Redes de Computadores III

Apresentação em tema: "Redes de Computadores III"— Transcrição da apresentação:

1 Redes de Computadores III
Evandro Cantú (2007-1) Eraldo Silveira e Silva (2006-2)

2 Ementa IPv6 Algoritmos de Roteamento: Estado do Enlace e Vetor de Distâncias Roteamento na Internet: RIP, OSPF, BGP Roteamento Multicast IP Móvel Redes Adhoc

3 Bibliografia J. Kurose e K. Ross. Redes de Computadores e a Internet: Uma abordagem top-down. Tradução da 3a edição, Addison Wesley, 2003. D. Comer. Interligação em Rede com TCP/IP, vol.1, Tradução da 5a edição, Campus, 1998. A. Tanenbaum. Redes de Computadores. Tradução da 4a edição, Campus, 2003. Silvia Hagen. IPv6 Essentials (Web) RFCs.

4 História do IPv6 No início era IPv4...
criado no início da década de 70 substituiu o NCP na Internet em 1983 Uma fórmula que deu certo: “best effort” Não se esperava um crescimento do uso: 84: 1000 hosts 87: hosts 92: hosts

5 História do IPv6 Endereços IP do IPv4 possuem 32 bits: em torno de 4.3 bilhões de endereços. Não existe um para cada habitante!!! O IPv4 não inclui em seu projeto original: Mobilidade Segurança Qualidade de serviço

6 História do IPv6 1993: Internet ProtocolNext Generation (IPng) area, criado pela IETF 1994. RFC 1883 – Primeira especificação 1998: RFC 2460 – Especificação atual

7 Novidades no IPv6 Espaço de endereçamento extendido: endereços IP com 128 bits. Cada grão de areia na terra pode ter um endereço!!! Autoconfiguração: um dispositivo ao receber um prefixo de rede, pode usar seu endereço MAC (ou um número randômico) para construir um endereço válido. Fácil para colocar uma geladeira na Internet!!

8 Novidades no IPv6 (cont.)
Formato de header simplificado, com tamanho fixo de 40 bytes; Suporte melhorado para opções e extensões do header: seis extensões para tratar mobilidade, QoS etc;

9 Precisamos realmente do IPv6?
EUA, com 5 % da população mundial, possui 60 % dos endereços Internet; Os outros 40 % ficam para o resto! A Ásia possui mais de 50 % da população mundial: são os maiores interessados no IPv6; O uso de classes no IPv4 atribuiu faixas gigantescas de endereços para algumas poucas empresas/instituições;

10 Precisamos realmente do IPv6?
O NAT é usado para contornar a falta de endereços, mas traz com eles problemas de gerenciamento (minha VPN não funciona...); Decidamente, a Ásia, Europa e EUA se movimentam no sentido de construir backbones e produtos IPv6; Pode-se migrar sem traumas, de forma gradual para o IPv6.

11 Onde existe IPv6? Backbone qbone ligando 50 países e hosts ( o mais antigo O IPv6 Forum ( coordena as ações mundiais. A International Task Force ( coordena ações regionais, usando forças tarefas localizadas nos EUA e na Europa;

12 Onde existe IPv6? O Japão, desde 2001 investe pesado em backbones IPv6; A China e Coréia também desenvolvem seus backbones; O 3G está fundado sobre o IPv6;

13 Onde existe IPv6? O “Office of Management and Budget” (OMB), ligado a presidência dos EUA, anunciou em julho de 2005 que todas as agências federais devem usar o IPv6 a partir de 2008.

14 A Estrutura do Protocolo IPv6
Estudo baseado inicialmente nos headers dos protocolos

15 Estrutura Geral do Header
Foram retirados do header do IPv4: Header Length (o header Ipv6 possui tamanho fixo) Identification (Path MTU Discovery) Flags(Path MTU Discovery) Fragment Offset(Path MTU Discovery) Header Checksum (processamento + leve)

16 Estrutura Geral do Header

17 Alguns Valores do Next Header field

18 Extensões de headers (RFC 2460)
Hop-by-Hop Options header Routing header Fragment header Destination Options header Authentication header Encrypted Security Payload header

19 Extensões de headers São colocados entre o IPv6 header e o pacote de nível superior; Identificados pelo Next Header Field; São examinados unicamente pelo nó identificado no endereço de destino, a não ser o hop-by-hop header

20 Exemplo de extensões

21 Hop-by-Hop Options Header
Carrega informações que devem ser processadas por cada um dos nós ao longo do caminho; As informações poderão ser utilizadas para reserva de recursos (exemplo RSVP), para encontrar destinos de multicast entre outras; Deve seguir necessariamente o header IPv6;

22 Formato do Hop-by-Hop Options Header

23 Opção Jumbogram do hop-by-hop extension
Permite que pacotes maiores que 64K sejam transmitidos. O campo Option Data Lenght, de 32 bits informa o tamanho dos dados, que devem se seguir ao mesmo;

24 Opção Router Alert do hop-by-hop
Informa ao roteador que a informação que se segue deve ser utilizada para fins de roteamento, tal como o RSVP(Resource Reservation Protocol) e MLD (Multicast Listener Discovery).

