Embed Size (px)
Citation preview
Formação IPv6 - RCTS
Gestão, Encaminhamento, Segurança, Aplicações e Transição20 de Junho de 2008
Agenda/Índice• Gestão 3-
20
• Encaminhamento 21-37
• Segurança 38-57
• Aplicações 58-68
• Transição 69-86
Gestão
Introdução
• Gestão de Redes: Componentes1. Arquivo de Configurações2. Inventário3. Topologia4. Falhas 5. Segurança6. Contagem/Taxação
• IPv6 é apenas mais um «meio» pelo qual pode fluir a informação de Gestão
Acesso Remoto• Função básica de gestão de rede
• Sessão: – SSH (porto 22)– TELNET (porto 23), pouco seguro
• Transferência de Ficheiros– SCP (porto 22)– FTP, (porto 21 + 20), pouco seguro– TFTP, (porto 69), pouco seguro
Acesso Remoto – PortasIPv4, endereço localhost IPv4:[root@vm07 ~]# nmap 127.0.0.1
Starting Nmap 4.52 ( http://insecure.org ) at 2008-03-02 17:35 WET
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1711 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
5900/tcp open vnc
IPv6, endereço localhost IPv6:[root@vm07 ~]# nmap -6 ::1
Starting Nmap 4.52 ( http://insecure.org ) at 2008-03-02 17:36 WET
Interesting ports on localhost.localdomain (::1):
Not shown: 1712 closed ports
PORT STATE SERVICE
22/tcp open ssh
5900/tcp open vnc
Acesso Remoto – IPv6• SSH, VM07.IP6.FCCN.PT > VM03.IP6.FCCN.PT:[root@vm07 ~]# ssh -l root [email protected]'s password:Last login: Sun Mar 2 17:44:04 2008 from 2001:690:1fff:200:20c:29ff:fec1:6bf1[root@vm03 ~]# whoroot tty7 2008-03-02 17:02 (:0)root pts/0 2008-03-02 17:44 (2001:690:1fff:200:20c:29ff:fec1:6bf1)
• FTP, VM07.IP6.FCCN.PT > FTP.IP6.FCCN.PT:[root@vm07 ~]# ftp ftp.ip6.fccn.ptTrying 2001:690:1fff:1600::30...Connected to ftp.ip6.fccn.pt (2001:690:1fff:1600::30).220 ### Welcome ###Name (ftp.ip6.fccn.pt:root): anonymous230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp>
Modelo do SNMP
A Informação IPv6 existente nas MIBs pode ser transportada quer por IPv4 quer por IPv6
SNMP sobre IPv6
• Cisco:– Dependente da versão de IOS
• Juniper, Hitachi, 6wind:– SNMP através de IPv6 está disponível
• Comandos (Unix):– snmpget– snmpwalk
Estado das MIBs IPv6
• As MIBs são essenciais na gestão de redes
• As aplicações baseadas em SNMP são frequentemente usadas, embora existam outros mecanismos (NetFlow, XML…)
• O SNMP depende das MIBs …=> É necessário que existam MIBs para recolher
informação sobre a rede IPv6, assim como é desejável que elas estejam disponíveis através de IPv6
• HP Openview• Ciscoworks 2000 (LMS 2.5)• IBM Netview• Infovista, Tivoli• …
Com IPv6
Sem IPv6
Plataformas
Ferramentas
• No âmbito do projecto 6NET:– Foram testadas várias ferramentas de gestão– Algumas foram actualizadas para suportar IPv6
• Existem mais de 30 ferramentas de monitorização compatíveis com IPv6– Testadas– Implementadas– Documentadas
Argus
– http://argus.tcp4me.com/– Administração da rede:
• PCs, Switches, Routers• Disponibilidade• Tráfego na rede
– Administração de serviços:• http, ftp, dns, imap, smtp...
