Intec ipv6-201306182

© Fedict 2013. All rights reserved

Van IPv4 naar IPv6Intec – Brussel – 20 juni 2013


Agenda

© Fedict 2013. All rights reserved | p. 3

Over Fedict

Wat is IPv6 ? Wie gebruikt het al ?

Hoe IPv6 invoeren ?

Enkele technische verschillen

Enkele transitiemechanismes

Vragen ?

Overzicht


Over Fedict


eGov bouwstenen EID, Federal Authentication Service FEDMAN netwerk

Web CMS

Dienstenintegrator

Expertisecentrum (open) standaarden

Federale Overheidsdienst ICT


Wat is IPv6 ?Wie gebruikt het al ?


Het internet, een pakjesdienst

Bron: http://commons.wikimedia.org/wiki/File:Jerome_Relocation_Center,_Denson,_Arkansas._A_crew_of_postal_workers_engaged_in_sorting_packages_at_._._._-_NARA_-_538850.jpg


Web page (HTML, images)

HTTP

TCP

IP

TCP

IP IPIP

HTTP

TCP

Gelaagd netwerk


IPv4

Internet Protocol (4e versie) Pakketten Adres afzender / bestemmeling Technische info

In gebruik sinds +/- 1980 Dus nog vóór de IBM PC

Adres Vaste lengte, 32 bits = +/- 4 miljard adressen Vb: 193.191.245.4


IPv6

IPv6: sinds +/- 1996 IPv5: enkel experimenteel

Beter afgestemd op moderne netwerken

Veel meer adressen 128 bit = 340 miljard miljard miljard miljard adressen Vb: 2001:06a8:a000:0000:0000:0010:0204:0011 Afgekort: 2001:6a8:a000::10:204:11


Bron: http://www.greenwavereality.com/solutions/led-lighting/

Steeds meer toestellen online


Steeds meer mensen online > 2 miljard gebruikers

Steeds meer internet-apparatuur Tablets, smart phones Digital TV, VoIP, webcams, domotica Smart meters, allerhande sensoren

Technieken om adressen beter te verdelen “Private” adressen voor intern netwerk NAT: mappen van publieke naar private adressen “Dynamische” IP adressen

IPv4 adressen zijn bijna uitgeput


Huidige adressen blijven gewoon “werken” Webservers e.d. blijven draaien

Risico op IPv4-only / IPv6-only eilanden

Migratie naar IPv6 zal echter jaren duren

=> Tussenoplossingen zullen nodig zijn Aan de kant van de leverancier en/of gebruiker Niet ideaal (performantie / complexiteit) In het begin zowel IPv4 als IPv6 ondersteunen

Wat als IPv4 adressen op zijn ?


Netwerk operator IPv6

Verizon Wireless (USA) 31 %

VOO 23 %

Free (FR) 18 %

XS4All (NL) 15 %

Belnet 7 %

EDPNet <1 %

Bron: http://www.worldipv6launch.org/measurements/

IPv6 verkeer operatoren (mei 2013)


Sites die via IPv6 bereikbaar zijn

NGI, Rekenhof, AWT

Google / YouTube, Facebook

Keytrade

RTBF, GVA / HBVL

UZ Leuven, UHasselt, KATHO

Francofolies

...


Hoe IPv6 invoeren ?

Bron: http://commons.wikimedia.org/wiki/File:Street_Sign_with_ideas.jpg


Geen “big bang” !

Zet een IPv6 clausule in lastenboeken

Maak een lijst van publieke diensten Diensten die uw organisatie aanbiedt en gebruikt Vb: website voor burgers, webservice voor bedrijven Minder dringend: mail

Vraag uw leverancier om uitleg

Voorzie opleidingen en testwerk

In grote lijnen


Vraag het aan uw leverancier

Zijn de diensten / producten al klaar ? Ja: plan van aanpak ? Nee: wanneer dan wel ? Extra kost ?

Let op de kleine lettertjes: “ja, maar” … niet in model X … meer geheugen nodig … upgrade naar versie Y nodig … extra licentie te betalen … niet in die bepaalde configuratie


Het gaat niet alleen over hardware

Hardware Routers, firewalls, load-balancers, ...

Ook software Invoervelden IP-adressen admin pagina's Webservers, remote access, ...

En diensten E-payment, webstatistieken, … Extern gehoste javascripts (social media, webfonts)


Voorbeeld IPv6 clausule

De leverancier dient, indien van toepassing, te garanderen dat alle hardware, software en diensten met netwerkfunctionaliteit ook IPv6 ondersteunen.

Deze ondersteuning moet evenwaardig zijn aan de IPv4-ondersteuning, met inbegrip van (maar niet noodzakelijk beperkt tot) performantie, functionaliteit, beveiliging, monitoring en updates.


Voorbeeld IPv6 clausule (vervolg)

De leverancier garandeert bovendien dat deze ondersteuning onmiddellijk beschikbaar is, er moet met andere woorden niet gewacht worden op bepaalde updates van producten of diensten.

De leverancier mag voor de ondersteuning van IPv6 geen extra kost aanrekenen.


Enkele technische verschillen


Meer (en andere) adressen

Geen broadcast, meer multicast

NDP (Neighbor Discovery Protocol) ipv ARP

Autoconfiguratie adressen of DHCPv6

Geen fragmentatie onderweg

Andere headers

Kleine wijziging DNS

Enkele verschillen


IPv6 niet per definitie (on)veiliger dan IPv4

Maar: minder ervaring met IPv6 Grotere kans op bugs Grotere kans op verkeerde configuratie

IPv4 + IPv6 netwerk = twee aanvalspunten Even sterk als zwakste schakel

Beveiliging niet automatisch op IPv4 + IPv6 Mogelijk 2 x firewall rules, filtering, logging, ...

Beveiliging


Bron: http://commons.wikimedia.org/wiki/File:Address_Book_of_Watergate_Burglar_Bernard_Barker,_Discovered_in_a_Room_at_the_Watergate_Hotel,_June_18,_1972_-_NARA_-_304966.tif

Adressen (rfc4291)


128 bit 340 miljard miljard miljard miljard mogelijke adressen Meestal getoond in hexadecimale notatie Afgekorte notatie mogelijk

Ook subnets / masks

Klanten krijgen in principe minstens /64 18 miljard miljard IPv6 adressen ipv enkele IPv4 Grotere klanten krijgen /56 of /48 van ISP

Langere adressen


Unicast 1 enkele interface

Multicast Een hele groep van interfaces

Anycast De eerste (dichtste bij) van een hele groep interfaces Vooral gebruikt voor routers

Verschillende types adressen


Global unicast address Publiek adres

Unique Local Address (niet gerouteerd) Komt overeen met private address in IPv4 Begint met “fc” of “fd”

Link-local Address (niet gerouteerd) Altijd aanwezig op elke interface Begint met “fe80” Nodig voor NDP, DHCPv6

Verschillende soorten adressen


2001:0db8:0000:0002:0123:0000:0000:0def Afgekort: 2001:db8:0:2:123::def

48 bit global routing prefix Via ISP

16 bit subnet Zelf te kiezen

64 bit host identifier Autoconfig / DHCPv6 of manueel

Gebruikelijke structuur


Voorbeeld ipconfig / ifconfig


IPv6 adres Equivalent in IPv4 Doel

:: /128 0.0.0.0/32 Niet-gespecifieerd adres

:: /0 0.0.0.0/0 Default route

::1/128 127.0.0.1/32 Loopback

0064:ff9b:: /96 nvt NAT64

0100:: /64 nvt Discard-only

2001:0:: /32 nvt Teredo

2001:db8:: /32 192.0.2.0/24 Voorbeeld in documentatie

2001:678:: /29 nvt Provider-Independent

2002:: /16 192.88.99.1/32 6to4

fd00:: /8 o.a. 10.0.0.0/8 Unique Local (“privaat adres”)

fe80:: /64 169.254.0.0/16 Local (autoconfig)

Enkele “speciale” adressen


Validatie invoer / weergave in applicaties Langere adressen “:” ipv “.”

Scripts e.d. met IP adressen http [2001:db8:0:2:123::def]:80/page.html UNC \\2001-db8-0-2-123--def.ipv6-literal.net\ShareC

Stockeren IP-adressen in databases Sommige databases hebben IP-datatype Anders voldoende ruimte voorzien

Even opletten


Afwijkende subnet mask mogelijk Vb: /80 ipv /64 Sommige technieken (autoconfig) werken niet meer Controleer performantie

Even opletten (2)


Bron: http://commons.wikimedia.org/wiki/File:Radio.jpg

Multicast


IPv6 multicast

IPv4 gebruikt broadcast ARP DHCP

IPv6 kent geen broadcast, wel multicast NDP: Solicited-Node multicast DHCPv6

Gerichter / efficiënter Andere hosts worden minder “lastig gevallen”


IPv6 over Ethernet (rfc2464)

EtherType voor IPv6 is 0x86DD ipv 0x0800 Dus ook voor NDP (geen ARP)

IPv6 multicast en Ethernet multicast “33-33” + laatste 32 bits IPv6

MLDv2 Snooping ipv IGMPv3 Multicast Listener Discovery ICMPv6


Link-local Binnen hetzelfde netwerksegment

Site-local (verouderd) Binnen dezelfde “plaats”

Global Het hele internet

Enkele scopes


Enkele multicast adressen

IPv6 multicast Doel

ff01::1 Alle interfaces op de node (IPC)

ff02::1 Alle link-local nodes

ff02::1:2 Link-local DHCPv6 server

ff02::1:ff00:0000/104 Solicited-Node multicast prefix

ff02::2 Link-local routers

ff02::c Simple Service Discovery Protocol (uPNP)

ff0e::101 Alle NTP servers


NDP (rfc4861)

Bron: http://commons.wikimedia.org/wiki/File:Binoculars_(PSF).png


Neighbor Discovery Protocol

Geen ARP in IPv6, maar NDP ICMPv6

Verschillende types pakketten Router Solicitation (RS) / Router Advertisement (RA) Neighbor Solicitation (NS) / Neighbor Advertisement (NA) Redirect

RA / NA spontaan of “op aanvraag” (na RS / NS)


Even opletten

Verkeerde Router Advertisements Per ongeluk (testen IPv6 server) of opzettelijk => Filteren intern netwerk

Secure Neighbor Discovery Protocol (SEND) Cryptographically Generated Address (CGA) Weinig implementaties


Configuratie IPv6 adressen

Bron: http://commons.wikimedia.org/wiki/File:AntonB%C3%B6ckGasse28262422Strebersdorf.A.JPG


Verschillende manieren

Manueel Vooral voor servers

Stateless Address Auto-Configuration (SLAAC) Stateless: geen server om “state” bij te houden Op basis van MAC-adres netwerkkaart Optie: ook DNS info (RDNSS)

DHCPv6 Stateful of stateless

Welke manier ? Via RA Flags


SLAAC (rfc4862)

Berekenen Link-Local (fe80::) adres Host berekent 64-bit ID en Solicited-Node multicast

Duplicate Address Detection (DAD) Host: NS naar multicast ff02::1:ff00::... Geen antwoord => adres is nog vrij

Opvragen prefix voor Global adres Host stuurt RS naar ff02::2 Router: RA met 64-bit prefix naar ff02::1 Duplicate Address Detection


Privacy Extensions (rfc4941)

Mogelijk een privacy issue met SLAAC 48-bit MAC adres wordt gebruikt in berekenen 64-bit ID MAC-adres is in principe uniek Dus laptops e.d. kunnen “gevolgd” worden in ander net

Oplossing: tijdelijke adressen Willekeurige reeks bits Worden automatisch herberekend (elke X uur / dagen)


DHCPv6 (rfc3315)

UDP, poorten 546 (client) en 547 (server) IPv4: 67 (server) en 68 (client)

DHCP Unique Identifier (DUID) 96 – 128 bits (verschillende berekeningen mogelijk) IPv4: gebaseerd op MAC

Multicast ff02::1:2

“opkuis” opties


Even opletten, ondersteuning

SLAAC werkt enkel binnen /64 subnet

Niet alle systemen ondersteunen DHCPv6 Vb: Android 4.0

Niet alle systemen ondersteunen SLAAC RDNSS Vb: Windows 7

=> eventueel SLAAC + (stateless) DHCPv6


Even opletten, beveiliging

Filteren intern netwerk “valse” RA / DHCPv6 Reply met verkeerde info DoS via valse NA (SLAAC DAD) vermijden

Beperken aantal messages DoS via RS vermijden

Ook als u geen IPv6 denkt te gebruiken Let op automatische tunnels (Vb. Teredo)


Fragmentatie en MTU

Bron:http://commons.wikimedia.org/wiki/File:Hyattballs.jpg


Fragmentatie / MTU

Max Transmission Unit minstens 1280 byte

Fragmentatie gebeurt door eindpunten

Geen IP-fragmentatie onderweg Minder overhead (kopiëren IP-headers) Minder CPU (opdelen / samenvoegen IP-fragmenten)

Fragmentatie op lager niveau mogelijk Vb Ethernet frames


Path MTU Discovery (rfc1981)

Pakket wordt verstuurd

Pakket te groot => error ICMPv6 “Packet Too Big” error

Pakket opdelen en opnieuw zenden

Regelmatig proberen of MTU groter kan Vb. om de 10 minuten


Even opletten

ICMPv6 error mag niet geblokkeerd worden Firewall

=> anders kan de verbinding hangen (TCP) “Handshake” lukt, dus lijkt te werken Pakketten worden onderweg gedropt wegens te groot


Extension headers (rfc2460)

Bron:http://commons.wikimedia.org/wiki/File:2_duplo_lego_bricks.jpg


Overzicht IPv6 pakket en headers

Version Traffic Class Flow Label

Payload length Next Header Hop Limit

Source address

Destination address

Next Header Length

...

