gremo6, workshop at 8th slovenian ipv6 summit
TRANSCRIPT
8. IPv6-srečanje
Matjaž Straus IsteničArnes, go6
Tehnološki park Ljubljana, 23. 10. 2013
Gremo 6delavnica za skrbnike lokalnih računalniških omrežij
1torek, 22. oktober 13
Hec: dva priimka (včasih zelo praktično) vs. dve različici IP-protokola (neprimerno, saj protokola nista združljiva - komunikacija brez posrednikov ni možna).
IPv6Tehnično DaNe
Ne!
Uf, a še vedno?
Gledam druge Vprašam druge
Poskusim
Uspeh!
Vedno sem bil “za”!Vendar ...
×✓
IPv6 kot sprememba
2torek, 22. oktober 13Pogled na uvajanje IPv6, kjer ne gre zgolj za jasne tehnične odločitve, temveč za sociološki problem.Q: Se lahko prepoznamo v tem procesu?
CC askal.bosch/flickr t3torek, 22. oktober 13
Obe poti vodita do v6 -- problem pa je čas!
Izobraževanje je ključno, da proces uvajanja skrajšamo!
IPv6Tehnično Da
Ne!
Uf, a še vedno?
Gledam druge Vprašam druge
Poskusim
Uspeh!
Vedno sem bil “za”!Vendar ...
4torek, 22. oktober 13Z ustreznim izobraževanje preskočimo nekaj korakov “sociološke daljšnjice”:- pomembno je zaobiti dno “gledam druge”/“vprašam druge”- če se le da, pa že prvi “ne” obrniti v “da”
• IPv6-naslov
• ICMP in samodejne nastavitve
• osnovne omrežne storitve
• varnost
• tranzicijski mehanizmi za prehod na IPv6
Osnove IPv6
5torek, 22. oktober 13
6torek, 22. oktober 13
• IPv6-naslov
• ICMP in samodejne nastavitve
• osnovne omrežne storitve
• varnost
• tranzicijski mehanizmi za prehod na IPv6
7torek, 22. oktober 13
IPv6-naslov
• zapis IPv6-naslova
• vrste naslovov
• delitev naslovnega prostora
• naslavljanje v organizaciji
8torek, 22. oktober 13
Zapis IPv6-naslova
• 128 bitov v 8 skupinah po 16 bitov
• šestnajstiški zapis
• krajšanje in “lepopis”
9torek, 22. oktober 13
00100000.00000001.00010100.01110000.
00000001.00100011.00000000.00001111.
00000000.00000000.00000000.00000000.
00000000.00000000.00000000.00000110
2001:1470:0123:000f:0000:0000:0000:00062001:1470
Zapis IPv6-naslova
10torek, 22. oktober 134 biti -> 1 znak, 16 bitov -> en blok, 8 blokov -> celoten naslov, ločilo je dvopičje “:”.Opišemo zapis IPv6-naslova.
2001:1470:0123:000f:0000:0000:0000:0006
2001:1470:123:f:
2001:1470:0123:000f:0000:0000:0000:0006
0:0:0:6
Zapis IPv6-naslova
11torek, 22. oktober 13Poenostavimo zapis IPv6-naslova: odstranjevanje vodilnih ničel v posameznih 16-bitnih skupinah, nato se odstrani še strnjen niz samih ničel in se nadomesti z dvopičjem. Tak blok lahko odstranimo na enem samem mestu, da je rezultat nedvoumen.:: = štiripičje
Zapis IPv6-naslova
2001:0db8:0000:0000:0002:0000:0000:0066
/32 /64/48
2001:db8:0:0:2:0:0:66
2001:db8::2:0:0:66
odstranimo vodilne ničle
odstranimo sosledje ničel
12torek, 22. oktober 13db8 = debate
Vrste IPv6-naslovov
• glede na namembnost - kako, za kaj?
• glede na stopnjo lokalnosti (področje ali scope) - kje?
13torek, 22. oktober 13
• iz naslova je razvidno, za kaj in kje se uporablja
• komunikacija v lokalnem omrežju
• globalna komunikacija
• komunikacija v skupini
• komunikacija le z nekaterimi v skupini
Naslov za določen namen
14torek, 22. oktober 13
• kako
• med dvema - unicast
• z mnogimi - multicast
• z najbližjim - anycast• nič več “z vsemi” - broadcast
• kje
• lokalno na povezavi - link-local
• lokalno na lokaciji - unique local
• globalno, javno
×
Tipi IPv6-naslova
15torek, 22. oktober 13Dva kriterija: “kako” in “kje”.Zakaj ni več potrebno “trobljenje” (broadcast/razpršeno oddajanje)? Sporočila pošiljamo le tistim, ki se za njih “zanimajo”, oz. so ta sporočila za njih pomembna, ne pa vsem --> multicast (oglaševanje znotraj skupine).
Naslov Obseg naslovov Kje se uporablja?
loopback ::1 na sistemu samem
lokalen (link-local) fe80::/10 na povezavi
lokalen (unique local) fc00::/7 na lokaciji/organizaciji
javen globalen naslov 2000::/3 globalno
naslov skupine (multicast) ff00::/8 lokalno ali globalno
127.0.0.1
224.0.0.0/4
Tipi IPv6-naslova
169.254.0.0/16
10.0.0.0/8192.168.0.0/16
16torek, 22. oktober 13“Global Unicast” ustreza javnemu IPv4 naslovu *“Link local” ustreza privatnim naslovom, ki so vidni le znotraj povezovalnega segmenta.Naslovi “Unique Local Address” se lahko usmerjajo znotraj neke skupine omrežij. Naslovi imajo v omrežnem delu naključno 40-bitno število s čimer se zmanjša nevarnost združevanja skupin ali problemov v primeru, da paketi po pomoti “zaidejo” v internet. Lokalna uporaba vendar možnost usmerjanja - globalen “scope”.
• 5 obveznih naslovov
• na vsakem vmesniku lokalen naslov na povezavi (link-local)
• katerikoli dodeljen unicast ali anycast naslov
• naslov skupine “vsi sistemi” (all-nodes multicast)
• za vsak unicast in anycast naslov še pripadajoč pooblaščen naslov (solicited-node multicast)
• + naslovi vseh ostalih skupin, v katerih je sistem
# ip -6 addr show dev eth13: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 2001:1470:8000:60a:0:1:fee1:600d/64 scope global valid_lft forever preferred_lft forever inet6 fe80::216:35ff:fe82:45a2/64 scope link valid_lft forever preferred_lft forever
# ip -6 maddr show dev eth13: eth1 inet6 ff02::1:ffe1:600d inet6 ff02::1:ff82:45a2 inet6 ff02::1
Vmesnik ima več naslovov
17torek, 22. oktober 13Q: najmanj koliko IPv6-naslovov ima IPv6-sistem? A: (primer na sliki + loopback ::1)
V IPv6-naslov vstavljeni IPv4-naslov
Naslov Obseg naslovov Primer Namen
IPv4-compatible ::/96 ::193.2.1.66ni več v uporabi
IPv4-mapped ::ffff:0:0/96 ::ffff:193.2.1.66poenotenje
TCP/IP-sklada
IPv4-embedded
- IPv4-translatable - IPv4-converted
<nat64-prefix>:<ipv4>/(64|96)+ipv4_pfxlen 2001:db8::193.2.1.66 NAT64
18torek, 22. oktober 13
Razlika med converted in translatable naslovi:IPv4-translatable naslov je naslov IPv6-naprave, npr. strežnika, ki je preko translacijskega mehanizma dosegljiv iz IPv4-omrežja. Ta naslov se lahko pretvori v IPv4-naslov, kar ne velja za poljuben IPv6-naslov. Naslovi zunanjih IPv4-naprav, ki dostopajo do tega (IPv6) sistema, so predstavljeni kot IPv4-converted IPv6-naslovi. Zapis obeh (translatable in converted) je enak = IPv4-embedded naslov.
Posebni naslovi
Naslov Obseg naslovov Primer Opis
6to4 2002::/16 2002:c102:142::/48 tuneliranje 6to4:prefiks za 193.2.1.66
Teredo 2001::/32 2001:0:9d38:6abd:47f:2c9b:66fa:f7b
tuneliranje Teredo:IPv4-naslov
strežnika, odjemalca, UDP vrata, ...
dokumentacija 2001:db8::/32 2001:db8::66v dokumentaciji,
primerih, predavanjih (debate |dɪˈbeɪt)
19torek, 22. oktober 13
• vedno odstrani vodilne ničle v 16-bitnih besedah
• skrajšaj, kot se le da
• ene same 16-bitne besede ne nadomesti z ::
• če je za :: več možnosti, uporabi :: na prvem možnem mestu z leve proti desni
• male črke a - f
• v IPv4-mapped in IPv4-embedded naslovih lahko spodnjih 32 bitov zapišeš decimalno
Lepopis
RFC 5952 - A Recommendation for IPv6 Address Text Representation
20torek, 22. oktober 13
Vaja 1
• IPv6-naslovi na vašem operacijskem sistemu?• Zapis IPv6-naslova (priloga, str. 1, 2)
21torek, 22. oktober 13
• področje (scope) je določeno z naslovom
• interface-local
• link-local
• unique local (prej site-local)
• global
Področje (scope)
22torek, 22. oktober 13
• naprava (node)
• povezava (link)
• organizacija (site)
• internet (global)
Cona (zone)
23torek, 22. oktober 13
Vmesnik v coni
globa
l zone
- inte
rnet
link zone
interf
ace +
glob
al
addre
ss
interface + link-local
address
interface
scope zone
24torek, 22. oktober 13- področje je enolično določeno z IPv6-naslovom, na primer: v področju link-local so le naslovi oblike fe80::- vmesnik in njegov IPv6-naslov (torej področje!) enolično določata cono, v kateri je ta vmesnik- cona je konkretizacija področja, na primer, cona linka-med-vmesnikoma-1-in-2 je množica parov (vmesnik, naslov) z naslovi v področju link-local- globalnejša cona lahko vsebuje bolj specifične cone, vendar le v celoti- med conami ni delnih presekov, lahko se "dotikajo" --> cone so med seboj izoliraneVmesnik in njegov lokalen naslov (na primer fe80::1) določata cono "link zone", ta isti vmesnik v paru z globalnim naslovom (na primer 2001:db8::2) pa cono "global zone - internet". Cona link je v celoti v coni internet (je podmnožica). Vmesnik sam je v obeh conah hkrati.
Princip izolacije con
• paket z naslovom v določeni coni nikoli ne zapusti te cone
• potreben in zadosten pogoj za komunikacijo je,
- da je izvorni vmesnik (od koder je paket poslan) v isti coni kot ciljni naslov in...
- da je ciljni vmesnik (kjer je bil paket prejet) v isti coni kot izvorni naslov
25torek, 22. oktober 13
Ni potrebno, da sta izvorni in ciljni naslov v isti coni! Potrebno je le ujemanje cone vmesnika pošiljatelja in ciljnega naslova in vmesnika sprejemnika in izvornega naslova.Celotna pot paketa, katerega izvorni ali ciljni naslov pripadata neki coni, mora biti znotraj meja cone!
• prednostni seznam
1. par naslovov istega tipa glede na lokalnost
2. izbere se bolj lokalen ciljni naslov
3. prednostni naslov (“preffered”)
4. prednost pred tranzicijskimi naslovi (Teredo, 6to4)
5. par naslovov v ožjem skupnem podomrežju
6. kot izvorni naslov ima pred začasnim prednost globalen naslov
7. mobilna naprava: prednost ima domači (home) naslov
Kateri naslov izbrati?
