Next Generation Internet: IPv6 & IPsec · 2010. 11. 28. · src dst protocol spi 192.168.0.1 192.168.0.2 ESP 0xdeadbeef 192.168.0.1 any AH 0xfeedcafe 192.168.1.0/27 192.168.1.32/27

IPv6 & IPsec Protocollo IPv6 IPsec Meccanismi di transizione Conclusioni

Next Generation Internet: IPv6 & IPsec

Matteo Cicuttin

Opensource Day 2010 @ Universita di Udine

27 Novembre 2010

Copyright c©2010 Matteo Cicuttin (matteo DOT cicuttin AT gmail DOT com). These slides are released in

Creative Commons (Attribution Non-commercial Share Alike (by-nc-sa)), you may share or modify them, but you

have to credit the author and report this licence.

1 / 40


Chi sono?

Attualmente sono al quinto anno di informatica, ma ho lavoratonel campo dell’HPC e tuttora faccio qualche consulenza. Miinteresso di diversi (troppi) temi, tra cui:

OS Development (yauosk e CfE)

HPC (CfE)

Compilatori e macchine virtuali (ope)

Security e networking (IPv6-enabled dal 1999)

Elettronica, TLC e radio (IV3IWE)

2 / 40


Agenda

Di cosa parleremo?

IPv6 & IPsec: cosa sono e perche ne parliamo

Il protocollo IPv6

IPv6 e sicurezza: IPsec

Meccanismi di transizione da IPv4 ad IPv6

Conclusioni

3 / 40


Cos’e IPv6?

IPv6 e il protocollo che soppiantera IPv4, l’attuale “lingua”tramite cui si parlano i computer connessi ad Internet.

Il cambiamento e reso necessario (prevalentemente) dal fattoche il numero di dispositivi connessi ad Internet e sempremaggiore.

4 / 40


Cos’e IPsec?

IPsec fornisce autenticazione e cifratura a livello IP

Ci permette di comunicare in modo sicuro rendendo vane leintercettazioni e rendendo rilevabili spoofing e MITM.

5 / 40


E perche ne parliamo (nello stesso talk)?

Si, sono due cose diverse e andrebbero trattate in due talkdifferenti: all’inizio volevo parlare solo di IPsec, ma...

...IPv6 e IPsec sono legati dal fatto che le implementazioniIPv6 “compliant” devono supportare IPsec

L’ignoranza che c’e in entrambi gli argomenti e allarmante:c’e addirittura chi crede (tecnici) che un indirizzo IPv6 sia deltipo 111.222.333.444.555.666

Purtroppo il tempo non ci permettera di concentrarci su troppidettagli, e metteremo parecchia carne al fuoco. Il mio scopo eincuriosirvi ed iniziare con voi un discorso che poi potreteapprofondire autonomamente...

6 / 40


Alcune tappe di IPv6

Fine anni ’80: consapevolezza dei limiti di IPv4

1992: Call for papers da parte dell’IETF per definire IPng

1995: RFC1883, “IP Protocol version 6”

1996: Linux 2.1.8, IPv6 in alpha

1997: AIX 4.3 primo OS commerciale a supportare IPv6

2000: IPv6 production quality in *BSD e Solaris 8, MSRIPv6in NT4 e 2000

2001: XP fornito con stack IPv6

2003: OSX ha IPv6 abilitato di default

2007: Vista ha IPv6 abilitato di default

2008: Record AAAA nel DNS, era l’ultimo pezzo mancante

7 / 40


IPv6 oggi

2011: Solo il core di Internet e i carrier sono full production inv4 e v6. Molti provider/operatori stanno a guardare. Iproduttori di router SOHO aspettano l’ultimo in modo dacostringerci a cambiare tutti gli apparati. Alcune realta moltopiccole sono invece IPv6-ready.

2012: Previsto esaurimento dello spazio IPv4 (svelato ilmistero che ultimamente fa impazzire tanta gente), primi hostinvolontariamente IPv6-only.

8 / 40


Nota

In realta mentre scrivevo queste slides so-no state fatte delle grosse allocazioni eda oggi (26/10/2010) mancherebbero 95giorni

9 / 40


Overview peering IPv6 al MIX

Provider Peering Banda (Gbps)Aruba v4 2.5BT Italia v4 2CogentCO v4 10I.net v4 3Eutelia v4/v6 2.6Fastweb v4 20GARR v4/v6 28Global crossing v4 1Google v4 N/AITGate v4/v6 1McLink v4 1Seeweb v4/v6 2Telecom Italia v4 10Tiscali v4/v6 10Vodafone v4 10Wind v4 10

Fuorviante: non e detto che internamente “siano fermi”. TelecomItalia ad esempio ha il TILAB (CSELT fino al 2001). Chi si ricordadi https://carmen.cselt.it/ipv6tb?

10 / 40


Indirizzamento IPv6 - Indirizzi

Molto brutalmente, con IPv6, passiamo da 32 bit di indirizzo a 128bit di indirizzo. In altre parole passiamo da 1 IP ogni 7 milioni dimetri quadri a 666 mila miliardi di miliardi di IP per metroquadro (!).

Formato degli indirizzi

Esteso: 2001:0DB8:0000:0000:0001:0002:3333:4444Compresso: 2001:DB8:0:0:1:2:3333:4444Zero-compression: 2001:DB8::1:2:3333:4444

In IPv6 l’indirizzo non si divide piu in bit di rete/bit di host ma inprefisso/suffisso. Notazione CIDR (non esiste piu la subnet mask):

IPv6 CIDR Notation

2001:DB8::1af8/64

11 / 40


Indirizzamento IPv6 - Struttura di un indirizzo

/48 identificano un sito (ADSL di casa vostra, ...)

/64 identificano una subnet di un dato sito

/128 identificano un host in una data sottorete di un dato sito

Questa allocazione “rigida” ha importanti conseguenze pratiche.Una e che il routing viene fatto in modo puramente gerarchico,un’altra la vedremo tra qualche slide... Un sito, tipicamente, riceveuna /48 statica. Basta IP dinamici.

12 / 40


Indirizzamento IPv6 - Topologia di un sito

Internet

Frigorifero

Microonde

ComputerPS3

Router

Cucina

Salotto

TV

DVR

Soggiorno

2001:db8:abcd::/48

2001:db8:abcd:1::/64

2001:db8:abcd:2::/64

2001:db8:abcd:3::/64

13 / 40


Indirizzamento IPv6 - Classi di indirizzi

In IPv6 esistono differenti classi di indirizzi (RFC3513):

Link-local: fe80::/10

Site-local: fec0::/10, deprecati nel 2004 da RFC3879

Unique local addresses (RFC4193): fc00::/7

Multicast: ff00::/8

Loopback: ::1/128

Global Unicast: attualmente indirizzi in cui i primi 3 bit sono001

Con questa allocazione abbiamo esaurito solo il 15% dell’addressspace e abbiamo allo stesso tempo coperto tutte le esigenzepresenti (e, verosimilmente, future) di indirizzi (RFC3177).

14 / 40


Indirizzamento IPv6 - Ci risiamo con le classi??

Le classi di indirizzi sono state il male di IPv4, ora le rimettiamo??La risposta e, naturalmente, no, almeno non nello stile di IPv4.Ogni interfaccia tipicamente ha almeno l’indirizzo Link-local, poise connessa alla Internet globale avra anche il Global UnicastAddress ed in un contesto aziendale, eventualmente, un ULA.

Niente piu NAT, tranquilli 1 :)Ma IPv6 non porta solo indirizzi piu lunghi, per fortuna...

1Per chi ancora crede che il NAT porti sicurezza consiglio http//www.s0ftpj.org/bfi/dev/BFi13-dev-17

15 / 40


Stateless address autoconfiguration

In IPv4 avevamo il meccanismo del DHCP per l’assegnamentodegli indirizzi, ora esiste la Stateless address autoconfiguration(RFC2462).

L’host genera un indirizzo “tentative”

Viene verificata la sua unicita

Contatto con il router

Configurazione del global address

L’indirizzo IP viene generalmente generato a partire dall’indirizzodi livello 2...uhm...e la privacy?? Privacy extensions in BSD.Esiste anche DHCPv6 che pero non tratteremo (RFC3315,RFC3633 e altri).

16 / 40


La famosa conseguenza pratica (una tra tante)...

