Formação IPv6 28 e 29 de Novembro de 2011 Portugal Carlos Friaças <cfriacas@fccn.pt> 1
Direitos de Autor Este conjunto de slides pertence ao projecto 6DEPLOY-2, através dos seus parceiros. A versão Powerpoint deste conteúdo pode apenas ser reutilizado e modificado com autorização escrita dos autores O uso parcial deste conteúdo é permitido se o devido crédito for atribuído ao projecto 6DEPLOY-2 Os ficheiros em formato PDF estão disponíveis em www.6deploy.eu Contactos: E-Mail para: martin.potts@martel-consulting.ch Ou: bernard.tuy@renater.fr
Aplicações 29 de Novembro de 2011 Portugal Carlos Friaças 3
Agenda Apache E-Mail/Postfix FTP Multicast Videoconferência / Video on Demand P2P 4
Web/Apache Existem patches para versões 1.3.x Apache >= 2.x suporta IPv6 Existem patches para versões 1.3.x Directivas Listen 80 (colocar apenas o porto e não um IP) NameVirtualHost <endereço> (colocar o endereço IPv6 entre [ ]) VirtualHost <endereço> (colocar o endereço IPv6 entre [ ]) Exemplo de configuração: httpd.conf Listen 80 NameVirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f] <VirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f]> DocumentRoot /usr/local/apache2/htdocs/lg ServerAdmin ip6adm@fccn.pt ServerName lg.ip6.fccn.pt ServerAlias lg.tbed.ip6.fccn.pt ServerSignature email </VirtualHost> 5
E-Mail/Postfix Postfix >= 2.2 suporta IPv6 Exemplo de configuração: /etc/postfix/main.cf inet_protocols = ipv4, ipv6 smtp_bind_address6 = 2001:db8:1:1::1600 smtp_bind_address = 172.16.250.1 inet_interfaces = 2001:db8:1:1::1600, localhost mynetworks = [2001:db8:1:1::]/64 172.16.250.0/24 [::1]/128 127.0.0.0/8 Responde no porto 25, tanto em IPv4 como em IPv6 6
E-Mail Logs de Servidor Transparência imapd-ssl: user=jgoncalves, ip=[2001:690:2080:8009:34ac:199a:a90:271] imapd-ssl: user=amr, ip=[2001:690:2080:8009:64fb:6204:99ce:b389] imapd-ssl: user=assisg, ip=[2001:690:2080:8009:6861:b929:6577:2cf4] imapd-ssl: user=jcarvalho, ip=[2001:690:2080:8009:16f:4b32:ee75:6ff3] imapd-ssl: user=lino, ip=[2001:690:2080:8009:8991:dfbc:1b02:10c2] imapd-ssl: user=massano, ip=[2001:690:2080:8009:813b:ddaf:4701:81fa] Transparência Potencialmente gerador de tráfego IPv6 significativo – localmente 7
FTP VsFTP >= 2.0.x suporta IPv6 Exemplo de configuração: /etc/xinetd.d/vsftpd service ftp { socket_type = stream wait = no user = root server = /usr/local/sbin/vsftpd server_args = /etc/vsftpd.conf flags = IPv6 nice = 10 disable = no } Responde no porto 21, tanto em IPv4 como em IPv6 8
Multicast Objectivo: Poupança em fluxos de tráfego Arquitectura dífícil de manter no inter-domínio (entre redes de ISPs diferentes) Com o IPv6 surge o conceito de Source Specific Multicast (SSM) 9
Multicast utilizados entre o cliente (pc) e o gateway IPv4: IGMP, Internet Group Management Protocol IPv6: MLD, Multicast Listener Discovery Protocolos para Gerir Grupos Multicast utilizados entre o cliente (pc) e o gateway evitam que as portas que não estão a aceder a grupos Multicast recebam tráfego indesejado 10
Videoconferência Vários Componentes Gestores H.323: OpenMCU Clientes: GnomeMeeting/Ekiga, ConferenceXP 11
Video On-Demand Windows Media Services 9 (>Win2003 Server) Ferramenta VideoLan www.videolan.org Stream sobre IPv6 Menu Media Abrir emissão de rede http://servidor/ficheiro (servidor = nome com AAAA) 12
P2P - Peer-to-Peer Virtualmente todos os nós prestam um serviço Meios: DNS, Serviço de Ponto de Encontro Sem restrições em relação ao «iniciador» Todos os participantes partilham uma visão consistente da rede NAT não facilita funcionamento Domínio de Endereçamento Global 13
P2P - Bittorrent Protocolo criado em 2002 Existem conteúdos «legais» acessíveis através deste protocolo: http://fedoraproject.org/en/get-fedora Suporte em alguns clientes Sempre dependente da plataforma Win/Linux/BSD/Mac Comunicação sobre IPv6 com: «Tracker» Outros clientes 14
P2P - Azureus 15
P2P - uTorrent 16
Recapitulando… O software de servidor WEB Apache, como outros, suporta IPv6. O serviço de E-Mail (envio e recepção) pode funcionar completamente sobre IPv6. Existe diverso software que possibilita o serviço de arquivo/transferência de ficheiros sobre o protocolo IPv6. 17
Recapitulando… O Multicast em IPv6 fica flexibilizado com o surgimento do conceito SSM (source-specific Multicast). Serviços de Videoconferência (nas suas várias componentes) e de Videodifusão podem funcionar sobre IPv6. Existe software variado que permite a comunicação peer-to-peer sobre IPv6 entre nós de uma rede bittorrent. 18
Questões ? Obrigado ! 19
Segurança 29 de Novembro de 2011 Portugal Carlos Friaças 20
Agenda O que há de novo no IPv6? Ameaças IPsec Firewall Conclusão 21
O que há de novo no IPv6? A Segurança foi uma preocupação desde o início Áreas que beneficiaram da forma de ver a rede trazida pelo IPv6: Ameaças ao acesso móvel e ao IP móvel Endereços gerados Criptograficamente Protocolos para Autenticação e Acesso à Rede IPsec Tornar as intrusões mais difíceis 22
Ameaças Escuta passiva e activa Repetição Análise de Tráfego Negação de Serviço Ataque Físico Passwords Vírus, Cavalos de Tróia, Worms Acesso Acidental Desastres Naturais Engenharia Social 23
Ameaças Scanning de Gateways e Máquinas Scanning de Endereços Multicast Não havendo endereço broadcast é possível recorrer a outros métodos Spoofing Controle de acesso não autorizado Ter em atenção a criação de listas de acesso para o protocolo IPv6 O IPv6 foi pensado de raiz para ter mais segurança que o IPv4, usando headers próprios para segurança- O IPsec foi copiado pelo IPv4, pelo que o nível de segurança em ambos é praticamente idêntico quando usado o IPsec. 24
Ameaças Ataque ao Encaminhamento IPv6 «Sniffing» É recomendado o uso dos tradicionais mecanismos no BGP e IS-IS O IPsec garante a segurança de protocolos como o OSPFv3 e o RIPng «Sniffing» Sem o recurso ao IPsec, o IPv6 está tão exposto a este tipo de ataque como o IPv4 Mecanismos de transição Ataques específicos para diferentes mecanismos 25
Ameaças Ataques «Man-in-the-Middle» Flooding – DDOS Sem o uso de IPsec, este tipo de ataques em IPv6 ou IPv4 é semelhante Flooding – DDOS Idênticos em IPv4 e IPv6 Ataques ao nível da Aplicação Actualmente, a maioria das vulnerabilidades na Internet é ao nível da aplicação, que não beneficia do uso do IPsec 26
Scanning em IPv6 Scanning = «Varrimento» O tamanho de cada rede é incomparavelmente maior As LANs têm 2^64 endereços. Deixa de ser razoável pesquisar por um endereço sequencialmente Com 1 milhão de endereços/segundo, seriam necessários mais de 500 mil anos para percorrer todos os endereços de uma única LAN É possivel sim, fazer scan de uma determinada máquina, não de ranges. 27
Scanning em IPv6 Os métodos de Scanning em IPv6 vão provavelmente evoluir Os servidores públicos necessitam de estar registados no DNS, o que constitui um alvo fácil Os Administradores das redes podem adoptar endereços fáceis de memorizar (ex: ::1,::2,::53) Os endereços EUI-64 têm uma componente fixa (de 16 bits) Os códigos que identificam os fabricantes das placas de rede são bem conhecidos (primeiros 24 bits do endereço MAC) Ao comprometer pontos importantes da arquitectura (ex: routers), um atacante pode detectar a existência de muitos alvos possíveis Outras técnicas incluem obtenção de informação através de zonas de DNS ou de logs Negar a transferência de zona (para o mundo) é prática corrente 28
Scanning em IPv6 - Multicast Novos vectores de ataque Uso de endereços Multicast para «emular» funções de router ou servidor DHCPv6 Todos os nós (FF02::1) Todos os routers (FF05::2) Todos os servidores DHCPv6 (FF05::5) Estes endereços devem ser filtrados em cada ponto de «fronteira» Este é o comportamento por omissão se o IPv6 Multicast não estiver activo no Backbone 29
Spoofing em IPv6 A maior agregação que é possível com o IPv6, torna menos complexa a filtragem para impedir o spoofing em pontos estratégicos da rede O aspecto negativo tem a ver com os últimos 64 bits Para identificar um utilizador através de um endereço IPv6, seria necessário manter constantemente o mapeamento entre endereços IPv6 e endereços MAC 30
Spoofing em IPv4 com 6to4 Origem IPv4: Origem IPv4 spoofed Através de tráfego injectado da Internet IPv4 para uma rede IPv6, recorrendo às características do mecanismo de transição 6to4 Origem IPv4: Origem IPv4 spoofed Destino IPv4: Relay 6to4 Anycast (192.88.99.1) Origem IPv6: Origem IPv6 spoofed, com prefixo 2002:: Destino IPv6: Válido Atacante Internet IPv4 Rede IPv6 Rede IPv6 relay 6to4 gateway 6to4 31
Controle de acesso A implementação da política é ainda feita nas firewalls (ou listas de acesso nos routers) Algumas considerações Filtrar endereços multicast nos pontos de fronteira Filtrar endereços IPv4 mapeados em IPv6 any deny ssh 2001:db8:1::1 permit Dst port Src port Dst Src Action 2001:db8/32 são os endereços usados para exemplos. 2001:db8:2::2 32
