Implementação do IPv6 na infraestrutura e nos serviços de rede: Mecanismos de Transição e Segurança. Paulo Baptista paulo.batista@rumos.

Transcrição

1 Tech Sessions

2 Implementação do IPv6 na infraestrutura e nos serviços de rede: Mecanismos de Transição e Segurança Paulo Baptista paulo.batista@rumos.pt

3 Agenda Características do IPv6 Mobilidade IPv6 Mecanismos de Transição Soluções de IPv6 Segurança no IPv6 Aplicações de Monitorização IPv6 Dados sobre Utilização do IPv6 Prefixos IPv6 IPv6 Survey Conclusões

4 Audiência vs IPv6 OPERADOR? EMPRESARIAL? PARTICULAR (RESIDENCIAL)? Quem é que já realizou uma implementação de IPv6 ou desenvolveu um planeamento de implementação de IPv6 na infra-estrutura de rede de produção?

5 Características do IPv6 Novo endereçamento IP (128 bits) Novos mecanismos (RD, RA, ND, ICMPv6, ) Novo cabeçalho IP Flow Label (RFC3697) QoS Extension Headers» RH» IPsec» MIPv6 (RFC 3775/3776)

6 Cabeçalho IPv6

7 Mobilidade IPv6 (MIPv6)

8 Características do IPv6 Principais drivers? Escalabilidade (exaustão de endereçamento) Performance (routing e IPv6 end-to-end) Mobilidade (MIPv6) IPv6 SO (MSFT, Mac, RH) Conteúdos e Aplicações (Google & Facebook) Evolução das Infraestruturas (SmartGrid, 4GGG/LTE, DOCSIS 3.0)

9 Protocolos de Routing IPv6? RIPng Distance Vector (max 15 hops) UDP 521 derivado do RIPv2 com os mesmos timers FF02::9 (all-rip-routers) activado na interface (no network command) load-balancing (4 por defeito e 64 no max)

10 Protocolos de Routing IPv6? OSPFv3 mesmas características do OSPFv2 (IPv4)» Link State, ABR, ASBR, SPF, Stub, NSSA, E1, E2, Sumarização Router ID (32 bits) não se baseia no endereço IPv4 activado por interface (no network) adjacências e next-hop são link-local FF02::5 e FF02::6 (DR) Autenticação (IPsec AH) e encriptação (IPsec ESP)

11 Protocolos de Routing IPv6? convergência mais rápida (Fast Hello Packets) Graceful Restart EIGRPv6 mesmas características do EIGRPv4» Distance Vector Avançado, DUAL, ND, updates incrementais, métrica, tabelas» FF02::A activado por interface (no network) fazer no shutdown ao processo

12 Protocolos de Routing IPv6? ISISv6 IPv6 adjacency check instância única SPF vs instâncias diferentes SPF BGP-MP TCP sobre IPv4 (single session) ou TCP nativamente sobre IPv6 (multiple sessions) address-family unicast ipv6 address-family multicast ipv6

13 Mecanismos de Transição 1ª Geração : Pioneiros IPv6 6BONE Dual-Stack Túneis IPv6 sobre IPv4 Manual 6in4 Automático 6to4 Outros (TEREDO, ISATAP, TUNNEL BROKERS) NAT e Endereçamento Privado (rfc1918) NAT44

14 Mecanismos de Transição 2ª Geração : 1ª fase de transição dos ISP Com Backbone MPLS 6PE 6VPE Sem Backbone MPLS 6RD Carrier Grade NAT (Large Scale NAT) NAT44, NAT444, NAT464 DS-Lite (IPv4 in IPV6 + CGN)

15 Mecanismos de Transição 2ª Geração : 1ª fase de transição dos ISP NAT-PT (descontinuado pouco escalável) NAT64/DNS64 3ª Geração : 2ª fase de transição dos ISP (stateless) Arquitectura A+P e Stateless NAT Experimental (rfc6346)

16 Mecanismos de Transição DS-Lite RD Bone 6VPE 6PE Standardização [1] Fred Bovy Dual- Stack 6in4 6to4 NAT-PT 6PE 6VPE 6RD DS-Lite NAT64 NAT444 divi-pd A+P

