SlideShare uma empresa Scribd logo

Implementação IPv6 na UCS

Jeronimo Zucco
Jeronimo Zucco

Disponibilização de Serviços em IPv6 na UCS - Um Caso Prático - Apresentação realizada no Tchelinux Caxias 2019.

Internet
1 de 27
Baixar para ler offline
Disponibilização de Serviços em IPv6 na UCS Jerônimo Zucco - jczucco@ucs.br @jczucco
Sobre mim ➢ Analista GTI/UCS ➢ Twitter: @jczucco ➢ http://www.linkedin.com/in/jeronimozucco ➢ Membro OWASP Capítulo Porto Alegre ➢ http://www.owasp.org/index.php/User:Jeronimo_Zucco ➢ Algumas certificações na área de segurança ➢ A apresentação será disponibilizada em https://www.slideshare.net/jczucco
Agenda ● Estrutura de rede da UCS ● Histórico sobre IPv6 na rede da UCS ● Definição da metodologia de implantação ● Implantação em equipamentos e servidores ● Implantação em serviços ● Problemas e desafios enfrentados ● Estatísticas ● Planejamento futuro
Estrutura de Rede da UCS ● 2 redes IPv4 de 4096 endereços roteáveis cada (8192 IPs) ● AS - Sistema Autônomo ● ~ 5000 computadores na rede interna ● Picos de ~ 12.000 clientes na rede Wireless ● Datacenter próprio ● 2 Links de internet - 3gbits ● Rotas na borda (BGP full routing): ○ 740 mil IPv4 ○ 65 mil IPv6
Comparação IPv4 vs IPv6 Característica IPv4 IPv6 Implementação 1981 1999 Tamanho Endereçamento 32 bits 128 bits Formato do Endereço 2^32 = 4,294,967,296 2^128 = 340,282,366,920,938,463,4 63,374,607,431,768,211,45 6 Exemplos de notação 192.168.0.0/24 10.0.0.0/8 2001:0D88:0234::/48 2600:0000::/12 Resolução de endereços ARP ICMPv6 NS/NA (+ MLD) Auto-configuração DHCP ICMPv6 RS/RA & DHCPv6 (+ MLD) Fragmentação hosts e roteadores somente em hosts Arquitetura de Rede Endereços privados + NAT Endereços globais + Firewall
Histórico sobre IPv6 na rede da UCS ● Janeiro/2011 - Curso de IPv6 do Nic.br em Porto Alegre ● Bloco IPv6 fornecido pela RNP ~ 5 anos ○ 2801:80:680::/48 - http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ■ 1,208,925,819,614,629,174,706,176 endereços IPs ■ 65536 redes /64 ( 18,446,744,073,709,551,616 endereços IPs ) ■ 2801:0080:0680::/64 até 2801:0080:0680:ffff::/64 ● Curso IPv6 ministrado na UCS pelo Nic.br - http://ipv6.br
Definição da metodologia PILHA DUPLA
Histórico sobre IPv6 na rede da UCS ● Substituição do equipamento de borda ~3 anos ● Solicitação de ativação do IPv6 aos fornecedores de trânsito set/2018 ● Definição de distribuição de redes
Implantação em Equipamentos e Servidores ● Configuração IPv6 no equipamento de borda ○ Roteamento ○ ACLs ● Divulgação da rota BGP ● Ativação nos links da Level-3 e PTT-Poa ● Definição da faixa de IPs/redes
Implantação em Equipamentos e Servidores ● Testes em uma rede isolada em uma interface interna ● Testes com regras de firewall ● Algumas surpresas durante os testes
Implantação em serviços ● Servidores DNS externos do domínio ucs.br e reversos ● Configuração no Registro.br ● Servidores Frontend Web ● Os servidores de backend e bancos de dados foram mantidos em IPv4 ● Rede interna em apenas um setor para testes ● Rede Wireless em testes e será liberada em breve
Configuração em um Linux (RHEL) ● /etc/sysctl.conf: ○ net.ipv6.conf.all.disable_ipv6 = 0 ● /etc/sysconfig/network: ○ NETWORKING_IPV6=yes ● /etc/sysconfig/network-scripts/ifcfg-eth0: ○ # IPv6 ○ IPV6INIT=yes ○ IPV6FORWARDING=no ○ IPV6_AUTOCONF=no ○ IPV6ADDR="2801:80:680:XXXX::YYYY/64" ○ IPV6_DEFAULTGW="2801:80:680:ZZZZ::WWWW" ● /etc/sysconfig/ip6tables ● testes: ○ ls -l /proc/net/if_inet6 ○ route -n -A inet6 ○ ping6 2800:3f0:4001:80b::200e
Configuração em um Linux via CLI # ip -6 a a 2801:80:680:XXXX::YYYY/64 dev eth0 # ip -6 r a default via 2801:80:680:XXXX::ZZZZ + Configuração resolvers em /etc/resolv.conf: nameserver 8.8.8.8 nameserver 8.8.4.4 nameserver 2001:4860:4860::8888 nameserver 2001:4860:4860::8844
Configuração Servidor DNS (bind) ● Entradas A duplas (IPv4 e IPv6): ○ www A 200.200.200.200 ○ www AAAAA 2801:80:680:XXXX::YYYY ● DNS reverso: http://rdns6.com/zone ○ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR host1.example.com. ○ 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR host2.example.com.
Problemas e Desafios Encontrados
Configuração Endereço IPv6 1. Static addressing 2. Static addressing with DHCPv6 (stateless) 3. Dynamic addressing via DHCPv6 (stateful) 4. SLAAC alone (Stateless Address Autoconfiguration) 5. SLAAC with DHCPv6 (Stateless)
NDP - IPv6 Neighbor Discovery Protocol ● Stateless address autoconfiguration – SLAAC ● Duplicate address detection DAD ● Router discovery ● Prefix discovery ● Parameter discovery link MTU, hop limits ● Neighbor discovery ● Neighbor address resolution – replaces ARP in IPv6 ● Neighbor and router reachability verification
Problemas e Desafios Encontrados Provedores com a rede IPv6 ruim
Estatísticas Algumas estatísticas do site http://ipv6.br (abril/2019)
Leituras e Recomendações ● http://ipv6.br ● Vídeos do Nic.br https://www.youtube.com/watch?v=_JbLr_C-HLk&list=PLQq8-9yVHyObGmdqA-aD_QaLrZaC_tkOI ● https://www.openwall.com/presentations/IPv6/ ● http://validador.ipv6.br ● https://www.internetsociety.org/resources/deploy360/ipv6/security/ipv4-engineers ● https://www.internetsociety.org/deploy360/ipv6/security/faq/ ● https://ipv6.he.net/certification/ ● Use Firewall (RFC 4864, 6092 e 4193) ● RFC 4941: Privacy Extensions ● RFC 7381: Enterprise IPv6 Deployment

Recomendados

Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.falcao_raphael
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDogRicardo Coelho
 
[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...
[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...
[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...Marcelo Barros de Almeida
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Collectd
CollectdCollectd
CollectdDiogo Biazus
 
Miicro basico(Computador basico)
Miicro basico(Computador basico)Miicro basico(Computador basico)
Miicro basico(Computador basico)Rayner Barbosa
 
Criptografia e criptpanalise na pratica
Criptografia e criptpanalise na praticaCriptografia e criptpanalise na pratica
Criptografia e criptpanalise na praticaTalita Rodrigues
 

Recomendados

Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.falcao_raphael
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDogRicardo Coelho
 
[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...
[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...
[2/9] Sistemas embarcados de alto desempenho para tratamento e processamento ...Marcelo Barros de Almeida
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Collectd
CollectdCollectd
CollectdDiogo Biazus
 
Miicro basico(Computador basico)
Miicro basico(Computador basico)Miicro basico(Computador basico)
Miicro basico(Computador basico)Rayner Barbosa
 
Criptografia e criptpanalise na pratica
Criptografia e criptpanalise na praticaCriptografia e criptpanalise na pratica
Criptografia e criptpanalise na praticaTalita Rodrigues
 
Tutorial i pv6-fundamentos
Tutorial i pv6-fundamentosTutorial i pv6-fundamentos
Tutorial i pv6-fundamentosLuciano Silva de Souza
 
IPv6
IPv6IPv6
IPv6Fabiano Weimar
 
Laboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greLaboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greNuno Teixeira
 
Infraestrutura do Centro de Dados - Inducao_simplificado.pptx
Infraestrutura do Centro de Dados - Inducao_simplificado.pptxInfraestrutura do Centro de Dados - Inducao_simplificado.pptx
Infraestrutura do Centro de Dados - Inducao_simplificado.pptxAdrianoSimao6
 
Linux - Network
Linux - NetworkLinux - Network
Linux - NetworkFrederico Madeira
 
Projeto final m_243_dulo_4
Projeto final m_243_dulo_4Projeto final m_243_dulo_4
Projeto final m_243_dulo_4y3vg3n
 
I Pv6 Final 2
I Pv6 Final 2I Pv6 Final 2
I Pv6 Final 2ptic433
 
I pv6
I pv6I pv6
I pv6Ademar França
 
Virtualização de Banco de Dados por Bruno Domingues
Virtualização de Banco de Dados por Bruno DominguesVirtualização de Banco de Dados por Bruno Domingues
Virtualização de Banco de Dados por Bruno DominguesJoao Galdino Mello de Souza
 
[Fisl] como a internet funciona
[Fisl] como a internet funciona[Fisl] como a internet funciona
[Fisl] como a internet funcionaj1nakamura
 
Esclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNAEsclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNARodrigo Rovere - CCIE RS
 
Eripi2018 p4 tutorial
Eripi2018 p4 tutorialEripi2018 p4 tutorial
Eripi2018 p4 tutorialNathan Saraiva
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29Gustavo Rodrigues Ramos
 
Descricao de-laboratorios
Descricao de-laboratoriosDescricao de-laboratorios
Descricao de-laboratoriosEDSInforio
 
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Rodrigo Campos
 
IPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoIPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoCampus Party Brasil
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Kleber Silva
 
Projeto final módulo 4
Projeto final módulo 4Projeto final módulo 4
Projeto final módulo 4y3vg3n
 
Projeto do Sistema Cacti – Software Gerenciamento de Rede
Projeto do Sistema Cacti – Software Gerenciamento de RedeProjeto do Sistema Cacti – Software Gerenciamento de Rede
Projeto do Sistema Cacti – Software Gerenciamento de RedeVISIONO - Integrated Solutions and Systems in Security
 
Relatório IPV6
Relatório IPV6Relatório IPV6
Relatório IPV6Fatec Jales
 
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Jeronimo Zucco
 
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Jeronimo Zucco
 

Mais conteúdo relacionado

Semelhante a Implementação IPv6 na UCS

Laboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greLaboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greNuno Teixeira
 
Infraestrutura do Centro de Dados - Inducao_simplificado.pptx
Infraestrutura do Centro de Dados - Inducao_simplificado.pptxInfraestrutura do Centro de Dados - Inducao_simplificado.pptx
Infraestrutura do Centro de Dados - Inducao_simplificado.pptxAdrianoSimao6
 
Projeto final m_243_dulo_4
Projeto final m_243_dulo_4Projeto final m_243_dulo_4
Projeto final m_243_dulo_4y3vg3n
 
I Pv6 Final 2
I Pv6 Final 2I Pv6 Final 2
I Pv6 Final 2ptic433
 
Virtualização de Banco de Dados por Bruno Domingues
Virtualização de Banco de Dados por Bruno DominguesVirtualização de Banco de Dados por Bruno Domingues
Virtualização de Banco de Dados por Bruno DominguesJoao Galdino Mello de Souza
 
[Fisl] como a internet funciona
[Fisl] como a internet funciona[Fisl] como a internet funciona
[Fisl] como a internet funcionaj1nakamura
 
Descricao de-laboratorios
Descricao de-laboratoriosDescricao de-laboratorios
Descricao de-laboratoriosEDSInforio
 
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Rodrigo Campos
 
IPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoIPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoCampus Party Brasil
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Kleber Silva
 
Projeto final módulo 4
Projeto final módulo 4Projeto final módulo 4
Projeto final módulo 4y3vg3n
 

Semelhante a Implementação IPv6 na UCS (20)

Tutorial i pv6-fundamentos
Tutorial i pv6-fundamentosTutorial i pv6-fundamentos
Tutorial i pv6-fundamentos
 
IPv6
IPv6IPv6
IPv6
 
Laboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn greLaboratório configuração de um túnel ponto a ponto vpn gre
Laboratório configuração de um túnel ponto a ponto vpn gre
 
Infraestrutura do Centro de Dados - Inducao_simplificado.pptx
Infraestrutura do Centro de Dados - Inducao_simplificado.pptxInfraestrutura do Centro de Dados - Inducao_simplificado.pptx
Infraestrutura do Centro de Dados - Inducao_simplificado.pptx
 
Linux - Network
Linux - NetworkLinux - Network
Linux - Network
 
Projeto final m_243_dulo_4
Projeto final m_243_dulo_4Projeto final m_243_dulo_4
Projeto final m_243_dulo_4
 
I Pv6 Final 2
I Pv6 Final 2I Pv6 Final 2
I Pv6 Final 2
 
I pv6
I pv6I pv6
I pv6
 
Virtualização de Banco de Dados por Bruno Domingues
Virtualização de Banco de Dados por Bruno DominguesVirtualização de Banco de Dados por Bruno Domingues
Virtualização de Banco de Dados por Bruno Domingues
 