25 Tarefa Item1: O IPv6 no Brasil

26 Extensão Routing Header
Permite informar um conjunto de roteadores que devem ser visitados até o seu destino final. Exemplo na figura que se segue, deseja-se que o pacote siga a trajetória de “s” para “d” passando por R1, R2 e R4

27

28 R4 R2 R1 D S End3 end2 end1 Destino Fonte

29 Formato do Routing Header

30 Fragment Header O IPv6 usa o PATH MTU Discovery para determinar a máxima MTU na trajetória do pacote; Se o pacote for maior que esta MTU então ele é fragmentado na fonte; roteadores ao longo da rota não fragmentam o pacote; O destino remonta o pacote fragmentado;

31 Formato do Fragmenting Header

32 Destination Options Header
Carrega informações a serem examinadas apenas pelo destino final do pacote; Pode aparecer antes ou depois do Router Header; se aparece antes é processado por cada um dos roteadores no caminho;

33 Endereçamento IPv6 Endereçamento de 128 bits Pode ser classificado em:
Unicast: identifica uma interface em um nó; Multicast: identifica um grupo de interfaces; Anycast: identifica múltiplas interfaces mas quando o pacote é transmitido, o mesmo vai para uma somente;

34 Endereçamento IPv6 Uma interface pode ter múltiplos endereços IPv6;
Um endereço pode ter escopo global ou não global (definido como parte do próprio endereço).

35 Notação do Endereço Abreviações possíveis:
Oito blocos hexadecimais de 16 bits: 2001:DB8:0000:0000:0202:B3FF:FE1E:8329 Abreviações possíveis: 2001:DB8:0000:0056:0000:ABCD:EF12: :DB8:0:56:0:ABCD:EF12: :DB8::56:0:ABCD:EF12: :DB8:0:56::ABCD:EF12:1234

36 Em situações misturadas com IPv4
x:x:x:x:x:x: :: ::C0A8:2

37 Notação do Prefixo de Rede
global routing prefix: identifica a rede global IPv6 address/prefix length Exemplo: E78:DA53:1200::/40 2001:DB8:0:56::/64

38 Endereço Global Unicast

39 Endereço Global Unicast
Um “global routing prefix” identifica um “site” global; Associado a um “internet service provider” (ISP) por um órgão oficial (LACNIC - Latin American and Caribbean Internet Addresses Registry” ); “sub-net id” define uma subnet e é atribuído pelo administrador da rede; “interface id” identifica a interface dentro da subnet

40 Política de distribuição de prefixos
Home networks: /48 Pequenas e Médias empresas: /48 Grandes instituições: /47 ou /48 Redes Móveis: /64 (estáticos) PC sozinho (via dial-up): /128

41 Geração de endereços Atribuído via dhcp, manual ou por autoconfiguração: derivado do MAC address ou de forma temporária por um número gerado randomicamente;

42 Endereços especiais unspecified address (não válido): 0:0:0:0:0:0:0:0 ou simplesmente :: , usado por exemplo, no boot de uma máquina até conseguir um IP válido; loopback address: 0:0:0:0:0:0:0:1 ou ::1 ;

43 link-local address Equivalente ao endereço falso do IPv4;
Nunca deve ser roteado para fora: é para uso interno na rede; pode ser usado em redes temporárias; Atribuídos por autoconfiguração; Identificado pelo prefixo FE80

44 Outros endereços Anycast Multicast Local

45 ICMPv6 Reporta erros se pacotes não podem ser processados apropriadamente e envia informações sobre o status da rede; Apresenta várias melhorias em relação ao icmpv4: por exemplo: IGMP que trata multicast foi incorporado no icmpv6; ARP/RARP foi incorporado; Neighbour Discovery IP Móvel

46 Tipos de Mensagens De erro: high-order bit do campo type =0
De informação: high-order bit do campo type =1 Next Header para ICMP = 58H

47 Tipos de Mensagem de Erro
Destination Unreachable (message type 1): 0 = no route to destination, 1 = communication with destination administratively prohibited, 2 = beyond scope of Source address, 3 = address unreachable, 4 = port unreachable, 5 = Source address failed ingress/egress policy, 6 = reject route to destination

48 Tipos de Mensagem de Erro
Packet Too Big (message type 2) Time Exceeded (message type 3): usado no traceroute Parameter Problem (message type 4): next header errôneo, impossibilidade de processar um header; outras

49 Tipos de Mensagem de Informação
Echo request Echo Reply Neighbor Discovery: Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Advertisement The ICMP Redirect Message Inverse Neighbor Discovery

50 Formato geral

51 Neighbor Discovery (ND)
Neighbor Solicitation and Neighbor Advertisement: equivalente ao ARP. Pode ser usado para Duplicate IP Address Detection (DAD); Apóia a construção do “neighbor cache”

52 Router Solicitation and Router Advertisement
Roteadores da rede (local) divulgam a sua presença através de envios periódicos de “Router Advertisements” Um host Ipv6 pode solicitar roteadores através de Router Solicitation Múltiplos routers possíveis com alternativas para determinadas redes;