– Ferramenta evolutiva: é fácil adicionar novas funcionalidades
Nagios
– http://www.nagios.org – Ferramenta muito completa
• Monitorização de Serviços• Monitorização de Rede
– Pode ser complexo demais para uma pequena rede
– Evolução: Novas funcionalidades podem ser adicionadas através de plug-ins
• Monitorização de sessões BGP, …
Nagios
Looking Glass
• Obtenção de informação de um router sem necessidade de acesso directo ao equipamento
• Interface Web• Pode ser de uso público, sem necessidade de
autenticação• Permite a qualquer pessoa diagnosticar causas
de problemas sem contactar directamente os responsáveis de uma rede
Looking Glass
http://lg.ip6.fccn.pt
NTP - Network Time Protocol Servidor Stratum 1 (Meinberg)
• Antena GPS, Av. Brasil - Lisboa
Servidores NTP públicos com suporte IPv6
• www.join.uni-muenster.de/Dienste/NTPv6_Server.php?lang=en
NTP - Network Time Protocol
• Endereços• ntp.gigapix.pt has address 193.136.250.246• ntp.gigapix.pt has IPv6 address 2001:7f8:a:1::123
• IPv4# ntptrace 193.136.250.246ntp.gigapix.pt: stratum 1, offset 0.000004, synch distance 0.000967, refid 'PPS'
• IPv6# ntptrace 2001:7f8:a:1::1232001:7f8:a:1::123: stratum 1, offset 0.000004, synch distance 0.001012, refid 'PPS'
Encaminhamento
EncaminhamentoSistemas
• É uma questão a ter sempre em conta, de qualquer ponto da rede, ou sistema
OS IPv4 IPv6
Cisco (IOS)show ip route show ipv6 route
WinXProute print netsh interface ipv6 show route
Linux/sbin/route /sbin/route –A inet6
Tipos de Protocolo
• Interno– RIPng (Routing Information Protocol)
– IS-IS (Intermediate System-Intermediate System)
– OSPFv3 (Open Shortest Path First)
• Externo– BGP (Border Gateway Protocol)
RIPng
• Igual ao funcionamento em IPv4– Baseado no RIPv2– Vector de Distância, máximo de 15 hops,
split-horizon, …
• É um protocolo específico para IPv6– Num ambiente IPv4+IPv6 caso se escolha
o RIP será necessário usar RIP (IPv4) e RIPng (IPv6)
RIPng
• Funcionalidades relacionadas com IPv6– Usa IPv6 para comunicar– Prefixo IPv6, endereço do próximo nó– As mensagens de RIPng usam o endereço
de multicast FF02::9
ISISv6• É um protocolo OSI• Baseado em apenas dois níveis
– L2 = Backbone– L1 = Stub– L2L1= Interligação L2 e L1
• Funciona sobre o protocolo CLNS– Cada equipamento IS envia LSPs (Link State Packets)
– Envia informação via TLV’s (Tag/Length/values)
– Processo de estabelecimento de vizinhanças não muda
• Operação inalterada
L1
L1
L1L2
ISISv6
• Actualizações:– Dois novos Tag/Length/Values (TLV) para
IPv6– IPv6 Reachability – IPv6 Interface Address
– Novo identificador da camada de rede
• IPv6 NLPID L1
L1
L1L2
OSPFv3• OSPFv3 = OSPF para IPv6
• Baseado em OSPFv2
• Topologia de uma área é invisível de fora dessa área– O flooding de LSAs é feito por área– O cálculo da SPF é realizado separadamente para
cada área
• Todas as áreas têm de dispôr de uma ligação ao backbone
Area #1
Internet
Area #2
BackboneArea #0
OSPFv3
• OSPFv3 é uma versão do protocolo exclusivamente IPv6– Numa rede de pilha dupla é necessário correr
OSPF2 (IPv4) e OSPFv3 (IPv6)– Há algum trabalho a ser desenvolvido no sentido
de dotar o OSPFv3 de suporte IPv4.
