Marmara Üniversitesi nde IPv6 Deneyimi

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Marmara Üniversitesi nde IPv6 Deneyimi"

Gözde Şamdereli
8 yıl önce
İzleme sayısı:

1 Marmara Üniversitesi nde IPv6 Deneyimi Bilişim Merkezi Ö.Tuğrul Boztoprak 6 Mayıs 2010 ISCTurkey IPv6 Çalıştayı

3 İçerik Ne Değişiyor? IPv6 adresleme IPv6 yönlendirme IPv6 servisleri Güvenlik değerlendirmesi

4 Ne Değişiyor? En çok etkilenenler: MIN MAX Son kullanıcı < ağ yöneticisi < ağ (cihaz-yazılım) tasarımcısı Adresleme: 32 bit 128 bit NAT yok! IPSec standartlaşıyor; IPSec desteği zorunlu Adres türleri Broadcasting (genel yayın) yerine birçok multicast (çoklu yayın) Stateless Auto-Configuration Paket başlık yapısı değişiyor, daha sade bir hal alıyor ICMPv6 (Neighbour Discovery) Fragmantasyon yok

5 IPv6 Protokolü

6 IPv6 Adresleme IPv4 32 bit, 2 32 toplam adres 4.2 x 10 9 adres ddd. ddd. ddd. ddd = 32 bit IPv6 128 bit, toplam adres 3.4 x10 38 xx.xx.xx.xx adres XXXX : XXXX : XXXX : XXXX : XXXX : XXXX : XXXX : XXXX = 128 bit Dünya üzerindeki her M 2 ye ~= 6.5 x IP

7 IPv6 Adresleme 2001:98:ab::1 :: bu arada ne kadar bit olması gerekiyorsa o kadar 0 (sıfır) anlamına gelir. 2001:0098:00AB:0000:0000:0000:0000: :98:AB:0:0:0:0:1 2001:98:AB::1 ::1 0:0:0:0:0:0:0:1 0000:0000:0000:0000:0000:0000:0000:0001 :: bir adres içerisinde yalnızca bir defa kullanılabilir.

8 Adres Türleri Unicast Global 2xxx, 3xxx Link-Local fe8x, fe9x 6to4 adresler 2002 Loopback [::1] Multicast-çoklu yayın ffxx

9 Otomatik Yapılandırma (Stateless Auto-configuration) Üretilen Adres Subnet prefix (64 bit) Auto-configured ID (64 bit) FE80:0000:0000: :DBFF:FE9F:5D0D

10 Auto-conf EUI-64 MAC: 00:01:23:45:67:89 fe80::1:23ff:fe45:67:89 Randomized Interface ID: mac adresinde rastgele türetilen netsh interface ipv6 set global randomizeidentifiers=disabled Privacy: Değişen interface ID adresi (windows server 2008 de varsayılan olarak devredışı) netsh interface ipv6 set privacy=enabled FreeBSD de bu özellik varsayılan olarak devredışı, açmak için: sysctl net.inet6.ip6.use_tempaddr=1

11 ICMPv6 Neighbor Discovery Protocol NS: Neighbor Solicitation NA: Neighbor Advertisement RS: Router Solicitation RA: Router Advertisement Duplicate Address Detection

12 RA Yönlendirici Yayını

13 IPv6 Adresleme Yapısı 3fff:abcd:1234:: /48 (bitmask) FFFF:FFFF:FFFF:0:0:0:0:0 (hexmask) (onluk netmask) ^ böyle bir şey yok 3FFF:ABCD:1234:XXXX::/64 XXXX: adet alt ağ oluşturulabilir. Her bir alt ağda adet IP

14 IPv6 Adresleme Planı 64 bitlik, 80 bitlik, hatta p2p bağlantılar için 126 bitlik altağ maskeli bloklar; 127 bitlik mask lar da kullanılabilir, ancak RFC 3627! 80 bitlik bloklarda auto-conf çalışmıyor, RA yayını yapılmıyor IPv4 adresleri ile tutarlı adres şeması Örnek: bloğu için 3FFF:ABCD:1234:A802::/64 (0xA8=168d; 0x02=2d)

15 IPv6 Yönlendirme Yönlendiricide IPv6 Desteği yoksa tünelleme IPv6 Ağı IPv4 IPv6 Ağı tünel IPv4 başlıklı IPv6 paketleri tüneli V6 V4 V6 V6 Tünel Yönlendirici TünelYönlendirici

IPv6 Tünel Tam otomatik (6to4, Teredo) netsh interface ipv6 6to4 set relay 192.88.99.

16 IPv6 Tünel Tam otomatik (6to4, Teredo) netsh interface ipv6 6to4 set relay netsh interface ipv6 set teredo client Yarı otomatik (Sixxs, Tunnelbroker-Hurricane Electric) hesap açılır, web arayüz yapılandırma, belli bir süre kullanılmadığında tünel otomatik kalkar. Manual Elle Yapılandırma tünel varlığının garantisi kontrollü

17 Cisco'da Tünel Yapılandırması

18 FreeBSD Gateway rc.conf (tünel) ipv6_enable="yes ipv6_gateway_enable="yes" hostname="rtmar.marmara.edu.tr" keymap="tr.iso9.q" keyrate="fast" moused_enable="yes" moused_flags="-3" sshd_enable="yes" ifconfig_em1="inet netmask " defaultrouter=" gif_interfaces="gif0" ipv6_network_interfaces="gif0 em0 #################### gifconfig_gif0=" " ipv6_ifconfig_gif0="2001:ffff:1::2 prefixlen 126" ipv6_defaultrouter="2001:ffff:1::1" #################### ipv6_static_routes="dmz bim" ipv6_route_dmz="2001:ffff:abcd:1:: -prefixlen :ffff:abcd::1" ipv6_route_bim="2001:ffff:abcd:2:: -prefixlen :ffff:abcd::1 ############# Packet Filter ############# pf_enable="yes" pf_rules="/etc/pf.conf" pflog_enable="yes"

19 Firewall: Packet Filter pf.conf (tünel)

20 FreeBSD Gateway rc.conf (tünelsiz doğrudan dot1q) defaultrouter=" " hostname="rtmar.marmara.edu.tr" ifconfig_fxp0="inet netmask " inetd_enable="yes" ipv6_enable="yes" keymap="tr.iso9.q" moused_enable="yes" sshd_enable="yes" ipv6_gateway_enable="yes" ipv6_defaultrouter="2001:ffff:1::1 cloned_interfaces="vlan9 vlan11 vlan130 vlan140 vlan211" ## Sanal Arayuz Trunk em0 ## ifconfig_em0="up" #iceri bakan trunk arayuz ifconfig_vlan9="vlan 9 vlandev em0" ifconfig_vlan11="vlan 11 vlandev em0" ifconfig_vlan130="vlan 130 vlandev em0" ifconfig_vlan140="vlan 140 vlandev em0" ipv6_ifconfig_vlan9="2001:ffff:abcd:1::1 prefixlen 64" ipv6_ifconfig_vlan11="2001:ffff:abcd:2::1 prefixlen 64" ipv6_ifconfig_vlan130="2001:ffff:abcd:3::1 prefixlen 64" ipv6_ifconfig_vlan140="2001:ffff:abcd:4::1 prefixlen 64" ## Sanal Arayuz Trunk em1 ## ifconfig_em1="up" #disari bakan trunk arayuz ifconfig_vlan211="vlan 211 vlandev em1" ipv6_ifconfig_vlan211="2001:ffff:1::2 prefixlen 126" ### Router Advertisement acik" rtadvd_enable="yes" rtadvd_interfaces="vlan9 vlan11 vlan140" ############# Packet Filter ############# pf_enable="yes" pf_rules="/etc/pf.conf" pflog_enable="yes" #BIM # rektorluk # DMZ #OBM

21 Packet Filter Güvenlik Duvarı ########### ARAYUZLER ##################### ext_if="vlan211" # disariya bakan arayuz rek_if="vlan11" obm_if="vlan140" dmz_if="vlan130" bim_if="vlan9 ########### TANIMLAMALAR ###################### block in inet6 all pass out inet6 all keep state pf.conf pass in on $bim_if inet6 proto icmp6 all icmp6-type { $tiex, $ecreq, $ecres, $RS, $NS, $NA } pass in on $obm_if inet6 proto icmp6 all icmp6-type { $tiex, $ecreq, $ecres, $RS, $NS, $NA } pass in on $dmz_if inet6 proto icmp6 all icmp6-type { $tiex, $ecreq, $ecres, $RS, $NS, $NA } pass in on $rek_if inet6 proto icmp6 all icmp6-type { $tiex, $ecreq, $ecres, $RS, $NS, $NA } pass in on $ext_if inet6 proto icmp6 all icmp6-type { $tiex, $ecres, $NS, $NA } pass in on $ext_if inet6 proto icmp6 from $ulaknet to $IPv6_uc icmp6-type { $ecreq } pass in on $dmz_if inet6 proto { tcp, udp } from $DMZ to any pass in on $bim_if inet6 proto { tcp, udp } from $BIM to any pass in on $obm_if inet6 proto { tcp, udp } from $OBM to any pass in on $rek_if inet6 proto { tcp, udp } from $REK to any pass in on $ext_if inet6 proto { tcp, udp } from any to $nameserver port domain pass in on $ext_if inet6 proto tcp from any to $webserver port $webports

$conf vlan140:\ :addrs#1:addr="2001:ffff:abcd:11::":prefixlen#64:tc=ether: vlan9:\$

22 RA Servisi /etc/rtadvd.conf vlan140:\ :addrs#1:addr="2001:ffff:abcd:11::":prefixlen#64:tc=ether: vlan9:\ :addrs#1:addr="2001:ffff:abcd:10::":prefixlen#64:tc=ether: vlan11:\ :addrs#1:addr="2001:ffff:abcd:21::":prefixlen#64:tc=ether:

23 servislerin IPv6 desteği Dhcp Sunucu: ISC 4.x; Dibbler server, Server 2008 Dhcp istemci: Dibbler client Web sunucu: Apache 2.0, DNS: Bind 9.x SMTP Qmail IPv6 Patch ( -ipv6-jms1/) Netflow 9 ( Smokeping: fping, fping6, echohttp

24 Smokeping ve MRTG

25 Smokeping ipv6 üzerinden http erişimi:

26 ISC-DHCPv Ağ geçidi atama? host-identifier option dhcp6.client-id DUID - DHCP Unique Identifier İstemci sistemi tanımlar IAID - Identity Association Identifier İstemci sistemdeki arayüzü tanımlar (eth)

27 DHCPv6

28 ISC DHCP Yapılandırması default-lease-time 600; max-lease-time 7200; log-facility local7; subnet6 2001:db8:0:1::/64 { # Range for clients range6 2001:db8:0:1:: :db8:0:1::254; # Additional options option dhcp6.name-servers fec0:0:0:1::1; option dhcp6.domain-search "domain.example"; # Prefix range for delegation to sub-routers prefix6 2001:db8:0:100:: 2001:db8:0:f00:: /56; # Example for a fixed host address host specialclient { host-identifier option dhcp6.client-id 00:01:00:01:4a:1f:ba:e3:60:b9:1f:01:23:45; fixed-address6 2001:db8:0:1::127; } }

29 DHCPv6 Süreçleri Dhcp-request # tcpdump -ni vlan11 ip6 tcpdump: WARNING: vlan11: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan11, link-type EN10MB (Ethernet), capture size 96 bytes 12:54: IP6 fe80::207:e9ff:fe12: > ff02::1:2.547: dhcp6 solicit 12:54: IP6 fe80::2b0:d0ff:fe78:fd > fe80::207:e9ff:fe12: : dhcp6 advertise 12:54: IP6 fe80::207:e9ff:fe12: > ff02::1:2.547: dhcp6 request 12:54: IP6 fe80::2b0:d0ff:fe78:fd > fe80::207:e9ff:fe12: : dhcp6 reply 12:54: IP6 fe80::207:e9ff:fe12:5452 > ff02::16: HBH ICMP6, multicast listener report v2, 2 group record(s), length 48 12:54: IP6 :: > ff02::1:ff00:13: ICMP6, neighbor solicitation, who has 2001:ffff:abcd:21::13, length 24 (DAD) DHCP-Release 12:52: IP6 fe80::207:e9ff:fe12: > ff02::1:2.547: dhcp6 release 12:52: IP6 fe80::2b0:d0ff:fe78:fd > fe80::207:e9ff:fe12: : dhcp6 reply

30 DNS Sunucusu 1 - named.conf options {. listen-on-v6 { any; }; allow-query { internal-net; };. }; acl internal-net { ; /16; ::1/128; 2001:ffff:abcd::/48; }; zone d.c.b.a.f.f.f.f ip6.arpa" { type master; file ipv6.rev"; }

31 DNS Sunucusu - 2 İleri ve Ters sorgu kayıtları ns.marmara.edu.tr ftpv6.tr.freebsd.org www6.marmara.edu.tr monitor6.marmara.edu.tr proxy6.marmara.edu.tr AAAA 2001:ffff:abcd:aabb::2 AAAA 2001:ffff:abcd:aabb::25 AAAA 2001:ffff:abcd:aabb::7 AAAA 2001:ffff:abcd:aabb::40 AAAA 2001:ffff:abcd:aabb::1883 $ORIGIN d.c.b.a.f.f.f.f ip6.arpa b.b.a.a IN PTR ns.marmara.edu.tr b.b.a.a IN PTR ftpv6.marmara.edu.tr b.b.a.a IN PTR www6.marmara.edu.tr b.b.a.a IN PTR monitor6.marmara.edu.tr b.b.a.a IN PTR proxy6.marmara.edu.tr.

32 Güvenlik ip dhcp snooping, ip arp inspection, ip verify source - Cisco henüz desteğini vermiyor - HP H3C de olduğu söyleniyor: ipv6 dhcp snooping enable ipv6 nd detection enable ip check source ipv6 ip-address mac-address RA yayınları : ipv6 ra snooping? 41 tünel protokolü, Teredo servis UDP 3544 The hackers choice-thc IPv6 Attack Toolkit

33 - DAD DoS - DAD New Address - Smurf Attack - Redirect IPv6 Saldırı Örnekleri

34 Redirect Sadece yönlendiriciler redirect yapabilir, ICMP Redirect type = 137 istekleri son kullanıcılarda denetlenmeli Sonuç = MitM

35 Sonuç IPv4 e göre güvenlik anlamında çarpıcı bir üstünlük görünmüyor. Ancak IPv4 ten geri kaldığı da söylenemez. Geri sayım devam ediyor; zorunlu olduğunda zaten hazırım?

36 Kaynaklar Sorular? RFC Dokümanları ve man pages Bilişim Merkezi çalışmaları Teşekkürler

Benzer belgeler

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi Marmara Üniversitesi nde IPv6 Deneyimi Hüseyin Yüce (huseyin@marmara.edu.tr) Tuğrul Boztoprak (tugrul@marmara.edu.tr) Korkunun Ecele Faydası Yok! 1. IPv6 adresi almak 2. Ana yönlendiricisinde IPv6 yönlendirme