Vous êtes sur la page 1sur 46

IPv6 pour les Nuls

10 février 2011
Marc Michault Arnaud Lheureux
TechnologistLead PFE- Security
Sidem Systems Solutions Microsoft France

4
Ils avaient raison!
C’est la fin!!!!!
FoxNews – 26
ja n 2011
5
C’est quoi ce beODLZ?
?
?
?
?
6
Agenda
• Le paquet et les adresses IPv6
• Configuration (et Auto-Configuration)
• Résolution de Noms
• Technologies de Transition
• Dernières pensées

7
I – Le Paquet et les Adresses
IPv6
• Le Paquet IPv6
• Comment rédiger des adresses IPv6
• Sous-Réseautage
• Types d’adresses
• Monodiffusion (Unicast)
• Multidiffusion (Multicast)

8
Paquet IPv6
• IPv6 utilise des adresses codées sur 128 bit
• En-tête réduit et fixe pour un routage rapide
• Options dans les en-têtes d’extensions
• Support de l’IPSec (en-têtes d’extensions
spécifiques)
• Support du QoS (Identifiant de flux dans l’en-tête)
En-Tête IPv6 Extension Extension Protocol Data Unit
40-octets x8-octets x8-octets (PDU)


9
Adresses IPv6
•1111
Des “:” séparent
1101 huit blocs
0000 0000 0000de0000
4 chiffres
0000 0000
hexadécimaux
0000 0000 0000 0000 0000 0000 0010 0001
•0000
Les zéros
0000de gauche
0000 0001sont ôtés
0000 0000 0000 0000
• 0000
Les groupes de zéros
0000 0000 0000sont
0101compressés
0001 0100 0011
• Une seule fois…

FD00::21:1::5143
FD00::21:1:0:0:5143
FD00:0:0:21:1:0:0:5143
FD000000000000210001000000005143
FD00:0000:0000:0021:0001:0000:0000:5143
FD00:0000:0000:0021:0001:0000:0000:5143

10
Sous-Réseautage
• Par défaut:
• Identifiant de réseau de 48-bit
• Identifiant de sous-réseau de 16-bit
• Identifiant d’interface de 64-bit
•Préfixe en notation CIDR:
• Adresse/Préfixe:FD00::21:1:0:0:5143/96
Réseau S-R Interface ID
48-bit 16-bit 64-bit

11
Types d’Adresses IPv6
Photo de famille
• Un nœud a typiquement plusieurs adresses IPv6:
• Adresses de Mono-Diffusion
• Link-Local Unicast
• Identifiant d’Interface
• Global Unicast
• Unique Local Unicast
• Interfaces de Tunnels
• Spéciales (Réservées)
•Adresses de Multi-Diffusion
• Solicited Node
• Link-Layer multicast addresses

12
Adresses IPv6 Link-Local
Bienvenue chez vous
• FE80::/64
• Similaire aux adresses APIPA (169.254.0.0)
• Toujours présentes
• Nécessaire pour les opérations sur le segment

1111111010

FE80

13
Identifiants de Zones
(Scope)
• Les adresses Link-Local peuvent être dupliquées et
Recyclez!
ambigues
• Pour clarifier une ZONE ID indique le lien
• Sur Windows elle représente l’index d’interface
• Syntaxe:
• ADDRESS%ZONE_ID
• Exemple:
FE80::C582:1680:D349:A6BF%13

14
Identifiants de Zones
(Scope)
Recyclez! Quelle carte? Je dois envoyer un
paquet à fe80::1:2:3:4

FE80::CD87:5DD6:CF39:DD08 %12 FE80::80D4:29C9:2B3C:A0E2%13

15
Adresses Global Unicast
IPv6
• Utilisation similaire aux adresses IPv4 publiques
IPv6 Internet Publique
• 2000::/3 (= 2000-3FFF)
• 2001 utilisé pour Teredo et 2002 pour 6to4
(solutions de compatibilité IPv4)
• Préfixe de routage global de 45-bit,
Identifiant de sous-réseau de 16-bit
001

2…

16
Adresses IPv6 Unique Local
Intranets privés IPv6
• Utilisation similaire aux adresses IPv4 privées (RFC
1918)
• Adresses Site-Local (FEC0::) retirées
• FC::/7
• Mais le 8éme bit définit “local” donc FD::
11111101
“local”
FD..

