Gestão, Encaminhamento, Segurança, Aplicações e Transição

Formação IPv6 - RCTS
Gestão, Encaminhamento, Segurança, Aplicações e Transição
20 de Junho de 2008
Agenda/Índice
• Gestão
3-20
• Encaminhamento
21-37
• Segurança
38-57
• Aplicações
58-68
• Transição
69-86
Gestão
Introdução
•
Gestão de Redes: Componentes
1.
2.
3.
4.
5.
6.
•
Arquivo de Configurações
Inventário
Topologia
Falhas
Segurança
Contagem/Taxação
IPv6 é apenas mais um «meio» pelo
qual pode fluir a informação de
Gestão
Acesso Remoto
• Função básica de gestão de rede
• Sessão:
– SSH (porto 22)
– TELNET (porto 23), pouco seguro
• Transferência de Ficheiros
– SCP (porto 22)
– FTP, (porto 21 + 20), pouco seguro
– TFTP, (porto 69), pouco seguro
Acesso Remoto – Portas
IPv4, endereço localhost IPv4:
[root@vm07 ~]# nmap 127.0.0.1
Starting Nmap 4.52 ( http://insecure.org ) at 2008-03-02 17:35 WET
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1711 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
5900/tcp open vnc
IPv6, endereço localhost IPv6:
[root@vm07 ~]# nmap -6 ::1
Starting Nmap 4.52 ( http://insecure.org ) at 2008-03-02 17:36 WET
Interesting ports on localhost.localdomain (::1):
Not shown: 1712 closed ports
PORT STATE SERVICE
22/tcp open ssh
5900/tcp open vnc
Acesso Remoto – IPv6
• SSH, VM07.IP6.FCCN.PT > VM03.IP6.FCCN.PT:
[root@vm07 ~]# ssh -l root vm03.ip6.fccn.pt
[email protected]'s password:
Last login: Sun Mar 2 17:44:04 2008 from 2001:690:1fff:200:20c:29ff:fec1:6bf1
[root@vm03 ~]# who
root tty7
2008-03-02 17:02 (:0)
root pts/0
2008-03-02 17:44 (2001:690:1fff:200:20c:29ff:fec1:6bf1)
• FTP, VM07.IP6.FCCN.PT > FTP.IP6.FCCN.PT:
[root@vm07 ~]# ftp ftp.ip6.fccn.pt
Trying 2001:690:1fff:1600::30...
Connected to ftp.ip6.fccn.pt (2001:690:1fff:1600::30).
220 ### Welcome ###
Name (ftp.ip6.fccn.pt:root): anonymous
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
Modelo do SNMP
A Informação IPv6 existente
nas MIBs pode ser transportada
quer por IPv4 quer por IPv6
SNMP sobre IPv6
• Cisco:
– Dependente da versão de IOS
• Juniper, Hitachi, 6wind:
– SNMP através de IPv6 está disponível
• Comandos (Unix):
– snmpget
– snmpwalk
Estado das MIBs IPv6
• As MIBs são essenciais na gestão de redes
• As aplicações baseadas em SNMP são
frequentemente usadas, embora existam outros
mecanismos (NetFlow, XML…)
• O SNMP depende das MIBs …
=> É necessário que existam MIBs para recolher
informação sobre a rede IPv6, assim como é desejável
que elas estejam disponíveis através de IPv6
Plataformas
•
•
•
•
•
HP Openview
Ciscoworks 2000 (LMS 2.5)
IBM Netview
Infovista, Tivoli
…
Com IPv6
Sem IPv6
Ferramentas
• No âmbito do projecto 6NET:
– Foram testadas várias ferramentas de gestão
– Algumas foram actualizadas para suportar IPv6
• Existem mais de 30 ferramentas de
monitorização compatíveis com IPv6
– Testadas
– Implementadas
– Documentadas
Argus
– http://argus.tcp4me.com/
– Administração da rede:
• PCs, Switches, Routers
• Disponibilidade
• Tráfego na rede
– Administração de serviços:
• http, ftp, dns, imap, smtp...
