670 likes | 1.26k Views
IPv6 pour les Nuls. 10 février 2011 Marc Michault Arnaud Lheureux Technologist Lead PFE- Security Sidem Systems Solutions Microsoft France. Ils avaient raison!. C’est la fin!!!!!. FoxNews – 26 jan 2011. C’est quoi ce b eODLZ ?. ? ? ? ?. Agenda. Le paquet et les adresses IPv6
E N D
IPv6 pour les Nuls 10 février 2011 Marc MichaultArnaud LheureuxTechnologist Lead PFE- Security SidemSystems Solutions Microsoft France
Ilsavaient raison! C’est la fin!!!!! FoxNews – 26 jan 2011
C’est quoi ce beODLZ? ? ? ? ?
Agenda • Le paquet et les adresses IPv6 • Configuration (et Auto-Configuration) • Résolution de Noms • Technologies de Transition • Dernières pensées
I – Le Paquet et les Adresses IPv6 • Le Paquet IPv6 • Comment rédiger des adresses IPv6 • Sous-Réseautage • Types d’adresses • Monodiffusion (Unicast) • Multidiffusion (Multicast)
Paquet IPv6 • IPv6 utilise des adresses codées sur 128 bit • En-tête réduit et fixe pour un routage rapide • Options dans les en-têtes d’extensions • Support de l’IPSec(en-têtes d’extensions spécifiques) • Support du QoS(Identifiant de flux dans l’en-tête) Protocol Data Unit (PDU) Extension x8-octets Extension x8-octets En-Tête IPv6 40-octets …
Adresses IPv6 • Des “:” séparent huit blocs de 4 chiffres hexadécimaux • Les zéros de gauche sont ôtés • Les groupes de zéros sont compressés • Une seule fois… 1111 1101 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0010 0001 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0101 0001 0100 0011 FD000000000000210001000000005143 FD00:0000:0000:0021:0001:0000:0000:5143 FD00:0:0:21:1:0:0:5143 FD00:0:0:21:1:0:0:5143 FD00::21:1:0:0:5143 FD00::21:1:0:0:5143 FD00::21:1::5143 FD00:0000:0000:0021:0001:0000:0000:5143
Sous-Réseautage • Par défaut: • Identifiant de réseau de 48-bit • Identifiant de sous-réseau de 16-bit • Identifiant d’interface de 64-bit • Préfixe en notation CIDR: • Adresse/Préfixe:FD00::21:1:0:0:5143/96 S-R16-bit Réseau48-bit Interface ID64-bit
Types d’Adresses IPv6Photo de famille • Un nœud a typiquement plusieurs adresses IPv6: • Adresses de Mono-Diffusion • Link-Local Unicast • Identifiant d’Interface • Global Unicast • Unique Local Unicast • Interfaces de Tunnels • Spéciales (Réservées) • Adresses de Multi-Diffusion • SolicitedNode • Link-Layer multicast addresses
Adresses IPv6 Link-LocalBienvenue chez vous • FE80::/64 • Similaire aux adresses APIPA (169.254.0.0) • Toujours présentes • Nécessaire pour les opérations sur le segment
Identifiants de Zones (Scope)Recyclez! • Les adresses Link-Local peuvent être dupliquées et ambigues • Pour clarifier une ZONE ID indique le lien • Sur Windows elle représente l’index d’interface • Syntaxe: • ADDRESS%ZONE_ID • Exemple:FE80::C582:1680:D349:A6BF%13
Identifiants de Zones (Scope)Recyclez! Je dois envoyer un paquet à fe80::1:2:3:4 … Quelle carte? FE80::CD87:5DD6:CF39:DD08 %12 FE80::80D4:29C9:2B3C:A0E2 %13
Adresses Global Unicast IPv6IPv6 Internet Publique • Utilisation similaire aux adresses IPv4 publiques • 2000::/3 (= 2000-3FFF) • 2001 utilisé pour Teredo et 2002 pour 6to4(solutions de compatibilité IPv4) • Préfixe de routage global de 45-bit,Identifiant de sous-réseau de 16-bit