RFC 6724 - Default Address Selection for Internet Protocol Version 6
26torek, 22. oktober 13Kaj so to “tranzicijski” naslovi? Kratek opis. Problem varnosti sistema, ki ima samo tranzicijski naslov, npr. Teredo mikrosoftis (P2P aplikacije na windozah: default v6, torej?).
Default address selection for IPv6: RFC6724
alokacija dodeli ponudnik (LIR) neodvisno od ponudnika
IANA
Članica
Arnes
RIPE
/3
/32
/12
/48n × /48 /48
vir: RIPE NCC, IPv6 for LIRs tutorial
Globalna delitev naslovnega prostora
27torek, 22. oktober 13
Delitev naslovnega prostora v organizaciji
...
...
...
2001:1470:pppp::/48
2001:1470:pppp:0000::/52
2001:1470:pppp:0000::/56 2001:1470:pppp:0100::/56
2001:1470:pppp:0100::/64 2001:1470:pppp:0101::/64 2001:1470:pppp:0109::/64
2001:1470:pppp:0900::/56
2001:1470:pppp:1000::/52 2001:1470:pppp:f000::/52
učilnice knjižnicaadministrativni del
strežniki delovne postaje omrežja za goste
}}
}
}
organizacija
do 16 lokacij
do 16 skupinna vsaki lokaciji
do 256 lokalnih omrežijv vsaki skupin
28torek, 22. oktober 13
Naslavljanje v organizaciji
2001:1470:pppp:LSNN:aaaa:bbbb:cccc:ddddOznaka ISP ja
(Arnesov prefiks)
Prefiks organizacije
Lokacija
Oznaka omrežja Oznaka naprave
Skupina
Številka omrežja
• pppp - organizaciji dodeli Arnes
• L = 0 ali lokacija
• S - skupina, glede na namembnost (varnostno politiko) omrežja
• NN - podomrežje v skupini S
Zelo dober priročnik:http://www.surfnet.nl/Documents/rapport_201309_IPv6_numplan_EN.pdf
29torek, 22. oktober 13
Vaja 2• Razdelite 192.168.0.0/23 na 5 delov.• Izberite 5 omrežij /64 iz 2001:db8:1234::/48.• Predlagajte hierarhično delitev omrežja organizacije (priloga, str. 3).• Zapišite naslovni prostor “svoje” organizacije v laboratoriju Gremo6 (priloga, str. 4, 5, 6).
30torek, 22. oktober 13
Bistvena razlika! Delitev omrežja IPv4 vs izbiranje, označevanje IPv6.
• IPv6-naslov
• ICMP in samodejne nastavitve
• osnovne omrežne storitve
• varnost
• tranzicijski mehanizmi za prehod na IPv6
31torek, 22. oktober 13
ICMP in samodejne nastavitve
• ICMPv6
• lokalni omrežni mehanizmi(ND - Neighbor Discovery)
• samodejne nastavitve(SLAAC - Stateless Address Autoconfiguration)
32torek, 22. oktober 13
ICMPv6
• zelo pomemben protokol
• posebno v lokalnem omrežju
• samodejne nastavitve omrežnih parametrov- tudi preverjanje unikatnosti naslova
• vzpostavljanje sosedstva
• poizvedbe po usmerjevalniku
• preverjanje dosegljivosti
• brez ICMPv6 ni IPv6-povezljivosti
33torek, 22. oktober 13Kaj je ICMP? V IPv6 je ICMP zelo pomemben protokol - skrbi za osnovne mehanizme, kot so iskanje sosedov v omrežju, samodejna nastavitev naslova in drugih parametrov sistema, izbira prehoda (usmerjevalnika), ugotavljanje maksimalne velikosti paketa (Path MTU discovery) itd. Brez ICMP je komunikacija po protokolu IPv6 nemogoča. Zato je zelo pomembno, da prometa po protokolu ICMPv6 ne filtriramo in ne omejujemo, ne da bi točno vedeli, na kaj vse bodo te omejitve vplivale. Če protokola ne poznamo, je v tem primeru bolje, da ga dovolimo brez izjem. ICMP večinoma deluje le v lokalnem omrežju -- pomembna izjema so sporočila o prevelikih paketih, ki omogočajo PMTU.
• sosed, kje si?
• sosed, si še “živ”?
• ima že kdo enak naslov?
• usmerjevalnik, kje si?
• jaz sem tvoj usmerjevalnik
• ...in pošiljam podatke za samodejno nastavitev
• kako velik paket lahko pošljem?
• paket je prevelik
Pomembna sporočila ICMPv6
34torek, 22. oktober 13Primeri ICMPv6-sporočil.
Demo
C
B
A
5
3
1. Kje je moj usmerjevalnik?
2. Tu sem. Pošiljam podatke za nastavitev ...
3. Nastavil sem si naslov.Ima še kdo tak naslov?
4. Pošiljam paket 5 dcl ...
5. OK, pošiljam B-ju ...
7. No prav - pošiljam v dveh kosih, 3 dcl in 2 dcl ...
11. Naslovnik, kje si?12. Tu sem!
8. Tu imaš pakete, dva kosa ...
14. Sprejemam in sestavljam skupaj ...
9. Posredujem B-ju.
13. Tu imaš pakete, dva kosa ...
6. Paket je prevelik, pošlješ lahko največ 3 dcl.
10. Posredujem C-ju.
35torek, 22. oktober 13Router sol. *RA/SLAAC *DAD -> *MTU discovery/adjust *Pošiljatelj fragmentira -> Neighbor sol. - *Prejemnik sestavi.14 korakov. Q: Koliko različnih ICMPv6 sporočil je poslal računalnik v omrežju A? 6.
C
B
A
5
3
1. Kje je moj usmerjevalnik?
2. Tu sem. Pošiljam podatke za nastavitev ...
3. Nastavil sem si naslov.Ima še kdo tak naslov?
11. Naslovnik, kje si?12. Tu sem!
6. Paket je prevelik, pošlješ lahko največ 3 dcl.
Demo
36torek, 22. oktober 13A: 6.
• ARP
• protokol ND
• uporablja se ICMP
• samodejne nastavitve (SLAAC)
• podomrežje⇒ naslov
• usmerjevalnik (privzeti prehod)
• MTU
×
povzeto po: RIPE NCC, IPv6 for LIRs tutorial
podomrežje ID vmesnika
48 bitov - naslov MAC
FF FEEUI-64
✓
ND namesto ARP
37torek, 22. oktober 13SLAAC: Mehanizem, ki omogoča, da si IPv6 sistem samodejno ustvari naslov, npr. iz MAC-naslova, ne da bi za to potreboval zunanji DHCP strežnik. *Global Unicast naslov sistema je sestavljen iz naslova podomrežja, ki ga posreduje usmerjevalnik z RA (Router Announcement) in identifikacijske številke vmesnika EUI-64, ki se določi iz naslova MAC.* ID vmesnika: 1) med 4 in 5 byte MAC naslova se vrine FFFE. 2) en bitek se zamenja, običajno iz 0 v 1 (Modified EUI).
Vaja 3
• Laboratorij Gremo6 (priloga, str. 7, 8) - povežite se na računalnik v laboratoriju in preverite omrežne nastavitve
38torek, 22. oktober 13
Lokalni mehanizmi ND
• ICMPv6-sporočila
• neighbor solicitation
• neighbor advertisement
• router solicitation
• router advertisement
• redirect
39torek, 22. oktober 13NDP ICMP sporočila: * Router Solicitation (RS) / Router Advertisement (RA) * Neighbor Solicitation/ Neighbor Advertisement * ICMP Redirect
Samodejne nastavitve SLAAC1. naprava določi svoj ID
2. naprava izbere svoj lokalen naslov in preveri, ali je unikaten (DAD)
3. naprava pošlje RS
4. naprava dobi odgovor RA
5. za vsako veljavno predpono iz RA
• upošteva predpono in nastavi globalen naslov (izvede tudi DAD)
6. na podlagi RA:
• nastavi prehod na link-local naslova pošiljatelja RA
• oznaki M in O = 0: brez DHCP
• oznaka M: DHCP za IPv6-naslov
• oznaka O: DHCP za druge omrežne parametre
40torek, 22. oktober 13
Vaja 4
• Vklop IPv6 s samodejnimi nastavitvami SLAAC(priloga, str. 9, 10)
41torek, 22. oktober 13
moj ID je 1:2:3:4
42torek, 22. oktober 13
moj lokalen naslov je fe80::1:2:3:4
43torek, 22. oktober 13
fe80::1:2:3:4
kje je prehod?
44torek, 22. oktober 13
tu je prehod, na fe80::6si v omrežju 2001:1470:c:100::/64
za globalen naslov in DNS vprašaj DHCP
fe80::1:2:3:4
45torek, 22. oktober 13
nastavil sem si globalen naslov 2001:1470:c:100:1:2:3:4vem tudi za prehod fe80::6
fe80::1:2:3:4gw: fe80::6
2001:1470:c:100:1:2:3:4
kje je strežnik DHCP?potrebujem podatke
46torek, 22. oktober 13
fe80::1:2:3:4gw: fe80::6
2001:1470:c:100:1:2:3:4
IP: 2001:1470:c:100::72DNS: 2001:1470:c::ddomena: gremo6.si
47torek, 22. oktober 13
IP: 2001:1470:c:100::72DNS: 2001:1470:c::ddomena: gremo6.si
moja globalna naslova sta 2001:1470:c:100:1:2:3:4 in 2001:1470:c:100::72
fe80::1:2:3:4gw: fe80::6
2001:1470:c:100:1:2:3:42001:1470:c:100::72
DNS: 2001:1470:c::ddomena: gremo6.si
48torek, 22. oktober 13
Vaja 5
• Več globalnih naslovov na vmesniku• Izbor izvornega naslova (priloga, str. 11)
49torek, 22. oktober 13
• IPv6-naslov
• ICMP in samodejne nastavitve
• osnovne omrežne storitve
• varnost
• tranzicijski mehanizmi za prehod na IPv6
50torek, 22. oktober 13
Osnovne omrežne storitve
• DHCP
• DNS
51torek, 22. oktober 13
• strežniki in posredniki so v multicast skupini ff02::1:2
• DHCPv6 ne posreduje privzetega prehoda
• za identifikacijo odjemalcev in strežnikov se uporablja sistemski DUID (namesto MAC na vmesnikih)
• posrednik posreduje izvorni DHCP-zahtevek
• zastavici M in O v sporočilih RA (stateful in stateless DHCP)
• dinamično posodabljanje DNS
• dobra praksa: velikost omrežja naj bo /64
DHCPv6
52torek, 22. oktober 13
DUID = DHCP Unique Identifier. 12 - 20 bytov, odvisno od tipa.M = managed, O = other config flagDHCPv6 lahko delegira tudi prefikse za ND
/etc/dhcp/dhcpd6.conf
default-lease-time 2592000;preferred-lifetime 604800;option dhcp-renewal-time 3600;option dhcp-rebinding-time 7200;allow leasequery;option dhcp6.preference 255;option dhcp6.rapid-commit;option dhcp6.info-refresh-time 21600;
# Strežniki so statično nastavljenisubnet6 2001:1470:e812:a00::/64 { }
subnet6 2001:1470:e812:b00::/64 { # Nabor naslovov (DAA kot Dynamic Address Assignment) range6 2001:1470:e812:b00::daa:0 2001:1470:e812:b00::daa:ffff;
# Specifikacija domene option dhcp6.domain-search "gremo3.ipv6.si.";
# IPv6-naslov našega DNS-strežnika option dhcp6.name-servers 2001:1470:e812:a00::d25;}
53torek, 22. oktober 13
Vaja 6
• Vklop DHCPv6 (priloga, str. 11)
54torek, 22. oktober 13
• nič pretresljivo novega
• A za IPv4: ime ➝ IPv4-naslov
• AAAA (quad A): ime ➝ IPv6-naslov
• PTR: IP-naslov ➝ ime
• ip6.arpa (namesto in-addr.arpa)
DNS
55torek, 22. oktober 13
gremo3.ipv6.si.zone
$ORIGIN .$TTL 3600 ; 1 hourgremo3.ipv6.si IN SOA gremo3-nameserver.ipv6.si. hostmaster.arnes.si. ( 1263528045 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS gremo3-nameserver.ipv6.si.