...

Source port Destination port

...

FixedHeader

ExtensionHeader(s)

Upper layer(TCP, UDP...)met data


Fixed Header

Altijd 320 bits lang IPv4: 160 bits

Next Header veld (type) Wijst naar volgende IPv6 OF “upper layer” header

Hop Limit IPv4: TTL veld

Source en Destination IPv6-adres


Extension Headers

Lengte afhankelijk van type

Bevatten extra parameters / informatie Voor eindpunt (behalve “Hop-by-Hop” type) Eindpunt stuurt ICMPv6 error bij onbekende opties

Meerdere headers mogelijk Wijst weer naar volgende Next Header


Even opletten

ICMPv6 error mag niet geblokkeerd worden Firewall

Filteren Router Header type 0 Onbekende extension headers Gefragmenteerde headers Beperken aantal extension headers


DNS (rfc3596)

Bron: http://commons.wikimedia.org/wiki/File:Annuaire.jpg


Kleine wijziging DNS

AAAA-record Kan naast A-record bestaan

Reverse DNS ip6.arpa ipv in-addr.arpa f.e.d.0.0.0.0.0.0.0.0.0.3.2.1.0.2.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa


Even opletten

DNS zelf ook via IPv6 bereikbaar maken

Opvraging staat los van gebruikte connectie AAAA kan opgevraagd worden via IPv4 en IPv6 A kan opgevraagd worden via IPv6 en IPv4

Soms allebei tegelijk Client applicatie bepaalt welke gebruikt zal worden

DNS response langer dan 512 byte UDP limiet EDNS0 of TCP toelaten


Happy Eyeballs (rfc6555)

Bron: http://commons.wikimedia.org/wiki/File:Three_Buttons.JPG


Gebruikt een browser IPv4 of IPv6 ?

Als server zowel IPv4 als IPv6 adres heeft

Wat als client ook IPv4 + IPv6 ondersteunt ? IPv4 prefereren: nadelig voor uitrol IPv6 IPv6 prefereren: mogelijk minder goed geconfigureerd Hangt af van netwerk, OS, browser, configuratie

“Happy Eyeballs” / “Fast Fallback” Test IPv6 en IPv4 verbinding (bijna) gelijktijdig Gebruik eerste verbinding die reageert MacOS X: snelste verbinding


Even opletten

Meer connecties naar servers

In praktijk kan connectie soms wijzigen Vb: opeens cookie over IPv6 (= ander adres) dan IPv4 Lijkt op “gestolen” cookie


Overige

Bron: http://commons.wikimedia.org/wiki/File:Delta_(Dacromet).jpg


Even opletten

Beveiligen LAN tegen ongewenste tunnels Filteren tunnel-protocols (Teredo, ISATAP....)

Beveiliging PC's controleren Anti-virus software, firewall rules, …

Website van de organisatie Externe services voor search, webstats, anti-spam, …

Remote toegang VPN


Enkele transitie-mechanismes


Enkele transitiemechanismes

(NAT444 CGN)

Dual-Stack

Translation NAT64, SLB64 Reverse Proxy

Tunnels IPv6 over IPv4: 6in4, 6rd, Teredo, ISATAP... IPv4 over IPv6: DS-Lite, MAP-E...


Carrier Grade NAT (CGN)

Bron: http://www.flickr.com/photos/jfesler/6751925977


NAT444 CGN (rfc6598)

“Large Scale NAT” (LSN)

Extra NAT door provider Zelfde publiek IPv4 adres voor meerdere klanten Wordt al door sommige ISPs toegepast

IPv4 naar IPv4 Geen oplossing voor IPv6 (tunnel nodig)


Voorbeeld CGN

ISP

10.0.1.3

10.0.1.4

192.0.2.10

NAT


Even opletten

Performantie / vertaalslagen 1 browser kan makkelijk 30 TCP-connecties maken

Niet alle toepassingen blijven werken Peer-to-peer ? Wat met blokkeren IP-adressen ?


