Académique Documents
Professionnel Documents
Culture Documents
Transition IPv6
Bruno STEVANT
Alain AINA
TECIPM-2004
Cisco Confidential
Application parlant
IPv6
TCP
UDP
TCP
M
t
Ser hode
veu pr
rs d fr
UDP
e
ap
plic sur l
atio es
n
IPv4
IPv6
IPv4
IPv6
0x0800
0x86dd
0x0800
0x86dd
Frame
Protocol ID
www.a.com
=*?
DNS
Server
2001:db8::1
10.1.1.1
IPv4
IPv6
2001:db8:1::1
Routeur
Rseau
Dual-Stack
IPv6 et IPv4
router#
ipv6 unicast-routing
interface Ethernet0
ip address 192.168.99.1 255.255.255.0
ipv6 address 2001:db8:213:1::1/64
IPv4: 192.168.99.1
IPv6: 2001:db8:213:1::1/64
Routeur IPv6
Si IPv4 et IPv6 sont prsents sur la mme interface
Telnet, Ping, Traceroute, SSH, DNS client, TFTP,
Semi-automatiques
Tunnel broker
Automatiques
6to4 (RFC 3056)
ISATAP
6rd
IPv6
Host
Transport
Header
Routeur
Dual-Stack
IPv6
Host
Routeur
Dual-Stack
IPv4
rseau
IPv6
IPv4
Data
rseau
IPv6
IPv6 Header
Transport
Header
Data
IPv4
IPv4: 192.168.99.1
IPv6: 2001:db8:c18:1::3
Dual-Stack
Router2
IPv6
Network
IPv4: 192.168.30.1
IPv6: 2001:db8:c18:1::2
router1#
router2#
interface Tunnel0
ipv6 address 2001:db8:c18:1::3/64
tunnel source 192.168.99.1
tunnel destination 192.168.30.1
tunnel mode ipv6ip
interface Tunnel0
ipv6 address 2001:db8:c18:1::2/64
tunnel source 192.168.30.1
tunnel destination 192.168.99.1
tunnel mode ipv6ip
E0
192.168.99.1
IPv4
6to4
Router2
E0
192.168.30.1
2002:c0a8:6301::/48
Tunnel 6to4 : =
Mthode automatique
Donne un prfixe au rseau
IPv6 reli.
2002::/16 assign 6to4
Ncessite une adresse IPv4
globale par site
IPv6
Network
Network prefix:
2002:c0a8:1e01::/48
=
router2#
interface Loopback0
ip address 192.168.30.1 255.255.255.0
ipv6 address 2002:c0a8:1e01:1::/64 eui-64
interface Tunnel0
no ip address
ipv6 unnumbered Ethernet0
tunnel source Loopback0
tunnel mode ipv6ip 6to4
ipv6 route 2002::/16 Tunnel0
Relais 6to4
6to4
Router1
IPv6
Network
Network prefix:
2002:c0a8:6301::/48
IPv4
6to4
Relay
IPv6
Network
192.168.99.1
=
router1#
interface Loopback0
ip address 192.168.99.1 255.255.255.0
ipv6 address 2002:c0a8:6301:1::/64 eui-64
interface Tunnel0
no ip address
ipv6 unnumbered Ethernet0
tunnel source Loopback0
tunnel mode ipv6ip 6to4
ipv6 route 2002::/16 Tunnel0
ipv6 route ::/0 2002:c0a8:1e01::1
IPv6
Internet
IPv6 address:
2002:c0a8:1e01::1
Relais 6to4 :
Passerelle pour lInternet IPv6
Routeur par dfaut
Adresse anycast par dfaut (RFC
3068) pour de multiples relais
6to4.
Tunnel Broker
2. Rponse information
1. Requte de
tunnel sur IPv4. Tunnel sur IPv4.
Rseau
IPv4
4. Le Client tablit le
tunnel avec le router ou
le serveur de tunnel
Tunnel
Broker
3. Tunnel Broker
configure le tunnel sur
le routeur ou le serveur.
