IPv6 Autokonfigurace a falešné směrovače

Podobné dokumenty
(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Standardizace IPv6 v IETF Matěj Grégr

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Na cestě za standardem

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Site - Zapich. Varianta 1

Nasazení IPv6 v podnikových sítích a ve státní správě

X36PKO Úvod Protokolová rodina TCP/IP

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

IPv6. Miroslav Čech. (aktualizováno 2009, J. Blažej)

Desktop systémy Microsoft Windows

IPv6: Doporučení pro konfiguraci aktivních prvků

Protokol IPv6, část 2

Protokol IP verze 6. Co je to IPv6. Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

IPv6 bezpečnostní hrozby (IPSec to srovná) Tomáš Podermański,

Standardizace Internetu (1)

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Semestrální projekt do předmětu SPS

Instalační návod IP kamer

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Úvod do IPv6. Pavel Satrapa

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Počítačové sítě 1 Přednáška č.5

Co nového v IPv6? Pavel Satrapa

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Úvod do síťových technologií

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Stav IPv4 a IPv6 v České Republice

Y36SPS Jmenné služby DHCP a DNS

Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Konfigurace sítě s WLAN controllerem

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Jmenné služby a adresace

Dual-stack jako řešení přechodu?

Komunikace v sítích TCP/IP (1)

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

IPv6 v Sokolovské uhelné

Síťování ve Windows. RNDr. Šimon Suchomel

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

Autokonfigurace IPv6 v lokální sí

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

Správa systému MS Windows II

Další nástroje pro testování

Semestrální projekt do Směrovaných a přepínaných sítí

Řešení dynamické konfigurace IPv6 klientů v počítačové síti MENDELU

Komunikační sítě a internetový protokol verze 6. Lukáš Čepa, Pavel Bezpalec

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

DHCP. Martin Jiřička,

Pavel Satrapa. IP v6. Internet Protokol verze 6

MPLS MPLS. Label. Switching) Michal Petřík -

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Radek Zajíc, Seminář IPv6,

Quido - Telnet. Popis konfigurace modulů Quido protokolem Telnet. 3. srpna 2007 w w w. p a p o u c h. c o m

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Sledování ICMPv6 na segmentu LAN s protokolem IPv6

DLNA- Průvodce instalací

Analýza protokolů rodiny TCP/IP, NAT

verze 3 Téma 8: Protokol IPv6

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Co znamená IPv6 pro podnikovou informatiku.

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

OpenVPN. Ondřej Caletka.

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

Podpora DHCPv6 v operačních systémech Windows a Linux

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Routování na Mikrotiku

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Konfigurace IPv6. A7B36PSI Počítačové sítě A7B36SPS Správa počítačových sítí X36MTI Moderní technologie internetu X36LOS Lokální sítě

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Základní principy obrany sítě

Internet-bridge XPort

Implementace protokolu IPv6

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Tomáš Podermański,

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Úvod do IPv6. Pavel Satrapa, TU v Liberci

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

VG-8054u. Uživatelská Příručka. VoIP Gateway. Version A1.0, Prosinec

Multikast z pohledu uživatele

Obsah Počítačová komunikace Algoritmy a mechanismy směrování v sítích Řízení toku v uzlech sítě a koncových zařízeních...

Transkript:

IPv6 Autokonfigurace a falešné směrovače Matěj Grégr Vysoké učení technické v Brně, Fakulta informačních technologií igregr@fit.vutbr.cz UPOL 2013 1

Konfigurace adres Snaha o plug-and-play konfiguraci 1984: RARP 1985: BOOTP 1993: DHCP + DHCP Options 1996: IPv6 Stateless Address Autoconfiguration 2003: DHCPv6 2010: Router Advertisement Options for DNS Configuration 2

Link local adresa Router LL: fe80::204:96ff:fe1d:4e30 GL: 2001:67c:1220:80e::1 Neighbor Solicitation src: :: dst: ff02::1:ff21:ee49 (solicitated node) Target address: fe80::c9ee:98f6:d621:ee49 A LL: fe80::c9ee:98f6:d621:ee49 [TENT] B 3