– Ferramenta evolutiva: é fácil adicionar novas
funcionalidades
Nagios
– http://www.nagios.org
– Ferramenta muito completa
• Monitorização de Serviços
• Monitorização de Rede
– Pode ser complexo demais para uma
pequena rede
– Evolução: Novas funcionalidades podem ser
adicionadas através de plug-ins
• Monitorização de sessões BGP, …
Nagios
Looking Glass
• Obtenção de informação de um router sem
necessidade de acesso directo ao equipamento
• Interface Web
• Pode ser de uso público, sem necessidade de
autenticação
• Permite a qualquer pessoa diagnosticar causas
de problemas sem contactar directamente os
responsáveis de uma rede
Looking Glass
http://lg.ip6.fccn.pt
NTP - Network Time Protocol
Servidor Stratum 1 (Meinberg)
• Antena GPS, Av. Brasil - Lisboa
Servidores NTP públicos com suporte IPv6
• www.join.uni-muenster.de/Dienste/NTPv6_Server.php?lang=en
NTP - Network Time Protocol
• Endereços
• ntp.gigapix.pt has address 193.136.250.246
• ntp.gigapix.pt has IPv6 address 2001:7f8:a:1::123
• IPv4
# ntptrace 193.136.250.246
ntp.gigapix.pt: stratum 1, offset 0.000004, synch distance
0.000967, refid 'PPS'
• IPv6
# ntptrace 2001:7f8:a:1::123
2001:7f8:a:1::123: stratum 1, offset 0.000004, synch
distance 0.001012, refid 'PPS'
Encaminhamento
Encaminhamento
Sistemas
•
É uma questão a ter sempre em conta, de
qualquer ponto da rede, ou sistema
OS
IPv4
IPv6
show ip route
show ipv6 route
route print
netsh interface ipv6 show route
/sbin/route
/sbin/route –A inet6
Cisco (IOS)
WinXP
Linux
Tipos de Protocolo
• Interno
– RIPng (Routing Information Protocol)
– IS-IS (Intermediate System-Intermediate System)
– OSPFv3 (Open Shortest Path First)
• Externo
– BGP (Border Gateway Protocol)
RIPng
• Igual ao funcionamento em IPv4
– Baseado no RIPv2
– Vector de Distância, máximo de 15 hops,
split-horizon, …
• É um protocolo específico para IPv6
– Num ambiente IPv4+IPv6 caso se escolha
o RIP será necessário usar RIP (IPv4) e
RIPng (IPv6)
RIPng
• Funcionalidades relacionadas com IPv6
– Usa IPv6 para comunicar
– Prefixo IPv6, endereço do próximo nó
– As mensagens de RIPng usam o endereço
de multicast FF02::9
ISISv6
• É um protocolo OSI
• Baseado em apenas dois níveis
– L2 = Backbone
– L1 = Stub
– L2L1= Interligação L2 e L1
• Funciona sobre o protocolo CLNS
– Cada equipamento IS envia LSPs (Link State Packets)
– Envia informação via TLV’s (Tag/Length/values)
– Processo de estabelecimento de vizinhanças não muda
• Operação inalterada
ISISv6
• Actualizações:
– Dois novos Tag/Length/Values (TLV) para
IPv6
– IPv6 Reachability
– IPv6 Interface Address
– Novo identificador da camada
de rede
• IPv6 NLPID
OSPFv3
• OSPFv3 = OSPF para IPv6
• Baseado em OSPFv2
• Topologia de uma área é invisível de fora
dessa área
– O flooding de LSAs é feito por área
– O cálculo da SPF é realizado separadamente para
cada área
• Todas as áreas têm de dispôr de uma ligação
ao backbone
OSPFv3
• OSPFv3 é uma versão do protocolo
exclusivamente IPv6
– Numa rede de pilha dupla é necessário correr
OSPF2 (IPv4) e OSPFv3 (IPv6)
– Há algum trabalho a ser desenvolvido no sentido
de dotar o OSPFv3 de suporte IPv4.
OSPFv3
• Detalhes
–
–
–
–
–
Corre directamente sobre IPv6
Distribui prefixos IPv6
Novos tipos de LSAs
Os router-ids são endereços IPv4
Usa endereços Multicast
• Todos os routers (FF02::5)
• Todos os designated routers (FF02::6)
BGP Multiprotocolo
• É um protocolo de encaminhamento
EXTERIOR
• Interliga diferentes domínios de
encaminhamento que têm políticas
autónomas/independentes.
