formação ipv6 28 e 29 de novembro de 2011 portugal carlos friaças

Formao IPv6 28 e 29 de Novembro de 2011 Portugal Carlos Friaas

Direitos de Autor Este conjunto de slides pertence ao projecto 6DEPLOY-2, atravs dos seus parceiros. A verso Powerpoint deste contedo pode apenas ser reutilizado e modificado com autorizao escrita dos autores O uso parcial deste contedo permitido se o devido crdito for atribudo ao projecto 6DEPLOY-2 Os ficheiros em formato PDF esto disponveis em www.6deploy.eu Contactos: E-Mail para: [email protected] Ou: [email protected]

Aplicaes 29 de Novembro de 2011 Portugal Carlos Friaas

Agenda Apache E-Mail/Postfix FTP Multicast Videoconferncia / Video on Demand P2P

Apache >= 2.x suporta IPv6 Existem patches para verses 1.3.x Directivas Listen 80 (colocar apenas o porto e no um IP) NameVirtualHost (colocar o endereo IPv6 entre [ ]) VirtualHost (colocar o endereo IPv6 entre [ ]) Exemplo de configurao: httpd.conf Listen 80 NameVirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f] DocumentRoot /usr/local/apache2/htdocs/lg ServerAdmin [email protected] ServerName lg.ip6.fccn.pt ServerAlias lg.tbed.ip6.fccn.pt ServerSignature email Web/Apache

Postfix >= 2.2 suporta IPv6 Exemplo de configurao: /etc/postfix/main.cf inet_protocols = ipv4, ipv6 smtp_bind_address6 = 2001:db8:1:1::1600 smtp_bind_address = 172.16.250.1 inet_interfaces = 2001:db8:1:1::1600, localhost mynetworks = [2001:db8:1:1::]/64 172.16.250.0/24 [::1]/128 127.0.0.0/8 Responde no porto 25, tanto em IPv4 como em IPv6 E-Mail/Postfix

Logs de Servidor imapd-ssl: user=jgoncalves, ip=[2001:690:2080:8009:34ac:199a:a90:271] imapd-ssl: user=amr, ip=[2001:690:2080:8009:64fb:6204:99ce:b389] imapd-ssl: user=assisg, ip=[2001:690:2080:8009:6861:b929:6577:2cf4] imapd-ssl: user=jcarvalho, ip=[2001:690:2080:8009:16f:4b32:ee75:6ff3] imapd-ssl: user=lino, ip=[2001:690:2080:8009:8991:dfbc:1b02:10c2] imapd-ssl: user=massano, ip=[2001:690:2080:8009:813b:ddaf:4701:81fa] Transparncia Potencialmente gerador de trfego IPv6 significativo localmente E-Mail

VsFTP >= 2.0.x suporta IPv6 Exemplo de configurao: /etc/xinetd.d/vsftpd service ftp { socket_type = stream wait = no user = root server = /usr/local/sbin/vsftpd server_args = /etc/vsftpd.conf flags = IPv6 nice = 10 disable = no } Responde no porto 21, tanto em IPv4 como em IPv6 FTP

Objectivo: Poupana em fluxos de trfego Arquitectura dfcil de manter no inter-domnio (entre redes de ISPs diferentes) Com o IPv6 surge o conceito de Source Specific Multicast (SSM) Multicast

IPv4: IGMP, Internet Group Management Protocol IPv6: MLD, Multicast Listener Discovery Protocolos para Gerir Grupos Multicast utilizados entre o cliente (pc) e o gateway evitam que as portas que no esto a aceder a grupos Multicast recebam trfego indesejado Multicast

Vrios Componentes Gestores H.323: OpenMCU Clientes: GnomeMeeting/Ekiga, ConferenceXP Videoconferncia

Windows Media Services 9 (>Win2003 Server) Ferramenta VideoLan www.videolan.org Stream sobre IPv6 Menu Media Abrir emisso de rede http://servidor/ficheiro (servidor = nome com AAAA) Video On-Demand

