Ativando IPv6 em uma rede corporativa · 2019. 4. 12. · Um dia na vida de um pacote. ROTEADOR DO...

Danton Nunesdanton.nunes@inexo.com.br

Ativando IPv6 em uma rede corporativa

Danton Nunesdanton.nunes@inexo.com.br

Ativando IPv6 em uma rede corporativa

pequena

Ativando IPv6 em uma rede corporativa − GTER−45 Florianópolis, maio de 2018 Internexo Ltda. S.J.Campos, SP

Parte 1Roteamento

O Problema

Rede corporativa:

O Problema

Rede corporativa: − 12+ servidores;

O Problema

− um montão de estações de trabalho

O Problema

ISP oferece um bloco /64, porém:

O Problema

− sem delegação de prefixo ISP oferece um bloco /64, porém:

O Problema

− sem autoconfiguração

O Problema

− sem autoconfiguração − sem firewall

O Problema

− sem autoconfiguração − sem firewall

O Problema

ROTEADOR DOPROVEDOR FIREWALL

REDE DE ACESSO REDE LOCAL

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

ROTEADOR DOPROVEDOR CLIENTEFIREWALL

O ProblemaREDE DE ACESSO REDE LOCAL

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

Um dia na vida de um pacote

Rota default

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

Rota default

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

Rota defaultRota default

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

2001:db8::/64 2001:db8::/64 também!

2001:db8::a/64 2001:db8::b/??

2001:db8::6/64

Quem é fulano?

2001:db8::/64 2001:db8::/64 também!

2001:db8::b/??

2001:db8::6/64

Quem é fulano?

2001:db8::a/64

(sem resposta)

2001:db8::/64 2001:db8::/64 também!

2001:db8::b/??

2001:db8::6/64

Quem é fulano?

2001:db8::a/64

(sem resposta)

ICMP unreachable!

2001:db8::/64 2001:db8::/64 também!

2001:db8::b/??

2001:db8::6/64

Quem é fulano?

2001:db8::a/64

(sem resposta)

ICMP unreachable! É preciso fazer com que o roteador doprovedor alcance o cliente!

Possíveis soluções

1 − uma ponte (bridge) INTERNET

REDE LOCAL

É simples e funciona!

Permite filtragem de

1 − uma ponte (bridge)

pacotes (ip6tables).

INTERNET

REDE LOCAL

Porém expõe a rede de acesso completamente aos clientes e há coisas "feias" lá.

INTERNET

REDE LOCAL

Complica a coexistencia com IPv4 pré−existente(e no qual não podemos mexer!)

INTERNET

REDE LOCAL

Complica a coexistencia com IPv4 pré−existente(e no qual não podemos mexer!)

INTERNET

REDE LOCAL

2 − Proxy NDP, ou o roteador de pobre,ou ainda ai que saudade do proxy−arp do IPv4.

Consiste em responder às solicitações de MACde vizinhos por procuração.

Exige ajuste nos parâmetros do kernel e umprograma na "userland" para gerenciar atabela de vizinhos.

Quais endereços podem ser resolvidos são configurados manualmente.

Exige ajuste nos parâmetros do kernel e umprograma na "userland" para gerenciar a

Quais endereços podem ser resolvidos são configurados manualmente.

tabela de vizinhos.

Um dia na vida de um pacote − mas agora com proxy−NDP!

Quem é o Zé?

Quem é o Zé? Quem é o Zé?

Sou eu!

Sou procurador

do Zé. ’xacumigo!

Sou eu!

Sou procurador

Sou eu!

Sou procurador

Sou eu!

Sou procurador

Sou eu!

Sou procurador

Resumo da ópera

Sou eu!

Sou procurador

Resumo da ópera− roteador envia uma solicitação de vizinho.

Sou eu!

− firewall responde em nome do cliente (por isso ele é um procurador − proxy).

Sou procurador

Sou eu!

− se necessário o firewall atualiza sua própria tabela de vizinhos.

− firewall responde em nome do cliente (por isso ele é um procurador − proxy).

Sou procurador

Internexo Ltda. S.J.Campos, SP

Proxy NDP no Linux

Ativando IPv6 em uma rede corporativa − GTER−45 Florianópolis, maio de 2018

Proxy NDP no Linux

Requer ajuste no kernel/etc/sysctl.d/99−sysctl.conf

net.ipv6.conf.all.proxy_ndp = 1net.ipv6.conf.default.proxy_ndp = 1

proxy home { rule 2001:db8::a/127 { static }}proxy jungle {

static }}

rule 2001:db8::/64 {

Proxy NDP no Linux

Requer ajuste no kernel

Usa um "daemon" chamado ndppd/etc/ndppd.conf

/etc/sysctl.d/99−sysctl.confnet.ipv6.conf.all.proxy_ndp = 1net.ipv6.conf.default.proxy_ndp = 1

static }}

rule 2001:db8::/64 {

Proxy NDP no Linux

rede local

static }}

rule 2001:db8::/64 {

Proxy NDP no Linux

rede local

rede deacesso

Internexo Ltda. S.J.Campos, SPAtivando IPv6 em uma rede corporativa − GTER−45 Florianópolis, maio de 2018

Autoconfiguração de endereços IP

Os clientes obtém o endereço IP por SLAAC.

O serviço é prestado pelo radvd

O serviço é prestado pelo radvd/etc/radvd.conf

interface home { AdvSendAdvert on; MinRtrAdvInterval 5; MaxRtrAdvInterval 10;

AdvAutonomous on; };

prefix 2001:db8::/64 {

RDNSS 2001:db8::1bd { AdvRDNSSPreference 8; };};

O serviço é prestado pelo radvd/etc/radvd.conf

interface home { AdvSendAdvert on; MinRtrAdvInterval 5; MaxRtrAdvInterval 10;

AdvAutonomous on; };

prefix 2001:db8::/64 {

RDNSS 2001:db8::1bd { AdvRDNSSPreference 8; };};

porque roda"unbound"!

Parte 2Firewall

Firewall

FirewallModelo: Screened Hosts

permite acesso externo a endereços/portaspreviamente escolhidos na rede interna

bloqueia o acesso para qualquer outro host.

Lógica de filtragem

estadoou porta

próxima regra

aceita

exceção1

estadoou porta

próxima regra

aceita

exceção1

estadoou porta

rejeita

exceçãon

aceita

próxima regra

Firewall − política de entrada

−N INBOUND−A INBOUND −m comment −−comment "Rules for incoming packets"−A INBOUND −m conntrack −−ctstate RELATED,ESTABLISHED −j ACCEPT−A INBOUND −p tcp −m multiport −−dports 80,443 −j WEB−SERVERS

−A INBOUND −p tcp −m tcp −−dport 53 −j DNS−SERVERS−A INBOUND −p udp −m udp −−dport 53 −j DNS−SERVERS−A INBOUND −p tcp −m tcp −−dport 3389 −j TS−WINDOWS−A INBOUND −p tcp −m tcp −−dport 22 −j SSH−SERVERS−A INBOUND −p tcp −m tcp −−dport 445 −j LOG+DROP−A INBOUND −j DROP

−A INBOUND −p tcp −m multiport −−dports 25,110,143,587,993 −j MAIL

−N MAIL−A MAIL −m comment −−comment "mail servers come here."−A MAIL −d 2001:db8::25/128 −j RETURN−A MAIL −j DROP

−N MAIL−A MAIL −m comment −−comment "mail servers come here."

−A MAIL −j DROP−A MAIL −d 2001:db8::25/128 −j RETURN

−N TS−WINDOWS−A TS−WINDOWS −m comment −−comment "MS Terminal servers."−A TS−WINDOWS −d 2001:db8::15a1/128 −j RETURN−A TS−WINDOWS −d 2001:db8::15a2/128 −j RETURN−A TS−WINDOWS −j DROP

Firewall − política de saída

Firewall − política de saída−N OUTBOUND−A OUTBOUND −m comment −−comment "Rules for outbound packets"−A OUTBOUND −j INGRESS−A OUTBOUND −p tcp −m tcp −−dport 25 −j ANTI−SPAM−A OUTBOUND −m conntrack −−ctstate NEW,RELATED,ESTABLISHED −j ACC−A OUTBOUND −j DROP

