VI Semana de Infraestrutura da Internet no BrasilSão Paulo, SP | 07/12/16
Serviços IPv6
Eduardo Barasal MoralesTiago Jun Nakamura
Agenda
• Autoconfiguração de Endereços Stateless
• DHCPv6 Prefix Delegation
• DNS
• NTP
• Firewall
Motivação
Autoconfiguração de Endereços Stateless
Autoconfiguração de Endereços Stateless
Autoconfiguração de Endereços Stateless
• Mecanismo que permite a atribuição de endereços unicast aos nós...o sem a necessidade de configurações manuais.o sem servidores adicionais.o apenas com configurações mínimas dos roteadores.
• Gera endereços IP a partir de informações enviadas pelos roteadores e de dados locais como o endereço MAC.
• Gera um endereço para cada prefixo informado nas mensagens RA
• Se não houver roteadores presentes na rede, é gerado apenas um endereço link-local.
• Roteadores utilizam apenas para gerar endereços link-local.
Autoconfiguração de Endereços Stateless
• Um endereço link-local é gerado.o Prefixo FE80::/64 + identificador da interface.
• Endereço adicionado aos grupos multicast solicited-node e all-node.
• Verifica-se a unicidade do endereço.o Se já estiver sendo utilizado, o processo é interrompido, exigindo
uma configuração manual.o Se for considerado único e válido, ele será atribuído à interface.
• Host envia uma mensagem RS para o grupo multicast all-routers.
• Todos os roteadores do enlace respondem com mensagem RA.
Autoconfiguração de Endereços Stateless
Autoconfiguração de Endereços Stateless
Experiência 1.6. Autoconfiguração stateless de endereço: Router Advertisement utilizando radvd
Pg. 41
Laboratório Autoconfiguração de Endereços Stateless
DHCPv6
DHCPv6
DHCPv6
• Autoconfiguração de Endereços Statefulo Usado pelo sistema quando nenhum roteador é encontrado.o Usado pelo sistema quando indicado nas mensagens RA. o Fornece:
• Endereços IPv6• Outros parâmetros (servidores DNS, NTP...)
o Clientes utilizam um endereço link-local para transmitir ou receber mensagens DHCP.
o Servidores utilizam endereços multicast para receber mensagens dos clientes (FF02::1:2 ou FF05::1:3).
o Clientes enviam mensagens a servidores fora de seu enlace utilizando um Relay DHCP.
DHCPv6
• Autoconfiguração de Endereços Statefulo Permite um controle maior na atribuição de endereços aos host.o Os mecanismos de autoconfiguração de endereços stateful e
stateless podem ser utilizados simultaneamente.• Por exemplo: utilizar autoconfiguração stateless para atribuir os
endereços e DHCPv6 para informar o endereço do servidor DNS.o DHCPv6 e DHCPv4 são independentes. Redes com Pilha Dupla
precisam de serviços DHCP separados.
DHCPv6 Prefix Delegation
DHCPv6 Prefix Delegation
DHCPv6 Prefix Delegation
DHCPv6 Prefix Delegation
• Não existente no DHCPv4
• Utilizada para distribuir prefixos de rede a roteadores1. Roteador envia uma requisição de prefixo enviada para rede
com destino a todos os servidores DHCPv6
2. Os servidores pré-configurados com um pool de prefixos respondem a este pedido feito pelo roteador enviando um prefixo IPv6
3. Ao receber esta resposta, o roteador fica encarregado de dividir o prefixo e redistribui-lo por suas interfaces
4. Os novos prefixos possuirão o tamanho /64 para que ao serem distribuídos aos hosts via Router Advertisement o procedimento de autoconfiguração stateless seja realizado
Experiência 1.9. DHCPv6 Prefix DelegationPg. 81
Laboratório DHCPv6 Prefix Delegation
Domain Name System (DNS)
• Informações de “nomes” e “endereços”
www.exemplo.com.br
DNS
DNS
• Imensa base de dados distribuída utilizada para a resolução de nomes de domínios em endereços IP e vice-versa
• Arquitetura hierárquica, com dados dispostos em uma árvore invertida, distribuída eficientemente em um sistema descentralizado e com cache
• Registros:o A ( IPv4 ): Traduz nomes para endereços IPv4.o AAAA [ quad-A ] ( IPv6 ): Traduz nomes para endereços IPv6
Exemplo: www.ipv6.br. IN A 200.160.4.9 IN AAAA 2001:12ff:0:4::9
DNS
• Registros PTR – Resolução de Reversoo in-addr.arpa. ( IPv4 ): Traduz endereços IPv4 em nomeso ip6.arpa. ( IPv6 ): Traduz endereços IPv6 em nomesExemplo:
9.4.160.200.in-addr.arpa. PTR ipv6.br. 9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa. PTR ipv6.br.