Controle de acesso Criar filtros para endereços bogon em IPv4 é mais fácil negar os bogon + redes privadas em IPv6 é mais fácil permitir os endereços legítimos host/net 2001:db8::/32 deny service any 2002::/16 permit 2001::/16 2003::/16 3ffe::/16 Dst port Src port Dst Src Action 2001:db8/32 são os endereços usados para exemplos. 33
Encaminhamento Devem utilizar-se as mesmas medidas de protecção que em IPv4 Autenticação de vizinhos (BGP) Filtragem de anúncios inválidos Cifragem de mensagens de encaminhamento Basicamente deve aplicar-se o mesmo nível de segurança em IPv6 e em IPv4 Nota: Atenção nos routers a todos os serviços que estão a correr (ex: http,telnet, ssh). Estes devem estar também protegidos contra acessos indevidos em IPv6. 34
Mecanismos de Transição Há cerca de 15 métodos com várias combinações possíveis Dual stack: aplicar o mesmo nível de segurança para ambos os protocolos Túneis iptunnel – utiliza o Protocolo 41 para atravessar a firewall túnel GRE – será mais aceitável uma vez que já era usando anteriormente ao aparecimento do IPv6. 35
DDoS Não existem endereços broadcast em IPv6 Evita ataques através do envio de pacotes ICMP para o endereço de broadcast As especificações do IPv6 proibem a geração de pacotes ICMPv6 em resposta a mensagens enviadas para endereços globais multicast (com a excepção da mensagem «Packet too big»). Muitos sistemas operativos seguem a especificação Ainda há alguma incerteza sobre o perigo que pode ser criado por pacotes ICMPv6 com origem em endereços multicast globais Much of the activity with Multicast still has little practical feedback 36
Mitigação de DDoS em IPv6 Ter a certeza que os sistemas implementam o descrito no RFC 4443 (e actualizado pelo RFC 4884) Implementar filtragens recomendadas nos RFCs 2827 e 3704, à entrada do sistema autónomo Implementar filtragem à entrada de pacotes IPv6 com endereços de origem IPv6 multicast na rede local 37
IPsec Mecanismos gerais de segurança IP Fornece… Autenticação Confidencialidade Gestão de Chaves – necessita de uma infraestrura de chaves públicas (PKI) Aplicável ao uso em LANs, e WANs públicas & privadas, e na Internet. Definido como obrigatório nas normas do IPv6 O IPsec não é apenas um único protocolo. O IPsec contém um conjunto de algoritmos e uma infraestrutura que permite a comunicação entre duas partes, independentemente do algoritmo apropriado para dotar de segurança essa comunicação 38
IPsec Trabalho emanado do IPsec-wg do IETF Aplica-se tanto ao IPv4 como ao IPv6 e a sua implementação é: Mandatória para IPv6 Opcional para IPv4 Modos IPsec: Transporte & Túnel Arquitectura IPsec: RFC 4301 (actualizado pelo RFC 6040) Protocolos IPsec: Authentication Header – AH (RFC 4302) Encapsulating Security Payload - ESP (RFC 4303) 39
IPsec - Arquitectura Políticas de Segurança: Que tráfego é tratado? Associações de Segurança: Como é processado o tráfego? Protocolos de Segurança: Que protocolos (extensões do cabeçalho) são usados? Gestão de Chaves: Internet Key Exchange (IKE) Algoritmos: Autenticação e Cifragem IKE is still changing 40
IPsec - Modos Modo de Transporte Modo de Túnel Acima do nível IP Apenas o payload dos datagramas IP são protegidos Modo de Túnel IP dentro de IP Todos os datagramas que atravessam o túnel são protegidos 41
IPsec : Gestão de Chaves Manual Chaves configuradas em cada sistema Automática: IKEv2 (Internet Key Exchange v2, RFC 4306) Negociação da Associação de Segurança: ISAKMP Diferentes blocos (payloads) são ligados a seguir ao cabeçalho ISAKMP Protocolos de Troca de Chaves: Oakley, Scheme Algoritmos: Autenticação e Cifragem 42
Protecção – Firewalls IPv6 IPv6 & Firewalls Não elimina a segurança IPv4, se ela existir O processo do firewall IPv6 é em geral separado do firewall IPv4, mas pode ser efectuado no mesmo equipamento Isto é possível, por exemplo, em firewalls Checkpoint Sem necessidade de gerir NATs Mesmo nível de segurança e privacidade Segurança fim-a-fim com recurso a IPsec Suporte de transição e coexistência IPv4/IPv6 43
Firewall IPv6 – arquitectura #1 DMZ Router Rede Protegida Internet Firewall Internet router firewall Rede Requisitos: Firewall tem que suportar filtragem de pacotes Neighbor Discovery Firewall tem que suportar filtragem de pacotes de Anúncio de Router Firewall tem que suportar o protocolo MLD, se o Multicast é usado 44