Adresses IPv6 Unique LocalIntranets privés IPv6 • Utilisation similaire aux adresses IPv4 privées (RFC 1918) • Adresses Site-Local (FEC0::) retirées • FC::/7 • Mais le 8éme bit définit “local” donc FD:: “local”
Adresses IPv6 de Multi-DiffusionTir groupé • Utilisées pour les opérations link-local (segment) • Pas de broadcast en IPv6! • FF suivi par 4 bits pour les qualifiants et 4 bits pour l’étendue 1=Interface-Local 2=Link-Local 5=Site-Local Etendue Qualif. 1=Tous Noeuds 2=Tous Routeurs
Adr. de Multicast Fréquentes Exemples • Nœuds/Lien • FF01::1 – Interface-Local tous les Nœuds • FF02::1 – Link-Local tous les Nœuds • FF02::1:2 – Tous les serveurs DHCP • FF02::1:3 – Résolution de noms Link-Local (LLMNR) • Routeurs • FF01::2 – Interface-Local tous les Routeurs • FF02::2 – Link-Local tous les Routeurs • FF05::2 – Site-Local tous les Routeurs
SolicitedNodeAdresse de multidiffusion associée à l’adresse de monodiffusion • Les noeuds enregistrent des adresses de multidiffusion associées à leurs adresses IPv6 • Syntax:FF02::1:FF00:0/104 + <derniers 24 bits del’Interface-ID IPv6 > • Utilisé pour obtenir l’adresse physique d’un hôte (remplace ARP) • FE80::C582:1680:D349:A6BF • FE80::C582:1680:D349:A6BF • FF02::1:FF49:A6BF • FF02::1:FF49:A6BF
Adr. MAC de Multi-DiffusionAdresses MAC enregistrées par l’interface • Pour recevoir le traffic, les noeuds enregistrent les adresses MAC de multi-diffusion associées à leurs multi-diffusions IPv6 • Syntaxe:33-33+ <Derniers 32 bit de l’adresse IPv6 multi-diffusion> • Utilisées pour répondre aux multi-diffusions IPv6 à la couche physique 33-33-FF-49-A6-BF 33-33-00-00-00-01
Adresses Réservées et RoutageOù vais-je? • ::1: Localhost (le stack local) • ::: Adresse indéfinie (l’ensemble du réseau) • Le routage fonctionne de la même manière que sur IPv4 • La passerelle (routeur) • Peut être définie automatiquement par annonce • Sollicitation et annonce de routeur ICMPv6
II – Configuration Automatique • Configuration Stateful ou Stateless • Découverte de Voisinage (Neighbor Discovery) • Allocation automatique d’adresse • Découverte de Routeur (Router Discovery)
Recherche d’Adresses IPv6J’en veux, j’en veux! • Stateless • Link-Local NeighborDiscovery • Router Advertisement • Stateful • Manuelle • DHCPv6
Découverte des VoisinsEnquéte de Voisinage • ICMPv6 Options Types: • 1-127: Codes d’erreur • 128-255: Codes d’information • NeighborDiscovery utilise des paquets ICMPv6 • Avec des options types d’information spécifiques • Envoyés sur des adresses de multidiffusion • Les annonces sont envoyées: • Régulièrement (à la multidiffusion de tous les nœuds link-local) • En réponse à une demande (à l’adresse du demandeur)