$ORIGIN gremo3.ipv6.si.$TTL 1800 ; 30 minutesubuntu1204 A 153.5.242.132windows7 A 153.5.242.130windowsxp A 153.5.242.133test AAAA 2001:1470:e812:b00::123test2 AAAA 2001:1470:e812:b00::1234
56torek, 22. oktober 13
0.0.b.0.2.1.8.e.0.7.4.1.1.0.0.2.ip6.arpa.zone
$ORIGIN .$TTL 3600 ; 1 ura0.0.b.0.2.1.8.e.0.7.4.1.1.0.0.2.ip6.arpa IN SOA gremo3-nameserver.ipv6.si. hostmaster.arnes.si. ( 1263527838 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) )
NS gremo3-nameserver.ipv6.si.
$ORIGIN 0.0.b.0.2.1.8.e.0.7.4.1.1.0.0.2.ip6.arpa.$TTL 1800 ; 30 minutes3.2.1.0.0.0.0.0.0.0.0.0.0.0.0.0 PTR test.gremo3.ipv6.si.4.3.2.1.0.0.0.0.0.0.0.0.0.0.0.0 PTR test2.gremo3.ipv6.si.
57torek, 22. oktober 13
Vaja 7
• V DNS vpišite AAAA in PTR zapise za test.gremo?.ipv6.si, na primer:
test.gremo3.ipv6.si ⟷ 2001:1470:e812:b00::123.(priloga, str. 12)
58torek, 22. oktober 13
• IPv6-naslov
• ICMP in samodejne nastavitve
• osnovne omrežne storitve
• varnost
• tranzicijski mehanizmi za prehod na IPv6
59torek, 22. oktober 13
Varnost
• zasebnost in sledljivost
• varnost v lokalnem omrežju(varovanje lokalnih omrežnih mehanizmov ND)
60torek, 22. oktober 13
ID: 1:2:3:42001:1470:c:100:1:2:3:4
ID: 1:2:3:42001:db8:1:2:1:2:3:4
vem, kdo siZasebnost in sledljivost
61torek, 22. oktober 13
Zasebnost in sledljivost
• samodejni naključni nasloviIPv6 Privacy Extensions
• dobro za zasebnost
• ...vendar nezaželeno v lokalnem omrežju
• kako onemogočiti samodejno izbiro naključnih naslovov?
• ...ali vsaj imeti evidenco, dnevniške zapise?
62torek, 22. oktober 13
Varnost v lokalnem omrežju
• ND je ranljiv protokol
• lažna sporočila RA
• lažen strežnik DHCPv6
• lažno predstavljanje - NDP spoofing
• DoS
• ND cache overflow
• napadi na DAD
• napadi na DHCPv6
63torek, 22. oktober 13
Varnost v lokalnem omrežju
• orodja
• The Hacker’s Choicehttps://www.thc.org/thc-ipv6/
• SI6 Networks' IPv6 Toolkithttp://www.si6networks.com/tools/ipv6toolkit/
• nmap + NSE scriptshttp://nmap.org/nsedoc/scripts/
64torek, 22. oktober 13
THC - Linux only. IPv6 Toolkit - BSD (tudi Mac OS X) in Linuxnmap skripte:broadcast-dhcp6-discover dns-ip6-arpa-scan ipv6-node-info ipv6-ra-flood targets-ipv6-multicast-echo targets-ipv6-multicast-invalid-dst targets-ipv6-multicast-mld targets-ipv6-multicast-slaac
Varnost v lokalnem omrežju
• na trgu je že nekaj stikal z osnovnim naborom varovalk:
• RA Guard
• DHCPv6 Guard
• Snooping and device tracking
• Source Guard
• Destination Guard
• Prefix Guard
http://blog.ipspace.net/2013/07/first-hop-ipv6-security-features-in.html
http://docwiki.cisco.com/wiki/FHS
65torek, 22. oktober 13IPv6 RA Guard rejects fake RA messages coming from host (non-router) ports (not sure whether it handles all possible IPv6 header fragmentation attacks). Interestingly, it can also validate the contents of RA messages (configuration flags, list of prefixes) received through router-facing ports, potentially giving you a safeguard against an attack of fat fingers.DHCPv6 Guard blocks DHCPv6 messages coming from unauthorized DHCPv6 servers and relays. Like IPv6 RA Guard it also validates the DHCPv6 replies coming from authorized DHCPv6 servers, potentially providing protection against DHCPv6 server misconfiguration.IPv6 Snooping and device tracking builds a IPv6 First-Hop Security Binding Table (nicer name for ND table) by monitoring DHCPv6 and ND messages as well as regular IPv6 traffic. The binding table can be used to stop ND spoofing (in IPv4 world we’d call this feature DHCP Snooping and Dynamic ARP Inspection).IPv6 Source Guard uses the IPv6 First-Hop Security Binding Table to drop traffic from unknown sources or bogus IPv6 addresses not in the binding table. The switch also tries to recover from lost address information, querying DHCPv6 server or using IPv6 neighbor discovery to verify the source IPv6 address after dropping the offending packet(s).IPv6 Prefix Guard denies illegal off-subnet traffic. It uses information gleaned from RA messages and IA_PD option of DHCPv6 replies (delegated prefixes) to build the table of valid prefixes (IPv6 Prefix Guard is a layer-2 feature. You should use uRPF check on layer-3 interfaces).IPv6 Destination Guard drops IPv6 traffic sent to directly connected destination addresses not in IPv6 First-Hop Security Binding Table, effectively stopping ND exhaustion attacks.