Firewall IPv6 – arquitectura #2 DMZ Router Rede Protegida Internet Firewall Internet firewall router Rede Requisitos: Firewall tem que suportar filtragem de pacotes ND Firewall tem que suportar filtragem de protocolos dinâmicos de encaminhamento (i.e. BGP, OSPF, IS-IS) Firewall idealmente terá uma multiplicidade de interfaces 45
Firewall IPv6 – arquitectura #3 DMZ Rede Protegida Internet Firewall Router Internet firewall/router Rede Requisitos Apenas um ponto para funções de routing e implementação de políticas de segurança – comum em ambientes «SOHO» Necessita suporte de todas as funções de router e também de firewall 46
Recapitulando… O IPv6 pode potencialmente melhorar a segurança na Internet. A maioria das ameaças mantém-se no mundo IPv6, embora algumas sofram mudanças. Os mecanismos de transição são uma fonte potencial de problemas de segurança. 47
Recapitulando… A IPSec é a melhor ferramenta para mitigar vários problemas. O posicionamento de um firewall tem que ser pensado de acordo com o cenário em que será usado. Elementos como Firewalls, Routers, DNS, etc, já estão apetrechados para funcionarem em IPv6 com segurança. 48
Questões ? Obrigado ! 49
Encaminhamento 29 de Novembro de 2011 Portugal Carlos Friaças 50
Agenda ISIS OSPFv3 Multiprotocolo BGP Conclusões 51
Encaminhamento Sistemas É uma questão a ter sempre em conta, de qualquer ponto da rede, ou sistema OS IPv4 IPv6 Cisco (IOS) show ip route show ipv6 route WinXP/Win7 route print netsh interface ipv6 show route Linux /sbin/route /sbin/route –A inet6 Mac netstat –r 52
Tipos de Protocolo Interno Externo RIPng (Routing Information Protocol) IS-IS (Intermediate System-Intermediate System) OSPFv3 (Open Shortest Path First) Externo BGP (Border Gateway Protocol) The routing protocols can be divided in two families, one aiming to provide for dynamic intra-domain routing, and other aiming to provide for the inter-domain routing. The protocols that support IPv6 are basically the ones that are used in the IPv4 world. 53
ISISv6 É um protocolo OSI Baseado em apenas dois níveis L2 = Backbone L1 = Stub L2L1= Interligação L2 e L1 Funciona sobre o protocolo CLNS Cada equipamento IS envia LSPs (Link State Packets) Envia informação via TLV’s (Tag/Length/values) Processo de estabelecimento de vizinhanças não muda Operação inalterada Intermediate System to Intermediate System is a link-state protocol routing decisions based on link states “State” is the description of the interface and its relationship to its neighboring devices [CLNS] - Connectionless Network Service The goal is to find the topology in the form of a shortest path tree (SPT) and them from the SPT build routing tables ISIS for IPv6 has exactly the same characteristics than on IPv4. Each router in the routing domain issues an LSP (link state packets) that contains information pertaining to that router. The LSP contains typed variable length data often referred to as TLVs (type- length-values) All comunication is made with LSP LSP componentes: who is my neigbor the interfaces’ addresses what’s the cost what are the protocols supported This is the best internal routing protocol in terms of scalability 54
ISISv6 Actualizações: Dois novos Tag/Length/Values (TLV) para IPv6 IPv6 Reachability IPv6 Interface Address Novo identificador da camada de rede IPv6 NLPID We extend the protocol with 2 new TLVs to carry information required to perform IPv6 routing. Two new TLV’s had to be created to suport IPv6: IPv6 Reachability – describes network reachability and contains IPv6 routing prefix and metrics IPv6 Interface Address – contains IPv6 interface addresses (128 bits) New network Layer Identifier IPv6 NLPID – this indicates that the router supports IPv6 55
OSPFv3 OSPFv3 = OSPF para IPv6 Baseado em OSPFv2 Topologia de uma área é invisível de fora dessa área O flooding de LSAs é feito por área O cálculo da SPF é realizado separadamente para cada área Todas as áreas têm de dispôr de uma ligação ao backbone (área 0) It is a link-state protocol so, it makes the routing decisions based on the states of the links The state is the description of the interface and its relationship to its neighboring devices The communication is done via Link-State Advertisements (LSAs). A router's collection of LSA data is stored in a link-state database The database’s contents, when subjected to the Dijkstra algorithm, result in the creation of the OSPF routing table. Not as scalable as IS-IS. 56
