IPv6 pour les Nuls
Download
Report
Transcript IPv6 pour les Nuls
IPv6 pour les Nuls
10 février 2011
Marc Michault
Arnaud Lheureux
Technologist
Sidem Systems Solutions
Lead PFE- Security
Microsoft France
4
Ils avaient raison!
C’est la fin!!!!!
5
C’est quoi ce beODLZ?
6
Agenda
• Le paquet et les adresses IPv6
• Configuration (et Auto-Configuration)
• Résolution de Noms
• Technologies de Transition
• Dernières pensées
7
I – Le Paquet et les Adresses IPv6
•
•
•
•
Le Paquet IPv6
Comment rédiger des adresses IPv6
Sous-Réseautage
Types d’adresses
• Monodiffusion (Unicast)
• Multidiffusion (Multicast)
8
Paquet IPv6
• IPv6 utilise des adresses codées sur 128 bit
• En-tête réduit et fixe pour un routage rapide
• Options dans les en-têtes d’extensions
• Support de l’IPSec (en-têtes d’extensions spécifiques)
• Support du QoS (Identifiant de flux dans l’en-tête)
…
9
Adresses IPv6
•
•
•
Des
séparent
huit0000
blocs de
4 chiffres
1111“:” 1101
0000
0000
0000 hexadécimaux
0000 0000
Les
zéros
de gauche
sont ôtés
0000
0000
0000 0000
0000 0000 0010 0001
Les
groupes
zéros
sont 0000
compressés
0000
0000 de
0000
0001
0000 0000 0000
•0000
Une 0000
seule fois…
0000 0000 0101 0001 0100 0011
FD00:0000:0000:0021:0001:0000:0000:5143
FD000000000000210001000000005143
FD00::21:1::5143
FD00::21:1:0:0:5143
FD00:0:0:21:1:0:0:5143
10
Sous-Réseautage
•
•
Par défaut:
• Identifiant de réseau de 48-bit
• Identifiant de sous-réseau de 16-bit
• Identifiant d’interface de 64-bit
Préfixe en notation CIDR:
• Adresse/Préfixe:FD00::21:1:0:0:5143/96
11
Types d’Adresses IPv6
Photo de famille
• Un nœud a typiquement plusieurs adresses IPv6:
• Adresses de Mono-Diffusion
• Link-Local Unicast
• Identifiant d’Interface
• Global Unicast
• Unique Local Unicast
• Interfaces de Tunnels
• Spéciales (Réservées)
• Adresses de Multi-Diffusion
• Solicited Node
• Link-Layer multicast addresses
12
Adresses IPv6 Link-Local
Bienvenue chez vous
• FE80::/64
• Similaire aux adresses APIPA (169.254.0.0)
• Toujours présentes
• Nécessaire pour les opérations sur le segment
1111111010
FE80
13
Identifiants de Zones (Scope)
Recyclez!
•
•
•
Les adresses Link-Local peuvent être dupliquées et
ambigues
Pour clarifier une ZONE ID indique le lien
• Sur Windows elle représente l’index d’interface
Syntaxe:
• ADDRESS%ZONE_ID
• Exemple:
FE80::C582:1680:D349:A6BF%13
14
Identifiants de Zones (Scope)
Recyclez!
FE80::CD87:5DD6:CF39:DD08 %12
FE80::80D4:29C9:2B3C:A0E2%13
15
Adresses Global Unicast IPv6
IPv6 Internet Publique
• Utilisation similaire aux adresses IPv4 publiques
• 2000::/3 (= 2000-3FFF)
• 2001 utilisé pour Teredo et 2002 pour 6to4
•
(solutions de compatibilité IPv4)
Préfixe de routage global de 45-bit,
Identifiant de sous-réseau de 16-bit
001
2…
16
Adresses IPv6 Unique Local
Intranets privés IPv6
•
•
Utilisation similaire aux adresses IPv4 privées (RFC 1918)
• Adresses Site-Local (FEC0::) retirées
FC::/7
• Mais le 8éme bit définit “local” donc FD::
11111101
“local”
FD..
17
Adresses IPv6 de Multi-Diffusion
Tir groupé
•
•
Utilisées pour les opérations link-local (segment)
• Pas de broadcast en IPv6!