Domnio de Endereamento Global Virtualmente todos os ns prestam um servio Meios: DNS, Servio de Ponto de Encontro Sem restries em relao ao iniciador Todos os participantes partilham uma viso consistente da rede NAT no facilita funcionamento P2P - Peer-to-Peer

Protocolo criado em 2002 Existem contedos legais acessveis atravs deste protocolo: http://fedoraproject.org/en/get-fedora Suporte em alguns clientes Sempre dependente da plataforma Win/Linux/BSD/Mac Comunicao sobre IPv6 com: Tracker Outros clientes P2P - Bittorrent

P2P - Azureus

P2P - uTorrent

O software de servidor WEB Apache, como outros, suporta IPv6. Recapitulando O servio de E-Mail (envio e recepo) pode funcionar completamente sobre IPv6. Existe diverso software que possibilita o servio de arquivo/transferncia de ficheiros sobre o protocolo IPv6.

Recapitulando O Multicast em IPv6 fica flexibilizado com o surgimento do conceito SSM (source-specific Multicast). Servios de Videoconferncia (nas suas vrias componentes) e de Videodifuso podem funcionar sobre IPv6. Existe software variado que permite a comunicao peer- to-peer sobre IPv6 entre ns de uma rede bittorrent.

Obrigado ! Questes ?

Segurana 29 de Novembro de 2011 Portugal Carlos Friaas

Agenda O que h de novo no IPv6? Ameaas IPsec Firewall Concluso

O que h de novo no IPv6? A Segurana foi uma preocupao desde o incio reas que beneficiaram da forma de ver a rede trazida pelo IPv6: Ameaas ao acesso mvel e ao IP mvel Endereos gerados Criptograficamente Protocolos para Autenticao e Acesso Rede IPsec Tornar as intruses mais difceis

Ameaas Escuta passiva e activa Repetio Anlise de Trfego Negao de Servio Ataque Fsico Passwords Vrus, Cavalos de Tria, Worms Acesso Acidental Desastres Naturais Engenharia Social

Ameaas Scanning de Gateways e Mquinas Scanning de Endereos Multicast No havendo endereo broadcast possvel recorrer a outros mtodos Spoofing Controle de acesso no autorizado Ter em ateno a criao de listas de acesso para o protocolo IPv6

Ameaas Ataque ao Encaminhamento IPv6 recomendado o uso dos tradicionais mecanismos no BGP e IS-IS O IPsec garante a segurana de protocolos como o OSPFv3 e o RIPng Sniffing Sem o recurso ao IPsec, o IPv6 est to exposto a este tipo de ataque como o IPv4 Mecanismos de transio Ataques especficos para diferentes mecanismos

Ameaas Ataques Man-in-the-Middle Sem o uso de IPsec, este tipo de ataques em IPv6 ou IPv4 semelhante Flooding DDOS Idnticos em IPv4 e IPv6 Ataques ao nvel da Aplicao Actualmente, a maioria das vulnerabilidades na Internet ao nvel da aplicao, que no beneficia do uso do IPsec

Scanning em IPv6 Scanning = Varrimento O tamanho de cada rede incomparavelmente maior As LANs tm 2^64 endereos. Deixa de ser razovel pesquisar por um endereo sequencialmente Com 1 milho de endereos/segundo, seriam necessrios mais de 500 mil anos para percorrer todos os endereos de uma nica LAN

Scanning em IPv6 Os mtodos de Scanning em IPv6 vo provavelmente evoluir Os servidores pblicos necessitam de estar registados no DNS, o que constitui um alvo fcil Os Administradores das redes podem adoptar endereos fceis de memorizar (ex: ::1,::2,::53) Os endereos EUI-64 tm uma componente fixa (de 16 bits) Os cdigos que identificam os fabricantes das placas de rede so bem conhecidos (primeiros 24 bits do endereo MAC) Ao comprometer pontos importantes da arquitectura (ex: routers), um atacante pode detectar a existncia de muitos alvos possveis Outras tcnicas incluem obteno de informao atravs de zonas de DNS ou de logs Negar a transferncia de zona (para o mundo) prtica corrente

