Upload
taline
View
21
Download
0
Embed Size (px)
DESCRIPTION
IPv6 Protocolos associados Política de migração. Extensa literatura. http://www.6journal.org/view/subjects/iptute.html Fonte completa. Contém inúmeros artigos, incluindo um “Deployment Guide” http://www.ipv6.nic.br/ipv6.html http://www.ipv6.br/IPV6/ArtigoTecnicasTransicaoParte01. - PowerPoint PPT Presentation
Citation preview
IPv6
Protocolos associados
Política de migração
Extensa literatura
- http://www.6journal.org/view/subjects/iptute.html- Fonte completa. Contém inúmeros artigos, incluindo
um “Deployment Guide”
- http://www.ipv6.nic.br/ipv6.html
- http://www.ipv6.br/IPV6/ArtigoTecnicasTransicaoParte01
ND – Neighbor Discovery
• ND é um protocolo que permite que nós diferentes em um mesmo link comuniquem suas existências para os seus vizinhos.
• É uma função básica do IPv6 que qualquer implementação precisa ter.
• ND é definido nos seguintes documentos:– RFC 2461 Neighbor Discovery for IPv6
– RFC 2462, IPv6 Stateless Address Autoconfiguration
– RFC 2463, Internet Control Message Protocol (ICMPv6) for the IPv6 Specification
• ND substitui os seguintes protocolos da versão anterior do IP– Router Discovery (RDISC)
– Address Resolution Protocol (ARP)
– ICMPv4 redirect
ND – Neighbor Discovery
• Hosts que estão no mesmo link usam o ND para:– Descobrir a presença mútua – Determinar endereços de camada 2 dos vizinhos– Descobrir roteadores– Manter informações de acesso (NUD – neighbor reacheability
information)• Características do protocolo:
– Descoberta do roteador
– Definição do prefixo de rede
– Descoberta de parâmetros do acesso (MTU, máximo “hop limit”)
– Auto-configuração de endereço
– Determinação do “next hop”
– Detecção de endereço duplicado
ND – Neighbor Discovery
• ND define 5 tipos de pacotes ICMP:– Router Advertisement (RA)– Router Solicitation (RS)– Neighbor Solicitation (NS)– Neighbor Advertisement (NA)– Redirect
ND – Neighbor Discovery• Router Discovery: 2 modos de operação
Roteador RA
1 - Roteador envia um RA (router advertisement) de tempos em tempos via endereço de multicast do link
Roteador
RA
RS
2 - Roteador envia um RA (router advertisement) em resposta a uma mensagem do tipo RS (router solicitation)
ND – Neighbor Discovery• Detecção de endereço duplicado
– Uma vez que o endereço do nó esteja configurado (não interessa o processo), é mandatório executar a rotina de detecção de endereço duplicado (DAD – Duplicate Address Detection)
– O protocolo DAD é definido pela RFC 2462– Nenhum endereço pode ser utilizado antes da
execução da rotina DAD. Até lá, o endereço do host é considerado “tentativo”, ou seja, só pode ser utilizado para um ciclo do protocolo ND.
– A restrição é feita para garantir que não haja dois hosts com o mesmo endereço no link.
ND – Neighbor Discovery• Detecção de endereço duplicado
NA
NS
1 – Host envia mensagem dotipo NS (neighbor solicitation) tendo como endereço destinoseu próprio endereço
2 – OU nó duplicado responde com um NA (node advertisement)
NS
2 – OU nó duplicado também estava iniciando um ciclo DAD
ND – Neighbor Discovery• Detecção de endereço duplicado
– Protocolo só detecta o caso positivo– Protocolo não mostra que NÃO existe outro– Nó só pode assumir que tem endereço único:
– Após a transmissão de um número definido de NSs– Se não há evidência de endereço duplicado decorrido um
certo tempo após a transmissão da última NS
– Protocolo é lento– Execução pode ser feita em paralelo entre:
– Ciclo de Router Discovery (para receber prefixo) – Execução dos ciclos DAD apenas com endereço de interface
local
MTU Path Discovery
• Derivado da RFC 1191 (versão IPv4 do protocolo)• Um caminho (path) é um conjunto de links percorridos por
um pacote IPv6 entre a fonte e o destino• O MTU de um link: é o tamanho máximo de um
datagrama que pode ser transmitido no link sem que haja fragmentação
• MTU do caminho (Path MTU ou pMTU): é o MTU mínimo para um dado conjunto de links (que formam um caminho)
• Path MTU discovery: é a descoberta automática do pMTU de um caminho específico.
MTU Path discovery
• Operação do protocolo– Assume-se a premissa que pMTU = MTU do link para se chegar
ao vizinho (primeiro hop)– Se existe um roteador intermediário para o qual o MTU é menor
que o pMTU, ele envia uma mensagem ICMPv6 do tipo “pacote muito grande” para o emissor
– O emissor reduz o pMTU usando a informação recebida na mensagem ICMP
– O emissor reinicia o processo até chegar ao fim do caminho.
• Lembrando: no IPv6 a fragmentação é fim a fim, feita exclusivamente pelo emissor.
Domain Name System - DNS
• Implementações atuais mantêm bases de dados para IPv4 e IPv6.
