O documento introduz o protocolo IPv6, discutindo suas motivações e características principais, como o grande número de endereços disponíveis, suporte nativo a segurança e qualidade de serviço, e a extinção de protocolos como NAT e ARP. Também aborda tópicos como migração, obstáculos, e a necessidade de adoção para evitar riscos como aumento de custos e perda de competitividade.
3. Motivações
●
Esgotamento dos Endereços IPv4 e
necessidade de mais endereços;
–
–
IPv4 suporta até 4,2 bilhões de endereços;
–
●
Uso de NAT,DHCP e CIDR retardaram o
esgotamento;
Política de distribuição inicial dos endereços
não racional
Suporte à aplicações inicialmente não
previstas:
–
QoS e IPSec
5. Disponibilidade de Endereços
Os Endereços IPv4 Já Acabaram!!!!
Dia 03/02/2011: IANA distribui os últimos 5 blocos /8
Dia 15/04/2011: APNIC exaure seus endereços IPv4
6. Características
●
Usa 128 bits (2128 endereços), apesar de
algumas combinações serem reservadas;
●
Aprox. 56 octilhões de endereços por pessoa;
●
Sem classe de endereços;
●
Suporte nativo à QoS;
●
Suporte nativo ao IPSec;
●
Extinção de NAT,ARP,
●
IPv6 é um protocolo NOVO!!!!
7. Formato do Endereço
●
Endereço IPV6:
–
2001:0db8:85a3:08d3:1319:8a2e:0370:7344
–
2001:0db8:85a3:0000:0000:0000:0000:7344
–
2001:0db8:85a3::7344;
●
Representação dos zeros contínuos por “::”;
●
Omissão de zeros à esquerda;
●
Uso de maiusculas ou minusculas
8. Formato do Endereço
●
Como acessar uma URL IPv6?
–
http://192.168.10.23:80 (IPv4)
–
http://[2001:12ff:0:4::22]:8080 (IPv6)
10. Cabeçalho IPv6
●
●
●
Cabeçalho mais simples;
Maior flexibilidade por meio dos cabeçalhos
de Extensão;
Menor Overhead de processamento do
cabeçalho;
11. Cabeçalhos de Extensão
●
●
●
●
●
Ficam entre o cabeçalho-base e o cabeçalho
da camada de transporte;
Abrigam as opções adicionais;
Não há tamanho fixo, nem quantidade para
estes cabeçalhos;
Cadeia de cabeçalhos;
Hop-by-hop options, Destination
Options,Routing, Fragmentation,
Authentication Header, Encapsulating
Security Payload;
12. Tipos de Endereços
●
●
●
●
Unicast: identifica uma única interface na
rede;
Anycast: identifica um conjunto de interfaces.
Usado na comunicações de um-para-umde-muitos;
Multicast: Identifica um conjunto de
interfaces. Utilizado em comunicações de
um-para-muitos;
Broadcast foi abolido no IPv6;
13. Tipos Unicast
●
●
●
Global Unicast: equivale aos endereços
públicos IPv4;
Link Local: Pode ser usado apenas no enlace
específico onde a interface está conectada,
é atribuída automaticamente, usando o
prefixo FE80::/64
Site Local: são os endereços “privados” do
IPv6. Identificados pelo prefixo FEC0::/64,
só devem ser usados quando as estações
não precisarem acessar à Internet.
14. Funcionalidades Básicas
●
ICMPv6: mesma função do ICMPv4, mas não
compatível
–
●
Assume algumas das funções do ARP e do
IGMP;
Neighbor Discovery: combina as funções do
ARP, ICMP Router Discovery(mensagens
do tipo Router Advertisement) e do ICMP
Redirect ;
–
Torna mais dinâmico alguns processos como:
descoberta de endereços duplicados,
encontrar roteadores vizinhos, etc...