OSPFv3 OSPFv3 é uma versão do protocolo exclusivamente IPv6 Numa rede de pilha dupla é necessário correr OSPF2 (IPv4) e OSPFv3 (IPv6) Há algum trabalho a ser desenvolvido no sentido de dotar o OSPFv3 de suporte IPv4. OSPFv3 is an IPv6-only routing protocol -> separate protocol from OSPFv2 (IPv4) In a dual-stack environment, running OSPF, you need OSPFv2 (IPv4) and OSPFv3 (IPv6) Implementing OSPFv3 for IPv6 expands on OSPFv2 to provide support for IPv6 routing prefixes. LSA Types for IPv6 Due to the fact that with IPv6 it is possible to configure many different IP addresses on one interface LSA types for OSPv3 differ from those in OSPFv2 for IPv4 Router LSAs (Type 1)—Describes the link state and costs of a router's links to the area.These LSAs are flooded within an area only. Network LSAs (Type 2)—Describes the link-state and cost information for all routers attached to the network. Interarea-prefix LSAs for ABRs (Type 3)—Advertises internal networks to routers in other areas (interarea routes) Interarea-router LSAs for ASBRs (Type 4)—Advertise the location of an ASBR. Autonomous system external LSAs (Type 5)—Redistributes routes from another AS, usually from a different routing protocol into OSPF. Link LSAs (Type 8)—Have local-link flooding scope and are never flooded beyond the link with which they are associated. Intra-Area-Prefix LSAs (Type 9)—A router can originate multiple intra-area- prefix LSAs for each router or transit network, 57
OSPFv3 Detalhes Todos os routers (FF02::5) Corre directamente sobre IPv6 Distribui prefixos IPv6 Novos tipos de LSAs Os router-ids são endereços IPv4 Usa endereços Multicast Todos os routers (FF02::5) Todos os designated routers (FF02::6) OSPFv3 is an IPv6-only routing protocol -> separate protocol from OSPFv2 (IPv4) In a dual-stack environment, running OSPF, you need OSPFv2 (IPv4) and OSPFv3 (IPv6) Implementing OSPFv3 for IPv6 expands on OSPFv2 to provide support for IPv6 routing prefixes. LSA Types for IPv6 Due to the fact that with IPv6 it is possible to configure many different IP addresses on one interface LSA types for OSPv3 differ from those in OSPFv2 for IPv4 Router LSAs (Type 1)—Describes the link state and costs of a router's links to the area.These LSAs are flooded within an area only. Network LSAs (Type 2)—Describes the link-state and cost information for all routers attached to the network. Interarea-prefix LSAs for ABRs (Type 3)—Advertises internal networks to routers in other areas (interarea routes) Interarea-router LSAs for ASBRs (Type 4)—Advertise the location of an ASBR. Autonomous system external LSAs (Type 5)—Redistributes routes from another AS, usually from a different routing protocol into OSPF. Link LSAs (Type 8)—Have local-link flooding scope and are never flooded beyond the link with which they are associated. Intra-Area-Prefix LSAs (Type 9)—A router can originate multiple intra-area- prefix LSAs for each router or transit network, 58
BGP Multiprotocolo É um protocolo de encaminhamento EXTERIOR Interliga diferentes domínios de encaminhamento que têm políticas autónomas/independentes. Cada um possui um número de sistema autónomo (AS) Multiprotocol Border Gateway Protocol (BGP) for IPv6. BGP is an Exterior Gateway Protocol (EGP) used mainly to connect separate routing domains that contain independent routing policies (autonomous systems). This is the protocol that made the Internet come true in the 70s, and it has been adapted for IPv6. Multiprotocol BGP is an enhanced BGP that carries routing information for multiple network layer protocol address families: IPv6 unicast and multicast IPv4 unicast and multicast All BGP commands and routing policy capabilities can be used with multiprotocol BGP. The 6bone is/was a huge overlay test network based on tunnels, that allowed for extensive testing of IPv6’s extensions for BGP. The 6bone is intented to end by 6/6/2006. 59
BGP Multiprotocolo Transporta sequências de números de AS que ilustram caminhos Suporta as mesmas funcionalidades que o BGP para IPv4 Várias famílias de endereçamento: IPv4 unicast IPv4 multicast IPv6 unicast IPv6 multicast Multiprotocol Border Gateway Protocol (BGP) for IPv6. BGP is an Exterior Gateway Protocol (EGP) used mainly to connect separate routing domains that contain independent routing policies (autonomous systems). This is the protocol that made the Internet come true in the 70s, and it has been adapted for IPv6. Multiprotocol BGP is an enhanced BGP that carries routing information for multiple network layer protocol address families: IPv6 unicast and multicast IPv4 unicast and multicast All BGP commands and routing policy capabilities can be used with multiprotocol BGP. The 6bone is/was a huge overlay test network based on tunnels, that allowed for extensive testing of IPv6’s extensions for BGP. The 6bone is intented to end by 6/6/2006. 60
