18
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1 Warum wir an der Universität der Bundeswehr München IPv6 noch nicht eingeführt haben

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

  • Upload
    danrlde

  • View
    70

  • Download
    1

Embed Size (px)

Citation preview

Page 1: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1

Warum wir an der Universität

der Bundeswehr München IPv6

noch nicht eingeführt haben

Page 2: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 2

Über mich

IT-Sicherheit, Netzwerke,IPv6, OS-Entwicklung

B. Eng. Elektrotechnikund technische Informatik

Studentische Hilfskraftim Rechenzentrum

www.danrl.de

Dan Luedtke

Page 3: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 3

Die Universität● Campus-Universität, gegründet 1973● Dient der wissenschaftlichen Ausbildung von

Offizieren und Offizieranwärtern● ca. 3700 Studenten Stand: 2011

● ¾ wohnen auf dem Campus● am HDN angeschlossen

● Mitglied im DFN-Verein● Upstream-Provider

Luft

bild

vom

Cam

pus

UniB

wM

Quelle

: U

niB

wM

Pre

ssea

rchiv

HDN Hochschuldatennetz

Page 4: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 4

Hochschuldatennetz● 272 Switches, überwiegend Edge-Switches● 137.193.0.0/16● 2001:638:103::/48● >9000 Endsysteme

Datendurchsatz Upstream, typ. Bsp.Quelle: UniBwM RZ NetMan

Page 5: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 5

Netzzonen (vereinfacht)

Wohnheime

Verwaltung

Mil. Diensträume

Institute

Labore

Server (global)

Server (intern)

Hörsäle

WLAN

Border-Router

IANA/Internetvia DFN

ZentralerRouter

IntranetBWClients

IntranetBW

RZ-Labor

Page 6: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 6

ZentralerRouter

Border Link, RZ-Labor

DFN viaFHG München

Border-Router

DFN viaGarching

HA

Private ASN

✓IPv6

✗IPv6

RZ-LaborZentraler

RouterHochschuldatennetz

HA

FHG Fraunhofer Gesellschaft

HA High Availability

Page 7: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 7

Zentraler Router

✓IPv6

✗IPv6

ZentralerRouter

Hochschul-datennetz

● IPv6-fähig● IPv6 belastet die CPU

stärker● IPv6 entlastet die ASICs ☺● Einige IPv4-Features

gehen bei Nutzung von IPv6 verloren

● Austausch absehbar

ASIC anwendungsspezifische integrierte Schaltung

Page 8: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 8

Edge-Level Sicherheit

Edge-Level Switch

RS2 3 ... N

Client

1 UP

802.1Q-Trunk

● Virus-Throttling● ICMP-Throttling● Untagged

● VLAN fest zugewiesen● VLAN dynamisch via 802.1X

● Loop-Protection● DHCP-Snooping● DHCP-Protection● Dynamic ARP Protection 802.1Q VLAN

RS Reserved

UP Uplink

Page 9: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 9

Edge-Level Sicherheit

Edge-Level Switch

RS2 3 ... N

Client

1 UP

802.1Q-Trunk

● Virus-Throttling● ICMP-Throttling● Untagged

● VLAN fest zugewiesen● VLAN dynamisch via 802.1X

● Loop-Protection● DHCP-Snooping● DHCP-Protection● Dynamic ARP Protection

IPv6-Äquivalentein der Firmwarenicht vorhanden

Page 10: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 10

IPv4-Konnektivität herstellen

Edge-Level Switch

RS1 2 3 ... N

Client A Client B

DHCP-Server

ZentralerRouter

UP

Internet

1. DHCP Request

3. DHCP Acknowledge

2. Relay

4. Relay

5. Switch lernt Lease6. Port-Policy: NurMAC/IP aus demLease sind erlaubt

Page 11: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 11

IPv6-Konnektivität herstellen

Edge-Level Switch

RS1 2 3 ... N

Client A Client B

DHCP-Server

ZentralerRouter

UP

Internet

2. DHCP Request

4. DHCP Reply

1. Router AdvertisementManaged=1 DHCPv6↣Other=1 RDNS via DHCPv6↣

6. Switch lernt Lease7. Port-Policy: NurMAC/IP aus demLease sind erlaubt

3. Relay

✓IPv6

5. Relay

RDNS Resolving Nameserver

Grundlage für Laborsetup

Switches aus neuer Serie

Page 12: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 12

Edge-Level Switch

RS1 2 3 ... N

Client A Client B

DHCP-Server

ZentralerRouter

UP

Internet

✓IPv6

Probleme● Manche Betriebssysteme

beherschen kein DHCPv6● Manche Betriebssysteme

ignorieren das Other-Flag● Unsere Switches können

DHCPv6-Snooping etc.(noch) nicht!

● Austausch der Switchesaus Kostengründenderzeit nicht möglich

Page 13: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 13

Edge-Level Switch

RS1 2 3 ... N

Client A Client B

DHCP-Server

ZentralerRouter

UP

Internet

✓IPv6

Offene Fragen (Edge-Level)● Privacy Extensions am Client?● Aufwand und Nutzen

der DUID-Verwaltung?● Relay einsparen?

● site-local multicast● ff05::1:3 All-dhcp-servers RFC3315

DUID DHCP Unique Identifier

Page 14: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 14

Probleme ohne IPv6● gesunkene Kundenzufriedenheit● Kunden finden workarounds

● Teredo (z.T. automatisch)● Tunnelbroker

● Getunnelter Verkehr entzieht sich unserer “Kontrolle”!● Wir lassen nicht jeden tunneln ☺

Page 15: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 15

Probleme ohne IPv6 (Bsp.)

IPv6

Edge-Level Switch

RS1 2 3 ... N

Client A Client B Client C

✓RZ

✗Kunde

UP

IPv4

nutzt scheinbarnatives IPv6

● Teredo-Tunnel● Connection-Sharing

aktiviert● verschickt Router

Advertisements● ungewollter Router

World IPv6 Day 2011

Page 16: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 16

Offene Punkte● Kein IPv6 ist keine Lösung!

● Wo wäre eine zentrale Adressvergabe sinnvoll?● Server● verwaltete Systeme

● Wo wäre die Nutzung von SLAAC statt DHCPv6 sinnvoll?● Wohnbereiche● Wireless● Bring-Your-Own-Device-Netze

● Kann uns OpenFlow weiterhelfen?

● Wollen und können wir Kunden eigene Netze geben?● Layer-2 ISP↣

● Gibt es einen Konflikt zwischen Privacy Extensions und Sicherheit?● Falls ja, wie lösen wir diesen?

Page 17: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 17

Lösungsvorschlag BYOD-Netze● Router Advertisements

● mit RDNS-Option● SLAAC● Neighbor Discovery Snooping● Neighbor Discovery Detection● Erweitertes Logfile

● Zeitstempel● IPv6-Adresse● Switchport BYOD Bring-Your-Own-Device

SLAAC Stateless Address Autoconfiguration

Page 18: Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 18

AS57821 is looking for peers!www.nonattached.net

IN EIGENER SACHE

Fragen?

Vielen Dank für Ihre

geschätzte Aufmerksamkeit!

Quellen

● RFC 2675, 5095, 3122, 4443, 4884, 4007, 2460, 5942

● Netzkonzept für die UniBwM ab 2008; Winfried Thalmeier (CSO)

● IT-Sicherheitsstrategie an der UniBwM; 2008; Winfried Thalmeier (CSO)

● Projektstudie IPv6 im Hochschuldatennetz; 2011; Dan Luedtke

● IPv6 Border-Link and Edge-Level Packet Filtering; 2011; Dan Luedtke