Area #1
Internet
Area #2
BackboneArea #0
OSPFv3
• Detalhes– Corre directamente sobre IPv6– Distribui prefixos IPv6– Novos tipos de LSAs– Os router-ids são endereços IPv4– Usa endereços Multicast
• Todos os routers (FF02::5)• Todos os designated routers (FF02::6)
Area #1
Internet
Area #2
BackboneArea #0
BGP Multiprotocolo
• É um protocolo de encaminhamento EXTERIOR
• Interliga diferentes domínios de encaminhamento que têm políticas autónomas/independentes.– Cada um possui um
número de sistema autónomo (AS)
AS Z
AS YAS X
PeeringPeering
Peering
BGP Multiprotocolo• Transporta sequências de números de AS que
ilustram caminhos
• Suporta as mesmas funcionalidades que o BGP para IPv4
• Várias famílias de endereçamento: – IPv4 unicast
– IPv4 multicast
– IPv6 unicast
– IPv6 multicast
BGP Multiprotocolo• O BGP4 transporta apenas três tipos de
informação que são verdadeiramente específicos do IPv4:– O NLRI na mensagem de UPDATE contém um
prefixo IPv4
– O atributo NEXT_HOP na mensagem de UIPDATE contém um endereço IPv4
– O BGP ID no atributo AGGREGATOR
BGP Multiprotocolo• O RFC 4760 define extensões multi-protocolo
para o BGP4– Isto torna o BGP4 disponível para outros
protocolos de rede (IPv6, MPLS…)
– Novos atributos do BGP4:• MP_REACH_NLRI
• MP_UNREACH_NLRI
– Atributo NEXT_HOP independente de protocolo
– Atributo NLRI independente de protocolo
EncaminhamentoIPv6 vs. IPv4 a Nível Global
(10/03/2008) IPv6 IPv4
ROTAS 1235 255998
ROTAS
AGREGADAS
1114
(90,2%)
165340
(64,6%)
SISTEMAS
AUTÓNOMOS918 27796
www.cidr-report.org
Conclusões
Protocolo IPv4 IPv6 Processos
RIP RIPv1/RIPv2
RIPng Dois
OSPF OSPFv2 OSPFv3 Dois
IS-IS IS-IS IS-IS Um
BGP BGP4 BGP4+ Um
Conclusões
• Os principais protocolos de encaminhamento já têm suporte IPv6 estável
• Não existem diferenças significativas entre o funcionamento do encaminhamento entre o IPv4 e o IPv6
• Muitas redes apenas existem no mundo IPv4
Segurança
Ameaças
• Escuta passiva e activa• Repetição• Análise de Tráfego• Negação de Serviço• Ataque Físico• Passwords• Vírus, Cavalos de Tróia, Worms• Acesso Acidental• Desastres Naturais• Engenharia Social
O que há de novo no IPv6?• A Segurança foi uma preocupação desde o
início
• Áreas que beneficiaram da forma de ver a rede trazida pelo IPv6:– Ameaças ao acesso móvel e ao IP móvel– Endereços gerados Criptograficamente– Protocolos para Autenticação e Acesso à Rede– IPsec– Tornar as intrusões mais difíceis
Ameaças• Ataque ao Encaminhamento IPv6
– É recomendado o uso dos tradicionais mecanismos no BGP e IS-IS
– O IPsec garante a segurança de protocolos como o OSPFv3 e o RIPng
• «Sniffing»– Sem o recurso ao IPsec, o IPv6 está tão exposto a este
tipo de ataque como o IPv4• Ataques ao nível da Aplicação
– Actualmente, a maioria das vulnerabilidades na Internet é ao nível da aplicação, que não beneficia do uso do IPsec
• Ataques «Man-in-the-Middle»– Sem o uso de IPsec, este tipo de ataques em IPv6 ou
IPv4 é semelhante• Flooding
– Idênticos em IPv4 e IPv6
IPsec• Mecanismos gerais de segurança IP• Fornece…
– Autenticação– Confidencialidade– Gestão de Chaves – necessita de uma infraestrura de
chaves públicas (PKI)• Aplicável ao uso em LANs, e WANs públicas & privadas, e
na Internet• O IPsec não é apenas um único protocolo. O IPsec contém
um conjunto de algoritmos e uma infraestrutura que permite a comunicação entre duas partes, independentemente do algoritmo apropriado para dotar de segurança essa comunicação
• O IPsec está definido como obrigatório nas normas do IPv6
IPsec• Trabalho emanado do IPsec-wg do IETF• Aplica-se tanto ao IPv4 como ao IPv6 e a sua
implementação é:– Mandatória para IPv6– Opcional para IPv4
• Modos IPsec: Transporte & Túnel• Arquitectura IPsec: RFC 4301• Protocolos IPsec:
– Authentication Header – AH (RFC 4302) – Encapsulating Security Payload - ESP (RFC 4303)
IPsec - Arquitectura
• Políticas de Segurança: Que tráfego é tratado?
