Upload
danrlde
View
70
Download
1
Embed Size (px)
Citation preview
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1
Warum wir an der Universität
der Bundeswehr München IPv6
noch nicht eingeführt haben
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 2
Über mich
IT-Sicherheit, Netzwerke,IPv6, OS-Entwicklung
B. Eng. Elektrotechnikund technische Informatik
Studentische Hilfskraftim Rechenzentrum
www.danrl.de
Dan Luedtke
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 3
Die Universität● Campus-Universität, gegründet 1973● Dient der wissenschaftlichen Ausbildung von
Offizieren und Offizieranwärtern● ca. 3700 Studenten Stand: 2011
● ¾ wohnen auf dem Campus● am HDN angeschlossen
● Mitglied im DFN-Verein● Upstream-Provider
Luft
bild
vom
Cam
pus
UniB
wM
Quelle
: U
niB
wM
Pre
ssea
rchiv
HDN Hochschuldatennetz
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 4
Hochschuldatennetz● 272 Switches, überwiegend Edge-Switches● 137.193.0.0/16● 2001:638:103::/48● >9000 Endsysteme
Datendurchsatz Upstream, typ. Bsp.Quelle: UniBwM RZ NetMan
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 5
Netzzonen (vereinfacht)
Wohnheime
Verwaltung
Mil. Diensträume
Institute
Labore
Server (global)
Server (intern)
Hörsäle
WLAN
Border-Router
IANA/Internetvia DFN
ZentralerRouter
IntranetBWClients
IntranetBW
RZ-Labor
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 6
ZentralerRouter
Border Link, RZ-Labor
DFN viaFHG München
Border-Router
DFN viaGarching
HA
Private ASN
✓IPv6
✗IPv6
RZ-LaborZentraler
RouterHochschuldatennetz
HA
FHG Fraunhofer Gesellschaft
HA High Availability
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 7
Zentraler Router
✓IPv6
✗IPv6
ZentralerRouter
Hochschul-datennetz
● IPv6-fähig● IPv6 belastet die CPU
stärker● IPv6 entlastet die ASICs ☺● Einige IPv4-Features
gehen bei Nutzung von IPv6 verloren
● Austausch absehbar
ASIC anwendungsspezifische integrierte Schaltung
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 8
Edge-Level Sicherheit
Edge-Level Switch
RS2 3 ... N
Client
1 UP
802.1Q-Trunk
● Virus-Throttling● ICMP-Throttling● Untagged
● VLAN fest zugewiesen● VLAN dynamisch via 802.1X
● Loop-Protection● DHCP-Snooping● DHCP-Protection● Dynamic ARP Protection 802.1Q VLAN
RS Reserved
UP Uplink
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 9
Edge-Level Sicherheit
Edge-Level Switch
RS2 3 ... N
Client
1 UP
802.1Q-Trunk
● Virus-Throttling● ICMP-Throttling● Untagged
● VLAN fest zugewiesen● VLAN dynamisch via 802.1X
● Loop-Protection● DHCP-Snooping● DHCP-Protection● Dynamic ARP Protection
IPv6-Äquivalentein der Firmwarenicht vorhanden
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 10
IPv4-Konnektivität herstellen
Edge-Level Switch
RS1 2 3 ... N
Client A Client B
DHCP-Server
ZentralerRouter
UP
Internet
1. DHCP Request
3. DHCP Acknowledge
2. Relay
4. Relay
5. Switch lernt Lease6. Port-Policy: NurMAC/IP aus demLease sind erlaubt
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 11
IPv6-Konnektivität herstellen
Edge-Level Switch
RS1 2 3 ... N
Client A Client B
DHCP-Server
ZentralerRouter
UP
Internet
2. DHCP Request
4. DHCP Reply
1. Router AdvertisementManaged=1 DHCPv6↣Other=1 RDNS via DHCPv6↣
6. Switch lernt Lease7. Port-Policy: NurMAC/IP aus demLease sind erlaubt
3. Relay
✓IPv6
5. Relay
RDNS Resolving Nameserver
Grundlage für Laborsetup
Switches aus neuer Serie
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 12
Edge-Level Switch
RS1 2 3 ... N
Client A Client B
DHCP-Server
ZentralerRouter
UP
Internet
✓IPv6
Probleme● Manche Betriebssysteme
beherschen kein DHCPv6● Manche Betriebssysteme
ignorieren das Other-Flag● Unsere Switches können
DHCPv6-Snooping etc.(noch) nicht!
● Austausch der Switchesaus Kostengründenderzeit nicht möglich
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 13
Edge-Level Switch
RS1 2 3 ... N
Client A Client B
DHCP-Server
ZentralerRouter
UP
Internet
✓IPv6
Offene Fragen (Edge-Level)● Privacy Extensions am Client?● Aufwand und Nutzen
der DUID-Verwaltung?● Relay einsparen?
● site-local multicast● ff05::1:3 All-dhcp-servers RFC3315
DUID DHCP Unique Identifier
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 14
Probleme ohne IPv6● gesunkene Kundenzufriedenheit● Kunden finden workarounds
● Teredo (z.T. automatisch)● Tunnelbroker
● Getunnelter Verkehr entzieht sich unserer “Kontrolle”!● Wir lassen nicht jeden tunneln ☺
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 15
Probleme ohne IPv6 (Bsp.)
IPv6
Edge-Level Switch
RS1 2 3 ... N
Client A Client B Client C
✓RZ
✗Kunde
UP
IPv4
nutzt scheinbarnatives IPv6
● Teredo-Tunnel● Connection-Sharing
aktiviert● verschickt Router
Advertisements● ungewollter Router
World IPv6 Day 2011
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 16
Offene Punkte● Kein IPv6 ist keine Lösung!
● Wo wäre eine zentrale Adressvergabe sinnvoll?● Server● verwaltete Systeme
● Wo wäre die Nutzung von SLAAC statt DHCPv6 sinnvoll?● Wohnbereiche● Wireless● Bring-Your-Own-Device-Netze
● Kann uns OpenFlow weiterhelfen?
● Wollen und können wir Kunden eigene Netze geben?● Layer-2 ISP↣
● Gibt es einen Konflikt zwischen Privacy Extensions und Sicherheit?● Falls ja, wie lösen wir diesen?
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 17
Lösungsvorschlag BYOD-Netze● Router Advertisements
● mit RDNS-Option● SLAAC● Neighbor Discovery Snooping● Neighbor Discovery Detection● Erweitertes Logfile
● Zeitstempel● IPv6-Adresse● Switchport BYOD Bring-Your-Own-Device
SLAAC Stateless Address Autoconfiguration
Dan Luedtke <[email protected]> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 18
AS57821 is looking for peers!www.nonattached.net
IN EIGENER SACHE
Fragen?
Vielen Dank für Ihre
geschätzte Aufmerksamkeit!
Quellen
● RFC 2675, 5095, 3122, 4443, 4884, 4007, 2460, 5942
● Netzkonzept für die UniBwM ab 2008; Winfried Thalmeier (CSO)
● IT-Sicherheitsstrategie an der UniBwM; 2008; Winfried Thalmeier (CSO)
● Projektstudie IPv6 im Hochschuldatennetz; 2011; Dan Luedtke
● IPv6 Border-Link and Edge-Level Packet Filtering; 2011; Dan Luedtke