Scanning em IPv6 - Multicast Novos vectores de ataque Uso de endereos Multicast para emular funes de router ou servidor DHCPv6 Todos os ns (FF02::1) Todos os routers (FF05::2) Todos os servidores DHCPv6 (FF05::5) Estes endereos devem ser filtrados em cada ponto de fronteira Este o comportamento por omisso se o IPv6 Multicast no estiver activo no Backbone

Spoofing em IPv6 A maior agregao que possvel com o IPv6, torna menos complexa a filtragem para impedir o spoofing em pontos estratgicos da rede O aspecto negativo tem a ver com os ltimos 64 bits Para identificar um utilizador atravs de um endereo IPv6, seria necessrio manter constantemente o mapeamento entre endereos IPv6 e endereos MAC

Spoofing em IPv4 com 6to4 Atravs de trfego injectado da Internet IPv4 para uma rede IPv6, recorrendo s caractersticas do mecanismo de transio 6to4 Origem IPv4: Origem IPv4 spoofed Destino IPv4: Relay 6to4 Anycast (192.88.99.1) Origem IPv6: Origem IPv6 spoofed, com prefixo 2002:: Destino IPv6: Vlido Rede IPv6 Internet IPv4 Rede IPv6 Atacante relay 6to4 gateway 6to4

Controle de acesso A implementao da poltica ainda feita nas firewalls (ou listas de acesso nos routers) Algumas consideraes Filtrar endereos multicast nos pontos de fronteira Filtrar endereos IPv4 mapeados em IPv6 any deny ssh any 2001:db8:1::1 permit Dst portSrc portDstSrcAction 2001:db8:2::2

Controle de acesso Criar filtros para endereos bogon em IPv4 mais fcil negar os bogon + redes privadas em IPv6 mais fcil permitir os endereos legtimos host/net2001:db8::/32deny serviceanyhost/net2002::/16permit serviceanyhost/net2001::/16permit serviceanyhost/net2003::/16permit any deny serviceanyhost/net3ffe::/16permit Dst portSrc portDstSrcAction

Encaminhamento Devem utilizar-se as mesmas medidas de proteco que em IPv4 Autenticao de vizinhos (BGP) Filtragem de anncios invlidos Cifragem de mensagens de encaminhamento Basicamente deve aplicar-se o mesmo nvel de segurana em IPv6 e em IPv4 Nota: Ateno nos routers a todos os servios que esto a correr (ex: http,telnet, ssh). Estes devem estar tambm protegidos contra acessos indevidos em IPv6.

Mecanismos de Transio H cerca de 15 mtodos com vrias combinaes possveis Dual stack: aplicar o mesmo nvel de segurana para ambos os protocolos Tneis iptunnel utiliza o Protocolo 41 para atravessar a firewall tnel GRE ser mais aceitvel uma vez que j era usando anteriormente ao aparecimento do IPv6.

DDoS No existem endereos broadcast em IPv6 Evita ataques atravs do envio de pacotes ICMP para o endereo de broadcast As especificaes do IPv6 proibem a gerao de pacotes ICMPv6 em resposta a mensagens enviadas para endereos globais multicast (com a excepo da mensagem Packet too big). Muitos sistemas operativos seguem a especificao Ainda h alguma incerteza sobre o perigo que pode ser criado por pacotes ICMPv6 com origem em endereos multicast globais

Mitigao de DDoS em IPv6 Ter a certeza que os sistemas implementam o descrito no RFC 4443 (e actualizado pelo RFC 4884) Implementar filtragens recomendadas nos RFCs 2827 e 3704, entrada do sistema autnomo Implementar filtragem entrada de pacotes IPv6 com endereos de origem IPv6 multicast na rede local