• Associações de Segurança: Como é processado o tráfego?
• Protocolos de Segurança: Que protocolos (extensões do cabeçalho) são usados?
• Gestão de Chaves: Internet Key Exchange (IKE)
• Algoritmos: Autenticação e Encriptação
IPsec - Modos
• Modo de Transporte
– Acima do nível IP
– Apenas o payload dos datagramas IP são protegidos
• Modo de Túnel
– IP dentro de IP
– Todos os datagramas que atravessam o túnel são protegidos
IPsec : Gestão de Chaves
• Manual– Chaves configuradas em cada sistema
• Automática: IKEv2 (Internet Key Exchange v2, RFC 4306)– Negociação da Associação de Segurança:
ISAKMP• Diferentes blocos (payloads) são ligados a seguir ao
cabeçalho ISAKMP
– Protocolos de Troca de Chaves: Oakley, Scheme
• Algoritmos: Autenticação e Encriptação
Scanning em IPv6• Scanning = «Varrimento»• O tamanho de cada rede é incomparavelmente
maior– As LANs têm 2^64 endereços. Deixa de ser
razoável pesquisar por um endereço sequencialmente
• Com 1 milhão de endereços/segundo, seriam necessários mais de 500 mil anos para percorrer todos os endereços de uma única LAN
– A ferramente NMAP por exemplo, nem sequer suporta scanning em IPv6
Scanning em IPv6• Os métodos de Scanning em IPv6 vão
provavelmente evoluir– Os servidores públicos necessitam de estar registados no
DNS, o que constitui um alvo fácil – no entanto isto não é novo!– Os Administradores das redes podem adoptar endereços
fáceis de memorizar (por exemplo… ::1,::2,::53) – Os endereços EUI-64 têm uma componente fixa (de 16 bits)– Os códigos que identificam os fabricantes das placas de rede
são bem conhecidos (primeiros 24 bits do endereço MAC)– Outras técnicas incluem obtenção de informação através de
zonas de DNS ou de logs• Negar a transferência de zona (para o mundo) é prática corrente
– Ao comprometer pontos importantes da arquitectura (routers por exemplo), um atacante pode detectar a existência de muitos possíveis alvos
Scanning em IPv6
• Novos vectores de ataque• Uso de endereços Multicast para «emular»
funções de router ou servidor DHCPv6• Todos os nós (FF02::1)• Todos os routers (FF05::2) • Todos os servidores DHCPv6 (FF05::5)
• Estes endereços devem ser filtrados em cada ponto de «fronteira» • Este é o comportamento por omissão se o IPv6
Multicast não estiver activo no Backbone
Spoofing em IPv6
• A maior agregação que é possível com o IPv6, torna menos complexa a filtragem para impedir o spoofing em pontos estratégicos da rede
• O aspecto negativo tem a ver com os últimos 64 bits– Para identificar um utilizador através de um
endereço IPv6, seria necessário manter constantemente o mapeamento entre endereços IPv6 e endereços MAC
Spoofing em IPv4 com 6to4• Através de tráfego injectado da Internet IPv4 para
uma rede IPv6, recorrendo às características do mecanismo de transição 6to4– Origem IPv4: Origem IPv4 spoofed– Destino IPv4: Relay 6to4 Anycast (192.88.99.1)– Origem IPv6: Origem IPv6 spoofed, com prefixo 2002::– Destino IPv6: Válido
Rede IPv6
Internet IPv4
RedeIPv6
Atacante
relay 6to4gateway 6to4
Protecção – Firewalls IPv6• IPv6 & Firewalls
– Não elimina a segurança IPv4, se ela existir – O processo do firewall IPv6 é em geral separado do
firewall IPv4, mas pode ser efectuado no mesmo equipamento
• É o caso da FCCN (Checkpoint & Cisco PIX -- no futuro)