[Fisl] como a internet funciona
[Fisl] como a internet funciona[Fisl] como a internet funciona
[Fisl] como a internet funciona
 
Esclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNAEsclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNA
 
Eripi2018 p4 tutorial
Eripi2018 p4 tutorialEripi2018 p4 tutorial
Eripi2018 p4 tutorial
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29
 
Descricao de-laboratorios
Descricao de-laboratoriosDescricao de-laboratorios
Descricao de-laboratorios
 
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86Desempenho e Escalabilidade de Banco de Dados em ambiente x86
Desempenho e Escalabilidade de Banco de Dados em ambiente x86
 
IPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendoIPv6 – a Internet precisa dele para continuar crescendo
IPv6 – a Internet precisa dele para continuar crescendo
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6
 
Projeto final módulo 4
Projeto final módulo 4Projeto final módulo 4
Projeto final módulo 4
 
Projeto do Sistema Cacti – Software Gerenciamento de Rede
Projeto do Sistema Cacti – Software Gerenciamento de RedeProjeto do Sistema Cacti – Software Gerenciamento de Rede
Projeto do Sistema Cacti – Software Gerenciamento de Rede
 
Relatório IPV6
Relatório IPV6Relatório IPV6
Relatório IPV6
 

Mais de Jeronimo Zucco

Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Jeronimo Zucco
 
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Jeronimo Zucco
 
Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy
Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack ProxyDetectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy
Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack ProxyJeronimo Zucco
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
Impacto das Redes Sociais na Segurança da Informação
Impacto das Redes Sociais na Segurança da InformaçãoImpacto das Redes Sociais na Segurança da Informação
Impacto das Redes Sociais na Segurança da InformaçãoJeronimo Zucco
 

Mais de Jeronimo Zucco (12)

Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
 
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
 
Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy
Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack ProxyDetectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy
Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
 
Owasp top 10 2013
Owasp top 10 2013Owasp top 10 2013
Owasp top 10 2013
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de software
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
 
Impacto das Redes Sociais na Segurança da Informação
Impacto das Redes Sociais na Segurança da InformaçãoImpacto das Redes Sociais na Segurança da Informação
Impacto das Redes Sociais na Segurança da Informação
 
Implementing ossec
Implementing ossecImplementing ossec
Implementing ossec
 

Implementação IPv6 na UCS

  • 1. Disponibilização de Serviços em IPv6 na UCS Jerônimo Zucco - jczucco@ucs.br @jczucco
  • 2. Sobre mim ➢ Analista GTI/UCS ➢ Twitter: @jczucco ➢ http://www.linkedin.com/in/jeronimozucco ➢ Membro OWASP Capítulo Porto Alegre ➢ http://www.owasp.org/index.php/User:Jeronimo_Zucco ➢ Algumas certificações na área de segurança ➢ A apresentação será disponibilizada em https://www.slideshare.net/jczucco
  • 3. Agenda ● Estrutura de rede da UCS ● Histórico sobre IPv6 na rede da UCS ● Definição da metodologia de implantação ● Implantação em equipamentos e servidores ● Implantação em serviços ● Problemas e desafios enfrentados ● Estatísticas ● Planejamento futuro
  • 4. Estrutura de Rede da UCS ● 2 redes IPv4 de 4096 endereços roteáveis cada (8192 IPs) ● AS - Sistema Autônomo ● ~ 5000 computadores na rede interna ● Picos de ~ 12.000 clientes na rede Wireless ● Datacenter próprio ● 2 Links de internet - 3gbits ● Rotas na borda (BGP full routing): ○ 740 mil IPv4 ○ 65 mil IPv6
  • 5.
  • 6. Comparação IPv4 vs IPv6 Característica IPv4 IPv6 Implementação 1981 1999 Tamanho Endereçamento 32 bits 128 bits Formato do Endereço 2^32 = 4,294,967,296 2^128 = 340,282,366,920,938,463,4 63,374,607,431,768,211,45 6 Exemplos de notação 192.168.0.0/24 10.0.0.0/8 2001:0D88:0234::/48 2600:0000::/12 Resolução de endereços ARP ICMPv6 NS/NA (+ MLD) Auto-configuração DHCP ICMPv6 RS/RA & DHCPv6 (+ MLD) Fragmentação hosts e roteadores somente em hosts Arquitetura de Rede Endereços privados + NAT Endereços globais + Firewall
  • 7. Histórico sobre IPv6 na rede da UCS ● Janeiro/2011 - Curso de IPv6 do Nic.br em Porto Alegre ● Bloco IPv6 fornecido pela RNP ~ 5 anos ○ 2801:80:680::/48 - http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ■ 1,208,925,819,614,629,174,706,176 endereços IPs ■ 65536 redes /64 ( 18,446,744,073,709,551,616 endereços IPs ) ■ 2801:0080:0680::/64 até 2801:0080:0680:ffff::/64 ● Curso IPv6 ministrado na UCS pelo Nic.br - http://ipv6.br
  • 9. Histórico sobre IPv6 na rede da UCS ● Substituição do equipamento de borda ~3 anos ● Solicitação de ativação do IPv6 aos fornecedores de trânsito set/2018 ● Definição de distribuição de redes
  • 10. Implantação em Equipamentos e Servidores ● Configuração IPv6 no equipamento de borda ○ Roteamento ○ ACLs ● Divulgação da rota BGP ● Ativação nos links da Level-3 e PTT-Poa ● Definição da faixa de IPs/redes
  • 11. Implantação em Equipamentos e Servidores ● Testes em uma rede isolada em uma interface interna ● Testes com regras de firewall ● Algumas surpresas durante os testes
  • 12. Implantação em serviços ● Servidores DNS externos do domínio ucs.br e reversos ● Configuração no Registro.br ● Servidores Frontend Web ● Os servidores de backend e bancos de dados foram mantidos em IPv4 ● Rede interna em apenas um setor para testes ● Rede Wireless em testes e será liberada em breve
  • 13. Configuração em um Linux (RHEL) ● /etc/sysctl.conf: ○ net.ipv6.conf.all.disable_ipv6 = 0 ● /etc/sysconfig/network: ○ NETWORKING_IPV6=yes ● /etc/sysconfig/network-scripts/ifcfg-eth0: ○ # IPv6 ○ IPV6INIT=yes ○ IPV6FORWARDING=no ○ IPV6_AUTOCONF=no ○ IPV6ADDR="2801:80:680:XXXX::YYYY/64" ○ IPV6_DEFAULTGW="2801:80:680:ZZZZ::WWWW" ● /etc/sysconfig/ip6tables ● testes: ○ ls -l /proc/net/if_inet6 ○ route -n -A inet6 ○ ping6 2800:3f0:4001:80b::200e
  • 14. Configuração em um Linux via CLI # ip -6 a a 2801:80:680:XXXX::YYYY/64 dev eth0 # ip -6 r a default via 2801:80:680:XXXX::ZZZZ + Configuração resolvers em /etc/resolv.conf: nameserver 8.8.8.8 nameserver 8.8.4.4 nameserver 2001:4860:4860::8888 nameserver 2001:4860:4860::8844
  • 15. Configuração Servidor DNS (bind) ● Entradas A duplas (IPv4 e IPv6): ○ www A 200.200.200.200 ○ www AAAAA 2801:80:680:XXXX::YYYY ● DNS reverso: http://rdns6.com/zone ○ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR host1.example.com. ○ 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR host2.example.com.
  • 16. Problemas e Desafios Encontrados
  • 17. Configuração Endereço IPv6 1. Static addressing 2. Static addressing with DHCPv6 (stateless) 3. Dynamic addressing via DHCPv6 (stateful) 4. SLAAC alone (Stateless Address Autoconfiguration) 5. SLAAC with DHCPv6 (Stateless)
  • 18. NDP - IPv6 Neighbor Discovery Protocol ● Stateless address autoconfiguration – SLAAC ● Duplicate address detection DAD ● Router discovery ● Prefix discovery ● Parameter discovery link MTU, hop limits ● Neighbor discovery ● Neighbor address resolution – replaces ARP in IPv6 ● Neighbor and router reachability verification
  • 19. Problemas e Desafios Encontrados Provedores com a rede IPv6 ruim
  • 20.
  • 21. Estatísticas Algumas estatísticas do site http://ipv6.br (abril/2019)
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27. Leituras e Recomendações ● http://ipv6.br ● Vídeos do Nic.br https://www.youtube.com/watch?v=_JbLr_C-HLk&list=PLQq8-9yVHyObGmdqA-aD_QaLrZaC_tkOI ● https://www.openwall.com/presentations/IPv6/ ● http://validador.ipv6.br ● https://www.internetsociety.org/resources/deploy360/ipv6/security/ipv4-engineers ● https://www.internetsociety.org/deploy360/ipv6/security/faq/ ● https://ipv6.he.net/certification/ ● Use Firewall (RFC 4864, 6092 e 4193) ● RFC 4941: Privacy Extensions ● RFC 7381: Enterprise IPv6 Deployment