BGP Multiprotocolo O BGP4 transporta apenas três tipos de informação que são verdadeiramente específicos do IPv4: O NLRI na mensagem de UPDATE contém um prefixo IPv4 O atributo NEXT_HOP na mensagem de UPDATE contém um endereço IPv4 O BGP ID no atributo AGGREGATOR There are only three pieces of information, carried by BGP, that are IPv4 specific: the NEXT_HOP attribute (expressed as an IPv4 address), AGGREGATOR (contains an IPv4 address), and NLRI (expressed as IPv4 address prefixes). So, to provide backward compatibility, as well as to simplify introduction of the multiprotocol capabilities into BGP-4, two new optional attributes were created:, Multiprotocol Reachable NLRI (MP_REACH_NLRI) and Multiprotocol Unreachable NLRI The first one (MP_REACH_NLRI) is used to carry the set of reachable destinations together with the next hop information to be used for forwarding to these destinations. The second one (MP_UNREACH_NLRI) is used to carry the set of unreachable destinations. 61
BGP Multiprotocolo O RFC 4760 define extensões multi-protocolo para o BGP4 Isto torna o BGP4 disponível para outros protocolos de rede (IPv6, MPLS…) Novos atributos do BGP4: MP_REACH_NLRI MP_UNREACH_NLRI Atributo NEXT_HOP independente de protocolo Atributo NLRI independente de protocolo There are only three pieces of information, carried by BGP, that are IPv4 specific: the NEXT_HOP attribute (expressed as an IPv4 address), AGGREGATOR (contains an IPv4 address), and NLRI (expressed as IPv4 address prefixes). So, to provide backward compatibility, as well as to simplify introduction of the multiprotocol capabilities into BGP-4, two new optional attributes were created:, Multiprotocol Reachable NLRI (MP_REACH_NLRI) and Multiprotocol Unreachable NLRI The first one (MP_REACH_NLRI) is used to carry the set of reachable destinations together with the next hop information to be used for forwarding to these destinations. The second one (MP_UNREACH_NLRI) is used to carry the set of unreachable destinations. 62
Encaminhamento IPv6 vs. IPv4 a Nível Global (19/08/2011) IPv6 IPv4 ROTAS 7614 385468 ROTAS AGREGADAS 6612 (86,8%) 226084 (58,6%) SISTEMAS AUTÓNOMOS 4865 (12,3% face ao IPv4) 39488 http://www.cidr-report.org/as2.0/ http://www.cidr-report.org/v6/as2.0/ O IPv6 ainda está a anos luz do IPv4 pelo que se pode ver por estas estatísticas. No entanto, algo facilmente visível é que o nível de agregação por sistema autónomo é Infinitamente melhor em IPv6. www.cidr-report.org 63
Conclusões Protocolo IPv4 IPv6 Processos OSPF OSPFv2 OSPFv3 Dois IS-IS Um BGP BGP4 BGP4+ 64
Recapitulando… Todos os sistemas têm uma tabela de encaminhamento. Existem protocolos de encaminhamento interno e externo (para uso entre domínios). Alguns protocolos funcionam em IPv4 e IPv6 a partir do mesmo processo, enquanto outros necessitam de um processo distinto. Os principais protocolos de encaminhamento já têm suporte IPv6 estável. Pouco mais de 12% dos sistemas autónomos existentes na Internet IPv4 estão ligados à Internet IPv6. 65
Questões ? Obrigado ! 66
Transição 29 de Novembro de 2011 Portugal Carlos Friaças 67
Agenda Túneis 6to4 NAT-PT e NAT64 Carrier Grade NAT (CGN) 68
Túneis Inicialmente IPv6 sobre IPv4 (no futuro, IPv4 sobre IPv6!) Pacotes IPv6 são encapsulados em pacotes IPv4 O pacote IPv6 é o «payload» do pacote IPv4 Usualmente usado entre routers de forma a interligar «ilhas» de redes IPv6 O router de acesso fala IPv6 internamente com os sistemas na sua LAN Encapsula pacotes IPv6 em pacotes IPv4 na direcção do outro extremo do túnel
Entrega de pacotes através do túnel O nó A IPv6 envia pacotes para o nó B IPv6 Encaminhados localmente para o router O router (do lado A) conhece o melhor caminho para o destino (nó B) através do interface do túnel Encapsula os pacotes IPv6 em pacotes IPv4 Envia os pacotes IPv6 para o router (do lado B) A entrega é efectuada através da infraestrutura IPv4 que existe entre ambos (Internet) O router (do lado B) desencapsula os pacotes IPv6 a partir do payload dos pacotes IPv4 recebidos Os pacotes IPv6 são encaminhados internamente até à rede onde está o nó B O nó B recebe os pacotes IPv6
Túnel - Endereçamento
Manuais ou automáticos? Os túneis podem ser criados manualmente ou de forma automática Manualmente Requer intervenção manual nos dois extremos Não funciona quando os endereços IPv4 mudam (DSL, …) Boa solução do ponto de vista da gestão: sabe-se o que está no outro extremo do túnel Automaticamente Túneis criados a pedido, mas sem intervenção humana Inclui o mecanismo 6TO4 (RFC3056) Outros mecanismos: ISATAP (RFC4214) e Teredo (RFC4380, RFC5991 e RFC6081)
Tunnel Broker Modo de Operação: processo de registo, para permitir posterior autenticação, quando o pedido de criação de um túnel é efectuado/recebido de um determinado endereço IPv4 o «broker» configura o seu lado do túnel e envia as configurações necessárias para que o outro extremo seja configurado pelo «cliente» Este mecanismo está descrito no RFC3053, de forma a possibilitar a conectividade de sistema a router, e também de router a router Exemplos: www.freenet6.net (CA) ipv6tb.he.net (US) www.sixxs.net (EU)
6to4 O mecanismo 6to4 é usado para ligar duas «ilhas» IPv6 através da rede IPv4 O prefixo de rede IPv6 2002::/16 está reservado para este mecanismo Os 32 bits seguintes do endereço são os bits do endereço IPv4 do router 6to4 Exemplo: um router 6to4 com o endereço 192.0.1.1 usará um prefixo IPv6 2002:c000:0101::/48 para a rede do seu «site» de transição Quando um router 6to4 recebe um pacote para um destino com um prefixo 2002::/16, ele sabe que tem de enviá-lo encapsulado através do mundo IPv4 para o endereço indicado nos 32 bits seguintes
6to4 - Mapa
6to4 - Características Positivo: Simples de instalar e usar Completamente automático; não necessita de intervenção humana para que seja configurado um novo túnel Os pacotes atravessam os túneis até ao destino usando o melhor caminho disponível na rede IPv4 Negativo: Os relays 6to4 podem ser usados em ataques (DoS attacks) O RFC3964 descreve alguns cuidados a ter em conta
6to4 Relay Um router que seja um 6to4 Relay possui um endereço 6to4 mas também um endereço no mundo IPv6 Dois casos a considerar: Pacotes IPv6 enviados de um «site» 6to4 para um destino no mundo IPv6 (fora de 2002::/16) atravessam um túnel até ao relay e aí são encaminhados para a Internet IPv6 até ao seu destino Os relays 6to4 são anunciados no endereço IPv4 anycast 192.88.99.1. Pacotes IPv6 enviados da Internet IPv6 até um «site» 6to4 (portanto num prefixo 2002::/16) são encaminhados até um relay 6to4 e então atravessam um túnel até ao destino. O relay anuncia a rede 2002::/16 aos seus vizinhos na Internet IPv6
6to4 Relay - Exemplo
6to4 - Aspectos 6to4 é um mecanismo de transição interessante Embora possua alguns detalhes operacionais menos positivos Problema 1: Possibilidade de abuso do relay Pode ser usado num ataque DoS Os endereços IPv6 que atravessam os túneis automáticos podem ser falsificados (spoofed) Problema 2: Modelo assimétrico/robustez Um «site» 6to4 pode usar um relay 6to4 diferente de cada vez que comunica com um destino na Internet IPv6 (isso depende apenas do estado das rotas IPv6 e IPv4). Alguns relays 6to4 podem ficar inatingíveis caso os ISPs filtrem a informação de routing como forma de apenas os seus clientes poderem alcançar o relay 6to4 que disponibilizam
6to4 – Encaminhamento Assimétrico
Network layer: NAT-PT Network Address Translation - Protocol Translation Definido no RFC2766, Descontinuado no RFC4966 Similar ao NAT do IPv4, mas com tradução de protocolo Usa o protocolo SIIT (RFC2765, tornado obsoleto pelo RFC6145) O SIIT define algoritmos para traduzir os cabeçalhos de pacotes IPv4 e IPv6, quando possível O NAT-PT adiciona ao SIIT gamas de endereços IPv4 Traduções IPv4-para-IPv6 e IPv6-para-IPv4 são suportadas
NAT-PT: Topologia
NAT-PT e DNS O protocolo DNS ALG traduz queries DNS de registos IPv6 (AAAA), para queries DNS de registos IPv4 (A). Quando a resposta com o registo (A) é recebida, o DNS ALG traduz o resultado para um endereço IPv6 Guardando o tuplo <IPv6-prefix>:<IPv4 address> O sistema cliente vai usar o endereço IPv6 para contactar o destino, que será traduzido pelo mecanismo de NAT-PT para o destino «real» em IPv4
NAT-PT: Aspectos Negativos Todas as desvantagens do NAT em IPv4, e um pouco mais: Necessita de manter os estados nos equipamentos que suportam o NAT-PT Necessita de lidar com os endereços IP embebidos no payload do pacote (ex: FTP) Os aspectos relacionados com o DNS são complexos A principal dificuldade é não ser escalável para ambientes de média/grande dimensão