– Cada um possui um
número de sistema
autónomo (AS)
AS X
AS Y
Peering
Peering
Peering
AS Z
BGP Multiprotocolo
• Transporta sequências de números de AS que
ilustram caminhos
• Suporta as mesmas funcionalidades que o
BGP para IPv4
• Várias famílias de endereçamento:
–
–
–
–
IPv4 unicast
IPv4 multicast
IPv6 unicast
IPv6 multicast
BGP Multiprotocolo
• O BGP4 transporta apenas três tipos de
informação que são verdadeiramente
específicos do IPv4:
– O NLRI na mensagem de UPDATE contém um
prefixo IPv4
– O atributo NEXT_HOP na mensagem de UIPDATE
contém um endereço IPv4
– O BGP ID no atributo AGGREGATOR
BGP Multiprotocolo
• O RFC 4760 define extensões multi-protocolo
para o BGP4
– Isto torna o BGP4 disponível para outros
protocolos de rede (IPv6, MPLS…)
– Novos atributos do BGP4:
• MP_REACH_NLRI
• MP_UNREACH_NLRI
– Atributo NEXT_HOP independente de protocolo
– Atributo NLRI independente de protocolo
Encaminhamento
IPv6 vs. IPv4 a Nível Global
(10/03/2008)
IPv6
IPv4
ROTAS
1235
255998
ROTAS
1114
165340
AGREGADAS
(90,2%)
(64,6%)
918
27796
SISTEMAS
AUTÓNOMOS
www.cidr-report.org
Conclusões
Protocolo
IPv4
IPv6
Processos
RIP
RIPng
Dois
OSPF
RIPv1/RIP
v2
OSPFv2
OSPFv3
Dois
IS-IS
IS-IS
IS-IS
Um
BGP
BGP4
BGP4+
Um
Conclusões
• Os principais protocolos de
encaminhamento já têm suporte IPv6
estável
• Não existem diferenças significativas
entre o funcionamento do
encaminhamento entre o IPv4 e o IPv6
• Muitas redes apenas existem no mundo
IPv4
Segurança
Ameaças
•
•
•
•
•
•
•
•
•
•
Escuta passiva e activa
Repetição
Análise de Tráfego
Negação de Serviço
Ataque Físico
Passwords
Vírus, Cavalos de Tróia, Worms
Acesso Acidental
Desastres Naturais
Engenharia Social
O que há de novo no IPv6?
• A Segurança foi uma preocupação desde o
início
• Áreas que beneficiaram da forma de ver a rede
trazida pelo IPv6:
–
–
–
–
–
Ameaças ao acesso móvel e ao IP móvel
Endereços gerados Criptograficamente
Protocolos para Autenticação e Acesso à Rede
IPsec
Tornar as intrusões mais difíceis
Ameaças
• Ataque ao Encaminhamento IPv6
– É recomendado o uso dos tradicionais mecanismos no
BGP e IS-IS
– O IPsec garante a segurança de protocolos como o
OSPFv3 e o RIPng
• «Sniffing»
– Sem o recurso ao IPsec, o IPv6 está tão exposto a este
tipo de ataque como o IPv4
• Ataques ao nível da Aplicação
– Actualmente, a maioria das vulnerabilidades na Internet é
ao nível da aplicação, que não beneficia do uso do IPsec
• Ataques «Man-in-the-Middle»
– Sem o uso de IPsec, este tipo de ataques em IPv6 ou
IPv4 é semelhante
• Flooding
– Idênticos em IPv4 e IPv6
IPsec
• Mecanismos gerais de segurança IP
• Fornece…
– Autenticação
– Confidencialidade
– Gestão de Chaves – necessita de uma infraestrura de
chaves públicas (PKI)
• Aplicável ao uso em LANs, e WANs públicas & privadas,
e na Internet
• O IPsec não é apenas um único protocolo. O IPsec
contém um conjunto de algoritmos e uma infraestrutura
que permite a comunicação entre duas partes,
independentemente do algoritmo apropriado para dotar
de segurança essa comunicação
• O IPsec está definido como obrigatório nas normas do
IPv6
IPsec
• Trabalho emanado do IPsec-wg do IETF
• Aplica-se tanto ao IPv4 como ao IPv6 e a sua
implementação é:
– Mandatória para IPv6
– Opcional para IPv4
• Modos IPsec: Transporte & Túnel
• Arquitectura IPsec: RFC 4301
• Protocolos IPsec:
– Authentication Header – AH (RFC 4302)
– Encapsulating Security Payload - ESP (RFC 4303)
IPsec - Arquitectura
• Políticas de Segurança: Que tráfego é
tratado?
