sirikt 2012: enostavno in varno na ipv6
TRANSCRIPT
Enostavno in varno na IPv6 Matjaž Straus Istenič [email protected]
• IPv6-oznake
• Nastavitve
• Varnost
foto: Kenneth Dwain Harrelson, http://en.wikipedia.org/wiki/Cloud
IPv6-naslov je 128-biten
2001:1470:c:????:????:????:????:????
65536 omrežij na članico
65536 članic 18 trilijonov sistemov v vsakem omrežju
2001:1470:c:????: 2001:1470:c: 2001:1470:
IPv6-naslov je oznaka
2001:1470:c:LSnn:<64-bitna-oznaka>
ARNES članica
lokacija ali L = 0, S = skupina
omrežje končni sistem
Razporedimo oznake
Nastavitve omrežne opreme
1. statično
2. SLAAC brez DHCPv6
3. SLAAC z DHCPv6 v testnem obdobju samo “stateless”
4. izklop dodeljevanja omrežnih predpon v SLAAC * z izjemo v omrežjih za mobilne naprave
Statične nastavitve
• strežniki
• stacionarni računalniki
Samodejne nastavitve
moj ID je 1:2:3:4
Samodejne nastavitve
moj lokalen naslov je fe80::1:2:3:4
Samodejne nastavitve
fe80::1:2:3:4
kje je prehod?
Samodejne nastavitve
tu je prehod, na fe80::6 si v omrežju 2001:1470:c:100::/64 za DNS vprašaj “stateless” DHCP
fe80::1:2:3:4
Samodejne nastavitve
moj globalen naslov je 2001:1470:c:100:1:2:3:4
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4
kje je strežnik DHCP? potrebujem podatke
Samodejne nastavitve
DNS: 2001:1470:c::d domena: sirikt.si
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4
Samodejne nastavitve
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 DNS: 2001:1470:c::d domena: sirikt.si
sedaj lahko komuniciram
Samodejne nastavitve
tu je prehod, na fe80::6 si v omrežju 2001:1470:c:100::/64 za naslov in DNS vprašaj DHCP
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 DNS: 2001:1470:c::d domena: sirikt.si
Samodejne nastavitve
kje je strežnik DHCP? potrebujem IPv6-naslov in podatke za DNS
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 DNS: 2001:1470:c::d domena: sirikt.si
Samodejne nastavitve
IP: 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si
moja globalna naslova sta 2001:1470:c:100:1:2:3:4 in 2001:1470:c:100::72
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si
Samodejne nastavitve
fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si
postopen prehod na DHCP – naslavljanje s SLAAC samo v omrežjih za prenosne naprave, obiskovalce ...
IP: 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si
Varnost
• sledljivost vs zasebnost
• tuneli
• ranljivosti v lokalnem omrežju
• nadzor
U N I V E R S I T YU N I V E R S I T Y
Sledljivost vs zasebnost
ID: 1:2:3:4 2001:1470:c:100:1:2:3:4
ID: 1:2:3:4 2001:db8:1:2:1:2:3:4
vem, kdo si
Sledljivost vs zasebnost
• IPv6-naslov je sledljiv • dobro za varnost • v internih omrežjih ne želimo anonimnih
sistemov - uporabljamo DHCP in dovolimo le znane naslove - izklopimo izbiranje naključnega IPv6-naslova
netsh interface ipv6 set privacy state=disabled netsh interface ipv6 set global randomizeidentifiers=disabled /etc/sysctl.conf: net.inet6.ip6.use_tempaddr=0
Tuneli
• na windows sistemih izklopimo vmesnike tunelov
netsh interface 6to4 set state disabled netsh interface isatap set state disabled netsh interface teredo set state disabled
Ranljivosti
• lažni usmerjevalnik
• lažna predpona med SLAAC
• prisvojitev IPv6-naslova med NS in DAD
• preusmeritev
• poplavljanje tabele sosedov
Lažni usmerjevalnik
tu je vaš prehod - pošljite meni!
Nadzor in varovanje s super stikalom
NDPMon
Vzemimo s seboj ...
• označimo omrežno opremo
• statične nastavitve in SLAAC
• uvedba DHCPv6
• nadzor z NDPMon