Cosa succede se dobbiamo rinumerare una rete, ad esempioquando cambiamo provider? Il nostro router ricevera un diversoprefisso dal nuovo provider: molto spannometricamente, grazie allaStateless Address Autoconfiguration, questo prefisso verra“ridistribuito” dal nostro router alle varie subnet a cui e connesso eautomagicamente la rete e rinumerata!Se il provider A ci fornisse ad es. una /48 ed il provider B una /56passare da A a B creerebbe un po’ di difficolta (tipiche in IPv4)...

17 / 40


Multicast

In IPv6 non esiste piu il broadcast a livello IP, tutto viene fatto viamulticast, ad esempio:

Indirizzo Funzione

ff02::1 all-nodesff02::2 all-routersff02::0 RIP routersff02::fb mDNSv6

Non sono i soli:http://www.iana.org/assignments/ipv6-multicast-addresses/

ipv6-multicast-addresses.xml

18 / 40


Altre novita

Jumbograms (= pacchetti da 4 GB: utili ad es. su Infiniband)

Semplificazioni che riguardano l’elaborazione dei pacchetti daparte dei router

Opzioni estendibili (dovrebbero scongiurare la necessita diriprogettare parti del protocollo in futuro)

...

19 / 40


Sicurezza a livello 3 integrata

IPv4 e stato progettato quan-do l’intera Internet (Arpanet) era“trusted”, dunque non e previstadi default nessuna forma di pro-tezione “integrata” delle informa-zioni. Un’implementazione IPv6,invece, per essere compliant DE-VE comprendere IPsec. Andiamoallora a parlarne...

20 / 40


I rischi che incontriamo quando comunichiamo

La comunicazione che avviene su un canale puo essere oggetto di

Intercettazione: viene compromessa la segretezza

Spoofing: viene compromessa l’autenticita

MITM: viene compromessa (tra l’altro) l’integrita

Chiariamo meglio il significato di questi tre termini...

21 / 40


Segretezza, autenticita, integrita

Segretezza: vogliamo che nessuno (a parte il destinatario)possa “leggere” la nostra comunicazione

Autenticita: vogliamo che sia garantito che il mittente e chidice di essere

Integrita: vogliamo che la comunicazione non sia alteratadurante il transito sul canale

IPsec e in grado di garantire questi tre requisiti tramiteAuthentication Header (AH) ed Encapsulating Security Payload(ESP). Ma prima dobbiamo dare un occhio ai modi operativi diIPsec...

22 / 40


Modi operativi di IPsec

Transport mode

Si usa per proteggere la comunicazione tra due singoli host. Loscopo si ottiene autenticando e/o crittografando il payload deipacchetti IP.

Tunnel mode

Si usa (generalmente) per proteggere la comunicazione tra dueintere reti. Lo scopo si ottiene prendendo i singoli pacchetti IP chedevono essere trasmessi ed inserendoli in altri pacchetti autenticatie/o crittografati.

23 / 40


IPsec in Tunnel Mode: disegnino...

24 / 40


Authentication header

IP protocol 51 - RFC2402

25 / 40


Encapsulating Security Payload


26 / 40


Encapsulating Security Payload


27 / 40


SA e SP

Ma chi dice quali sono i parametri (chiavi, algoritmi, quale trafficodeve essere processato e come, ...) che devono essere utilizzatinella comunicazione sicura? Tutto ruota attorno alle securityassociations (SA) e alle security policies (SP), che sonomemorizzate nel Security Association Database e nel SecurityPolicy Database.

28 / 40


Security Policies

Si tratta di regole definite dall’amministratore che indicano comeprocessare il traffico in ingresso/uscita, ad esempio(spannometricamente):

src dst protocol spi192.168.0.1 192.168.0.2 ESP 0xdeadbeef192.168.0.1 any AH 0xfeedcafe192.168.1.0/27 192.168.1.32/27 ESP 0xbadcab1e

Molto importante il campo SPI: serve al ricevente per capire comeprocessare il traffico marcato con quell’SPI.

29 / 40


Security Association

Una security association invece e una sorta di contratto tra le dueparti in comunicazione che specifica quali siano i meccanismi disicurezza da utilizzare e soprattutto quali siano le chiavi necessarieper la comunicazione. Le security associations vengono stabilitetramite il protocollo IKE.

