IPv6 Julian Agliardi, Marc Antni, Rnald Lpes Universidade d Vale d Ri ds Sins (Unisins) Cep 93.022-000 - Sã Lepld - RS - Brasil jb-agliardi@htmail.cm, marcab@htmail.cm, rnestei@htmail.cm Abstract Resum Este artig tem a finalidade de apresentar nv prtcl da internet, IPv6, mstrarems as principais características que cmpõem esse prtcl e a crrelaçã cm seu antecessr IPv4. 1.Intrduçã Devid a avanç tecnlógic, tems n atual cenári, um mund nde praticamente cada pessa d planeta pssui um smartphne, nde a mairia pssui um cmputadr u tablet, iss é um grande avanç. O prém é s prblemas relacinads a fat de ter um limite de endereçs IPv4, prque quand fi implantad esse prtcl, nã se esperava que a internet crescesse tant em tã puc temp, a estimativa nã era iss, além de ter uma distribuiçã de endereçs ttalmente incerente. Quand bservaram que a frente acnteceria um esgtament de endereçs, tentaram utras abrdagens para reslver prblema, até que enfim encntraram uma sluçã, um nv prtcl (IPv6). Esse nv prtcl pssui varias características diferente, principalmente cm relaçã a endereçament. Mas cm funcina esse prtcl? é segur? Cm é a implantaçã? 2.Endereçament O IPv6 fi desenvlvid cm a finalidade de slucinar definitivamente prblema da escassez de endereçs dispníveis na internet, permitind seu cresciment pr mei da inserçã de nvs usuáris. O IPv6 pssui 128 bits, que permite endereçament de 340.282.366.920.938.463.374.607.431.768.211.456 (340 undecilhões) de nós públics na internet. Esse numer equivale a 79 trilhões de trilhões de vezes a quantidade atual de 4 bilhões e 294 milhões e 967 mil e 296 endereçs IPv4. O IPv6 é escrit em frmat hexadecimal (base 16), dividid em 8 grups de 16 bits cada um separads pel caractere ":". ex: 2001:0db8:café:0000:8e70:5aff:feee:10ac. N IPv4 a ntaçã utilizada era pnt-decimal, já n IPv6 a ntaçã apresentada é de it grups de quatr dígits hexadecimais., 2002:0db8:0000:0000:0000:0000:1528:67ab é um endereç IPv6 válid.
Se um grup de quatr dígits é cmpst pr quatr zers, estes pdem ser mitids. Zers n iníci de um grup pdem também ser mitids. Desta frma, endereç d exempl acima pde ser abreviad para 2001:db8::1428:57ab. As redes IPv6 sã escritas utilizand a ntaçã CIDR (Class Inter-Dmain Ruting), que aumenta a flexibilidade quand divide faixas de endereçs de IP em redes separadas. Uma subrede é dentada pel primeir endereç na rede e tamanh em bits d prefix (em decimal), separads pr uma barra. Pr exempl, 2001:0db8:1234::/48 representa uma rede cm endereçs de 2001:0db8:1234:0000:0000:0000:0000:0000 até 2001:0db8:1234:FFFF:FFFF:FFFF:FFFF:FFFF. Existem ainda uma série de endereçs cm us especial, cm ::1/28, endereç de lpback, semelhante a 127.0.0.1 n IPv4. 2.1.Tips de Endereçament Endereç Unicast: Sã respnsáveis pr identificar um hst de maneira unívca pr mei de uma interface especifica, de md que envi de um pacte para um endereç unicast será entregue para uma única interface. N IPv6 existem endereçs suficientes para que cada hst na internet tenha seu própri endereç unicast public, que viabiliza a manutençã d mdel fim-a-fim. Os endereçs unicast n IPv6 pdem ser d tip: Link - lcal: Sã reservads exclusivamente para cmunicaçã lcal em nivel de enlace e sã fundamentais para assegurar a peracinalizaçã de varias funcinalidades inerentes a prtcl IPv6, cm, pr exempl, a autcnfiguraçã, descberta de vizinhança, prtcls de rteament etc.estes endereçs sempre existem e sã autmaticamente atribuíds em tdas as interfaces que tenham suprte a IPv6. O endereç link lcal é atribuíd autmaticamente utilizand prefix FE80::/64. Os 64 bits reservads para a identificaçã da interface sã cnfigurads