1 / 101

Formação IPv6

Formação IPv6. 28 e 29 de Novembro de 2011 Portugal Carlos Friaças <cfriacas@fccn.pt>. Direitos de Autor. Este conjunto de slides pertence ao projecto 6DEPLOY-2, através dos seus parceiros.

ciaran-fry
Download Presentation

Formação IPv6

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Formação IPv6 28 e 29 de Novembro de 2011 Portugal Carlos Friaças <cfriacas@fccn.pt>

  2. Direitos de Autor • Este conjunto de slides pertence ao projecto 6DEPLOY-2, através dos seus parceiros. • A versão Powerpoint deste conteúdo pode apenas ser reutilizado e modificado com autorização escrita dos autores • O uso parcial deste conteúdo é permitido se o devido crédito for atribuído ao projecto 6DEPLOY-2 • Os ficheiros em formato PDF estão disponíveis em www.6deploy.eu • Contactos: • E-Mail para: martin.potts@martel-consulting.ch • Ou: bernard.tuy@renater.fr

  3. Aplicações 29 de Novembro de 2011 Portugal Carlos Friaças

  4. Agenda • Apache • E-Mail/Postfix • FTP • Multicast • Videoconferência / Video on Demand • P2P

  5. Web/Apache • Apache >= 2.x suporta IPv6 • Existem patches paraversões 1.3.x • Directivas • Listen 80 (colocarapenas o porto e não um IP) • NameVirtualHost <endereço> (colocar o endereço IPv6 entre [ ]) • VirtualHost <endereço> (colocar o endereço IPv6 entre [ ]) • Exemplo de configuração: httpd.conf Listen 80 NameVirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f] <VirtualHost [2001:690:1fff:200:20e:cff:fe31:c81f]> DocumentRoot /usr/local/apache2/htdocs/lg ServerAdmin ip6adm@fccn.pt ServerName lg.ip6.fccn.pt ServerAlias lg.tbed.ip6.fccn.pt ServerSignature email </VirtualHost>

  6. E-Mail/Postfix • Postfix >= 2.2 suporta IPv6 • Exemplo de configuração: /etc/postfix/main.cf inet_protocols = ipv4, ipv6 smtp_bind_address6 = 2001:db8:1:1::1600 smtp_bind_address = 172.16.250.1 inet_interfaces = 2001:db8:1:1::1600, localhost mynetworks = [2001:db8:1:1::]/64 172.16.250.0/24 [::1]/128 127.0.0.0/8 • Responde no porto 25, tanto em IPv4 como em IPv6

  7. E-Mail • Logs de Servidor imapd-ssl: user=jgoncalves, ip=[2001:690:2080:8009:34ac:199a:a90:271] imapd-ssl: user=amr, ip=[2001:690:2080:8009:64fb:6204:99ce:b389] imapd-ssl: user=assisg, ip=[2001:690:2080:8009:6861:b929:6577:2cf4] imapd-ssl: user=jcarvalho, ip=[2001:690:2080:8009:16f:4b32:ee75:6ff3] imapd-ssl: user=lino, ip=[2001:690:2080:8009:8991:dfbc:1b02:10c2] imapd-ssl: user=massano, ip=[2001:690:2080:8009:813b:ddaf:4701:81fa] • Transparência • Potencialmente gerador de tráfego IPv6 significativo – localmente

  8. FTP • VsFTP >= 2.0.x suporta IPv6 • Exemplo de configuração: /etc/xinetd.d/vsftpd service ftp { socket_type = stream wait = no user = root server = /usr/local/sbin/vsftpd server_args = /etc/vsftpd.conf flags = IPv6 nice = 10 disable = no } • Responde no porto 21, tanto em IPv4 como em IPv6

  9. Multicast • Objectivo: Poupança em fluxos de tráfego • Arquitectura dífícil de manter no inter-domínio (entre redes de ISPs diferentes) • Com o IPv6 surge o conceito de Source Specific Multicast (SSM)

  10. Multicast • IPv4: IGMP, Internet Group Management Protocol • IPv6: MLD, Multicast Listener Discovery • Protocolos para Gerir Grupos Multicast • utilizados entre o cliente (pc) e o gateway • evitam que as portas que não estão a aceder a grupos Multicast recebam tráfego indesejado

