Expose Ipv6

  • Published on
    05-Jul-2015

  • View
    437

  • Download
    0

Embed Size (px)

Transcript

<p>Thme: DEPLOIEMENT DIPV6 Prsent par: Doudou GAYE et Oumane Hamadou SOW DIC 3 informatique .</p> <p>Pourquoi une nouvelle version dIP ? Enjeux politiques et conomiques Le protocole IPv6:definition et fonctionnalits Protocoles associs IPv6 Scurit dipv6 Strategies de dploiements Conclusion</p> <p>Le protocole ipv4,premire version du protocole IP, tait prvu a sa cration en 1983 pour un rseau: Dune centaine dordinateurs Utilis par les scientifiques et les chercheurs</p> <p>Mais on assiste en 1990 : dbut du web 1992 : dbut de lactivit commerciale avec une croissance exponentielle du rseau internet 1993 : puisement des adresses de classe B Prvision de la fin de lInternet pour 1994 !</p> <p>Source: Rapport final du GTIC au CCCNT: http://www.isacc.ca/isacc/_doc/ArchivedPlenary/CCCNT-10-42200.pdf</p> <p>CIDR (Classless Internet Domain Routing) RFC 1519 (PS) adresse rseau = prfixe/longueur de prfixe moins despace dadressage perdu lagrgation des prfixes rduit la taille des tables de routage.</p> <p>NAT et Adresses prives - Le RFC 1918 (BCP) permet les plans dadressage privs (10/8, 172.16/12, 192.168/16) - Ces adresses ne sont utilisables quen interne - Utilisation de mandataire ou de NAT pour sortir sur internet. RFC 1631, 2663 (NAT) et 2993</p> <p>Ces mesures durgence ont laiss suffisamment de temps pour dvelopper une nouvelle version dIP, appele IPv6. Objectifs assigns IPv6 conserver les principes qui ont fait le succs dIP Corriger les dfauts de la version courante (v4) Anticiper les besoins futurs</p> <p>Un relais de croissance Un environnement plus concurrentiel pour les ISP ? Consolid et accroitre les relations conomique avec lEurope et lAsie Un nouveau ordre mondial: Gestion du DNS mondial ;prdominance des USA sur linternet?</p> <p>Un plus grand espace dadressage quen IPv4 Rtablissement du modle de bout en bout Plan dadressage agrg (tables de routage plus simple) Auto-configuration des machines (avec et sans tat) Meilleure prise en charge des options et en-tte de protocoles Intgration du multicast, de la scurit (IPsec) et de la mobilit Compatibilit arrire avec le monde IPv4 Qualit des services(VoIP et Multimedia)</p> <p>Utilisation plus accrues des services Domotique GPRS-3G Mobilit et nomadisme </p> <p>Len-tte ipv6 est une simplification de celui de son prdcesseur. En-tte ipv4:</p> <p>La longueur de ladresse Entre 1 564 and 3 911 873 538 269 506 102 adresses par m2 60 000 trillions de trillions dadresses par habitant de la terre Une adresse pour chaque grain de sable ! =&gt;Cela justifie une longueur fixe dadresse Une adresse pour tout ce qui est connect (pas une adresse pour chaque objet)</p> <p>En-tte ipv6:</p> <p>Ver: la version du protocole(IP version 6), Traffic class :en remplacement du champ Type of service dIPv4. Flow label :un nouveau champ pour la Qualit de Service(QoS) de gestion Payload length :longueur des donnes aprs la partie fixe de l'en-tte IPv6. Next header :en remplacement du champ de protocole IPv4,permet de dajouter des extensions den-ttes. Hop limit :nombre de sauts, en remplacement de time to live dipv4. Souces Address: adresse source Destination Address: adresses de destination</p> <p>Un Flot est une suite de paquets qui doivent recevoir un traitement spcifique par les quipements du rseau Le champ Flow Label est fait pour permettre la classification des paquets appartenant un mme flot. Un flot a un identifiant unique (pour la source) Flow label + adresse source est unique Rduit le temps de traitement du paquet. Aprs un silence de 120 secondes, les paquets ne sont plus considrs comme appartenant un mme flot</p> <p>fournissent les principales nouveauts sur les services et les fonctions apportes par le protocole IPv6. Sont au nombre de quatre et permettent une transmission plus efficace.</p> <p>Lordre des extensions est important</p> <p>Reprsentation textuelle: le mot de 128 bits est dcoup en 8 mots de 16 bits spars par le caractre :, chacun d'eux tant reprsent en hexadcimal. Exemple: 2001:0DB8:0000:0000:0400:A987:6543:210F Autres format dcritures: 2001:DB8:0:0:400:A987:6543:210F 2001:DB8::400:A987:6543:210F (:: ne peut apparatre qu'une fois au plus).</p> <p>RFC 3513 (remplace le RFC 2373) Les 128 bits de longueur des adresses Permettent une grande hirarchisation Plus flexible pour les volutions du rseau Utilise les principes CIDR (pas de classes) Prfixe / longueur de prfixe. 2001:0DB8:7654:3210:0000:0000:0000:0000/64 2001:DB8:7654:3210:0:0:0:0/64 2001:DB8:7654:3210::/64</p> <p>Lagrgation rduit la taille des tables de routage Reprsentation hexadcimale Une interface a plusieurs adresses IPv6</p> <p>Loopback ::1 Lien local FE80: . Site local Globale FEC0: . 2001: </p> <p>Unicast - dsigne de manire unique une interface Multicast -dsigne un groupe d'interfaces du rseau. -Le paquet est dlivr a tous les membres du groupe. -Supprime la notion de broadcast en ipv6. Anycast - dsigne un groupe d'interfaces du rseau -la diffrence avec multicast est que lorsqu'un paquet a pour destination une telle adresse, il est achemin un des lments du groupe et non pas tous.</p> <p>Lien-local</p> <p>Ne sont pas routables (sur lInternet) Sont automatiquement gnres au boot du system. Permettent la communication avec des quipements sur le lien Sont Utilises pour lauto-configuration Dsigne le prochain routeur (next hop) dans la table de routage</p> <p>Network Prefix: identifie le rseau Subnet ID: identifie le site Host ID: identifie linterface.</p> <p>64 bits pour tre compatible avec IEEE 1394 (FireWire) Facilite lauto-configuration Il existe plusieurs mthodes pour construire cette valeur de 64 bits: Manuelle Driv de ladresse MAC Alatoire cryptographique.</p> <p>lIEEE a dfinit le mcanisme pour crer un EUI-64 partir dune adresse IEEE 802 MAC (Ethernet, FDDI).</p> <p>On obtient donc un identifiant dinterface en mettant le bit u a zro(u=0) et en ajoutant 0xFFFE</p> <p>L'identifiant d'interface bas sur des adresses MAC pourrait poser des problmes pour la vie prive.(traage, identification, localisation). Solution: Construction d'un identifiant d'interface bas sur des tirages alatoires ( RFC 3041). Ladresse est souvent mis a ltat dprci et est change priodiquement.</p> <p>Le RFC 3972 dfinit le principe de cration de l'identifiant d'interface (CGA : Cryptographic Generated Addresses) partir de la cl publique de la machine. Elles pourraient servir pour scuriser les protocoles de dcouverte de voisins ou pour la gestion de la multi-domiciliation.</p> <p>Le RFC 4007 (IPv6 Scoped Address Architecture) fait disparatre les adresses site-local et prcise certains points. Dans une adresse globale, le prfixe donne linterface de sortie Dans une adresse lien local, le prfixe est toujours fe80::/64 Si lquipement a plusieurs interfaces, linterface de sortie nest pas dfinie on ajoute %iface, la fin de ladresse pour lever cette ambigut</p> <p>Dcouverte du voisinage (NDP) (RFC 2461 DS) Lis lauto-configuration Auto-configuration sans tat (RFC 2462 DS) Auto-configuration avec tat -&gt; DHCPv6 : Dynamic Host Configuration Protocol (RFC 3315 ) Dcouverte du MTU sur le chemin : Path MTU discovery (pMTU) (RFC 1981 PS) . Ncessaire pour respecter la non fragmentation entre source et destination</p> <p>MLD (Multicast Listener Discovery) (RFC 2710 PS) Gestion des groupes Multicast sur un lien IPv6 Bas sur IGMPv2 Version actuelle : MLDv2 (quivalent dIGMPv3 en IPv4). ICMPv6 (RFC 2463 DS) un protocole qui : Reprend les fonctionnalits dICMP (v4) (contrle derreur,administration, ) Transport des messages ND Transports des messages MLD (Queries, Reports)</p> <p>Les machines IPv6 qui partagent le mme lien physique (link) utilisent le protocole Neighbor Discovery (ND) pour : dcouvrir leur prsence mutuelle dterminer les adresses de niveau 2 (ex. Ethernet) de leurs voisins trouver les routeurs maintenir jour ces informations ce nest pas applicables aux liens NBMA (Non Broadcast Multi Access) [parce que ND utilise le multicast pour certains services]</p> <p>Fonctionnalits du protocole: Dcouverte des routeurs (du lien) Dcouverte du/des prfixes Dcouverte des paramtres (MTU du lien, Max Hop Limit, ...). Auto-configuration de ladresse Dtermination du Next Hop Dtection dadresse duplique (DAD) Redirection Dtection de linaccessibilit des voisins</p> <p>ND spcifies 5 types de paquets ICMP: Router Advertisement (RA) : annonce priodique de la prsence dun routeur qui contient: la liste des prfixes utiliss sur le lien (autoconf) une valeur possible du Max Hop Limit (TTL of IPv4) la valeur du MTU</p> <p>Router Solicitation (RS) : la machine demande un RA immdiatement (au boot) Neighbor Solicitation (NS): pour dtermine ladresse niveau 2 dun voisin ou pour vrifier son accessibilit aussi utilis pour dtecter une adresse duplique (DAD) Neighbor Advertisement (NA): rponse un paquet NS pour annoncer un changement dadresse physique Redirect : utilis par un routeur pour informer une machine quune meilleure route existe pour une destination donne</p> <p>Driv du RFC 1191, (pMTUd pour IPv4) Path = ensemble de liens traverss par un paquet IPv6 entre source et destination (chemin) MTU = taille maximale (en octets) dun paquet transmissible sur le lien sans fragmentation Path MTU (ou pMTU) = min {MTU} pour un Path (ou chemin) donn Path MTU Discovery = dcouverte automatique du pMTU pour un Path donn</p> <p>Fonctionnement du protocole pMTUd au dpart, la source suppose que : pMTU = MTU du lien utilis pour joindre le 1er voisin sil y a un routeur intermdiaire dont le MTU du lien suivant &lt; pMTU ce dernier renvoie la source un message ICMPv6 de type "Packet size Too Large" la source rduit le pMTU en utilisant la valeur de MTU trouve dans le message ICMPv6</p> <p>Peut tre avec ou sans tat Les machines peuvent devenir plug &amp; play Utilise les messages ICMPv6 (Neighbor Discovery) Au boot, la machine demande les paramtres rseau : prfixe route par dfaut (routeur de sortie) hop limit ...</p> <p>IPv6 Stateless Address Autoconfiguration (RFC 2462 DS) Ne sapplique pas aux routers Permet une machine de se crer une adresse IPv6 globale partir de : son adresse MAC (Ethernet) des annonces de prfixes faites par les routeurs sur le lien</p> <p>Dynamic Host Configuration Protocol v6 version IPv6 : RFC 3316 similaire la version IPv4 de DHCP (RFC 1541, RFC 2131), base sur BOOTP (RFC 951) Serveur Mmorise ltat du client Optionnellement fournit au client son adresse IPv6 et ses paramtres de configuration (route par dfaut, serveur DNS) Client Envoie des requtes et des accuss de rception conformes au protocole DHCP</p> <p>Il existe 2 grandes familles de protocoles de routage Les protocoles intrieurs (IGP) -Distance-vecteur : RIP, IGRP - tat des liens : OSPF, IS-IS Taille Pas de diffrences majeures par rapport IPv4 (algorithmes identiques).</p> <p>Extensions du DNS pour IPv6 Le RFC 1886 (PS) est remplac par le RFC 3596 (DS) Un nouveau type denregistrement AAAA (RFC 3596) est cr. Equivalent lenregistrement A en IPv4 Exemple (configuartion Bind): ns3.nic.fr. IN A 192.134.0.49 IN AAAA 2001:660:3003:2::1:1</p> <p>Un nouvel arbre inverse de type PTR -&gt; ip6.arpa (RFC 3596) Equivalent de in-addr.arpa en IPv4 Chaque nud est sur un paquet de (4 bits) Exemple: 2.0.0.0.3.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa. 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0 PTR ns3.nic.fr.