15. AutoConfiguração
●
Stateless
–
–
Simples, não requer nenhum servidor
–
Uso ineficiente do espaço de endereçamento;
–
●
Feita pelo Neighbor Discovery, detecta
endereços duplicados;
Falta de controle no acesso à rede local
Stateful
–
Versão IPv6 do DHCP
16. DHCPv6
●
Stateful
–
–
Comunicação inicial feita usando endereços
do tipo Link Local
–
Servidores usam um endereço multicast
reservado (FF02::1:2 ou FF05::1:3);
–
●
Usa o protocolo UDP;
Sua utilização é indicada via uso de opções
das mensagens Router Advertisement;
Pode ser usado uma mistura de Stateless
com Stateful
17. IPSec
●
●
●
●
●
Framework que visa garantir comunicações
seguras;
Confidencialidade, integridade e
autenticidade;
Desenvolvido inicialmente como parte
integrante do IPv6;
Adaptado para funcionar no IPv4;
Funciona ou no modo de transporte ou modo
túnel (camada 3);
18. Objetivos - IPSec
●
●
●
●
Criar uma infraestrutura segura de proteção
aos cabeçalhos de dados e de chaves;
Redução da preoucupação de implementar
mecanismos de segurança nas aplicações;
Compatibilidade com mecanismos de
segurança já existentes;
Evitar problemas de exportação de
criptografia;
19. Características - IPSec
●
●
●
Implementa encriptação e autenticação na
camada de rede
Aplicativos não precisam de modificações ou
plugins para fazerem uso do IPSec;
Combina diversas técnicas de segurança
(troca de chaves Diffie-Hellman, algoritmo
de Hash, 3DES, certificados digitais);
20. IPSec – Associação de
Segurança
●
●
●
●
Conjunto de diretivas para negociar quais
algoritmos de criptografia serão usados;
Representa a associação entre duas ou mais
entidades comunicantes;
Representado pelo Security Parameter
Index(SPI) e pelo IP de destino;
Em uma comunicação segura, são
necessários pelo menos 2 SPI´s;
22. Cabeçalhos IPSec
●
●
Implementado através dos cabeçalhos de
extensão AH (Authetication Header) e ESP
(Encapsulation Security Payload); e do
protocolo de gerenciamento de chaves
(ISAKMP/IKE);
Método padrão IPv6 para garantir
Privacidade, Integridade e autenticidade
dos dados;
23. IPSec - AH
●
Cabeçalho:
É adicionado após os cabeçalhos Hopby
Hop, Routing e Fragmentation (se houver);
●Pode ser usado em ambos os modos de
operação;
●
25. IPSec – ISAKMP/IKE
●
●
●
●
●
Na versão atual (IPSec – V3), os algoritmos default
são o HMAC-SHA1 e o AES-CBC128,
substituindo o MD5 e o DES;
Descreve a infraestrutura para a gestão de chaves;
tempo de validade das chaves, algoritmos
usáveis, etc...;
Conexão feita em 2 estágios;
Fase 1: Canal inseguro. Negociação dos algoritmos
de criptografia, hash e método de autenticação;
Fase 2: Canal seguro: Negociação do IPSec,
geração de chaves e alguns parametros da fase 1
26. Políticas de Migração
●
●
●
Por onde começar?
Troca imediata é inviável devido ao tamanho
atual da estrutura IPv4;
Redes IPv4 deverão se comunicar com redes
IPv6 e vice-versa;
●
Adoção do IPv6 será gradual;
●
IPv4 não tem data para ser desativado;
●
Período de Coexistência indefinido;
27. Politícas de Migração
●
●
Verifique se a sua infraestrutura (roteadores,
switches L3, servidores) possuem suporte;
Verifique se os sistemas operacionais das
estações e seus aplicativos (principalmente
os de nicho ou aqueles feitos por
encomenda) possuem suporte;
28. Politicas de Migração
●
Principais Técnicas de Transição:
–
Dual-Stack (pilha dupla): Ambos os protocolos
no mesmo dispositivo;
–
Tunelamento: tráfego IPv6 sob uma estrutura
IPv4 (Teredo, ISATAP, GRE, 6to4,etc...);
–
Tradução: permite a comunicação entre nós
IPv6 apenas com nós IPv4 apenas (SIIT,
BIS, BIA,TRT, etc...);
29. Vantagens Adicionais - IPv6
●
●
●
Alguns tipo de ataques irão se tornar mais
dispendiosos ou impraticáveis;
Ataques por Scanning serão bem mais
demorados, devido à maior quantidade de
endereços a serem rastreados;
Ataques baseados em endereços de
Broadcast inicialmente deverão estar
indisponíveis;
30. Mas nem tudo é perfeito...
●
●
Muitas formas de ataque (Man-in-the-middle,
vírus, Sniffing, etc...) continuam válidas;
Algumas implementações de IPv6 ainda não
suportam IPSec integralmente;
●
Surgirão novas técnicas de ataque;
●
Surgirão novos bugs;
●
IPSec não é uma solução “Tabajara”;
31. Principais Obstáculos (ou onde o
bicho pega....)
●
●
●
●
●
Talvez o Hardware tenha que ser trocado;
É provável que o software tenha que ser
atualizado;
Investimento em tempo e treinamento;
Planejamento apressado implica em chances
maiores de erros....
Verificar se TODAS as suas aplicações
possui suporte;
32. Principais Obstáculos(ou onde o
bicho pega...)
●
●
Alguns equipamentos domésticos não estão
preparados;
Em redes complexas, é possível ter que
migrar para outro protocolo interno de
roteamento (IS-IS ou OSPF-V3)
36. IPv6 Hoje
●
Quem já usa IPv6:
–
Google, UFScar, RNP, YouTube,
Telefônica(experimental), Telebrás(PNBL);
●
Japão usa sistema de incentivos;
●
8 de junho de 2011: “Dia Mundial do IPv6”;
37. Case: UFSCar
●
●
●
●
●
Primeira universidade brasileira a ter
estrutura pública IPv6;
Projeto concluído em Setembro de 2010;
Substituiu os roteadores antigos por
computadores com softwares livres;
Rede Interna em modo dual-stack para
compatibilidade;
Apoio no projeto-piloto feito pelo NIC.br;
38. Quais os riscos do atraso?
●
Usuários podem ficar sem acesso à links IPv6
puros
●
Aumento nos custos
●
Custo de Oportunidade
●
Perda de competitividade
●
Dificuldades ligadas à falta de endereços
públicos IPv4 (Programas de Inclusão
Digital, Redes 3G, etc...);
40. Como configurar IPv6 - Linux
●
Arquivo de configuração varia de acordo com
a distribuição usada:
–
–
●
/etc/network/interface
/etc/sysconfig/network-scripts/ifcfg-eth0;
Comando “TABAJARA”:
–
ifconfig eth0 add fee::0015:f2ff:ffa1:d9cc