Formao IPv6 28 e 29 de Novembro de 2011 Portugal Carlos
Friaas
Slide 2
Direitos de Autor Este conjunto de slides pertence ao projecto
6DEPLOY-2, atravs dos seus parceiros. A verso Powerpoint deste
contedo pode apenas ser reutilizado e modificado com autorizao
escrita dos autores O uso parcial deste contedo permitido se o
devido crdito for atribudo ao projecto 6DEPLOY-2 Os ficheiros em
formato PDF esto disponveis em www.6deploy.eu Contactos: E-Mail
para: [email protected] Ou:
[email protected]
Slide 3
Aplicaes 29 de Novembro de 2011 Portugal Carlos Friaas
Slide 4
Agenda Apache E-Mail/Postfix FTP Multicast Videoconferncia /
Video on Demand P2P
Slide 5
Apache >= 2.x suporta IPv6 Existem patches para verses 1.3.x
Directivas Listen 80 (colocar apenas o porto e no um IP)
NameVirtualHost (colocar o endereo IPv6 entre [ ]) VirtualHost
(colocar o endereo IPv6 entre [ ]) Exemplo de configurao:
httpd.conf Listen 80 NameVirtualHost
[2001:690:1fff:200:20e:cff:fe31:c81f] DocumentRoot
/usr/local/apache2/htdocs/lg ServerAdmin [email protected] ServerName
lg.ip6.fccn.pt ServerAlias lg.tbed.ip6.fccn.pt ServerSignature
email Web/Apache
Slide 6
Postfix >= 2.2 suporta IPv6 Exemplo de configurao:
/etc/postfix/main.cf inet_protocols = ipv4, ipv6 smtp_bind_address6
= 2001:db8:1:1::1600 smtp_bind_address = 172.16.250.1
inet_interfaces = 2001:db8:1:1::1600, localhost mynetworks =
[2001:db8:1:1::]/64 172.16.250.0/24 [::1]/128 127.0.0.0/8 Responde
no porto 25, tanto em IPv4 como em IPv6 E-Mail/Postfix
VsFTP >= 2.0.x suporta IPv6 Exemplo de configurao:
/etc/xinetd.d/vsftpd service ftp { socket_type = stream wait = no
user = root server = /usr/local/sbin/vsftpd server_args =
/etc/vsftpd.conf flags = IPv6 nice = 10 disable = no } Responde no
porto 21, tanto em IPv4 como em IPv6 FTP
Slide 9
Objectivo: Poupana em fluxos de trfego Arquitectura dfcil de
manter no inter-domnio (entre redes de ISPs diferentes) Com o IPv6
surge o conceito de Source Specific Multicast (SSM) Multicast
Slide 10
IPv4: IGMP, Internet Group Management Protocol IPv6: MLD,
Multicast Listener Discovery Protocolos para Gerir Grupos Multicast
utilizados entre o cliente (pc) e o gateway evitam que as portas
que no esto a aceder a grupos Multicast recebam trfego indesejado
Multicast
Windows Media Services 9 (>Win2003 Server) Ferramenta
VideoLan www.videolan.org Stream sobre IPv6 Menu Media Abrir emisso
de rede http://servidor/ficheiro (servidor = nome com AAAA) Video
On-Demand
Slide 13
Domnio de Endereamento Global Virtualmente todos os ns prestam
um servio Meios: DNS, Servio de Ponto de Encontro Sem restries em
relao ao iniciador Todos os participantes partilham uma viso
consistente da rede NAT no facilita funcionamento P2P -
Peer-to-Peer
Slide 14
Protocolo criado em 2002 Existem contedos legais acessveis
atravs deste protocolo: http://fedoraproject.org/en/get-fedora
Suporte em alguns clientes Sempre dependente da plataforma
Win/Linux/BSD/Mac Comunicao sobre IPv6 com: Tracker Outros clientes
P2P - Bittorrent
Slide 15
P2P - Azureus
Slide 16
P2P - uTorrent
Slide 17
O software de servidor WEB Apache, como outros, suporta IPv6.
