PDF de programación - IPv6 en la Universitat de València - Foro de seguridad de RedIRIS

IPv6 en la Universitat de

València

XI Foro de Seguridad de RedIRIS

Seguridad en IPv6. Leganés (Madrid),

25 y 26 de abril de 2013



[email protected]

Jose Miguel Femenia Herrero
Servei d'Informàtica
Universitat de València

IPv6 en la Universitat de València

● Años de evolución (2000...)

– Doble stack.

● IPv6 disponibles en todas las VLAN de todos

los campus.

● IPv6 en el centro de datos.
● IPv6 en centros remotos.
● IPv6 en la red inalámbrica.

m i s m o
E x a c t a m e n t e e l
v 4
t r a t a m i e n t o q u e I P
l á d ó n d e s e p u e d a .
a l



Se adapta con los cambios de
la tecnología y la
implementación del
protocolo.



IPv6 en UV: La red

● Poca diversidad de marcas en los equipos de

red.
– Versiones más recientes del firmware.

● Routing con OSPFv3: 219 rutas IPv6 internas.
– Balanceo y alta disponibilidad basado en routing.

● Todo IPv6 nativo.
● Optimización para IPv6.



IPv6 en UV: Numeración

● SLAAC en todas las VLAN.

– /64 - /126 en punto a punto - /128 loopback

● Estáticas en los servidores.

– Protección ante SLAAC en los propios servidores.

● Gestionada desde la misma aplicación que IPv4.

– Generación de tablas DNS y DHCPv6

● Resolución inversa y directa.
● Registro de las tablas de ND (direcciones con soporte

de privacidad RFC4941).

¡Ojo! Unas 190.000 direcc iones IPv6
por semana sobre unas 75.000 MACs
(~25.000 cable + ~50.000 W iFi )



IPv6 en UV: Aplicaciones

● Syslog
● SNMP
● TACACS+
● Netdisco
● Cacti

● WWW
● Correo
● FTP
● SAMBA
● SSH

● DNS
● NTP
● DHCPv6

● disco
● Web mail
● Gestión de

IPs

● Firewall
● Balanceo
● HA
● Virtualización
● Google
● Youtube
● Facebook
● Wikipedia
● Bing



IPv6 en UV: Uso

¡Monitorización en IPv4!

● Webmail (datos 2013-03-07):

– Conexiones IPv4 UV: 666.479 (5.547 IP)
– Conexiones IPv6 UV: 581.339 (10.732 IP)
– Conexiones IPv4 no UV: 2.028.316 (33.139 IP)
– Conexiones IPv6 no UV: 7.335 (146 IP)

● Accesos UV:



IPv6 en UV: latencia en red local



IPv6 en UV: latencia con RedIRIS



IPv6 en UV: latencia con Internet2



IPv6 en UV: latencia con Google



IPv6 en UV: latencia DNS Google

8.8.8.8

2001:4860:4860::8888



IPv6 en UV: Seguridad

● Listas de acceso en los routers:
– Los mismos puertos que en IPv4
– Bogus nets, redes no permitidas, tunelizaciónes.
– Criterios muy similares a IPv4.

● Centro de datos:

– Servidores → IPv6 estáticas.
– Protección del servidor para no reconocer

autoconfiguración.

– Configurar el cortafuegos propio de los servidores

¡No es buena cosa confiar siempre en
el firewalll!



con IPv6.



IPv6 en UV: Seguridad en el acceso

● RA guard.
● ND inspection.
● IPv6 snooping.
● IPv6 source-guard
● IPv6 dhpc guard
● IPv6 neighbor binding

¡ Q u e d a m u c h o
t r a b a j o e n e l

l o !



IPv6 en UV: Los problemas

● Doble stack → Doble “mente”

– Los problemas de IPv4 no tienen por qué ser los problemas de

IPv6 ni viceversa.

● Los usuarios no lo saben, no lo notan y les “traspasa”.
– Normalizar protocolos de actuación en función de los dos

“protocolos” IP.

● ¿Qué protocolo estoy usando?

– No siempre es claro, no siempre es IPv6 si éste está disponible:

Happy Eyeballs RFC6555 (Firefox, Opera, Chrome, MacOS X,
Happy Eyeballs RFC6555
iOS).

T a m b i è n q u i t a

¡ V a l e !
m i e d o s .