NAT64 Um bloco IPv6 é usado para mapear endereços IPv4 Pode ser usado um prefixo /96, /64 ou outros O DNS64 converte registos A em AAAA usando o prefixo do NAT64 e fornece registos A e AAAA aos clientes. por Ivan Pepellnjak (NIL), ip@nil.com
NAT64 O NAT64 e o DNS64 são dois componentes separados O router que implementa o NAT64 deve anunciar o prefixo de tradução para a rede IPv6 Implementações Open source: Ecdysis Microsoft: Forefront UAG Direct Access Cisco: CGv6 Ericsson: versões «trial» por Ivan Pepellnjak (NIL), ip@nil.com
Carrier Grade NAT O que é um CGN ? Uma solução para o esgotamento IPv4, sem IPv6 Partilha de 1 endereço IPv4 por vários utilizadores Cada utilizador recebe apenas algumas portas por João Damas (BONDIS/ISC), World IPv6 Day 2011, Lisboa 87
Carrier Grade NAT Porque é altamente indesejável? Complexidade na rede e nas aplicações O seu uso dificulta a criação de novas aplicações Limitações para os utilizadores Quebra completamente o príncipio fim-a-fim Mais uma forma de «Walled Garden» (captura de utilizadores) Algumas portas (dum mesmo IP) são mais «especiais» que outras (ex: porta 80 [www], porta 22 [ssh], etc…) por João Damas (BONDIS/ISC), World IPv6 Day 2011, Lisboa 88
Clip: IPv6 – Are you Ready? Cisco Systems http://www.youtube.com/watch?v=eYffYT2y-Iw
Recapitulando… Os túneis podem ser manuais ou automáticos. Os mecanismos de transição não são perfeitos e não podemos esperar uma boa performance. O 6to4 é um mecanismo simples, mas «cego» na tradução que realiza. 90
Recapitulando… O NAT64 é uma evolução do NAT-PT que tem por objectivo ligar ambientes «só-IPv6» à Internet IPv4. A transição faz-se através da introdução do IPv6, em paralelo com o IPv4, e recorrendo aos mecanismos de transição apenas em último caso. O CGN, a ser usado, mudará o funcionamento da Internet como o conhecemos hoje (para pior!). 91
Questões ? Obrigado ! 92
Componente Prática 93
Prática #1 Instalar um servidor WEB IPv4+IPv6 (software Apache) Acessível por: www0<grupo>.ip6.fccn.pt yum –y install httpd Editar /etc/httpd/conf/httpd.conf Dir. Para colocar contéudos: /var/www/html Reiniciar o serviço: /etc/init.d/httpd restart Verificar funcionamento, usando um browser e o nome para aceder em IPv6 ao serviço Objectivo: Activação de um servidor WEB acessível por IPv6
Prática #2 Instalar um servidor FTP IPv4+IPv6 (software VsFTPd) Acessível por: ftp0<grupo>.ip6.fccn.pt yum –y install vsftpd Editar /etc/vsftpd/vsftpd.conf Dir. Para colocar ficheiros: /var/ftp/pub Reiniciar o serviço: /etc/init.d/vsftpd restart Verificar funcionamento, usando um cliente FTP e o nome para aceder em IPv6 ao serviço Objectivo: Operar um servidor de ficheiros acessível via IPv6
Prática #3 Instalar um servidor de E-Mail IPv4+IPv6 (software Postfix) Nome: mail0<grupo>.ip6.fccn.pt yum –y install postfix Editar /etc/postfix/main.cf Reiniciar o serviço: /etc/init.d/postfix restart Fazer telnet ao porto 25, e verificar que o serviço está activo Verificar também no DNS que o servidor é MX para o domínio ip6.fccn.pt (ferramenta DIG) Dig ip6.fccn.pt mx Objectivo: Operar um servidor e-mail que funcione sobre IPv6
Prática #4 Usar a ferramenta NMAP (nmap.org) Analisar os portos/serviços em escuta em IPv4 e IPv6 no sistema Linux Endereços Localhost: nmap 127.0.0.1 nmap -6 ::1 Endereços Globais: nmap <endereço_ipv4> nmap -6 <endereço_ipv6> Objectivo: Diagnosticar portos que recebem ligações num sistema
Prática #5 OSPFv3 Entrar no respectivo router Configurar o processo OSPF 100 Verificar que as vizinhanças se formam (ver HowTo-Routing.pdf) Objectivo: Verificar funcionamento de protocolo de encaminhamento interno em IPv6
Prática #6 BGP4+ Entrar no respectivo router Declarar uma vizinhança BGP com os restantes routers Sistema Autónomo = 65000 + <grupo> Anunciar a rota 2001:690:1F00:BBB<grupo>::/64 (ver HowTo-Routing.pdf) Objectivo: Verificar funcionamento de protocolo de encaminhamento externo em IPv6
Prática #7A Estabelecer um túnel IPv6 sobre IPv4 entre o servidor box<grupo> e um router ip tunnel add sit1 mode sit ttl 10 remote 193.136.5.34 local <endereço_ipv4> ip link set dev sit1 up ifconfig sit1 inet6 add 2001:690:1F00:AAA<grupo>::2/64 Verificar Rotas IPv6 (/sbin/route –A inet6) Reencaminhar uma rota para o novo túnel /sbin/route –A inet6 add 2A00:1450::/32 gw 2001:690:1F00:AAA<grupo>::1 Efectuar traceroute6 (para ipv6.google.com) Objectivo: Verificar alteração no contexto de encaminhamento
Prática #7B