• Obsoletoso Registros
• A6• DNAME
o Domínio para a resolução de reverso• ip6.int
DNS
• A base de dados de um servidor DNS pode armazenar tanto registros IPv6 quanto IPv4
• Esses dados são independentes da versão de IP em que o servidor DNS operao Um servidor com conexão apenas IPv4 pode responder consultas
AAAA ou Ao As informações obtidas na consulta IPv6 devem ser iguais às
obtidas na consulta IPv4
Experiência 2.2. DNS: configurando um servidor autoritativo
Pg. 117
Laboratório DNS
NTP.br
NTP.br
NTP (Network Time Protocol)
• Fornece hora em UTC, não considera horário de verão ou fuso horário
• Importante para:o sincronização de logso validação de certificadoso tratamento de incidenteso perícia
NTP (Network Time Protocol)
• Pontos de atençãoo Para ser confiável, o NTP precisa de várias referências de tempo,
de 4 a 7o As consultas aos servidores são realizadas
• Inicialmente a cada 64s• Em regime, a cada 16min
o Pacotes UDP, porta 123o Sensível à assimetria na redeo Melhor usar NTP que SNTP
Firewall
Firewall
Firewall
Firewall
• Numa rede IPv4, onde normalmente se utiliza NAT, este funciona como um firewall stateful, permitindo apenas comunicações originadas de dentro da rede. Numa rede IPv6 não há NAT, então, se o administrador de rede decidir manter uma política de segurança similar a que utilizava com o IPv4, é necessário um cuidado redobrado na implantação de firewalls, a fim de forçar essa política.
• Com a adoção do protocolo IPv6 todos os hosts podem utilizar endereços válidos com conectividade direta a Internet e alcance a todos os hosts da rede interna que tenham IPv6 habilitado
Firewall
• ICMPv6 faz funções que no IPv4 eram realizadas pelo ARP, logo o ICMPv6 não pode ser completamente bloqueado no firewall de borda como ocorria no IPv4
• O firewall pode conter regras:o Stateful: solicitações da rede interna para a rede externa são
gravadas para permitir o recebimento somente de solicitações feitas, mas necessita maior processamento e memória
o Stateless: conjunto de regras fixas, pode permitir mensagens não solicitadas de tráfego permitido
Firewall
• A RFC 4942 detalha a segurança com relação as técnicas de transição:o mesmo que sua rede não tenha IPv6, não o ignoreo se você não deseja utilizar técnicas de tunelamento automático
na sua rede, elas devem ser bloqueadas no firewallo técnicas de transição podem depender de servidores públicos
não confiáveisTécnica de Transição Regra de Filtragem
Túnel manual 6in4 IPv4.Protocol == 41
Túnel manual GRE IPv4.Protocol == 47
Túneis automáticos 6to4 IPv4.Protocol == 41IPv4.{src,dst} == 192.88.99.0/24
Túneis automáticos Teredo IPv4.dst == servidores_teredoUDP.DstPort == 3544
Experiência 3.2. Firewall statefulPg. 185
Laboratório Firewall
Obrigadowww.nic.br
07 de dezembro de 2016
Eduardo Barasal MoralesTiago Jun Nakamura
Top Related