• IPv6-naslov
• ICMP in samodejne nastavitve
• osnovne omrežne storitve
• varnost
• tranzicijski mehanizmi za prehod na IPv6
66torek, 22. oktober 13
Svet ni eden, svetova sta dva - v4 in v6. No, še tretji obstaja - no IP :-)
Tranzicijski mehanizmi
• tuneli
• 6in4, 6to4 (IPv6-over-IPv4)
• 6rd (IPv6-over-IPv4)
• DS-Lite (IPv4-over-IPv6)
• MAP (Mapping of Address and Port)
• translacija
• NAT64/DNS64
67torek, 22. oktober 13
Obsolete: Teredo (UDP/IPv4, dela skozi večino NAT-ov).
upor
abno
stobliži in proteze za IP-tehnologijo
čas68torek, 22. oktober 13
Ozrimo se v začetke vzpona v4 interneta. Toga delitev na omrežja v naprej predpisanih velikosti (se spomnite klas?) onemogoča učinkovito izrabo v4-naslovnega prostora. Katastrofo so hitro (1993) preprečili z >
CIDR
69torek, 22. oktober 13
CIDR - classless inter-domain routingMnogo boljša izkoriščenost naslovnega prostora - velikosti podomrežij so lahko različne glede na število sistemov v omrežju (ne v naprej predpisane).
upor
abno
stobliži in proteze za IP-tehnologijo
CIDR
čas70torek, 22. oktober 13
Sledi rast števila IP-naprav. Zavedo se, da bo prostora hitro zmanjkalo. Tehniki so se odločili, da ne bodo izumljali nekaj novega, temveč da bodo zadevo “popravili” v pravem tehniškem duhu ;-) Rešitev je NAPT >
NAPT
71torek, 22. oktober 13
...ki je omogočil nadaljno rast interneta, bolje rečeno, da je sploh preživel vse do danes.
upor
abno
stobliži in proteze za IP-tehnologijo
CIDR
NAPT
čas72torek, 22. oktober 13
In danes imamo nov - zelo resen problem. Prostih v4-naslovov ni več. Zdi se, da je rešitev na dlani >
IPv6up
orab
nost
obliži in proteze za IP-tehnologijo
CIDR
NAPT
čas73torek, 22. oktober 13
> IPv6.v6 so izumili že 1998! Imeli smo dovolj časa za preskok v nov razvojni cikel. Vendar ...>
Ali smo uspeli?
74torek, 22. oktober 13
IPv6up
orab
nost
obliži in proteze za IP-tehnologijo
CIDR
NAPT
tranzicijski mehanizmi
čas
Zakaj se prehoda
nismo lotili že pred 10 leti?
75torek, 22. oktober 13
Žal ne. Predolgo smo odlašali in danes smo v dilemi pred komaj pregledno kopico tranzicijskih pripomočkov, protez IP-tehnologije. Zakaj? Odgovor poiščemo z vprašanjem: Katera v6-aplikacija (storitev?) je bila takrat najpogosteje uporabljena? ...>
ping6
pred 10 leti
76torek, 22. oktober 13
ping6 ::1
77torek, 22. oktober 13
Introvertirani so si ga pingali sami,
ping6 -I eth0 ff02::1
78torek, 22. oktober 13
zvedavi so iskali sosede v lokalnem omrežju
traceroute6
79torek, 22. oktober 13
naprednejši in zahtevnejši pa celo pot do tujih omrežij ;-)
cc/flickr Lizzy Steward
zgolj-IPv6 omrežjain storitve
80torek, 22. oktober 13
Od pinga do tega futurističnega sveta je prekleto dolga pot!
Se strinjamo?
81torek, 22. oktober 13
...da so naš cilj zgolj v6-omrežja?
IPv4
IPv6
IPv4
statični tuneli skozi IPv4
ponudnik storitev internet
privatni IPv4
IPv4IPv6
uporabniki
NAT
tunnel broker server
protocol 41
82torek, 22. oktober 13
[pojasni delitev na uporabnike, ISP in internet]v hrbtenici samo v4, pri uporabnikih NAT. v6 skozi statične (6in4) ali dinamične (6to4) proto-41 tunele. Statične tunele nudijo razni Tunnel Brokerji (a la HE, SixXS).
IPv4
IPv6
IPv4
dinamični tuneli skozi IPv4
ponudnik storitev internet
privatni IPv4
IPv4IPv6
uporabniki
NAT
protocol 41
tunnel servers/relay routers192.88.99.1
2002:<ipv4>::
83torek, 22. oktober 13
Pri 6to4 je v4-naslov del v6-naslova 2002::/16 - skupaj /48, potreben je javen v4-naslov, anycast do najbližjega strežnika/prehoda 192.88.99.1 (relay router).
IPv4 preko IPv6 DS-Lite MAP
IPv6 preko IPv4 LISP 6rd
stateful stateless
84torek, 22. oktober 13
Bolj “resni” kandidati. ISP mora imeti globalno IPv6-povezljivost.V tabeli so tehnološki triki razvrščeni po dveh kriterijih. Favorit je zgoraj desno.LISP ni programski jezik (leto mlajši od Fortrana ;-)), temveč Locator/Identifier Separation Protocol: IPv6 @Facebook
IPv4
IPv6
IPv4
stateless tunel skozi IPv4 - 6rd
ponudnik storitev internet
privatni IPv4
IPv4IPv6
6rd-prehod
uporabniki
NAT
85torek, 22. oktober 13
[pojasni delitev na uporabnike, ISP in internet]6rd: v4 v hrbtenici, pri uporabnikih NAT. v6 skozi samodejne proto-41 tunele. Stateless preslikava med naslovi. Namesto 2002::/16 globalni prefiks + nek IPv4-blok. Problem: dodatno delo za ISP-je, vendar le zaradi v6 (!?) Stroški za 6rd prehode ...