Recapitulando O servio de E-Mail (envio e recepo) pode funcionar
completamente sobre IPv6. Existe diverso software que possibilita o
servio de arquivo/transferncia de ficheiros sobre o protocolo
IPv6.
Slide 18
Recapitulando O Multicast em IPv6 fica flexibilizado com o
surgimento do conceito SSM (source-specific Multicast). Servios de
Videoconferncia (nas suas vrias componentes) e de Videodifuso podem
funcionar sobre IPv6. Existe software variado que permite a
comunicao peer- to-peer sobre IPv6 entre ns de uma rede
bittorrent.
Slide 19
Obrigado ! Questes ?
Slide 20
Segurana 29 de Novembro de 2011 Portugal Carlos Friaas
Slide 21
Agenda O que h de novo no IPv6? Ameaas IPsec Firewall
Concluso
Slide 22
O que h de novo no IPv6? A Segurana foi uma preocupao desde o
incio reas que beneficiaram da forma de ver a rede trazida pelo
IPv6: Ameaas ao acesso mvel e ao IP mvel Endereos gerados
Criptograficamente Protocolos para Autenticao e Acesso Rede IPsec
Tornar as intruses mais difceis
Slide 23
Ameaas Escuta passiva e activa Repetio Anlise de Trfego Negao
de Servio Ataque Fsico Passwords Vrus, Cavalos de Tria, Worms
Acesso Acidental Desastres Naturais Engenharia Social
Slide 24
Ameaas Scanning de Gateways e Mquinas Scanning de Endereos
Multicast No havendo endereo broadcast possvel recorrer a outros
mtodos Spoofing Controle de acesso no autorizado Ter em ateno a
criao de listas de acesso para o protocolo IPv6
Slide 25
Ameaas Ataque ao Encaminhamento IPv6 recomendado o uso dos
tradicionais mecanismos no BGP e IS-IS O IPsec garante a segurana
de protocolos como o OSPFv3 e o RIPng Sniffing Sem o recurso ao
IPsec, o IPv6 est to exposto a este tipo de ataque como o IPv4
Mecanismos de transio Ataques especficos para diferentes
mecanismos
Slide 26
Ameaas Ataques Man-in-the-Middle Sem o uso de IPsec, este tipo
de ataques em IPv6 ou IPv4 semelhante Flooding DDOS Idnticos em
IPv4 e IPv6 Ataques ao nvel da Aplicao Actualmente, a maioria das
vulnerabilidades na Internet ao nvel da aplicao, que no beneficia
do uso do IPsec
Slide 27
Scanning em IPv6 Scanning = Varrimento O tamanho de cada rede
incomparavelmente maior As LANs tm 2^64 endereos. Deixa de ser
razovel pesquisar por um endereo sequencialmente Com 1 milho de
endereos/segundo, seriam necessrios mais de 500 mil anos para
percorrer todos os endereos de uma nica LAN
Slide 28
Scanning em IPv6 Os mtodos de Scanning em IPv6 vo provavelmente
evoluir Os servidores pblicos necessitam de estar registados no
DNS, o que constitui um alvo fcil Os Administradores das redes
podem adoptar endereos fceis de memorizar (ex: ::1,::2,::53) Os
endereos EUI-64 tm uma componente fixa (de 16 bits) Os cdigos que
identificam os fabricantes das placas de rede so bem conhecidos
(primeiros 24 bits do endereo MAC) Ao comprometer pontos
importantes da arquitectura (ex: routers), um atacante pode
detectar a existncia de muitos alvos possveis Outras tcnicas
incluem obteno de informao atravs de zonas de DNS ou de logs Negar
a transferncia de zona (para o mundo) prtica corrente
Slide 29
Scanning em IPv6 - Multicast Novos vectores de ataque Uso de
endereos Multicast para emular funes de router ou servidor DHCPv6
Todos os ns (FF02::1) Todos os routers (FF05::2) Todos os
servidores DHCPv6 (FF05::5) Estes endereos devem ser filtrados em
cada ponto de fronteira Este o comportamento por omisso se o IPv6
Multicast no estiver activo no Backbone
Slide 30
Spoofing em IPv6 A maior agregao que possvel com o IPv6, torna
menos complexa a filtragem para impedir o spoofing em pontos
estratgicos da rede O aspecto negativo tem a ver com os ltimos 64
