Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Next Generation Internet: IPv6 & IPsec
Matteo Cicuttin
Opensource Day 2010 @ Universita di Udine
27 Novembre 2010
Copyright c©2010 Matteo Cicuttin (matteo DOT cicuttin AT gmail DOT com). These slides are released in
Creative Commons (Attribution Non-commercial Share Alike (by-nc-sa)), you may share or modify them, but you
have to credit the author and report this licence.
1 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Chi sono?
Attualmente sono al quinto anno di informatica, ma ho lavoratonel campo dell’HPC e tuttora faccio qualche consulenza. Miinteresso di diversi (troppi) temi, tra cui:
OS Development (yauosk e CfE)
HPC (CfE)
Compilatori e macchine virtuali (ope)
Security e networking (IPv6-enabled dal 1999)
Elettronica, TLC e radio (IV3IWE)
2 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Agenda
Di cosa parleremo?
IPv6 & IPsec: cosa sono e perche ne parliamo
Il protocollo IPv6
IPv6 e sicurezza: IPsec
Meccanismi di transizione da IPv4 ad IPv6
Conclusioni
3 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Cos’e IPv6?
IPv6 e il protocollo che soppiantera IPv4, l’attuale “lingua”tramite cui si parlano i computer connessi ad Internet.
Il cambiamento e reso necessario (prevalentemente) dal fattoche il numero di dispositivi connessi ad Internet e sempremaggiore.
4 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Cos’e IPsec?
IPsec fornisce autenticazione e cifratura a livello IP
Ci permette di comunicare in modo sicuro rendendo vane leintercettazioni e rendendo rilevabili spoofing e MITM.
5 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
E perche ne parliamo (nello stesso talk)?
Si, sono due cose diverse e andrebbero trattate in due talkdifferenti: all’inizio volevo parlare solo di IPsec, ma...
...IPv6 e IPsec sono legati dal fatto che le implementazioniIPv6 “compliant” devono supportare IPsec
L’ignoranza che c’e in entrambi gli argomenti e allarmante:c’e addirittura chi crede (tecnici) che un indirizzo IPv6 sia deltipo 111.222.333.444.555.666
Purtroppo il tempo non ci permettera di concentrarci su troppidettagli, e metteremo parecchia carne al fuoco. Il mio scopo eincuriosirvi ed iniziare con voi un discorso che poi potreteapprofondire autonomamente...
6 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Alcune tappe di IPv6
Fine anni ’80: consapevolezza dei limiti di IPv4
1992: Call for papers da parte dell’IETF per definire IPng
1995: RFC1883, “IP Protocol version 6”
1996: Linux 2.1.8, IPv6 in alpha
1997: AIX 4.3 primo OS commerciale a supportare IPv6
2000: IPv6 production quality in *BSD e Solaris 8, MSRIPv6in NT4 e 2000
2001: XP fornito con stack IPv6
2003: OSX ha IPv6 abilitato di default
2007: Vista ha IPv6 abilitato di default
2008: Record AAAA nel DNS, era l’ultimo pezzo mancante
7 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
IPv6 oggi
2011: Solo il core di Internet e i carrier sono full production inv4 e v6. Molti provider/operatori stanno a guardare. Iproduttori di router SOHO aspettano l’ultimo in modo dacostringerci a cambiare tutti gli apparati. Alcune realta moltopiccole sono invece IPv6-ready.
2012: Previsto esaurimento dello spazio IPv4 (svelato ilmistero che ultimamente fa impazzire tanta gente), primi hostinvolontariamente IPv6-only.
8 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Nota
In realta mentre scrivevo queste slides so-no state fatte delle grosse allocazioni eda oggi (26/10/2010) mancherebbero 95giorni
9 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Overview peering IPv6 al MIX
Provider Peering Banda (Gbps)Aruba v4 2.5BT Italia v4 2CogentCO v4 10I.net v4 3Eutelia v4/v6 2.6Fastweb v4 20GARR v4/v6 28Global crossing v4 1Google v4 N/AITGate v4/v6 1McLink v4 1Seeweb v4/v6 2Telecom Italia v4 10Tiscali v4/v6 10Vodafone v4 10Wind v4 10
Fuorviante: non e detto che internamente “siano fermi”. TelecomItalia ad esempio ha il TILAB (CSELT fino al 2001). Chi si ricordadi https://carmen.cselt.it/ipv6tb?