17 Soluções IPv6 6PE (RFC 4798) 6VPE (RFC 4659) 6RD (RFC 5969)

18 Soluções IPv6 6PE

19 Soluções IPv6 6VPE

20 Soluções IPv6 6RD (RFC 5969)

21 Soluções IPv6 6RD

22 Soluções IPv6 NAT44 (RFC 1918) IPv6 to IPv4 NAT-PT (NAT64 + NAT46 + DNS ALG) NAT64 & DNS64 CGN (Carrier Grade NAT) ou LSN (Large Scale NAT) NAT444 NAT464 DS-Lite

23 Soluções IPv6 NAT64 (DNS64)

24 Soluções IPv6 DS-Lite

25 Segurança no IPv6 Aplicação IPv4 IPv6 IPv4 Transporte Internet Ligação de Dados Física IPv6

26 Ameaça: Scanning Cenário [4] : Subnet com 2^64 IP ( IPs 18 milhões de biliões de IPs) hosts scans por segundo (400Mbps) [4] Darrin M. (Cisco Systems) 28 ANOS!!! (para encontrar o primeiro host) Métodos Ping Sweeps, Port Scan, Application and Vulnerability Scan Ferramenta: Nmap

27 Ameaça: Scanning Multicasting FF05::2 (all-routers) FF05::1:3 (all-dhcp-servers) FF05::FB (mdnsv6) FF02::1 (all-nodes) FF02::02 (all-routers)

28 Mitigação: Scanning Privacy Extensions Microsoft Windows netsh interface ipv6 set global randomizeidentifiers=enabled netsh interface ipv6 set global randomizeidentifiers=enabled store=persistent netsh interface ipv6 set privacy state=enabled store=persistent Utilizar apenas nas comunicações externas (endereçamento interno perde capacidade de tracking e troubleshooting)

29 Ameaça: Vírus e Worms Melissa (mail - Outlook) Code Red & Slammer identificação de endereços ipv6 (possível mas demorado) logs de servidores tabelas de routing cache DNS multicasting identificadores das interfaces (MAC) Bellovin S. worm propagation strategies in an IPv6 Intertnet, 2006

30 Segurança no IPv6: L2 Spoofing (NDP) Ameaças: Mitigação: nenhuma autenticação RA não autorizado (rogue) Ferramentas: Parasit6, Fakerouter6 DAI v6 (Dynamic Arp Inspection) SEcureND (IOS 12.4(24)T AdvEnterprise) Private Vlans 802.1X Port Security

31 Segurança no IPv6: L3 Spoofing urpf (unicast Reverse Path Forwarding) Access Internet sem rota para a rede do endereço IPv6 Spoofed IPv6

32 Ameaça: Routing Header (EH) rtr-a rtr-b A -> B -> A -> B -> A -> B

33 Mitigação: Routing Header (EH) rfc5095 RH0 foi descontinuado Bloquear RH0 nos dispositivos de perímetro no ipv6 source-route default no IOS 15.0 Windows, Linux, MacOS: por defeito está desactivado

34 ICMPv4 vs ICMv6 ICMPv4 ICMPv6 Conetividade X X Notificações Erro X X Fragmentação (PMTUD) X X Atribuição Endereços (NA) X Resolução Endereços (ND) X Descoberta Routers X Multicasting X MIP6 X

35 Ameaça: Mecanismos de Transição Router SATAP IPv6 IPv4 IPv4 IPv6 6to4 IPv4 IPv6 MPLS v4 IPv6 6PE / 6VPE CE PEv6 PEv6 CE

36 Segurança no IPv6: Ataques? Semelhanças com IPv4 Sniffing MITM (Man-In-The-Middle) Flooding Aplicações Dispositivos Não Autorizados (Rogue)

37 Ferramentas Hacking IPv6 EXISTEM? Sniffers Snort Wireshark TCPDump Spoofing SendIP Scapy6 Scanners IPv6 Security Scanner Nmap Netcat DDoS 6to4ddos 6tunneldos

38 Vulnerabilidades da Stack IPv6 CVE (Common Vulnerabilities and Exposures) Fonte:

39 Mitigação IPv6: Perímetro Cisco IPv6 ACL (Access Control List) regra da Negação Implícita alterada Firewall Cisco ASA (v7.0) Juniper SSG (ScreenOS 5.4) Checkpoint (FW1 NGX R65) ip6tables

40 Recomendações (Best Practices) IPv6 Operadores Dual Stack 6PE/6VPE (MPLSv4) MPLSv6 (draft-manral-mpls-ldp-ipv6.txt) Empresarial Túneis Manuais GRE, IPsec Residencial Eric Vyncke draft (draft-vyncke-advanced-ipv6-security-00.txt) RFC 6092 (Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service)

41 Protecção da Stack IPv6 Implementar Privacy Extensions Filtrar endereços internos (Site Scope) Bloquear Extensions Headers (RH0 e RH2) Filtrar ICMPv6 Type 2 (packet too big) Type 133/134 (RS/RA) Type 135/136 (NS/NA) Darrin M. IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation (v1.0), Cisco Systems, 2004

42 Protecção da Stack IPv6 Utilizar endereços IPv6 menos óbvios nos dispositivos de rede (gateway, dns, ) ::10 ou ::20 (não) ::DEF1 (sim) Limitar Spoofing com urpf Bloquear pacotes com origem Multicast Utilizar IPsec (routing e dados)

43 Protecção da Stack IPv6 Firewalls com suporte IPv6 IDS com suporte IPv6 Ferramentas Monitorização com suporte IPv6 Implementar DHCPv6 (ou EUI-64) Implementar SEcure ND (rfc3975) Implementar Dual Stack (aplicar política de segurança IPv4 no IPv6)

44 Protecção da Stack IPv6 Evitar 6to4 (preferência Dual Stack) Bloquear Teredo nos hosts (UDP 3544) Utilizar túneis manuais (filtro nos peers)» RFC 6324 (Routing Loop Attack IPv6 Automatic Tunnels) Bloquear fragmentação (deny ipv6 any any fragments) HIPS com suporte IPv6 (Cisco Security Agent v6.0, Checkpoint IPS-1-Sentivist, Stonesoft StoneGate IPS) AV com suporte IPv6 (Symantec, Kaspersky, BitDefender)

45 Aplicações de Monitorização IPv6 [2] IPv6 to Standard

46 Dados sobre utilização do IPv6 Google (IPv6 Statistics) [3] Google Statistics

47 Dados sobre utilização do IPv6 BGP Table Statistics (AS6447) [4] BGP Table Statistics

48 Dados sobre utilização do IPv6 BGP Table Statistics (AS6447) [4] BGP Table Statistics

49 Dados sobre utilização do IPv6 BGP Table Statistics (AS6447) [4] BGP Table Statistics

50 Prefixos IPv6 - RIPE Portugal (PT) - IPv6 Stats (in /32 blocks) - Sorted by number of addresses Data from RIPE NCC website as of: Sun May Total number of addresses: 27

51 Prefixos IPv6 - RIPE Portugal (PT) - IP address allocations Data from RIPE NCC website as of: Sun May pt.cabotvm ZON TV Cabo Madeirense a00:d180::/32 pt.cabovisao Cabovisao, televisao por cabovisao, sa a02:26c8::/32 pt.cgest Cgest S.A a02:27e0::/32 pt.cprm PT Comunicacoes S A :15d8::/32 pt.dotsi DotSi - Servicos de Internet a00:1c60::/32 pt.edinet ONITELECOM - INFOCOMUNICACOES, S.A :0a40::/32

52 Prefixos IPv6 - RIPE Portugal (PT) - IP address allocations Data from RIPE NCC website as of: Sun May pt.esoterica Claranet Portugal Telecomunicacoes S.A :4cc0::/32 pt.inquam MOBIZAPP - COMUNICACOES ELECTRONICAS S.A a02:4e80::/32 pt.ipglobal NOVIS Telecom, S.A :1588::/32 pt.jazztel AR TELECOM - Acessos e Redes de Telecomunicacoes, S.A a00:fa00::/32 pt.nfsi NFSi Telecom, Lda :0b18::/32 pt.ptprime PT Comunicacoes S.A a02:0818::/32