bits Para identificar um utilizador atravs de um endereo IPv6,
seria necessrio manter constantemente o mapeamento entre endereos
IPv6 e endereos MAC
Slide 31
Spoofing em IPv4 com 6to4 Atravs de trfego injectado da
Internet IPv4 para uma rede IPv6, recorrendo s caractersticas do
mecanismo de transio 6to4 Origem IPv4: Origem IPv4 spoofed Destino
IPv4: Relay 6to4 Anycast (192.88.99.1) Origem IPv6: Origem IPv6
spoofed, com prefixo 2002:: Destino IPv6: Vlido Rede IPv6 Internet
IPv4 Rede IPv6 Atacante relay 6to4 gateway 6to4
Slide 32
Controle de acesso A implementao da poltica ainda feita nas
firewalls (ou listas de acesso nos routers) Algumas consideraes
Filtrar endereos multicast nos pontos de fronteira Filtrar endereos
IPv4 mapeados em IPv6 any deny ssh any 2001:db8:1::1 permit Dst
portSrc portDstSrcAction 2001:db8:2::2
Slide 33
Controle de acesso Criar filtros para endereos bogon em IPv4
mais fcil negar os bogon + redes privadas em IPv6 mais fcil
permitir os endereos legtimos host/net2001:db8::/32deny
serviceanyhost/net2002::/16permit serviceanyhost/net2001::/16permit
serviceanyhost/net2003::/16permit any deny
serviceanyhost/net3ffe::/16permit Dst portSrc portDstSrcAction
Slide 34
Encaminhamento Devem utilizar-se as mesmas medidas de proteco
que em IPv4 Autenticao de vizinhos (BGP) Filtragem de anncios
invlidos Cifragem de mensagens de encaminhamento Basicamente deve
aplicar-se o mesmo nvel de segurana em IPv6 e em IPv4 Nota: Ateno
nos routers a todos os servios que esto a correr (ex: http,telnet,
ssh). Estes devem estar tambm protegidos contra acessos indevidos
em IPv6.
Slide 35
Mecanismos de Transio H cerca de 15 mtodos com vrias combinaes
possveis Dual stack: aplicar o mesmo nvel de segurana para ambos os
protocolos Tneis iptunnel utiliza o Protocolo 41 para atravessar a
firewall tnel GRE ser mais aceitvel uma vez que j era usando
anteriormente ao aparecimento do IPv6.
Slide 36
DDoS No existem endereos broadcast em IPv6 Evita ataques atravs
do envio de pacotes ICMP para o endereo de broadcast As
especificaes do IPv6 proibem a gerao de pacotes ICMPv6 em resposta
a mensagens enviadas para endereos globais multicast (com a excepo
da mensagem Packet too big). Muitos sistemas operativos seguem a
especificao Ainda h alguma incerteza sobre o perigo que pode ser
criado por pacotes ICMPv6 com origem em endereos multicast
globais
Slide 37
Mitigao de DDoS em IPv6 Ter a certeza que os sistemas
implementam o descrito no RFC 4443 (e actualizado pelo RFC 4884)
Implementar filtragens recomendadas nos RFCs 2827 e 3704, entrada
do sistema autnomo Implementar filtragem entrada de pacotes IPv6
com endereos de origem IPv6 multicast na rede local
Slide 38
IPsec Mecanismos gerais de segurana IP Fornece Autenticao
Confidencialidade Gesto de Chaves necessita de uma infraestrura de
chaves pblicas (PKI) Aplicvel ao uso em LANs, e WANs pblicas &
privadas, e na Internet. Definido como obrigatrio nas normas do
IPv6 O IPsec no apenas um nico protocolo. O IPsec contm um conjunto
de algoritmos e uma infraestrutura que permite a comunicao entre
duas partes, independentemente do algoritmo apropriado para dotar
de segurana essa comunicao
Slide 39
IPsec Trabalho emanado do IPsec-wg do IETF Aplica-se tanto ao
IPv4 como ao IPv6 e a sua implementao : Mandatria para IPv6
Opcional para IPv4 Modos IPsec: Transporte & Tnel Arquitectura
IPsec: RFC 4301 (actualizado pelo RFC 6040) Protocolos IPsec:
Authentication Header AH (RFC 4302) Encapsulating Security Payload
- ESP (RFC 4303)
Slide 40
IPsec - Arquitectura Polticas de Segurana: Que trfego tratado?