10 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Indirizzamento IPv6 - Indirizzi
Molto brutalmente, con IPv6, passiamo da 32 bit di indirizzo a 128bit di indirizzo. In altre parole passiamo da 1 IP ogni 7 milioni dimetri quadri a 666 mila miliardi di miliardi di IP per metroquadro (!).
Formato degli indirizzi
Esteso: 2001:0DB8:0000:0000:0001:0002:3333:4444Compresso: 2001:DB8:0:0:1:2:3333:4444Zero-compression: 2001:DB8::1:2:3333:4444
In IPv6 l’indirizzo non si divide piu in bit di rete/bit di host ma inprefisso/suffisso. Notazione CIDR (non esiste piu la subnet mask):
IPv6 CIDR Notation
2001:DB8::1af8/64
11 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Indirizzamento IPv6 - Struttura di un indirizzo
/48 identificano un sito (ADSL di casa vostra, ...)
/64 identificano una subnet di un dato sito
/128 identificano un host in una data sottorete di un dato sito
Questa allocazione “rigida” ha importanti conseguenze pratiche.Una e che il routing viene fatto in modo puramente gerarchico,un’altra la vedremo tra qualche slide... Un sito, tipicamente, riceveuna /48 statica. Basta IP dinamici.
12 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Indirizzamento IPv6 - Topologia di un sito
Internet
Frigorifero
Microonde
ComputerPS3
Router
Cucina
Salotto
TV
DVR
Soggiorno
2001:db8:abcd::/48
2001:db8:abcd:1::/64
2001:db8:abcd:2::/64
2001:db8:abcd:3::/64
13 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Indirizzamento IPv6 - Classi di indirizzi
In IPv6 esistono differenti classi di indirizzi (RFC3513):
Link-local: fe80::/10
Site-local: fec0::/10, deprecati nel 2004 da RFC3879
Unique local addresses (RFC4193): fc00::/7
Multicast: ff00::/8
Loopback: ::1/128
Global Unicast: attualmente indirizzi in cui i primi 3 bit sono001
Con questa allocazione abbiamo esaurito solo il 15% dell’addressspace e abbiamo allo stesso tempo coperto tutte le esigenzepresenti (e, verosimilmente, future) di indirizzi (RFC3177).
14 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Indirizzamento IPv6 - Ci risiamo con le classi??
Le classi di indirizzi sono state il male di IPv4, ora le rimettiamo??La risposta e, naturalmente, no, almeno non nello stile di IPv4.Ogni interfaccia tipicamente ha almeno l’indirizzo Link-local, poise connessa alla Internet globale avra anche il Global UnicastAddress ed in un contesto aziendale, eventualmente, un ULA.
Niente piu NAT, tranquilli 1 :)Ma IPv6 non porta solo indirizzi piu lunghi, per fortuna...
1Per chi ancora crede che il NAT porti sicurezza consiglio http//www.s0ftpj.org/bfi/dev/BFi13-dev-17
15 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Stateless address autoconfiguration
In IPv4 avevamo il meccanismo del DHCP per l’assegnamentodegli indirizzi, ora esiste la Stateless address autoconfiguration(RFC2462).
L’host genera un indirizzo “tentative”
Viene verificata la sua unicita
Contatto con il router
Configurazione del global address
L’indirizzo IP viene generalmente generato a partire dall’indirizzodi livello 2...uhm...e la privacy?? Privacy extensions in BSD.Esiste anche DHCPv6 che pero non tratteremo (RFC3315,RFC3633 e altri).
16 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
La famosa conseguenza pratica (una tra tante)...