Rseau
IPv6
0000:5EFE
IPv4 address
rseau IPv4
ISATAP
192.168.2.1
fe80::5efe:c0a8:0201
192.168.4.1
fe80::5efe:c0a8:0401
2001:db8:ffff:5efe:c0a8:0401
Src Addr
Dest Addr
fe80::5efe:c0a8:0201
fe80::5efe:c0a8:0401
Src Addr
Dest Addr
fe80::5efe:c0a8:0401
fe80::5efe:c0a8:0201
Prefix = 2001:db8:ffff::/64
Lifetime, options
configuration ISATAP
192.168.2.1
Rseau IPv6
ISATAP
IPv4 Network
fe80::5efe:c0a8:0201
2001:db8:ffff:5efe:c0a8:0201
192.168.4.1
192.168.3.1
fe80::5efe:c0a8:0401
2001:db8:ffff:5efe:c0a8:0401
fe80::5efe:c0a8:0301
2001:db8:ffff:5efe:c0a8:0301
A
2001:db8:ffff::/64
Rseau IPv6
ISATAP
fe80::/64
API
BIS (Bump-In-the-Stack) (RFC 2767)
BIA (Bump-In-the-API)
Concept NAT-PT
IPv4
Interface
IPv4 Host
172.16.1.1
NAT-PT
IPv6
Interface
IPv6 Host
2001:db8:1987:0:2E0:B0FF:FE6A:412C
IPv6 Host
IPv4 Host
172.16.1.1
NAT-PT
IPv6
Interface
2001:db8:1987:0:2E0:B0FF:FE6A:412C
2
Src: 172.17.1.1
Dst: 172.16.1.1
3
Src: 172.16.1.1
Dst: 172.17.1.1
1
Src: 2001:db8:1987:0:2E0:B0FF:FE6A:412C
Dst: PREFIX::1
4
Src: PREFIX::1
Dst: 2001:db8:1987:0:2E0:B0FF:FE6A:412C
Action
Version = 6
Version = 4
Re-crit
Traffic class
DSCP
copie
Flow label
N/A
Met 0
Payload length
Total length
ajuste
IPv6
Next header
Protocol
copie
Hop limit
TTL
copie
Type=A Q=host.nat-pt.com
3
Type=A R=172.16.1.5
6
Type=PTR Q=5.1.16.172.in-addr-arpa
7
Type=PTR R=host.nat-pt.com
IPv6 Host
Type=AAAA Q=host.nat-pt.com
4
Type=AAAA R=2010::45
5
Type=PTR Q=5.4.0...0.1.0.2.IP6.ARPA
8
Type=PTR R=host.nat-pt.com
Ethernet-2
Requte DNS
Ethernet-1
Requte DNS
DNS v6
Hte A
TTL DNS = 0
<v4 address>
<v6 address>
Commandes de Debug
debug ipv6 nat
debug ipv6 nat detailed
.200
LAN2: 192.168.1.0/24
Ethernet-2
Ethernet-1
interface ethernet-1
ipv6 address 2001:db8::10/64
ipv6 nat
!
interface ethernet-2
ip address 192.168.1.1 255.255.255.0
ipv6 nat prefix 2010::/96
ipv6 nat
!
ipv6 nat v6v4 source 2001:db8::1 192.168.2.1
ipv6 nat v4v6 source 192.168.1.200 2010::60
!
LAN1: 2001:db8::/64
2001:db8::1
.200
.100
Ethernet-2
LAN1: 2001:db8::/64
2001:db8::1
Ethernet-1
interface ethernet-1
ipv6 address 2001:db8::10/64
ipv6 nat
!
interface ethernet-2
ip address 192.168.1.1 255.255.255.0
ipv6 nat
ipv6 nat prefix 2010::/96
!
ipv6 nat v4v6 source 192.168.1.100 2010::1
!
ipv6 nat v6v4 source route-map map1 pool v4pool1
ipv6 nat v6v4 pool v4pool1 192.168.2.1 192.168.2.10
prefix-length 24
!
route-map map1 permit 10
match interface Ethernet-2
LAN2: 192.168.1.0/24
.200
IPv6 source
--- ---
---
--- 192.168.2.1
2001:db8::1
IPv6 destn
IPv4 destn
2010::60
192.168.1.200
---
LAN2: 192.168.1.0/24
Ethernet-2
Router1
Ethernet-1
LAN1: 2001:db8::/64
2001:db8::1
Rsum NAT-PT
Point dattention:
Une ALG par application incluant des adresses
Pas de scurit de bout en bout
Pas de DNSSEC
Pas dIPsec car les adresses changent
Scurit IPv6
Bruno STEVANT
Alain AINA
TECIPM-2004
Cisco Confidential
Agenda
Problmes communs IPv4 et IPv6
Problmes spcifiques IPv6
IPsec partout, dual-stack, tunnels et IPv6 Mobile
Rgles communes pour la scurit IPv6
Faire respecter les rgles de scurit IPv6
ACL et Firewalls
Scuriser le dploiement sur une infrastructure
publique
Problmes
communs
Reconnaissance en IPv4
Facile faire
1. DNS/IANA crawling (whois) pour connatre les rseaux
2. Ping et scanning de ports
3. Scanner les ports vulnrables
[tick:/var] scott# nmap -sP 10.1.1.0/24
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host (10.1.1.0) seems to be a subnet broadcast
Host (10.1.1.1) appears to be up.
Host (10.1.1.12) appears to be up.
Host (10.1.1.22) appears to be up.
Host (10.1.1.23) appears to be up.
Host (10.1.1.101) appears to be up.