53 Prefixos IPv6 - RIPE Portugal (PT) - IP address allocations Data from RIPE NCC website as of: Sun May pt.rccn FCCN (Fundacao para a Computacao Cientifica Nacional) :0690::/ :0690:2000::/ :0690:4000::/ :0690:8000::/33 pt.refertelecom REFER TELECOM, SERVICOS DE TELECOMUNICACOES S.A a02:08f0::/32 pt.telecel Vodafone Telecel, Comunicacoes Pessoais, SA :0818::/32 pt.telepac PT Comunicacoes S.A :08a0::/32 pt.tmn TMN - Telecomunicacoes Moveis Nacionais SA a02:0870::/32

54 Prefixos IPv6 - RIPE Portugal (PT) - IP address allocations Data from RIPE NCC website as of: Sun May pt.tvcabo TVCABO Portugal, S.A a01:0008::/ a01:0010::/32 pt.uunet Verizon Portugal- Sociedade Unipessoal Lda a02:2a60::/32

55 IPv6 Survey RFC6036 ISP IPv6 Scenarios Universo de 31 ISP (65% Europeus) Serviços» 80% transit e origin-only» 29% multicasting» 80% multihoming Tecnologias de Acesso» xdsl, DOCSIS, FTTP, Frame-Relay, TDM/SDH, ATM, MetroEthernet/MPLS, UMTS, LTE, WiMAX,

56 IPv6 Survey RFC6036 ISP IPv6 Scenarios Necessidade de IPv6?» previsão de 10% dos clientes entre 2010 e 2017» previsão de 50% dos clientes entre 2011 e 2020 Planeamento para IPv6?» 42% dos ISP já oferecem IPv6 mas só 1% de clientes» 48% dos ISP tem já o planeamento da implementação» previsão do tráfego IPv6 atingir os 50% é 2015

57 IPv6 Survey RFC6036 ISP IPv6 Scenarios Tecnologias IPv6?» MIPv6: 19% SIM e 71% NÃO» Software Accounting & Billing: 27% preparados» Dual Stack: 94% 6to4 Relay: 39% Teredo Server: 16%» Dispositivos dedicados IPv6: 77% NÃO» IPv6 como oportunidade para restruturação: 77% NÃO» Prefix Delegation: manual, DHCPv6, SLAAC, RADIUS, PPPoE» Endereços PI: 30% clientes» DNS AAAA: 84% com suporte

58 IPv6 Survey RFC6036 ISP IPv6 Scenarios Escolhas?» 1 com 6PE e DS-Lite» 1 com 6VPE» Restantes com Dual Stack Produtos sem suporte IPv6» CPE, DSLAMs, Routers, Load Balancers, SIP appliances, VPN boxes, Firewalls, Management Systems, IDS/HIPS, Billing Systems

59 IPv6 Survey RFC6036 ISP IPv6 Scenarios Limitações das implementações da Stack IPv6» Suporte do RA na LAN (ADSL CPE)» DNS server option no RA (RFC5006)» Firewalls não devem utilizar regras distintas IPv4 e IPv6» Algumas falhas na segurança das plataformas de gestão» Algumas falhas no processamento dos RH» Suporte VRRP» 50% das Firewalls e IDS ainda não suportam IPv6» Problemas na implementação do BGP com uma sessão TCP

60 Conclusões IPv6 deployment is technically not hard. Just do it, bit by bit. RFC 6036

61 Conclusões IPv6 makes some things better, other things worse, and most things are just different, but no more or less secure. Darrin Miller (Cisco Systems)

62 Referências [1] Fred Bovy Presentations, Transition to IPv6 and Security, [2] IPv6 to Standard, IETF IPv6 Working Group, [3] Google Statistics, IPv6 Adoption, [4] Darrin M. IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation (v1.0), Cisco Systems, 2004 [5] [6] RIR Delegations & RIPE NCC Allocations, [7] ARIN Global IPv6 Survey Results,

63 Perguntas & Respostas

64 Obrigado!

65