2. Sobre mim
➢ Analista GTI/UCS
➢ Twitter: @jczucco
➢ http://www.linkedin.com/in/jeronimozucco
➢ Membro OWASP Capítulo Porto Alegre
➢ http://www.owasp.org/index.php/User:Jeronimo_Zucco
➢ Algumas certificações na área de segurança
➢ A apresentação será disponibilizada em
https://www.slideshare.net/jczucco
3. Agenda
● Estrutura de rede da UCS
● Histórico sobre IPv6 na rede da UCS
● Definição da metodologia de implantação
● Implantação em equipamentos e servidores
● Implantação em serviços
● Problemas e desafios enfrentados
● Estatísticas
● Planejamento futuro
4. Estrutura de Rede da UCS
● 2 redes IPv4 de 4096 endereços roteáveis cada (8192
IPs)
● AS - Sistema Autônomo
● ~ 5000 computadores na rede interna
● Picos de ~ 12.000 clientes na rede Wireless
● Datacenter próprio
● 2 Links de internet - 3gbits
● Rotas na borda (BGP full routing):
○ 740 mil IPv4
○ 65 mil IPv6
5.
6. Comparação IPv4 vs IPv6
Característica IPv4 IPv6
Implementação 1981 1999
Tamanho Endereçamento 32 bits 128 bits
Formato do Endereço 2^32 = 4,294,967,296 2^128 =
340,282,366,920,938,463,4
63,374,607,431,768,211,45
6
Exemplos de notação 192.168.0.0/24
10.0.0.0/8
2001:0D88:0234::/48
2600:0000::/12
Resolução de endereços ARP ICMPv6 NS/NA (+ MLD)
Auto-configuração DHCP ICMPv6 RS/RA & DHCPv6
(+ MLD)
Fragmentação hosts e roteadores somente em hosts
Arquitetura de Rede Endereços privados + NAT Endereços globais +
Firewall
7. Histórico sobre IPv6 na rede da UCS
● Janeiro/2011 - Curso de IPv6 do Nic.br em Porto Alegre
● Bloco IPv6 fornecido pela RNP ~ 5 anos
○ 2801:80:680::/48 - http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
■ 1,208,925,819,614,629,174,706,176 endereços IPs
■ 65536 redes /64 ( 18,446,744,073,709,551,616 endereços IPs )
■ 2801:0080:0680::/64 até 2801:0080:0680:ffff::/64
● Curso IPv6 ministrado na UCS pelo Nic.br - http://ipv6.br
9. Histórico sobre IPv6 na rede da UCS
● Substituição do equipamento de borda ~3
anos
● Solicitação de ativação do IPv6 aos
fornecedores de trânsito set/2018
● Definição de distribuição de redes
10. Implantação em Equipamentos e Servidores
● Configuração IPv6 no equipamento de borda
○ Roteamento
○ ACLs
● Divulgação da rota BGP
● Ativação nos links da Level-3 e PTT-Poa
● Definição da faixa de IPs/redes
11. Implantação em Equipamentos e Servidores
● Testes em uma rede isolada em uma interface
interna
● Testes com regras de firewall
● Algumas surpresas durante os testes
12. Implantação em serviços
● Servidores DNS externos do domínio ucs.br e reversos
● Configuração no Registro.br
● Servidores Frontend Web
● Os servidores de backend e bancos de dados foram
mantidos em IPv4
● Rede interna em apenas um setor para testes
● Rede Wireless em testes e será liberada em breve
13. Configuração em um Linux (RHEL)
● /etc/sysctl.conf:
○ net.ipv6.conf.all.disable_ipv6 = 0
● /etc/sysconfig/network:
○ NETWORKING_IPV6=yes
● /etc/sysconfig/network-scripts/ifcfg-eth0:
○ # IPv6
○ IPV6INIT=yes
○ IPV6FORWARDING=no
○ IPV6_AUTOCONF=no
○ IPV6ADDR="2801:80:680:XXXX::YYYY/64"
○ IPV6_DEFAULTGW="2801:80:680:ZZZZ::WWWW"
● /etc/sysconfig/ip6tables
● testes:
○ ls -l /proc/net/if_inet6
○ route -n -A inet6
○ ping6 2800:3f0:4001:80b::200e
14. Configuração em um Linux via CLI
# ip -6 a a 2801:80:680:XXXX::YYYY/64 dev eth0
# ip -6 r a default via 2801:80:680:XXXX::ZZZZ
+ Configuração resolvers em /etc/resolv.conf:
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844
15. Configuração Servidor DNS (bind)
● Entradas A duplas (IPv4 e IPv6):
○ www A 200.200.200.200
○ www AAAAA 2801:80:680:XXXX::YYYY
● DNS reverso: http://rdns6.com/zone
○ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR
host1.example.com.
○ 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR
host2.example.com.