Neighbor DiscoveryBonjour voisin… Vert IPv6:FE80::2AA:FF:FE11:1111 MAC: 00-AA-00-AA-AA-AA NeighborAdvertisement ICMPv6 Options Type: 136 MAC Src: Dest. IPv6: Src: Dest: Target: Option: 00-AA-00-BB-BB-BB 00-AA-00-AA-AA-AA FE80::2AA:FF:FE22:2222 FE80::2AA:FF:FE11:1111 FE80::2AA:FF:FE22:2222 00-AA-00-BB-BB-BB Blanc Adr. MAC Vert Adr. MAC Blanc Adr. IPv6 Vert Adr. IPv6 Blanc Adr. IPv6 Blanc Adr. MAC Vert Adr. MAC Blanc Solicited. Adr. Vert Adr. IPv6 Blanc SolicitedAdr. Blanc Adr. IPv6 Source Link-Layer Address 00-AA-00-AA-AA-AA 33-33-FF-22-22-22 FE80::2AA:FF:FE11:1111 FF02::1:FF22:2222 FE80::2AA:FF:FE22:2222 Source Link-Layer Address Neighbor Solicitation ICMPv6 Options Type: 135 MAC Src: Dest. IPv6: Src: Dest: Target: Option: Blanc IPv6: FE80::2AA:FF:FE22:2222 MAC: 00-AA-00-BB-BB-BB
Auto-Attribution d’Adresse IPv6J’veux la mienne! • Sollicitation de voisin avec une adresse auto-attribuée • Mais la source est :: (adresse indéfinie) • L’adresse est définie comme “Tentative” • Ne peux pas encore recevoir de paquets adressés à cette adresse • Si un conflit existe, la machine en conflit répond • Sinon, l’adresse est maintenue • L’adresse est définie comme “Valide” • L’hôte peux recevoir des paquets adressés à cette adresse
Router DiscoveryPar ici la sortie… Vert Router Advertisement ICMPv6 Options Type: 134 MAC Src: Dest. IPv6: Src: Dest: Target: Option: Routeur Adr. MAC Nodes Multicast Routeur Adr. IPv6 Link-Local Nodes Multicast Routeur Adr. IPv6 Routeur Adr. IPv6, MTU, Préfixes… 00-AA-00-CC-CC-CC 33-33-00-00-00-01 FE80::2AA:FF:FE33:3333 FF02::1 FE80::2AA:FF:FE33:3333 00-AA-00-CC-CC-CC, MTU, Préfixes… Routeur IPv6: FE80::2AA:FF:FE33:3333 MAC: 00-AA-00-CC-CC-CC
IPv6 Natif • Router Advertisement sur DA01 • netshint ipv6 set route 2001:DB8:ABCD:1111::/64 "Local Area Connection" publish=yes • Netshint ipv6 set int "Local Area Connection" advertise=enable
Router Advertisement ICMPv6 Options Type: 134 MAC Src: Dest. IPv6: Src: Dest: Target: Option: Router Discovery (Demande)Je veux sortir! Vert IPv6: FE80::2AA:FF:FE11:1111 MAC: 00-AA-00-AA-AA-AA 00-AA-00-CC-CC-CC 00-AA-00-AA-AA-AA FE80::2AA:FF:FE33:3333 FE80::2AA:FF:FE11:1111 FE80::2AA:FF:FE33:3333 00-AA-00-CC-CC-CC, MTU, Préfixes… Routeur Adr. MAC Vert Adr. MAC Routeur Adr. IPv6 Vert Adr. IPv6 Routeur Adr. IPv6 Routeur IPv6 Adr., MTU, Préfixes… 00-AA-00-AA-AA-AA 33-33-00-00-00-02 FE80::2AA:FF:FE11:1111 FF02::2 FE80::2AA:FF:FE22:2222 Source Link-Layer Address Vert Adr. MAC Routeur Multicast Vert Adr. IPv6 Routeur Multicast Local Routeur Adr. IPv6 Source Link-Layer Address Router Solicitation ICMPv6 Options Type: 133 MAC Src: Dest. IPv6: Src: Dest: Target: Option: Routeur IPv6: FE80::2AA:FF:FE33:3333 MAC: 00-AA-00-CC-CC-CC
Atttribution d’adr. IPv6 StatefulConfiguration gérée • Manuelle • Refusez, la vie est trop courte! • DHCPv6 • IPv6 Scope • Configuration IP additionnelle • DNS, etc…
III – Résolution de Noms • Link-Local Multicast Name Resolution (LLMNR) • Domain Name Service (DNS)
Résolution de NomsQu’est-ce qui se cache derrière un nom? • Sous-réseau local • Link-Local Multicast Name Resolution • Internet • Peer Name Resolution Protocol • DNSv6 • AAAA records • Reverse pointer
Link-Local MulticastName Resolution (LLMNR)Mes copains du quartier • Paquets similaire au DNS sont envoyés en multidiffusion • FF02::1:3 sous IPv6 • 224.0.0.252pour IPv4 • Port UDP 5355(peux aussi utiliser TCP) • Remplaces le service Browser