Cosa succede se dobbiamo rinumerare una rete, ad esempioquando cambiamo provider? Il nostro router ricevera un diversoprefisso dal nuovo provider: molto spannometricamente, grazie allaStateless Address Autoconfiguration, questo prefisso verra“ridistribuito” dal nostro router alle varie subnet a cui e connesso eautomagicamente la rete e rinumerata!Se il provider A ci fornisse ad es. una /48 ed il provider B una /56passare da A a B creerebbe un po’ di difficolta (tipiche in IPv4)...
17 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Multicast
In IPv6 non esiste piu il broadcast a livello IP, tutto viene fatto viamulticast, ad esempio:
Indirizzo Funzione
ff02::1 all-nodesff02::2 all-routersff02::0 RIP routersff02::fb mDNSv6
Non sono i soli:http://www.iana.org/assignments/ipv6-multicast-addresses/
ipv6-multicast-addresses.xml
18 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Altre novita
Jumbograms (= pacchetti da 4 GB: utili ad es. su Infiniband)
Semplificazioni che riguardano l’elaborazione dei pacchetti daparte dei router
Opzioni estendibili (dovrebbero scongiurare la necessita diriprogettare parti del protocollo in futuro)
...
19 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Sicurezza a livello 3 integrata
IPv4 e stato progettato quan-do l’intera Internet (Arpanet) era“trusted”, dunque non e previstadi default nessuna forma di pro-tezione “integrata” delle informa-zioni. Un’implementazione IPv6,invece, per essere compliant DE-VE comprendere IPsec. Andiamoallora a parlarne...
20 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
I rischi che incontriamo quando comunichiamo
La comunicazione che avviene su un canale puo essere oggetto di
Intercettazione: viene compromessa la segretezza
Spoofing: viene compromessa l’autenticita
MITM: viene compromessa (tra l’altro) l’integrita
Chiariamo meglio il significato di questi tre termini...
21 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Segretezza, autenticita, integrita
Segretezza: vogliamo che nessuno (a parte il destinatario)possa “leggere” la nostra comunicazione
Autenticita: vogliamo che sia garantito che il mittente e chidice di essere
Integrita: vogliamo che la comunicazione non sia alteratadurante il transito sul canale
IPsec e in grado di garantire questi tre requisiti tramiteAuthentication Header (AH) ed Encapsulating Security Payload(ESP). Ma prima dobbiamo dare un occhio ai modi operativi diIPsec...
22 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Modi operativi di IPsec
Transport mode
Si usa per proteggere la comunicazione tra due singoli host. Loscopo si ottiene autenticando e/o crittografando il payload deipacchetti IP.
Tunnel mode
Si usa (generalmente) per proteggere la comunicazione tra dueintere reti. Lo scopo si ottiene prendendo i singoli pacchetti IP chedevono essere trasmessi ed inserendoli in altri pacchetti autenticatie/o crittografati.
23 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
IPsec in Tunnel Mode: disegnino...
24 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Authentication header
IP protocol 51 - RFC2402
25 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Encapsulating Security Payload
IP protocol 50 - RFC2406
26 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Encapsulating Security Payload
IP protocol 50 - RFC2406
27 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
SA e SP
Ma chi dice quali sono i parametri (chiavi, algoritmi, quale trafficodeve essere processato e come, ...) che devono essere utilizzatinella comunicazione sicura? Tutto ruota attorno alle securityassociations (SA) e alle security policies (SP), che sonomemorizzate nel Security Association Database e nel SecurityPolicy Database.
28 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Security Policies
Si tratta di regole definite dall’amministratore che indicano comeprocessare il traffico in ingresso/uscita, ad esempio(spannometricamente):
src dst protocol spi192.168.0.1 192.168.0.2 ESP 0xdeadbeef192.168.0.1 any AH 0xfeedcafe192.168.1.0/27 192.168.1.32/27 ESP 0xbadcab1e
Molto importante il campo SPI: serve al ricevente per capire comeprocessare il traffico marcato con quell’SPI.
29 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Security Association
Una security association invece e una sorta di contratto tra le dueparti in comunicazione che specifica quali siano i meccanismi disicurezza da utilizzare e soprattutto quali siano le chiavi necessarieper la comunicazione. Le security associations vengono stabilitetramite il protocollo IKE.