MLD Report Router LL: fe80::204:96ff:fe1d:4e30 GL: 2001:67c:1220:80e::1 Multicast Listener Report v2 src: :: dst: ff02::16 (All MLDv2-capable routers) Hop-by-hop Router Alert Changed to exclude: ff02::1:ff21:ee49 A LL: fe80::c9ee:98f6:d621:ee49 [TENT] B 4

Globální adresa Router LL: fe80::204:96ff:fe1d:4e30 GL: 2001:67c:1220:80e::1 Router Solicitation src: fe80::c9ee:98f6:d621:ee49 dst: ff02::2 (All Routers) A LL: fe80::c9ee:98f6:d621:ee49 B 5

Globální adresa Router Advertisement src: fe80::204:96ff:fe1d:4e30 dst: ff02::1 (All Nodes) M: 0 O: 0 Router LL: fe80::204:96ff:fe1d:4e30 GL: 2001:67c:1220:80e::1 Prefix Information PrfLen: 64 A: 1 Prefix: 2001:67c:1220:80e:: A LL: fe80::c9ee:98f6:d621:ee49 GL: 2001:67c:1220:80e:d4a3:cd1b:bac:942b [TENT] B 6

Směrování C:\Users\igregr\route -6 print IPv6 Route Table ============================================================ Active Routes: If Metric Network Destination Gateway 10 266 ::/0 fe80::204:96ff:fe1d:4e30 1 306 ::1/128 On-link 10 18 2001:67c:1220:80e::/64 On-link 7

IPv6 SLAAC poznámky Samotný SLAAC nestačí chybí DNS IPv4 DNS DHCPv6 RDNSS Problematičtí klienti: Android chybí podpora DHCPv6, RDNSS Windows Vista, 7, 8, Phone 8 chybí podpora RDNSS Windows XP chybí podpora DHCPv6, RDNSS Windows Phone 7.5 chybí podpora IPv6 MAC OS < 10.7 chybí DHCPv6 8

6to4 Definováno v RFC 3056, RFC 3058 Potřebuje veřejnou IPv4 adresu Rezervován prefix 2002::/16 9

6to4 IPv4 src: 147.229.192.167 dst: 192.88.99.1 IPv6 src: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 dst: 2a00:1450:400b:c02::93 TCP HTTP A IPv4: 147.229.192.167 6to4: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 6to4 relay (6to4.nic.cz) IPv4: 192.88.99.1 IPv6: 2001:1488:800:400::151 ipv6.google.com IPv6: 2a00:1450:400b:c02::93 10

6to4 6to4 relay (6to4.nic.cz) IPv4: 192.88.99.1 IPv6: 2001:1488:800:400::151 IPv6 src: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 dst: 2a00:1450:400b:c02::93 TCP HTTP A IPv4: 147.229.192.167 6to4: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 ipv6.google.com IPv6: 2a00:1450:400b:c02::93 11

6to4 6to4 relay (6to4.nic.cz) IPv4: 192.88.99.1 IPv6: 2001:1488:800:400::151 IPv6 src: 2a00:1450:400b:c02::93 dst: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 TCP HTTP A IPv4: 147.229.192.167 6to4: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 ipv6.google.com IPv6: 2a00:1450:400b:c02::93 12

6to4 IPv4 src: 192.88.99.1 dst: 147.229.192.167 IPv6 src: 2a00:1450:400b:c02::93 dst: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 TCP HTTP A IPv4: 147.229.192.167 6to4: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 6to4 relay (6to4.nic.cz) IPv4: 192.88.99.1 IPv6: 2001:1488:800:400::151 ipv6.google.com IPv6: 2a00:1450:400b:c02::93 13

Windows a Internet Connection Sharing Sdílení Ethernet WiFi Veřejná IPv4 adresa Možnost ustanovení 6to4 tunelu 6to4 + ICS OS se rád podělí o svou IPv6 konektivitu Rozhraní, na kterém je ICS konfigurováno nemusí být aktivní 14

6to4 směrovač v IPv4 síti B IPv4: 147.229.192.150 IPv6: fe80::6154:dd83:f558:23ce IPv6: 2002:93e5:c0a7::2cb1:6d33:57bf:cace Router Advertisement src: fe80::c9ee:98f6:d621:ee49 dst: ff02::1 (All Nodes) M: 0 O: 1 A IPv4: 147.229.192.167 IPv6: fe80::c9ee:98f6:d621:ee49 IPv6: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 Prefix Information PrfLen: 64 A: 1 Prefix: 2002:93e5:c0a7:: 15

6to4 směrovač v IPv6 síti B IPv4: 147.229.192.150 IPv6: fe80::6154:dd83:f558:23ce IPv6: 2001:67c:1220:80e:2cb1:6d33:57bf:cace IPv6: 2002:93e5:c0a7::2cb1:6d33:57bf:cace Router Advertisement A IPv4: 147.229.192.167 IPv6: fe80::c9ee:98f6:d621:ee49 IPv6: 2001:67c:1220:80e:d4a3:cd1b:bac:942b IPv6: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 src: fe80::c9ee:98f6:d621:ee49 dst: ff02::1 (All Nodes) M: 0 O: 1 Prefix Information PrfLen: 64 A: 1 Prefix: 2002:93e5:c0a7:: 16

6to4 směrovač v IPv6 síti B IPv4: 147.229.192.150 IPv6: fe80::6154:dd83:f558:23ce IPv6: 2001:67c:1220:80e:2cb1:6d33:57bf:cace IPv6: 2002:93e5:c0a7::2cb1:6d33:57bf:cace A IPv4: 147.229.192.167 IPv6: fe80::c9ee:98f6:d621:ee49 IPv6: 2001:67c:1220:80e:d4a3:cd1b:bac:942b IPv6: 2002:93e5:c0a7::3936:3f4d:bda2:53c9 C:\Users\B\route -6 print IPv6 Route Table ============================================================ Active Routes: If Metric Network Destination Gateway 10 266 ::/0 fe80::204:96ff:fe1d:4e30 10 266 ::/0 fe80::c9ee:98f6:d621:ee49 1 306 ::1/128 On-link 10 18 2001:67c:1220:80e::/64 On-link 17

Počet falešných směrovačů 18

Windows 7 update Windows 7 Update 2750841 Před přiřazením adres 6to4 kontrola zda se lze připojit na relay 6to4 + ICS disabled by default Změna preferování IPv6/IPv4 Kontrola pomocí Network Connectivity Status Indicator Omezení RA flood max. 100 záznamů ve směrovací tabulce 19

Obrana? SeND (RFC 3971, March 2005) Podepisuje NS/NA zprávy Potřebuje PKI Jak nastavit certifikát klientovi? Vlastní typ adresy, nekompatibilní s: Manuální IPv6, EUI-64, Privacy extension RA-Guard, PACL (RFC 6105, February 2011), DHCPv6 snooping Zahazuje falešné zprávy RA (RA snooping) SAVI (draft-ietf-savi-*) Komplexní řešení DHCPv6, RA, kontrola podvržení adresy Podobné jako ND Inspection (Cisco/HP) Monitorovací nástroj odregistrace Vysoká priorita u RA zpráv 20

Monitorovací software Ramond http://ramond.sourceforge.net/ http://www.root.cz/clanky/ramond-past-na-falesne-ipv6-smerovace Ndwatch http://www.fit.vutbr.cz/~lampa/ipv6/ Rafixd http://www.kame.net/dev/cvsweb2.cgi/kame/kame/kame/rafixd/ Linux port: https://github.com/strattg/rafixd Ndpmon http://ndpmon.sourceforge.net/ Vlastní řešení např. pomocí Scapy http://www.secdev.org/projects/scapy/ 21

Bypassing RA guard Rozšířené hlavičky! http://6lab.cz/article/rogue-router-advertisement-attack/ 22

Shrnutí Rozdílný způsob adresace Monitorování IPv6 provozu je nutnost Problém podpory u zařízeních RDNSS, DHCPv6 Chybějící implementace RA Guard, ND snooping http://6lab.cz 23

24

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář