Redes de Computadores IIIEvandro Cant (2007-1)cantu@sj.cefetsc.edu.brEraldo Silveira e Silva (2006-2)eraldo@sj.cefetsc.edu.br

EmentaIPv6Algoritmos de Roteamento: Estado do Enlace e Vetor de DistnciasRoteamento na Internet: RIP, OSPF, BGPRoteamento MulticastIP MvelRedes Adhoc

BibliografiaJ. Kurose e K. Ross. Redes de Computadores e a Internet: Uma abordagem top-down. Traduo da 3a edio, Addison Wesley, 2003. D. Comer. Interligao em Rede com TCP/IP, vol.1, Traduo da 5a edio, Campus, 1998.A. Tanenbaum. Redes de Computadores. Traduo da 4a edio, Campus, 2003. SilviaHagen. IPv6 Essentials (Web)RFCs.

Histria do IPv6No incio era IPv4...criado no incio da dcada de 70substituiu o NCP na Internet em 1983Uma frmula que deu certo: best effortNo se esperava um crescimento do uso:84: 1000 hosts87: 10000 hosts92: 1000000 hosts

Histria do IPv6Endereos IP do IPv4 possuem 32 bits: em torno de 4.3 bilhes de endereos. No existe um para cada habitante!!!O IPv4 no inclui em seu projeto original:MobilidadeSeguranaQualidade de servio

Histria do IPv61993: Internet ProtocolNext Generation (IPng) area, criado pela IETF 1994. RFC 1883 Primeira especificao1998: RFC 2460 Especificao atual

Novidades no IPv6Espao de endereamento extendido: endereos IP com 128 bits. Cada gro de areia na terra pode ter um endereo!!!Autoconfigurao: um dispositivo ao receber um prefixo de rede, pode usar seu endereo MAC (ou um nmero randmico) para construir um endereo vlido. Fcil para colocar uma geladeira na Internet!!

Novidades no IPv6 (cont.)Formato de header simplificado, com tamanho fixo de 40 bytes;Suporte melhorado para opes e extenses do header: seis extenses para tratar mobilidade, QoS etc;

Precisamos realmente do IPv6?EUA, com 5 % da populao mundial, possui 60 % dos endereos Internet;Os outros 40 % ficam para o resto! A sia possui mais de 50 % da populao mundial: so os maiores interessados no IPv6;O uso de classes no IPv4 atribuiu faixas gigantescas de endereos para algumas poucas empresas/instituies;

Precisamos realmente do IPv6?O NAT usado para contornar a falta de endereos, mas traz com eles problemas de gerenciamento (minha VPN no funciona...);Decidamente, a sia, Europa e EUA se movimentam no sentido de construir backbones e produtos IPv6;Pode-se migrar sem traumas, de forma gradual para o IPv6.

Onde existe IPv6?Backbone qbone ligando 50 pases e 1000 hosts (http://www.6bone.net); o mais antigoO IPv6 Forum (http://www.ipv6forum.com) coordena as aes mundiais.A International Task Force (http://www.ipv6tf.org) coordena aes regionais, usando foras tarefas localizadas nos EUA e na Europa;

Onde existe IPv6?O Japo, desde 2001 investe pesado em backbones IPv6;A China e Coria tambm desenvolvem seus backbones;O 3G est fundado sobre o IPv6;

Onde existe IPv6?O Office of Management and Budget (OMB), ligado a presidncia dos EUA, anunciou em julho de 2005 que todas as agncias federais devem usar o IPv6 a partir de 2008.

A Estrutura do Protocolo IPv6Estudo baseado inicialmente nos headers dos protocolos

Estrutura Geral do HeaderForam retirados do header do IPv4:Header Length (o header Ipv6 possui tamanho fixo)Identification (Path MTU Discovery)Flags(Path MTU Discovery)Fragment Offset(Path MTU Discovery)Header Checksum (processamento + leve)

Estrutura Geral do Header

Alguns Valores do Next Header field

Extenses de headers (RFC 2460) Hop-by-Hop Options headerRouting headerFragment headerDestination Options headerAuthentication headerEncrypted Security Payload header

Extenses de headersSo colocados entre o IPv6 header e o pacote de nvel superior;Identificados pelo Next Header Field; So examinados unicamente pelo n identificado no endereo de destino, a no ser o hop-by-hop header

Exemplo de extenses

Hop-by-Hop Options Header Carrega informaes que devem ser processadas por cada um dos ns ao longo do caminho;As informaes podero ser utilizadas para reserva de recursos (exemplo RSVP), para encontrar destinos de multicast entre outras;Deve seguir necessariamente o header IPv6;

Formato do Hop-by-Hop Options Header

Opo Jumbogram do hop-by-hop extensionPermite que pacotes maiores que 64K sejam transmitidos.O campo Option Data Lenght, de 32 bits informa o tamanho dos dados, que devem se seguir ao mesmo;

Opo Router Alert do hop-by-hopInforma ao roteador que a informao que se segue deve ser utilizada para fins de roteamento, tal como o RSVP(Resource Reservation Protocol) e MLD (Multicast Listener Discovery).

TarefaItem1: O IPv6 no Brasil

Extenso Routing Header Permite informar um conjunto de roteadores que devem ser visitados at o seu destino final. Exemplo na figura que se segue, deseja-se que o pacote siga a trajetria de s para d passando por R1, R2 e R4

Formato do Routing Header

Fragment Header O IPv6 usa o PATH MTU Discovery para determinar a mxima MTU na trajetria do pacote;Se o pacote for maior que esta MTU ento ele fragmentado na fonte; roteadores ao longo da rota no fragmentam o pacote;O destino remonta o pacote fragmentado;

Formato do Fragmenting Header

Destination Options Header Carrega informaes a serem examinadas apenas pelo destino final do pacote;Pode aparecer antes ou depois do Router Header; se aparece antes processado por cada um dos roteadores no caminho;

Endereamento IPv6Endereamento de 128 bitsPode ser classificado em:Unicast: identifica uma interface em um n;Multicast: identifica um grupo de interfaces;Anycast: identifica mltiplas interfaces mas quando o pacote transmitido, o mesmo vai para uma somente;

Endereamento IPv6Uma interface pode ter mltiplos endereos IPv6;Um endereo pode ter escopo global ou no global (definido como parte do prprio endereo).

Notao do EndereoOito blocos hexadecimais de 16 bits: 2001:DB8:0000:0000:0202:B3FF:FE1E:8329Abreviaes possveis: 2001:DB8:0000:0056:0000:ABCD:EF12:1234 2001:DB8:0:56:0:ABCD:EF12:1234 2001:DB8::56:0:ABCD:EF12:1234 2001:DB8:0:56::ABCD:EF12:1234

Em situaes misturadas com IPv4x:x:x:x:x:x:192.168.0.2 ::192.168.0.2 ::C0A8:2

Notao do Prefixo de Redeglobal routing prefix: identifica a rede globalIPv6 address/prefix lengthExemplo: 2E78:DA53:1200::/40 2001:DB8:0:56::/64

Endereo Global Unicast

Endereo Global UnicastUm global routing prefix identifica um site global;Associado a um internet service provider (ISP) por um rgo oficial (LACNIC - Latin American and Caribbean Internet Addresses Registry );sub-net id define uma subnet e atribudo pelo administrador da rede;interface id identifica a interface dentro da subnet

Poltica de distribuio de prefixosHome networks: /48Pequenas e Mdias empresas: /48Grandes instituies: /47 ou /48Redes Mveis: /64 (estticos)PC sozinho (via dial-up): /128

Gerao de endereos Atribudo via dhcp, manual ou por autoconfigurao: derivado do MAC address ou de forma temporria por um nmero gerado randomicamente;

Endereos especiaisunspecified address (no vlido): 0:0:0:0:0:0:0:0 ou simplesmente :: , usado por exemplo, no boot de uma mquina at conseguir um IP vlido;loopback address: 0:0:0:0:0:0:0:1 ou ::1 ;

link-local address Equivalente ao endereo falso do IPv4;Nunca deve ser roteado para fora: para uso interno na rede; pode ser usado em redes temporrias;Atribudos por autoconfigurao;Identificado pelo prefixo FE80

Outros endereosAnycastMulticastLocal

ICMPv6Reporta erros se pacotes no podem ser processados apropriadamente e envia informaes sobre o status da rede;Apresenta vrias melhorias em relao ao icmpv4: por exemplo:IGMP que trata multicast foi incorporado no icmpv6;ARP/RARP foi incorporado;Neighbour DiscoveryIP Mvel

Tipos de Mensagens

De erro: high-order bit do campo type =0De informao: high-order bit do campo type =1

Next Header para ICMP = 58H

Tipos de Mensagem de ErroDestination Unreachable (message type 1):0 = no route to destination, 1 = communication with destination administratively prohibited, 2 = beyond scope of Source address, 3 = address unreachable, 4 = port unreachable, 5 = Source address failed ingress/egress policy, 6 = reject route to destination

Tipos de Mensagem de ErroPacket Too Big (message type 2)Time Exceeded (message type 3): usado no tracerouteParameter Problem (message type 4): next header errneo, impossibilidade de processar um header;outras

Tipos de Mensagem de InformaoEcho requestEcho ReplyNeighbor Discovery:Router SolicitationRouter AdvertisementNeighbor SolicitationNeighbor AdvertisementThe ICMP Redirect Message Inverse Neighbor Discovery

Formato geral

Neighbor Discovery (ND) Neighbor Solicitation and Neighbor Advertisement: equivalente ao ARP.Pode ser usado para Duplicate IP Address Detection (DAD);Apia a construo do neighbor cache

Router Solicitation and Router Advertisement Roteadores da rede (local) divulgam a sua presena atravs de envios peridicos de Router AdvertisementsUm host Ipv6 pode solicitar roteadores atravs de Router SolicitationMltiplos routers possveis com alternativas para determinadas redes;

Autoconfigurao um dos pontos fortes do IPv6Pode ser:Stateful: com DHCPv6Stateless: com apoio do ICMPv6 -> combinando prefixos divulgados pelos roteadores com o MAC (ou nmero randmico); na ausncia de roteadores usa-se o FE80 para gerar link-local address

Passos para autoconfigurao1-Um endereo tentativa formado com o prefixo FE80 (link-local address) e associado a interface;2-O n se junta aos grupos multicasting;3-Uma mensagem Neighbor Solicitation enviado com o endereo tentativa como target address. Se detectado IP duplicado o n dever ser configurado manualmente;O no broadcast a Router Solicitation para o endereo FF02::2. (grupo multicast dos roteadores);Todos roteadores do grupo multicast respondem e o n se autoconfigura para cada um deles;

PATH MTU DiscoveryO n assume a MTU do seu link e envia o pacote para destino;Caso algum roteador da rota detecte que o pacote muito grande para o MTU ento ele avisa o n fonte com ICMPv6 Packet Too Big (que inclui o tamanho da MTU do enlace problema);O n usa esta nova MTU para encaminhar o pacote novamente ao seu destino;O processo todo pode se repetir;

Multicast Listener Discovery (MLD) Enderea um grupo de hosts ao mesmo tempo: lembre que broadcastings no podem ser roteados e so processados por cada n da rede...Pacote multicast processado somente por ns que fazem parte do grupo;Pacotes multicast podem ser roteados; Roteadores usam o MLD para descobrir ns que escutam nos endereos multicast (em cada link). Ns que escutam usam mensagens Multicast Listener Reporttype para se registrar nos roteadores;

Segurana no IPv6IPv4 no tem aspectos de segurana no projeto;Alguns mecanismos rudimentares eram usados na aplicao: ftp e telnet com senhasIPsec foi introduzido mais tarde: tem problemas de interoperabilidadeIPv6 foi pensado com mecanismos de segurana logo no incio;

CIA e AAAConfidentiality -> encryptionIntegrity -> checksumAvailability Authentication: assegurar que as pessoas so o que dizem que so...Authorization: assegurar determinados direitos de acesso a usurios autenticados;Accounting: coleta de informaes;

symmetric key encryption O transmissor e o receptor devem acordar no uso de uma chave secreta de cripto/decripto;Algoritmos: DES, 3DES, IDEA, RC-4, AES. DES, 3DES, IDEA, RC-4, and AES.

Public Key Cryptography (asymmetric encryption )distributed public key e individual private key Condidencialidade: Transmissores encriptam com distributed public key e somente o receptor descriptografa com a indvidual private key Autenticao: Transmissor criptografa com a individual private key e descriptografa com a distributed public key;.Algoritmos: RSA and ElGamal.

IntegridadeSecure checksums: funes hash que tomam uma string de tamanho varivel e transforma uma string de tamanho fixo, nicos para a string de entrada;Algoritmos: MD-5 e SHA-1

IPsec FrameworkConjunto de mecanismos para colocar segurana na camada de rede IP;Protocolo para criptografar (Encapsulating Security Payload, ESP);Protocolo para autenticao (Authentication Header, AH ); Poltica de segurana entre pares comunicantes;Gerenciamento de Chaves;Politica de Uso de algoritmos;

O IPsecIPsec: definido na RFC 2401 e atualizado na RFC 4301;Descreve uma arquitetura de segurana para o IPv4 e IPv6;

Componentes do IPsecDescrio geral dos requisitos de segurana e mecanismos em nvel de camada de rede; Um protocolo de criptografia: ESP (Encapsulating Security Payload)Um protocolo para autenticao (Authentication Header, AH)A forma de uso dos algoritmos e protocolos acima;A definio de polticas de segurana e associaes de segurana entre pares;O Gerenciamento de chaves

Security Associations (SAs)Acordo entre pares: forma de autenticao, criptografia e chaves a serem utilizadas;SAs so unidirecionais;Telnet: 2 ou 4 SAs;

Modos da SATransport: entre dois ns. O payload criptografado e/ou autenticado. O IPv6 header no criptografado; Tunnel Mode: entre dois gateways (roteadores). Tanto o payload como o IP header so autenticados e criptografados. Usando em PVNs;

Gerenciamento de Chaves(Key Management)Mecanismo para colocar as chaves nos locais apropriados;Suporte para distribuio automtica ou manual das chaves;Internet Key Exchange (IKE) um protocolo usado para negociao e troca de parmetros da SA; IKEv1 usa a porta 500 do UDP. O IKEv2 usa a porta 500 e 4500;

Elementos de Segurana do IPv6Authentication Header: fornece a autenticao e a integridade dos dados dos pacotes (fim a fim);Encapsulating Security Payload Header: fornece integridade, confidencialidade, autenticao da origem dos dados, entre outros (fim-a-fim);Ambos podem ser combinados;

Modelos de Segurana do IPv6O IPv6 restaura a conectividade fim-a-fim eliminando a necessidade do NAT;A fazer...