IPsec Mecanismos gerais de segurana IP Fornece Autenticao Confidencialidade Gesto de Chaves necessita de uma infraestrura de chaves pblicas (PKI) Aplicvel ao uso em LANs, e WANs pblicas & privadas, e na Internet. Definido como obrigatrio nas normas do IPv6 O IPsec no apenas um nico protocolo. O IPsec contm um conjunto de algoritmos e uma infraestrutura que permite a comunicao entre duas partes, independentemente do algoritmo apropriado para dotar de segurana essa comunicao

IPsec Trabalho emanado do IPsec-wg do IETF Aplica-se tanto ao IPv4 como ao IPv6 e a sua implementao : Mandatria para IPv6 Opcional para IPv4 Modos IPsec: Transporte & Tnel Arquitectura IPsec: RFC 4301 (actualizado pelo RFC 6040) Protocolos IPsec: Authentication Header AH (RFC 4302) Encapsulating Security Payload - ESP (RFC 4303)

IPsec - Arquitectura Polticas de Segurana: Que trfego tratado? Associaes de Segurana: Como processado o trfego? Protocolos de Segurana: Que protocolos (extenses do cabealho) so usados? Gesto de Chaves: Internet Key Exchange (IKE) Algoritmos: Autenticao e Cifragem

IPsec - Modos Modo de Transporte Acima do nvel IP Apenas o payload dos datagramas IP so protegidos Modo de Tnel IP dentro de IP Todos os datagramas que atravessam o tnel so protegidos

IPsec : Gesto de Chaves Manual Chaves configuradas em cada sistema Automtica: IKEv2 (Internet Key Exchange v2, RFC 4306) Negociao da Associao de Segurana: ISAKMP Diferentes blocos (payloads) so ligados a seguir ao cabealho ISAKMP Protocolos de Troca de Chaves: Oakley, Scheme Algoritmos: Autenticao e Cifragem

Proteco Firewalls IPv6 IPv6 & Firewalls No elimina a segurana IPv4, se ela existir O processo do firewall IPv6 em geral separado do firewall IPv4, mas pode ser efectuado no mesmo equipamento Isto possvel, por exemplo, em firewalls Checkpoint Sem necessidade de gerir NATs Mesmo nvel de segurana e privacidade Segurana fim-a-fim com recurso a IPsec Suporte de transio e coexistncia IPv4/IPv6

Internet Router Firewall Rede Protegida DMZ Firewall IPv6 arquitectura #1 Internet router firewall Rede Requisitos: Firewall tem que suportar filtragem de pacotes Neighbor Discovery Firewall tem que suportar filtragem de pacotes de Anncio de Router Firewall tem que suportar o protocolo MLD, se o Multicast usado

Firewall IPv6 arquitectura #2 Internet firewall router Rede Requisitos: Firewall tem que suportar filtragem de pacotes ND Firewall tem que suportar filtragem de protocolos dinmicos de encaminhamento (i.e. BGP, OSPF, IS-IS) Firewall idealmente ter uma multiplicidade de interfaces Internet Router Firewall Rede Protegida DMZ

Firewall IPv6 arquitectura #3 Internet firewall/router Rede Requisitos Apenas um ponto para funes de routing e implementao de polticas de segurana comum em ambientes SOHO Necessita suporte de todas as funes de router e tambm de firewall Internet Router Firewall Rede Protegida DMZ

O IPv6 pode potencialmente melhorar a segurana na Internet. Recapitulando Os mecanismos de transio so uma fonte potencial de problemas de segurana. A maioria das ameaas mantm-se no mundo IPv6, embora algumas sofram mudanas.

Recapitulando Elementos como Firewalls, Routers, DNS, etc, j esto apetrechados para funcionarem em IPv6 com segurana. A IPSec a melhor ferramenta para mitigar vrios problemas. O posicionamento de um firewall tem que ser pensado de acordo com o cenrio em que ser usado.

