Monday, August 21, 2006

Chinese IPv6 in CIO

The 15 July 2006 issue of CIO magazine featured China Builds a Better Internet by Ben Worcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. I have multiple problems with this article, but I also think it's great to publicize what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US is doing! Here are some excerpts and commentary.

[I]n research labs throughout China, engineers are busy working on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r project that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government plans to unveil at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Olympics: China's Next Generation Internet (CNGI), a faster, more secure, more mobile version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current one...

CNGI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centerpiece of China's plan to steal leadership away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States in all things Internet and information technology.

The strategy, outlined in China's latest five-year plan, calls for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country to transition its economy from one based almost entirely on manufacturing to one that produces its own scientific and technological breakthroughs—using a new and improved version of today's dominant innovation platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. "CNGI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culmination of this revolutionary plan" to turn China into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's innovation capital, says Wu Hequan, vice president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese Academy of Engineering and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNGI Expert Committee.


There is nothing more inherently secure about IPv6 compared to IPv4. As I've argued before, I think security will degrade when IPv6 is adopted. It might improve as people become familiar with it, but expect chaos in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short-to-medium term.

This is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of many "secure" adjectives used to describe IPv6 in this article, unfortunately.

If China gets too big a head start, U.S. CIOs could be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfamiliar position of having to play catch up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world—while paying as much as 30 percent more to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks, according to estimates by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Institute of Standards and Technology. Worse, organizations that lag behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world in IPv6 adoption will be more vulnerable to hackers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security threats.

Here we have a security and cost argument -- you'll see that again. Uh-oh, CIOs take notice. I think this paragraph refers to a report summarized well by Network World. This report, by NIST, seems less enthusiastic than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO article.

China, which is expected to surpass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's biggest Internet user later this year, has just 2 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's IP addresses, or around 60 million—about as many as Stanford University...

Given that China will have almost twice as many broadband users as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2007, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense of injustice among China's Internet officials is palpable. "When 26 Chinese share one Internet protocol address, while each American possesses six IP addresses…this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quandary facing China in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPv4 era," Zhao Houlin, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Telecommunications Union, said in 2005. The bottom line for China, says Jiang Lintao, chief engineer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China Academy of Telecommunications Research, is that "We cannot survive without IPv6."


Wow, that's a great way to think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem facing China!

Parts of this sidebar are comical.

Benefits: Improved security. Longer IP addresses mean that each device has a unique identifier. This will allow for device and user-level aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication—meaning spammers and hackers can’t hide behind constantly shifting IP addresses, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do today. The security paradigm will have to change from firewall-centric to application-centric, but once it does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet will be a much safer place.

How is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of this even remotely true?

Paul Francis weighs in with an alternative point of view below.

Some Internet experts, such as Paul Francis, a computer science professor at Cornell University who also happened to invent NAT devices, say that upgrading networks to IPv6 will cost so much and take so long that engineers will develop workarounds -- be it improvements to NAT devices or something new -- that solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with IPv4, keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current Internet in place forever.

I was glad to read Mr. Francis' comments. Contrast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.

But most people familiar with IPv6 say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol has too much promise and can save CIOs too much money for it not to be adopted. Plus, most equipment makers are already selling IPv6-capable equipment today, meaning you could be building a next-generation network without even knowing it.

"In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 years everyone will [begin] moving to IPv6," says Robert Atkinson, president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Technology and Innovation Foundation, a technology policy think tank. "That is not in doubt."
(emphasis added)

Not in doubt? With a ten-year window, who will check on this? Maybe I will if this blog is still around!

Finally, this sidebar mentioned military issues.

China’s NextGeneration Internet (CNGI) has U.S. national security implications as well. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of Chinese military involvement in CNGI is unclear, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 People’s Liberation Army has designed its own IPv6 router, and a recent China IP Council white paper mentions that IPv6 networks have "military and intelligence" uses. Unrestricted Warfare, a widely translated treatise on military doctrine written by two People’s Liberation Army officers, calls for China to engage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West in nontraditional combat, and suggests tactics such as computer hacking and cyberterrorism.

Hmm, it's more like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA stole its own router. In any case, I think it's time for me to read Unrestricted Warfare, which I found here and here.

Finally, would you trust advice like this?

If China moves to an IPv6 network while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States is still running IPv4, Internet traffic coming from China will be impossible to track back to its source, says James Mulvenon, deputy director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center for Intelligence Research and Analysis, which advises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. intelligence community.

"Imagine if you are running an army network at Fort Hood and you detect hostile packets," he says. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets are coming from or through China, "you can’t tell anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. It turns China into a big anonymizer."


Welcome to 1989 (.pdf, Security Problems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP/IP Protocol Suite). If you discount spoofing, welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise of botnets. Any exit host for which you cannot trace back is a "big anonymizer." Who cares if IPv4 or IPv6 is used?

2 comments:

Anonymous said...

Back in March cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a mailing list discussion on this article which presented very similar ideas to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one mentioned in your post.

This was my response, which seems to be along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same lines as yours.

---
Saying that IPv6 will lead to reduced anonymity seems to me a
substantial leap. Computers already have several unique identifiers
(e.g. Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet MAC addresses and serial numbers), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se do not
often escape cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local network. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article appears to be getting
at is that switching to IPv4 to IPv6 will remove some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to
deploy NAT boxes and proxies. These devices are typically not designed
to provide anonymity, and don't in any strong sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word, but
in reality cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are an obstacle to practical traceability.

NAT and proxies perform several main roles:
- Reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of global IP addresses needed
- Protect computers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal network
- Hide information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal network

Proxies also:
- Improve performance (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of caching proxies)
- Allow policy restrictions (e.g. blocking certain websites)

IPv6 reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortage of global IP addresses, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first reason
would no longer be important, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs stand. For this reason I
don't think that IPv6 will herald cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of NAT and proxies.

Without NAT and proxies, an IP address will uniquely identify a
computer at a particular time, but with dynamic addresses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
computer using a particular address will change over time. The logs
for a RADIUS or DHCP server (if present) will say what computer was
using a particular address at a time, but even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, finding which
person is using that computer is a furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problem.

NAT and proxies introduce a similar traceability obstacle to dynamic IP
addresses. Given an IP address you can still trace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, but you
need to look at furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. Many proxies
include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal IP address of a requestor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP headers,
and you can stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. NAT boxes and some proxies don't do this, but
might well keep logs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se can be used to tell which computer
made a particular connection.

Dynamic IP addresses, NAT boxes and proxies do cause a practical
problem for law enforcement, since it means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to request logs
from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r party before continuing. Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs may be
incomplete, poorly maintained or even missing. Even so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anonymity
that this provides is weaker and more hit-and-miss than what systems
designed for anonymity (e.g. Tor) give.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of anonymity, IPv6 just increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP
address space. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this decreases anonymity online is more a
matter for policy than technology. With IPv4, traceability could be
improved by mandating log retention (as is being proposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EU),
IPv6 simply changes what logs are needed.

This and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues of traceability are dealt with in Richard
Clayton's PhD cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis and I can recommend it to anyone interested in
this area:

http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-653.html
---

Anonymous said...
This comment has been removed by a blog administrator.