30 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
IKE - RFC2409
IKE viene implementato da un demone che gira in user space. Lanegoziazione delle chiavi avviene tramite il meccanismo diDiffie-Hellmann: grazie ad esso e possibile stabilire le chiavi per lacrittografia simmetrica usate nella comunicazione. Le due partivengono autenticate tramite meccanismi a chiave pubblica otramite segreto condiviso. Una volta che le chiavi sono statestabilite, vengono passate allo stack IPsec che gira in kernel space.IKE si compone di 2 fasi:
Phase 1 : Serve a creare un canale di comunicazione sicuro
Phase 2 : In questa fase le parti coinvolte nella comunicazioneutilizzano il canale sicuro precedentemente creato perscambiare le chiavi necessarie agli altri servizi, ad esempioproprio IPsec.
Non diciamo altro: una delle difficolta di IPsec e proprio IKE.
31 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
RFC relativi ad IPsec
RFC4301: Security Architecture for the Internet Protocol
RFC2402: Authentication Header
RFC2406: Encapsulating Security Payload
RFC2408: ISAKMP
RFC2409: IKE
RFC3947: Negotiation of NAT-Traversal in the IKE
32 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Tunneling
Si tratta, molto semplicemente, di incapsulare i pacchetti IPv6 inpacchetti IPv4 e spedirli ad un Tunnel broker : in poche parole euna specie di provider che fornisce connettivita IPv6 e che invecedi arrivare a noi direttamente su ADSL, arriva tramite IPv4.Concettualmente e simile ad una VPN.
Forse e il modo piu diffuso per ottenere connettivita IPv6
I maggiori TB sono Hurricane Electric, SixXS e gogoNET
33 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
6to4
Non c’e bisogno di configurare tunnel espliciti: esiste un indirizzoIPv4 anycast (192.88.99.1) al quale tramite un’interfaccia di retevirtuale vengono inviati, sempre incapsulati in IPv4, i pacchettiIPv6. Ormai ogni sistema operativo fornisce di default l’interfacciavirtuale in questione.
34 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Teredo
6to4 fa a botte con il NAT (tanto per cambiare). Senza scenderenei dettagli, Teredo e qualcosa di simile a 6to4, solo fatto appostaper superare le difficolta causate dal NAT. Le ultime versioni diWindows supportano Teredo senza problemi. Per i sistemi Unix(dunque Linux, FreeBSD, MacOS X, ...) c’e miredo.
35 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Meccanismi di transizione
Abbiamo parlato di 3 meccanismi di transizione.
Tunneling: e sicuramente quello piu completo e che permettedi avvicinarsi maggiormente a quella che sara la situazione conIPv6 nativo, ma e anche il piu invasivo.
6to4: si abilita in 2 secondi e funziona subito. A patto diavere un IP pubblico.
Teredo: non fornito con la maggior parte dei sistemi, ma siinstalla molto facilmente.
6to4 e Teredo condividono un problema: alcuni bit dell’indirizzoIPv6 vengono calcolati in base all’indirizzo IPv4, e dunque nienteIPv6 statici (se IPv4 non e statico).
36 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Cosa abbiamo visto?
Le funzionalita salienti del nuovo protocollo IP
Come esso preveda la possibilita di comunicazioni sicuretramite IPsec
Le tecnologie che ci permetteranno il passaggio da IPv4 adIPv6 in modo quasi indolore
37 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Cosa non abbiamo visto?
La “situazione” mi ha fatto preferire una discussione “divulgativa”ad una discussione “profonda” e relativa ad una sola delle duetecnologie, per cui abbiamo tralasciato molte cose. Sarebbe statobello parlare di:
DNS & IPv6
NDP (il sostituto di ARP)
Mobile IPv6
Routing IPv6
...
Per quanto riguarda IPsec, sarebbe stato interessante “mettere lemani” e vedere come configurare veramente delle macchine, ma in45 minuti e un po’ difficile :)
38 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Domande?
39 / 40
IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni
Grazie!
Grazie a tutti per la partecipazione!Feedback: [email protected]
Slides a breve disponibili sul sito di IGLU e suhttp://www.matteocicuttin.it/
40 / 40