Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém.

ZveřejnilRobert Tichý

Podobné prezentace

Prezentace na téma: "Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém."— Transkript prezentace:

1 Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

2 1.Základy IPv6 2.Adresace v IPv6 3.Přechod na IPv6 4.IPv6 v ČR 5.Některé IPv6 mýty 6.Závěr Osnova

3 1. Základy IPv6

4 Důvod(y) vzniku IPv6  Malý adresní prostor - zásadní nedostatek jinak skvěle navrženého protokolu IPv4  32 bitů je příliš málo   Následné nerovné rozdělení IPv4 adres  USA, Japonsko, Evropa x zbytek *  Dílčí problémy s novými technologiemi  Mobilní služby  Kvalita služeb  Vysokorychlostní sítě * Pavel Satrapa: IPv6: „... někteří mají nahrabáno...“, a to i v ČR ;-)

5 Standard IPv6 1995 - RFC 1883: Internet Protocol Version 6 1998 - RFC 2460: dosud platný, inovace předchozího přes 100 dalších  Extrémní adresní prostor – 128 bitů (3,4 x 10 38 adres)  … a to je vlastně vše Ovšem:  Různé typy adres (uni-, multi-, anycast)  Dobrá podpora hierachického směrování a agregace  Podpora kvality služeb  Posílená role autokonfigurace  Povinná podpora zabezpečení (autentizace, šifrování), … množství nových řešení, doplňků, … 5

6 Možnosti zápisu IPv6 adresy Plný tvar 2001:BA98:7654:1230:FECD:BACD:7546:3210 (Zkušený síťař samozřejmě sází zpaměti ) Zkrácené tvary Plný tvar 2001:0718:1001:0000:0000:69ff:0000:e407 Vynechání vedoucích nul 2001:718:1001:0:0:69ff:0:e407 Vynechání skupiny nul (lze použít jen jednou) 2001:718:1001::69ff:0:e407 I toto je platná IPv6 adresa::1 6

7 Záhlaví IPv4 vs. IPv6 IPv4 IPv6 7 Extension Headers (Next Header) 12 polí, 20 B 8 polí, 40 B

8 Koncepce rozšiřujících záhlaví (Extension Headers) Každé v samostatném bloku Zřetězení pomocí položky "Next header" Pořadí předepsáno, a to „po vrstvách“ Při dopravě jsou vždy zpracovávána jen relevantní záhlaví V posledním identifikace typu protokolu transportní vrstvy ("Protocol" - IPv4) 8

9 Příklady zřetězení rozšiřujících záhlaví 9 RH ovšem v RFC 5095 zavržen („source routing“)

10 Nejen nové adresy Jumbogram - délka paketu až 2 32 -1 B Jumbogram - délka paketu až 2 32 -1 B  Musí podporovat i 2. vrstva DHCPv6 DHCPv6 ICMPv6 ICMPv6 DNS (AAAA záznam = IPv6 adresa) DNS (AAAA záznam = IPv6 adresa) Směrovací protokoly Směrovací protokoly  RIPng  OSPFv3  BGP4+ Aplikační programy Programovací jazyky, knihovny, API, atd. 10

11  Vysoká úroveň autokonfigurace  Stateless address autoconfiguration (SLAAC)  Rozhraní => ICMPv6 => Router Discovery (link-local router solicitation multicast request)  Směrovač odpoví parametry síťové vrstvy  Neighbor Discovery Protocol (náhrada ARP)  Path MTU Discovery  Šifrování, autentizace  Detekce duplicitních adres,... Další vlastnosti IPv6

12 2. Adresace v IPv6

13  Unicast – adresa jediného rozhraní  globální  site-local (obdoba IPv4 privátních adres)  2004 zavrženo (RFC 3879)  link-local (platnost v segmentu)  Multicast - adresace skupiny rozhraní (uzlů)  Příklad: FF02::1 - link-local, all nodes  Anycast – „vícenásobně přidělená unicastová adresa“, pracuje se s tím, kdo se ozve jako první (odhad: nejméně zatížený uzel). Typy IPv6 adres

14 Rozsahy IPv6 adres - výběr Adresa/prefixVýznam/užití ::/0 (prefix délky 0)default route ::/128 (samé nuly)neexistující adresa (RFC4291) ::1/128 (1 na konci)loopback (RFC4291) ::0:IP:V4/96IPv4 kompatibilní adresa (RFC4291 zavrhlo) ::ffff:IP:V4/96IPv4 mapovaná IPv6 adresa (RFC4291) 2000::/3globální unicast adresy (RFC3513) 2002::/166to4 globální unicast adresy (RFC3056) 3ffe::/166bone (RFC1897, historické) FC00::/7unique local unicast (RFC4193) FE80::/10link local unicast (RFC4291) FEC0::/10site local unicast (RFC3513 zavrhlo) FFgs::/8multicast (g=flags, s=scope, RFC4291)

15  Celosvětově jednoznačná identifikace rozhraní IPv6 – globální adresy 001globální směrovací prefixpodsíťID rozhraní 128 bitů 3 bity45 bitů16 bitů64 bitů

16 Hierarchie přidělování IPv6 (IPv4) adres ICANN/IANA RIR NIR RIR ISP/LIR EU  Internet Corporation for Assigned Names and Numbers/Internet Assigned Numbers Authority  Regional/National/Local Internet Registry  Evropa - RIPE  End User RIRs

17 Hierarchické přidělování IPv6 adres Adresa/prefixUživatel 2001:0718::/32CESNET, z.s.p.o. 2001:0718:0800::/42CESNET, z.s.p.o., oblast Brno 2001:0718:0808::/48 CESNET, z.s.p.o., oblast Brno, Univerzita obrany

18 Automatické odvozování IPv6 adresy od MAC adresy - EUI-64  Umožňuje někdy nežádoucí identifikaci a sledování kočujícího uživatele  Proto „Privacy Extensions“ MAC adresa rozhraní Změna bitu Unique/Local 2001:067C:1220:0003:0212:7FF:FEEB:6B40

19  Unique local address (ULA) - FC00::/7  FC00::/8 – prefix přidělován „jinak“; použití dosud nedefinováno  FD00::/8 – prefix přidělován lokálně  Dalších 40 bitů určí generátor prefixů náhodně  Dále 16bitový identifikátor podsítě a 64bitový identifikátor rozhraní.  Nelze použít v Internetu  Obdoba IPv4 privátních adres (RFC 1918) IPv6 – Unikátní lokální adresy

20 Nejen nové adresy DHCPv6 DHCPv6 ICMPv6 ICMPv6 DNS DNS Směrovací protokoly Směrovací protokoly  RIPng  OSPFv3  BGP4+  atd., atd.

21 3. Přechod na IPv6

22 „ Nikdo nechce být první “  Desítky RFC věnovaných jen tomuto  Uzavřený kruh komerčního světa  Provideři s IPv6 konektivitou nespěchají, protože o ni není zájem; neexistuje atraktivní obsah dostupný pouze přes IPv6  Tvůrci obsahu nespěchají, protože provideři nenabízejí IPv6 konektivitu  Problém „krabiček“ – ADSL a kabelové modemy, tiskové servery, domácí routery, přístupové body, řiditelné přepínače, televizory – starší jen IPv4 Přechod na IPv6 a komerce

23 IPv6:  Nepřináší pro koncové uživatele nic zajímavého  Nedostatek (IPv4) adres je nepálí  „Internet“ jim bude fungovat stejně  Chtějí jen „trvalou dostupnost služeb“  Nedá se prodat (koncovým uživatelům)  Nasazení  Nasazení se dotkne všech – náklady!  Nutná informační kampaň Přechod na IPv6 marketingový pohled

24 Technické varianty přechodu na IPv6 Dual Stack (souběžný provoz IPv4 a IPv6) Dual Stack (souběžný provoz IPv4 a IPv6) Nativní - základní podporované řešení (mapování IPv4 adres na IPv6 adresy – Microsoft nepodporuje) Tunelování IPv6 přes IPv4 Tunelování IPv6 přes IPv4  Automatické tunelování 6to4 Teredo (zvolil Microsoft), …  Manuálně konfigurované tunely Proxy a překlad adres, … Proxy a překlad adres, …

25 An Internet Transition Plan (1/3) - RFC5211 Rok vydání – 2008 I. Přípravná fáze – do 2009/12 Provideři by měli poskytnout IPv6 konektivitu zákazníkům (nativní nebo tunelováním) Organizace by měly mít přes IPv6 dostupné své hlavní servery (Web, Email, DNS) Organizace mohou distribuovat IPv6 konektivitu ke svým uživatelům 25

26 An Internet Transition Plan (2/3) II. Přechodová fáze – 2010/1 - 2011/12 Provideři musí poskytnout IPv6 konektivitu zákazníkům, preferovaně nativní Organizace musí mít své veřejné servery dostupné přes IPv6; IPv6 služby by měly být poskytovány na rutinní bázi Organizace by měly svým uživatelům poskytovat IPv6 a to včetně vnitřních služeb (DNS, DHCP) 26

27 An Internet Transition Plan (3/3) III. Postpřechodová fáze – 2012/1 a později Provideři musí poskytnout IPv6 konektivitu zákazníkům, měla by být nativní Organizace musí mít své veřejné servery dostupné přes IPv6; IPv6 služby musí být poskytovány na rutinní bázi Organizace by měly svým uživatelům poskytovat IPv6 a to včetně vnitřních služeb (DNS, DHCP) Provideři mohou nabízet IPv4 konektivitu. Organizace mohou dále používat IPv4 27

28 Systémová podpora IPv6 Linux – 1996 („Alpha Quality“ ) Linux – 1996 („Alpha Quality“ ) Cisco IOS Cisco IOS Juniper JUNOS Juniper JUNOS Všechny běžné operační systémy Všechny běžné operační systémy  BSD Unix – nejlepší implementace  Windows – docela použitelné Windows 2000/XP/2003 – příkazový řádek Windows Vista, 7 – grafické rozhraní, zapnuto (!) 2009 – Google přístupný přes IPv6 2009 – Google přístupný přes IPv6

29 4. IPv6 v ČR

30 Podpora IPv6 v ČR Poměrně vysoký stupeň IPv6 penetrace Poměrně vysoký stupeň IPv6 penetrace Všichni významní komerční provideři deklarují plnou připravenost Všichni významní komerční provideři deklarují plnou připravenost V současnosti individuálně, pro nekoncové uživatele (státní správa) CESNET CESNET Experimentální IPv6 provoz od roku 1999 Rutinní provoz od roku 2004 Viz např. konference EurOpen.CZ, 2011, Pavlov Viz např. konference EurOpen.CZ, 2011, Pavlov

31 Domény v ČR, mající AAAA záznam v DNS (podporující IPv6 přístup)

32 Usnesení vlády ČR 727/2009 Vláda: … ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit: Vláda: … ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit: 1. od 30. června 2009 při pravidelné obnově síťových prvků jejich kompatibilitu s internetovým protokolem verze 6 (IPv6), 2. do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu internetovým protokolem verze 4 (IPv4) i internetovým protokolem verze 6 (IPv6). 2011 – ad 1) splněno na 100 %, ad 2) na cca 33 % ;-) 2011 – ad 1) splněno na 100 %, ad 2) na cca 33 % ;-)

33 Usnesení vlády ČR 727/2009 Stav k 15. 1. 2011

34 5. Některé IPv6 mýty

35 Některé IPv6 mýty IPv6 je bezpečnější než IPv4 Není, oba používají tentýž protokol IPSec IPv6 lépe podporuje QoS než IPv4 Nikoliv Pouze pole Type Of Service (resp. Differentiated Services Code Point) bylo změněno na Traffic Class (16 b) Přidáno pole Flow Label Ve velkých a zatížených sítích ztrácí smysl

36 Některé IPv6 mýty Základní výhodou IPv6 je autokonfigurace V IPv4 rovněž existuje protokol DHCP Ostatní IPv6 autokonfigurační netody jsou vhodné spíše pro signalizaci či správu Další výhodou je možnost rychlých změn IPv6 adres. Co je to „rychlá změna“? DHCP potřebám uživatelů bohatě postačuje

37 Některé IPv6 mýty IPv6 zjednodušuje multihoming Lze realizovat i v IPv4 Podobné a netriviální problémy politický pohled, účtování, atd. Paradoxně IPv4 privátní adresy + NAT usnadňují migraci mezi providery Celá síť je skryta je jedinou veřejnou adresou, kterou lze v případě potřeby snadno zaměnit, aniž by bylo třeba obtěžovat uživatele

38 6. Závěr

39 IPv6 – projekt Kame

40 http://[2001:0200:0DFF:FFF1:0216:3EFF:FEB1:44D7]/

41 Shrnutí Protokol IPv6  Nemá (nyní) alternativu  Není kompatibilní s IPv4  Jeho implementace je výrazně složitější nežli IPv4 Netýká se koncových uživatelů Přechod na něj bude dlouhodobá záležitost, spjatá s nutností výměny některých prvků  Kromě delší adresy nepřináší oproti IPv4 žádné fundamentální změny  Vyčerpání zbytků zásob IPv4 adres je otázkou krátké doby

Stáhnout ppt "Bezpečnostní technologie I Protokol IPv6 Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém."

Podobné prezentace

D03 - ORiNOCO RG-based Wireless LANs - Technology

D03 - ORiNOCO RG-based Wireless LANs - Technology
14SIAP – SÍTĚ A PROTOKOLY Hodina 5..

14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-3-20.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.

Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Adresářová služba Active directory

Adresářová služba Active directory
Štěpán Šípal. Témata hodiny Vlastnosti IPv6 adresace Nový zápis adres uzlů a sítí Hierarchické přidělování adresního prostoru Nové technologie pod IPv6.

Štěpán Šípal. Témata hodiny Vlastnosti IPv6 adresace Nový zápis adres uzlů a sítí Hierarchické přidělování adresního prostoru Nové technologie pod IPv6.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.

Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.

Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
IPv6 Josef Horálek.

IPv6 Josef Horálek.
Štěpán Šípal. Téma hodiny Přidělování IP adres dříve Organizace zajišťující přidělování IP DNS záznamy a registrace domény Opakování.

Štěpán Šípal. Téma hodiny Přidělování IP adres dříve Organizace zajišťující přidělování IP DNS záznamy a registrace domény Opakování.
Internet.

Internet.
NeoSync on-line zálohování pro každého / pro každou firmu www.neoSync.eu.

NeoSync on-line zálohování pro každého / pro každou firmu
Adresování IP adresy –síťová vrstva –4B – 32 bitů –0.0.0.0 – 255.255.255.255 –4 294 967 296 adres.

Adresování IP adresy –síťová vrstva –4B – 32 bitů – – – adres.
Dynamická konfigurace IPv6 klientů Barbora Chumlenová Projekt AVT LS 2014.

Dynamická konfigurace IPv6 klientů Barbora Chumlenová Projekt AVT LS 2014.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.

Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.

BIS Firewall Roman Danel VŠB – TU Ostrava.
CZ.1.07/1.4.00/21.2791 VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.

CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
IBM Global Services ČR © 2006 IBM Corporation April, 2006 E-stát a EU Pavel Hrdlička.

IBM Global Services ČR © 2006 IBM Corporation April, 2006 E-stát a EU Pavel Hrdlička.
Asynchronous Transfer Mode Projektování distribuovaných systémů Lekce 1 Ing. Jiří ledvina, CSc.

Asynchronous Transfer Mode Projektování distribuovaných systémů Lekce 1 Ing. Jiří ledvina, CSc.
Tak nám došly … aneb vybrané hrůzostrašné scénáře ve světě bez IP adres

Tak nám došly … aneb vybrané hrůzostrašné scénáře ve světě bez IP adres

Podobné prezentace

Reklamy Google