Associaes de Segurana: Como processado o trfego? Protocolos de
Segurana: Que protocolos (extenses do cabealho) so usados? Gesto de
Chaves: Internet Key Exchange (IKE) Algoritmos: Autenticao e
Cifragem
Slide 41
IPsec - Modos Modo de Transporte Acima do nvel IP Apenas o
payload dos datagramas IP so protegidos Modo de Tnel IP dentro de
IP Todos os datagramas que atravessam o tnel so protegidos
Slide 42
IPsec : Gesto de Chaves Manual Chaves configuradas em cada
sistema Automtica: IKEv2 (Internet Key Exchange v2, RFC 4306)
Negociao da Associao de Segurana: ISAKMP Diferentes blocos
(payloads) so ligados a seguir ao cabealho ISAKMP Protocolos de
Troca de Chaves: Oakley, Scheme Algoritmos: Autenticao e
Cifragem
Slide 43
Proteco Firewalls IPv6 IPv6 & Firewalls No elimina a
segurana IPv4, se ela existir O processo do firewall IPv6 em geral
separado do firewall IPv4, mas pode ser efectuado no mesmo
equipamento Isto possvel, por exemplo, em firewalls Checkpoint Sem
necessidade de gerir NATs Mesmo nvel de segurana e privacidade
Segurana fim-a-fim com recurso a IPsec Suporte de transio e
coexistncia IPv4/IPv6
Slide 44
Internet Router Firewall Rede Protegida DMZ Firewall IPv6
arquitectura #1 Internet router firewall Rede Requisitos: Firewall
tem que suportar filtragem de pacotes Neighbor Discovery Firewall
tem que suportar filtragem de pacotes de Anncio de Router Firewall
tem que suportar o protocolo MLD, se o Multicast usado
Slide 45
Firewall IPv6 arquitectura #2 Internet firewall router Rede
Requisitos: Firewall tem que suportar filtragem de pacotes ND
Firewall tem que suportar filtragem de protocolos dinmicos de
encaminhamento (i.e. BGP, OSPF, IS-IS) Firewall idealmente ter uma
multiplicidade de interfaces Internet Router Firewall Rede
Protegida DMZ
Slide 46
Firewall IPv6 arquitectura #3 Internet firewall/router Rede
Requisitos Apenas um ponto para funes de routing e implementao de
polticas de segurana comum em ambientes SOHO Necessita suporte de
todas as funes de router e tambm de firewall Internet Router
Firewall Rede Protegida DMZ
Slide 47
O IPv6 pode potencialmente melhorar a segurana na Internet.
Recapitulando Os mecanismos de transio so uma fonte potencial de
problemas de segurana. A maioria das ameaas mantm-se no mundo IPv6,
embora algumas sofram mudanas.
Slide 48
Recapitulando Elementos como Firewalls, Routers, DNS, etc, j
esto apetrechados para funcionarem em IPv6 com segurana. A IPSec a
melhor ferramenta para mitigar vrios problemas. O posicionamento de
um firewall tem que ser pensado de acordo com o cenrio em que ser
usado.
Slide 49
Obrigado ! Questes ?