Host (10.1.1.255) seems to be a subnet broadcast
Nmap run completed -- 256 IP addresses (7 hosts up)
scanned in 4 seconds
Reconnaissance en IPv6
Diffrence de taille de subnet
En IPv6 le sous-rseau de base a 264 adresses
10 Mpps = plus de 50 000 ans
NMAP ne marche pas sur IPv6
Reconnaissance en IPv6
Changement de mthode
Reconnaissance en IPv6
Nouvelles Adresses Multicast
Tous les routeurs (FF05::2) et tous les serveurs DHCP (FF05::1:3)
Pas besoin de reconnaissance
Source
Destination
Attacker FF05::1:3
Payload
DHCP Attack
2001:0410::50
2001:0410::60
2001:0410::70
/32
/48
/64
2001
Interface ID
Firewall
IPv6
Intranet
Management System IPv6
Address2001:DB8:F15:C15::1*
Internal Server
2001:DB8:F15:c16::1/64
X
Action
Src
Dest
Src Port
Dst Port
Permit
2001:DB8:
F15:C15::1
2001:DB8:
F15:c16::1
Any
80
Deny
Any
Any
Alternatives
Utiliser DHCP avec un pool spcifique (voir plus loin)
Prendre ce pool comme base de filtrage
uRPF Enabled
IPv6
Intranet
Adresse Source
IPv6 non alloue
IPv6
Intranet/Internet
Access
Layer
IPv6
Intranet/Internet
Adresse Source
IPv6 vole
Access
Layer
Adresse Source
IPv6 vole
routeur
avec uRPF Enabled
routeur
avec uRPF Enabled
IPv6
Intranet/Internet
ICMPv4
ICMPv6
Connectivity Checks
Informational/Error Messaging
Address Assignment
Address Resolution
Next Header
Reserved
Fragment Offset
Identification
Fragment Data
Next Header = 43
Routing Header
Next Header
RH Type
Routing
Type
Segments Left
Outil dattaque:
fake_router6
1. RS
2. RA
Peut faire de
2. RA
nimporte quelle
adresse IPv6 le
routeur par dfaut
1. RS:
1. RA:
Src = ::
Dst = All-Routers
multicast Address
ICMP Type = 133
Data = Query: please send RA
Sollicitation de voisin
A
Pas de mcanisme de
scurit
Outil dattaque:
Parasite6
Rpond a tous les NS
et prtend tre ce
noeud
Src = A
Dst = Solicited-node multicast of B
ICMP type = 135
Data = link-layer address of A
Query: what is your link address?
Src = B
Dst = A
ICMP type = 136
Data = link-layer address of B
A et B peuvent maintenant se
parler sur ce lien
Src = ::
Dst = Solicited-node multicast of A
ICMP type = 135
Data = link-layer address of A
Query = what is your link address?
Hte malicieux
Linsertion dhte malicieux est aussi facile quen IPv4
Attaque Man-in-the-middle
Sans IPSec, une attaque Man-in-middle la mme
chance de russir en IPv6 quen IPv4.
Inondation
Identique
Cest rel
Outils dattaque IPv6
Sniffers/packet capture
Scanners
Snort
TCPdump
Halfscan6
Strobe
Ethereal
Netcat
Analyzer
DoS Tools
Windump
6tunneldos
WinPcap
4to6ddos
NetPeek
Imps6-tools
Sniffer Pro
Vers
Packet forgers
SendIP
Slapper
Packit
Avertissements
Spak6
http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml
Outil complet
http://www.kb.cert.org/vuls/id/658859
http://www.thc.org/thc-ipv6/
Problmes
spcifiques IPv6
Le mythe IPsec :
IPsec de bout en bout est notre sauveur
IPv6 exige limplmentation de IPsec
IPv6 na pas besoin IPsec
Certains pensent que IPsec doit tre utilis pour scuriser tous les
trafics...
Intressant problme de scalability (n2 avec IPsec)
On doit faire confiance aux htes et aux utilisateurs finaux parce que le
rseau ne peut pas scuriser le trafic: pas de IPS, ACL, firewall
La tlmtrie rseau est aveugle : NetFlow ne sert rien
Les services rseaux obstrus : QoS?
Votre rseau
Ne tourne pas IPv6
votre hypothse:
Je suis en scurit
Ralit
Vous ntes pas en scurit
Des Router Advertisements sont envoys par des pirates
Votre hte prend une adresse IPv6
Vous tes attaqu par IPv6
Bonnes pratiques de
scurit IPv6
Bonnes pratiques
Implmenter les privacy extensions avec prcaution
Filtrer les adresses internes la limite du site
Filtrer les services inutiles sur le firewall
Filtrer ICMP avec mesure
Porter attention la scurit des applications et des htes
Dterminer quelle entte ne pas filtrer
Bloquer les routing header type 0 lentre du rseau
Dterminer quel messages ICMPv6 sont ncessaires
Bloquer les fragments destins aux nuds intermdiaires quand
cest possible
Sassurer de ces capacits de filtrage de fragment IPv6 approprie
Renforcer les
politiques de scurit
IPv6 Internet
Ethernet0
line vty 0 4
ipv6 access-class VTY in
Conclusion