VI Semana de Infraestrutura da Internet no BrasilSão Paulo, SP | 07/12/16

Serviços IPv6

Eduardo Barasal MoralesTiago Jun Nakamura

Agenda

• Autoconfiguração de Endereços Stateless

• DHCPv6 Prefix Delegation

• DNS

• NTP

• Firewall

Motivação

Autoconfiguração de Endereços Stateless

Autoconfiguração de Endereços Stateless

Autoconfiguração de Endereços Stateless

• Mecanismo que permite a atribuição de endereços unicast aos nós...o sem a necessidade de configurações manuais.o sem servidores adicionais.o apenas com configurações mínimas dos roteadores.

• Gera endereços IP a partir de informações enviadas pelos roteadores e de dados locais como o endereço MAC.

• Gera um endereço para cada prefixo informado nas mensagens RA

• Se não houver roteadores presentes na rede, é gerado apenas um endereço link-local.

• Roteadores utilizam apenas para gerar endereços link-local.

Autoconfiguração de Endereços Stateless

• Um endereço link-local é gerado.o Prefixo FE80::/64 + identificador da interface.

• Endereço adicionado aos grupos multicast solicited-node e all-node.

• Verifica-se a unicidade do endereço.o Se já estiver sendo utilizado, o processo é interrompido, exigindo

uma configuração manual.o Se for considerado único e válido, ele será atribuído à interface.

• Host envia uma mensagem RS para o grupo multicast all-routers.

• Todos os roteadores do enlace respondem com mensagem RA.

Autoconfiguração de Endereços Stateless

Autoconfiguração de Endereços Stateless

Experiência 1.6. Autoconfiguração stateless de endereço: Router Advertisement utilizando radvd

Pg. 41

Laboratório Autoconfiguração de Endereços Stateless

DHCPv6

DHCPv6

DHCPv6

• Autoconfiguração de Endereços Statefulo Usado pelo sistema quando nenhum roteador é encontrado.o Usado pelo sistema quando indicado nas mensagens RA. o Fornece:

• Endereços IPv6• Outros parâmetros (servidores DNS, NTP...)

o Clientes utilizam um endereço link-local para transmitir ou receber mensagens DHCP.

o Servidores utilizam endereços multicast para receber mensagens dos clientes (FF02::1:2 ou FF05::1:3).

o Clientes enviam mensagens a servidores fora de seu enlace utilizando um Relay DHCP.

DHCPv6

• Autoconfiguração de Endereços Statefulo Permite um controle maior na atribuição de endereços aos host.o Os mecanismos de autoconfiguração de endereços stateful e

stateless podem ser utilizados simultaneamente.• Por exemplo: utilizar autoconfiguração stateless para atribuir os

endereços e DHCPv6 para informar o endereço do servidor DNS.o DHCPv6 e DHCPv4 são independentes. Redes com Pilha Dupla

precisam de serviços DHCP separados.

DHCPv6 Prefix Delegation

DHCPv6 Prefix Delegation

DHCPv6 Prefix Delegation

DHCPv6 Prefix Delegation

• Não existente no DHCPv4

• Utilizada para distribuir prefixos de rede a roteadores1. Roteador envia uma requisição de prefixo enviada para rede

com destino a todos os servidores DHCPv6

2. Os servidores pré-configurados com um pool de prefixos respondem a este pedido feito pelo roteador enviando um prefixo IPv6

3. Ao receber esta resposta, o roteador fica encarregado de dividir o prefixo e redistribui-lo por suas interfaces

4. Os novos prefixos possuirão o tamanho /64 para que ao serem distribuídos aos hosts via Router Advertisement o procedimento de autoconfiguração stateless seja realizado

Experiência 1.9. DHCPv6 Prefix DelegationPg. 81

Laboratório DHCPv6 Prefix Delegation

Domain Name System (DNS)

• Informações de “nomes” e “endereços”

www.exemplo.com.br

DNS

DNS

• Imensa base de dados distribuída utilizada para a resolução de nomes de domínios em endereços IP e vice-versa

