IPv6 en la Universitat de
València
XI Foro de Seguridad de RedIRIS
Seguridad en IPv6. Leganés (Madrid),
25 y 26 de abril de 2013
[email protected]
Jose Miguel Femenia Herrero
Servei d'Informàtica
Universitat de València
IPv6 en la Universitat de València
● Años de evolución (2000...)
– Doble stack.
● IPv6 disponibles en todas las VLAN de todos
los campus.
● IPv6 en el centro de datos.
● IPv6 en centros remotos.
● IPv6 en la red inalámbrica.
m i s m o
E x a c t a m e n t e e l
v 4
t r a t a m i e n t o q u e I P
l á d ó n d e s e p u e d a .
a l
Se adapta con los cambios de
la tecnología y la
implementación del
protocolo.
IPv6 en UV: La red
● Poca diversidad de marcas en los equipos de
red.
– Versiones más recientes del firmware.
● Routing con OSPFv3: 219 rutas IPv6 internas.
– Balanceo y alta disponibilidad basado en routing.
● Todo IPv6 nativo.
● Optimización para IPv6.
IPv6 en UV: Numeración
● SLAAC en todas las VLAN.
– /64 - /126 en punto a punto - /128 loopback
● Estáticas en los servidores.
– Protección ante SLAAC en los propios servidores.
● Gestionada desde la misma aplicación que IPv4.
– Generación de tablas DNS y DHCPv6
● Resolución inversa y directa.
● Registro de las tablas de ND (direcciones con soporte
de privacidad RFC4941).
¡Ojo! Unas 190.000 direcc iones IPv6
por semana sobre unas 75.000 MACs
(~25.000 cable + ~50.000 W iFi )
IPv6 en UV: Aplicaciones
● Syslog
● SNMP
● TACACS+
● Netdisco
● Cacti
● WWW
● Correo
● FTP
● SAMBA
● SSH
● DNS
● NTP
● DHCPv6
● disco
● Web mail
● Gestión de
IPs
● Firewall
● Balanceo
● HA
● Virtualización
● Google
● Youtube
● Facebook
● Wikipedia
● Bing
IPv6 en UV: Uso
¡Monitorización en IPv4!
● Webmail (datos 2013-03-07):
– Conexiones IPv4 UV: 666.479 (5.547 IP)
– Conexiones IPv6 UV: 581.339 (10.732 IP)
– Conexiones IPv4 no UV: 2.028.316 (33.139 IP)
– Conexiones IPv6 no UV: 7.335 (146 IP)
● Accesos UV:
IPv6 en UV: latencia en red local
IPv6 en UV: latencia con RedIRIS
IPv6 en UV: latencia con Internet2
IPv6 en UV: latencia con Google
IPv6 en UV: latencia DNS Google
8.8.8.8
2001:4860:4860::8888
IPv6 en UV: Seguridad
● Listas de acceso en los routers:
– Los mismos puertos que en IPv4
– Bogus nets, redes no permitidas, tunelizaciónes.
– Criterios muy similares a IPv4.
● Centro de datos:
– Servidores → IPv6 estáticas.
– Protección del servidor para no reconocer
autoconfiguración.
– Configurar el cortafuegos propio de los servidores
¡No es buena cosa confiar siempre en
el firewalll!
con IPv6.
IPv6 en UV: Seguridad en el acceso
● RA guard.
● ND inspection.
● IPv6 snooping.
● IPv6 source-guard
● IPv6 dhpc guard
● IPv6 neighbor binding
¡ Q u e d a m u c h o
t r a b a j o e n e l
l o !
IPv6 en UV: Los problemas
● Doble stack → Doble “mente”
– Los problemas de IPv4 no tienen por qué ser los problemas de
IPv6 ni viceversa.
● Los usuarios no lo saben, no lo notan y les “traspasa”.
– Normalizar protocolos de actuación en función de los dos
“protocolos” IP.
● ¿Qué protocolo estoy usando?
– No siempre es claro, no siempre es IPv6 si éste está disponible:
Happy Eyeballs RFC6555 (Firefox, Opera, Chrome, MacOS X,
Happy Eyeballs RFC6555
iOS).
T a m b i è n q u i t a
¡ V a l e !
m i e d o s .
Comentarios de: IPv6 en la Universitat de València - Foro de seguridad de RedIRIS (0)
No hay comentarios