Encaminhamento 29 de Novembro de 2011 Portugal Carlos Friaas

Agenda ISIS OSPFv3 Multiprotocolo BGP Concluses

Encaminhamento Sistemas uma questo a ter sempre em conta, de qualquer ponto da rede, ou sistema OSIPv4IPv6 Cisco (IOS) show ip routeshow ipv6 route WinXP/Win7 route printnetsh interface ipv6 show route Linux /sbin/route/sbin/route A inet6 Mac netstat r

Tipos de Protocolo Interno RIPng (Routing Information Protocol) IS-IS (Intermediate System-Intermediate System) OSPFv3 (Open Shortest Path First) Externo BGP (Border Gateway Protocol)

ISISv6 um protocolo OSI Baseado em apenas dois nveis L2 = Backbone L1 = Stub L2L1= Interligao L2 e L1 Funciona sobre o protocolo CLNS Cada equipamento IS envia LSPs (Link State Packets) Envia informao via TLVs (Tag/Length/values) Processo de estabelecimento de vizinhanas no muda Operao inalterada

ISISv6 Actualizaes: Dois novos Tag/Length/Values (TLV) para IPv6 IPv6 Reachability IPv6 Interface Address Novo identificador da camada de rede IPv6 NLPID

OSPFv3 OSPFv3 = OSPF para IPv6 Baseado em OSPFv2 Topologia de uma rea invisvel de fora dessa rea O flooding de LSAs feito por rea O clculo da SPF realizado separadamente para cada rea Todas as reas tm de dispr de uma ligao ao backbone (rea 0)

OSPFv3 OSPFv3 uma verso do protocolo exclusivamente IPv6 Numa rede de pilha dupla necessrio correr OSPF2 (IPv4) e OSPFv3 (IPv6) H algum trabalho a ser desenvolvido no sentido de dotar o OSPFv3 de suporte IPv4.

OSPFv3 Detalhes Corre directamente sobre IPv6 Distribui prefixos IPv6 Novos tipos de LSAs Os router-ids so endereos IPv4 Usa endereos Multicast Todos os routers (FF02::5) Todos os designated routers (FF02::6)

BGP Multiprotocolo um protocolo de encaminhamento EXTERIOR Interliga diferentes domnios de encaminhamento que tm polticas autnomas/independentes. Cada um possui um nmero de sistema autnomo (AS)

BGP Multiprotocolo Transporta sequncias de nmeros de AS que ilustram caminhos Suporta as mesmas funcionalidades que o BGP para IPv4 Vrias famlias de endereamento: IPv4 unicast IPv4 multicast IPv6 unicast IPv6 multicast

BGP Multiprotocolo O BGP4 transporta apenas trs tipos de informao que so verdadeiramente especficos do IPv4: O NLRI na mensagem de UPDATE contm um prefixo IPv4 O atributo NEXT_HOP na mensagem de UPDATE contm um endereo IPv4 O BGP ID no atributo AGGREGATOR

BGP Multiprotocolo O RFC 4760 define extenses multi-protocolo para o BGP4 Isto torna o BGP4 disponvel para outros protocolos de rede (IPv6, MPLS) Novos atributos do BGP4: MP_REACH_NLRI MP_UNREACH_NLRI Atributo NEXT_HOP independente de protocolo Atributo NLRI independente de protocolo

Encaminhamento IPv6 vs. IPv4 a Nvel Global (19/08/2011) IPv6IPv4 ROTAS 7614385468 ROTAS AGREGADAS 6612 (86,8%) 226084 (58,6%) SISTEMAS AUTNOMOS 4865 (12,3% face ao IPv4) 39488 www.cidr-report.org

Concluses ProtocoloIPv4IPv6Processos OSPFOSPFv2OSPFv3Dois IS-IS Um BGPBGP4BGP4+Um

Todos os sistemas tm uma tabela de encaminhamento. Recapitulando Existem protocolos de encaminhamento interno e externo (para uso entre domnios). Alguns protocolos funcionam em IPv4 e IPv6 a partir do mesmo processo, enquanto outros necessitam de um processo distinto. Os principais protocolos de encaminhamento j tm suporte IPv6 estvel. Pouco mais de 12% dos sistemas autnomos existentes na Internet IPv4 esto ligados Internet IPv6.

Transio 29 de Novembro de 2011 Portugal Carlos Friaas

Agenda Tneis 6to4 NAT-PT e NAT64 Carrier Grade NAT (CGN)

Tneis Inicialmente IPv6 sobre IPv4 (no futuro, IPv4 sobre IPv6!) Pacotes IPv6 so encapsulados em pacotes IPv4 O pacote IPv6 o payload do pacote IPv4 Usualmente usado entre routers de forma a interligar ilhas de redes IPv6 O router de acesso fala IPv6 internamente com os sistemas na sua LAN Encapsula pacotes IPv6 em pacotes IPv4 na direco do outro extremo do tnel

Entrega de pacotes atravs do tnel O n A IPv6 envia pacotes para o n B IPv6 Encaminhados localmente para o router O router (do lado A) conhece o melhor caminho para o destino (n B) atravs do interface do tnel Encapsula os pacotes IPv6 em pacotes IPv4 Envia os pacotes IPv6 para o router (do lado B) A entrega efectuada atravs da infraestrutura IPv4 que existe entre ambos (Internet) O router (do lado B) desencapsula os pacotes IPv6 a partir do payload dos pacotes IPv4 recebidos Os pacotes IPv6 so encaminhados internamente at rede onde est o n B O n B recebe os pacotes IPv6

Tnel - Endereamento

Manuais ou automticos? Os tneis podem ser criados manualmente ou de forma automtica Manualmente Requer interveno manual nos dois extremos No funciona quando os endereos IPv4 mudam (DSL, ) Boa soluo do ponto de vista da gesto: sabe-se o que est no outro extremo do tnel Automaticamente Tneis criados a pedido, mas sem interveno humana Inclui o mecanismo 6TO4 (RFC3056) Outros mecanismos: ISATAP (RFC4214) e Teredo (RFC4380, RFC5991 e RFC6081)

Tunnel Broker Modo de Operao: processo de registo, para permitir posterior autenticao, quando o pedido de criao de um tnel efectuado/recebido de um determinado endereo IPv4 o broker configura o seu lado do tnel e envia as configuraes necessrias para que o outro extremo seja configurado pelo cliente Este mecanismo est descrito no RFC3053, de forma a possibilitar a conectividade de sistema a router, e tambm de router a router Exemplos: www.freenet6.net (CA) ipv6tb.he.net (US) www.sixxs.net (EU)

6to4 O mecanismo 6to4 usado para ligar duas ilhas IPv6 atravs da rede IPv4 O prefixo de rede IPv6 2002::/16 est reservado para este mecanismo Os 32 bits seguintes do endereo so os bits do endereo IPv4 do router 6to4 Exemplo: um router 6to4 com o endereo 192.0.1.1 usar um prefixo IPv6 2002:c000:0101::/48 para a rede do seu site de transio Quando um router 6to4 recebe um pacote para um destino com um prefixo 2002::/16, ele sabe que tem de envi-lo encapsulado atravs do mundo IPv4 para o endereo indicado nos 32 bits seguintes

6to4 - Mapa

6to4 - Caractersticas Positivo: Simples de instalar e usar Completamente automtico; no necessita de interveno humana para que seja configurado um novo tnel Os pacotes atravessam os tneis at ao destino usando o melhor caminho disponvel na rede IPv4 Negativo: Os relays 6to4 podem ser usados em ataques (DoS attacks) O RFC3964 descreve alguns cuidados a ter em conta

6to4 Relay Um router que seja um 6to4 Relay possui um endereo 6to4 mas tambm um endereo no mundo IPv6 Dois casos a considerar: Pacotes IPv6 enviados de um site 6to4 para um destino no mundo IPv6 (fora de 2002::/16) atravessam um tnel at ao relay e a so encaminhados para a Internet IPv6 at ao seu destino Os relays 6to4 so anunciados no endereo IPv4 anycast 192.88.99.1. Pacotes IPv6 enviados da Internet IPv6 at um site 6to4 (portanto num prefixo 2002::/16) so encaminhados at um relay 6to4 e ento atravessam um tnel at ao destino. O relay anuncia a rede 2002::/16 aos seus vizinhos na Internet IPv6

6to4 Relay - Exemplo

6to4 - Aspectos 6to4 um mecanismo de transio interessante Embora possua alguns detalhes operacionais menos positivos Problema 1: Possibilidade de abuso do relay Pode ser usado num ataque DoS Os endereos IPv6 que atravessam os tneis automticos podem ser falsificados (spoofed) Problema 2: Modelo assimtrico/robustez Um site 6to4 pode usar um relay 6to4 diferente de cada vez que comunica com um destino na Internet IPv6 (isso depende apenas do estado das rotas IPv6 e IPv4). Alguns relays 6to4 podem ficar inatingveis caso os ISPs filtrem a informao de routing como forma de apenas os seus clientes poderem alcanar o relay 6to4 que disponibilizam

6to4 Encaminhamento Assimtrico

Network layer: NAT-PT Network Address Translation - Protocol Translation Definido no RFC2766, Descontinuado no RFC4966 Similar ao NAT do IPv4, mas com traduo de protocolo Usa o protocolo SIIT (RFC2765, tornado obsoleto pelo RFC6145) O SIIT define algoritmos para traduzir os cabealhos de pacotes IPv4 e IPv6, quando possvel O NAT-PT adiciona ao SIIT gamas de endereos IPv4 Tradues IPv4-para-IPv6 e IPv6-para-IPv4 so suportadas

NAT-PT: Topologia

NAT-PT e DNS O protocolo DNS ALG traduz queries DNS de registos IPv6 (AAAA), para queries DNS de registos IPv4 (A). Quando a resposta com o registo (A) recebida, o DNS ALG traduz o resultado para um endereo IPv6 Guardando o tuplo : O sistema cliente vai usar o endereo IPv6 para contactar o destino, que ser traduzido pelo mecanismo de NAT-PT para o destino real em IPv4

NAT-PT: Aspectos Negativos Todas as desvantagens do NAT em IPv4, e um pouco mais: Necessita de manter os estados nos equipamentos que suportam o NAT-PT Necessita de lidar com os endereos IP embebidos no payload do pacote (ex: FTP) Os aspectos relacionados com o DNS so complexos A principal dificuldade no ser escalvel para ambientes de mdia/grande dimenso

NAT64 Um bloco IPv6 usado para mapear endereos IPv4 Pode ser usado um prefixo /96, /64 ou outros O DNS64 converte registos A em AAAA usando o prefixo do NAT64 e fornece registos A e AAAA aos clientes. por Ivan Pepellnjak (NIL), [email protected]

NAT64 O NAT64 e o DNS64 so dois componentes separados O router que implementa o NAT64 deve anunciar o prefixo de traduo para a rede IPv6 Implementaes Open source: Ecdysis Microsoft: Forefront UAG Direct Access Cisco: CGv6 Ericsson: verses trial por Ivan Pepellnjak (NIL), [email protected]

Carrier Grade NAT por Joo Damas (BONDIS/ISC), World IPv6 Day 2011, Lisboa O que um CGN ? Uma soluo para o esgotamento IPv4, sem IPv6 Partilha de 1 endereo IPv4 por vrios utilizadores Cada utilizador recebe apenas algumas portas

Carrier Grade NAT por Joo Damas (BONDIS/ISC), World IPv6 Day 2011, Lisboa Porque altamente indesejvel? Complexidade na rede e nas aplicaes O seu uso dificulta a criao de novas aplicaes Limitaes para os utilizadores Quebra completamente o prncipio fim-a-fim Mais uma forma de Walled Garden (captura de utilizadores) Algumas portas (dum mesmo IP) so mais especiais que outras (ex: porta 80 [www], porta 22 [ssh], etc)

Clip: IPv6 Are you Ready? Cisco Systems http://www.youtube.com/watch?v=eYffYT2y-Iw

Os tneis podem ser manuais ou automticos. Recapitulando Os mecanismos de transio no so perfeitos e no podemos esperar uma boa performance. O 6to4 um mecanismo simples, mas cego na traduo que realiza.