– Sem necessidade de gerir NATs • Mesmo nível de segurança e privacidade• Segurança fim-a-fim com recurso a IPsec
– Suporte de transição e coexistência IPv4/IPv6
Internet
Router
Firewall
Rede Protegida
DMZ
Firewall IPv6 – arquitectura #1
• Internet router firewall Rede• Requisitos:
– Firewall tem que suportar filtragem de pacotes Neighbor Discovery– Firewall tem que suportar filtragem de pacotes de Anúncio de
Router– Firewall tem que suportar o protocolo MLD, se o Multicast é usado
Firewall IPv6 – arquitectura #2
• Internet firewall router Rede• Requisitos:
– Firewall tem que suportar filtragem de pacotes ND– Firewall tem que suportar filtragem de protocolos dinâmicos de
encaminhamento (i.e. BGP, OSPF, IS-IS)– Firewall idealmente terá uma multiplicidade de interfaces
Internet
Router
Firewall
Rede Protegida
DMZ
Firewall IPv6 – arquitectura #3
• Internet firewall/router Rede• Requisitos
– Apenas um ponto para funções de routing e implementação de políticas de segurança – comum em ambientes «SOHO»
– Necessita suporte de todas as funções de router e também de firewall
Internet
Router
Firewall
Rede Protegida
DMZ
DDoS• Não existem endereços broadcast em IPv6
– Evita ataques através do envio de pacotes ICMP para o endereço de broadcast
• As especificações do IPv6 proibem a geração de pacotes ICMPv6 em resposta a mensagens enviadas para endereços globais multicast (com a excepção da mensagem «Packet too big»). – Muitos sistemas operativos seguem a especificação– Ainda há alguma incerteza sobre o perigo que pode
ser criado por pacotes ICMPv6 com origem em endereços multicast globais
Mitigação de DDoS em IPv6
• Ter a certeza que os sistemas implementam o descrito no RFC 4443
• Implementar filtragens recomendadas nos RFCs 2827 e 3704, à entrada do sistema autónomo
• Implementar filtragem à entrada de pacotes IPv6 com endereços de origem IPv6 multicast na rede local
Aplicações
• Apache >= 2.x suporta IPv6• Directivas
– Listen 80 (colocar apenas o porto e não um IP)– NameVirtualHost <endereço> (colocar o endereço IPv6 entre [ ])– VirtualHost <endereço> (colocar o endereço IPv6 entre [ ])
• Exemplo de configuração: httpd.confListen 80NameVirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f]<VirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f]> DocumentRoot /usr/local/apache2/htdocs/lg ServerAdmin [email protected] ServerName lg.ip6.fccn.pt ServerAlias lg.tbed.ip6.fccn.pt ServerSignature email</VirtualHost>
Web/Apache
• Postfix >= 2.2 suporta IPv6• Exemplo de configuração: /etc/postfix/main.cf
inet_protocols = ipv4, ipv6
smtp_bind_address6 = 2001:db8:1:1::1600
smtp_bind_address = 172.16.250.1
inet_interfaces = 2001:db8:1:1::1600, localhost
mynetworks = [2001:db8:1:1::]/64 172.16.250.0/24 [::1]/128 127.0.0.0/8
• Responde no porto 25, tanto em IPv4 como em IPv6
E-Mail/Postfix
• 10/3/2008, Logs de Servidorimapd-ssl: user=jgoncalves, ip=[2001:690:2080:8009:34ac:199a:a90:271]imapd-ssl: user=amr, ip=[2001:690:2080:8009:64fb:6204:99ce:b389]imapd-ssl: user=assisg, ip=[2001:690:2080:8009:6861:b929:6577:2cf4]imapd-ssl: user=jcarvalho, ip=[2001:690:2080:8009:16f:4b32:ee75:6ff3]imapd-ssl: user=lino, ip=[2001:690:2080:8009:8991:dfbc:1b02:10c2]imapd-ssl: user=massano, ip=[2001:690:2080:8009:813b:ddaf:4701:81fa]
• «Transparência» !!!
