Embed Size (px)
DESCRIPTION
Op 12 oktober heeft StarTel een zeer geslaagd seminar verzorgd over IPv6.
Citation preview
12-‐10-‐2010
1
IPV6: Laat je (niet) verrassen!
Siebren Kerkstra - [email protected] Ties Voskamp - [email protected]
12-‐10-‐2010
2
IP version 6
Voordelen IP6: • Adress assignment features • Aggregatie van adressblokken • Nat / Pat niet meer nodig • Ipsec native in IP6 • Header improvements • Transition tools
Adres verdeling
Publieke adressen gegroepeerd geografish (Regional Internet Registry)
Per regio onderverdeeld in ISP’s Per ISP onderverdeeld in bedrijven/cons. Elk bedrijf kan onderverdelen in subnetten ICANN beheerd address space
12-‐10-‐2010
3
IP6 Notatie IP6 adres: 32 hex nummers In 8 quartetten van 4 hex getallen (nibbles) Vb. 2340:1111:AAAA:0001:1234:5678:9ABC:1234 Afkortingen: FE00:0000:0000:0001:0000:0000:0000:0056 FE00::1:0:0:0:56 FE00:0:0:1::56 FE00::1::56 mag niet !!!!
IP6 prefix
2000:1234:5678:9ABC:1234:5678:9ABC:1111/64 16 16 16 16 :0000:0000:0000:0000 Afgekort: 2000:1234:5678:9ABC::/64 Prefix binnen 16 bit blok: 2000:1234:5678:9A00::/56
Global Unicast Prefix assignment
12-‐10-‐2010
4
Adres ruimte voor 1 bedrijf:
• 2^64 host per subnet = 18.446.744.000.000.000.000 • 2^16 subnetten per bedrijf is dus 65,536 subnetten
Hoeveel IP6 adressen zijn er eigenlijk? Surface earth = pie*diameter* diameter ( diameter earth = 12000
kilometer) Ip6 has 2^128 ip adresses (assuming that all address space is used) Surface earth = 3.14 * 12756 * 12756 = 510926783 km2 (square
kilometer) (=all of the earth surface including water etc) Surface earth in square cm = 1km = 1000 meter 1 meter is 100 cm 510926783 km2 = 510926783 * 1000 * 1000 * 100 * 100 =
5109267830000000000 cm2 = 5.10927E+18 cm2 IP6 = 2^128 equals 3.40E+38 Thus in one square cm there are 3.40E+38 divided by 5.10927E+18 cm2
= 6.65E+19 ipv6 addresses
Aantal ip6 bis If you pile up these addresses in one cm one ip6 adresses per cm
…….how high is the pile of ip addresses??
One light year is:: 3600 seconds per hour * 24 hours a day * 365 days a year So a year has 31536000 seconds Light traffels with 300000 km per second == 300000*1000*100 cm per
second So one lightyear = 31536000 * 30000000000 = 9.4608E+17 So the pile wil be high 6.65E+19 / 9.46E+17 = 7.03E+01 = 70 light years
……………
12-‐10-‐2010
5
IPv6 and addressing Dns nog steeds aanwezig/nodig voor reso. DHCPv6 in 2 modes: Statefull: dhcp houdt client info bij Stateless: dhcp houdt geen client info bij Statefull DHCPv6 = als DHCPv4 Multicast verkeer ipv. broadcast verkeer!!
IPv6 interface id and EUI-64 format
• 7 bit means burn in MAC (0) it is now set to 1 (a Configured locally address)
Stateless autoconfiguration A host dynamically learns /64 prefix mbv. NDP Neighbour Discovery Protocol EUI-64 interface ID calculation NDP vervangt arp NDP gebruit RS en RA Router sollicitation en Router Advertisement Alles mbv multicast verkeer
12-‐10-‐2010
6
Demo: router prefix configuration: Netsh interface ipv6 set global randomizeidentifiers=disabled (uitzetten standaard autoconfig gedrag) dus aanzetten EUI adres
Ip6 address Config options:
Soorten IP6 adressen Unicast: adres aan single interface
• Global unicast (als ip4 oude publieke adressen) • Beginnen met 2000:: /3 • Local unicast (als ip4 oude prive adressen) • Beginnen met FD00::/8 • Link local (niet te forwarden/routeren adressen) • Beginnen met FE80::/10 • Multicast (FF02::/8) • 6to4 (2002::/16) • Site local (FEC0::/16)(deprecated)
12-‐10-‐2010
7
Soorten IP6 bis. Multicast: adres aan dyn. Groep:
Anycast: servers can use the same unicast address for load balancing purposes
IPv6 transitie opties: Dual stack (ip4 en ip6) vb: vista Tunneling:
• MCT Manualy configured tunnels • Dynamicaly 6to4 tunnels • Intra-site Automatic Tunnel Adressing protocol (ISATAP) • Teredo tunneling • Zie schema’s volgende sheet:
Tunneling examples: IP6 to IP4 tunnel:
12-‐10-‐2010
8
Tunnel examples: Teredo host to host tunnel:
NAT PT (protocol translation)
12-‐10-‐2010
9
12-‐10-‐2010
10
12-‐10-‐2010
11
12-‐10-‐2010
12
12-‐10-‐2010
13
./fake_advertise6 eth0 2a01:1bd0::5 ff02::1 0:0:ee:ee:ee:ee
./fake_router6 eth0 2a01:1bd0:100:98
12-‐10-‐2010
14
./dos-new-ip6 eth0
./redir6 eth0 2a00:1bd0:100:5 2a00:1450:8006::63 2a01:1bd0::1 2a00:1bd0:100:33
12-‐10-‐2010
15
Message (plain text)
d*2B%? (cipher
text)
key
algorithm
Public key & Private Key
• Elke host (node) eigen RSA-keyset • Laagste 62 tekens van de SHA-1 hash wordt Interface Identifier
12-‐10-‐2010
16
• Signature = signed CGA parameters + Nonce (randon nr) met behulp van private key. • Authentication, Nonrepudiation en Integrity
Situatie: node A zoekt MAC adres van node B
• NS request CGA-adres node B naar f02::1 (multicast alle IPv6 hosts) • Node B antwoord met de CGA parameters + signature • Node A checkt de signature met de public key van node B. Hiermee is zeker dat de CGA parameters van node B zijn. • Node A doet de CGA-berekening op basis van de gestuurde parameters
12-‐10-‐2010
17
Direct access op basis van 6to4 tunnel en ipsec
Uitleg virtuele omgeving…….
Welke configuratie was nodig VOOR deze demo
DEMO: Direct Acces wizard UAG
http://www.sixxs.net/
http://ipv6.com/
http://technet.microsoft.com/en-us/network/bb530961.aspx