Firewall − política de saída−N OUTBOUND−A OUTBOUND −m comment −−comment "Rules for outbound packets"−A OUTBOUND −j INGRESS−A OUTBOUND −p tcp −m tcp −−dport 25 −j ANTI−SPAM

−A OUTBOUND −j DROP

−N INGRESS−A INGRESS −m comment −−comment "Ingress filter"−A INGRESS −s 2001:db8::/64 −j RETURN−A INGRESS −s fe80::/64 −j RETURN−A INGRESS −j LOG+DROP

−A OUTBOUND −m conntrack −−ctstate NEW,RELATED,ESTABLISHED −j ACC

Firewall − política de saída−N OUTBOUND−A OUTBOUND −m comment −−comment "Rules for outbound packets"−A OUTBOUND −j INGRESS

−A OUTBOUND −j DROP

−N INGRESS−A INGRESS −m comment −−comment "Ingress filter"−A INGRESS −s 2001:db8::/64 −j RETURN−A INGRESS −s fe80::/64 −j RETURN−A INGRESS −j LOG+DROP

−A OUTBOUND −m conntrack −−ctstate NEW,RELATED,ESTABLISHED −j ACC

−N ANTI−SPAM−A ANTI−SPAM −m comment −−comment "Port 25/tcp screening."−A ANTI−SPAM −s 2001:db8::25/128 −j RETURN−A ANTI−SPAM −s 2001:db8::a17f/128 −j RETURN−A ANTI−SPAM −j LOG+DROP

−A OUTBOUND −p tcp −m tcp −−dport 25 −j ANTI−SPAM

Comentários e conclusões

Bem que o provedor de serviços IPpoderia caprichar um pouco mais...

Bridge ou proxy−NDP permitem interpor um filtro/firewall.

Optamos pelo proxy−NDP por sermais compatível com a infra atual.

Autoconfiguração (SLAAC).

Atenção ao limite de tamanho databela de vizinhos, especialmenteem redes grandes (não é nosso caso).

Autoconfiguração (SLAAC).

Referencias úteis

Referencias úteisIPv6 − Proxy the neighbors (or come back ARP− we loved you really)

https://www.ipsidixit.net/2010/03/24/239/

DanielAdolfsson/ndppd (github)https://github.com/DanielAdolfsson/ndppd

Ativando IPv6 em uma rede corporativa · 2019. 4. 12. · Um dia na vida de um pacote. ROTEADOR DO...

Documents

Transcript of Ativando IPv6 em uma rede corporativa · 2019. 4. 12. · Um dia na vida de um pacote. ROTEADOR DO...

Centro Federal de Educação Tecnológica do Rio Grande do ... · Firewall e Roteador Open Source ... Roteador/Firewall Opensource Baseado no Sistema Operacional Linux ... (complemento

Manual do usuário · ... »Se desejar acessar seu roteador via Wi-Fi em vez de acessar via cabo de ... ou provedor de internet. Após iniciar o ... um ACtion R1200 como

Firewall Linux

Firewall Luidi V. A. Andrade. Firewall Um firewall protege rede de computadores de invasões hostis que possa comprometer confidencialidade ou resultar.

10 dns-firewall

Tcc Firewall Iptables

Comandos Firewall

Sistemas Firewall

Artigo Firewall

5 - segurança - firewall

Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmailC7… · professor.gleyson@gmail.com. ... instalação de um IDS entre o roteador e o firewall para prevenção de ataques de buffer

roteador multilaser_RE024

Linux Firewall Iptables

Agenda - IFRN · 2017-05-03 · 7 Redes de Acesso nEsquema típico de uma rede doméstica n Componentes típicos n 1 -ADSL ou CableModem n 2 -Roteador/Firewall n 3 -Acesso Wireless

GIS-R3 - Guest Internet · Acesso pelas redes sociais (Facebook™) Firewall para PCI DSS Internet Roteador GIS-R3 Dispositivo com ﬁo Dispositivos sem ﬁo Ponto(s) de acesso sem

Firewall em Linux

Firewall iptables

Capítulo 1 Introdução - professor.ufabc.edu.brprofessor.ufabc.edu.br/~joao.kleinschmidt/aulas/redes2018/... · • roteador/firewall/nat • Ethernet • ponto de acesso sem fio

Configurar Roteador

Firewall: Redes Protegidas