• VsFTP >= 2.0.x suporta IPv6• Exemplo de configuração: /etc/xinetd.d/vsftpd
service ftp{ socket_type = stream wait = no user = root server = /usr/local/sbin/vsftpd server_args = /etc/vsftpd.conf
flags = IPv6 nice = 10 disable = no}
• Responde no porto 21, tanto em IPv4 como em IPv6
FTP
• Objectivo: Poupança em fluxos de tráfego
• Arquitectura dífícil de manter no inter-domínio (entre redes de ISPs diferentes)
• Com o IPv6 surge o conceito de Source Specific Multicast (SSM)
Multicast
• IPv4: IGMP, Internet Group Management Protocol• IPv6: MLD, Multicast Listener Discovery• Protocolos para Gerir Grupos Multicast
– utilizados entre o cliente (pc) e o gateway– evitam que as portas que não estão a aceder a grupos Multicast recebam tráfego indesejado
Multicast
• Vários Componentes– Gestores H.323: OpenMCU– Clientes: GnomeMeeting/Ekiga, ConferenceXP
Videoconferência
• Windows Media Services 9 (>Win2003 Server)
• Ferramenta VideoLan– www.videolan.org
Video On-Demand
Domínio de Endereçamento
Global
• Virtualmente todos os nós prestam um serviço
– Meios: DNS, Serviço de Ponto de Encontro
• Sem restrições em relação ao «iniciador»
• Todos os participantes partilham uma visão consistente da rede
P2P - Peer-to-Peer
• Protocolo criado em 2002• Há conteúdos «legais» acessíveis
através deste protocolo:– http://fedoraproject.org/en/get-fedora
• Suporte em alguns clientes• Sempre dependente da plataforma
–Win/Linux/BSD/Mac• Comunicação sobre IPv6 com:
– «Tracker»– Outros clientes
P2P - Bittorrent
Transição
Túneis
• Inicialmente IPv6 sobre IPv4 (no futuro, IPv4 sobre IPv6!)• Pacotes IPv6 são encapsulados em pacotes IPv4
– O pacote IPv6 é o «payload» do pacote IPv4• Usualmente usado entre routers de forma a interligar «ilhas» de redes
IPv6– O router de acesso fala IPv6 internamente com os sistemas na sua LAN– Encapsula pacotes IPv6 em pacotes IPv4 na direcção do outro extremo do
túnel
Entrega de pacotes através do túnel
• O nó A IPv6 envia pacotes para o nó B IPv6– Encaminhados localmente para o router
• O router (do lado A) conhece o melhor caminho para o destino (nó B) através do interface do túnel– Encapsula os pacotes IPv6 em pacotes IPv4– Envia os pacotes IPv6 para o router (do lado B)– A entrega é efectuada através da infraestrutura IPv4 que
existe entre ambos (Internet)• O router (do lado B) desencapsula os pacotes IPv6 a
partir do payload dos pacotes IPv4 recebidos– Os pacotes IPv6 são encaminhados internamente até à
rede onde está o nó B– O nó B recebe os pacotes IPv6
Túnel - Endereçamento
Manuais ou automáticos?
• Os túneis podem ser criados manualmente ou de forma automática
• Manualmente– Requer intervenção manual nos dois extremos
• Não funciona quando os endereços IPv4 mudam (DSL, …)
– Boa solução do ponto de vista da gestão: sabe-se o que está no outro extremo do túnel
• Automaticamente– Túneis criados a pedido, mas sem intervenção humana– Inclui o mecanismo 6TO4 (RFC3056)– Outros mecanismos: ISATAP (RFC4214) e Teredo
(RFC4380)
Tunnel Broker
• Modo de Operação:– processo de registo, para permitir posterior autenticação,
quando o pedido de criação de um túnel é efectuado/recebido de um determinado endereço IPv4
– o «broker» configura o seu lado do túnel e envia as configurações necessárias para que o outro extremo seja configurado pelo «cliente»
• Este mecanismo está descrito no RFC3053, de forma a possibilitar a conectividade de sistema a router, e também de router a router
• Exemplos:– www.freenet6.net (CA)– ipv6tb.he.net (US)– www.sixxs.net (EU)
6to4
• O mecanismo 6to4 é usado para ligar duas «ilhas» IPv6 através da rede IPv4
• O prefixo de rede IPv6 2002::/16 está reservado para este mecanismo– Os 32 bits seguintes do endereço são os bits do endereço
IPv4 do router 6to4– Exemplo: um router 6to4 com o endereço 192.0.1.1 usará
um prefixo IPv6 2002:c000:0101::/48 para a rede do seu «site» de transição
• Quando um router 6to4 recebe um pacote para um destino com um prefixo 2002::/16, ele sabe que tem de enviá-lo encapsulado através do mundo IPv4 para o endereço indicado nos 32 bits seguintes
6to4 - Mapa
6to4 - Características
• Positivo: Simples de instalar e usar– Completamente automático; não necessita de
intervenção humana para que seja configurado um novo túnel
– Os pacotes atravessam os túneis até ao destino usando o melhor caminho disponível na rede IPv4
• Negativo: Os relays 6to4 podem ser usados em ataques (DoS attacks)– O RFC3964 descreve alguns cuidados a ter em conta
6to4 Relay• Um router que seja um 6to4 Relay possui um endereço
6to4 mas também um endereço no mundo IPv6• Dois casos a considerar:
– Pacotes IPv6 enviados de um «site» 6to4 para um destino no mundo IPv6 (fora de 2002::/16) atravessam um túnel até ao relay e aí são encaminhados para a Internet IPv6 até ao seu destino
• Os relays 6to4 são anunciados no endereço IPv4 anycast 192.88.99.1.
