IPv6 WiFi : опыт внедрения

1. IPv6 WiFi: опыт внедрения Andrew Yourtchenko - Cisco

2. Cегодня60-70% WiFiустройств поддерживают IPv6 Источник: NOC stats MPLS & IPv6 World Congress Conference, Paris, 2013

3. Сеть конференции CiscoLive Europe • 250-300 точек доступа (Access Points) • большая площадьпокрытия • несколько тысяч одновременных подключений • Динамичный жизненный цикл • Подготовка на месте – 4-5 дней • Срок эксплуатации – 5 дней • WiFi- критичный и заметный компонент • «прозрачный» роуминг в движении • Простота в эксплуатации и настройке

4. Общиe принципы дизайна • Один сегмент:IPv4- /16, IPv6- /64 • Простота управления адресным пространством • Отсутствие L3-роуминга (только L2) • Ограничение multicast-трафика • Безопасность IPv6 Neighbor Discovery

5. Обзор – новое подключение IPv6 Can I use this LL addr ? IPv6 LL DAD NS 1 RS 2 RA 3 Prfx O M Can I use this addr ? IPv6 g.a. DAD NS 4 DHCPv6 infreq 5 DHCPv6 Reply DNS DHCPv6 req 6 DHCPv6 Reply addr Can I use this addr ? IPv6 g.a. DAD NS

6. Multicast Router Advertisementв WiFiсети конференции

7. Multicast Router Advertisements: RA throttling

8. Безопасность Neighbor Discovery

9. Демо: Windows 7 & “Rogue” RA

10. WLC RA guard: запрет несанкционированных RA

11. Duplicate Address Detection:  проверка уникальности • Проверка уникальности адреса перед его активизацией • Требуема (MUST) при SLACC, рекомендована (SHOULD) by DHCP • Запрос ND на случай если кто-то уже использует этот адрес A C B ICMP type = 135 (Neighbor Solicitation) Src = UNSPEC = 0::0 Dst = Solicited-node multicast address of A target= A Query = Does anybody use A already? NS Node A can start using address A

12. Уязвимость в протоколе – блокировка работы • Атакующий отвечает на все NS запросы DAD • Ошибка DAD, невозможность использования адреса A C Src = UNSPEC Dst = Solicited-node multicast address of A target= A Query = Does anybody use A already? NS • From RFC 4862 5.4: • «  If a duplicate @ is discovered… the address cannot be assigned to the interface» • What If: Use MAC@ of the Node You Want to DoS and Claim Its IPv6 @ Attack Tool: Dos-new-IPv6 • Mitigation in IOS: • Configuring the IPv6 address as anycast disables DAD on the interface Src = any C’s I/F address Dst = A target= A Option = link-layer address of C NA “it’s mine !”

13. IPv6 Neighbor Discovery: поиск Ethernet-адреса • Позволяет узнать Ethernet адрес узла сети по его IPv6 адресу • Создает запись в таблице neighbor cache • Поддерживает актуальность записи (NUD / обновления) • Обновления обслуживаются по принципу “Last Come, First Serve (LCFS)” A C B ICMP type = 135 (Neighbor Solicitation) Dst = Solicited-node multicast address of B target = B Query = what is B’s Link-Layer Address? NS NA ICMP type = 136 (Neighbor Advertisement) Src = one B’s I/F address , Dst=A target = B Option = Target link-layer address (MACB) B MAC B Neighbor cache

14. Уязвимость в протоколе– кража адреса B A C Address resolution flow B MAC B Src = B Target = B Dst= all-nodes Option = MACC B MAC C MAC C (unsolicited) NA Attack Tool: Parasite6 Answer to all NS, Claiming to Be All Systems in the LAN...

15. Защита: отслеживание адресов на уровне L2 Binding table DHCP-server H1 H2 H3 DAD NS [IP source=UNSPEC, target=A1, SMAC=MACH1] REQUEST [XID, SMAC = MACH2] REPLY[XID, IPA21, IPA22] data [IP source=A3, SMAC=MACH3] DAD NS [IP source=UNSPEC, target = A3] NA [IP source=A3, LLA=MACH3]

16. WLC 7.2 - FHS source-guard

17. Neighbor Binding table in 7.3: установки по умолчанию

18. Демо: iPhone & Source Guard

19. В заключение • IPv6 на WiFiтребует внимания к Multicast трафику • RA Guard + Source Guard необходимы в любой IPv6 сети