorovanie pohybu na Zemi s rozlíšením lepším ako 80cm.
Všetky technológie dodávajú 2 firmy AST Inc. a IDEAS Inc., obe pod vedením NSA.
V súčasnosti je kapacita Echelonu obrovská. V roku 2002 jednotky FDAU zvládaly prehrať a analyzovať v reálnom čase tok dát o veľkosti 2,488 Gb/s čo je asi 40,000 hovorov. Pri analýze je to o trošku viac, 56,700 tokov dát.
O 4 roky v 2006 to bolo pri akomkoľvek toku 2,5Gb/s.
Zdá sa to, že nedošlo k pokroku. Ale… telefónne štandardy ATM (Asynchronous Transfer Mode (155 Mbps až 622 Mbps) ktorého súčasťou je ISDN, ADSL) + ethernet + fax +satelitné vysielanie sú samostatnými blokmi.
Podľa neoverených informácií by to teda v 2006 malo byť čosi cez 10Gb/s v reálnom čase….
Nehľadiac na šifrovanie. Podľa NSA je zo 64bitového kľúča naozaj šifrovaných iba 24 bit. Pri 128bitovom šifrovaní to je IBA 40bitov. Tým pádom sa zdrží výkon analytických PC o necelých 30% pri 128bitovom šifrovaní !
To značí možnosť sledovania akejkoľvek komunikácie na svete. Vrátane internetu. Internet bol kedysi ARPANET, vojenská sieť, a stále je jadrom webovej siete. A množstvo komunikácie je presmerovaná, vďaka časovému posunu, na územie USA.
Čim NSA získava informácie „nenápadne“. Echelon poskytuje za 90 dní 1TB databázu DEaRA (Defence Evaluation and Research Agency) z diskusných skupín Usenet a rovnakú 1TB z webových diskusných skupín. Vznikli v spolupráci USA a UK.
Na dôvažok má NSA zmluvy na území USA so spoločnosťami Microsoft, IBM, Lotus, Novell či Netscape.

To je to, čo sa dá zistiť o NSA a ich boji na poli dát.
A na druhej strane sú Rusi (ZSSR). Tí tiež nezostali pozadu.

KGB a jeho nástupca FSB (a tiež FAPSI – Federaľnoje Agenstvo Praviteľstvennoj Svajazi i Informacii) začali elektronický boj v roku 1950 zlúčením 8. a 16. oddelenia KGB (8. sa zaoberalo bezpečnosťou komunikácie a 16. elektronickým spravodajstvom). FAPSI je zrkadlovým obrazom NSA a taktiež má svoj Echelon, volá sa Sistema Objedenonovo Učota Danych o protivnikovi inak povedané SOUD. Bol spustený naplno v roku 1977. Pri vzniku boli jeho súčasťou nasledovné štáty: ZSSR, Bulharsko, ČSSR, Maďarsko, Poľsko, Mongolsko, Kuba, NDR a Vietnam.
SOUD poskytuje informácie pre GRU (oponent CIA) a Ministerstvu zahraničných vecí.
Bližšie informácie o funkčnosti SOUDu nie sú veľmi známe. SOUD je tajomnejší ako Echelon a vzhľadom na situáciu v Rusku je dosť možné, že poskytuje informácie i ekonomickým skupinám či jednotlivcom.

cesta dát na analytické stanice:

Vstup dát
| file |
TRANSPODERS
(výber vhodného zaradenia do "kanálov")
|WSA|
WSA - Wideband snapshot analyzer - s vysokou rýchlosťou oddeluje odchytené dáta. Prebehne veľmi stru�~Mná analýza.
|FDAU|
FDAU - Flexible Data Aquisition Unit - ktorá realtime prehráva a zaznamenáva dáta z kanálu.
|SiP|
SiP - Signal processor - oddelí komunikáciu podľa technológie (fax, data, telefón, analógové modemy...) Rýchlosť SiP model 132 zvládala sledovať 56,700 kanálov a vydeliť nie�~Mo nad 3000 záujmových kanálov. (Model 132 sa podľa Freedom Act používal v rokoch 2000-2002)
|CSDF|
CSDF - Collected Signals Data Format - šifrovaný prenosový protokol vytvorený NSA
|TM|
TM - Trail Mapper - analytický sw. �~Nalej rozanalyzuje dáta (2,5Gb/s)
|DW|
Data workstation - analytické stanice
rozdeľujú sa na:
Fax Image Workstation - analýza faxovej komunikácie
Page Identification and Message Extraction - analýza videohovorov a záznamov
Data Analysis Workstation - na analýzu dát
GSM Analysis Workstation - na analýzu dát v GSM sieti
Voice Analysis Workstation - na analýzu hlasu

Odporúčam články o Echelone:
Echelon – mýty a realita od Jiřího Svrška
Jak nás sledují tajné služby? autor Ondřej Kocina.

Vytvorte si webové stránky alebo blog na WordPress.com.

Up ↑