– Pacotes IPv6 enviados da Internet IPv6 até um «site» 6to4 (portanto num prefixo 2002::/16) são encaminhados até um relay 6to4 e então atravessam um túnel até ao destino.
• O relay anuncia a rede 2002::/16 aos seus vizinhos na Internet IPv6
6to4 Relay @ FCCN - Rotas
• (IPv4)* 139.83.0.0/16* 192.88.99.0/24* 193.136.0.0/15* 194.210.0.0/16
(...)
• (IPv6)* 2001:690::/32 (RCTS)
* 2001:7f8:a::/48 (GIGAPIX)
* 2002::/16 (6TO4)
• «Anúncios» do AS1930– Border Gateway Protocol (BGP)
6to4 Relay - Exemplo
6to4 - Aspectos• 6to4 é um mecanismo de transição interessante
– Embora possua alguns detalhes operacionais menos positivos• Problema 1: Possibilidade de abuso do relay
– Pode ser usado num ataque DoS– Os endereços IPv6 que atravessam os túneis automáticos
podem ser falsificados (spoofed)• Problema 2: Modelo assimétrico/robustez
– Um «site» 6to4 pode usar um relay 6to4 diferente de cada vez que comunica com um destino na Internet IPv6 (isso depende apenas do estado das rotas IPv6 e IPv4).
– Alguns relays 6to4 podem ficar inatingíveis caso os ISPs filtrem a informação de routing como forma de apenas os seus clientes poderem alcançar o relay 6to4 que disponibilizam
6to4 – Encaminhamento Assimétrico
Network layer: NAT-PT• Network Address Translation - Protocol Translation
– Definido no RFC2766, Descontinuado no RFC4966– Similar ao NAT do IPv4, mas com tradução de protocolo
• Usa o protocolo SIIT (RFC2765)– O SIIT define algoritmos para traduzir os cabeçalhos de
pacotes IPv4 e IPv6, quando possível
• O NAT-PT adiciona ao SIIT gamas de endereços IPv4– Traduções IPv4-para-IPv6 e IPv6-para-IPv4 são
suportadas
NAT-PT: Topologia
NAT-PT e DNS
• O protocolo DNS ALG traduz queries DNS de registos IPv6 (AAAA), para queries DNS de registos IPv4 (A).
• Quando a resposta com o registo (A) é recebida, o DNS ALG traduz o resultado para um endereço IPv6– Guardando o tuplo <IPv6-prefix>:<IPv4 address>
• O sistema cliente vai usar o endereço IPv6 para contactar o destino, que será traduzido pelo mecanismo de NAT-PT para o destino «real» em IPv4
NAT-PT: Aspectos Negativos
• Todas as desvantagens do NAT em IPv4, e um pouco mais:– Necessita de manter os estados nos
equipamentos que suportam o NAT-PT– Necessita de lidar com os endereços IP
embebidos no payload do pacote (ex: FTP)– Os aspectos relacionados com o DNS são
complexos
• A principal dificuldade é não ser escalável para ambientes de média/grande dimensão
Obrigado !
Questões ?