Recapitulando O NAT64 uma evoluo do NAT-PT que tem por objectivo ligar ambientes s-IPv6 Internet IPv4. A transio faz-se atravs da introduo do IPv6, em paralelo com o IPv4, e recorrendo aos mecanismos de transio apenas em ltimo caso. O CGN, a ser usado, mudar o funcionamento da Internet como o conhecemos hoje (para pior!).

Componente Prtica

Prtica #1 Instalar um servidor WEB IPv4+IPv6 (software Apache) Acessvel por: www0.ip6.fccn.pt yum y install httpd Editar /etc/httpd/conf/httpd.conf Dir. Para colocar contudos: /var/www/html Reiniciar o servio: /etc/init.d/httpd restart Verificar funcionamento, usando um browser e o nome para aceder em IPv6 ao servio Objectivo: Activao de um servidor WEB acessvel por IPv6

Prtica #2 Instalar um servidor FTP IPv4+IPv6 (software VsFTPd) Acessvel por: ftp0.ip6.fccn.pt yum y install vsftpd Editar /etc/vsftpd/vsftpd.conf Dir. Para colocar ficheiros: /var/ftp/pub Reiniciar o servio: /etc/init.d/vsftpd restart Verificar funcionamento, usando um cliente FTP e o nome para aceder em IPv6 ao servio Objectivo: Operar um servidor de ficheiros acessvel via IPv6

Prtica #3 Instalar um servidor de E-Mail IPv4+IPv6 (software Postfix) Nome:mail0.ip6.fccn.pt yum y install postfix Editar /etc/postfix/main.cf Reiniciar o servio: /etc/init.d/postfix restart Fazer telnet ao porto 25, e verificar que o servio est activo Verificar tambm no DNS que o servidor MX para o domnio ip6.fccn.pt (ferramenta DIG) Dig ip6.fccn.pt mx Objectivo: Operar um servidor e-mail que funcione sobre IPv6

Prtica #4 Usar a ferramenta NMAP (nmap.org) Analisar os portos/servios em escuta em IPv4 e IPv6 no sistema Linux Endereos Localhost: nmap 127.0.0.1 nmap -6 ::1 Endereos Globais: nmap nmap -6 Objectivo: Diagnosticar portos que recebem ligaes num sistema

Prtica #5 OSPFv3 Entrar no respectivo router Configurar o processo OSPF 100 Verificar que as vizinhanas se formam (ver HowTo-Routing.pdf) Objectivo: Verificar funcionamento de protocolo de encaminhamento interno em IPv6

Prtica #6 BGP4+ Entrar no respectivo router Declarar uma vizinhana BGP com os restantes routers Sistema Autnomo = 65000 + Anunciar a rota 2001:690:1F00:BBB ::/64 (ver HowTo-Routing.pdf) Objectivo: Verificar funcionamento de protocolo de encaminhamento externo em IPv6

Prtica #7A Estabelecer um tnel IPv6 sobre IPv4 entre o servidor box e um router ip tunnel add sit1 mode sit ttl 10 remote 193.136.5.34 local ip link set dev sit1 up ifconfig sit1 inet6 add 2001:690:1F00:AAA ::2/64 Verificar Rotas IPv6 (/sbin/route A inet6) Reencaminhar uma rota para o novo tnel /sbin/route A inet6 add 2A00:1450::/32 gw 2001:690:1F00:AAA ::1 Efectuar traceroute6 (para ipv6.google.com) Objectivo: Verificar alterao no contexto de encaminhamento

Prtica #7B

formação ipv6 28 e 29 de novembro de 2011 portugal carlos friaças

Documents