Entenda e Aplique o IPv6

Kleber Silva@krebistux09/10/2013Campo Grande - MS

Sobre a Palestra

Por onde eu Começo ?

Esgotamento de IPv4

Adoção do IPv6

Diferenças Básicas em relação ao IPv4

Motivos para Uso

Métodos

Práticas de Endereçamento

Segurança

Técnicas de Transição IPv4/IPv6

#whoami

Kleber Silva (@krebistux)

Bacharel em Engenharia de Computação

SysAdmin e Desenvolvedor Web

Certificado Mandriva em Redes

Entusiasta de SL a 13 anos

Curso IPv6 a Distância pelo NIC.br

Atualmente Pós Gestão em TI e Monitor do Curso IPv6 a Distância pelo NIC.br

Como Aprender IPv6 (de graça)

No site http://www.ipv6.br

E-learning

Curso Presencial e EAD

Fórum - Implementadores http://ipv6.br/forum/

IPv4

O protocolo TCP/IP foi adotado em 1983.

Endereço com 32 bits de 4 bilhões de endereços possíveis. (Infinito na época)

Separação de Endereços públicos e privados (RFC 1918)

Soluções paliativas NAT e DHCP.

Entendendo o IPv4

Principal Problema Esgotamento dos Endereços

4.3 BilhõesEnd. IPv4

+ 7 BilhõesPessoas

Entendendo o IPv4

Divisão dos blocos de endereços IP Em 2011 a IANA atribuíu os últimos blocos /8

aos RIRs.

Esgotamento do IPv4

Evolução do estoque de blocos IP na IANA.

IPv4

Esgotamento do IPv4 está previsto para o primeiro semestre de 2014

A internet continua à crescer

A Previsão Inicial

Como está a implantação do IPv6 ?

A previsão está assim:

E Agora ?

IPv4

O CGI.br aponta alguns dos potenciais problemas ocasionados pelo atraso na implantação do protocolo.

A resolução é um alerta para os provedores, operadoras de telecom, bancos, lojas de comércio eletrônico, empresas em geral, universidades e órgãos do governo.

O atraso no uso efetivo do IPv6 dificultará sobremaneira a expansão sustentável da Internet.

Problemas

Usuários --> uma experiência de navegação pior;

Provedores de acesso Internet, uma complexidade maior em suas estruturas, com custos crescentes;

Provedores de conteúdo e serviços,

Segurança e estabilidade da Internet, dificuldade adicional na utilização de sistemas de segurança baseados em reputação dos IPs, como blacklists, e no uso do IPSec;

Desenvolvedores, eventual quebra da conectividade fim-a-fim, dificultando a inovação.

Fonte: http://cio.uol.com.br/tecnologia/2013/09/27/brasil-esta-atrasado-no-uso-do-ipv6/

Podemos Retirar o IPv4 ?

As redes IPv4 e IPv6 vão persistir durante um bom tempo.

A infraestrutura é IPv4, então não existe uma data limite.

A solução é suportar as duas pilhas de protocolo (Dual Stack).

IPv6

Definido pela RFC 2460 – Internet Protocol, Version 6 (IPv6) Specification;

128 bits para endereçamento;

Cabeçalho simplificado;

Cabeçaho de extensão;

Mecanismos de IPSec incorporado;

Não requer uso do NAT.

IPv6

Diferenças entre os cabeçalhos IPv4 e IPv6

IPv6 possui um tamanho fixo de 40 bytes.

Apesar do IPv6 ter 128bits contra 32 do IPv4, o cabeçalho base do IPv6 tem apenas o dobro do tamanho.

Mais eficiente Minimiza o overhead nos cabeçalhos. Menos processamento dos pacotes.

IPv6 - Cabeçalho

IPv6 - Cabeçalho

(1) Tipo de Serviço - Classe de Tráfego(2) Tamanho Total - Tamanho dos Dados(3) Protocolo - Próximo Cabeçalho(4) Tempo de Vida (TTL) – Limite de Encaminhamento

Facilita o processamento das informações pelos roteadores

IPv6 – Cabeçalho de Extensão

IPv4 inclui no cabeçalho base todas as informações opcionais, o IPv6 trava no cabeçalho de extensão.

Não tem quantidade e nem tamanho fixo para pacotes no cabeçalho de extensão.

IPv6 – Cabeçalho de Extensão

É definido seis cabeçalhos de extensão:

Hop-by-Hop Options;

Routing;

Fragmentation;

Authentication Header;

Encapsulating Security Payload;

Destination Options.

Endereçamento

Endereço IPv4 tem 32 bits.

232 = 4.294.967.296

Endereço IPv6 tem 128 bits.

