gremo6, workshop at 8th slovenian ipv6 summit

8. IPv6-srečanje

Matjaž Straus IsteničArnes, go6

Tehnološki park Ljubljana, 23. 10. 2013

Gremo 6delavnica za skrbnike lokalnih računalniških omrežij

1torek, 22. oktober 13

Hec: dva priimka (včasih zelo praktično) vs. dve različici IP-protokola (neprimerno, saj protokola nista združljiva - komunikacija brez posrednikov ni možna).

IPv6Tehnično DaNe

Ne!

Uf, a še vedno?

Gledam druge Vprašam druge

Poskusim

Uspeh!

Vedno sem bil “za”!Vendar ...

×✓

IPv6 kot sprememba

2torek, 22. oktober 13Pogled na uvajanje IPv6, kjer ne gre zgolj za jasne tehnične odločitve, temveč za sociološki problem.Q: Se lahko prepoznamo v tem procesu?

CC askal.bosch/flickr t3torek, 22. oktober 13

Obe poti vodita do v6 -- problem pa je čas!

http://www.flickr.com/photos/goldbeere/

http://www.flickr.com/photos/goldbeere/

Izobraževanje je ključno, da proces uvajanja skrajšamo!

IPv6Tehnično Da

Ne!

Uf, a še vedno?

Gledam druge Vprašam druge

Poskusim

Uspeh!

Vedno sem bil “za”!Vendar ...

4torek, 22. oktober 13Z ustreznim izobraževanje preskočimo nekaj korakov “sociološke daljšnjice”:- pomembno je zaobiti dno “gledam druge”/“vprašam druge”- če se le da, pa že prvi “ne” obrniti v “da”

• IPv6-naslov

• ICMP in samodejne nastavitve

• osnovne omrežne storitve

• varnost

• tranzicijski mehanizmi za prehod na IPv6

Osnove IPv6


• IPv6-naslov



• varnost



IPv6-naslov

• zapis IPv6-naslova

• vrste naslovov

• delitev naslovnega prostora

• naslavljanje v organizaciji


Zapis IPv6-naslova

• 128 bitov v 8 skupinah po 16 bitov

• šestnajstiški zapis

• krajšanje in “lepopis”


00100000.00000001.00010100.01110000.

00000001.00100011.00000000.00001111.

00000000.00000000.00000000.00000000.

00000000.00000000.00000000.00000110

2001:1470:0123:000f:0000:0000:0000:00062001:1470

Zapis IPv6-naslova

10torek, 22. oktober 134 biti -> 1 znak, 16 bitov -> en blok, 8 blokov -> celoten naslov, ločilo je dvopičje “:”.Opišemo zapis IPv6-naslova.

2001:1470:0123:000f:0000:0000:0000:0006

2001:1470:123:f:

2001:1470:0123:000f:0000:0000:0000:0006

0:0:0:6

Zapis IPv6-naslova

11torek, 22. oktober 13Poenostavimo zapis IPv6-naslova: odstranjevanje vodilnih ničel v posameznih 16-bitnih skupinah, nato se odstrani še strnjen niz samih ničel in se nadomesti z dvopičjem. Tak blok lahko odstranimo na enem samem mestu, da je rezultat nedvoumen.:: = štiripičje

Zapis IPv6-naslova

2001:0db8:0000:0000:0002:0000:0000:0066

/32 /64/48

2001:db8:0:0:2:0:0:66

2001:db8::2:0:0:66

odstranimo vodilne ničle

odstranimo sosledje ničel

12torek, 22. oktober 13db8 = debate

Vrste IPv6-naslovov

• glede na namembnost - kako, za kaj?

• glede na stopnjo lokalnosti (področje ali scope) - kje?


• iz naslova je razvidno, za kaj in kje se uporablja

• komunikacija v lokalnem omrežju

• globalna komunikacija

• komunikacija v skupini

• komunikacija le z nekaterimi v skupini

Naslov za določen namen


• kako

• med dvema - unicast

• z mnogimi - multicast

• z najbližjim - anycast• nič več “z vsemi” - broadcast

• kje

• lokalno na povezavi - link-local

• lokalno na lokaciji - unique local

• globalno, javno

×

Tipi IPv6-naslova

15torek, 22. oktober 13Dva kriterija: “kako” in “kje”.Zakaj ni več potrebno “trobljenje” (broadcast/razpršeno oddajanje)? Sporočila pošiljamo le tistim, ki se za njih “zanimajo”, oz. so ta sporočila za njih pomembna, ne pa vsem --> multicast (oglaševanje znotraj skupine).

Naslov Obseg naslovov Kje se uporablja?

loopback ::1 na sistemu samem

lokalen (link-local) fe80::/10 na povezavi

lokalen (unique local) fc00::/7 na lokaciji/organizaciji

javen globalen naslov 2000::/3 globalno

naslov skupine (multicast) ff00::/8 lokalno ali globalno

127.0.0.1

224.0.0.0/4

Tipi IPv6-naslova

169.254.0.0/16

10.0.0.0/8192.168.0.0/16

16torek, 22. oktober 13“Global Unicast” ustreza javnemu IPv4 naslovu *“Link local” ustreza privatnim naslovom, ki so vidni le znotraj povezovalnega segmenta.Naslovi “Unique Local Address” se lahko usmerjajo znotraj neke skupine omrežij. Naslovi imajo v omrežnem delu naključno 40-bitno število s čimer se zmanjša nevarnost združevanja skupin ali problemov v primeru, da paketi po pomoti “zaidejo” v internet. Lokalna uporaba vendar možnost usmerjanja - globalen “scope”.