FF suivi par 4 bits pour les qualifiants et 4 bits pour
l’étendue
11111111
FF..
18
Adr. de Multicast Fréquentes
Exemples
•
Nœuds/Lien
• FF01::1 – Interface-Local tous les Nœuds
• FF02::1 – Link-Local tous les Nœuds
• FF02::1:2 – Tous les serveurs DHCP
• FF02::1:3 – Résolution de noms Link-Local (LLMNR)
•
Routeurs
• FF01::2 – Interface-Local tous les Routeurs
• FF02::2 – Link-Local tous les Routeurs
• FF05::2 – Site-Local tous les Routeurs
19
Solicited Node
Adresse de multidiffusion associée à l’adresse de monodiffusion
•
•
Les noeuds enregistrent des adresses de multidiffusion
associées à leurs adresses IPv6
• Syntax:
FF02::1:FF00:0/104 + <derniers 24 bits de
l’Interface-ID IPv6 >
Utilisé pour obtenir l’adresse physique d’un hôte
(remplace ARP)
FF02::1:FF49:A6BF
FE80::C582:1680:D349:A6BF
20
Adr. MAC de Multi-Diffusion
Adresses MAC enregistrées par l’interface
• Pour recevoir le traffic, les noeuds enregistrent les adresses MAC de
multi-diffusion associées à leurs multi-diffusions IPv6
• Syntaxe:
33-33 + <Derniers 32 bit de l’adresse IPv6 multi-diffusion>
• Utilisées pour répondre aux multi-diffusions IPv6 à la couche physique
Adresses IPv6 multicast
Associated MAC
multicast addresses
Solicited node
FF02::1:FF49:A6BF
33-33-FF-49-A6-BF
Link-local tous noeuds
FF02::1
33-33-00-00-00-01
21
Adresses Réservées et Routage
Où vais-je?
• ::1: Localhost (le stack local)
• :: : Adresse indéfinie (l’ensemble du réseau)
• Le routage fonctionne de la même manière que sur IPv4
• La passerelle (routeur)
• Peut être définie automatiquement par annonce
• Sollicitation et annonce de routeur ICMPv6
22
II – Configuration Automatique
•
•
•
•
Configuration Stateful ou Stateless
Découverte de Voisinage (Neighbor Discovery)
Allocation automatique d’adresse
Découverte de Routeur (Router Discovery)
23
Recherche d’Adresses IPv6
J’en veux, j’en veux!
•
•
Stateless
• Link-Local Neighbor Discovery
• Router Advertisement
Stateful
• Manuelle
• DHCPv6
24
Découverte des Voisins
Enquéte de Voisinage
•
ICMPv6 Options Types:
• 1-127: Codes d’erreur
• 128-255: Codes d’information
•
Neighbor Discovery utilise des paquets ICMPv6
• Avec des options types d’information spécifiques
• Envoyés sur des adresses de multidiffusion
Les annonces sont envoyées:
• Régulièrement (à la multidiffusion de tous les nœuds link-local)
• En réponse à une demande (à l’adresse du demandeur)
•
25
Neighbor Discovery
Bonjour voisin…
Neighbor Advertisement
IPv6:
MAC:
FE80::2AA:FF:FE11:1111
00-AA-00-AA-AA-AA
Neighbor Solicitation
ICMPv6 Options Type: 136
MAC
Src: Blanc
00-AA-00-BB-BB-BB
Adr. MAC
Dest. Vert
00-AA-00-AA-AA-AA
Adr. MAC
IPv6:
Src: Blanc
FE80::2AA:FF:FE22:2222
Adr. IPv6
Dest: Vert
FE80::2AA:FF:FE11:1111
Adr. IPv6
Target: Blanc
FE80::2AA:FF:FE22:2222
Adr. IPv6
Option: Blanc
00-AA-00-BB-BB-BB
Adr. MAC
ICMPv6 Options Type: 135
MAC
Src: 00-AA-00-AA-AA-AA
Vert Adr. MAC
Dest. 33-33-FF-22-22-22
Blanc Solicited. Adr.
