Categories
Internet, Unix en security

IPv6 voor mailverkeer

Afgelopen woensdag was het World IPv6 Day en in navolging daarvan werden een aantal maildomeinen voorzien een AAAA-record in DNS naast het gebruikelijke A-records. Hiermee wordt zowel een IPv6 als IPv4 adres geadverteerd om mail op af te leveren. Als eerste zijn de spamtrap-domeinen om gegaan afgelopen woensdag en afgelopen zaterdag zijn enkele andere kleine domeinen omgezet. Nu de time-to-live op de oude records is verlopen komt vandaag langzaam de e-mailstroom over IPv6 op gang.

Voorlopig lijken spammers IPv6 links te laten liggen, maar hoe lang dat zo zal blijven is de vraag. Hiermee komt ook gelijk de vraag of een DNSBL voor mail over IPv6 opzetten nog wel zinvol is. Een computer met IPv6 Privacy Extensions enabled wisselt om de zoveel uur van IPv6-adres en zou dus eigenlijk eigenlijk afdwingen om op network-niveau te gaan blacklisten en misschien ook wel om te gaan whitelisten en greylisten. Hiermee komt eigenlijk ook de vraag hoe valide Spamhaus nog is en wat voor impact dit gaat hebben op de Bayesian filtering opstelling die nu zijn werk doet.

Categories
Internet, Unix en security

RFC 5006 ondersteuning

Sinds enige tijd doe ik mee aan de IPv6-pilot van XS4ALL om gebruik te kunnen maken van IPv6 zonder dit via een extra tunnel te doen. In een recente update, versie 54.04.81-17599, voor oa de Fritz!Box 7270 van AVM is de ondersteuning voor RFC 5006 goed aangepakt. Helaas staat deze optie standaard uit, maar wel begrijpelijk om potentiële problemen te voorkomen met minder goed werkende netwerk hardware. Gelukkig zijn zowel MacOS X als vele Linux distributies klaar voor RFC 5006.

De vraag alleen is wat heb je aan RFC 5006? Het ligt eigenlijk in de provisioning van de nameservers die kunnen worden gebruikt als resolver. Met de komst van IPv6 is een DHCP-server eigenlijk niet meer nodig en blijft de vraag over hoe je sommige configuratie-items gaat zetten. En hoewel RFC 5006 een smerige hack lijkt is het eigenlijk wel netjes, want er zijn voorzieningen om bepaalde uitgiften te laten ondertekenen in IPv6. Hiermee gebruikt de client alleen gegevens met het juiste signature en is het eigenlijk veiliger dan vele DHCP-oplossingen die nu binnen bedrijven staan, maar een daadwerkelijke bruikbare oplossing laat nog op zich wachten.

Het aan de praat krijgen op bv Debian of Ubuntu is vrij simpel met de volgende opdracht.

$ sudo apt-get install rdnssd resolvconf

Als je nu reboot en kijkt in /etc/resolv.conf krijg je bv het volgende te zien:

$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver fd00::21f:3fff:fe30:4ff0
nameserver 192.168.178.1
search fritz.box

Wat nu nog overblijft is NTP wat met behulp van NTP-broadcasting gedaan zou kunnen worden, maar hier kleven wel nadelen aan. Want hoe kan je de broadcaster vertrouwen dat hij de juiste tijd geeft? Hoor ik hier een oplossing in DNSSEC?

Categories
Internet, Unix en security

Google aan de IPv6

Vorig jaar melde ISPam.nl nog dat Google alleen op afspraak via IPv6 te bereiken was en later dat jaar volgde XS4ALL als een van de providers met een IPv6 verbinding naar Google. Sinds 2008 deed Google al testen onderwater met IPv6 op hun eigen homepage om te kijken welke gebruikers IPv6 veilig konden gebruiken.

Maar nu blijkt GMail ook via IPv6 bereikbaar te zijn en bij controle lijken ook andere diensten via IPv6 te werken. Zal het dan toch eens waarheid gaan worden? Misschien wordt het dan toch tijd om de beta-firmware met IPv6 voor mijn Fritz!Box toch maar een te gaan inladen. De IPv6-tunnel ligt al een tijd plat hier helaas.

Categories
Internet, Unix en security

Introductie tot ZeroConf

Het Avahi-project bestaat nu ongeveer drie jaar en andere implementaties zelfs al veel langer. Zelfs Windows heeft het link-local gedeelte geimplementeerd, maar is helaas daar dan ook gestopt. Gelukkig zijn andere zoals Apple en HP doorgegaan en zijn multicast-DNS aan het implementeren met veel succes zelfs. De FOSS-wereld is met oa Avahi ook hard bezig om de schade in te halen en gebruikers een steeds betere ervaring geven van wat ZeroConf nu eigenlijk is.

In 2005 had Google over dit onderwerp een techtalk welke redelijk netjes weergeeft wat allemaal kan worden bereikt met ZeroConf en welke punten er nog open zijn. Zeker met de komst van IPv6 zal er nog wat werk komen wat moet worden uitgezocht.