• 5 obveznih naslovov

• na vsakem vmesniku lokalen naslov na povezavi (link-local)

• katerikoli dodeljen unicast ali anycast naslov

• naslov skupine “vsi sistemi” (all-nodes multicast)

• za vsak unicast in anycast naslov še pripadajoč pooblaščen naslov (solicited-node multicast)

• + naslovi vseh ostalih skupin, v katerih je sistem

# ip -6 addr show dev eth13: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 2001:1470:8000:60a:0:1:fee1:600d/64 scope global valid_lft forever preferred_lft forever inet6 fe80::216:35ff:fe82:45a2/64 scope link valid_lft forever preferred_lft forever

# ip -6 maddr show dev eth13: eth1 inet6 ff02::1:ffe1:600d inet6 ff02::1:ff82:45a2 inet6 ff02::1

Vmesnik ima več naslovov

17torek, 22. oktober 13Q: najmanj koliko IPv6-naslovov ima IPv6-sistem? A: (primer na sliki + loopback ::1)

V IPv6-naslov vstavljeni IPv4-naslov

Naslov Obseg naslovov Primer Namen

IPv4-compatible ::/96 ::193.2.1.66ni več v uporabi

IPv4-mapped ::ffff:0:0/96 ::ffff:193.2.1.66poenotenje

TCP/IP-sklada

IPv4-embedded

- IPv4-translatable - IPv4-converted

<nat64-prefix>:<ipv4>/(64|96)+ipv4_pfxlen 2001:db8::193.2.1.66 NAT64


Razlika med converted in translatable naslovi:IPv4-translatable naslov je naslov IPv6-naprave, npr. strežnika, ki je preko translacijskega mehanizma dosegljiv iz IPv4-omrežja. Ta naslov se lahko pretvori v IPv4-naslov, kar ne velja za poljuben IPv6-naslov. Naslovi zunanjih IPv4-naprav, ki dostopajo do tega (IPv6) sistema, so predstavljeni kot IPv4-converted IPv6-naslovi. Zapis obeh (translatable in converted) je enak = IPv4-embedded naslov.

Posebni naslovi

Naslov Obseg naslovov Primer Opis

6to4 2002::/16 2002:c102:142::/48 tuneliranje 6to4:prefiks za 193.2.1.66

Teredo 2001::/32 2001:0:9d38:6abd:47f:2c9b:66fa:f7b

tuneliranje Teredo:IPv4-naslov

strežnika, odjemalca, UDP vrata, ...

dokumentacija 2001:db8::/32 2001:db8::66v dokumentaciji,

primerih, predavanjih (debate |dɪˈbeɪt)


• vedno odstrani vodilne ničle v 16-bitnih besedah

• skrajšaj, kot se le da

• ene same 16-bitne besede ne nadomesti z ::

• če je za :: več možnosti, uporabi :: na prvem možnem mestu z leve proti desni

• male črke a - f

• v IPv4-mapped in IPv4-embedded naslovih lahko spodnjih 32 bitov zapišeš decimalno

Lepopis

RFC 5952 - A Recommendation for IPv6 Address Text Representation


Vaja 1

• IPv6-naslovi na vašem operacijskem sistemu?• Zapis IPv6-naslova (priloga, str. 1, 2)


• področje (scope) je določeno z naslovom

• interface-local

• link-local

• unique local (prej site-local)

• global

Področje (scope)


• naprava (node)

• povezava (link)

• organizacija (site)

• internet (global)

Cona (zone)


Vmesnik v coni

globa

l zone

- inte

rnet

link zone

interf

ace +

glob

al

addre

ss

interface + link-local

address

interface

scope zone

24torek, 22. oktober 13- področje je enolično določeno z IPv6-naslovom, na primer: v področju link-local so le naslovi oblike fe80::- vmesnik in njegov IPv6-naslov (torej področje!) enolično določata cono, v kateri je ta vmesnik- cona je konkretizacija področja, na primer, cona linka-med-vmesnikoma-1-in-2 je množica parov (vmesnik, naslov) z naslovi v področju link-local- globalnejša cona lahko vsebuje bolj specifične cone, vendar le v celoti- med conami ni delnih presekov, lahko se "dotikajo" --> cone so med seboj izoliraneVmesnik in njegov lokalen naslov (na primer fe80::1) določata cono "link zone", ta isti vmesnik v paru z globalnim naslovom (na primer 2001:db8::2) pa cono "global zone - internet". Cona link je v celoti v coni internet (je podmnožica). Vmesnik sam je v obeh conah hkrati.

Princip izolacije con

• paket z naslovom v določeni coni nikoli ne zapusti te cone

• potreben in zadosten pogoj za komunikacijo je,

- da je izvorni vmesnik (od koder je paket poslan) v isti coni kot ciljni naslov in...

- da je ciljni vmesnik (kjer je bil paket prejet) v isti coni kot izvorni naslov


Ni potrebno, da sta izvorni in ciljni naslov v isti coni! Potrebno je le ujemanje cone vmesnika pošiljatelja in ciljnega naslova in vmesnika sprejemnika in izvornega naslova.Celotna pot paketa, katerega izvorni ali ciljni naslov pripadata neki coni, mora biti znotraj meja cone!