utilizand frmat IEEE EUI-64. Vale ressaltar que s rteadres nã devem encaminhar para utrs enlaces, pactes que pssuam cm rigem u destin um endereç link-lcal [IPv6 Br]. Unique-Lcal Address (ULA): Sã equivalentes as endereçs privads d IPv4 amplamente utilizads. Esses endereçs smente pdem ser atribuíds e rteads n cntext lcal, u seja, nã devem ser rteads na internet.ns últims ans a estrutura e alcaçã de endereçs sfreram algumas mdificações, mas atualmente cnfrme recmendações da RFC 4193, blc FC00::/7 fi dividid em dis blcs /8, u seja, FC00::/8 e FD00::/8.OS endereçs ULA iniciads em FC00::/8 devem ser alcads pr uma autridade da internet respnsável pr atribuir um identificadr glbal aleatóri. O endereç ULA é independente de prvedr, pdend ser utilizad na cmunicaçã dentr d enlace mesm que nã haja uma cnexã cm a Internet. Outra vantagem, é que seu prefix pde ser facilmente blquead, e cas um endereç ULA seja anunciad acidentalmente para fra d enlace, através de um rteadr u via DNS, nã haverá cnflit cm utrs endereçs.
Glbal Unicast: Sã públics e rteáveis, cabend às autridades ds diferentes níveis hierárquics da gvernança da internet a respnsabilidade de crdenaçã da sua distribuiçã de maneira cerente. A IANA separu apenas uma prçã discreta d estque de endereçs IPv6 dispníveis na internet, que sã aqueles iniciads em 2000::/3, esse prefix equivale a faixa de endereçs entre 2000:0:0:0:0:0:0 até 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, send que tds s demais endereçs estã sbrand para us futur. Endereç Multicast: O multicast é crucial para funcinament d IPv6, fazend parte da essência da sua peracinalizaçã pr mei da criaçã/assciaçã de váris grups padrnizads em que as interfaces passam a integrar n mment em que sã ativadas. Os endereçs multicast jamais devem ser utilizads na rigem de uma cmunicaçã, uma vez que ele representa um grup cmpst pr muits nós. Endereç Anycast: Cnsiste na cmunicaçã destinada para nó mais próxim de um grup de nós( um para um de muits u um para mais próxim). Pr mei desse mdel de cmunicaçã passa a ser pssível a atribuiçã de um mesm endereç " unicast " para múltipls cmputadres, desde que, na sua cnfiguraçã, seja explicitamente infrmada a palavra anycast. O prcess de encaminhament ds pactes para nó mais próxim é respnsabilidade ds rteadres intermediáris. Os rteadres devem ter cnfigurada uma entrada separada /128 que equivale a hst. Ex: Há múltipls servidres espalhads pel ambiente, alg cmum n cntext mundial da internet. Essa é uma frma de garantir as maquinas clientes que prcess de resluçã de nmes sempre seria direcinad para servidr mais próxim, que timiza desempenh da rede e d usuári. Endereç Especiais: Sã endereçs reservads para algumas finalidades especificas cm: Endereç reservad para utilizaçã em texts e dcumentações - 2001:DB88::/32, mtiv desse endereç é para que nã haja a expsiçã de algum endereç public ns dcuments técnics. Endereç para teste de cnectividade lcal (lpback) - n IPv6 endereç usad é 0000:0000:0000:0000:0000:0000:0000:0001 / 128 (endereç únic), u apenas ::1 n seu frmat abreviad. Endereç nã especificad - escrit n frmat ::/128, crrespndente a IPv4 0.0.0.0/32. Esse endereç indica apenas a ausência de um endereç e pde crrer n períd de inicializaçã da interface. Endereç de rta padrã - escrit n frmat ::/0, crrespndente a IPv4 0.0.0.0/0, cmumente utilizad em rteadres para apntar uma rta de saída quand nã huver nenhuma rta mais aprpriada ( rta default). Endereç IPv4 - Mapead - Representad pr 0:0:0:0:0:FFFF:<IPv4> e pde ser utilizad para criar um mapeament entre um endereç IPv4 e um IPv6. 3. Cabeçalh d IPv6
O cresciment d númer de bits n endereç IPv6 resulta n aument d cabeçalh que passa a ter um tamanh fix de 40 Bytes, esse acréscim é gerad devid a aument ds endereçs de rigem e destin. O númer de camps diminuiu para apenas 8, decrrente da inutilizaçã de alguns e a pssibilidade de uss de cabeçalhs de extensã que nã precisam ser prcessads pr rteadres intermediáris. Deste md, mesm cm um espaç de endereçament quatr vezes mair que d IPv4, tamanh ttal d cabeçalh IPv6 fsse apenas duas vezes. Abaix, segue imagem que demnstra a remçã ds camps. Cabeçalh - cmparaçã/remçã Entre as mudanças se encntram a remçã ds camps Tamanh d Cabeçalh" que passu a ser fixad e "Sma de Verificaçã d Cabeçalh" já que utrs prcesss cm mesm intuit sã realizads em camadas superires. "Identificaçã", ''Flags'', ''Deslcament d Fragment" e "Opções e Cmplements" passaram a ter as suas infrmações em cabeçalhs de extensã. O únic camp adicinad fi "Identificadr de Flux" a fim de pssibilitar funcinament de um mecanism extra de suprte a QS (Quality f Service). Os camps "Versã", "Endereç de Origem" e "Endereç de Destin" fram mantids e apenas tiveram seus tamanhs alterads. Pr fim cm intuit de agilizar prcess, 4 camps fram renmeads e repsicinads. Seguem ilustrads na tabela abaix: IPv6 - Camps d cabeçalh
Cnfrme a bservad na figura acima, cabeçalh d IPv6 está dividid ns seguintes camps: Versã (4 bits) - Identifica a versã d prtcl. Neste cas valr é 6. Classe de Tráfeg (8 bits) Cntém as mesmas funcinalidades e definições d camp "Tip de Serviç d IPv4" identificand s pactes pr classes de serviçs u priridade. Identificadr de Flux (20 bits) Identifica pactes d mesm flux de cmunicaçã. Idealmente esse camp é cnfigurad pel endereç de destin para separar s fluxs de cada uma das aplicações e s nós intermediáris de rede pdem utiliza-l de frma agregada cm s endereçs de rigem e destin para realizaçã de tratament específic ds pactes. Tamanh d Dads (16 bits) N camp Tamanh Ttal d IPv4, é indicad tamanh d cabeçalh mais tamanh ds dads transmitids. Nesta camp apenas tamanh (em Bytes) ds dads enviads junt a cabeçalh IPv6. Cntud, tamanh ds cabeçalhs de extensã também sã smad nesse nv camp. Próxim Cabeçalh (8 bits) Identifica cabeçalh de extensã que segue atual. Ele fi renmead (n IPv4 chamava-se Prtcl) para refletir a nva rganizaçã ds pactes IPv6, uma vez que ele deixu de cnter s valres referentes a utrs prtcls, para indicar s tips ds cabeçalhs de extensã. Limite de Encaminhament (8 bits) Esse camp é decrementad a cada salt de rteament e indica númer máxim de rteadres pels quais pacte pde passar antes de ser descartad. Endereç de rigem (128 bits) Indica endereç de rigem d pacte. Endereç de Destin (128 bits) Indica endereç de destin d pacte. 3.Prtcls de Rteament Rteament Intern (IGP)
RIPng: É definid na RFC 2080 cm sucessr d tradicinal prtcl RIP(v1 e v2) utilizad n IPv4. É um prtcl de rteament dinâmic d tip vetr-distancia, u seja, ele utiliza a quantidade de salts cm métrica para cntabilizar cust de um determinad caminh até alcançar seu destin. Assim cm RIPv2 se cmunicava cm s seus rteadres vizinhs pr mei d grup multicast 224.0.0.9, RIPng usa grup multicast FF02::9 (all-rip-ruters). Cm a metrica baseada em salts é muit simplista e pde ptar pr caminhs cm pir desempenh, RIPng nã é muit utilizad na pratica, assim cm seu antecessr. OSPFv3: É definid na RFC 2740 cm sucessr d tradicinal prtcl OSPFv2 utilizad n IPv4. O OSPFv3 é um prtcl de rteament dinamic d tip linkstate,u seja, ele utiliza uma cmpsiçã de metricas sbre estad d enlace para cntabilizar cust de um determinad caminh até alcançar seu destin.assim cm seu antecessr se cmunica cm