• Método de comunicação usual ainda usa IPv4 (TCP), ou seja, as consultas (queries) utilizam IPv4
• Implementações atuais de hosts IPv6 mantêm pilhas IPv4 para uso no DNS
Domain Name System - DNS
master resolver
stub resolver
Zone administrator
Zone file
slavesDynamicupdates
Sistema hierárquico e distribuído
Domain Name System - DNS• Mas DNS não é seguro: existem muitas vulnerabilidades
conhecidas
Proteção dedadosProteção
dos servidores
Zone file
slaves
master resolver
stub resolver
Zone administrator
Dynamicupdates
Poluição do cachepor spoofing Atualizações não
autorizadas
Corrupção de dados
Falsificação deMestre
Falsocache
DNSSEC: DNS Security Extensions
• Extensão do protocolo DNS para:– Autenticação dos dados (de endereços)– Garantir integridade das respostas e acessos usando
criptografia de chaves públicas
• Escopo– Autenticação e integridade da origem dos dados– Autenticação das transações e requisições do
protocolo DNS– Serviço de distribuição das chaves
• Referência: http://www.dnssec.net/
Domain Name System - DNS• Mas DNS não é seguro: existem muitas vulnerabilidades
conhecidas
Proteção dedadosProteção
dos servidores
Zone file
slaves
master resolver
stub resolver
Zone administrator
Dynamicupdates
Poluição do cachepor spoofing Atualizações não
autorizadas
Corrupção de dados
Falsificação deMestre
Falsocache
AUTENTICAÇÃO DOS
DADOS
AUTENTICAÇÃO DOS
DADOS
AUTENTICAÇÃO DAS
TRANSAÇÕES
AUTENTICAÇÃO DAS
TRANSAÇÕES
Resumo
ND – neighbor discovery
MTU path discovery
Router discovery
Autoconfiguração de endereço (com estado ou sem estado)
DAD – detecção de endereço duplicado
Domain Name System DNS direto e reverso
DNSSEC
DHCPv6
A migração para IPv6
• A transição vai (está sendo) ser lenta
• Documentação detalhada:- http://www.6journal.org/view/subjects/iptute.html
- Fonte completa. Contém inúmeros artigos, incluindo um “Deployment Guide”
A migração para IPv6
• Lado bom:– Endereçamento gigante e de estrutura mais simples– Não necessita de hardware especial– Usa o fato da camada 2 ser Ethernet
• Lado ruim:– Existem problemas nas implementações do DHCP e
do DNS– Existem (ainda) diferenças entre implementações– “dilema da bolacha” ao contrário: quem começa?
A migração para IPv6• Dificuldades:
– Mudanças são grandes pois muita coisa deve ser repensada: serviços, sistemas operacionais das máquinas, etc.
– FIREWALLS: considerações especiais devem feitas na instalação e configuração de firewall no ambiente IPv6 – eles deverão suportar os novos protocolos e funções de autoconfiguração, etc. O documento “Deployment Guide” tem um capítulo inteiro sobre isso– http://www.6journal.org/view/subjects/iptute.html
– Procedimentos também mudarão: help desk, treinamento de pessoal
– Embora os grandes fabricantes já suportem IPv6 em seus roteadores, o mesmo não se pode dizer dos periféricos (CPEs), todos eles já “pindurados” via IP nas redes corporativas: wi-fi, impressoras, etc.
A migração para IPv6
• Três caminhos1. Duas pilhas
2. Infra-estrutura IPv6 adicional (tunelamento)
3. Rede IPv6 exclusiva
• Geralmente, espera-se que aconteça a coexistência das 3 técnicas nas redes corporativas por um bom tempo.
A migração para IPv6
1. Duas pilhas (Dual Stack)– Definida na RFC 2893– Nós têm os dois protocolos instalados e dois
endereços (v4 e v6)– Nó atua como gateway entre as duas redes– Não é transição, é “coexistência”– Roteamento tem que usar protocolos
adequados, que suportam esse ambiente
A migração para IPv6
Fonte: Transitioning to IPv6 – 3G Americas – March 2008
Arquitetura de referência para o funcionamento da pilha dupla
A migração para IPv6
2. Infra-estrutura adicional– Implantação de tunelamento: permite que
pacotes de um protocolo trafegue “sobre” a infra-estrutura do outro
– Permite a instalação de ambientes de teste– Métodos:
– Configuração manual: endereços dos pontos inicial e final conhecidos de antemão
– “Tunnel broker”: usa scripts automáticos para formar túnel com um servidor especial (broker)
A migração para IPv6
2. Infra-estrutura adicional– Tunnel broker: RFC 3053
– http://www.sixxs.net/main/– Métodos de tunelamento implantados
– ISATAP: implantado no XP, permite transmissão de pacotes IPv6 entre máquinas com pilhas duplas (IPv6-over-IPv4)
– TEREDO: permite conexão IPv6 entre nós IPv4 atrás de NAT (servidor a servidor)
– DSTM: Dual Stack Transition Mechanism (IPv4-over-IPv6)
A migração para IPv6
3. Rede IPv6 exclusiva– Apenas nós IPv6– Conectividade com redes IPv4 é feita por
meio de relays (proxies)
A migração para IPv6
• Serviços já disponíveis:– Já existem vários sistemas que suportam
IPv6. O site abaixo indica uma série de serviços
– http://ipv6.br/
A migração para IPv6
• Alguns exemplos:• Serviço dedicado IPv6 do Google: ipv6.google.com
• Serviços multimídia IPv6• http://stream.ipv6.frequence3.net:19000/frequence3.m3u
http://icecast.version6.net:8888/status.xslhttp://www.ipv6.ecs.soton.ac.uk/virginradio
A migração para IPv6
• Alguns exemplos:
O Website Gateway do site sixXS possibilita o acesso de máquinas IPv4 a sites que aceitam apenas IPv6 e de máquinas IPv6 a sites em IPv4.
http://ipv6gate.sixxs.net