• prednostni seznam

1. par naslovov istega tipa glede na lokalnost

2. izbere se bolj lokalen ciljni naslov

3. prednostni naslov (“preffered”)

4. prednost pred tranzicijskimi naslovi (Teredo, 6to4)

5. par naslovov v ožjem skupnem podomrežju

6. kot izvorni naslov ima pred začasnim prednost globalen naslov

7. mobilna naprava: prednost ima domači (home) naslov

Kateri naslov izbrati?

RFC 6724 - Default Address Selection for Internet Protocol Version 6

26torek, 22. oktober 13Kaj so to “tranzicijski” naslovi? Kratek opis. Problem varnosti sistema, ki ima samo tranzicijski naslov, npr. Teredo mikrosoftis (P2P aplikacije na windozah: default v6, torej?).

Default address selection for IPv6: RFC6724

alokacija dodeli ponudnik (LIR) neodvisno od ponudnika

IANA

Članica

Arnes

RIPE

/3

/32

/12

/48n × /48 /48

vir: RIPE NCC, IPv6 for LIRs tutorial

Globalna delitev naslovnega prostora


Delitev naslovnega prostora v organizaciji

...

...

...

2001:1470:pppp::/48

2001:1470:pppp:0000::/52

2001:1470:pppp:0000::/56 2001:1470:pppp:0100::/56

2001:1470:pppp:0100::/64 2001:1470:pppp:0101::/64 2001:1470:pppp:0109::/64

2001:1470:pppp:0900::/56

2001:1470:pppp:1000::/52 2001:1470:pppp:f000::/52

učilnice knjižnicaadministrativni del

strežniki delovne postaje omrežja za goste

}}

}

}

organizacija

do 16 lokacij

do 16 skupinna vsaki lokaciji

do 256 lokalnih omrežijv vsaki skupin


Naslavljanje v organizaciji

2001:1470:pppp:LSNN:aaaa:bbbb:cccc:ddddOznaka ISP ja

(Arnesov prefiks)

Prefiks organizacije

Lokacija

Oznaka omrežja Oznaka naprave

Skupina

Številka omrežja

• pppp - organizaciji dodeli Arnes

• L = 0 ali lokacija

• S - skupina, glede na namembnost (varnostno politiko) omrežja

• NN - podomrežje v skupini S

Zelo dober priročnik:http://www.surfnet.nl/Documents/rapport_201309_IPv6_numplan_EN.pdf


http://www.surfnet.nl/Documents/rapport_201309_IPv6_numplan_EN.pdf

http://www.surfnet.nl/Documents/rapport_201309_IPv6_numplan_EN.pdf

Vaja 2• Razdelite 192.168.0.0/23 na 5 delov.• Izberite 5 omrežij /64 iz 2001:db8:1234::/48.• Predlagajte hierarhično delitev omrežja organizacije (priloga, str. 3).• Zapišite naslovni prostor “svoje” organizacije v laboratoriju Gremo6 (priloga, str. 4, 5, 6).


Bistvena razlika! Delitev omrežja IPv4 vs izbiranje, označevanje IPv6.

• IPv6-naslov



• varnost



ICMP in samodejne nastavitve

• ICMPv6

• lokalni omrežni mehanizmi(ND - Neighbor Discovery)

• samodejne nastavitve(SLAAC - Stateless Address Autoconfiguration)


ICMPv6

• zelo pomemben protokol

• posebno v lokalnem omrežju

• samodejne nastavitve omrežnih parametrov- tudi preverjanje unikatnosti naslova

• vzpostavljanje sosedstva

• poizvedbe po usmerjevalniku

• preverjanje dosegljivosti

• brez ICMPv6 ni IPv6-povezljivosti

33torek, 22. oktober 13Kaj je ICMP? V IPv6 je ICMP zelo pomemben protokol - skrbi za osnovne mehanizme, kot so iskanje sosedov v omrežju, samodejna nastavitev naslova in drugih parametrov sistema, izbira prehoda (usmerjevalnika), ugotavljanje maksimalne velikosti paketa (Path MTU discovery) itd. Brez ICMP je komunikacija po protokolu IPv6 nemogoča. Zato je zelo pomembno, da prometa po protokolu ICMPv6 ne filtriramo in ne omejujemo, ne da bi točno vedeli, na kaj vse bodo te omejitve vplivale. Če protokola ne poznamo, je v tem primeru bolje, da ga dovolimo brez izjem. ICMP večinoma deluje le v lokalnem omrežju -- pomembna izjema so sporočila o prevelikih paketih, ki omogočajo PMTU.

• sosed, kje si?

• sosed, si še “živ”?

• ima že kdo enak naslov?

• usmerjevalnik, kje si?

• jaz sem tvoj usmerjevalnik

• ...in pošiljam podatke za samodejno nastavitev

• kako velik paket lahko pošljem?

• paket je prevelik

Pomembna sporočila ICMPv6

34torek, 22. oktober 13Primeri ICMPv6-sporočil.

Demo

C

B

A

5

3

1. Kje je moj usmerjevalnik?

2. Tu sem. Pošiljam podatke za nastavitev ...

3. Nastavil sem si naslov.Ima še kdo tak naslov?

4. Pošiljam paket 5 dcl ...

5. OK, pošiljam B-ju ...

7. No prav - pošiljam v dveh kosih, 3 dcl in 2 dcl ...

11. Naslovnik, kje si?12. Tu sem!

8. Tu imaš pakete, dva kosa ...

14. Sprejemam in sestavljam skupaj ...

9. Posredujem B-ju.

13. Tu imaš pakete, dva kosa ...

6. Paket je prevelik, pošlješ lahko največ 3 dcl.

10. Posredujem C-ju.

35torek, 22. oktober 13Router sol. *RA/SLAAC *DAD -> *MTU discovery/adjust *Pošiljatelj fragmentira -> Neighbor sol. - *Prejemnik sestavi.14 korakov. Q: Koliko različnih ICMPv6 sporočil je poslal računalnik v omrežju A? 6.

C

B

A

5

3

1. Kje je moj usmerjevalnik?

2. Tu sem. Pošiljam podatke za nastavitev ...

3. Nastavil sem si naslov.Ima še kdo tak naslov?

11. Naslovnik, kje si?12. Tu sem!

6. Paket je prevelik, pošlješ lahko največ 3 dcl.

Demo

36torek, 22. oktober 13A: 6.

• ARP

• protokol ND

• uporablja se ICMP

• samodejne nastavitve (SLAAC)

• podomrežje⇒ naslov

• usmerjevalnik (privzeti prehod)

• MTU

×

povzeto po: RIPE NCC, IPv6 for LIRs tutorial

podomrežje ID vmesnika

48 bitov - naslov MAC

FF FEEUI-64

✓

ND namesto ARP

37torek, 22. oktober 13SLAAC: Mehanizem, ki omogoča, da si IPv6 sistem samodejno ustvari naslov, npr. iz MAC-naslova, ne da bi za to potreboval zunanji DHCP strežnik. *Global Unicast naslov sistema je sestavljen iz naslova podomrežja, ki ga posreduje usmerjevalnik z RA (Router Announcement) in identifikacijske številke vmesnika EUI-64, ki se določi iz naslova MAC.* ID vmesnika: 1) med 4 in 5 byte MAC naslova se vrine FFFE. 2) en bitek se zamenja, običajno iz 0 v 1 (Modified EUI).

Vaja 3

• Laboratorij Gremo6 (priloga, str. 7, 8) - povežite se na računalnik v laboratoriju in preverite omrežne nastavitve


Lokalni mehanizmi ND

• ICMPv6-sporočila

• neighbor solicitation

• neighbor advertisement

• router solicitation

• router advertisement

• redirect

39torek, 22. oktober 13NDP ICMP sporočila: * Router Solicitation (RS) / Router Advertisement (RA) * Neighbor Solicitation/ Neighbor Advertisement * ICMP Redirect

Samodejne nastavitve SLAAC1. naprava določi svoj ID

2. naprava izbere svoj lokalen naslov in preveri, ali je unikaten (DAD)

3. naprava pošlje RS

4. naprava dobi odgovor RA

5. za vsako veljavno predpono iz RA

• upošteva predpono in nastavi globalen naslov (izvede tudi DAD)

6. na podlagi RA:

• nastavi prehod na link-local naslova pošiljatelja RA

• oznaki M in O = 0: brez DHCP

• oznaka M: DHCP za IPv6-naslov

• oznaka O: DHCP za druge omrežne parametre


Vaja 4

• Vklop IPv6 s samodejnimi nastavitvami SLAAC(priloga, str. 9, 10)


moj ID je 1:2:3:4


moj lokalen naslov je fe80::1:2:3:4


fe80::1:2:3:4

kje je prehod?


tu je prehod, na fe80::6si v omrežju 2001:1470:c:100::/64

za globalen naslov in DNS vprašaj DHCP

fe80::1:2:3:4


nastavil sem si globalen naslov 2001:1470:c:100:1:2:3:4vem tudi za prehod fe80::6

fe80::1:2:3:4gw: fe80::6

2001:1470:c:100:1:2:3:4

kje je strežnik DHCP?potrebujem podatke


fe80::1:2:3:4gw: fe80::6

2001:1470:c:100:1:2:3:4

IP: 2001:1470:c:100::72DNS: 2001:1470:c::ddomena: gremo6.si


IP: 2001:1470:c:100::72DNS: 2001:1470:c::ddomena: gremo6.si

moja globalna naslova sta 2001:1470:c:100:1:2:3:4 in 2001:1470:c:100::72

fe80::1:2:3:4gw: fe80::6

2001:1470:c:100:1:2:3:42001:1470:c:100::72

DNS: 2001:1470:c::ddomena: gremo6.si


Vaja 5

• Več globalnih naslovov na vmesniku• Izbor izvornega naslova (priloga, str. 11)


• IPv6-naslov



• varnost



Osnovne omrežne storitve

• DHCP

• DNS


• strežniki in posredniki so v multicast skupini ff02::1:2

• DHCPv6 ne posreduje privzetega prehoda

• za identifikacijo odjemalcev in strežnikov se uporablja sistemski DUID (namesto MAC na vmesnikih)

• posrednik posreduje izvorni DHCP-zahtevek

• zastavici M in O v sporočilih RA (stateful in stateless DHCP)

• dinamično posodabljanje DNS

• dobra praksa: velikost omrežja naj bo /64

DHCPv6


DUID = DHCP Unique Identifier. 12 - 20 bytov, odvisno od tipa.M = managed, O = other config flagDHCPv6 lahko delegira tudi prefikse za ND

/etc/dhcp/dhcpd6.conf

default-lease-time 2592000;preferred-lifetime 604800;option dhcp-renewal-time 3600;option dhcp-rebinding-time 7200;allow leasequery;option dhcp6.preference 255;option dhcp6.rapid-commit;option dhcp6.info-refresh-time 21600;

# Strežniki so statično nastavljenisubnet6 2001:1470:e812:a00::/64 { }

subnet6 2001:1470:e812:b00::/64 { # Nabor naslovov (DAA kot Dynamic Address Assignment) range6 2001:1470:e812:b00::daa:0 2001:1470:e812:b00::daa:ffff;

# Specifikacija domene option dhcp6.domain-search "gremo3.ipv6.si.";

# IPv6-naslov našega DNS-strežnika option dhcp6.name-servers 2001:1470:e812:a00::d25;}


Vaja 6

• Vklop DHCPv6 (priloga, str. 11)


• nič pretresljivo novega

• A za IPv4: ime ➝ IPv4-naslov

• AAAA (quad A): ime ➝ IPv6-naslov

• PTR: IP-naslov ➝ ime

• ip6.arpa (namesto in-addr.arpa)

DNS


gremo3.ipv6.si.zone

$ORIGIN .$TTL 3600 ; 1 hourgremo3.ipv6.si IN SOA gremo3-nameserver.ipv6.si. hostmaster.arnes.si. ( 1263528045 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS gremo3-nameserver.ipv6.si.

$ORIGIN gremo3.ipv6.si.$TTL 1800 ; 30 minutesubuntu1204 A 153.5.242.132windows7 A 153.5.242.130windowsxp A 153.5.242.133test AAAA 2001:1470:e812:b00::123test2 AAAA 2001:1470:e812:b00::1234


0.0.b.0.2.1.8.e.0.7.4.1.1.0.0.2.ip6.arpa.zone

$ORIGIN .$TTL 3600 ; 1 ura0.0.b.0.2.1.8.e.0.7.4.1.1.0.0.2.ip6.arpa IN SOA gremo3-nameserver.ipv6.si. hostmaster.arnes.si. ( 1263527838 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) )

NS gremo3-nameserver.ipv6.si.

$ORIGIN 0.0.b.0.2.1.8.e.0.7.4.1.1.0.0.2.ip6.arpa.$TTL 1800 ; 30 minutes3.2.1.0.0.0.0.0.0.0.0.0.0.0.0.0 PTR test.gremo3.ipv6.si.4.3.2.1.0.0.0.0.0.0.0.0.0.0.0.0 PTR test2.gremo3.ipv6.si.


Vaja 7

• V DNS vpišite AAAA in PTR zapise za test.gremo?.ipv6.si, na primer:

test.gremo3.ipv6.si ⟷ 2001:1470:e812:b00::123.(priloga, str. 12)


• IPv6-naslov



• varnost



Varnost

• zasebnost in sledljivost

• varnost v lokalnem omrežju(varovanje lokalnih omrežnih mehanizmov ND)


ID: 1:2:3:42001:1470:c:100:1:2:3:4

ID: 1:2:3:42001:db8:1:2:1:2:3:4

vem, kdo siZasebnost in sledljivost


Zasebnost in sledljivost

• samodejni naključni nasloviIPv6 Privacy Extensions

• dobro za zasebnost

• ...vendar nezaželeno v lokalnem omrežju

• kako onemogočiti samodejno izbiro naključnih naslovov?

• ...ali vsaj imeti evidenco, dnevniške zapise?


Varnost v lokalnem omrežju

• ND je ranljiv protokol

• lažna sporočila RA

• lažen strežnik DHCPv6

• lažno predstavljanje - NDP spoofing

• DoS

• ND cache overflow

• napadi na DAD

• napadi na DHCPv6



• orodja

• The Hacker’s Choicehttps://www.thc.org/thc-ipv6/

• SI6 Networks' IPv6 Toolkithttp://www.si6networks.com/tools/ipv6toolkit/

• nmap + NSE scriptshttp://nmap.org/nsedoc/scripts/


THC - Linux only. IPv6 Toolkit - BSD (tudi Mac OS X) in Linuxnmap skripte:broadcast-dhcp6-discover dns-ip6-arpa-scan ipv6-node-info ipv6-ra-flood targets-ipv6-multicast-echo targets-ipv6-multicast-invalid-dst targets-ipv6-multicast-mld targets-ipv6-multicast-slaac

https://www.thc.org/thc-ipv6/

https://www.thc.org/thc-ipv6/

http://www.si6networks.com/tools/ipv6toolkit/

http://www.si6networks.com/tools/ipv6toolkit/

http://nmap.org/nsedoc/scripts/

http://nmap.org/nsedoc/scripts/


• na trgu je že nekaj stikal z osnovnim naborom varovalk:

• RA Guard

• DHCPv6 Guard

• Snooping and device tracking

• Source Guard

• Destination Guard

• Prefix Guard

http://blog.ipspace.net/2013/07/first-hop-ipv6-security-features-in.html

http://docwiki.cisco.com/wiki/FHS

65torek, 22. oktober 13IPv6 RA Guard rejects fake RA messages coming from host (non-router) ports (not sure whether it handles all possible IPv6 header fragmentation attacks). Interestingly, it can also validate the contents of RA messages (configuration flags, list of prefixes) received through router-facing ports, potentially giving you a safeguard against an attack of fat fingers.DHCPv6 Guard blocks DHCPv6 messages coming from unauthorized DHCPv6 servers and relays. Like IPv6 RA Guard it also validates the DHCPv6 replies coming from authorized DHCPv6 servers, potentially providing protection against DHCPv6 server misconfiguration.IPv6 Snooping and device tracking builds a IPv6 First-Hop Security Binding Table (nicer name for ND table) by monitoring DHCPv6 and ND messages as well as regular IPv6 traffic. The binding table can be used to stop ND spoofing (in IPv4 world we’d call this feature DHCP Snooping and Dynamic ARP Inspection).IPv6 Source Guard uses the IPv6 First-Hop Security Binding Table to drop traffic from unknown sources or bogus IPv6 addresses not in the binding table. The switch also tries to recover from lost address information, querying DHCPv6 server or using IPv6 neighbor discovery to verify the source IPv6 address after dropping the offending packet(s).IPv6 Prefix Guard denies illegal off-subnet traffic. It uses information gleaned from RA messages and IA_PD option of DHCPv6 replies (delegated prefixes) to build the table of valid prefixes (IPv6 Prefix Guard is a layer-2 feature. You should use uRPF check on layer-3 interfaces).IPv6 Destination Guard drops IPv6 traffic sent to directly connected destination addresses not in IPv6 First-Hop Security Binding Table, effectively stopping ND exhaustion attacks.





• IPv6-naslov



• varnost



Svet ni eden, svetova sta dva - v4 in v6. No, še tretji obstaja - no IP :-)

Tranzicijski mehanizmi

• tuneli

• 6in4, 6to4 (IPv6-over-IPv4)

• 6rd (IPv6-over-IPv4)

• DS-Lite (IPv4-over-IPv6)

• MAP (Mapping of Address and Port)

• translacija

• NAT64/DNS64


Obsolete: Teredo (UDP/IPv4, dela skozi večino NAT-ov).

upor

abno

stobliži in proteze za IP-tehnologijo

čas68torek, 22. oktober 13

Ozrimo se v začetke vzpona v4 interneta. Toga delitev na omrežja v naprej predpisanih velikosti (se spomnite klas?) onemogoča učinkovito izrabo v4-naslovnega prostora. Katastrofo so hitro (1993) preprečili z >

CIDR


CIDR - classless inter-domain routingMnogo boljša izkoriščenost naslovnega prostora - velikosti podomrežij so lahko različne glede na število sistemov v omrežju (ne v naprej predpisane).

upor

abno


CIDR


Sledi rast števila IP-naprav. Zavedo se, da bo prostora hitro zmanjkalo. Tehniki so se odločili, da ne bodo izumljali nekaj novega, temveč da bodo zadevo “popravili” v pravem tehniškem duhu ;-) Rešitev je NAPT >

NAPT


...ki je omogočil nadaljno rast interneta, bolje rečeno, da je sploh preživel vse do danes.

upor

abno


CIDR

NAPT


In danes imamo nov - zelo resen problem. Prostih v4-naslovov ni več. Zdi se, da je rešitev na dlani >

IPv6up

orab

nost

obliži in proteze za IP-tehnologijo

CIDR

NAPT


> IPv6.v6 so izumili že 1998! Imeli smo dovolj časa za preskok v nov razvojni cikel. Vendar ...>

Ali smo uspeli?


IPv6up

orab

nost

obliži in proteze za IP-tehnologijo

CIDR

NAPT

tranzicijski mehanizmi

čas

Zakaj se prehoda

nismo lotili že pred 10 leti?


Žal ne. Predolgo smo odlašali in danes smo v dilemi pred komaj pregledno kopico tranzicijskih pripomočkov, protez IP-tehnologije. Zakaj? Odgovor poiščemo z vprašanjem: Katera v6-aplikacija (storitev?) je bila takrat najpogosteje uporabljena? ...>

ping6

pred 10 leti


ping6 ::1


Introvertirani so si ga pingali sami,

ping6 -I eth0 ff02::1


zvedavi so iskali sosede v lokalnem omrežju

traceroute6


naprednejši in zahtevnejši pa celo pot do tujih omrežij ;-)

cc/flickr Lizzy Steward

zgolj-IPv6 omrežjain storitve


Od pinga do tega futurističnega sveta je prekleto dolga pot!

Se strinjamo?


...da so naš cilj zgolj v6-omrežja?

IPv4

IPv6

IPv4

statični tuneli skozi IPv4

ponudnik storitev internet

privatni IPv4

IPv4IPv6

uporabniki

NAT

tunnel broker server

protocol 41


[pojasni delitev na uporabnike, ISP in internet]v hrbtenici samo v4, pri uporabnikih NAT. v6 skozi statične (6in4) ali dinamične (6to4) proto-41 tunele. Statične tunele nudijo razni Tunnel Brokerji (a la HE, SixXS).

IPv4

IPv6

IPv4

dinamični tuneli skozi IPv4


privatni IPv4

IPv4IPv6

uporabniki

NAT

protocol 41

tunnel servers/relay routers192.88.99.1

2002:<ipv4>::


Pri 6to4 je v4-naslov del v6-naslova 2002::/16 - skupaj /48, potreben je javen v4-naslov, anycast do najbližjega strežnika/prehoda 192.88.99.1 (relay router).

IPv4 preko IPv6 DS-Lite MAP

IPv6 preko IPv4 LISP 6rd

stateful stateless


Bolj “resni” kandidati. ISP mora imeti globalno IPv6-povezljivost.V tabeli so tehnološki triki razvrščeni po dveh kriterijih. Favorit je zgoraj desno.LISP ni programski jezik (leto mlajši od Fortrana ;-)), temveč Locator/Identifier Separation Protocol: IPv6 @Facebook

IPv4

IPv6

IPv4

stateless tunel skozi IPv4 - 6rd


privatni IPv4

IPv4IPv6

6rd-prehod

uporabniki

NAT


[pojasni delitev na uporabnike, ISP in internet]6rd: v4 v hrbtenici, pri uporabnikih NAT. v6 skozi samodejne proto-41 tunele. Stateless preslikava med naslovi. Namesto 2002::/16 globalni prefiks + nek IPv4-blok. Problem: dodatno delo za ISP-je, vendar le zaradi v6 (!?) Stroški za 6rd prehode ...