seus rteadres vizinhs pr mei de grups multicast, que n cas d OSPFv3 trata-se ds grups multicast FF02::5 e FF02::6 Cisc/EIGRP "v6": Fi desenvlvid pela cisc é suprta diverss tips de prtcls, inclusive IPv6. O EIGRPv6 é um prtcl de rteament dinâmic que pssui ambas as funcinalidades de vetr-distancia e link-state, pr esse mtiv, é cnsiderad um prtcl hibrid. Assim cm EIGRPv4 se cmunicava cm seus rteadres vizinhs utilizand grup multicast 224.0.0.10, EIGRPv6 usa grup multicast FF02::A(all-EIGRP-ruters). Em virtude d seu excelente desempenh, ele é muit utilizad n mercad, principalmente em empresas que peram cm equipaments CISCO. Rteament Extern(EGP) BGP: O BGP é a base peracinal que viabiliza funcinament de tda a internet. Ele fi definid na RFC 1771(publicada em 1995), mas smente em 2007, na RFC 4760, passu a prver suprte a múltipls prtcls, incluind IPv6. 4. Segurança Ataques cnhecids Ataque à descberta de vizinhança: Um atacante explra essa funcinalidade e pratica um ataque de negaçã de serviç simplesmente gerand sucessivas mensagens ICMPv6 tip 136 (NA) cm respsta de tdas as mensagens ICMPv6 tip 135 (NS) transmitidas na rede cm a finalidade de anunciar que aqueles endereçs IPv6 prpsts pels hsts já estã em us, mesm que nã estejam.
Neighbr Slicitatin (NS) - É emviada pel hst quand este quer determinar endereç da camada de enlace de utr nó n mesm segment. Neighbr Advertisement (NA) - É a mensagem enviada em respsta a um NS. Também é enviada n cas de mudança de endereç IP de um determinad hst. Envenenament na tabela de vizinhança: Explra as funcinalidades d NDP(Neighbr Discvery Prtcl), e é realizad pr um atacante pr mei d envi de sucessivas mensagens (fld) falsas d tip ICMPv6 NA. A faze-l hst acreditara na integridade das mensagens recebidas e adicinara varias entradas falsas em sua tabela de vizinhança, que pde implicar em encaminhament incrret de quadrs para fins de interceptaçã nã autrizada, em pir desempenh decrrente da demra em realizar as buscas nas tabelas de vizinhança maires e, em cas ainda pir, pde até esturar limite de entradas nas tabelas de um determinad hst [IPv6- nv prtcl da internet.]. Falsificaçã de rteadres e prefixs: É quand há um anunci ds rteadres que sã recebids pels hsts para aprender prefix da rede, Uma maquina estranha pderia gerar mensagens RA (ICMPv6 tip 134) falsas passand-se pel rteadr, de frma que trnaria se trnaria um dispsitiv intermediári na cmunicaçã. O atacante passa a ser element intermediári na cmunicaçã, u seja, é uma técnica man-in-the-middle. Varredura de endereçs e privacidade: É m velh ataque cnhecid das redes IPv4, que também pde ser praticad em redes IPv6, prém sua execuçã se trna mais difícil pr mei de técnicas simplistas. Mecanisms de defesa Prteçã em switches: Existem váris riscs e vulnerabilidades n cntext de uma rede lcal que diz respeit aquela cmunicaçã que sequer chega as rteadres. Esses riscs só pdem ser vists n primeir dispsitiv de acess, u seja, na interface ds switches. Há alguns switches denminads multi-layer que tem a capacidade de analisara cnteud ds cabeçalhs ICMPv6 e implementar diverss mecanisms imprtante de segurança. Fram entã criads funcinalidades cm: RA-Guard(RFC 6105) - criad para mitigar ataque de falsificaçã de rteadres e prefixs de rede.pr mei dessa funcinalidade, administradr da rede pde cnfigurar a interface d switch que esta cnectada a rteadr da rede cm send cnfiavel, prtant, mensagens de anunci de rteadres (RA) serã permitidas. Pde ser vilada pr mei de fragmentaçã das falsas mnsagens RA. Nesse cas seria necessari blquear as mensagens ICMPv6 relacinadas as funcinalidades de fragmentaçã.
ND - Inspectin - Pr mei dele, switch aprende e asscia s endereçs IPv6 e MAC em uma tabela cnfiavel de vizinhança.cmpara pactes e quadrs cm sua prpia tabela. Firewall e cntrle de acess:nas redes baseadas em IPv6, firewall passa a ser um element ainda mais imprtante, afinal, cm fim d NAT, a cmunicaçã fim-afim vlta a ser realidade, e tdas as redes serã endereçadas pr mei de endereçs publics(glbal unicast).a escrita das regras de firewall deve ser bastante seletiva, de frma que smente determinadas mensagens especificas d ICMPv6 devem ser blqueadas, enquant que varias utras sã imprtantes para manter a peraçã da rede. Basicamente s firewalls pdem ser de natureza stateless u stateful. O firewall é de natureza stateless quand cmpst de um cnjunt de regras estaticas que sã aplicadas as pactes que crrespndem a determinads parametrs pré cnfigurads. sem manter qualquer estad das cnexões ativas. O firewall é de natureza stateful quand mantem estad das cnexões ativas, e dessa frma, é pssivel escrever regras mais dinamicas cm "Permitir a entrada de td trafeg da internet, nde a cmunicaçã tenha sid iniciada pr algum hst da rede internea..." IPSec: O IPSec (RFC 4301) é uma sluçã em nível da camada de rede, criada para prteger trafeg na internet e bastante disseminada n mercad atualmente, Pde ser utilizad diretamente ns hsts u mesm em dispsitivs cm rteadres e firewalls. N IPv6 existe a pssibilidade de prteger nativamente as cmunicações fim-a-fim diretamente ns hsts das pntas, essa é mais uma vantagem da eliminaçã d NAT. O IPSec é cmpst pr diversas tecnlgias, send que pssui dis subprtcls principais que ferecem mair flexibilidade : AH e ESP e sã respnsáveis pel suprte nativ a IPSec. Md Transprte : Smente s dads (paylad) sã criptgrafads, nã havend nenhuma alteraçã n cabeçalh da camada de rede, que permite rteament nrmal ds pactes pela internet. Md Tunel: Td pacte é criptgrafad, que inclui paylad de dads e também cabeçalhs da camada de rede. Para iss dar cert é necessari que pacte seja reencapsulad e receba um nv cabeçalh (tunel), cas cntrari, seria impssível rtea-l pela internet. É cmum em cmunicações site - t - site nde é estabelecida uma VPN entre rteadres segurs nas brdas. Falhas Ataques e Defesas n IPv6
5.Tunelament 5.1.Tunelament manual 6ver4 (6in4) O túnel 6ver4 é uma frma cmum de implementar túneis em ambientes cm redes IPv6 separadas pr mei da internet IPv4,essa frma de túnel utiliza encapsulament 6in4 para que s pactes pssam ser acmdads dentr de pactes IPv4, capazes de trafegar em redes v4. Encapsulament 6in4: È definid na RFC 4213 e cnsiste exatamente em clcar pactes IPv6 dentr de pactes IPv4 cm nvs cabeçalhs reescrits cm base n tunel virtual estabelecid entre as duas pntas. O camp cabeçalh é preenchid cm tip 41 para indicar que se trata de um pacte IPv6 dentr de um pacte IPv4. Cm essa infrmaçã destinatari tem cnheciment de que um pacte que pssui camp tip 41 esta utilizand