Dual Stack

Bron: http://commons.wikimedia.org/wiki/File:Vergleich_2von2_Crossoverkabel.gif


Dual Stack

Zowel IPv4 als IPv6

Legacy toepassingen: IPv4

Nieuwe toepassingen: IPv6

Veel server software is al voorbereid Web, FTP, mail... servers


Vb: proxy naar externe IPv6 sites

Proxy

Internet

Firewall

IPv4 IPv4

IPv4 + IPv6

IPv4 + IPv6


Vb: dual stack web server

Webserver

Internet

FirewallIPv4 + IPv6

IPv4 + IPv6

DatabaseIPv4

IPv4

IPv6


Even opletten

Dubbel werk voor systeembeheer Configuratie

Even (on)veilig als zwakste schakel

Performantie / functionaliteit Hardware, firewalls, ...


Translation

Bron: http://commons.wikimedia.org/wiki/File:Bunte-kabel.jpg


NAT64

NAT van IPv6 naar IPv4

Vaak gebruikt met DNS64 (rfc6147) Automatische AAAA-records

Stateless (rfc6145) Vertaling ICMP pakket en IP header 1:1 vertaling, spaart geen IPv4-adressen Vooral om IPv4 servers beschikbaar te maken over IPv6


NAT64 (2)

Stateful (rfc6146) Vb: IPv6-only mobiel netwerk naar IPv4 internet Meerdere IPv6-adressen naar 1 IPv4 adres TCP / UDP + ICMP


Vb: NAT64

Internet

Router (klant)

NAT64

IPv6

DNS64(ISP) DNS

IPv4

AAAAA


Even opletten

Niet helemaal compatibel met DNSSEC

Werkt niet voor alles Niet waar IPv4 adres ipv naam gebruikt is Kan problemen geven met Skype / FTP / SIP / ...


Tunnels (rfc4213)

Bron: http://commons.wikimedia.org/wiki/File:Tunnel_Berghofen_Nordeinfahrt_R7308784_wp.jpg


6in4 (rfc2473)

Toegang IPv6 over IPv4 netwerk Voorbeeld: laptop / kantoor toegang geven tot IPv6 O.a. gratis tunnel via Hurricane Electric

IPv6 pakket binnen IPv4 pakket (encapsulation) IP protocol nummer 41

Manuele configuratie IPv6 adres IPv4 eindpunten tunnel


6rd – Rapid Deployment (rfc5569)

Vooral voor ISPs Voorbeeld: IPv6 toegang geven aan klanten Wordt ondersteund door sommige modems / routers

Automatische configuratie mogelijk DHCPv4 6rd option IPv6 prefix en lengte prefix

Voordelen: Geen assymetrische tunnel Eindpunt bij de klant / meer controle dan 6in4


Vb: 6rd

IPv6-only

IPv4-only

IPv4 IPv6Router (klant)

6rd router(ISP)


Even opletten

Geen oplossing voor schaarste IPv4 adressen Helpt bij versnelde roll-out van IPv6

Filtering door firewall Protocol type 41

Per PC ISATAP (rfc5214) Teredo (rfc4380)


Vragen ?


Enkele tools

http://nmap.org

http://www.wireshark.org

http://bitace.com/ipv6calc

http://klub.com.pl/dhcpv6/

http://nmap.org/

http://www.wireshark.org/

http://bitace.com/ipv6calc

http://klub.com.pl/dhcpv6/


Enkele linken

http://ipv6.belnet.be

http://www.ipv6tf.org

http://www.ipv6council.be

http://blog.ioshints.info/search/label/IPv6

http://datatracker.ietf.org/wg/v6ops/

http://www.sixxs.net

http://ipv6.belnet.be/

http://www.ipv6tf.org/

http://www.ipv6council.be/

http://blog.ioshints.info/search/label/IPv6

http://datatracker.ietf.org/wg/v6ops/

http://www.sixxs.net/


RFCs

Request For Comments Technische specificaties Internet Engineering Task Force (IETF) Online beschikbaar voor iedereen

http://tools.ietf.org/html/rfc6434

http://tools.ietf.org/html/rfc6434


Bedankt !Bart Hanssens / Fedict

Maria-Theresiastraat 1

1000 Brussel, Belgium

@BartHanssens

bart.hanssens [at] fedict.be | www.fedict.belgium.be

Technology

Intec ipv6-201306182