IPv4
IPv6
IPv4
stateless tunel skozi IPv4 - 6rd
ponudnik storitev internet
privatni IPv4
IPv4IPv6
6rd-prehodi
uporabniki
NAT
86torek, 22. oktober 13
... število prehodov in stroški se večajo ob širjenju v6 -> kontraproduktivno (v nasprotju s ciljem preiti na zgolj-v6) in nesmiselno.Zamenjajmo vlogi v4 in v6 >
IPv6IPv6
IPv4
stateful tunel skozi IPv6 - DS-Lite
uporabniki ponudnik storitev internet
privatni IPv4
IPv4IPv6
veliki NAT
87torek, 22. oktober 13
> ...in _premaknimo_ NAT44 s CPE na veeelik usmerjevalnik ISP-ja (CGN). v4 promet z internetom posredujemo skozi v6 tunel. Problem: še vedno ohranjamo v4 in NAT44, nedeterministično usmerjanje - nekatere aplikacije dajejo prednost v4 (skozi NAT!) pred native v6, stateful. Velik problem: CGN!Poskusimo se znebiti CGN in zasnovati nekaj, čemur bi lahko rekli “stateless DS-Lite” >
IPv6
IPv6
IPv4
uporabniki ponudnik storitev internet
privatni IPv4
IPv4IPv6
MAP
NATMAP CPE
• lasten IPv6-prefiks• en sam javen IPv4-naslov• nabor TCP/UDP vrat
“stateless DS-Lite” - MAP
88torek, 22. oktober 13
(marketinški naziv - stateless DS-Lite) NAT44 ohranimo pri uporabnikih/organizacijah, ki uporabljajo privatne v4-naslove (tako in tako je že tam ali pa še bo) in ga dopolnimo s statičnim algoritmičnim prevajanjem med v4-naslovi z nizom TCP/UDP vrat in v6-naslovom (kot A+P). Na WAN strani CPE je zgolj v6. Organizacije si delijo iste v4 WAN naslove, vendar ima vsaka svoj nabor vrat. Zadaj NAT. Enkapsulacija v v6, de-enkapsulacija na ISP-jevi MAP napravi (npr. ASR 1k).Problem: ne odpravlja problema izrabe naslovnega prostora, ga pa v veliki meri olajša; krčenje nabora vrat; ne dela brez dual-stack-a. Je pa stateless! Popravki na CPE so minimalni. MAP naprav je lahko več in so porazdeljene po mejah ISP-jevega omrežja.
TCP/UDP vrataIPv4-naslov
IPv6-naslov
MAP - preslikava IPv6-naslova → IPv4-naslov + vrata
izbran IPv6-prefiks
dopolnjenodo 32 bitov biti uporabnikabiti uporabnika
http://6lab.cisco.com/map/MAP.php
izbran IPv4-prefiks ID-naboravrat
/42 /56
/22 /32
}}14 bitov
/64
}10 bitov
4 biti
ID-organizacije za IPv6-naslove v organizaciji
89torek, 22. oktober 13
Tehnologija MAP veliko obeta, zato kratka razlaga.Organizacija ima (dodaten) javen v6-prefiks znotraj katerega razporedi svoja lokalna v6-omrežja. Ta prefiks je sestavljen iz nekega v naprej definiranega dela in ID-ja organizacije (unique). Tako zgrajen v6 naslov se preslika v v4-naslov /32 in niz TCP/UDP vrat. In obratno - 1:1. Podobno delitvi omrežij v CIDR, le da gremo od /32 naprej v bitno polje vrat. Nabor vrat je izbran tako, da so well-known vrata (pod 1024) rezervirana za strežnike.Primer: 16 organizacij si deli en v4-naslov, 16384 v /22. Vsaka lahko uporabi ∼4000 vrat.
• Ali ima IPv6 prednost?• Ali opuščamo IPv4?• Ali zagotavlja kakovost storitev med prehodom?• Je razširljiva, nadgradljiva?• Koliko stane?
Katera tehnologija je prava?
90torek, 22. oktober 13
Pri DS-Lite in MAP je v6 v prednosti. Vse dosedaj opisane tehnologije temeljijo na dual-stacku-u in nujno potrebujejo v4. Kakovost je povezana s kompleksnostjo translacije. Staless tehnologija je razširljiva in cenejša, stateful nikakor ne (potreba po strojnih virih raste z naraščanjem števila sej).
Kaj pa NAT?
91torek, 22. oktober 13
Bogokletna (bolje rečeno: arnesokletna) misel!