IPv6:
Src: FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
Dest: FF02::1:FF22:2222
Blanc Solicited Adr.
Target: FE80::2AA:FF:FE22:2222
Blanc Adr. IPv6
Option: Source Link-Layer Address
Blanc
IPv6:
MAC:
Vert
FE80::2AA:FF:FE22:2222
00-AA-00-BB-BB-BB
26
Auto-Attribution d’Adresse IPv6
J’veux la mienne!
• Sollicitation de voisin avec une adresse auto-attribuée
• Mais la source est :: (adresse indéfinie)
• L’adresse est définie comme “Tentative”
• Ne peux pas encore recevoir de paquets adressés à cette
adresse
• Si un conflit existe, la machine en conflit répond
• Sinon, l’adresse est maintenue
• L’adresse est définie comme “Valide”
• L’hôte peux recevoir des paquets adressés à cette adresse
27
Vert
Par ici la sortie…
Router Advertisement
ICMPv6 Options Type: 134
MAC
Src: 00-AA-00-CC-CC-CC
Routeur Adr. MAC
Dest. 33-33-00-00-00-01
Nodes Multicast
IPv6:
Src: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
Dest: FF02::1
Link-Local Nodes Multicast
Target: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
Option: 00-AA-00-CC-CC-CC,
Routeur Adr. IPv6, MTU,
MTU,
Préfixes…
Routeur
IPv6:
MAC:
28
FE80::2AA:FF:FE33:3333
00-AA-00-CC-CC-CC
IPv6 Natif
•
Router Advertisement sur DA01
• netsh int ipv6 set route
2001:DB8:ABCD:1111::/64 "Local
Area Connection" publish=yes
• Netsh int ipv6 set int "Local Area
Connection" advertise=enable
Je veux sortir!
Vert
Router Advertisement
ICMPv6 Options Type: 134
MAC
Src: Routeur
00-AA-00-CC-CC-CC
Adr. MAC
Dest. Vert
00-AA-00-AA-AA-AA
Adr. MAC
IPv6:
Src: Routeur
FE80::2AA:FF:FE33:3333
Adr. IPv6
Dest: Vert
FE80::2AA:FF:FE11:1111
Adr. IPv6
Routeur
Target: Routeur
FE80::2AA:FF:FE33:3333
Adr. IPv6
FE80::2AA:FF:FE33:3333
Option: Routeur
00-AA-00-CC-CC-CC,
IPv6 Adr., MTU,
MTU, IPv6:
MAC:
00-AA-00-CC-CC-CC
Préfixes…
30
IPv6:
MAC:
FE80::2AA:FF:FE11:1111
00-AA-00-AA-AA-AA
Router Solicitation
ICMPv6 Options Type: 133
MAC
Src: 00-AA-00-AA-AA-AA
Vert Adr. MAC
Dest. 33-33-00-00-00-02
Routeur Multicast
IPv6:
Src: FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
Dest: FF02::2
Routeur Multicast Local
Target: FE80::2AA:FF:FE22:2222
Routeur Adr. IPv6
Option: Source Link-Layer Address
Atttribution d’adr. IPv6 Stateful
Configuration gérée
•
•
Manuelle
• Refusez, la vie est trop courte!
DHCPv6
• IPv6 Scope
• Configuration IP additionnelle
• DNS, etc…
31
III – Résolution de Noms
•
•
Link-Local Multicast Name Resolution (LLMNR)
Domain Name Service (DNS)
32
Résolution de Noms
Qu’est-ce qui se cache derrière un nom?
•
•
Sous-réseau local
• Link-Local Multicast Name Resolution
Internet
• Peer Name Resolution Protocol
• DNSv6
• AAAA records
• Reverse pointer
33
Link-Local Multicast
Name Resolution (LLMNR)
Mes copains du quartier
•
Paquets similaire au DNS sont envoyés en multidiffusion
• FF02::1:3 sous IPv6
• 224.0.0.252 pour IPv4
• Port UDP 5355 (peux aussi utiliser TCP)
•
Remplaces le service Browser
34
DNSv6
Notation AAAA
• Les enregistrements IPv6 sont inscrit avec AAAA
• Les enregistrements inversés son inscrit dans IP6.IANA
• Notation inversée par chiffre hexadécimal
• Par exemple, pointeur à 2001:0DB8:DADA::BEEF:1:
1.0.0.0.F.E.E.B.0.0.0.0.0.0.0.0.0.0.0.0.A:D:A:D.8.B:D.0.1.0.0.2.ip6.arpa.