17
Adresses IPv6 de Multi-
Diffusion
• Utilisées pour les opérations link-local (segment)
Tir groupé
• Pas de broadcast en IPv6!
• FF suivi par 4 bits pour les qualifiants et 4 bits pour
l’étendue
1=Interface-Local
Qualif. Etendue 2=Link-Local
5=Site-Local 1=Tous Noeuds
11111111 2=Tous Routeurs

FF..

18
Adr. de Multicast
Fréquentes
• Nœuds/Lien
Exemples

• FF01::1 – Interface-Local tous les Nœuds


• FF02::1 – Link-Local tous les Nœuds
• FF02::1:2 – Tous les serveurs DHCP
• FF02::1:3 – Résolution de noms Link-Local
(LLMNR)
• Routeurs
• FF01::2 – Interface-Local tous les Routeurs
• FF02::2 – Link-Local tous les Routeurs
19
Solicited Node
Adresse de multidiffusion associée à l’adresse de
monodiffusion
• Les noeuds enregistrent des adresses de
multidiffusion associées à leurs adresses IPv6
• Syntax:
FF02::1:FF00:0/104 + <derniers 24 bits de
l’Interface-ID IPv6 >
• Utilisé pour obtenir l’adresse physique d’un hôte
(remplace ARP)
FF02::1:FF49:A6BF
FE80::C582:1680:D349:A6BF

20
Adr. MAC de Multi-
Diffusion
• Pour recevoir le traffic, les noeuds enregistrent les adresses
Adresses
MAC deMAC enregistrées
multi-diffusion par l’interface
associées à leurs multi-diffusions IPv6
• Syntaxe:
33-33 + <Derniers 32 bit de l’adresse IPv6 multi-diffusion>
• Utilisées pour répondre aux multi-diffusions IPv6 à la couche
physique

Adresses IPv6 multicast Associated MAC


multicast addresses
Solicited node FF02::1:FF49:A6BF 33-33-FF-49-A6-BF
Link-local tous noeuds FF02::1 33-33-00-00-00-01
21
Adresses Réservées et
Routage
• ::1 : Localhost (le stack local)
Où vais-je?
• :: : Adresse indéfinie (l’ensemble du réseau)
• Le routage fonctionne de la même manière que sur
IPv4
• La passerelle (routeur)
• Peut être définie automatiquement par annonce
• Sollicitation et annonce de routeur ICMPv6

22
II – Configuration
Automatique
• Configuration Stateful ou Stateless
• Découverte de Voisinage (Neighbor Discovery)
• Allocation automatique d’adresse
• Découverte de Routeur (Router Discovery)

23
Recherche d’Adresses
IPv6
• Stateless
J’en veux, j’en veux!
• Link-Local Neighbor Discovery
• Router Advertisement
• Stateful
• Manuelle
• DHCPv6

24
Découverte des Voisins
Enquéte de Voisinage
• ICMPv6 Options Types:
• 1-127: Codes d’erreur
• 128-255: Codes d’information

• Neighbor Discovery utilise des paquets ICMPv6


• Avec des options types d’information spécifiques
• Envoyés sur des adresses de multidiffusion
• Les annonces sont envoyées:
• Régulièrement (à la multidiffusion de tous les nœuds link-local)
• En réponse à une demande (à l’adresse du demandeur)

25
Neighbor Discovery Vert
IPv6: FE80::2AA:FF:FE11:1111
Bonjour voisin… MAC: 00-AA-00-AA-AA-AA

Neighbor Advertisement
CMPv6 Options Type: 136 Neighbor Solicitation
MAC ICMPv6 Options Type: 135
Src: Blanc
00-AA-00-BB-BB-BB
Adr. MAC MAC
Dest. Vert
00-AA-00-AA-AA-AA
Adr. MAC Src: 00-AA-00-AA-AA-AA
Vert Adr. MAC
Pv6: Dest. 33-33-FF-22-22-22
Blanc Solicited. Adr.
Src: Blanc
FE80::2AA:FF:FE22:2222
Adr. IPv6 IPv6:
Dest: Vert
FE80::2AA:FF:FE11:1111
Adr. IPv6 Src: FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
arget: Blanc
FE80::2AA:FF:FE22:2222
Adr. IPv6 Dest: FF02::1:FF22:2222
Blanc Solicited Adr.
Option: Blanc
00-AA-00-BB-BB-BB
Adr. MAC Target: FE80::2AA:FF:FE22:2222
Blanc Adr. IPv6
Option: Source Link-Layer Address

Blanc
IPv6: FE80::2AA:FF:FE22:2222
MAC: 00-AA-00-BB-BB-BB
26
Auto-Attribution d’Adresse
IPv6
• Sollicitation de voisin avec une adresse auto-attribuée
J’veux la mienne!
• Mais la source est :: (adresse indéfinie)
• L’adresse est définie comme “Tentative”
• Ne peux pas encore recevoir de paquets adressés à cette
adresse

• Si un conflit existe, la machine en conflit répond


• Sinon, l’adresse est maintenue
• L’adresse est définie comme “Valide”
• L’hôte peux recevoir des paquets adressés à cette adresse
27
Router Discovery
Par ici la sortie… Vert

Router Advertisement
CMPv6 Options Type: 134
MAC
Src: 00-AA-00-CC-CC-CC
Routeur Adr. MAC
Dest. 33-33-00-00-00-01
Nodes Multicast
Pv6:
Src: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
Dest: FF02::1
Link-Local Nodes Multicast
Target: FE80::2AA:FF:FE33:3333
Routeur
Routeur Adr. IPv6
Option: 00-AA-00-CC-CC-CC, IPv6: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6, MTU,
MTU,
MAC: 00-AA-00-CC-CC-CC
Préfixes…

28
IPv6 Natif
• Router Advertisement sur DA01
• netsh int ipv6 set route
2001:DB8:ABCD:1111::/64
"Local Area Connection"
publish=yes
• Netsh int ipv6 set int "Local Area
Connection" advertise=enable
Router Discovery
(Demande) Vert
IPv6: FE80::2AA:FF:FE11:1111
Router Advertisement
Je veux sortir! MAC: 00-AA-00-AA-AA-AA
CMPv6 Options Type: 134
MAC
Src: Routeur
00-AA-00-CC-CC-CC
Adr. MAC Router Solicitation
Dest. Vert
00-AA-00-AA-AA-AA
Adr. MAC ICMPv6 Options Type: 133
Pv6: MAC
Src: Routeur
FE80::2AA:FF:FE33:3333
Adr. IPv6 Src: 00-AA-00-AA-AA-AA
Vert Adr. MAC
Dest: Vert
FE80::2AA:FF:FE11:1111
Adr. IPv6 Dest. 33-33-00-00-00-02
Routeur Multicast
Target: Routeur
FE80::2AA:FF:FE33:3333
Adr. IPv6 Routeur IPv6:
Option: Routeur
00-AA-00-CC-CC-CC,
IPv6 Adr., MTU,
MTU, IPv6: FE80::2AA:FF:FE33:3333 Src: FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
Préfixes… MAC: 00-AA-00-CC-CC-CC Dest: FF02::2
Routeur Multicast Local
Target: FE80::2AA:FF:FE22:2222
Routeur Adr. IPv6
Option: Source
Source Link-Layer
Link-Layer Address
Address

30
Atttribution d’adr. IPv6
Stateful
• Manuelle
Configuration gérée
• Refusez, la vie est trop courte!
• DHCPv6
• IPv6 Scope
• Configuration IP additionnelle
• DNS, etc…

31
III – Résolution de Noms
• Link-Local Multicast Name Resolution (LLMNR)
• Domain Name Service (DNS)

32
Résolution de Noms
Qu’est-ce qui se cache derrière un nom?
• Sous-réseau local
• Link-Local Multicast Name Resolution
• Internet
• Peer Name Resolution Protocol
• DNSv6
• AAAA records
• Reverse pointer

33
Link-Local Multicast
Name Resolution
(LLMNR)
• Paquets
Mes copainssimilaire au DNS sont envoyés en multidiffusion
du quartier
• FF02::1:3 sous IPv6
• 224.0.0.252 pour IPv4
• Port UDP 5355 (peux aussi utiliser TCP)

• Remplaces le service Browser 

34
DNSv6
Notation AAAA
• Les enregistrements IPv6 sont inscrit avec AAAA
• Les enregistrements inversés son inscrit dans IP6.IANA
• Notation inversée par chiffre hexadécimal
• Par exemple, pointeur à 2001:0DB8:DADA::BEEF:1:

1.0.0.0.F.E.E.B.0.0.0.0.0.0.0.0.0.0.0.0.A:D:A:D.8.B:D.0.1.0.0.2.ip6.a
rpa. IN PTR
• Le DNS essaiera de répondre avec l’adresse appropriée
• IPv6 or IPv4

37
Sommaire
Alors, ça me sert à quoi tout cela?
• HomeGroup
• DirectAccess
• Peer-to-Peer Name Resolution (PPNR)
• EasyConnect
• People Near Me
• Meeting Space (snif, snif, Vista )
• Etc…

38
IV – Technologies de
Transition
• Tunneling
• ISATAP
• 6to4

39
Tunneling
Encapsuler un paquet IPv6 dans de l’IPv4
• IPv6 (inclus l’en-tête avec les adresses) est la
charge IPv4
• Type de paquet définit
IPv6
Header
comme 41 pour
Extension Extension
Header Header
indiquer
Protocol Data Unit un
paquet IPv6 encapsulé

IPv4 IPv6 Extension Extension


Header Protocol Data Unit
IPv4 Protocol Data Unit
Header Header Header

40
ISATAP
Intra-Site Automatic Tunnel Addressing Protocol
• But: Fournir un support aux applications IPv6 dans un réseau IPv4
• Adresses IPv6 pour des hôtes IPv4
• L’intranet IPv4 est présenté comme un seul segment

Adresse
• Interface ID: IPv4

• ::0:5EFE:w.x.y.z (adresse IPv4 privée)


• ::200:5EFE:w.x.y.z (adresse IPv4 publique)
• Avec soit comme Network ID:
• FE80::/64 Link-Local
• Un préfixe annoncé par un routeur ISATAP
• Les paquets de/à ces adresses sont transportés en IPv4
41
ISATAP
Attribution d’adresses
192.168.41.30
FE80::5EFE:192.168.41.30
2001:DB8:0:7:0:5EFE:192.168.41.30
Annonce de Routeur
2001:DB8:0:7::/64
IPv6 Network
IPv4 Intranet
Routeur ISATAP

10.40.1.29
FE80::5EFE:10.40.1.29
2001:DB8:0:7:0:5EFE:10.40.1.29

42
IPv6 et ISATAP en Action!
• Annonce du préfixe 2001:FEFE::/64 pour ISATAP
6to4
Utilisation et fonctionnement
• But: Permettre à des réseaux IPv6 de
communiquer au travers de l’Internet IPv4
• L’Internet IPv4 est encapsulé dans la plage
2002:WWXX:YYZZ::
• 6to4 Relay offre des adresses dans la plage
2002:WWXX:YYZZ::
• À des hôtes de l’intranet IPv6
• Basées sur l’adresse IPv4 externe WW.XX.YY.ZZ
du relais 6to4
44
6to4
Attribution d’adresses
FE80::CD87:5DD6:CF39:DD08
2002:836B:1759:5::1
Annonce de Routeur
2002:836B:1759:5::/64 Adresse externe:
131.107.23.89
En Hex=
Réseau IPv6
Relais 6to4 836B:1759
Internet IPv4
FE80::80D4:29C9:2B3C:A0E2
2002:836B:1759:5::2

45
V – Dernières pensées…
• Ressources
• Arnaud
• Marc

46
Resources
WWW.Microsoft.Com/IPv6

“Introduction to IPv6” & “IPv6 Transition Technologies”

MSPress “Understanding IPv6, Second Edition”, Joseph Davies

Wikipedia 

47
Dernières pensées d’Arnaud
• Non, une adresse IPv6 n’est pas basée sur
l’adresse MAC de la carte!
• Désactiver IPv6 n’accélère pas votre machine
• IPv6 activé par défaut n’est pas dangereux pour la
santé
• IPv6 n’est pas plus “secure” qu’IPv4…

48
Dernières pensées de Marc
• IPv6 est prévu pour des machines…
• …Pas des être humains!
• IPv6 est finalisé depuis 2006 mais…
• …les choses changent entre les versions de Windows
• Les technologies de transition…
• …sont transitoires!
• Vous stressez pas,…
• …ce ne sont que des uns et de zéros !

49