1. Enostavno in varno na IPv6
Matjaž Straus Istenič
matjaz.straus@arnes.si
• IPv6-oznake
• Nastavitve
• Varnost

2. foto: Kenneth Dwain Harrelson, http://en.wikipedia.org/wiki/Cloud

3. IPv6-naslov je 128-biten
65536 članic 18 trilijonov sistemov v vsakem omrežju
2001:1470:
2001:1470:c:
2001:1470:c:????:
2001:1470:c:????:????:????:????:????
65536 omrežij na članico

4. IPv6-naslov je oznaka
lokacija ali L = 0, S = skupina
2001:1470:c:LSnn:<64-bitna-oznaka>
ARNES omrežje končni sistem
članica

5. Razporedimo oznake

6. Nastavitve omrežne opreme
1. statično
2. SLAAC brez DHCPv6
3. SLAAC z DHCPv6
v testnem obdobju samo “stateless”
4. izklop dodeljevanja omrežnih predpon
v SLAAC
* z izjemo v omrežjih za mobilne naprave

7. Statične nastavitve
• strežniki
• stacionarni računalniki

8. Samodejne nastavitve
moj ID je 1:2:3:4

9. Samodejne nastavitve
moj lokalen naslov je fe80::1:2:3:4

10. Samodejne nastavitve
kje je prehod?
fe80::1:2:3:4

11. Samodejne nastavitve
tu je prehod, na fe80::6
si v omrežju 2001:1470:c:100::/64
za DNS vprašaj “stateless” DHCP
fe80::1:2:3:4

12. Samodejne nastavitve
kje je strežnik DHCP?
potrebujem podatke
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100:1:2:3:4
moj globalen naslov je 2001:1470:c:100:1:2:3:4

13. Samodejne nastavitve
DNS: 2001:1470:c::d
domena: sirikt.si
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100:1:2:3:4

14. Samodejne nastavitve
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100:1:2:3:4
DNS: 2001:1470:c::d
domena: sirikt.si
sedaj lahko komuniciram

15. Samodejne nastavitve
tu je prehod, na fe80::6
si v omrežju 2001:1470:c:100::/64
za naslov in DNS vprašaj DHCP
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100:1:2:3:4
DNS: 2001:1470:c::d
domena: sirikt.si

16. Samodejne nastavitve
kje je strežnik DHCP?
potrebujem IPv6-naslov in
podatke za DNS
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100:1:2:3:4
DNS: 2001:1470:c::d
domena: sirikt.si

17. Samodejne nastavitve
IP: 2001:1470:c:100::72
DNS: 2001:1470:c::d
domena: sirikt.si
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100:1:2:3:4
2001:1470:c:100::72
DNS: 2001:1470:c::d
domena: sirikt.si
moja globalna naslova sta 2001:1470:c:100:1:2:3:4
in 2001:1470:c:100::72

18. Samodejne nastavitve
IP: 2001:1470:c:100::72
DNS: 2001:1470:c::d
domena: sirikt.si
fe80::1:2:3:4
gw: fe80::6
2001:1470:c:100::72
DNS: 2001:1470:c::d
domena: sirikt.si
postopen prehod na DHCP – naslavljanje s SLAAC samo v
omrežjih za prenosne naprave, obiskovalce ...

19. Varnost
• sledljivost vs zasebnost
• tuneli
• ranljivosti v lokalnem omrežju
• nadzor

20. Sledljivost vs zasebnost vem, kdo si
UNIVERSITY
ID: 1:2:3:4
2001:1470:c:100:1:2:3:4
ID: 1:2:3:4
2001:db8:1:2:1:2:3:4

21. Sledljivost vs zasebnost
• IPv6-naslov je sledljiv
• dobro za varnost
• v internih omrežjih ne želimo anonimnih
sistemov
- uporabljamo DHCP in dovolimo le znane naslove
- izklopimo izbiranje naključnega IPv6-naslova
netsh interface ipv6 set privacy state=disabled
netsh interface ipv6 set global randomizeidentifiers=disabled
/etc/sysctl.conf: net.inet6.ip6.use_tempaddr=0

22. Tuneli
• na windows sistemih izklopimo
vmesnike tunelov
netsh interface 6to4 set state disabled
netsh interface isatap set state disabled
netsh interface teredo set state disabled

23. Ranljivosti
• lažni usmerjevalnik
• lažna predpona med SLAAC
• prisvojitev IPv6-naslova med NS in DAD
• preusmeritev
• poplavljanje tabele sosedov

24. Lažni usmerjevalnik
tu je vaš prehod -
pošljite meni!

25. Nadzor in varovanje s super stikalom

26. NDPMon

27. Vzemimo s seboj ...
• označimo omrežno opremo
• statične nastavitve in SLAAC
• uvedba DHCPv6
• nadzor z NDPMon