DNSv6Notation AAAA • Les enregistrements IPv6 sont inscrit avec AAAA • Les enregistrements inversés son inscrit dans IP6.IANA • Notation inversée par chiffre hexadécimal • Par exemple, pointeur à 2001:0DB8:DADA::BEEF:1: 1.0.0.0.F.E.E.B.0.0.0.0.0.0.0.0.0.0.0.0.A:D:A:D.8.B:D.0.1.0.0.2.ip6.arpa.IN PTR • Le DNS essaiera de répondre avec l’adresse appropriée • IPv6 or IPv4
SommaireAlors, ça me sert à quoi tout cela? • HomeGroup • DirectAccess • Peer-to-Peer Name Resolution(PPNR) • EasyConnect • People Near Me • Meeting Space(snif, snif, Vista ) • Etc…
IV – Technologies de Transition • Tunneling • ISATAP • 6to4
TunnelingEncapsuler un paquet IPv6 dans de l’IPv4 • IPv6 (inclus l’en-tête avec les adresses) est la charge IPv4 • Type de paquet définit comme 41 pour indiquer un paquet IPv6 encapsulé IPv6Header IPv6Header ExtensionHeader ExtensionHeader ExtensionHeader ExtensionHeader Protocol Data Unit Protocol Data Unit IPv4 Protocol Data Unit IPv4Header
ISATAPIntra-Site Automatic Tunnel Addressing Protocol • But: Fournir un support aux applications IPv6 dans un réseau IPv4 • Adresses IPv6 pour des hôtes IPv4 • L’intranet IPv4 est présenté comme un seul segment • Interface ID: • ::0:5EFE:w.x.y.z (adresse IPv4 privée) • ::200:5EFE:w.x.y.z(adresse IPv4 publique) • Avec soit comme Network ID: • FE80::/64 Link-Local • Un préfixe annoncé par un routeur ISATAP • Les paquets de/à ces adresses sont transportés en IPv4 AdresseIPv4
ISATAPAttribution d’adresses 192.168.41.30 192.168.41.30 FE80::5EFE:192.168.41.30 2001:DB8:0:7:0:5EFE:192.168.41.30 Annonce de Routeur2001:DB8:0:7::/64 Routeur ISATAP IPv6 Network IPv4 Intranet 10.40.1.29 10.40.1.29 FE80::5EFE:10.40.1.29 2001:DB8:0:7:0:5EFE:10.40.1.29
IPv6 et ISATAP en Action! • Annonce du préfixe 2001:FEFE::/64 pour ISATAP
6to4Utilisation et fonctionnement • But: Permettre à des réseaux IPv6 de communiquer au travers de l’Internet IPv4 • L’Internet IPv4 est encapsulé dans la plage 2002:WWXX:YYZZ:: • 6to4 Relay offre des adresses dans la plage 2002:WWXX:YYZZ:: • À des hôtes de l’intranet IPv6 • Basées sur l’adresse IPv4 externe WW.XX.YY.ZZdu relais 6to4
6to4Attribution d’adresses FE80::CD87:5DD6:CF39:DD08 2002:836B:1759:5::1 Annonce de Routeur2002:836B:1759:5::/64 Adresse externe:131.107.23.89 En Hex=836B:1759 Relais 6to4 Réseau IPv6 Internet IPv4 FE80::80D4:29C9:2B3C:A0E2 2002:836B:1759:5::2
V – Dernières pensées… • Ressources • Arnaud • Marc
Resources WWW.Microsoft.Com/IPv6 • “Introduction to IPv6” & “IPv6 Transition Technologies” MSPress “Understanding IPv6, Second Edition”, Joseph Davies Wikipedia
Dernières pensées d’Arnaud • Non, une adresse IPv6 n’est pas basée sur l’adresse MAC de la carte! • Désactiver IPv6 n’accélère pas votre machine • IPv6 activé par défaut n’est pas dangereux pour la santé • IPv6 n’est pas plus “secure” qu’IPv4…
Dernières pensées de Marc • IPv6 est prévu pour des machines… • …Pas des être humains! • IPv6 est finalisé depuis 2006 mais… • …les choses changent entre les versions de Windows • Les technologies de transition… • …sont transitoires! • Vous stressez pas,… • …ce ne sont que des uns et de zéros !