Introduçãoao

Protocolo IPv6

Abívio Pimenta

ROTEIRO● Motivações● Características Básicas● IPSec● Políticas de Migração● Principais Obstáculos● Considerações Finais

Motivações● Esgotamento dos Endereços IPv4 e

necessidade de mais endereços;– Uso de NAT,DHCP e CIDR retardaram o

esgotamento;– IPv4 suporta até 4,2 bilhões de endereços;– Política de distribuição inicial dos endereços

não racional ● Suporte à aplicações inicialmente não

previstas:– QoS e IPSec

Distribuição de IP's pelo Globo

Disponibilidade de Endereços

Os Endereços IPv4 Já Acabaram!!!!

Dia 03/02/2011: IANA distribui os últimos 5 blocos /8

Dia 15/04/2011: APNIC exaure seus endereços IPv4

Características● Usa 128 bits (2128 endereços), apesar de

algumas combinações serem reservadas;● Aprox. 56 octilhões de endereços por pessoa;● Sem classe de endereços;● Suporte nativo à QoS;● Suporte nativo ao IPSec;● Extinção de NAT,ARP,● IPv6 é um protocolo NOVO!!!!

Formato do Endereço● Endereço IPV6:

– 2001:0db8:85a3:08d3:1319:8a2e:0370:7344– 2001:0db8:85a3:0000:0000:0000:0000:7344– 2001:0db8:85a3::7344;

● Representação dos zeros contínuos por “::”;● Omissão de zeros à esquerda;● Uso de maiusculas ou minusculas

Formato do Endereço● Como acessar uma URL IPv6?

– http://192.168.10.23:80 (IPv4)– http://[2001:12ff:0:4::22]:8080 (IPv6)

Comparativo Cabeçalhos

Cabeçalho IPv6● Cabeçalho mais simples;● Maior flexibilidade por meio dos cabeçalhos

de Extensão;● Menor Overhead de processamento do

cabeçalho;

Cabeçalhos de Extensão● Ficam entre o cabeçalho-base e o cabeçalho

da camada de transporte;● Abrigam as opções adicionais;● Não há tamanho fixo, nem quantidade para

estes cabeçalhos;● Cadeia de cabeçalhos;● Hop-by-hop options, Destination

Options,Routing, Fragmentation, Authentication Header, Encapsulating Security Payload;

Tipos de Endereços● Unicast: identifica uma única interface na

rede;● Anycast: identifica um conjunto de interfaces.

Usado na comunicações de um-para-um-de-muitos;

● Multicast: Identifica um conjunto de interfaces. Utilizado em comunicações de um-para-muitos;

● Broadcast foi abolido no IPv6;

Tipos Unicast● Global Unicast: equivale aos endereços

públicos IPv4;● Link Local: Pode ser usado apenas no enlace

específico onde a interface está conectada, é atribuída automaticamente, usando o prefixo FE80::/64

● Site Local: são os endereços “privados” do IPv6. Identificados pelo prefixo FEC0::/64, só devem ser usados quando as estações não precisarem acessar à Internet.

Funcionalidades Básicas● ICMPv6: mesma função do ICMPv4, mas não

compatível– Assume algumas das funções do ARP e do

IGMP;● Neighbor Discovery: combina as funções do

ARP, ICMP Router Discovery(mensagens do tipo Router Advertisement) e do ICMP Redirect ;

– Torna mais dinâmico alguns processos como: descoberta de endereços duplicados, encontrar roteadores vizinhos, etc...

AutoConfiguração● Stateless

– Feita pelo Neighbor Discovery, detecta endereços duplicados;

– Simples, não requer nenhum servidor– Uso ineficiente do espaço de endereçamento;– Falta de controle no acesso à rede local

● Stateful– Versão IPv6 do DHCP

DHCPv6● Stateful

– Usa o protocolo UDP;– Comunicação inicial feita usando endereços

do tipo Link Local– Servidores usam um endereço multicast

reservado (FF02::1:2 ou FF05::1:3);– Sua utilização é indicada via uso de opções

das mensagens Router Advertisement;● Pode ser usado uma mistura de Stateless

com Stateful

IPSec● Framework que visa garantir comunicações

seguras;● Confidencialidade, integridade e

autenticidade;● Desenvolvido inicialmente como parte

integrante do IPv6;● Adaptado para funcionar no IPv4;● Funciona ou no modo de transporte ou modo

túnel (camada 3);

Objetivos - IPSec

● Criar uma infraestrutura segura de proteção aos cabeçalhos de dados e de chaves;

● Redução da preoucupação de implementar mecanismos de segurança nas aplicações;

● Compatibilidade com mecanismos de segurança já existentes;

● Evitar problemas de exportação de criptografia;

Características - IPSec● Implementa encriptação e autenticação na

camada de rede● Aplicativos não precisam de modificações ou

plugins para fazerem uso do IPSec;● Combina diversas técnicas de segurança

(troca de chaves Diffie-Hellman, algoritmo de Hash, 3DES, certificados digitais);

IPSec – Associação de Segurança

● Conjunto de diretivas para negociar quais algoritmos de criptografia serão usados;

● Representa a associação entre duas ou mais entidades comunicantes;

● Representado pelo Security Parameter Index(SPI) e pelo IP de destino;

● Em uma comunicação segura, são necessários pelo menos 2 SPI´s;

Modos do IPSec● Modo Tunel

● Modo Transporte

Cabeçalhos IPSec● Implementado através dos cabeçalhos de

extensão AH (Authetication Header) e ESP (Encapsulation Security Payload); e do protocolo de gerenciamento de chaves (ISAKMP/IKE);

● Método padrão IPv6 para garantir Privacidade, Integridade e autenticidade dos dados;

IPSec - AH● Cabeçalho:

●É adicionado após os cabeçalhos Hop­by­Hop, Routing e Fragmentation (se houver);●Pode ser usado em ambos os modos de operação;

IPSec - ESP● Cabeçalho:

●Responsável pela criptografia dos dados;●Pode ser combinado com o AH

IPSec – ISAKMP/IKE● Na versão atual (IPSec – V3), os algoritmos default

são o HMAC-SHA1 e o AES-CBC128, substituindo o MD5 e o DES;

● Descreve a infraestrutura para a gestão de chaves; tempo de validade das chaves, algoritmos usáveis, etc...;

● Conexão feita em 2 estágios;● Fase 1: Canal inseguro. Negociação dos algoritmos

de criptografia, hash e método de autenticação;● Fase 2: Canal seguro: Negociação do IPSec,

geração de chaves e alguns parametros da fase 1

Políticas de Migração● Por onde começar?● Troca imediata é inviável devido ao tamanho

atual da estrutura IPv4;● Redes IPv4 deverão se comunicar com redes

IPv6 e vice-versa;● Adoção do IPv6 será gradual;● IPv4 não tem data para ser desativado;● Período de Coexistência indefinido;

Politícas de Migração● Verifique se a sua infraestrutura (roteadores,

switches L3, servidores) possuem suporte;● Verifique se os sistemas operacionais das

estações e seus aplicativos (principalmente os de nicho ou aqueles feitos por encomenda) possuem suporte;

Politicas de Migração● Principais Técnicas de Transição:

– Dual-Stack (pilha dupla): Ambos os protocolos no mesmo dispositivo;

– Tunelamento: tráfego IPv6 sob uma estrutura IPv4 (Teredo, ISATAP, GRE, 6to4,etc...);

– Tradução: permite a comunicação entre nós IPv6 apenas com nós IPv4 apenas (SIIT, BIS, BIA,TRT, etc...);

Vantagens Adicionais - IPv6● Alguns tipo de ataques irão se tornar mais

dispendiosos ou impraticáveis;● Ataques por Scanning serão bem mais

demorados, devido à maior quantidade de endereços a serem rastreados;

● Ataques baseados em endereços de Broadcast inicialmente deverão estar indisponíveis;

Mas nem tudo é perfeito...● Muitas formas de ataque (Man-in-the-middle,

vírus, Sniffing, etc...) continuam válidas;● Algumas implementações de IPv6 ainda não

suportam IPSec integralmente;● Surgirão novas técnicas de ataque;● Surgirão novos bugs;● IPSec não é uma solução “Tabajara”;

Principais Obstáculos (ou onde o bicho pega....)

● Talvez o Hardware tenha que ser trocado;● É provável que o software tenha que ser

atualizado;● Investimento em tempo e treinamento;● Planejamento apressado implica em chances

maiores de erros....● Verificar se TODAS as suas aplicações

possui suporte;

Principais Obstáculos(ou onde o bicho pega...)

● Alguns equipamentos domésticos não estão preparados;

● Em redes complexas, é possível ter que migrar para outro protocolo interno de roteamento (IS-IS ou OSPF-V3)

Considerações Finais

Estamos Muito atrasados em relação ao 1º Mundo!!!!

O que se esperava...

... e o “corre-corre” de hoje!!!

IPv6 Hoje● Quem já usa IPv6:

– Google, UFScar, RNP, YouTube, Telefônica(experimental), Telebrás(PNBL);

● Japão usa sistema de incentivos;● 8 de junho de 2011: “Dia Mundial do IPv6”;

Case: UFSCar● Primeira universidade brasileira a ter

estrutura pública IPv6;● Projeto concluído em Setembro de 2010;● Substituiu os roteadores antigos por

computadores com softwares livres;● Rede Interna em modo dual-stack para

compatibilidade;● Apoio no projeto-piloto feito pelo NIC.br;

Quais os riscos do atraso?● Usuários podem ficar sem acesso à links IPv6

puros● Aumento nos custos● Custo de Oportunidade● Perda de competitividade● Dificuldades ligadas à falta de endereços

públicos IPv4 (Programas de Inclusão Digital, Redes 3G, etc...);

Como configurar IPv6 - Windows

Como configurar IPv6 - Linux● Arquivo de configuração varia de acordo com

a distribuição usada:– /etc/network/interface– /etc/sysconfig/network-scripts/ifcfg-eth0;

● Comando “TABAJARA”:– ifconfig eth0 add fee::0015:f2ff:ffa1:d9cc

Links Úteis● http://www.ipv6.br● http://lacnic.net/pt/● http://www.icann.org/tr/portuguese.html● http://www.iana.org/numbers/● http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html

● http://portalipv6.lacnic.net/pt-br/portal-ipv6-1● http://test-ipv6.com/● http://validador.ipv6.br/index.php?lang=pt● https://docs.google.com/open?

id=0BwjLj3ErpjuSUFc2Ynh5cTlUN0tEZmR5V3I5Zlo0QQ

DÚVIDAS....