</p> <p>La scurit ipv6 peut tre assure suivant ces 4 aspects : Adresses prives Adresses gnres cryptographiques IPsec Scurit par dcouverte de voisins</p> <p>Adresses prives: contrler lunicit Selon RFC 4291: gnration des identifiants d'interface en fonction des identificateurs EUI-64. Cela permet une interface de garder le mme identifiant mme si elle se dplace dans le rseau.</p> <p>Adresses gnres cryptographiquement : Authentification de ladresse source dans un paquet La mthode utilise est la suivante: Choisir une paire de cls prives et publiques Crer des signatures numriques avec la cl prive, ensuite les vrifier avec la cl publique Utiliser la cl publique pour gnrer un identifiant dinterface Insrer la cl publique dans le paquet et le signer avec la cl prive Le destinataire peut utiliser la cl publique pour vrifier ladresse et la signature</p> <p>IPsec permet de raliser des rseaux privs virtuels ou VPNs (Virtual Private Networks) au niveau IP et offre des services : dauthentification des donnes de chiffrement des donnes dintgrit des donnes pour garantir que les paquets nont pas t modifis durant leur acheminement danti-rejeu afin de dtecter les ventuels paquets rejous par un attaquant</p> <p>IPsec: il existe deux modes dchanges Mode transport : il offre essentiellement une protection aux protocoles de niveau suprieur Mode tunnel : permet d'encapsuler des datagrammes IP dans d'autres datagrammes IP, dont le contenu est protg</p> <p>Deux protocoles de scurisation sont utiliss dans la RFC 2402 pour assurer ces services: AH (Authentication Header) ESP (Encapsulating Security Payload)</p> <p>AH (Authentication Header) L'authentification : les datagrammes IP reus ont effectivement t mis par l'hte dont l'adresse IP est indique comme adresse source dans les en-ttes. L'unicit (optionnelle, la discrtion du rcepteur) : un datagramme ayant t mis lgitimement et enregistr par un attaquant ne peut tre rutilis par ce dernier, les attaques par rejeu sont ainsi vites. L'intgrit : les champs du datagramme IP n'ont pas t modifis depuis leur mission : les donnes, longueur de l'entte (en IPv4), longueur totale du datagramme (en IPv4), longueur des donnes (en IPv6), identification, protocole ou entte suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'metteur, adresse IP du destinataire</p> <p>ESP (Encapsulating Security Payload): Contrairement AH, ESP ne protge pas les en-ttes des datagrammes IP utiliss pour transmettre la communication. Seules les donnes sont protges. En mode transport, il assure : La confidentialit des donnes (optionnelle) : la partie donnes des datagrammes IP transmis est chiffre.</p> <p>L'authentification (optionnelle, mais obligatoire en l'absence de confidentialit) : la partie donnes des datagrammes IP reus ne peut avoir t mise que par l'hte avec lequel a lieu l'change IPsec, qui ne peut s'authentifier avec succs que s'il connat la clef associe la communication ESP. L'unicit (optionnelle, la discrtion du rcepteur). L'intgrit : les donnes n'ont pas t modifies depuis leur mission.</p> <p>Son succs repose sur: Evaluation des risques de Securit Scurisation de ladressage Mcanismes de transition Processus et plans de transition</p> <p>Dploiement non autoris dipv6 dans un environnement ipv4 Vulnrabilits dipv6 notamment au premier dploiement. Complexit accru par la coexistence ipv4-ipv6 Connaissance non approfondi sur la scurit produits ipv6. Dfaillance possible du matriel.</p> <p>Plan de numrotation Adressage hirarchique Scurit des adresses EUI-64 Gestion des adresses Protection de la vie prive</p> <p>Dual stack Tunneling Translation</p> <p>Dans ce type de dploiement chaque hte: Implmente les deux protocoles (ipv4 et ipv6) Obtient une adresse ipv4 et ipv6</p> <p>Le Dual Stack permet de De minimiser les tunnels lors de la transition Effectuer un dploiement rapide dans une environnement ipv4. Ne modifie pas tout lenvir...</p>