Simulador de alocação de endereços - http://ipv6.br/rfc3531demo/

2128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 56 octilhões (5,6x1028) de endereços IP por ser humano. 79 octilhões (7,9x1028) de vezes a quantidade de end. IPv4.

Endereçamento

Endereçamento

Três tipos de endereços definidos: Unicast Identificação Individual, tipo de

endereço identifica uma única interface (um-para-um).

Anycast identificação Seletiva utilizado em comunicações de um-para-um-de-muitos (Broadcast não existe, DNS).

Multicast Identificação em Grupo utilizado em comunicações de um-para-muitos (audio e video).

Endereçamento

Três grupos para os endereços Unicast: End Global endereços visíveis na Internet

similar aos públicos IPv4, (2000::/3). A IANA alocou apenas 20% dos IPs como

Global. End Link Local identifica um host apenas em

sua rede local (fe80::/64). Para Enlace, o roteador não passa adiante End Unique Local Não é valido na internet,

não deve ser roteável na Internet Global (fc00::/7) Ex: Backup.

Segurança

Segurança

No IPv6 foi uma preocupação desde o início.

Várias ferramentas foram implementadas no protocolo.

Mecanismos de autenticação e encriptação.

Segurança

IPv6 é mais seguro que o IPv4 ? OU IPv4 é mais seguro que o IPv6?

Pode acontecer que determinados cenários um protocolo tenha uma falha que o outro não.

Na prática possuem falhas similares.

IPv6 corrigiu algumas falhar conhecidas do IPv4.

Porém o IPv6 tem menos utilização e menor tempo de debug.

Segurança

IPv6 tem IPsec por isso é mais seguro que o IPv4 !?!

Discussões atuais estão em projeto para que a inclusão do IPsec seja opcional como no IPv4.

Isto para dispositivos portáteis e com limites de processamento e memória.

Sem desrespeitar a especificação.

Segurança

Se não implementar o IPv6 na minha rede, então posso ignorá-lo ?

Pode gerar sérios problemas para sua rede, mesmo que não seja nativo.

SO atuais já possuem suporte habilitado e dão preferência ao IPv6.

Ignorar o IPv6 deixa a máquina exposta.

Segurança

Falhas, Ataques e Defesa

Ataque e Desefa no IPv6

Ferramentas para Ataques e Defesas

Ferramenta Ataque THC-IPv6 - http://www.thc.org/thc-ipv6/

Ferramenta Defesa - http://ndpmon.sourceforge.net/

Proteção ao IPv6

3 dicas para tornar mais seguras a rede IPv6:

Camada de enlace: filtrar mensagens diretas no switch pelos serviços RA Guard e ND Inspection. (http://www.cisco.com/en/US/docs/ios-xml/ios/ipv6/configuration/15-2s/ip6-ra-guard.html)

Camada de rede: utilizar o IPsec para criptografar e autenticar os pacotes trocados entre os hosts.

Camada de Aplicação: uso de chaves públicas que permite a autenticação dos vizinhos IPv6 criptografados, descoberta segura de vizinhaça – SEND.

Técnicas de Transição

Dual Stack ou Pilha Dupla – 2 planos de endereçamento, gerência e tabelas de roteamento.

Tunelamento – Demonstração

Transição Túneis 6to4; ISATAP; Teredo.

Tunnel Brokers

Tunnel Brokers são serviços oferecidos por provedores de Internet para levar conectividade IPv6 ao usuário final.

3 serviços de Tunnel Broker

SixXS – http://www.sixxs.net

Hurricane Eletric (HE) – http://www.he.net

Freenet6 – http://gogo6/Freenet6

Tunnel Brokers

O uso do túnel torna o acesso mais lento. Parece estar conectado a uma VPN.

SixXS melhor por ter presença em Uberlândia – CTBC.

Hurricane – USA.

Tunnel Brokers

Prática com o Túnel, se Murphy deixar !

Oportunidades e Desafios

Implementar o IPv6 juntamente com o IPv4 será um desafio que requer especialistas que ainda NÃO está formada.

O fato do IPv4 está em funcionamento, não signifca que o IPv6 estará.

A demanda por especialistas em Redes com ênfase em IPv6 só aumentará, assim que o IPv4 chegar a sua escassez.

Referências

www.ipv6.br

www.nic.br

Coleção Academy – IPv6 na prática (Adilson)

Perguntas ?

Kleber Silva

kleber@milenium.inf.br

Twitter: @krebistux

http://www.slideshare.net/krebistux/

Obrigado !www.mileniuminformatica.com.br

(67) 3 3 4 2 – 2 1 1 5