Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém.

Slides:



Advertisements
Podobné prezentace
D03 - ORiNOCO RG-based Wireless LANs - Technology
Advertisements

14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Adresářová služba Active directory
Štěpán Šípal. Témata hodiny Vlastnosti IPv6 adresace Nový zápis adres uzlů a sítí Hierarchické přidělování adresního prostoru Nové technologie pod IPv6.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
IPv6 Josef Horálek.
Štěpán Šípal. Téma hodiny Přidělování IP adres dříve Organizace zajišťující přidělování IP DNS záznamy a registrace domény Opakování.
Internet.
NeoSync on-line zálohování pro každého / pro každou firmu
Adresování IP adresy –síťová vrstva –4B – 32 bitů – – – adres.
Dynamická konfigurace IPv6 klientů Barbora Chumlenová Projekt AVT LS 2014.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
IBM Global Services ČR © 2006 IBM Corporation April, 2006 E-stát a EU Pavel Hrdlička.
Asynchronous Transfer Mode Projektování distribuovaných systémů Lekce 1 Ing. Jiří ledvina, CSc.
Tak nám došly … aneb vybrané hrůzostrašné scénáře ve světě bez IP adres
INTERNET – struktura, fungování a přehled využití
Autor:Ing. Bronislav Sedláček Předmět/vzdělávací oblast:Telekomunikace Tematická oblast:Datová komunikace Téma:Základní přehled síťové architektury Ročník:4.
POČÍTAČOVÉ SÍTĚ ADRESA. Identifikace v síti  IP adresa - je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí sítě (Internetu).
Internet.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Protokoly úrovně 3 nad ATM Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Seminář 4 IPv4 adresace Základní pojmy – třída, subsíť, maska, prefix, inverzní maska (wildcard mask), broadcast, agregace Privátní (RFC 1918) a veřejné.
Počítačové sítě - architektura TCP/IP
Typy počítačových sítí Střední odborná škola Otrokovice Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je PaedDr. Pavel.
Model TCP/IP Síťová vrstva. IPv4 IP protokol pracuje nad linkovou vrstvou IP protokol pracuje nad linkovou vrstvou Data jsou v síti dopravována přes směrovače.
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Protokol IP verze 6 Počítačové sítě Lekce 11 Ing. Jiří Ledvina, CSc.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
Multimediální přenosy v IP sítích Libor Suchý Prezentace diplomové práce.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
1 Seminář 6 Routing – směrování –Směrování přímé – v rámci jedné IP sítě/subsítě (dále je „sítě“) – na známou MAC adresu. –Směrování nepřímé – mezi sítěmi.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Počítačové sítě Architektura TCP/IP - úvod
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Překlad jmen, instalace AD
IPv4 adresy docházejí ipv4/ Bojíte se? Nebojte, známe řešení.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Počítačové sítě ● Síťové architektury ● Internet – historie a současnost ● Místní a rozsáhlé sítě ● Síťové prvky ● Adresace v sítích TCP/IP ● URI ● Síťové.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
Inf Struktura sítě internet. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo.
SMĚROVÁNÍ V POČÍTAČOVÝCH SÍTÍCH Část 4 – Směrování v IPv6 Zpracovala: Mgr. Marcela Cvrkalová Střední škola informačních technologií a sociální péče, Brno,
Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík SŠ IT a SP, Brno
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Přednášky o výpočetní technice Internet. přednášky o výpočetní technice Informační hyperdálnice ● Jedna mohutná počítačová síť ● Neplést Internet a Worldwide.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
1 Počítačové sítě II 15. Internet protokol verze 6 Miroslav Spousta, 2006,
Síťová vrstva a vrstva síťového rozhraní v TCP/IP
Počítačové sítě 16. IPv6 Obsah: původ IPv6, IPv6 adresa a její zápis
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
TÉMA: Počítačové systémy
Počítačové sítě IP multicasting
Multiprotocol Label Switching (MPLS)
Seminář 5 IPv4 adresace Základní pojmy – třída, subsíť, maska, prefix, inverzní maska (wildcard mask), broadcast, agregace Privátní (RFC 1918) a veřejné.
Počítačové sítě Architektura TCP/IP – v současnosti nejpoužívanější síťová architektura – architektura sítě Internet Uplatnění – user-end systémy (implementace.
IPv6 IPv6 (IPng) – budoucí náhrada současné IPv4
Počítačové sítě IP vrstva
Počítačové sítě IP vrstva
IP adresy Ing. Jiří Šilhán.
Elektronické instalace budov II
Ing. Jiří Šilhán IPv4.
IPv6 druhá část Ing. Jiří Šilhán.
Transkript prezentace:

Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )

1.Základy IPv6 2.Adresace v IPv6 3.Přechod na IPv6 4.IPv6 v ČR 5.Některé IPv6 mýty 6.Závěr Osnova

1. Základy IPv6

Důvod(y) vzniku IPv6  Malý adresní prostor - zásadní nedostatek jinak skvěle navrženého protokolu IPv4  32 bitů je příliš málo   Následné nerovné rozdělení IPv4 adres  USA, Japonsko, Evropa x zbytek *  Dílčí problémy s novými technologiemi  Mobilní služby  Kvalita služeb  Vysokorychlostní sítě * Pavel Satrapa: IPv6: „... někteří mají nahrabáno...“, a to i v ČR ;-)

Standard IPv RFC 1883: Internet Protocol Version RFC 2460: dosud platný, inovace předchozího přes 100 dalších  Extrémní adresní prostor – 128 bitů (3,4 x adres)  … a to je vlastně vše Ovšem:  Různé typy adres (uni-, multi-, anycast)  Dobrá podpora hierachického směrování a agregace  Podpora kvality služeb  Posílená role autokonfigurace  Povinná podpora zabezpečení (autentizace, šifrování), … množství nových řešení, doplňků, … 5

Možnosti zápisu IPv6 adresy Plný tvar 2001:BA98:7654:1230:FECD:BACD:7546:3210 (Zkušený síťař samozřejmě sází zpaměti ) Zkrácené tvary Plný tvar 2001:0718:1001:0000:0000:69ff:0000:e407 Vynechání vedoucích nul 2001:718:1001:0:0:69ff:0:e407 Vynechání skupiny nul (lze použít jen jednou) 2001:718:1001::69ff:0:e407 I toto je platná IPv6 adresa::1 6

Záhlaví IPv4 vs. IPv6 IPv4 IPv6 7 Extension Headers (Next Header) 12 polí, 20 B 8 polí, 40 B

Koncepce rozšiřujících záhlaví (Extension Headers) Každé v samostatném bloku Zřetězení pomocí položky "Next header" Pořadí předepsáno, a to „po vrstvách“ Při dopravě jsou vždy zpracovávána jen relevantní záhlaví V posledním identifikace typu protokolu transportní vrstvy ("Protocol" - IPv4) 8

Příklady zřetězení rozšiřujících záhlaví 9 RH ovšem v RFC 5095 zavržen („source routing“)

Nejen nové adresy Jumbogram - délka paketu až B Jumbogram - délka paketu až B  Musí podporovat i 2. vrstva DHCPv6 DHCPv6 ICMPv6 ICMPv6 DNS (AAAA záznam = IPv6 adresa) DNS (AAAA záznam = IPv6 adresa) Směrovací protokoly Směrovací protokoly  RIPng  OSPFv3  BGP4+ Aplikační programy Programovací jazyky, knihovny, API, atd. 10

 Vysoká úroveň autokonfigurace  Stateless address autoconfiguration (SLAAC)  Rozhraní => ICMPv6 => Router Discovery (link-local router solicitation multicast request)  Směrovač odpoví parametry síťové vrstvy  Neighbor Discovery Protocol (náhrada ARP)  Path MTU Discovery  Šifrování, autentizace  Detekce duplicitních adres,... Další vlastnosti IPv6

2. Adresace v IPv6

 Unicast – adresa jediného rozhraní  globální  site-local (obdoba IPv4 privátních adres)  2004 zavrženo (RFC 3879)  link-local (platnost v segmentu)  Multicast - adresace skupiny rozhraní (uzlů)  Příklad: FF02::1 - link-local, all nodes  Anycast – „vícenásobně přidělená unicastová adresa“, pracuje se s tím, kdo se ozve jako první (odhad: nejméně zatížený uzel). Typy IPv6 adres

