ipv6 in der mpg - workshop - hbeck/ipv6_in_der_mpg-workshop.pdf · 2002:x:x::/48 6to4-address ......
TRANSCRIPT
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 [email protected] www.gwdg.de
von
IPv6 in der MPG - Workshop
Holger Beck
Was ist IPv6?
� Zunächst ein neues Protokoll• Formatierung der Datenpakete (Header),• Funktionalitäten (Mobile IP, IPSec, Quality of Service,
Umnummerierung von Netzen),• Verfahren (z.B. Adressvergabe, Konfiguration des Router im Endgerät,
Duplicate Address Detection),� im Wesentlichen auf Schicht 3 des OSI Models (Vermittlungsschicht),� insbesondere aber ein Protokoll, dass den Adressraum des Internets
erweitert,� in der Entwicklungszeit auch mal Internet Protocol Next Generation (IPng)
genannt,� Nachfolger des aktuellen Internet Protocols IP,
• genauer: von Internet Protocol Version 4 (IPv4).
228. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Die etwas andere IP -Adresse
� Formatänderung• die Adresse ist 4x so lang (128 statt 32 Bit)• Blockung in Zahlen von je 16 Bit statt 8 Bit• man spricht hexadezimal• Trennzeichen : statt .• z.B.: 2001:0638:0600:0000:0000:0000:0E7E:0015
� Vereinfachung• Führende Nullen können weggelassen werden,
- 2001:638:600:0:0:0:E7E:15• Einmalig können aufeinanderfolgende Blöcke von Nullen weggelassen
werden (dann steht dort nur :: )- 2001:638:600::E7E:15
� Fazit• zumindest gewöhnungsbedürftig
328. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
… und davon auch noch gleich mehrere
Zuordnung Präfix binär Präfix hex Anteil der Adressen
Global Unicast 001 2xxx::/3 –3xxx::/3
1/8
Local IPv6 Address
1111 110 FCxx::/7 –FDxx::/7
1/128
Private Administration
1111 1101 FDxx::/8 1/256
Link-local Unicast 1111 1110 10 FE8x::/10 –FEBx::10
1/1024
Site-local Unicast(obsolet)
1111 1110 11 FECx::/10 –FEFx::/10
1/1024
Multicast 1111 1111 FFxx::/8 1/256
428. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Spezielle Adressen
Adresse Bedeutung
0:0:0:0:0:0:0:0 oder :: Unspecified Address, verwendet z.B. bei DHCP-Request
0:0:0:0:0:0:0:1 oder ::1 Loopback Address (analog 127.0.0.1 in IPv4)
0:0:0:0:0:FFFF:x:x IPv4-mapped IPv6 Address, IPv4-Adresse (x:x-Teil) als IPv6-Adresse abgebildet
2002:x:x::/48 6to4-Address (Kommunikation von IPv6 über IPv4-Netze)
2001:0::/32 Teredo-Addressen (Tunnelprotokoll)
y:y:y:y:0000:5EFE:x:xy:y:y:y:0200:5EFE:x:x
ISATAP Address (Tunnelprotokoll, y:y:y:y IPv6-Prefix, x:x IPv4-Adresse)
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 5
Kompliziert?
� Zunächst ist IPv6 erst einmal ungewohnt
� IPv6 ist über Jahre gewachsen• … und manchmal ging es bei der Entwicklung hin und her
� Aber in IPv6 sind viele Erfahrung, die mit IPv4 über Jahre gesammelt wurden eingeflossen
� Technisch ist IPv6 nicht komplizierter• Headerformate sind einfacher
- … und sollten sich daher besser verarbeiten lassen• Verschlüsselung (IPSec) ist integriert
- … und verfügbar, wenn man es benutzen will
628. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Adressen ohne Ende
� 2128 (340.282.366.920.938.463.463.374.607.431.768.211.456, ca. 340 Sextillionen)• für jedes Sandkorn der Erde eine Adresse (stand irgendwo)• ca. 66,7 Trillionen Adressen pro Quadratzentimeter
Erdoberfläche (510 Mio km2, selbst gerechnet, keine Gewähr)
728. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
� Probleme gibt es erst wieder, wenn diese Herren mitmischen wollen:
Struktur (einer Unicast-Adresse)
� Global Routing Prefix• vom Provider vergeben• hierarchische Struktur• typisch: 48 Bit, 248 =
281.474.976.710.656 ~ 281 Billionen Netze
� Subnet Identifier• für lokale Aufteilung der Netze• typisch: 16 Bit, 216 = 65.536
Subnetze
� 264 = 18.446.744.073.709.551.616 Adressen pro (Sub-) Netz(ca. 18 Trillionen)
� Verschwendung durch riesige Subnetze?
� Ping aller Adressen eines Subnetzes nicht mehr möglich
• bei 1 Node/s: ~ 584 Mrd. Jahre
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG -Workshop
8
Global Routing Prefix SubnetID Interface ID
64 Bit64 Bit
n Bit 64-n Bit
Multicast-Adressen
� Flags:• R: Rendevous point
(Multicast stream)• P: Prefix embeded
(in Group ID)• T: Temporary/Well known
� Scope:• 1: Interface-local• 2: Link-local• 4: Admin-local• 5: Site-local• 8: Organization-local• E: Global
Beispiele:� Interface-local scope
• FF01::1 All nodes• FF01::2 All routers
� Link-local scope• FF02::1 All nodes• FF02::2 All routers• FF02::5 OSPFIGP• FF02::6 OSPFIGP designated
routers• FF02::1:2 All DHCP Agents
� Site-local scope• FF05::2 All routers• FF05::1:3 All DHCP servers
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 9
FF Scope Group ID
112 Bit8 Bit 4 Bit
Flags0RPT
4 Bit
ICMPv6
� Alt bekannte Funktionalitäten• Echo Request / Reply (ping)• Destination unreachable (verschiedene Varianten)• Time Exceed (traceroute)
� Neue Funktionen• Neighbour Discovery (ND)
- ARP-Ersatz: Neighbour Solicitation (NS) / Advertisement (NA)- Inverse Neighbour Discovery (IND)- Secure Neighbour Discovery (SEND)- Router Solicitation (RS) / Router Advertisement (RA)- Neighbour Unreachabilty Detection (NUD)- Duplicate Address Detection (DAD)
• für Autoconfiguration28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 10
Netzwerkkonfiguration am Endgerät bei IPv6
� Verschiedene Methoden, einem Endgerät eine IPv6-Adresse zuzuweisen:• Stateless Address Autoconfiguration (SLAAC)• Stateless DHCPv6• Stateful Autoconfiguration / DHCPv6• Manuelle Konfiguration einer statischen Adresse
1128. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Autoconfiguration SLAAC
� Stateless Address Autoconfiguration (SLAAC)• Rechner generiert selbst Interface ID,• erzeugt „tentative Address“ aus Interface ID und Link-Local Prefix,• Neighbour Solicitation an alle Nodes / Duplicate Address
Detection (DAD)• Router Solicitation per Multicast an alle Router• Router Advertisements (RA) liefert Routing-Informationen (Default
Route) von allen Routern,• oder der Link Local Prefix in Abwesenheit von Routern verwendet.
� Routing über mehrere alternative Wege damit automatisch unterstützt.
� Problem (absichtlich oder unabsichtlich) falscher RAs� SLAAC liefert keine weiteren Informationen z.B. zu DNS
• Über Router Advertisements kann mit geteilt werden, dass über DHCPv6 ergänzenden Informationen bezogen werden können
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 12
Autoconfiguration : DHCPv6
� Stateless DHCPv6• Subset von DHCPv6
- DHCP-Informationen wie DNS-Server usw.- aber keine Adressvergabe- antwortet nur auf Information Request
• für Einsatz auf Router- optional zusätzlich auch Relay-Funktion
� Stateful Autoconfiguration / DHCPv6• über RAs kann Verwendung von DHCPv6 statt SLAAC
signalisiert werden,• neue DHCP-Nachricht: Reconfigure vom Server
- Server kann Änderung von Adressen/Informationen auslösen
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 13
Konstruktion der Interface ID bei Autoconfiguration
� EUI-64• = Extended Unique Identifier,• eine Form einer unique stable address,• basiert auf MAC-Adresse,• aufgefüllt mit FFEE zwischen 3. und 4. Byte• und „locally administered Bit“ gesetzt (2. Bit)
- aus 00-21-70-7E-59-B2- wird 0221:70FF:FE7E:59B2
� Temporäre, transiente Adressen• "Privacy Extensions for Stateless Address Autoconfiguration in
IPv6" (RFC 4941)• generiert über Zufallszahlen• wechselnd
1428. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Interface ID und Datenschutz
� Datenschutzproblem (ohne Privacy Extensions)• auch in verschiedenen Netzen bleibt die Interface ID immer gleich!• über immer gleich bleibende Interface ID
- lassen sich Benutzerprofile erstellen- z.B. beim Surfen mit mobilen Geräten unabhängig von der
Netzanbindung,� Datenschutzproblem in Firmennetzen
• nichts neues,• meist feste Adressen schon mit IPv4.
� Datenschutzproblem im Privatbereich und in mobilen Netzen• bisher dynamische Vergabe,• wechselnde Adressen,• also ein neues Problem
� Anderes Datenschutzproblem: eindeutige Präfixe für Privatanschlüsse?
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 15
Nutzung von Privacy Extensions
� Verfügbarkeit und Standardeinstellung (http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1204783.html, 13.04.11)
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 16
Netzwerkadministration und Privacy Extensions
� Probleme des Netzwerkadministrators• wechselnde, zufällige Adressen:
- kein Überblick über das Netz mehr• DHCP im Institutsnetz statt Autoconfiguration?
- Positiv für Administration,- Negativ für Datenschutz
� Netzwerkmanagementlösung?• Zuordnung MAC-IPv6 ermitteln/aufzeichnen? • Und alles an der MAC-Adresse festmachen?
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 17
IPv6 aus Endnutzersicht
� Was brauche ich?• ein halbwegs neues Betriebssystem
- da ist dann alles drin• so sollte es zumindest sein
- vielleicht ist noch der DSL-Router zu alt, der Provider unterstützt IPv6 nicht, …
� Was muss ich tun?• Einschalten
- wenn es nicht sowieso schon eingeschaltet ist- (eigentlich lieber erst mal abschalten, solange es nicht
wirklich betrieben wird und funktioniert)• Netzwerk sollte automatisch konfiguriert werden.
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 18
IPv6 aus Serverbetreibersicht
� Was brauche ich?• Kommt auf den Dienst an,• mit etwas Glück reicht Einschalten,• dumm gelaufen, wenn in irgendwelchen Protokollen,
Programmen oder Datenbanken 32 Bit für Adressen fest eingebaut sind (z.B. FTP-Protokoll):
- besser Namen statt Adressen verwenden.� Was muss ich tun?
• Prüfen, ob meine Dienstangebote mit IPv6-Probleme haben- … dann ggf. anpassen.
• Prüfen, ob ich Kunden/Nutzer habe, die nur IPv6-Adressen bekommen
- … und dann ggf. schleunigst mit dem Netzbetreiber reden.
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 19
IPv6 aus Netzbetreibersicht
� Was brauche ich?• IPv6-fähige Router• IPv6-fähige Firewalls• IPv6-fähige Infrastrukturdienste
- DNS-Server- DHCP-Server- Managementanwendungen
� Was muss ich tun?• Fortbilden,• prüfen,• planen,• beschaffen,• in Betrieb nehmen.
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 20
IPv6 und DNS
� Erreichbarkeit der DNS-Server über IPv6• für IPv6-only-Netze bzw. Endgeräte
- noch nicht dringend• dafür reicht auch ein Slave mit IPv6-Adresse irgendwo in der
Welt� IPv6-Adressen in DNS-Resource-Records
• neuer Recordtype für Auflösung Name zu IPv6-Adresse- AAAA
• neue Domäne für Auflösung IPv6-Adresse zu Name- ip6.arpa
• in aktueller DNS-Server-Software kein Problem
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 21
IPv6 und DNS -RRs
� Name zu Adresse• Neuer Resource-Record AAAA• Liefert IPv6- statt IPv4-Adresse
- www.example.com IN AAAA 2001:638:600::E7E:15� Adresse zu Name
• weiterhin PTR-Records, aber Domäne ip6.arpa statt in-addr.arpa• Problem mit dem Format
- Jede Hexadezimalziffer einzeln im PTR-Record- z.B. PTR für 2001:638:600::E7E:15- 5.1.0.0.e.7.e.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.6.0.8.3.6.0.1.0.0.2.ip6.arpa.
IN PTR www.example.com- sehr mühsam und fehleranfällig
• Vorteile bei Generierung von PTR-Records aus IPv6-Adressen im IPAM-System• Delegation von ip6.arpa-Zonen
- erfolgt vom Provider (z.B. DFN-Verein)
2228. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Stand IPv6 im DFN -Wissenschaftsnetz
� Routing• DFN verfügt über den Adressbereich 2001:638::/32, • stellt DFN-Nutzern /48er Bereiche zur Verfügung, z.B.
- 2001:638:600::/48 für die GWDG,• soweit auf Nutzerseite gewünscht,• dynamisches Routing mit BGP bei redundanten Anschlüssen
� DNS• Reverse Mapping für den eigenen Bereich auf DFN-Servern• Delegation der jeweiligen Netze an Kunden
- inkl. Angebot eines Slave-Server beim DFN� Fazit: Alles notwendige verfügbar, es kann losgehen!
2328. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Stand IPv6 im GÖNET
� Ja, wir haben IPv6• … wir bieten es nur noch (fast) niemanden an.• Ausnahmen:
- Testnetz in der Informatik- Testnetz in der Universitätsmedizin (RZ)
� Wir haben später angefangen als der DFN-Verein� Der DFN betreibt (fast) nur Router
• … das wäre auch im GÖNET einfach
2428. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop
Dual Stack und unvollständige Konnektivität
� Standardeinstellung bei Dual Stack• IPv6 wird bevorzugt (i.d.R.)
� Problem• DNS liefert IPv6-Adresse,• IPv6 ist aktiv (nicht nur Link-local),• aber eine IPv6-Verbindung zum Ziel funktioniert nicht,• Ergebnis: Ziel nicht oder nur nach Timeouts
erreichbar.
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 25
IPv6 und Security
� Positiv• IPSec integriert
- Nutzung?• Netzwerkscan nicht direkt möglich
- Indirekt: z.B. DNS-Einträge- bei lokalem Zugriff: All-Nodes-Multicast, RA, DAD, Neighbour Cache
� Dual Stack• auch IPv6 muss in Firewalls berücksichtigt werden,• Sonst hat meine eine Hintertür im Netz.
� Fehlende Werkzeuge� Neue Software – Kinderkrankheiten – neue Bugs� Neue Features – neue Angriffspunkte
• Autoconfiguration / ND• DAD-Reaktion als Denial auf Service• Router Advertisements (Umleitung auf falsche Router)• Routing Header / Source Routing
� Tunneling• Auch Teredo im IPv4-Netz
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 26
Mobile IPv6
� Roaming auf Netzwerkschicht / Layer 3� Funktion
• Mobile Node(MN) mit- Home Address und - Care-of Address (Adresse im fremden Netz)
• kommuniziert über Home Agent (HA)- über Tunnel (Bidirectonal Tunneling)
• mit einem „Corresponent Node“ (CN)• oder direkt mit CN
- nach „Return Routability Procedure (Route Optimization)� Realisierung
• Spezielle ICMPv6 Pakete• Registrierung von Care-of Address• Sicherheitsprozeduren zum Schutz gegen Fälschung / Spoofing
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 27
Transition -Mechanismen
� Ein ganzer Zoo• Tunneling-Varianten• Translation-Varianten
� Aktuell• 4in6• 6in4• 6over4• 6to4• ISATAP• IVI• Teredo• Tunnel Setup Protocol (TSP)• Stateless IP/ICMP Translation
(SIIT)
• 6rd• Transport Relay Translation
(TRT)• NAT64 / DNS64• Dual-Stack Lite (DS-Lite)
� Drafts• 4rd• AYIYA• dIVI
� Deprecated• NAT-PT• NAPT-PT
28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG -Workshop
28
Und sonst
� Routing-Protokolle� Browser
• http://[ipv6-addresse] zum Browsen über IPv6-Adresse� Web-Proxies
• müssen IPv6 unterstützen� IP-Header
• einfacheres Format im Header (weniger Felder),• dafür Verkettungsmöglichkeit für mehrere Header
- Feld Next Header zeigt auf Extension Header• mit unterschiedlichen Funktionen
� Umnummerieren von Netzen / Network Renumbering• bei Providerwechsel nötig,• Autoconfiguration erleichtert Umnummerieren,• Übergangsprozeduren mit mehreren aktiven Prefixes,• DNS-Einträge, Firewallregeln usw. müssen aber auch noch angepasst
werden.28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 29