Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
1.Základy IPv6 2.Adresace v IPv6 3.Přechod na IPv6 4.IPv6 v ČR 5.Některé IPv6 mýty 6.Závěr Osnova
1. Základy IPv6
Důvod(y) vzniku IPv6 Malý adresní prostor - zásadní nedostatek jinak skvěle navrženého protokolu IPv4 32 bitů je příliš málo Následné nerovné rozdělení IPv4 adres USA, Japonsko, Evropa x zbytek * Dílčí problémy s novými technologiemi Mobilní služby Kvalita služeb Vysokorychlostní sítě * Pavel Satrapa: IPv6: „... někteří mají nahrabáno...“, a to i v ČR ;-)
Standard IPv RFC 1883: Internet Protocol Version RFC 2460: dosud platný, inovace předchozího přes 100 dalších Extrémní adresní prostor – 128 bitů (3,4 x adres) … a to je vlastně vše Ovšem: Různé typy adres (uni-, multi-, anycast) Dobrá podpora hierachického směrování a agregace Podpora kvality služeb Posílená role autokonfigurace Povinná podpora zabezpečení (autentizace, šifrování), … množství nových řešení, doplňků, … 5
Možnosti zápisu IPv6 adresy Plný tvar 2001:BA98:7654:1230:FECD:BACD:7546:3210 (Zkušený síťař samozřejmě sází zpaměti ) Zkrácené tvary Plný tvar 2001:0718:1001:0000:0000:69ff:0000:e407 Vynechání vedoucích nul 2001:718:1001:0:0:69ff:0:e407 Vynechání skupiny nul (lze použít jen jednou) 2001:718:1001::69ff:0:e407 I toto je platná IPv6 adresa::1 6
Záhlaví IPv4 vs. IPv6 IPv4 IPv6 7 Extension Headers (Next Header) 12 polí, 20 B 8 polí, 40 B
Koncepce rozšiřujících záhlaví (Extension Headers) Každé v samostatném bloku Zřetězení pomocí položky "Next header" Pořadí předepsáno, a to „po vrstvách“ Při dopravě jsou vždy zpracovávána jen relevantní záhlaví V posledním identifikace typu protokolu transportní vrstvy ("Protocol" - IPv4) 8
Příklady zřetězení rozšiřujících záhlaví 9 RH ovšem v RFC 5095 zavržen („source routing“)
Nejen nové adresy Jumbogram - délka paketu až B Jumbogram - délka paketu až B Musí podporovat i 2. vrstva DHCPv6 DHCPv6 ICMPv6 ICMPv6 DNS (AAAA záznam = IPv6 adresa) DNS (AAAA záznam = IPv6 adresa) Směrovací protokoly Směrovací protokoly RIPng OSPFv3 BGP4+ Aplikační programy Programovací jazyky, knihovny, API, atd. 10
Vysoká úroveň autokonfigurace Stateless address autoconfiguration (SLAAC) Rozhraní => ICMPv6 => Router Discovery (link-local router solicitation multicast request) Směrovač odpoví parametry síťové vrstvy Neighbor Discovery Protocol (náhrada ARP) Path MTU Discovery Šifrování, autentizace Detekce duplicitních adres,... Další vlastnosti IPv6
2. Adresace v IPv6
Unicast – adresa jediného rozhraní globální site-local (obdoba IPv4 privátních adres) 2004 zavrženo (RFC 3879) link-local (platnost v segmentu) Multicast - adresace skupiny rozhraní (uzlů) Příklad: FF02::1 - link-local, all nodes Anycast – „vícenásobně přidělená unicastová adresa“, pracuje se s tím, kdo se ozve jako první (odhad: nejméně zatížený uzel). Typy IPv6 adres
Rozsahy IPv6 adres - výběr Adresa/prefixVýznam/užití ::/0 (prefix délky 0)default route ::/128 (samé nuly)neexistující adresa (RFC4291) ::1/128 (1 na konci)loopback (RFC4291) ::0:IP:V4/96IPv4 kompatibilní adresa (RFC4291 zavrhlo) ::ffff:IP:V4/96IPv4 mapovaná IPv6 adresa (RFC4291) 2000::/3globální unicast adresy (RFC3513) 2002::/166to4 globální unicast adresy (RFC3056) 3ffe::/166bone (RFC1897, historické) FC00::/7unique local unicast (RFC4193) FE80::/10link local unicast (RFC4291) FEC0::/10site local unicast (RFC3513 zavrhlo) FFgs::/8multicast (g=flags, s=scope, RFC4291)
Celosvětově jednoznačná identifikace rozhraní IPv6 – globální adresy 001globální směrovací prefixpodsíťID rozhraní 128 bitů 3 bity45 bitů16 bitů64 bitů
Hierarchie přidělování IPv6 (IPv4) adres ICANN/IANA RIR NIR RIR ISP/LIR EU Internet Corporation for Assigned Names and Numbers/Internet Assigned Numbers Authority Regional/National/Local Internet Registry Evropa - RIPE End User RIRs
Hierarchické přidělování IPv6 adres Adresa/prefixUživatel 2001:0718::/32CESNET, z.s.p.o. 2001:0718:0800::/42CESNET, z.s.p.o., oblast Brno 2001:0718:0808::/48 CESNET, z.s.p.o., oblast Brno, Univerzita obrany
Automatické odvozování IPv6 adresy od MAC adresy - EUI-64 Umožňuje někdy nežádoucí identifikaci a sledování kočujícího uživatele Proto „Privacy Extensions“ MAC adresa rozhraní Změna bitu Unique/Local 2001:067C:1220:0003:0212:7FF:FEEB:6B40
Unique local address (ULA) - FC00::/7 FC00::/8 – prefix přidělován „jinak“; použití dosud nedefinováno FD00::/8 – prefix přidělován lokálně Dalších 40 bitů určí generátor prefixů náhodně Dále 16bitový identifikátor podsítě a 64bitový identifikátor rozhraní. Nelze použít v Internetu Obdoba IPv4 privátních adres (RFC 1918) IPv6 – Unikátní lokální adresy
Nejen nové adresy DHCPv6 DHCPv6 ICMPv6 ICMPv6 DNS DNS Směrovací protokoly Směrovací protokoly RIPng OSPFv3 BGP4+ atd., atd.
3. Přechod na IPv6
„ Nikdo nechce být první “ Desítky RFC věnovaných jen tomuto Uzavřený kruh komerčního světa Provideři s IPv6 konektivitou nespěchají, protože o ni není zájem; neexistuje atraktivní obsah dostupný pouze přes IPv6 Tvůrci obsahu nespěchají, protože provideři nenabízejí IPv6 konektivitu Problém „krabiček“ – ADSL a kabelové modemy, tiskové servery, domácí routery, přístupové body, řiditelné přepínače, televizory – starší jen IPv4 Přechod na IPv6 a komerce
IPv6: Nepřináší pro koncové uživatele nic zajímavého Nedostatek (IPv4) adres je nepálí „Internet“ jim bude fungovat stejně Chtějí jen „trvalou dostupnost služeb“ Nedá se prodat (koncovým uživatelům) Nasazení Nasazení se dotkne všech – náklady! Nutná informační kampaň Přechod na IPv6 marketingový pohled
Technické varianty přechodu na IPv6 Dual Stack (souběžný provoz IPv4 a IPv6) Dual Stack (souběžný provoz IPv4 a IPv6) Nativní - základní podporované řešení (mapování IPv4 adres na IPv6 adresy – Microsoft nepodporuje) Tunelování IPv6 přes IPv4 Tunelování IPv6 přes IPv4 Automatické tunelování 6to4 Teredo (zvolil Microsoft), … Manuálně konfigurované tunely Proxy a překlad adres, … Proxy a překlad adres, …
An Internet Transition Plan (1/3) - RFC5211 Rok vydání – 2008 I. Přípravná fáze – do 2009/12 Provideři by měli poskytnout IPv6 konektivitu zákazníkům (nativní nebo tunelováním) Organizace by měly mít přes IPv6 dostupné své hlavní servery (Web, , DNS) Organizace mohou distribuovat IPv6 konektivitu ke svým uživatelům 25
An Internet Transition Plan (2/3) II. Přechodová fáze – 2010/ /12 Provideři musí poskytnout IPv6 konektivitu zákazníkům, preferovaně nativní Organizace musí mít své veřejné servery dostupné přes IPv6; IPv6 služby by měly být poskytovány na rutinní bázi Organizace by měly svým uživatelům poskytovat IPv6 a to včetně vnitřních služeb (DNS, DHCP) 26
An Internet Transition Plan (3/3) III. Postpřechodová fáze – 2012/1 a později Provideři musí poskytnout IPv6 konektivitu zákazníkům, měla by být nativní Organizace musí mít své veřejné servery dostupné přes IPv6; IPv6 služby musí být poskytovány na rutinní bázi Organizace by měly svým uživatelům poskytovat IPv6 a to včetně vnitřních služeb (DNS, DHCP) Provideři mohou nabízet IPv4 konektivitu. Organizace mohou dále používat IPv4 27
Systémová podpora IPv6 Linux – 1996 („Alpha Quality“ ) Linux – 1996 („Alpha Quality“ ) Cisco IOS Cisco IOS Juniper JUNOS Juniper JUNOS Všechny běžné operační systémy Všechny běžné operační systémy BSD Unix – nejlepší implementace Windows – docela použitelné Windows 2000/XP/2003 – příkazový řádek Windows Vista, 7 – grafické rozhraní, zapnuto (!) 2009 – Google přístupný přes IPv – Google přístupný přes IPv6
4. IPv6 v ČR
Podpora IPv6 v ČR Poměrně vysoký stupeň IPv6 penetrace Poměrně vysoký stupeň IPv6 penetrace Všichni významní komerční provideři deklarují plnou připravenost Všichni významní komerční provideři deklarují plnou připravenost V současnosti individuálně, pro nekoncové uživatele (státní správa) CESNET CESNET Experimentální IPv6 provoz od roku 1999 Rutinní provoz od roku 2004 Viz např. konference EurOpen.CZ, 2011, Pavlov Viz např. konference EurOpen.CZ, 2011, Pavlov
Domény v ČR, mající AAAA záznam v DNS (podporující IPv6 přístup)
Usnesení vlády ČR 727/2009 Vláda: … ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit: Vláda: … ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit: 1. od 30. června 2009 při pravidelné obnově síťových prvků jejich kompatibilitu s internetovým protokolem verze 6 (IPv6), 2. do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu internetovým protokolem verze 4 (IPv4) i internetovým protokolem verze 6 (IPv6) – ad 1) splněno na 100 %, ad 2) na cca 33 % ;-) 2011 – ad 1) splněno na 100 %, ad 2) na cca 33 % ;-)
Usnesení vlády ČR 727/2009 Stav k
5. Některé IPv6 mýty
Některé IPv6 mýty IPv6 je bezpečnější než IPv4 Není, oba používají tentýž protokol IPSec IPv6 lépe podporuje QoS než IPv4 Nikoliv Pouze pole Type Of Service (resp. Differentiated Services Code Point) bylo změněno na Traffic Class (16 b) Přidáno pole Flow Label Ve velkých a zatížených sítích ztrácí smysl
Některé IPv6 mýty Základní výhodou IPv6 je autokonfigurace V IPv4 rovněž existuje protokol DHCP Ostatní IPv6 autokonfigurační netody jsou vhodné spíše pro signalizaci či správu Další výhodou je možnost rychlých změn IPv6 adres. Co je to „rychlá změna“? DHCP potřebám uživatelů bohatě postačuje
Některé IPv6 mýty IPv6 zjednodušuje multihoming Lze realizovat i v IPv4 Podobné a netriviální problémy politický pohled, účtování, atd. Paradoxně IPv4 privátní adresy + NAT usnadňují migraci mezi providery Celá síť je skryta je jedinou veřejnou adresou, kterou lze v případě potřeby snadno zaměnit, aniž by bylo třeba obtěžovat uživatele
6. Závěr
IPv6 – projekt Kame
Shrnutí Protokol IPv6 Nemá (nyní) alternativu Není kompatibilní s IPv4 Jeho implementace je výrazně složitější nežli IPv4 Netýká se koncových uživatelů Přechod na něj bude dlouhodobá záležitost, spjatá s nutností výměny některých prvků Kromě delší adresy nepřináší oproti IPv4 žádné fundamentální změny Vyčerpání zbytků zásob IPv4 adres je otázkou krátké doby