introdução ao protocolo ipv6
DESCRIPTION
Apresentação introdutória sobre o IPv6, para a Semana de Tecnologia da Faculdade de Tecnologia do Nordeste (FATENE), realizado em 2012TRANSCRIPT
Introduçãoao
Protocolo IPv6
Abívio Pimenta
ROTEIRO● Motivações● Características Básicas● IPSec● Políticas de Migração● Principais Obstáculos● Considerações Finais
Motivações● Esgotamento dos Endereços IPv4 e
necessidade de mais endereços;– Uso de NAT,DHCP e CIDR retardaram o
esgotamento;– IPv4 suporta até 4,2 bilhões de endereços;– Política de distribuição inicial dos endereços
não racional ● Suporte à aplicações inicialmente não
previstas:– QoS e IPSec
Distribuição de IP's pelo Globo
Disponibilidade de Endereços
Os Endereços IPv4 Já Acabaram!!!!
Dia 03/02/2011: IANA distribui os últimos 5 blocos /8
Dia 15/04/2011: APNIC exaure seus endereços IPv4
Características● Usa 128 bits (2128 endereços), apesar de
algumas combinações serem reservadas;● Aprox. 56 octilhões de endereços por pessoa;● Sem classe de endereços;● Suporte nativo à QoS;● Suporte nativo ao IPSec;● Extinção de NAT,ARP,● IPv6 é um protocolo NOVO!!!!
Formato do Endereço● Endereço IPV6:
– 2001:0db8:85a3:08d3:1319:8a2e:0370:7344– 2001:0db8:85a3:0000:0000:0000:0000:7344– 2001:0db8:85a3::7344;
● Representação dos zeros contínuos por “::”;● Omissão de zeros à esquerda;● Uso de maiusculas ou minusculas
Formato do Endereço● Como acessar uma URL IPv6?
– http://192.168.10.23:80 (IPv4)– http://[2001:12ff:0:4::22]:8080 (IPv6)
Comparativo Cabeçalhos
Cabeçalho IPv6● Cabeçalho mais simples;● Maior flexibilidade por meio dos cabeçalhos
de Extensão;● Menor Overhead de processamento do
cabeçalho;
Cabeçalhos de Extensão● Ficam entre o cabeçalho-base e o cabeçalho
da camada de transporte;● Abrigam as opções adicionais;● Não há tamanho fixo, nem quantidade para
estes cabeçalhos;● Cadeia de cabeçalhos;● Hop-by-hop options, Destination
Options,Routing, Fragmentation, Authentication Header, Encapsulating Security Payload;
Tipos de Endereços● Unicast: identifica uma única interface na
rede;● Anycast: identifica um conjunto de interfaces.
Usado na comunicações de um-para-um-de-muitos;
● Multicast: Identifica um conjunto de interfaces. Utilizado em comunicações de um-para-muitos;
● Broadcast foi abolido no IPv6;
Tipos Unicast● Global Unicast: equivale aos endereços
públicos IPv4;● Link Local: Pode ser usado apenas no enlace
específico onde a interface está conectada, é atribuída automaticamente, usando o prefixo FE80::/64
● Site Local: são os endereços “privados” do IPv6. Identificados pelo prefixo FEC0::/64, só devem ser usados quando as estações não precisarem acessar à Internet.
Funcionalidades Básicas● ICMPv6: mesma função do ICMPv4, mas não
compatível– Assume algumas das funções do ARP e do
IGMP;● Neighbor Discovery: combina as funções do
ARP, ICMP Router Discovery(mensagens do tipo Router Advertisement) e do ICMP Redirect ;
– Torna mais dinâmico alguns processos como: descoberta de endereços duplicados, encontrar roteadores vizinhos, etc...
AutoConfiguração● Stateless
– Feita pelo Neighbor Discovery, detecta endereços duplicados;
– Simples, não requer nenhum servidor– Uso ineficiente do espaço de endereçamento;– Falta de controle no acesso à rede local
● Stateful– Versão IPv6 do DHCP
DHCPv6● Stateful
– Usa o protocolo UDP;– Comunicação inicial feita usando endereços
do tipo Link Local– Servidores usam um endereço multicast
reservado (FF02::1:2 ou FF05::1:3);– Sua utilização é indicada via uso de opções
das mensagens Router Advertisement;● Pode ser usado uma mistura de Stateless
com Stateful
IPSec● Framework que visa garantir comunicações
seguras;● Confidencialidade, integridade e
autenticidade;● Desenvolvido inicialmente como parte
integrante do IPv6;● Adaptado para funcionar no IPv4;● Funciona ou no modo de transporte ou modo
túnel (camada 3);
Objetivos - IPSec
● Criar uma infraestrutura segura de proteção aos cabeçalhos de dados e de chaves;
● Redução da preoucupação de implementar mecanismos de segurança nas aplicações;
● Compatibilidade com mecanismos de segurança já existentes;
● Evitar problemas de exportação de criptografia;
Características - IPSec● Implementa encriptação e autenticação na
camada de rede● Aplicativos não precisam de modificações ou
plugins para fazerem uso do IPSec;● Combina diversas técnicas de segurança
(troca de chaves Diffie-Hellman, algoritmo de Hash, 3DES, certificados digitais);
IPSec – Associação de Segurança
● Conjunto de diretivas para negociar quais algoritmos de criptografia serão usados;
● Representa a associação entre duas ou mais entidades comunicantes;
● Representado pelo Security Parameter Index(SPI) e pelo IP de destino;
● Em uma comunicação segura, são necessários pelo menos 2 SPI´s;
Modos do IPSec● Modo Tunel
● Modo Transporte
Cabeçalhos IPSec● Implementado através dos cabeçalhos de
extensão AH (Authetication Header) e ESP (Encapsulation Security Payload); e do protocolo de gerenciamento de chaves (ISAKMP/IKE);
● Método padrão IPv6 para garantir Privacidade, Integridade e autenticidade dos dados;
IPSec - AH● Cabeçalho:
●É adicionado após os cabeçalhos HopbyHop, Routing e Fragmentation (se houver);●Pode ser usado em ambos os modos de operação;
IPSec - ESP● Cabeçalho:
●Responsável pela criptografia dos dados;●Pode ser combinado com o AH
IPSec – ISAKMP/IKE● Na versão atual (IPSec – V3), os algoritmos default
são o HMAC-SHA1 e o AES-CBC128, substituindo o MD5 e o DES;
● Descreve a infraestrutura para a gestão de chaves; tempo de validade das chaves, algoritmos usáveis, etc...;
● Conexão feita em 2 estágios;● Fase 1: Canal inseguro. Negociação dos algoritmos
de criptografia, hash e método de autenticação;● Fase 2: Canal seguro: Negociação do IPSec,
geração de chaves e alguns parametros da fase 1
Políticas de Migração● Por onde começar?● Troca imediata é inviável devido ao tamanho
atual da estrutura IPv4;● Redes IPv4 deverão se comunicar com redes
IPv6 e vice-versa;● Adoção do IPv6 será gradual;● IPv4 não tem data para ser desativado;● Período de Coexistência indefinido;
Politícas de Migração● Verifique se a sua infraestrutura (roteadores,
switches L3, servidores) possuem suporte;● Verifique se os sistemas operacionais das
estações e seus aplicativos (principalmente os de nicho ou aqueles feitos por encomenda) possuem suporte;
Politicas de Migração● Principais Técnicas de Transição:
– Dual-Stack (pilha dupla): Ambos os protocolos no mesmo dispositivo;
– Tunelamento: tráfego IPv6 sob uma estrutura IPv4 (Teredo, ISATAP, GRE, 6to4,etc...);
– Tradução: permite a comunicação entre nós IPv6 apenas com nós IPv4 apenas (SIIT, BIS, BIA,TRT, etc...);
Vantagens Adicionais - IPv6● Alguns tipo de ataques irão se tornar mais
dispendiosos ou impraticáveis;● Ataques por Scanning serão bem mais
demorados, devido à maior quantidade de endereços a serem rastreados;
● Ataques baseados em endereços de Broadcast inicialmente deverão estar indisponíveis;
Mas nem tudo é perfeito...● Muitas formas de ataque (Man-in-the-middle,
vírus, Sniffing, etc...) continuam válidas;● Algumas implementações de IPv6 ainda não
suportam IPSec integralmente;● Surgirão novas técnicas de ataque;● Surgirão novos bugs;● IPSec não é uma solução “Tabajara”;
Principais Obstáculos (ou onde o bicho pega....)
● Talvez o Hardware tenha que ser trocado;● É provável que o software tenha que ser
atualizado;● Investimento em tempo e treinamento;● Planejamento apressado implica em chances
maiores de erros....● Verificar se TODAS as suas aplicações
possui suporte;
Principais Obstáculos(ou onde o bicho pega...)
● Alguns equipamentos domésticos não estão preparados;
● Em redes complexas, é possível ter que migrar para outro protocolo interno de roteamento (IS-IS ou OSPF-V3)
Considerações Finais
Estamos Muito atrasados em relação ao 1º Mundo!!!!
O que se esperava...
... e o “corre-corre” de hoje!!!
IPv6 Hoje● Quem já usa IPv6:
– Google, UFScar, RNP, YouTube, Telefônica(experimental), Telebrás(PNBL);
● Japão usa sistema de incentivos;● 8 de junho de 2011: “Dia Mundial do IPv6”;
Case: UFSCar● Primeira universidade brasileira a ter
estrutura pública IPv6;● Projeto concluído em Setembro de 2010;● Substituiu os roteadores antigos por
computadores com softwares livres;● Rede Interna em modo dual-stack para
compatibilidade;● Apoio no projeto-piloto feito pelo NIC.br;
Quais os riscos do atraso?● Usuários podem ficar sem acesso à links IPv6
puros● Aumento nos custos● Custo de Oportunidade● Perda de competitividade● Dificuldades ligadas à falta de endereços
públicos IPv4 (Programas de Inclusão Digital, Redes 3G, etc...);
Como configurar IPv6 - Windows
Como configurar IPv6 - Linux● Arquivo de configuração varia de acordo com
a distribuição usada:– /etc/network/interface– /etc/sysconfig/network-scripts/ifcfg-eth0;
● Comando “TABAJARA”:– ifconfig eth0 add fee::0015:f2ff:ffa1:d9cc
Links Úteis● http://www.ipv6.br● http://lacnic.net/pt/● http://www.icann.org/tr/portuguese.html● http://www.iana.org/numbers/● http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html
● http://portalipv6.lacnic.net/pt-br/portal-ipv6-1● http://test-ipv6.com/● http://validador.ipv6.br/index.php?lang=pt● https://docs.google.com/open?
id=0BwjLj3ErpjuSUFc2Ynh5cTlUN0tEZmR5V3I5Zlo0QQ
DÚVIDAS....