encapsulament 6in4. 5.2.Tunelament Dinâmic 6t4 O tunelament 6t4 é definid na RFC 3056 e fi uma das primeiras técnicas de natureza dinâmica stateless que frma tuneis autmaticamente cnfigurads entre sites que pssuem transit IPv4 e necessitam de acess à internet IPv6. Os tuneis autmátics 6t4 só sã pssíveis prque existe alguns relays públics espalhads pela internet que executam pilhadupla, u seja, pera cm ambs s prtcls IPv6 e IPv4 na mesma maquina que esta na rede, cm iss s relays ficam respnsáveis pr intermediar a cmunicaçã entre IPv6 e IPv4. Esse tunelament funcina quand pr exempl algum hst da rede lcal, quer se cmunicar cm a internet IPv6, é encaminhad um pacte para a interface d seu respectiv gateway, que dá rigem à primeira etapa em que rteadr utiliza túnel 6t4 para chegar até um relay public. O pacte IPv6 é encapsulad dentr de um pacte IPv4 (prtcl 41) e entã encaminhad até relay mais próxim. 6. Implementaçã Cisc IPv6: Segue a tplgia usada na implementaçã d prtcl IPV6. Trabalhams cm cinc ruters trabalhand cm IPv6 e prtcl OSPFv3 rteand as redes estabelecidas. Ns ruters acima trabalhams cm 4 subredes diferentes, send elas 1001:0:0:AAAA::0; 1001:0:0:BBBB::0; 1001:0:0:CCCC::0; 1001:0:0:DDDD::0; n prtcl IPv6, fi necessári habilitar prtcl IPv6 e OSPFv3, nde prtcl de rteament trabalha de frma diferente,
send necessári criar um ruter-id diferente em cada ruter e realizar a divulgaçã dentr da própria interface via linha de cmand. Abaix segue a as cnfigurações inseridas em cada equipament: BR.txt BH.txt SP.txt RJ.txt POA.txt Durante a tplgia usada via tunelament, nde a cmunicaçã IPv6 é transmitida para uma estrutura IPv4 fram inseridas as linhas de cmand abaix em ambs s ruters IPv6 que transitariam pela infraestrutura IPv4: interface Tunnel0 n ip address ipv6 address 10001::FFFF/112 ipv6 rip Rta_RIP enable tunnel surce Serial0/0 tunnel destinatin (endereç d tunnel d ruter IPv6) tunnel mde ipv6ip 7.Cnclusã Após vist, pder d prtcl IPv6, espera-se que ele venha a ser tud que demnstra ser, u seja, tenha td desempenh e segurança que tericamente apresenta. Estams engatinhand ainda cm relaçã a IPv6, pucas empresas implantam, prque tem que mudar a tplgia, tem que mudar equipaments e iss acaba gerand um elevad gast, além d fat, de nã ter prfissinais especializads e abtuads cm nv prtcl, prém, já esta cmeçand a ser bem utilizad e quant antes, será necessári que tds se adaptem a IPv6. 8.Referencias Henrique, Samuel B. Brit - IPv6 nv prtcl da internet. IPv6.br - http://ipv6.br/blg/ http://labcisc.blgspt.cm.br/2013/02/autenticaca-ipsecspfv3-n-rteament.html http://www.cisc.cm/c/en/us/td/dcs/is-xml/is/iprute_spf/cnfiguratin/15-sy/ir- 15-sy-bk/ip6-rute-spfv3.html Cmands de Cnfiguraçã Básica de IPv6 Habilitand rteament de pactes unicast IPv6. Ruter(cnfig)#ipv6 unicast-ruting Cnfigurand um endereç IPv6 na interface serial. Ruter(cnfig)#interface s0/0 Ruter(cnfig-if)#ipv6 address 200:0:1:1::1/64
Ruter(cnfig-if)#n shutdwn Cnfigurand um endereç IPv6 na interface fastethernet. Ruter(cnfig)#interface fastethernet 0/0 Ruter(cnfig-if)#ipv6 address 200:0:1:1::1/64 Ruter(cnfig-if)#n shutdwn Cnfigurand uma rta estatica IPv6 pr endereç d prxim salt. Ruter(cnfig)#ipv6 rute 200:0:1:0::/64 200:0:1:1::2 Verificand status das interfaces e s endereçs IPv6 cnfigurads. Ruter#shw ipv6 interface brief Verificand a tabela de rteament IPv6. Ruter#shw ipv6 rute Fazend teste ICMPv6 apartir d rteadr. Ruter#ping 200:0:1:0::2