53 Autoconfiguração É um dos pontos fortes do IPv6 Pode ser:
Stateful: com DHCPv6 Stateless: com apoio do ICMPv6 -> combinando prefixos divulgados pelos roteadores com o MAC (ou número randômico); na ausência de roteadores usa-se o FE80 para gerar “link-local address”

54 Passos para autoconfiguração
1-Um endereço tentativa é formado com o prefixo FE80 (link-local address) e associado a interface; 2-O nó se junta aos grupos multicasting; 3-Uma mensagem Neighbor Solicitation é enviado com o endereço tentativa como target address. Se detectado IP duplicado o nó deverá ser configurado manualmente; O no broadcast a Router Solicitation para o endereço FF02::2. (grupo multicast dos roteadores); Todos roteadores do grupo multicast respondem e o nó se autoconfigura para cada um deles;

55 PATH MTU Discovery O nó assume a MTU do seu link e envia o pacote para destino; Caso algum roteador da rota detecte que o pacote é muito grande para o MTU então ele avisa o nó fonte com ICMPv6 Packet Too Big (que inclui o tamanho da MTU do enlace problema); O nó usa esta nova MTU para encaminhar o pacote novamente ao seu destino; O processo todo pode se repetir;

56 Multicast Listener Discovery (MLD)
Endereça um grupo de hosts ao mesmo tempo: lembre que broadcastings não podem ser roteados e são processados por cada nó da rede... Pacote multicast é processado somente por nós que fazem parte do grupo; Pacotes multicast podem ser roteados; Roteadores usam o MLD para descobrir nós que escutam nos endereços multicast (em cada link). Nós que escutam usam mensagens “Multicast Listener Reporttype” para se registrar nos roteadores;

57 Segurança no IPv6 IPv4 não tem aspectos de segurança no projeto;
Alguns mecanismos rudimentares eram usados na aplicação: ftp e telnet com senhas IPsec foi introduzido mais tarde: tem problemas de interoperabilidade IPv6 foi pensado com mecanismos de segurança logo no início;

58 CIA e AAA Confidentiality -> encryption Integrity -> checksum
Availability Authentication: assegurar que as pessoas são o que dizem que são... Authorization: assegurar determinados direitos de acesso a usuários autenticados; Accounting: coleta de informações;

59 symmetric key encryption
O transmissor e o receptor devem acordar no uso de uma chave secreta de cripto/decripto; Algoritmos: DES, 3DES, IDEA, RC-4, AES. DES, 3DES, IDEA, RC-4, and AES.

60 Public Key Cryptography (asymmetric encryption )
distributed public key e individual private key Condidencialidade: Transmissores encriptam com distributed public key e somente o receptor descriptografa com a indvidual private key Autenticação: Transmissor criptografa com a individual private key e descriptografa com a distributed public key;. Algoritmos: RSA and ElGamal.

61 Integridade Secure checksums: funções hash que tomam uma string de tamanho variável e transforma uma string de tamanho fixo, únicos para a string de entrada; Algoritmos: MD-5 e SHA-1

62 IPsec Framework Conjunto de mecanismos para colocar segurança na camada de rede IP; Protocolo para criptografar (Encapsulating Security Payload, ESP); Protocolo para autenticação (Authentication Header, AH ); Política de segurança entre pares comunicantes; Gerenciamento de Chaves; Politica de Uso de algoritmos;

63 O IPsec IPsec: definido na RFC 2401 e atualizado na RFC 4301;
Descreve uma arquitetura de segurança para o IPv4 e IPv6;

64 Componentes do IPsec Descrição geral dos requisitos de segurança e mecanismos em nível de camada de rede; Um protocolo de criptografia: ESP (Encapsulating Security Payload) Um protocolo para autenticação (Authentication Header, AH) A forma de uso dos algoritmos e protocolos acima; A definição de políticas de segurança e associações de segurança entre pares; O Gerenciamento de chaves

65 Security Associations (SAs)
Acordo entre pares: forma de autenticação, criptografia e chaves a serem utilizadas; SAs são unidirecionais; Telnet: 2 ou 4 SAs;

66 Modos da SA Transport: entre dois nós. O payload é criptografado e/ou autenticado. O IPv6 header não é criptografado; Tunnel Mode: entre dois gateways (roteadores). Tanto o payload como o IP header são autenticados e criptografados. Usando em PVNs;

67 Gerenciamento de Chaves (Key Management)
Mecanismo para colocar as chaves nos locais apropriados; Suporte para distribuição automática ou manual das chaves; Internet Key Exchange (IKE) é um protocolo usado para negociação e troca de parâmetros da SA; IKEv1 usa a porta 500 do UDP. O IKEv2 usa a porta 500 e 4500;

68 Elementos de Segurança do IPv6
Authentication Header: fornece a autenticação e a integridade dos dados dos pacotes (fim a fim); Encapsulating Security Payload Header: fornece integridade, confidencialidade, autenticação da origem dos dados, entre outros (fim-a-fim); Ambos podem ser combinados;

69 Modelos de Segurança do IPv6
O IPv6 restaura a conectividade fim-a-fim eliminando a necessidade do NAT; A fazer...