IPv4

IPv6

IPv4

stateless tunel skozi IPv4 - 6rd


privatni IPv4

IPv4IPv6

6rd-prehodi

uporabniki

NAT


... število prehodov in stroški se večajo ob širjenju v6 -> kontraproduktivno (v nasprotju s ciljem preiti na zgolj-v6) in nesmiselno.Zamenjajmo vlogi v4 in v6 >

IPv6IPv6

IPv4

stateful tunel skozi IPv6 - DS-Lite

uporabniki ponudnik storitev internet

privatni IPv4

IPv4IPv6

veliki NAT


> ...in _premaknimo_ NAT44 s CPE na veeelik usmerjevalnik ISP-ja (CGN). v4 promet z internetom posredujemo skozi v6 tunel. Problem: še vedno ohranjamo v4 in NAT44, nedeterministično usmerjanje - nekatere aplikacije dajejo prednost v4 (skozi NAT!) pred native v6, stateful. Velik problem: CGN!Poskusimo se znebiti CGN in zasnovati nekaj, čemur bi lahko rekli “stateless DS-Lite” >

IPv6

IPv6

IPv4

uporabniki ponudnik storitev internet

privatni IPv4

IPv4IPv6

MAP

NATMAP CPE

• lasten IPv6-prefiks• en sam javen IPv4-naslov• nabor TCP/UDP vrat

“stateless DS-Lite” - MAP


(marketinški naziv - stateless DS-Lite) NAT44 ohranimo pri uporabnikih/organizacijah, ki uporabljajo privatne v4-naslove (tako in tako je že tam ali pa še bo) in ga dopolnimo s statičnim algoritmičnim prevajanjem med v4-naslovi z nizom TCP/UDP vrat in v6-naslovom (kot A+P). Na WAN strani CPE je zgolj v6. Organizacije si delijo iste v4 WAN naslove, vendar ima vsaka svoj nabor vrat. Zadaj NAT. Enkapsulacija v v6, de-enkapsulacija na ISP-jevi MAP napravi (npr. ASR 1k).Problem: ne odpravlja problema izrabe naslovnega prostora, ga pa v veliki meri olajša; krčenje nabora vrat; ne dela brez dual-stack-a. Je pa stateless! Popravki na CPE so minimalni. MAP naprav je lahko več in so porazdeljene po mejah ISP-jevega omrežja.

TCP/UDP vrataIPv4-naslov

IPv6-naslov

MAP - preslikava IPv6-naslova → IPv4-naslov + vrata

izbran IPv6-prefiks

dopolnjenodo 32 bitov biti uporabnikabiti uporabnika

http://6lab.cisco.com/map/MAP.php

izbran IPv4-prefiks ID-naboravrat

/42 /56

/22 /32

}}14 bitov

/64

}10 bitov

4 biti

ID-organizacije za IPv6-naslove v organizaciji


Tehnologija MAP veliko obeta, zato kratka razlaga.Organizacija ima (dodaten) javen v6-prefiks znotraj katerega razporedi svoja lokalna v6-omrežja. Ta prefiks je sestavljen iz nekega v naprej definiranega dela in ID-ja organizacije (unique). Tako zgrajen v6 naslov se preslika v v4-naslov /32 in niz TCP/UDP vrat. In obratno - 1:1. Podobno delitvi omrežij v CIDR, le da gremo od /32 naprej v bitno polje vrat. Nabor vrat je izbran tako, da so well-known vrata (pod 1024) rezervirana za strežnike.Primer: 16 organizacij si deli en v4-naslov, 16384 v /22. Vsaka lahko uporabi ∼4000 vrat.



• Ali ima IPv6 prednost?• Ali opuščamo IPv4?• Ali zagotavlja kakovost storitev med prehodom?• Je razširljiva, nadgradljiva?• Koliko stane?

Katera tehnologija je prava?


Pri DS-Lite in MAP je v6 v prednosti. Vse dosedaj opisane tehnologije temeljijo na dual-stacku-u in nujno potrebujejo v4. Kakovost je povezana s kompleksnostjo translacije. Staless tehnologija je razširljiva in cenejša, stateful nikakor ne (potreba po strojnih virih raste z naraščanjem števila sej).

Kaj pa NAT?


Bogokletna (bolje rečeno: arnesokletna) misel!

NAT64

• stateless

• stateful


}32

40

48

56

64

96

96

01: d b8: c0 a8: 2 21::20

01: d b8: 120

2001:db8::/

2001:db8:100:/

2001:db8:122:/

2001:db8:122:300::/

2001:db8:122:344::/

2001:db8:122:344::/

/64

/80

01: d b8: 1 22:20

192. 168. 2. 33}prefiks za translacijo NAT64

zapišemo šestnajstiško in vstavimo v IPv6-naslov

c0 a8: 2 21

/32 40 48 56 64 72 80 88 96 104 112 120 128

2001:db8:122:344::/ 192. 168.2. 33

/104

/96

/128

/128

01: d b8: 1 22:20 3

c0:

c0

c0:

c0:

a8:

a8 02: 21::

2100::

21::a8: 2

2: /88

2100::a8 02:01: d b8: 1 22:20 3 44:

01: d b8: 1 22:20 3 44::