NAT64
• stateless
• stateful
92torek, 22. oktober 13
}32
40
48
56
64
96
96
01: d b8: c0 a8: 2 21::20
01: d b8: 120
2001:db8::/
2001:db8:100:/
2001:db8:122:/
2001:db8:122:300::/
2001:db8:122:344::/
2001:db8:122:344::/
/64
/80
01: d b8: 1 22:20
192. 168. 2. 33}prefiks za translacijo NAT64
zapišemo šestnajstiško in vstavimo v IPv6-naslov
c0 a8: 2 21
/32 40 48 56 64 72 80 88 96 104 112 120 128
2001:db8:122:344::/ 192. 168.2. 33
/104
/96
/128
/128
01: d b8: 1 22:20 3
c0:
c0
c0:
c0:
a8:
a8 02: 21::
2100::
21::a8: 2
2: /88
2100::a8 02:01: d b8: 1 22:20 3 44:
01: d b8: 1 22:20 3 44::
01: d b8: 1 22:20 3 44::
vstavljanje IPv4-naslova v IPv6-naslov
93torek, 22. oktober 13IPv4-embedded naslov: IPv4-naslov vstavimo v IPv6-naslov. Pri tem moramo poznati NAT64-prefiks in dolžino tega prefiksa. IPv6-naslov se začne z NAT64-prefiksom znane dolžine, nato sledi 32-bitov IP4-naslova, ki so, odvisno od dolžine NAT64-prefiksa, razširjeni z 8 ničelnimi biti. Priporočamo uporaba javnega NAT64-prefiksa, RFC priporoča /40 pri ponudnikih internetnih storitev (1/256 prostora tipičnega ISP-ja z alokacijo /32), /56 v organizacijah z alokacijami /48 oz. /96 za interno stateless translacijo znotraj organizacije, kjer so vsi IPv4-translatable naslovi na skupni povezavi. V priporočljivem primeru, kjer je dolžina NAT64-prefiksa /64, se IPv4-naslov preslika v IPv6-omrežje /104. Usmerjevalnik v tem primeru oglašuje IPv6-omrežje /104 ali krajši prefiks, npr. /96, če bi imeli v organizaciji več sistemov z IPv4-translatable naslovi, ki izvirajo iz istega IPv4-subneta, npr. iz 192.168.2.0/24.V primeru, ko je network specific prefix /96, morajo biti biti med 64 in 71 enaki nič. Najbolje je, da se izbere prefiks /64 in se ga dopolni s 4 okteti ničel. Različica z /96 ima tudi najbolj pregleden zapis.
vstavljanje IPv4-naslova v IPv6-naslov
IPv4-naslov
IPv4-embedded naslov /96
/24 /32
/128
IPv4-omrežje
/120
izbran NAT64-prefiks
94torek, 22. oktober 13
Za preslikavo se dogovorimo za nek t.i. NAT64-prefiks, običajno /64 ali /96. v6 naslov dobimo iz v4-naslova tako, da ta prefiks dopolnimo s celotnim v4-naslovom. Vsak v4-naslov lahko preslikamo v v6 in iz vsakega tako sestavljenega v6-naslova lahko razberemo vanj vstavljeni v4-naslov.
vstavljanje IPv4-naslova v IPv6-naslov
IPv4-naslov
“IPv4-embedded” naslov /96
/24 /32
33
/128
192.168.2.
33192.168.2.
/120
2001:db8:122:344::
95torek, 22. oktober 13
Primer: preslikava v4-naslovov iz /24 v v6 /120.Iz tako sestavljenega v6-naslova lahko izluščimo v4-naslov (kar seveda ne velja za poljuben v6-naslov!).
omrežjeuporabniki ponudnik vsebine
stateful NAT pred odjemalci - NAT64/DNS64
IPv4IPv6
192.168.2.33 →193.2.1.87
AAAA(strežnik.si) =IPv4-converted:2001:db8:122:344::193.2.1.87
2001:db8:122::1 →2001:db8:122:344::193.2.1.87
193.2.1.87 → 192.168.2.33AAAA(strežnik.si) = ?
DNS64
NAT64 prefiks: 2001:db8:122:344::/96IPv4-naslovi za NAT: 192.168.2.0/24
2001:db8:122:344::193.2.1.87 →2001:db8:122::1
2001:db8:122::1
193.2.1.87
IPv4-converted:2001:db8:122:344::193.2.1.87
NAT64 prefiks: 2001:db8:122:344::/96
96torek, 22. oktober 13
Delovanje NAT64/DNS64. Zgolj v6-odjemalci komunicirajo z zaprašenimi zgolj-v4 strežniki.Ker poljubnega v6-naslova ne moremo prevesti v v4-naslov, potrebujemo stateful NAT. Stateful = drago in z omejitvami :-(, olajševalna okoliščina: NAT64 se lahko razporedi po lokalnih omrežjih.
Vaja 8• Katero NAT64-predpono uporablja DNS64-strežnik dns64.arnes.si? - Poizvedite po nekaj AAAA-zapisih (IPv4-converted IPv6-naslovih) strežnikov, ki nimajo javnih IPv6-naslovov, na primer www.nlb.si, 24ur.com, www.microsoft.si, ...(priloga, str. 13)
97torek, 22. oktober 13
omrežjeuporabniki ponudnik vsebine
IPv6IPv4
stateless NAT64 pred strežniki - NAT46
2001:db8:122:344::192.168.2.33 →2001:db8:122:344::193.2.1.87
193.2.1.87 →192.168.2.33
192.168.2.33 →193.2.1.87
2001:db8:122:344::193.2.1.87 →2001:db8:122:344::192.168.2.33
NAT64 prefiks: 2001:db8:122:344::/96
A(strežnik.si) = 193.2.1.87
NAT64 prefiks: 2001:db8:122:344::/96
IPv4-translatable:2001:db8:122:344::193.2.1.87
192.168.2.33
98torek, 22. oktober 13
NAT64 lahko uporabimo tudi v nasprotni smeri (recimo temu NAT46)- pred zgolj-v6 strežniki. V tem primeru je zelo učinkovit, saj za prevajanje med v4 v v6 ni potrebno beležiti in upoštevati posameznih sej -- vsak v4-naslov lahko algoritmično in deterministično prevedemo v unikaten v6-naslov.
NAT = zlo
Minister za ajpi opozarja:“Prekomerna uporaba NAT-a škoduje razvoju internetnih storitev!”
O tveganju in neželenih učinkih se posvetujte s strokovnjakom za omrežno tehnologijo in storitve.
99torek, 22. oktober 13
100torek, 22. oktober 13
Kam naprej?
101torek, 22. oktober 13