PDF de programación - Hacia una transición a IPv6 - XI Foro de Seguridad de RedIRIS

XI Foro de Seguridad de RedIRIS

Hacia una transición a IPv6 segura

Xavier Marchador
([email protected])

Índice

El CESCA: Centro de servicios TIC
Historia de IPv6 en la Anella Científica
Conexión del CESCA a las redes académicas
Servicios en IPv4/IPv6
Arquitectura de red
Casos de uso
Conclusiones

El CESCA: Centro de servicios TIC

Historia de IPv6 en la Anella Científica (I)

Año
1999

2000

2001

2002

2003

2004

2005

Hechos destacables
Túnel IPv6 con RedIRIS, IOS Beta
Participación en 6Bone, 3ffe:3326::/32

IPv6 en…
CESCA

Direcciones IPv6 públicas de RedIRIS
Primeros túneles con instituciones

IPv6 nativo en Anella Científica

RIPE asigna direcciones IPv6 al CESCA
Conexión IPv6 de la Anella en CATNIX

World IPv6 summit
Ópera Oberta
Eclipse solar

Multicast IPv6

UAB
UPC
URL

i2CAT
CTTC

Liceu
BSC
CELLS
XTEC

Historia de IPv6 en la Anella Científica (II)

Año

2006

2007
2008
2009

2010

2011

Hechos destacables
6-6-2006: Acaba 6Bone
Primeros “ataques” IPv6 (escaneos)

Dominio .cat en IPv6

Pruebas multicast IPv6 en proyecto PASITO

Agotamiento direcciones IANA
8-6-2011: World IPv6 day
Troncal Anella redundante IPv4/6

IPv6 en…

CAR

URV
IFAE
Puigvert
FBM
BAU

Conexión del CESCA a las redes académicas

Conexión del CESCA a las redes académicas

Campus Nord

4507R-E
Sup6L-E

3750G

Telvent

2x10 Gbps

2x1 Gbps

CRS-3

4x10 Gbps

6513
Sup2T

CRS-3
4x10 Gbps

6509
Sup2T

10 Gbps

2x10 Gbps

2x10 Gbps

10 Gbps

DWDM

Peering BGP N3

Enlace físico N2

Conexión del CESCA a las redes académicas

Campus Nord

SERVICIOS-
NONPROFIT

SERVICIOS-
PROFIT

SERVICIOS-XC

4507R-E
Sup6L-E

3750G

Telvent

SERVICIOS-XC

SERVICIOS-PROFIT

SERVICIOS-NONPROFIT

CRS-3

CRS-3

Conexión del CESCA a las redes académicas

Campus Nord

SERVICIOS-
NONPROFIT

SERVICIOS-
PROFIT

SERVICIOS-XC

4507R-E
Sup6L-E

3750G

Telvent

SERVICIOS-XC

SERVICIOS-PROFIT

SERVICIOS-NONPROFIT

CRS-3

CRS-3

Internet

Servicios en IPv4/IPv6

 DNS

• Resolver y catching interno
• Réplica del secundario del dominio .es
• Réplica del TLD del dominio .cat
• Servidores raíz F (ISC) y L (ICANN) en IPv6 en CATNIX

 NTP (Appliance Stratum 1)
 E-mail (Ironport)
 Web corporativa (www.cesca.cat)
 Servicios web (Balanceadores BIG-IP F5)
 Proxy HTTP IPv6

Asignación direcciones IPv6

/32 CESCA

• 2001:40b0::/32 ANELLA CIENTIFICA
• 2001:7f8:2a::/48 CATNIX
• 2001:67c:137c::/48 CATNIX

/48 Instituciones de la Anella Científica
/64 Entorno VRF

• 2001:40B0:1:1122::1/64

/96 Para cada servicio
/125 Enlaces PaP

Troncal de red con dual stack

Definición de diferentes entornos mediante VRF (CISCO)

• Servicios PROFIT
• Servicios NON-PROFIT
• Servicios CORPORATIVOS

VRF híbrido IPv4/IPv6

Pros:

• Aprovechamiento de la electrónica de red
• Políticas de routing diferenciadas
• Arquitectura escalable
• Uso de stack de IPv6 y IPv4 en la misma vlan

Troncal de red con dual stack

Contra:

• Dificultad en la gestión
• Complejidad en la aplicación de políticas de seguridad
• Dual stack en VRF no estaba soportado oficialmente y
fallaba

Workaround

• VRF sólo con IPv4
• IPv6 en la tabla de routing global

Balanceadores: Situación inicial

 IPv4 exclusivamente
 Único gateway IPv4

IPv4

IPv4

.1

.2

.3

.4

}
}

Default GW IPv4
Vlans VS Públicas

Vlans Pool servidores

Migración Balanceadores: Estado actual

 Entrada de la vlan de IPv6
 Creación del VS con IPv6
 Configuración de la SelfIPv6
 Creación de rutas en IPv6

IPv4/IPv6

IPv4

2001:40B0:1.....
::1
.1

::3

.3

::2
.2

.4

::4

Default GW IPv6
Default GW IPv4
Vlans VS Públicas

Vlans Pool servidores

}
}

Migración Balanceadores: Posible escenario

 Opciones

• IPv6 por delante del balanceador
• IPv6 por detrás del balanceador

 Consideraciones

• Mayor número de IP

IPv4/IPv6

IPv4

2001:40B0:1.....
::1
.1

::3

.3

::2
.2

.4

::4

IPv6

Default GW IPv6
Default GW IPv4
Vlans VS Públicas

Vlans Pool servidores

}
}

Migración Balanceadores: Posible escenario II

 Opciones

• IPv4/IPv6 sobre la misma VLAN

 Consideraciones

• Mayor número de IP menos VLAN

IPv4/IPv6

IPv4

2001:40B0:1.....

.1 / ::1

.2 / ::2

.3 / ::3

.4 / ::4

IPv4/IPv6

Default GW IPv4 / IPv6
Vlans VS Públicas

Vlans Pool servidores

}
}

Soporte de IPv6 en Ironport

 En la fecha de migración no existía soporte de IPv6 (AsyncOS 6.5)
 Workaround

• MX IPv4 apunta al Ironport
• MX IPv6 apunta a MV con IPv6 pública
• MV hace relay vía IPv4 hacia el Ironport

 Soporte de IPv6 ya disponible (AsyncOS 7.6)

Soporte de IPv6 en Ironport

 En la fecha de migración no existía soporte de IPv6 (AsyncOS 6.5)
 Workaround

• MX IPv4 apunta al Ironport
• MX IPv6 apunta a MV con IPv6 pública
• MV hace relay via IPv4 hacia el Ironport

 Soporte de IPv6 ya disponible (AsyncOS 7.6)

2001:40b0:1:1122:ce5c:a000:0:5

6

v

I P

IPv4

DNS

Relay
IPv4

84.88.0.6

MX cesca.cat?
MX IPv4 = 84.88.0.6
MX IPv6 =2001:40b0:1:1122:ce5c:a000:0:5

Uso de IPv6

 DNS

¿Los “malos” usan IPv6?

¿Los “malos” usan IPv6?

Conclusiones

Experiencia en IPv6 limitada
IPv6 añade complejidad a la gestión
Los escenarios posibles se multiplican
IPv6 añade nuevos vectores de ataque
Despliegue de servicios con IPv6

condicionada en gran medida por los
fabricantes

¡Gracias por vuestra atención!

Contacto:
Contacto:
•• xmarchador
xmarchador@@cesca.cat
cesca.cat
Twitter::
Twitter
•• @CE5CA
@CE5CA

Para mmááss informacion
informacion::
Para
•• www.cesca.cat
www.cesca.cat
•• www.catnix.cat
www.catnix.cat