01: d b8: 1 22:20 3 44::

vstavljanje IPv4-naslova v IPv6-naslov

93torek, 22. oktober 13IPv4-embedded naslov: IPv4-naslov vstavimo v IPv6-naslov. Pri tem moramo poznati NAT64-prefiks in dolžino tega prefiksa. IPv6-naslov se začne z NAT64-prefiksom znane dolžine, nato sledi 32-bitov IP4-naslova, ki so, odvisno od dolžine NAT64-prefiksa, razširjeni z 8 ničelnimi biti. Priporočamo uporaba javnega NAT64-prefiksa, RFC priporoča /40 pri ponudnikih internetnih storitev (1/256 prostora tipičnega ISP-ja z alokacijo /32), /56 v organizacijah z alokacijami /48 oz. /96 za interno stateless translacijo znotraj organizacije, kjer so vsi IPv4-translatable naslovi na skupni povezavi. V priporočljivem primeru, kjer je dolžina NAT64-prefiksa /64, se IPv4-naslov preslika v IPv6-omrežje /104. Usmerjevalnik v tem primeru oglašuje IPv6-omrežje /104 ali krajši prefiks, npr. /96, če bi imeli v organizaciji več sistemov z IPv4-translatable naslovi, ki izvirajo iz istega IPv4-subneta, npr. iz 192.168.2.0/24.V primeru, ko je network specific prefix /96, morajo biti biti med 64 in 71 enaki nič. Najbolje je, da se izbere prefiks /64 in se ga dopolni s 4 okteti ničel. Različica z /96 ima tudi najbolj pregleden zapis.


IPv4-naslov

IPv4-embedded naslov /96

/24 /32

/128

IPv4-omrežje

/120

izbran NAT64-prefiks


Za preslikavo se dogovorimo za nek t.i. NAT64-prefiks, običajno /64 ali /96. v6 naslov dobimo iz v4-naslova tako, da ta prefiks dopolnimo s celotnim v4-naslovom. Vsak v4-naslov lahko preslikamo v v6 in iz vsakega tako sestavljenega v6-naslova lahko razberemo vanj vstavljeni v4-naslov.


IPv4-naslov

“IPv4-embedded” naslov /96

/24 /32

33

/128

192.168.2.

33192.168.2.

/120

2001:db8:122:344::


Primer: preslikava v4-naslovov iz /24 v v6 /120.Iz tako sestavljenega v6-naslova lahko izluščimo v4-naslov (kar seveda ne velja za poljuben v6-naslov!).

omrežjeuporabniki ponudnik vsebine

stateful NAT pred odjemalci - NAT64/DNS64

IPv4IPv6

192.168.2.33 →193.2.1.87

AAAA(strežnik.si) =IPv4-converted:2001:db8:122:344::193.2.1.87

2001:db8:122::1 →2001:db8:122:344::193.2.1.87

193.2.1.87 → 192.168.2.33AAAA(strežnik.si) = ?

DNS64

NAT64 prefiks: 2001:db8:122:344::/96IPv4-naslovi za NAT: 192.168.2.0/24

2001:db8:122:344::193.2.1.87 →2001:db8:122::1

2001:db8:122::1

193.2.1.87

IPv4-converted:2001:db8:122:344::193.2.1.87

NAT64 prefiks: 2001:db8:122:344::/96


Delovanje NAT64/DNS64. Zgolj v6-odjemalci komunicirajo z zaprašenimi zgolj-v4 strežniki.Ker poljubnega v6-naslova ne moremo prevesti v v4-naslov, potrebujemo stateful NAT. Stateful = drago in z omejitvami :-(, olajševalna okoliščina: NAT64 se lahko razporedi po lokalnih omrežjih.

http://www.arnes.si

http://www.arnes.si

http://www.arnes.si

http://www.arnes.si

Vaja 8• Katero NAT64-predpono uporablja DNS64-strežnik dns64.arnes.si? - Poizvedite po nekaj AAAA-zapisih (IPv4-converted IPv6-naslovih) strežnikov, ki nimajo javnih IPv6-naslovov, na primer www.nlb.si, 24ur.com, www.microsoft.si, ...(priloga, str. 13)


http://www.nlb.si

http://www.nlb.si

http://www.microsoft.si

http://www.microsoft.si

omrežjeuporabniki ponudnik vsebine

IPv6IPv4

stateless NAT64 pred strežniki - NAT46

2001:db8:122:344::192.168.2.33 →2001:db8:122:344::193.2.1.87

193.2.1.87 →192.168.2.33

192.168.2.33 →193.2.1.87

2001:db8:122:344::193.2.1.87 →2001:db8:122:344::192.168.2.33

NAT64 prefiks: 2001:db8:122:344::/96

A(strežnik.si) = 193.2.1.87

NAT64 prefiks: 2001:db8:122:344::/96

IPv4-translatable:2001:db8:122:344::193.2.1.87

192.168.2.33


NAT64 lahko uporabimo tudi v nasprotni smeri (recimo temu NAT46)- pred zgolj-v6 strežniki. V tem primeru je zelo učinkovit, saj za prevajanje med v4 v v6 ni potrebno beležiti in upoštevati posameznih sej -- vsak v4-naslov lahko algoritmično in deterministično prevedemo v unikaten v6-naslov.

http://www.arnes.si

http://www.arnes.si

NAT = zlo

Minister za ajpi opozarja:“Prekomerna uporaba NAT-a škoduje razvoju internetnih storitev!”

O tveganju in neželenih učinkih se posvetujte s strokovnjakom za omrežno tehnologijo in storitve.


Kam naprej?


gremo6, workshop at 8th slovenian ipv6 summit

Technology