Rozsahy IPv6 adres - výběr Adresa/prefixVýznam/užití ::/0 (prefix délky 0)default route ::/128 (samé nuly)neexistující adresa (RFC4291) ::1/128 (1 na konci)loopback (RFC4291) ::0:IP:V4/96IPv4 kompatibilní adresa (RFC4291 zavrhlo) ::ffff:IP:V4/96IPv4 mapovaná IPv6 adresa (RFC4291) 2000::/3globální unicast adresy (RFC3513) 2002::/166to4 globální unicast adresy (RFC3056) 3ffe::/166bone (RFC1897, historické) FC00::/7unique local unicast (RFC4193) FE80::/10link local unicast (RFC4291) FEC0::/10site local unicast (RFC3513 zavrhlo) FFgs::/8multicast (g=flags, s=scope, RFC4291)

 Celosvětově jednoznačná identifikace rozhraní IPv6 – globální adresy 001globální směrovací prefixpodsíťID rozhraní 128 bitů 3 bity45 bitů16 bitů64 bitů

Hierarchie přidělování IPv6 (IPv4) adres ICANN/IANA RIR NIR RIR ISP/LIR EU  Internet Corporation for Assigned Names and Numbers/Internet Assigned Numbers Authority  Regional/National/Local Internet Registry  Evropa - RIPE  End User RIRs

Hierarchické přidělování IPv6 adres Adresa/prefixUživatel 2001:0718::/32CESNET, z.s.p.o. 2001:0718:0800::/42CESNET, z.s.p.o., oblast Brno 2001:0718:0808::/48 CESNET, z.s.p.o., oblast Brno, Univerzita obrany

Automatické odvozování IPv6 adresy od MAC adresy - EUI-64  Umožňuje někdy nežádoucí identifikaci a sledování kočujícího uživatele  Proto „Privacy Extensions“ MAC adresa rozhraní Změna bitu Unique/Local 2001:067C:1220:0003:0212:7FF:FEEB:6B40

 Unique local address (ULA) - FC00::/7  FC00::/8 – prefix přidělován „jinak“; použití dosud nedefinováno  FD00::/8 – prefix přidělován lokálně  Dalších 40 bitů určí generátor prefixů náhodně  Dále 16bitový identifikátor podsítě a 64bitový identifikátor rozhraní.  Nelze použít v Internetu  Obdoba IPv4 privátních adres (RFC 1918) IPv6 – Unikátní lokální adresy

Nejen nové adresy DHCPv6 DHCPv6 ICMPv6 ICMPv6 DNS DNS Směrovací protokoly Směrovací protokoly  RIPng  OSPFv3  BGP4+  atd., atd.

3. Přechod na IPv6

„ Nikdo nechce být první “  Desítky RFC věnovaných jen tomuto  Uzavřený kruh komerčního světa  Provideři s IPv6 konektivitou nespěchají, protože o ni není zájem; neexistuje atraktivní obsah dostupný pouze přes IPv6  Tvůrci obsahu nespěchají, protože provideři nenabízejí IPv6 konektivitu  Problém „krabiček“ – ADSL a kabelové modemy, tiskové servery, domácí routery, přístupové body, řiditelné přepínače, televizory – starší jen IPv4 Přechod na IPv6 a komerce

IPv6:  Nepřináší pro koncové uživatele nic zajímavého  Nedostatek (IPv4) adres je nepálí  „Internet“ jim bude fungovat stejně  Chtějí jen „trvalou dostupnost služeb“  Nedá se prodat (koncovým uživatelům)  Nasazení  Nasazení se dotkne všech – náklady!  Nutná informační kampaň Přechod na IPv6 marketingový pohled

Technické varianty přechodu na IPv6 Dual Stack (souběžný provoz IPv4 a IPv6) Dual Stack (souběžný provoz IPv4 a IPv6) Nativní - základní podporované řešení (mapování IPv4 adres na IPv6 adresy – Microsoft nepodporuje) Tunelování IPv6 přes IPv4 Tunelování IPv6 přes IPv4  Automatické tunelování 6to4 Teredo (zvolil Microsoft), …  Manuálně konfigurované tunely Proxy a překlad adres, … Proxy a překlad adres, …

An Internet Transition Plan (1/3) - RFC5211 Rok vydání – 2008 I. Přípravná fáze – do 2009/12 Provideři by měli poskytnout IPv6 konektivitu zákazníkům (nativní nebo tunelováním) Organizace by měly mít přes IPv6 dostupné své hlavní servery (Web, , DNS) Organizace mohou distribuovat IPv6 konektivitu ke svým uživatelům 25

An Internet Transition Plan (2/3) II. Přechodová fáze – 2010/ /12 Provideři musí poskytnout IPv6 konektivitu zákazníkům, preferovaně nativní Organizace musí mít své veřejné servery dostupné přes IPv6; IPv6 služby by měly být poskytovány na rutinní bázi Organizace by měly svým uživatelům poskytovat IPv6 a to včetně vnitřních služeb (DNS, DHCP) 26

An Internet Transition Plan (3/3) III. Postpřechodová fáze – 2012/1 a později Provideři musí poskytnout IPv6 konektivitu zákazníkům, měla by být nativní Organizace musí mít své veřejné servery dostupné přes IPv6; IPv6 služby musí být poskytovány na rutinní bázi Organizace by měly svým uživatelům poskytovat IPv6 a to včetně vnitřních služeb (DNS, DHCP) Provideři mohou nabízet IPv4 konektivitu. Organizace mohou dále používat IPv4 27

Systémová podpora IPv6 Linux – 1996 („Alpha Quality“ ) Linux – 1996 („Alpha Quality“ ) Cisco IOS Cisco IOS Juniper JUNOS Juniper JUNOS Všechny běžné operační systémy Všechny běžné operační systémy  BSD Unix – nejlepší implementace  Windows – docela použitelné Windows 2000/XP/2003 – příkazový řádek Windows Vista, 7 – grafické rozhraní, zapnuto (!) 2009 – Google přístupný přes IPv – Google přístupný přes IPv6

4. IPv6 v ČR

Podpora IPv6 v ČR Poměrně vysoký stupeň IPv6 penetrace Poměrně vysoký stupeň IPv6 penetrace Všichni významní komerční provideři deklarují plnou připravenost Všichni významní komerční provideři deklarují plnou připravenost V současnosti individuálně, pro nekoncové uživatele (státní správa) CESNET CESNET Experimentální IPv6 provoz od roku 1999 Rutinní provoz od roku 2004 Viz např. konference EurOpen.CZ, 2011, Pavlov Viz např. konference EurOpen.CZ, 2011, Pavlov

Domény v ČR, mající AAAA záznam v DNS (podporující IPv6 přístup)

Usnesení vlády ČR 727/2009 Vláda: … ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit: Vláda: … ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit: 1. od 30. června 2009 při pravidelné obnově síťových prvků jejich kompatibilitu s internetovým protokolem verze 6 (IPv6), 2. do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu internetovým protokolem verze 4 (IPv4) i internetovým protokolem verze 6 (IPv6) – ad 1) splněno na 100 %, ad 2) na cca 33 % ;-) 2011 – ad 1) splněno na 100 %, ad 2) na cca 33 % ;-)

Usnesení vlády ČR 727/2009 Stav k

5. Některé IPv6 mýty

Některé IPv6 mýty IPv6 je bezpečnější než IPv4 Není, oba používají tentýž protokol IPSec IPv6 lépe podporuje QoS než IPv4 Nikoliv Pouze pole Type Of Service (resp. Differentiated Services Code Point) bylo změněno na Traffic Class (16 b) Přidáno pole Flow Label Ve velkých a zatížených sítích ztrácí smysl

Některé IPv6 mýty Základní výhodou IPv6 je autokonfigurace V IPv4 rovněž existuje protokol DHCP Ostatní IPv6 autokonfigurační netody jsou vhodné spíše pro signalizaci či správu Další výhodou je možnost rychlých změn IPv6 adres. Co je to „rychlá změna“? DHCP potřebám uživatelů bohatě postačuje

Některé IPv6 mýty IPv6 zjednodušuje multihoming Lze realizovat i v IPv4 Podobné a netriviální problémy politický pohled, účtování, atd. Paradoxně IPv4 privátní adresy + NAT usnadňují migraci mezi providery Celá síť je skryta je jedinou veřejnou adresou, kterou lze v případě potřeby snadno zaměnit, aniž by bylo třeba obtěžovat uživatele

6. Závěr

IPv6 – projekt Kame

Shrnutí Protokol IPv6  Nemá (nyní) alternativu  Není kompatibilní s IPv4  Jeho implementace je výrazně složitější nežli IPv4 Netýká se koncových uživatelů Přechod na něj bude dlouhodobá záležitost, spjatá s nutností výměny některých prvků  Kromě delší adresy nepřináší oproti IPv4 žádné fundamentální změny  Vyčerpání zbytků zásob IPv4 adres je otázkou krátké doby