Slide 50
Encaminhamento 29 de Novembro de 2011 Portugal Carlos
Friaas
Slide 51
Agenda ISIS OSPFv3 Multiprotocolo BGP Concluses
Slide 52
Encaminhamento Sistemas uma questo a ter sempre em conta, de
qualquer ponto da rede, ou sistema OSIPv4IPv6 Cisco (IOS) show ip
routeshow ipv6 route WinXP/Win7 route printnetsh interface ipv6
show route Linux /sbin/route/sbin/route A inet6 Mac netstat r
ISISv6 um protocolo OSI Baseado em apenas dois nveis L2 =
Backbone L1 = Stub L2L1= Interligao L2 e L1 Funciona sobre o
protocolo CLNS Cada equipamento IS envia LSPs (Link State Packets)
Envia informao via TLVs (Tag/Length/values) Processo de
estabelecimento de vizinhanas no muda Operao inalterada
Slide 55
ISISv6 Actualizaes: Dois novos Tag/Length/Values (TLV) para
IPv6 IPv6 Reachability IPv6 Interface Address Novo identificador da
camada de rede IPv6 NLPID
Slide 56
OSPFv3 OSPFv3 = OSPF para IPv6 Baseado em OSPFv2 Topologia de
uma rea invisvel de fora dessa rea O flooding de LSAs feito por rea
O clculo da SPF realizado separadamente para cada rea Todas as reas
tm de dispr de uma ligao ao backbone (rea 0)
Slide 57
OSPFv3 OSPFv3 uma verso do protocolo exclusivamente IPv6 Numa
rede de pilha dupla necessrio correr OSPF2 (IPv4) e OSPFv3 (IPv6) H
algum trabalho a ser desenvolvido no sentido de dotar o OSPFv3 de
suporte IPv4.
Slide 58
OSPFv3 Detalhes Corre directamente sobre IPv6 Distribui
prefixos IPv6 Novos tipos de LSAs Os router-ids so endereos IPv4
Usa endereos Multicast Todos os routers (FF02::5) Todos os
designated routers (FF02::6)
Slide 59
BGP Multiprotocolo um protocolo de encaminhamento EXTERIOR
Interliga diferentes domnios de encaminhamento que tm polticas
autnomas/independentes. Cada um possui um nmero de sistema autnomo
(AS)
Slide 60
BGP Multiprotocolo Transporta sequncias de nmeros de AS que
ilustram caminhos Suporta as mesmas funcionalidades que o BGP para
IPv4 Vrias famlias de endereamento: IPv4 unicast IPv4 multicast
IPv6 unicast IPv6 multicast
Slide 61
BGP Multiprotocolo O BGP4 transporta apenas trs tipos de
informao que so verdadeiramente especficos do IPv4: O NLRI na
mensagem de UPDATE contm um prefixo IPv4 O atributo NEXT_HOP na
mensagem de UPDATE contm um endereo IPv4 O BGP ID no atributo
AGGREGATOR
Slide 62
BGP Multiprotocolo O RFC 4760 define extenses multi-protocolo
para o BGP4 Isto torna o BGP4 disponvel para outros protocolos de
rede (IPv6, MPLS) Novos atributos do BGP4: MP_REACH_NLRI
MP_UNREACH_NLRI Atributo NEXT_HOP independente de protocolo
Atributo NLRI independente de protocolo
Slide 63
Encaminhamento IPv6 vs. IPv4 a Nvel Global (19/08/2011)
IPv6IPv4 ROTAS 7614385468 ROTAS AGREGADAS 6612 (86,8%) 226084
(58,6%) SISTEMAS AUTNOMOS 4865 (12,3% face ao IPv4) 39488
www.cidr-report.org
Slide 64
Concluses ProtocoloIPv4IPv6Processos OSPFOSPFv2OSPFv3Dois IS-IS
Um BGPBGP4BGP4+Um
Slide 65
Todos os sistemas tm uma tabela de encaminhamento.
Recapitulando Existem protocolos de encaminhamento interno e
externo (para uso entre domnios). Alguns protocolos funcionam em
IPv4 e IPv6 a partir do mesmo processo, enquanto outros necessitam
de um processo distinto. Os principais protocolos de encaminhamento
j tm suporte IPv6 estvel. Pouco mais de 12% dos sistemas autnomos
existentes na Internet IPv4 esto ligados Internet IPv6.
Slide 66
Obrigado ! Questes ?
Slide 67
Transio 29 de Novembro de 2011 Portugal Carlos Friaas
Slide 68
Agenda Tneis 6to4 NAT-PT e NAT64 Carrier Grade NAT (CGN)
Slide 69
Tneis Inicialmente IPv6 sobre IPv4 (no futuro, IPv4 sobre
IPv6!) Pacotes IPv6 so encapsulados em pacotes IPv4 O pacote IPv6 o
payload do pacote IPv4 Usualmente usado entre routers de forma a
interligar ilhas de redes IPv6 O router de acesso fala IPv6
internamente com os sistemas na sua LAN Encapsula pacotes IPv6 em
pacotes IPv4 na direco do outro extremo do tnel
Slide 70
Entrega de pacotes atravs do tnel O n A IPv6 envia pacotes para
o n B IPv6 Encaminhados localmente para o router O router (do lado
A) conhece o melhor caminho para o destino (n B) atravs do
interface do tnel Encapsula os pacotes IPv6 em pacotes IPv4 Envia
os pacotes IPv6 para o router (do lado B) A entrega efectuada
atravs da infraestrutura IPv4 que existe entre ambos (Internet) O
router (do lado B) desencapsula os pacotes IPv6 a partir do payload
dos pacotes IPv4 recebidos Os pacotes IPv6 so encaminhados
internamente at rede onde est o n B O n B recebe os pacotes
IPv6
Slide 71
Tnel - Endereamento
Slide 72
Manuais ou automticos? Os tneis podem ser criados manualmente
ou de forma automtica Manualmente Requer interveno manual nos dois
extremos No funciona quando os endereos IPv4 mudam (DSL, ) Boa
soluo do ponto de vista da gesto: sabe-se o que est no outro
extremo do tnel Automaticamente Tneis criados a pedido, mas sem
interveno humana Inclui o mecanismo 6TO4 (RFC3056) Outros
mecanismos: ISATAP (RFC4214) e Teredo (RFC4380, RFC5991 e
RFC6081)
Slide 73
Tunnel Broker Modo de Operao: processo de registo, para
permitir posterior autenticao, quando o pedido de criao de um tnel
efectuado/recebido de um determinado endereo IPv4 o broker
configura o seu lado do tnel e envia as configuraes necessrias para
que o outro extremo seja configurado pelo cliente Este mecanismo
est descrito no RFC3053, de forma a possibilitar a conectividade de
sistema a router, e tambm de router a router Exemplos:
www.freenet6.net (CA) ipv6tb.he.net (US) www.sixxs.net (EU)
Slide 74
6to4 O mecanismo 6to4 usado para ligar duas ilhas IPv6 atravs
da rede IPv4 O prefixo de rede IPv6 2002::/16 est reservado para
este mecanismo Os 32 bits seguintes do endereo so os bits do
endereo IPv4 do router 6to4 Exemplo: um router 6to4 com o endereo
192.0.1.1 usar um prefixo IPv6 2002:c000:0101::/48 para a rede do
seu site de transio Quando um router 6to4 recebe um pacote para um
destino com um prefixo 2002::/16, ele sabe que tem de envi-lo
encapsulado atravs do mundo IPv4 para o endereo indicado nos 32
bits seguintes
Slide 75
6to4 - Mapa
Slide 76
6to4 - Caractersticas Positivo: Simples de instalar e usar
Completamente automtico; no necessita de interveno humana para que
seja configurado um novo tnel Os pacotes atravessam os tneis at ao
destino usando o melhor caminho disponvel na rede IPv4 Negativo: Os
relays 6to4 podem ser usados em ataques (DoS attacks) O RFC3964
descreve alguns cuidados a ter em conta
Slide 77
6to4 Relay Um router que seja um 6to4 Relay possui um endereo
6to4 mas tambm um endereo no mundo IPv6 Dois casos a considerar:
Pacotes IPv6 enviados de um site 6to4 para um destino no mundo IPv6
(fora de 2002::/16) atravessam um tnel at ao relay e a so
encaminhados para a Internet IPv6 at ao seu destino Os relays 6to4
so anunciados no endereo IPv4 anycast 192.88.99.1. Pacotes IPv6
enviados da Internet IPv6 at um site 6to4 (portanto num prefixo
2002::/16) so encaminhados at um relay 6to4 e ento atravessam um
tnel at ao destino. O relay anuncia a rede 2002::/16 aos seus
vizinhos na Internet IPv6
Slide 78
6to4 Relay - Exemplo
Slide 79
6to4 - Aspectos 6to4 um mecanismo de transio interessante
Embora possua alguns detalhes operacionais menos positivos Problema
1: Possibilidade de abuso do relay Pode ser usado num ataque DoS Os
endereos IPv6 que atravessam os tneis automticos podem ser
falsificados (spoofed) Problema 2: Modelo assimtrico/robustez Um
site 6to4 pode usar um relay 6to4 diferente de cada vez que
comunica com um destino na Internet IPv6 (isso depende apenas do
estado das rotas IPv6 e IPv4). Alguns relays 6to4 podem ficar
inatingveis caso os ISPs filtrem a informao de routing como forma
de apenas os seus clientes poderem alcanar o relay 6to4 que
disponibilizam
Slide 80
6to4 Encaminhamento Assimtrico
Slide 81
Network layer: NAT-PT Network Address Translation - Protocol
Translation Definido no RFC2766, Descontinuado no RFC4966 Similar
ao NAT do IPv4, mas com traduo de protocolo Usa o protocolo SIIT
(RFC2765, tornado obsoleto pelo RFC6145) O SIIT define algoritmos
para traduzir os cabealhos de pacotes IPv4 e IPv6, quando possvel O
NAT-PT adiciona ao SIIT gamas de endereos IPv4 Tradues
IPv4-para-IPv6 e IPv6-para-IPv4 so suportadas
Slide 82
NAT-PT: Topologia
Slide 83
NAT-PT e DNS O protocolo DNS ALG traduz queries DNS de registos
IPv6 (AAAA), para queries DNS de registos IPv4 (A). Quando a
resposta com o registo (A) recebida, o DNS ALG traduz o resultado
para um endereo IPv6 Guardando o tuplo : O sistema cliente vai usar
o endereo IPv6 para contactar o destino, que ser traduzido pelo
mecanismo de NAT-PT para o destino real em IPv4
Slide 84
NAT-PT: Aspectos Negativos Todas as desvantagens do NAT em
IPv4, e um pouco mais: Necessita de manter os estados nos
equipamentos que suportam o NAT-PT Necessita de lidar com os
endereos IP embebidos no payload do pacote (ex: FTP) Os aspectos
relacionados com o DNS so complexos A principal dificuldade no ser
escalvel para ambientes de mdia/grande dimenso
Slide 85
NAT64 Um bloco IPv6 usado para mapear endereos IPv4 Pode ser
usado um prefixo /96, /64 ou outros O DNS64 converte registos A em
AAAA usando o prefixo do NAT64 e fornece registos A e AAAA aos
clientes. por Ivan Pepellnjak (NIL), [email protected]
Slide 86
NAT64 O NAT64 e o DNS64 so dois componentes separados O router
que implementa o NAT64 deve anunciar o prefixo de traduo para a
rede IPv6 Implementaes Open source: Ecdysis Microsoft: Forefront
UAG Direct Access Cisco: CGv6 Ericsson: verses trial por Ivan
Pepellnjak (NIL), [email protected]
Slide 87
Carrier Grade NAT por Joo Damas (BONDIS/ISC), World IPv6 Day
2011, Lisboa O que um CGN ? Uma soluo para o esgotamento IPv4, sem
IPv6 Partilha de 1 endereo IPv4 por vrios utilizadores Cada
utilizador recebe apenas algumas portas
Slide 88
Carrier Grade NAT por Joo Damas (BONDIS/ISC), World IPv6 Day
2011, Lisboa Porque altamente indesejvel? Complexidade na rede e
nas aplicaes O seu uso dificulta a criao de novas aplicaes Limitaes
para os utilizadores Quebra completamente o prncipio fim-a-fim Mais
uma forma de Walled Garden (captura de utilizadores) Algumas portas
(dum mesmo IP) so mais especiais que outras (ex: porta 80 [www],
porta 22 [ssh], etc)
Slide 89
Clip: IPv6 Are you Ready? Cisco Systems
http://www.youtube.com/watch?v=eYffYT2y-Iw
Slide 90
Os tneis podem ser manuais ou automticos. Recapitulando Os
mecanismos de transio no so perfeitos e no podemos esperar uma boa
performance. O 6to4 um mecanismo simples, mas cego na traduo que
realiza.