IN PTR
• Le DNS essaiera de répondre avec l’adresse appropriée
• IPv6 or IPv4
37
Sommaire
Alors, ça me sert à quoi tout cela?
• HomeGroup
• DirectAccess
• Peer-to-Peer Name Resolution (PPNR)
• EasyConnect
•
•
People Near Me
• Meeting Space (snif, snif, Vista )
Etc…
38
IV – Technologies de Transition
•
•
•
Tunneling
ISATAP
6to4
39
Tunneling
Encapsuler un paquet IPv6 dans de l’IPv4
• IPv6 (inclus l’en-tête avec les adresses) est la charge IPv4
• Type de paquet définit comme 41 pour indiquer un paquet
IPv6 encapsulé
Protocol Data Unit
Protocol Data Unit
IPv4 Protocol Data Unit
40
ISATAP
•
But: Fournir un support aux applications IPv6 dans un réseau IPv4
• Adresses IPv6 pour des hôtes IPv4
• L’intranet IPv4 est présenté comme un seul segment
•
Interface ID:
•
::0:5EFE:w.x.y.z (adresse IPv4 privée)
• ::200:5EFE:w.x.y.z (adresse IPv4 publique)
Avec soit comme Network ID:
• FE80::/64 Link-Local
• Un préfixe annoncé par un routeur ISATAP
Les paquets de/à ces adresses sont transportés en IPv4
•
•
41
ISATAP
Attribution d’adresses
192.168.41.30
FE80::5EFE:192.168.41.30
2001:DB8:0:7:0:5EFE:192.168.41.30
Annonce de Routeur
2001:DB8:0:7::/64
IPv6 Network
IPv4 Intranet
Routeur ISATAP
10.40.1.29
FE80::5EFE:10.40.1.29
2001:DB8:0:7:0:5EFE:10.40.1.29
42
IPv6 et ISATAP en Action!
•
Annonce du préfixe 2001:FEFE::/64 pour ISATAP
6to4
Utilisation et fonctionnement
•
•
But: Permettre à des réseaux IPv6 de communiquer au
travers de l’Internet IPv4
L’Internet IPv4 est encapsulé dans la plage
2002:WWXX:YYZZ::
• 6to4 Relay offre des adresses dans la plage
2002:WWXX:YYZZ::
• À des hôtes de l’intranet IPv6
• Basées sur l’adresse IPv4 externe WW.XX.YY.ZZ du
relais 6to4
44
6to4
Attribution d’adresses
FE80::CD87:5DD6:CF39:DD08
2002:836B:1759:5::1
Annonce de Routeur
2002:836B:1759:5::/64
Réseau IPv6
Adresse externe:
131.107.23.89
En Hex=
Relais 6to4 836B:1759
Internet IPv4
FE80::80D4:29C9:2B3C:A0E2
2002:836B:1759:5::2
45
V – Dernières pensées…
•
•
•
Ressources
Arnaud
Marc
46
Resources
WWW.Microsoft.Com/IPv6
“Introduction to IPv6” & “IPv6 Transition Technologies”
MSPress “Understanding IPv6, Second Edition”, Joseph Davies
Wikipedia
47
Dernières pensées d’Arnaud
•
•
•
•
Non, une adresse IPv6 n’est pas basée sur l’adresse MAC
de la carte!
Désactiver IPv6 n’accélère pas votre machine
IPv6 activé par défaut n’est pas dangereux pour la santé
IPv6 n’est pas plus “secure” qu’IPv4…
48
Dernières pensées de Marc
•
•
•
•
•
•
•
•
IPv6 est prévu pour des machines…
…Pas des être humains!
IPv6 est finalisé depuis 2006 mais…
…les choses changent entre les versions de Windows
Les technologies de transition…
…sont transitoires!
Vous stressez pas,…
…ce ne sont que des uns et de zéros !
49