30 / 40


IKE - RFC2409

IKE viene implementato da un demone che gira in user space. Lanegoziazione delle chiavi avviene tramite il meccanismo diDiffie-Hellmann: grazie ad esso e possibile stabilire le chiavi per lacrittografia simmetrica usate nella comunicazione. Le due partivengono autenticate tramite meccanismi a chiave pubblica otramite segreto condiviso. Una volta che le chiavi sono statestabilite, vengono passate allo stack IPsec che gira in kernel space.IKE si compone di 2 fasi:

Phase 1 : Serve a creare un canale di comunicazione sicuro

Phase 2 : In questa fase le parti coinvolte nella comunicazioneutilizzano il canale sicuro precedentemente creato perscambiare le chiavi necessarie agli altri servizi, ad esempioproprio IPsec.

Non diciamo altro: una delle difficolta di IPsec e proprio IKE.

31 / 40


RFC relativi ad IPsec

RFC4301: Security Architecture for the Internet Protocol

RFC2402: Authentication Header

RFC2406: Encapsulating Security Payload

RFC2408: ISAKMP

RFC2409: IKE

RFC3947: Negotiation of NAT-Traversal in the IKE

32 / 40


Tunneling

Si tratta, molto semplicemente, di incapsulare i pacchetti IPv6 inpacchetti IPv4 e spedirli ad un Tunnel broker : in poche parole euna specie di provider che fornisce connettivita IPv6 e che invecedi arrivare a noi direttamente su ADSL, arriva tramite IPv4.Concettualmente e simile ad una VPN.

Forse e il modo piu diffuso per ottenere connettivita IPv6

I maggiori TB sono Hurricane Electric, SixXS e gogoNET

33 / 40


6to4

Non c’e bisogno di configurare tunnel espliciti: esiste un indirizzoIPv4 anycast (192.88.99.1) al quale tramite un’interfaccia di retevirtuale vengono inviati, sempre incapsulati in IPv4, i pacchettiIPv6. Ormai ogni sistema operativo fornisce di default l’interfacciavirtuale in questione.

34 / 40


Teredo

6to4 fa a botte con il NAT (tanto per cambiare). Senza scenderenei dettagli, Teredo e qualcosa di simile a 6to4, solo fatto appostaper superare le difficolta causate dal NAT. Le ultime versioni diWindows supportano Teredo senza problemi. Per i sistemi Unix(dunque Linux, FreeBSD, MacOS X, ...) c’e miredo.

35 / 40


Meccanismi di transizione

Abbiamo parlato di 3 meccanismi di transizione.

Tunneling: e sicuramente quello piu completo e che permettedi avvicinarsi maggiormente a quella che sara la situazione conIPv6 nativo, ma e anche il piu invasivo.

6to4: si abilita in 2 secondi e funziona subito. A patto diavere un IP pubblico.

Teredo: non fornito con la maggior parte dei sistemi, ma siinstalla molto facilmente.

6to4 e Teredo condividono un problema: alcuni bit dell’indirizzoIPv6 vengono calcolati in base all’indirizzo IPv4, e dunque nienteIPv6 statici (se IPv4 non e statico).

36 / 40


Cosa abbiamo visto?

Le funzionalita salienti del nuovo protocollo IP

Come esso preveda la possibilita di comunicazioni sicuretramite IPsec

Le tecnologie che ci permetteranno il passaggio da IPv4 adIPv6 in modo quasi indolore

37 / 40


Cosa non abbiamo visto?

La “situazione” mi ha fatto preferire una discussione “divulgativa”ad una discussione “profonda” e relativa ad una sola delle duetecnologie, per cui abbiamo tralasciato molte cose. Sarebbe statobello parlare di:

DNS & IPv6

NDP (il sostituto di ARP)

Mobile IPv6

Routing IPv6

...

Per quanto riguarda IPsec, sarebbe stato interessante “mettere lemani” e vedere come configurare veramente delle macchine, ma in45 minuti e un po’ difficile :)

38 / 40


Domande?

39 / 40


Grazie!

Grazie a tutti per la partecipazione!Feedback: [email protected]

Slides a breve disponibili sul sito di IGLU e suhttp://www.matteocicuttin.it/

40 / 40

Documents

Next Generation Internet: IPv6 & IPsec · 2010. 11. 28. · src dst protocol spi 192.168.0.1 192.168.0.2 ESP 0xdeadbeef 192.168.0.1 any AH 0xfeedcafe 192.168.1.0/27 192.168.1.32/27