• Associações de Segurança: Como é
processado o tráfego?
• Protocolos de Segurança: Que protocolos
(extensões do cabeçalho) são usados?
• Gestão de Chaves: Internet Key Exchange
(IKE)
• Algoritmos: Autenticação e Encriptação
IPsec - Modos
• Modo de Transporte
• Modo de Túnel
– Acima do nível IP
– IP dentro de IP
– Apenas o payload
dos datagramas IP
são protegidos
– Todos os
datagramas que
atravessam o túnel
são protegidos
IPsec : Gestão de Chaves
• Manual
– Chaves configuradas em cada sistema
• Automática: IKEv2 (Internet Key Exchange
v2, RFC 4306)
– Negociação da Associação de Segurança:
ISAKMP
• Diferentes blocos (payloads) são ligados a seguir ao
cabeçalho ISAKMP
– Protocolos de Troca de Chaves: Oakley, Scheme
• Algoritmos: Autenticação e Encriptação
Scanning em IPv6
• Scanning = «Varrimento»
• O tamanho de cada rede é incomparavelmente
maior
– As LANs têm 2^64 endereços. Deixa de ser
razoável pesquisar por um endereço
sequencialmente
• Com 1 milhão de endereços/segundo, seriam necessários
mais de 500 mil anos para percorrer todos os endereços
de uma única LAN
– A ferramente NMAP por exemplo, nem sequer
suporta scanning em IPv6
Scanning em IPv6
• Os métodos de Scanning em IPv6 vão
provavelmente evoluir
– Os servidores públicos necessitam de estar registados no
DNS, o que constitui um alvo fácil – no entanto isto não é
novo!
– Os Administradores das redes podem adoptar endereços
fáceis de memorizar (por exemplo… ::1,::2,::53)
– Os endereços EUI-64 têm uma componente fixa (de 16 bits)
– Os códigos que identificam os fabricantes das placas de rede
são bem conhecidos (primeiros 24 bits do endereço MAC)
– Outras técnicas incluem obtenção de informação através de
zonas de DNS ou de logs
• Negar a transferência de zona (para o mundo) é prática corrente
– Ao comprometer pontos importantes da arquitectura (routers
por exemplo), um atacante pode detectar a existência de
muitos possíveis alvos
Scanning em IPv6
• Novos vectores de ataque
• Uso de endereços Multicast para «emular»
funções de router ou servidor DHCPv6
• Todos os nós (FF02::1)
• Todos os routers (FF05::2)
• Todos os servidores DHCPv6 (FF05::5)
• Estes endereços devem ser filtrados em
cada ponto de «fronteira»
• Este é o comportamento por omissão se o IPv6
Multicast não estiver activo no Backbone
Spoofing em IPv6
• A maior agregação que é possível com o
IPv6, torna menos complexa a filtragem para
impedir o spoofing em pontos estratégicos da
rede
• O aspecto negativo tem a ver com os últimos
64 bits
– Para identificar um utilizador através de um
endereço IPv6, seria necessário manter
constantemente o mapeamento entre endereços
IPv6 e endereços MAC
Spoofing em IPv4 com 6to4
• Através de tráfego injectado da Internet IPv4 para
uma rede IPv6, recorrendo às características do
mecanismo de transição 6to4
–
–
–
–
Origem IPv4: Origem IPv4 spoofed
Destino IPv4: Relay 6to4 Anycast (192.88.99.1)
Origem IPv6: Origem IPv6 spoofed, com prefixo 2002::
Destino IPv6: Válido
Rede
IPv6
Atacante
Internet
IPv4
gateway 6to4
relay 6to4
Rede
IPv6
Protecção – Firewalls IPv6
• IPv6 & Firewalls
– Não elimina a segurança IPv4, se ela existir ☺
– O processo do firewall IPv6 é em geral separado do
firewall IPv4, mas pode ser efectuado no mesmo
equipamento
• É o caso da FCCN (Checkpoint & Cisco PIX -- no futuro)
– Sem necessidade de gerir NATs
• Mesmo nível de segurança e privacidade
• Segurança fim-a-fim com recurso a IPsec
– Suporte de transição e coexistência IPv4/IPv6
Firewall IPv6 – arquitectura #1
DMZ
Router
Rede
Protegida
Internet
Firewall
• Internet ↔ router ↔ firewall ↔ Rede
• Requisitos:
– Firewall tem que suportar filtragem de pacotes Neighbor Discovery
– Firewall tem que suportar filtragem de pacotes de Anúncio de
Router
– Firewall tem que suportar o protocolo MLD, se o Multicast é usado
Firewall IPv6 – arquitectura #2
DMZ
Router
Rede
Protegida
Internet
Firewall
• Internet ↔ firewall ↔ router ↔ Rede
• Requisitos:
– Firewall tem que suportar filtragem de pacotes ND
– Firewall tem que suportar filtragem de protocolos dinâmicos de
encaminhamento (i.e. BGP, OSPF, IS-IS)
– Firewall idealmente terá uma multiplicidade de interfaces
Firewall IPv6 – arquitectura #3
DMZ
Rede
Protegida
Internet
Firewall
Router
• Internet ↔ firewall/router ↔ Rede
• Requisitos
– Apenas um ponto para funções de routing e implementação
de políticas de segurança – comum em ambientes «SOHO»
– Necessita suporte de todas as funções de router e também
de firewall
DDoS
• Não existem endereços broadcast em IPv6
– Evita ataques através do envio de pacotes ICMP
para o endereço de broadcast
• As especificações do IPv6 proibem a geração
de pacotes ICMPv6 em resposta a mensagens
enviadas para endereços globais multicast
(com a excepção da mensagem «Packet too
big»).
– Muitos sistemas operativos seguem a especificação
– Ainda há alguma incerteza sobre o perigo que pode
ser criado por pacotes ICMPv6 com origem em
endereços multicast globais
Mitigação de DDoS em IPv6
• Ter a certeza que os sistemas
implementam o descrito no RFC 4443
• Implementar filtragens recomendadas
nos RFCs 2827 e 3704, à entrada do
sistema autónomo
• Implementar filtragem à entrada de
pacotes IPv6 com endereços de origem
IPv6 multicast na rede local
Aplicações
Web/Apache
• Apache >= 2.x suporta IPv6
• Directivas
– Listen 80 (colocar apenas o porto e não um IP)
– NameVirtualHost <endereço> (colocar o endereço IPv6 entre [ ])
– VirtualHost <endereço> (colocar o endereço IPv6 entre [ ])
• Exemplo de configuração: httpd.conf
Listen 80
NameVirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f]
<VirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f]>
DocumentRoot /usr/local/apache2/htdocs/lg
ServerAdmin [email protected]
ServerName lg.ip6.fccn.pt
ServerAlias lg.tbed.ip6.fccn.pt
ServerSignature email
</VirtualHost>
E-Mail/Postfix
• Postfix >= 2.2 suporta IPv6
• Exemplo de configuração: /etc/postfix/main.cf
inet_protocols = ipv4, ipv6
smtp_bind_address6 = 2001:db8:1:1::1600
smtp_bind_address = 172.16.250.1
inet_interfaces = 2001:db8:1:1::1600, localhost
mynetworks = [2001:db8:1:1::]/64 172.16.250.0/24 [::1]/128 127.0.0.0/8
• Responde no porto 25, tanto em IPv4 como em
IPv6
E-Mail
• 10/3/2008, Logs de Servidor
imapd-ssl: user=jgoncalves, ip=[2001:690:2080:8009:34ac:199a:a90:271]
imapd-ssl: user=amr, ip=[2001:690:2080:8009:64fb:6204:99ce:b389]
imapd-ssl: user=assisg, ip=[2001:690:2080:8009:6861:b929:6577:2cf4]
imapd-ssl: user=jcarvalho, ip=[2001:690:2080:8009:16f:4b32:ee75:6ff3]
imapd-ssl: user=lino, ip=[2001:690:2080:8009:8991:dfbc:1b02:10c2]
imapd-ssl: user=massano, ip=[2001:690:2080:8009:813b:ddaf:4701:81fa]
• «Transparência» !!!
FTP
• VsFTP >= 2.0.x suporta IPv6
• Exemplo de configuração: /etc/xinetd.d/vsftpd
service ftp
{
socket_type
wait
user
server
server_args
flags
nice
disable
}
= stream
= no
= root
= /usr/local/sbin/vsftpd
= /etc/vsftpd.conf
= IPv6
= 10
= no
• Responde no porto 21, tanto em IPv4 como em IPv6
Multicast
• Objectivo: Poupança
em fluxos de tráfego
• Arquitectura dífícil de
manter no interdomínio (entre redes
de ISPs diferentes)
• Com o IPv6 surge o
conceito de Source
Specific Multicast
(SSM)
Multicast
• IPv4: IGMP, Internet Group Management Protocol
• IPv6: MLD, Multicast Listener Discovery
• Protocolos para Gerir Grupos Multicast
– utilizados entre o cliente (pc) e o gateway
– evitam que as portas que não estão a aceder a grupos
Multicast recebam tráfego indesejado
Videoconferência
• Vários Componentes
– Gestores H.323: OpenMCU
– Clientes: GnomeMeeting/Ekiga, ConferenceXP
Video On-Demand
• Windows Media Services 9 (>Win2003
Server)
• Ferramenta VideoLan
– www.videolan.org
P2P - Peer-to-Peer
• Virtualmente todos os nós
prestam um serviço
– Meios: DNS, Serviço de
Ponto de Encontro
• Sem restrições em
relação ao «iniciador»
• Todos os participantes
partilham uma visão
consistente da rede
Domínio de
Endereçamento
Global
P2P - Bittorrent
• Protocolo criado em 2002
• Há conteúdos «legais» acessíveis
através deste protocolo:
– http://fedoraproject.org/en/get-fedora
• Suporte em alguns clientes
• Sempre dependente da plataforma
–Win/Linux/BSD/Mac
• Comunicação sobre IPv6 com:
– «Tracker»
– Outros clientes
Transição
Túneis
• Inicialmente IPv6 sobre IPv4 (no futuro, IPv4 sobre IPv6!)
• Pacotes IPv6 são encapsulados em pacotes IPv4
– O pacote IPv6 é o «payload» do pacote IPv4
• Usualmente usado entre routers de forma a interligar «ilhas» de
redes IPv6
– O router de acesso fala IPv6 internamente com os sistemas na sua
LAN
– Encapsula pacotes IPv6 em pacotes IPv4 na direcção do outro
extremo do túnel
Entrega de pacotes através do túnel
• O nó A IPv6 envia pacotes para o nó B IPv6
– Encaminhados localmente para o router
• O router (do lado A) conhece o melhor caminho para
o destino (nó B) através do interface do túnel
– Encapsula os pacotes IPv6 em pacotes IPv4
– Envia os pacotes IPv6 para o router (do lado B)
– A entrega é efectuada através da infraestrutura IPv4 que
existe entre ambos (Internet)
• O router (do lado B) desencapsula os pacotes IPv6 a
partir do payload dos pacotes IPv4 recebidos
– Os pacotes IPv6 são encaminhados internamente até à rede
onde está o nó B
– O nó B recebe os pacotes IPv6
Túnel - Endereçamento
Manuais ou automáticos?
• Os túneis podem ser criados manualmente ou de
forma automática
• Manualmente
– Requer intervenção manual nos dois extremos
• Não funciona quando os endereços IPv4 mudam (DSL, …)
– Boa solução do ponto de vista da gestão: sabe-se o que
está no outro extremo do túnel
• Automaticamente
– Túneis criados a pedido, mas sem intervenção humana
– Inclui o mecanismo 6TO4 (RFC3056)
– Outros mecanismos: ISATAP (RFC4214) e Teredo
(RFC4380)
Tunnel Broker
• Modo de Operação:
– processo de registo, para permitir posterior autenticação,
quando o pedido de criação de um túnel é
efectuado/recebido de um determinado endereço IPv4
– o «broker» configura o seu lado do túnel e envia as
configurações necessárias para que o outro extremo seja
configurado pelo «cliente»
• Este mecanismo está descrito no RFC3053, de
forma a possibilitar a conectividade de sistema a
router, e também de router a router
• Exemplos:
– www.freenet6.net (CA)
– ipv6tb.he.net (US)
– www.sixxs.net (EU)
6to4
• O mecanismo 6to4 é usado para ligar duas «ilhas»
IPv6 através da rede IPv4
• O prefixo de rede IPv6 2002::/16 está reservado para
este mecanismo
– Os 32 bits seguintes do endereço são os bits do endereço
IPv4 do router 6to4
– Exemplo: um router 6to4 com o endereço 192.0.1.1 usará
um prefixo IPv6 2002:c000:0101::/48 para a rede do seu
«site» de transição
• Quando um router 6to4 recebe um pacote para um
destino com um prefixo 2002::/16, ele sabe que tem
de enviá-lo encapsulado através do mundo IPv4 para
o endereço indicado nos 32 bits seguintes
6to4 - Mapa
6to4 - Características
• Positivo: Simples de instalar e usar
– Completamente automático; não necessita de
intervenção humana para que seja configurado
um novo túnel
– Os pacotes atravessam os túneis até ao destino
usando o melhor caminho disponível na rede IPv4
• Negativo: Os relays 6to4 podem ser usados
em ataques (DoS attacks)
– O RFC3964 descreve alguns cuidados a ter em conta
6to4 Relay
• Um router que seja um 6to4 Relay possui um endereço
6to4 mas também um endereço no mundo IPv6
• Dois casos a considerar:
– Pacotes IPv6 enviados de um «site» 6to4 para um destino no
mundo IPv6 (fora de 2002::/16) atravessam um túnel até ao
relay e aí são encaminhados para a Internet IPv6 até ao seu
destino
• Os relays 6to4 são anunciados no endereço IPv4 anycast
192.88.99.1.
– Pacotes IPv6 enviados da Internet IPv6 até um «site» 6to4
(portanto num prefixo 2002::/16) são encaminhados até um
relay 6to4 e então atravessam um túnel até ao destino.
• O relay anuncia a rede 2002::/16 aos seus vizinhos na Internet
IPv6
6to4 Relay @ FCCN - Rotas
• (IPv4)
* 139.83.0.0/16
* 192.88.99.0/24
* 193.136.0.0/15
* 194.210.0.0/16
(...)
• (IPv6)
* 2001:690::/32 (RCTS)
* 2001:7f8:a::/48 (GIGAPIX)
* 2002::/16
(6TO4)
• «Anúncios» do AS1930
– Border Gateway Protocol (BGP)
6to4 Relay - Exemplo
6to4 - Aspectos
• 6to4 é um mecanismo de transição interessante
– Embora possua alguns detalhes operacionais menos positivos
• Problema 1: Possibilidade de abuso do relay
– Pode ser usado num ataque DoS
– Os endereços IPv6 que atravessam os túneis automáticos
podem ser falsificados (spoofed)
• Problema 2: Modelo assimétrico/robustez
– Um «site» 6to4 pode usar um relay 6to4 diferente de cada vez
que comunica com um destino na Internet IPv6 (isso depende
apenas do estado das rotas IPv6 e IPv4).
– Alguns relays 6to4 podem ficar inatingíveis caso os ISPs filtrem
a informação de routing como forma de apenas os seus
clientes poderem alcançar o relay 6to4 que disponibilizam
6to4 – Encaminhamento Assimétrico
Network layer: NAT-PT
• Network Address Translation - Protocol
Translation
– Definido no RFC2766, Descontinuado no RFC4966
– Similar ao NAT do IPv4, mas com tradução de
protocolo
• Usa o protocolo SIIT (RFC2765)
– O SIIT define algoritmos para traduzir os cabeçalhos
de pacotes IPv4 e IPv6, quando possível
• O NAT-PT adiciona ao SIIT gamas de
endereços IPv4
– Traduções IPv4-para-IPv6 e IPv6-para-IPv4 são
suportadas
NAT-PT: Topologia
NAT-PT e DNS
• O protocolo DNS ALG traduz queries DNS de
registos IPv6 (AAAA), para queries DNS de
registos IPv4 (A).
• Quando a resposta com o registo (A) é
recebida, o DNS ALG traduz o resultado para
um endereço IPv6
– Guardando o tuplo <IPv6-prefix>:<IPv4 address>
• O sistema cliente vai usar o endereço IPv6
para contactar o destino, que será traduzido
pelo mecanismo de NAT-PT para o destino
«real» em IPv4
NAT-PT: Aspectos Negativos
• Todas as desvantagens do NAT em IPv4, e
um pouco mais:
– Necessita de manter os estados nos
equipamentos que suportam o NAT-PT
– Necessita de lidar com os endereços IP
embebidos no payload do pacote (ex: FTP)
– Os aspectos relacionados com o DNS são
complexos
• A principal dificuldade é não ser escalável
para ambientes de média/grande dimensão
Questões ?
Obrigado !