Slide 91
Recapitulando O NAT64 uma evoluo do NAT-PT que tem por
objectivo ligar ambientes s-IPv6 Internet IPv4. A transio faz-se
atravs da introduo do IPv6, em paralelo com o IPv4, e recorrendo
aos mecanismos de transio apenas em ltimo caso. O CGN, a ser usado,
mudar o funcionamento da Internet como o conhecemos hoje (para
pior!).
Slide 92
Obrigado ! Questes ?
Slide 93
Componente Prtica
Slide 94
Prtica #1 Instalar um servidor WEB IPv4+IPv6 (software Apache)
Acessvel por: www0.ip6.fccn.pt yum y install httpd Editar
/etc/httpd/conf/httpd.conf Dir. Para colocar contudos:
/var/www/html Reiniciar o servio: /etc/init.d/httpd restart
Verificar funcionamento, usando um browser e o nome para aceder em
IPv6 ao servio Objectivo: Activao de um servidor WEB acessvel por
IPv6
Slide 95
Prtica #2 Instalar um servidor FTP IPv4+IPv6 (software VsFTPd)
Acessvel por: ftp0.ip6.fccn.pt yum y install vsftpd Editar
/etc/vsftpd/vsftpd.conf Dir. Para colocar ficheiros: /var/ftp/pub
Reiniciar o servio: /etc/init.d/vsftpd restart Verificar
funcionamento, usando um cliente FTP e o nome para aceder em IPv6
ao servio Objectivo: Operar um servidor de ficheiros acessvel via
IPv6
Slide 96
Prtica #3 Instalar um servidor de E-Mail IPv4+IPv6 (software
Postfix) Nome:mail0.ip6.fccn.pt yum y install postfix Editar
/etc/postfix/main.cf Reiniciar o servio: /etc/init.d/postfix
restart Fazer telnet ao porto 25, e verificar que o servio est
activo Verificar tambm no DNS que o servidor MX para o domnio
ip6.fccn.pt (ferramenta DIG) Dig ip6.fccn.pt mx Objectivo: Operar
um servidor e-mail que funcione sobre IPv6
Slide 97
Prtica #4 Usar a ferramenta NMAP (nmap.org) Analisar os
portos/servios em escuta em IPv4 e IPv6 no sistema Linux Endereos
Localhost: nmap 127.0.0.1 nmap -6 ::1 Endereos Globais: nmap nmap
-6 Objectivo: Diagnosticar portos que recebem ligaes num
sistema
Slide 98
Prtica #5 OSPFv3 Entrar no respectivo router Configurar o
processo OSPF 100 Verificar que as vizinhanas se formam (ver
HowTo-Routing.pdf) Objectivo: Verificar funcionamento de protocolo
de encaminhamento interno em IPv6
Slide 99
Prtica #6 BGP4+ Entrar no respectivo router Declarar uma
vizinhana BGP com os restantes routers Sistema Autnomo = 65000 +
Anunciar a rota 2001:690:1F00:BBB ::/64 (ver HowTo-Routing.pdf)
Objectivo: Verificar funcionamento de protocolo de encaminhamento
externo em IPv6
Slide 100
Prtica #7A Estabelecer um tnel IPv6 sobre IPv4 entre o servidor
box e um router ip tunnel add sit1 mode sit ttl 10 remote
193.136.5.34 local ip link set dev sit1 up ifconfig sit1 inet6 add
2001:690:1F00:AAA ::2/64 Verificar Rotas IPv6 (/sbin/route A inet6)
Reencaminhar uma rota para o novo tnel /sbin/route A inet6 add
2A00:1450::/32 gw 2001:690:1F00:AAA ::1 Efectuar traceroute6 (para
ipv6.google.com) Objectivo: Verificar alterao no contexto de
encaminhamento