  11. Videoconferência • Vários Componentes • Gestores H.323: OpenMCU • Clientes: GnomeMeeting/Ekiga, ConferenceXP

  12. Video On-Demand • Windows Media Services 9 (>Win2003 Server) • Ferramenta VideoLan • www.videolan.org • Stream sobre IPv6 • Menu Media • Abrir emissão de rede • http://servidor/ficheiro • (servidor = nome com AAAA)

  13. Domínio de Endereçamento Global P2P - Peer-to-Peer • Virtualmente todos os nós prestam um serviço • Meios: DNS, Serviço de Ponto de Encontro • Sem restrições em relação ao «iniciador» • Todos os participantes partilham uma visão consistente da rede • NAT não facilita funcionamento

  14. P2P - Bittorrent • Protocolocriadoem 2002 • Existemconteúdos «legais» acessíveisatravésdesteprotocolo: • http://fedoraproject.org/en/get-fedora • Suporteemalgunsclientes • Sempredependentedaplataforma • Win/Linux/BSD/Mac • Comunicaçãosobre IPv6 com: • «Tracker» • Outrosclientes

  15. P2P - Azureus

  16. P2P - uTorrent

  17. Recapitulando… O software de servidor WEB Apache, como outros, suporta IPv6. O serviço de E-Mail (envio e recepção) pode funcionar completamente sobre IPv6. Existe diverso software que possibilita o serviço de arquivo/transferência de ficheiros sobre o protocolo IPv6.

  18. Recapitulando… O Multicast em IPv6 fica flexibilizado com o surgimento do conceito SSM (source-specific Multicast). Serviços de Videoconferência (nas suas várias componentes) e de Videodifusão podem funcionar sobre IPv6. Existe software variado que permite a comunicação peer-to-peer sobre IPv6 entre nós de uma rede bittorrent.

  19. Questões ? Obrigado !

  20. Segurança 29 de Novembro de 2011 Portugal Carlos Friaças

  21. Agenda • O que há de novo no IPv6? • Ameaças • IPsec • Firewall • Conclusão

  22. O que há de novo no IPv6? • A Segurança foi uma preocupação desde o início • Áreas que beneficiaram da forma de ver a rede trazida pelo IPv6: • Ameaças ao acesso móvel e ao IP móvel • Endereços gerados Criptograficamente • Protocolos para Autenticação e Acesso à Rede • IPsec • Tornar as intrusões mais difíceis

  23. Ameaças • Escuta passiva e activa • Repetição • Análise de Tráfego • Negação de Serviço • Ataque Físico • Passwords • Vírus, Cavalos de Tróia, Worms • Acesso Acidental • Desastres Naturais • Engenharia Social

  24. Ameaças • Scanning de Gateways e Máquinas • Scanning de Endereços Multicast • Nãohavendoendereçobroadcast é possívelrecorrer a outrosmétodos • Spoofing • Controle de acessonãoautorizado • Terematenção a criação de listas de acessopara o protocolo IPv6

  25. Ameaças • AtaqueaoEncaminhamento IPv6 • É recomendado o uso dos tradicionaismecanismos no BGP e IS-IS • O IPsecgarante a segurança de protocoloscomo o OSPFv3 e o RIPng • «Sniffing» • Sem o recursoaoIPsec, o IPv6 estátãoexposto a estetipo de ataquecomo o IPv4 • Mecanismos de transição • Ataquesespecíficosparadiferentesmecanismos

  26. Ameaças • Ataques«Man-in-the-Middle» • Sem o uso de IPsec, estetipo de ataquesem IPv6 ou IPv4 é semelhante • Flooding – DDOS • Idênticosem IPv4 e IPv6 • AtaquesaoníveldaAplicação • Actualmente, a maioria das vulnerabilidadesna Internet é aoníveldaaplicação, quenãobeneficia do uso do IPsec

  27. Scanning em IPv6 • Scanning = «Varrimento» • O tamanho de cada rede é incomparavelmente maior • As LANs têm 2^64 endereços. Deixa de ser razoável pesquisar por um endereço sequencialmente • Com 1 milhão de endereços/segundo, seriam necessários mais de 500 mil anos para percorrer todos os endereços de uma única LAN

  28. Scanning em IPv6 • Os métodos de Scanning em IPv6 vão provavelmente evoluir • Os servidores públicos necessitam de estar registados no DNS, o que constitui um alvo fácil • Os Administradores das redes podem adoptar endereços fáceis de memorizar (ex: ::1,::2,::53) • Os endereços EUI-64 têm uma componente fixa (de 16 bits) • Os códigos que identificam os fabricantes das placas de rede são bem conhecidos (primeiros 24 bits do endereço MAC) • Ao comprometer pontos importantes da arquitectura (ex: routers), um atacante pode detectar a existência de muitos alvos possíveis • Outras técnicas incluem obtenção de informação através de zonas de DNS ou de logs • Negar a transferência de zona (para o mundo) é prática corrente

  29. Scanning em IPv6 - Multicast • Novos vectores de ataque • Uso de endereços Multicast para «emular» funções de router ou servidor DHCPv6 • Todos os nós (FF02::1) • Todos os routers (FF05::2) • Todos os servidores DHCPv6 (FF05::5) • Estes endereços devem ser filtrados em cada ponto de «fronteira» • Este é o comportamento por omissão se o IPv6 Multicast não estiver activo no Backbone

  30. Spoofing em IPv6 • A maior agregação que é possível com o IPv6, torna menos complexa a filtragem para impedir o spoofing em pontos estratégicos da rede • O aspecto negativo tem a ver com os últimos 64 bits • Para identificar um utilizador através de um endereço IPv6, seria necessário manter constantemente o mapeamento entre endereços IPv6 e endereços MAC

  31. Atacante Internet IPv4 Rede IPv6 Rede IPv6 Spoofing em IPv4 com 6to4 • Através de tráfego injectado da Internet IPv4 para uma rede IPv6, recorrendo às características do mecanismo de transição 6to4 • Origem IPv4: Origem IPv4 spoofed • Destino IPv4: Relay 6to4Anycast (192.88.99.1) • Origem IPv6: Origem IPv6 spoofed, com prefixo 2002:: • Destino IPv6: Válido relay 6to4 gateway 6to4

  32. Action Src Dst Src port Dst port 2001:db8:1::1 permit any ssh deny any any Controle de acesso • A implementação da política é ainda feita nas firewalls (ou listas de acesso nos routers) • Algumas considerações • Filtrar endereços multicast nos pontos de fronteira • Filtrar endereços IPv4 mapeados em IPv6 2001:db8:2::2

  33. Action Src Dst Src port Dst port deny 2001:db8::/32 host/net permit 2001::/16 host/net any service permit 2002::/16 host/net any service permit 2003::/16 host/net any service permit 3ffe::/16 host/net any service deny any any Controle de acesso • Criar filtros para endereços bogon • em IPv4 é mais fácil negar os bogon + redes privadas • em IPv6 é mais fácil permitir os endereços legítimos

  34. Encaminhamento • Devem utilizar-se as mesmas medidas de protecção que em IPv4 • Autenticação de vizinhos (BGP) • Filtragem de anúncios inválidos • Cifragem de mensagens de encaminhamento • Basicamente deve aplicar-se o mesmo nível de segurança em IPv6 e em IPv4 Nota: Atenção nos routers a todos os serviços que estão a correr (ex: http,telnet, ssh). Estes devem estar também protegidos contra acessos indevidos em IPv6.

  35. Mecanismos de Transição • Há cerca de 15 métodos com várias combinações possíveis • Dual stack: • aplicar o mesmo nível de segurança para ambos os protocolos • Túneis • iptunnel – utiliza o Protocolo 41 para atravessar a firewall • túnel GRE – será mais aceitável uma vez que já era usando anteriormente ao aparecimento do IPv6.

  36. DDoS • Não existem endereços broadcast em IPv6 • Evita ataques através do envio de pacotes ICMP para o endereço de broadcast • As especificações do IPv6 proibem a geração de pacotes ICMPv6 em resposta a mensagens enviadas para endereços globais multicast (com a excepção da mensagem «Packet too big»). • Muitos sistemas operativos seguem a especificação • Ainda há alguma incerteza sobre o perigo que pode ser criado por pacotes ICMPv6 com origem em endereços multicast globais

  37. Mitigação de DDoS em IPv6 • Ter a certeza que os sistemas implementam o descrito no RFC 4443 (e actualizado pelo RFC 4884) • Implementar filtragens recomendadas nos RFCs 2827 e 3704, à entrada do sistema autónomo • Implementar filtragem à entrada de pacotes IPv6 com endereços de origem IPv6 multicast na rede local

  38. IPsec • Mecanismos gerais de segurança IP • Fornece… • Autenticação • Confidencialidade • Gestão de Chaves – necessita de uma infraestrura de chaves públicas (PKI) • Aplicável ao uso em LANs, e WANs públicas & privadas, e na Internet. Definido como obrigatório nas normas do IPv6 • O IPsec não é apenas um único protocolo. O IPsec contém um conjunto de algoritmos e uma infraestrutura que permite a comunicação entre duas partes, independentemente do algoritmo apropriado para dotar de segurança essa comunicação

  39. IPsec • Trabalho emanado do IPsec-wg do IETF • Aplica-se tanto ao IPv4 como ao IPv6 e a sua implementação é: • Mandatória para IPv6 • Opcional para IPv4 • Modos IPsec: Transporte & Túnel • Arquitectura IPsec: RFC 4301 (actualizado pelo RFC 6040) • Protocolos IPsec: • Authentication Header – AH (RFC 4302) • Encapsulating Security Payload - ESP (RFC 4303)

  40. IPsec - Arquitectura • Políticas de Segurança: Que tráfego é tratado? • Associações de Segurança: Como é processado o tráfego? • Protocolos de Segurança: Que protocolos (extensões do cabeçalho) são usados? • Gestão de Chaves: Internet Key Exchange (IKE) • Algoritmos: Autenticação e Cifragem

  41. IPsec - Modos • Modo de Transporte • Acima do nível IP • Apenas o payload dos datagramas IP são protegidos • Modo de Túnel • IP dentro de IP • Todos os datagramas que atravessam o túnel são protegidos

  42. IPsec : Gestão de Chaves • Manual • Chaves configuradas em cada sistema • Automática: IKEv2 (Internet Key Exchange v2, RFC 4306) • Negociação da Associação de Segurança: ISAKMP • Diferentes blocos (payloads) são ligados a seguir ao cabeçalho ISAKMP • Protocolos de Troca de Chaves: Oakley, Scheme • Algoritmos: Autenticação e Cifragem

  43. Protecção – Firewalls IPv6 • IPv6 & Firewalls • Não elimina a segurança IPv4, se ela existir  • O processo do firewall IPv6 é em geral separado do firewall IPv4, mas pode ser efectuado no mesmo equipamento • Isto é possível, por exemplo, em firewalls Checkpoint • Sem necessidade de gerir NATs • Mesmo nível de segurança e privacidade • Segurança fim-a-fim com recurso a IPsec • Suporte de transição e coexistência IPv4/IPv6

  44. Firewall IPv6 – arquitectura #1 DMZ Router Rede Protegida Internet Firewall • Internet router firewall Rede • Requisitos: • Firewall tem que suportar filtragem de pacotes Neighbor Discovery • Firewall tem que suportar filtragem de pacotes de Anúncio de Router • Firewall tem que suportar o protocolo MLD, se o Multicast é usado

  45. Firewall IPv6 – arquitectura #2 DMZ Router Rede Protegida Internet Firewall • Internet firewallrouter Rede • Requisitos: • Firewall tem que suportar filtragem de pacotes ND • Firewall tem que suportar filtragem de protocolos dinâmicos de encaminhamento(i.e. BGP, OSPF, IS-IS) • Firewall idealmente terá uma multiplicidade de interfaces

  46. Firewall IPv6 – arquitectura #3 DMZ Rede Protegida Internet Firewall Router • Internet firewall/router Rede • Requisitos • Apenas um ponto para funções de routing e implementação de políticas de segurança – comum em ambientes «SOHO» • Necessita suporte de todas as funções de router e também de firewall

  47. Recapitulando… O IPv6 pode potencialmente melhorar a segurança na Internet. A maioria das ameaças mantém-se no mundo IPv6, embora algumas sofram mudanças. Os mecanismos de transição são uma fonte potencial de problemas de segurança.

  48. Recapitulando… A IPSec é a melhor ferramenta para mitigar vários problemas. O posicionamento de um firewall tem que ser pensado de acordo com o cenário em que será usado. Elementos como Firewalls, Routers, DNS, etc, já estão apetrechados para funcionarem em IPv6 com segurança.

  49. Questões ? Obrigado !

  50. Encaminhamento 29 de Novembro de 2011 Portugal Carlos Friaças

More Related