PDF de programación - Implantación de IPv6 en el DIT-UPM

Implantación de IPv6 en el DIT-UPM

David Fernández Cambronero

Dpto. Ingeniería de Sistemas Telemáticos

E.T.S.I. Telecomunicación

Universidad Politécnica de Madrid

XI Foro de Seguridad de RedIRIS
Leganés, 25-26 de abril de 2013

Contenido

  Caso real de implantación de IPv6:

  en la red
  en los sistemas finales
  en la operación de la red

  Centro de cálculo y comunicaciones universitario

que da soporte a la investigación y la docencia
  Iniciada y desarrollada en el contexto de varios
proyectos, principalmente Euro6IX (2002-2005)

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Centro de Cálculo y Comunicaciones DIT-UPM:

Servicios Ofrecidos

  Apoyo a los grupos docentes y de investigación del
Dpto. de Ingeniería de Sistemas Telemáticos (DIT)

  Administrar y coordinar los servicios informáticos y de

comunicaciones del departamento

  Servicios ofrecidos:

  Servicios generales (Intranet DIT)
  Soporte a la docencia
  Soporte a la investigación

  Algunos números:

  Soporte a cerca de 100 personas entre profesores,

investigadores, becarios, proyectistas y personal administrativo,
y alrededor de 7 grupos de investigación

  Gestión directa de más de 60 servidores y más de 200

ordenadores personales (laboratorios)

  Soporte indirecto a más de 200 ordenadores personales
  Más de 1000 cuentas de usuario (personal + estudiantes)

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Topología Red DIT-ETSIT-UPM

GEANT

RedIRIS

Firewall

Servicios
Públicos
(DMZ)

Laboratorios

Docentes

Intranet

Acceso a Redes
de Investigación

Red de

Investigación

Implantación de IPv6 en el DIT-UPM - XI Foro de Seguridad de RedIRIS - Leganés, 25-26 de abril de 2013

Transición de la Red: Etapa inicial

  Conexiones IPv4 e

IPv6 separadas
  VLAN especifica para

IPv6

  Multihoming

RedIRIS/Euro6IX
  Firewalls IPv6 no

maduros

  DHCPv6 no disponible
  Firewalls y routers

independientes para
IPv6 e IPv4
Introducción
paulatina de IPv6

 

IPv4 Internet

IPv6 Internet

Fw4

dns,
www,
email
etc.

DMZ

Red troncal
R6

R4

R4

Fw6

R6

  Autoconfiguración sin

estado

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Transición de la Red: Situación actual (casi…)

  Switches de nivel 3

redundantes con
IPv6/IPv4
  Firewalls

reundantes IPv4/
IPv6 (Linux)

  Autoconfiguración

sin estado

Fw46

IPv4 Internet

IPv6 Internet

DMZ

Red troncal

R46

R46

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Procedimientos de gestión

  Base de datos

central con
información sobre
equipos y servicios
  Script que procesa

la información y
genera los ficheros
de configuración de
servicios:
  dns
  dhcp
  firewall
  ACLs Wifi
  etc

libs

headers

Administrador

Script

Base de
Datos

Operador

FWv4.sh
FWv6.sh

DNSv4.db
DNSv6.db

DHCPv4.conf
DHCPv6.conf

AP.acl

/etc/hosts

NIS+

logs
…etc…

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Estado de la implantación

  Servicios:

  Conectividad IPv6 en todas las redes de DIT: cable y Wifi

─  Autoconfiguración sin estado (SLAAC)
─  Conexión directa con RedIRIS (prefijo investigación)

  Servicios básicos: DNS, WEB, FTP, SMTP, POP3, IMAP, IRC, …

─  Correo entrante solo IPv4

  Trabajos pendientes:

  Migración al servicio IPv6 de la UPM (no disponible en la ETSIT)
  Uso de DHCPv6

  Experiencia:

  Esfuerzo inicial importante (formación, cambios en la gestión…)
  IPv6 integrado en el día a día: instalar/gestionar servicio significa

que funcione sobre IPv4 e IPv6

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Correo electrónico sobre IPv6

  Marzo 2007: activado soporte IPv6 en servidores correo
  Abril 2007: configurados registros SPF
  Mayo 2009:

From: Mail Delivery Subsystem <[email protected]>
Date: May 5, 2009 12:25:56 PM GMT+02:00
To: <****@dit.upm.es>
Subject: Returned mail: see transcript for details
…
----- The following addresses had permanent fatal errors -----
<******@terena.org>
(reason: 550 5.7.1 <*****@terena.org>: Recipient address rejected: Please see
http://www.openspf.org/Why?s=helo&id=mail.dit.upm.es&ip=2001:720:1500:42:215:c5ff:fef6:86e4
&r=erasmus.terena.org)

  Actualizados registros SPF para incluir rangos direcciones

IPv6:
# host -t txt dit.upm.es
… "v=spf1 ip4:138.4.0.0/19 ip6:2001:720:1500::/56 a mx ptr -all"

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Tráfico IPv6 en junio del 2011

  Mayo 2010: activación de IPv6 para dominios

google y youtube:

Servidores DNS de
he.net que participan
en el piloto IPv6 de
Google

zone "youtube.com" {
type forward;
forwarders { 2001:470:20::2; 74.82.42.42; };
};
zone "google.com" {
type forward;
forwarders { 2001:470:20::2; 74.82.42.42; };
};

  Resultado: aumento importante del

tráfico IPv6 del DIT (y de RedIRIS)

IPv4 IPv6

Tráfico DIT actual

Implantación de IPv6 en el DIT-UPM - XI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011

Tráfico externo IPv4 vs. IPv6 (18/4/2013)

  Multitud de servicios ya disponibles en IPv6: google, youtube,

facebook, akamai, etc.

  Tráfico IPv6 externo: 18% entrante, 4% saliente
  Tráfico interno IPv6 muy alto

IPv4

IPv6

Tráfico externo IPv4 vs. IPv6 (Semanal)

IPv4

IPv6

Seguridad en IPv6

  Basada en firewall IPv6 (Linux+fwbuilder

+iptables)
  Dificultad inicial de gestión por mantener firewalls

IPv4 e IPv6 separados

  Pocos incidentes específicos de IPv6 reseñables:

  Problemas de conectividad debidos a configuraciones

de usuarios erróneas (RAs indebidos)

  Retardos en navegadores debidos a caídas IPv6
  Falta de trazas sobre direcciones asignadas/

utilizadas por los hosts si se usa SLAAC
  Problema con extensiones de privacidad

NDPMon (ndpmon.sourceforge.net)

  Monitorización del protocolo ND

  Similar a ARPwatch
  Alertas por mail o al syslog
  Servidor web (alertas y caches de vecinos en tiempo real)

  Implementa algunas contramedidas
  Instalación muy sencilla
  Escenario virtual de pruebas:

  Usa THC-IPv6 para generar ataques
  Desarrollado con VNX 

Virtual Networks over Linux (VNX)

(http://vnx.dit.upm.es)

Net1

Net2

Net3

Scenario
Design

<vnx>
…
<vm name=vm1>
…
<vm name=vm2>
…
</vnx>

Scenario Specification
Using VNX language and a:
•  Graphical editor (VNXGUI)
•  XML editor

VNX user

VNX parser
invocation

building

command
sequence
execution

releasing

Scenario Management

VNX processes scenario specification
and creates/releases it over the hosts
and helps on command execution

interaction

(e.g., console,

Direct

SSH, etc.)

Net1

Net2

Net3

Virtual
Network
Scenario

Physical

host

Práctica de seguridad en entorno GNU/Linux

Testbed example: 6to4 network laboratory

IPv6 (no 6to4)

6to4 routers

IPv6 (6to4)
IPv4

6to4 relays

Requirements:
•  22 CISCO routers
•  30 Linux-based quagga routers
•  5 servers
•  6 clients (real PCs)
•  Switches to interconnect all
•  Testbed management solution

S1

DMZ

S2

DMZ

Internet

Requisitos:
•  14 Firewalls Linux (iptables

+firewall builder)

•  10 routers routers quagga
•  4 servidores
•  14 PCs
•  Switches interconexión
•  Gestión de configuraciones

Example scenario screenshot: 6to4

Reflexiones

  Ataques DDoS sobre IPv6 detectados desde hace

tiempo:
  Informes de Arbor Networks.

http://ddos.arbornetworks.com/2012/02/a-milestone-in-ipv6-
deployment/

  Fallos de seguridad básicos:

  Internet Census 2012

  Seguridad basadas en control de acceso (NAC - Network

Access Control)

  Herramientas de monitorización similares a las de IPv4:

NDPmon

  Ajuste fino de las reglas de los firewalls: filtrado de

ICMP, cabeceras opcionales, túneles, etc. Libro de Ipv6
Security

  Necesidad de IDS y NAC

Estadísticas IPv6

Tráfico IPv4 vs. IPv6

IPv4 IPv6

Implantación de IPv6 en el DIT-UPM - XXXI Grupos de Trabajo de RedIRIS - Barcelona, 1-2 junio 2011