Služby správce.eu přes IPv6

Podobné dokumenty
DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Y36SPS Jmenné služby DHCP a DNS

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Jmenné služby a adresace

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Co nového v IPv6? Pavel Satrapa

Počítačové sítě 1 Přednáška č.5

Audit bezpečnosti počítačové sítě

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

DNSSEC Pavel Tuček

Automatická správa keysetu. Jaromír Talíř

DNS, DHCP DNS, Richard Biječek

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Falšování DNS s RPZ i bez

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Site - Zapich. Varianta 1

Komunikace v sítích TCP/IP (1)

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Úvod do síťových technologií

Téma 2 - DNS a DHCP-řešení

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Inovace výuky prostřednictvím šablon pro SŠ

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Standardizace Internetu (1)

Co znamená IPv6 pro podnikovou informatiku.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Inovace výuky prostřednictvím šablon pro SŠ

Semestrální projekt do předmětu SPS

Úvod do informatiky 5)

WPAD a bezpečnost v DNS

Domain Name System (DNS)

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Stav IPv4 a IPv6 v České Republice

Co nového v ICANN. Aneb problémy vládce Internetu. Ondřej Filip ondrej.filip@nic.cz

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

Počítačové sítě 1 Přednáška č.10 Služby sítě

Ondřej Caletka. 2. března 2014

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Firewall. DMZ Server

Nezávislé unicast a multicast topologie s využitím MBGP

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

The Locator/ID Separation Protocol (LISP)

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Protokoly úrovně 3 nad ATM

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

ové služby na IPv6-only

Zásobník protokolů TCP/IP

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Domain Name System (DNS)

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Úvod do IPv6. Pavel Satrapa

Bezpečnost sí, na bázi IP

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Počítačové sítě internet

X36PKO Úvod Protokolová rodina TCP/IP

Číslování a adresování v klasických a IP telefonních sítích

Dual-stack jako řešení přechodu?

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Překlad jmen, instalace AD. Šimon Suchomel

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě II. 13. Směrování Miroslav Spousta,

Směrovací protokoly, propojování sítí

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Výpis z registru doménových jmen.cz

Inovace výuky prostřednictvím šablon pro SŠ

Střední průmyslová škola, Mladá Boleslav, Havlíčkova 456 Maturitní otázky z předmětu POČÍTAČOVÉ SÍTĚ

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Část l«rozbočovače, přepínače a přepínání

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Služba IP VPN FORTE TECHNICKÁ SPECIFIKACE SLUŽBY (TSS) BVPN FORTE

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

DoS útoky v síti CESNET2

Protokoly omezující moc certifikačních autorit

Protokol IP verze 6. Co je to IPv6. Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Budování sítě v datových centrech

BIRD Internet Routing Daemon

Síťování ve Windows. RNDr. Šimon Suchomel

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Škola. Číslo projektu. Datum tvorby 12. září 2013

Transkript:

Služby správce.eu přes IPv6 Prague, June 6 th 2012

Proč jsme zde http://www.worldipv6launch.org/

Přehled EURid Čeho jsme již dosáhli Čemu jsme se již přiučili Bezpečnost! IPv6 : nový protokol přinášející nové výzvy a příležitosti Vybraná čísla

EURid Správce domény nejvyšší úrovně.eu ~ 3.600.000 domén Mezi deseti největšími TLD na světě DNSSEC Organizace: 4 pobočky / podpora ve všech oficiálních jazycích EU Moje role: Regional manager Central Europe Pobočka v Praze pro CZ, SK, PL, HU, BG a RO

Čeho jsme již dosáhli Čemu jsme se již přiučili

Čeho jsme již dosáhli Autoritativní služby DNS pro zónu.eu přes IPv6: Od 2007: 2001:1470:8000:100::1 (l.eu.dns.be. Námi provozovaný server v Lublani) Od 2010: 2001:67c:1010:23::53 (y.nic.eu. anycast provider NetNod) Náš veřejný web server: www.eurid.eu. Od června 2011: 2001:67c:40:1::210 (neodstranili jsme AAAA record po World IPv6 Day, 8. června) Naše registrační testovací prostředí (http / https): 2. dubna 2012: tryout6.registry.eu. is 2001:67c:40:1::201 2. května 2012: tryout.registry.eu. has both A and AAAA record

Co plánujeme Náš ostrý registrační systém Umístěn ve stejném data centru jako testovací IPv6 je možný Všechny servery mohou mít jak IPv4 tak IPv6 adresu Čekáme na zkušenosti v testovacím registračním prostředí Veřejné registrační služby: whois a das V plánu, nutno vyřešit rate limiting Autoritativní jmenné servery pro.eu: V plánu mít IPv6 adresu pro každý autoritativní NS (v rámci projektu navýšení počtu vlastních anycastových serverů)

Čemu jsme se již přiučili Zavedení IPv6 vyžaduje plánování: Z hlediska databáze jsou IP adresy na překvapivě mnohých místech (zadání/změna/uložení/zobrazení/ ). Na všechny je třeba myslet. Síť IPv6 ještě není tak provázaná jako síť IPv4. Z toho důvodu nemusí být dva subjekty na IPv6 schopny komunikovat Nepropagujeme IPv6 adresu x.nic.eu. Protože v některých částech sítě IPv6 byla nedostupná! Jiné služby mohou pociťovat vedlejší efekty: Např. v začátcích při odděleném webu přes IPv4 a IPv6 problémy s absolutními URL Webové služby by měly mít relativní URL, absolutní URL přepojují návštěvníky zpět na IPv4 pokud je tam pouze IPv4 adresa (A record).

Bezpečnost! IPv6 : Nový protokol přinášející nové výzvy a příležitosti

Nový protokol Ačkoliv byl vznik IPv6 motivován především předpovědí nedostatku volných IPv4 adres (v současné době stále více a více reálného), nejde o pouhé rozšíření délky adresy, ale jde o nový protokol s novými principy. Například automatická konfigurace přináší nové bezpečnostní výzvy Obrovský adresní rozsah u IPv6 vyžaduje změnu přístupu ke konfiguraci: Problém: Rate limiting Výzva: být o krok napřed před layer 2 útoky. Příležitost: ochrana před nežádoucími adresami.

Rate limiting? Správci TLD uplatňují limity proti data miningu z databáze. Postižené služby: whois a das. VIPv4: Uplatnění horního limitu pro počet událostí (např. spojení) z jedné (1) IPv4 adresy. VIPv6: Vzhledem k síti /64, může klient provádět každý dotaz z jiné IPv6 adresy v rozmezí! (množství dostupných adres.)

Výzva: layer 2 útok Obrovské sítě (/64) vyhledávání layer 2 adres (MAC)! Vyhledání Layer 2 adresy vyžaduje zdroje: Paměť pro uložení paketu, pro který je adresa vyhledávána CPU Zdroje jsou blokovány dokud není adresa vyhledána Ale co se stane, když útočník posílá pakety na neexistující adresy? Pro každý paket jsou zdroje blokovány maximální čas (všechny pokusy) Máme dost zdrojů, když útočník pošle hodně paketů? IP(v4) má implicitní ochranu: malé sítě /29 mezi externím routerem a firewallem IPv6: lokální síť /64 Dává útočníkovi hodně prostoru pro vyvolání procesu vyhledání layer 2 adresy! Možností je konfigurace /125 na zařízeních ve vnější síti

Příležitost: nežádoucí adresy Alokace adres v IPv4 světě je komplikovaná Mnoho bloků adres, které nejsou použitelné ve veřejném Internetu, je náhodně rozeseto v adresním prostoru: ~ privátní adresový prostor: 10/8, 172.16/12 a 192.168/16 ~ IPv4 link local adresy: 169.254/16 ~ (a mnoho dalších rozsahů, které jsou z historických důvodů nepoužitelné) Poznámka: tyto rozsahy není možné agregovat! Vytváření routovacích nebo filtrovacích pravidel je komplikovanější, takovéto seznamy jsou dlouhé každý používá 0.0.0.0/0 jako default destination

Příležitost: nežádoucí adresy V IPv6 je adresování mnohem lépe uspořádané Ekvivalentní rozsahy (k IPv4) jsou blízko u sebe: ~ privátní adresní rozsah: FC00::/7 (Universal Local Addresses RFC 4193) ~ IPv6 link local adresy: FE80::/10 ~ Mnoho dalších rozsahů není z historických důvodů použitelných, ale veřejný adresní prostor v IPv6 je: 2000::/3 Z toho vyplývá: Na veřejných serverech není nutné používat ::/0 jako default gateway, ale lze použít 2000::/3 (a ::/0 směrovat do /dev/null) Pokud útočník propaguje (bgp) nějaký, např. 7000:: rozsah, tato konfigurace automaticky zabraňuje komunikaci (myšlenka původně od Freda Bakera, Cisco, v IETF mailing listu)

Vybraná čísla

Webový server 100% 0,11% 0,08% 0,07% IPv4 versus IPv6 hits on www.eurid.eu 99% 98% 97% 2,21% 3,21% 4,59% 4,23% 4,81% 4,37% 4,86% 4,55% 96% 95% 94% 93% 99,89% 99,92% 99,93% 97,79% 96,79% 95,41% 95,77% 95,19% 95,63% 95,14% 95,45% %IPv6 %IPv4 92% 91% 90% 6.11 7.11 8.11 9.11 10.11 11.11 12.11 1.12 2.12 3.12 4.12

l.eu.dns.be: % IPv4 dotazů

Glue záznamy v zóně 0% 5% Jen IPv4 Jen IPv6 IPv4 i IPv6 95%

Dotazy? regina.fuchsova@eurid.eu

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář