IPv6

Welkom bij IPv6 Martijn Bellaard mbellaard@twice.nl www.twice.nl

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

Waarom IPv6 IPv4 Nummers IPv4 Configuratie IPv4 Beveiliging IPv4 Performance

Waarom IPv6 6.6713399230871781977895920808634e+35 IPv4 Nummers IPv4 is 32 bits NAT IPv6 Nummers IPv6 is 128 Bits Elk apparaat zijn eigen nummer? 3.4028236692093846346337460743177e+38 6.6713399230871781977895920808634e+35

Waarom IPv6 IPv4 Configuratie IPv6 Met de hand DHCP Neighbor Discovery Protocol

Waarom IPv6 IPv4 Beveiliging IPv6 Beveiliging Standaard niet Aanvulling SSL IPSec IPv6 Beveiliging Standaard IPSec

Waarom IPv6 IPv4 Performance Header MTU IPv4,beperkte grote IPv6 header Next header MTU IPv4, fragmentatie IPv6, geen fragmentatie Path MTU Discovery

Daarom IPv6 IPv4 Nummers IPv4 Configuratie IPv4 Beveiliging IPv4 Performance

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

IPv6 Nummer IPv4 nummer IPv6 nummer Verschillende IPv6 Nummers Regels voor notatie Prefix Verschillende IPv6 Nummers Unicast Multicast Anycast

IPv6 Nummer IPv4 nummer Subnetmask 134.55.67.2/24 u.x.y.z u,x,y,x=0-255 Bijv; 134.55.67.2 Subnetmask 255.255.255.0 /24 134.55.67.2/24

IPv6 Nummer IPv6 nummer Regels voor notatie Hexadecimaal 128 Bits 8 groepen van 4 hexadecimale getallen Voorloop nullen hoeven niet genoteerd te worden Aaneengesloten nullen mogen vervangen worden door “::” 2345:0000:0000:0900:56CD:3423:0022:9099 2345::900:56CD:3423:22:9099

IPv6 Nummer IPv6 nummer Prefix /60 2345:0000:0000:900::/60 2345::900:56CD:3423:22:9099/60

IPv6 Nummer Verschillende IPv6 Nummers Unicast Van host naar host Link-Local FE80::/10 Site FEC0::/10 Private range Global

IPv6 Nummer Verschillende IPv6 Nummers Multicast Van 1 host naar meerder hosts. Non-permanently-assigned (1) permanently-assigned (0) Begint met FF0X of FF1X Waar bij X= 0 reserved 1 interface-local scope 2 link-local scope (FF02) 3 reserved 4 admin-local scope 5 site-local scope 8 organization-local scope E global scope F reserved

IPv6 Nummer Verschillende IPv6 Nummers Anycast Naar de eerst reagerende host Broadcast bestaat niet meer.

IPv6 Nummer Hoe wordt een IPv6 nummer gemaakt We nemen FE80:: We nemen een beetje MAC adres:00-C0-9F-2C-25-44 Men krijgt: fe80::2c0:9fff:fe2c:2544

SECURITY IPv6 Nummer 00-C0-9F-2C- 25-44 00C0-9F 2C- 2544 We flippen ergens een bitje Knallen er “fffe” tussen We noemen het EUI-64 format En we krijgen: fe80::2c0:9fff:fe2c:2544

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

Neighbor Discovery Protocol ND Doel Router discovery Prefix discovery Parameters discovery Address autoconfiguration Address resolution (ARP) Next-hop determination Neighbor unreachability detection Duplicate address detection redirect

Neighbor Discovery Protocol Security Router Advertisement (RA), Router Solicitation (RS), Neighbor Solicitation (NS), Neighbor Advertisement (NA) and Redirect “Gratis” een adres. Mobile IPv6 Router Header IPSec

Neighbor Discovery Protocol Address autoconfiguration Maakt een “link-local” adres :fe80::[interface ID] Host stuurt drie “Router Solicitation” Krijgt een “Router Advertisement respons” Kijkt of het nummer al bestaat, “Neighbor Solicitation” Neemt het in gebruik STATELESS Demo 1

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

Routing IPv4 Network ID Mask Interface Gateway 10.0.2.0 255.255.255.0 10.0.2.1 10.0.1.0 10.0.1.1 10.0.3.0 10.0.2.2 0.0.0.0

Routing IPv6 Wat heb ik nodig Wat vind je in een router tabel Destination Prefix Next-Hop Address Interface Metric Wat vind je in een router tabel Directly-attached network routes Remote network routes Host routes Default route (::/0)

Routing IPv6 Hoe gaat dit nu op internet? TLA=Top Level Aggregator. NLA=Next Level Aggregator. SLA=Site Level Aggregator.

Routing IPv6

Demo Routing IPv6 netsh interface ipv6 set interface “10.0.2" forwarding=enabled advertise=enabled netsh interface IPv6 set interface “10.0.3" forwarding=enabled advertise=enabled netsh interface IPv6 add route fec0:0:0:2::/64 “10.0.2" publish=yes netsh interface IPv6 add route fec0:0:0:3::/64 “10.0.3" publish=yes netsh interface IPv6 add route ::/0 “10.0.2" nexthop=fec0::2:20c:29ff:fee6:cb3f publish=yes netsh interface IPv6 set interface “10.0.2" siteid=1 netsh interface IPv6 set interface “10.0.3" siteid=1 Demo 2

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

Routing IPv6 over IPv4 Host to router Router to host

Routing IPv6 over IPv4 Router to Router

Routing IPv6 over IPv4 Host to Host

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

Het maken van Tunnels Handmatig 6to4 ISATAP Teredo

Handmatig Te gebruiken voor: Host to Host Host to router en router to host Router to router

Handmatig Voordelen Nadelen Je hebt het zelf onder controle Vraagt niet om het gebruik van een techniek Voor elke infrastructuur bruikbaar Nadelen Beide kanten moeten door jou beheerd worden Bij een verandering moet je alles aanpassen

6to4 Te gebruiken voor: Communicatie Router to router Host to Host Router to Host Communicatie 6to4 Host 6to4 Router 6to4 relay router

6to4 Tweede Interface 6to4 interface 2002:IPv4 adres in hex weergegeven:NetworkID:HostID (d488:3701=212.136.55.1)

6to4 Voordelen Nadelen Automatisch Open standaard Werkt niet voor IPv4 private range Gaat niet door een NAT translatie

ISATAP Intra-Site Automatic Tunnel Addressing Protocol Host-to-host Host-to-router ISATAP ziet IPv4 netwerk als Non-Broadcast Multiple Access (NBMA) link layer Link-local adres::5efe:IPv4

ISATAP Communicatie verloop ISATAP ??? Router Solicitation Message ISATAP.TWICE.NL ISATAP Router Advertisement Message

ISATAP Voordelen Nadelen Automatisch Werkt met IPv4 private range Heeft geen speciale service op IPv4 nodig Kan samenwerken met 6to4 Nadelen Gaat niet door een NAT translatie “ISATAP” moet kunnen worden gevonden.

Isatap ISATAP Router ISATAP Client

ISATAP Demo Disabling Forwarding en Advertising op router 1 en 2 netsh interface ipv6 set interface "lan2" forwarding=disabled advertise=disabled netsh interface ipv6 set interface "lan3" forwarding=disabled advertise=disabled Van router 1 een ISATAP router maken netsh interface ipv6 isatap set router 10.0.2.1 netsh interface ipv6 set interface "Automatic Tunneling Pseudo-Interface" forwarding=enabled advertise=enabled netsh interface ipv6 add route fec0:0:0:10::/64 "Automatic Tunneling Pseudo-Interface" publish=yes DNS Entry voor ISATAP router maken Pingen vanaf workstation2 naar workstation1 IP#v6 Demo 3

Teredo Probleem NAT Client A Server

Teredo Onderdelen Teredo client Teredo server Teredo relay Teredo host-specific relay

Teredo Client A TeredoSVR Client B Client A  Client B ClientBTeredoSVR TeredoSVR Client B

Teredo Voordelen Nadelen Gaat door NAT Vraagt om een server buiten Mogelijkheid tot spoofing op de teredo server

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

DNS AAAA Andere Host AAAA IP#v6 PTR in-addr.arpa  ip6.int of ip6.arpa en ip# in decimale IPv4 notatie (0.1.2.3.0.0.0.0.0.enz IN PTR www.twice.nl) Andere DNAME Status, Experimental

DNS DNS IPv6 geschikt maken dnscmd /config /EnableIPv6 1 support tools

DNS Demo 4 Demo Het aanmaken van AAAA record Pingen met gebruikmaking van het AAAA record Website opvragen Demo 4

Agenda Waarom IPv6 IPv6 Nummers Neighbor Discovery Protocol Verschillende IPv6 nummers Neighbor Discovery Protocol Routing IPv6 Routing IPv6 over IPv4 Tunnelen Handmatig Automatisch 6to4 ISATAP (Demo) Teredo DNS DHCPv6

DHCPv6 Stateless Autoconfiguration “Stateful” Autoconfiguration IP#v6 wordt gemaakt aan de hand van het MAC adres Router geeft de rest van de informatie “Stateful” Autoconfiguration DHCPv6 Aanwezig in Windows “Longhorn”

Meer informatie Boek Links RFC’s Draft IPv6 van O’Reilly, ISBN 0596009348 IPv6, Het nieuwe Internet-protocol helder beschreven, ISBN 9039515662 Links http://technet2.microsoft.com/WindowsServer/en/Library/b05f98ef-2561-4a0a-af91-dbb155aa52211033.mspx http://www.microsoft.com/downloads/details.aspx?FamilyID=fd7e1354-3a3b-43fd-955f-11edd39551d7&displaylang=en www.google.nl RFC’s 2185 3056 3513 Draft draft-chown-v6ops-port-scanning-implications-01.txt draft-huitema-v6ops-teredo-05.txt draft-vives-v6ops-ipv6-security-ps-03.txt

Martijn Bellaard mbellaard@twice.nl www.twice.nl