• Arquitetura hierárquica, com dados dispostos em uma árvore invertida, distribuída eficientemente em um sistema descentralizado e com cache

• Registros:o A ( IPv4 ): Traduz nomes para endereços IPv4.o AAAA [ quad-A ] ( IPv6 ): Traduz nomes para endereços IPv6

Exemplo: www.ipv6.br. IN A 200.160.4.9 IN AAAA 2001:12ff:0:4::9

DNS

• Registros PTR – Resolução de Reversoo in-addr.arpa. ( IPv4 ): Traduz endereços IPv4 em nomeso ip6.arpa. ( IPv6 ): Traduz endereços IPv6 em nomesExemplo:

9.4.160.200.in-addr.arpa. PTR ipv6.br. 9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa. PTR ipv6.br.

• Obsoletoso Registros

• A6• DNAME

o Domínio para a resolução de reverso• ip6.int

DNS

• A base de dados de um servidor DNS pode armazenar tanto registros IPv6 quanto IPv4

• Esses dados são independentes da versão de IP em que o servidor DNS operao Um servidor com conexão apenas IPv4 pode responder consultas

AAAA ou Ao As informações obtidas na consulta IPv6 devem ser iguais às

obtidas na consulta IPv4

Experiência 2.2. DNS: configurando um servidor autoritativo

Pg. 117

Laboratório DNS

NTP.br

NTP.br

NTP (Network Time Protocol)

• Fornece hora em UTC, não considera horário de verão ou fuso horário

• Importante para:o sincronização de logso validação de certificadoso tratamento de incidenteso perícia

NTP (Network Time Protocol)

• Pontos de atençãoo Para ser confiável, o NTP precisa de várias referências de tempo,

de 4 a 7o As consultas aos servidores são realizadas

• Inicialmente a cada 64s• Em regime, a cada 16min

o Pacotes UDP, porta 123o Sensível à assimetria na redeo Melhor usar NTP que SNTP

Firewall

Firewall

Firewall

Firewall

• Numa rede IPv4, onde normalmente se utiliza NAT, este funciona como um firewall stateful, permitindo apenas comunicações originadas de dentro da rede. Numa rede IPv6 não há NAT, então, se o administrador de rede decidir manter uma política de segurança similar a que utilizava com o IPv4, é necessário um cuidado redobrado na implantação de firewalls, a fim de forçar essa política.

• Com a adoção do protocolo IPv6 todos os hosts podem utilizar endereços válidos com conectividade direta a Internet e alcance a todos os hosts da rede interna que tenham IPv6 habilitado

Firewall

• ICMPv6 faz funções que no IPv4 eram realizadas pelo ARP, logo o ICMPv6 não pode ser completamente bloqueado no firewall de borda como ocorria no IPv4

• O firewall pode conter regras:o Stateful: solicitações da rede interna para a rede externa são

gravadas para permitir o recebimento somente de solicitações feitas, mas necessita maior processamento e memória

o Stateless: conjunto de regras fixas, pode permitir mensagens não solicitadas de tráfego permitido

Firewall

• A RFC 4942 detalha a segurança com relação as técnicas de transição:o mesmo que sua rede não tenha IPv6, não o ignoreo se você não deseja utilizar técnicas de tunelamento automático

na sua rede, elas devem ser bloqueadas no firewallo técnicas de transição podem depender de servidores públicos

não confiáveisTécnica de Transição Regra de Filtragem

Túnel manual 6in4 IPv4.Protocol == 41

Túnel manual GRE IPv4.Protocol == 47

Túneis automáticos 6to4 IPv4.Protocol == 41IPv4.{src,dst} == 192.88.99.0/24

Túneis automáticos Teredo IPv4.dst == servidores_teredoUDP.DstPort == 3544

Experiência 3.2. Firewall statefulPg. 185

Laboratório Firewall

Obrigadowww.nic.br

nakamura@nic.br

07 de dezembro de 2016

emorales@nic.br

Eduardo Barasal MoralesTiago Jun Nakamura