SIRikt 2012: enostavno in varno na IPv6

460 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
460
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

SIRikt 2012: enostavno in varno na IPv6

  1. 1. Enostavno in varno na IPv6Matjaž Straus Isteničmatjaz.straus@arnes.si•  IPv6-oznake•  Nastavitve•  Varnost
  2. 2. foto: Kenneth Dwain Harrelson, http://en.wikipedia.org/wiki/Cloud
  3. 3. IPv6-naslov je 128-biten 65536 članic 18 trilijonov sistemov v vsakem omrežju2001:1470:2001:1470:c:2001:1470:c:????:2001:1470:c:????:????:????:????:???? 65536 omrežij na članico
  4. 4. IPv6-naslov je oznaka lokacija ali L = 0, S = skupina2001:1470:c:LSnn:<64-bitna-oznaka> ARNES omrežje končni sistem članica
  5. 5. Razporedimo oznake
  6. 6. Nastavitve omrežne opreme1.  statično2.  SLAAC brez DHCPv63.  SLAAC z DHCPv6 v testnem obdobju samo “stateless”4.  izklop dodeljevanja omrežnih predpon v SLAAC * z izjemo v omrežjih za mobilne naprave
  7. 7. Statične nastavitve•  strežniki•  stacionarni računalniki
  8. 8. Samodejne nastavitve moj ID je 1:2:3:4
  9. 9. Samodejne nastavitve moj lokalen naslov je fe80::1:2:3:4
  10. 10. Samodejne nastavitve kje je prehod? fe80::1:2:3:4
  11. 11. Samodejne nastavitve tu je prehod, na fe80::6 si v omrežju 2001:1470:c:100::/64 za DNS vprašaj “stateless” DHCP fe80::1:2:3:4
  12. 12. Samodejne nastavitve kje je strežnik DHCP? potrebujem podatke fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4moj globalen naslov je 2001:1470:c:100:1:2:3:4
  13. 13. Samodejne nastavitve DNS: 2001:1470:c::d domena: sirikt.si fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4
  14. 14. Samodejne nastavitve fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 DNS: 2001:1470:c::d domena: sirikt.si sedaj lahko komuniciram
  15. 15. Samodejne nastavitve tu je prehod, na fe80::6 si v omrežju 2001:1470:c:100::/64 za naslov in DNS vprašaj DHCP fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 DNS: 2001:1470:c::d domena: sirikt.si
  16. 16. Samodejne nastavitve kje je strežnik DHCP? potrebujem IPv6-naslov in podatke za DNS fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 DNS: 2001:1470:c::d domena: sirikt.si
  17. 17. Samodejne nastavitve IP: 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100:1:2:3:4 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si moja globalna naslova sta 2001:1470:c:100:1:2:3:4 in 2001:1470:c:100::72
  18. 18. Samodejne nastavitve IP: 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.si fe80::1:2:3:4 gw: fe80::6 2001:1470:c:100::72 DNS: 2001:1470:c::d domena: sirikt.sipostopen prehod na DHCP – naslavljanje s SLAAC samo vomrežjih za prenosne naprave, obiskovalce ...
  19. 19. Varnost•  sledljivost vs zasebnost•  tuneli•  ranljivosti v lokalnem omrežju•  nadzor
  20. 20. Sledljivost vs zasebnost vem, kdo si UNIVERSITYID: 1:2:3:42001:1470:c:100:1:2:3:4 ID: 1:2:3:4 2001:db8:1:2:1:2:3:4
  21. 21. Sledljivost vs zasebnost•  IPv6-naslov je sledljiv •  dobro za varnost •  v internih omrežjih ne želimo anonimnih sistemov - uporabljamo DHCP in dovolimo le znane naslove - izklopimo izbiranje naključnega IPv6-naslova netsh interface ipv6 set privacy state=disabled netsh interface ipv6 set global randomizeidentifiers=disabled /etc/sysctl.conf: net.inet6.ip6.use_tempaddr=0
  22. 22. Tuneli•  na windows sistemih izklopimo vmesnike tunelov netsh interface 6to4 set state disabled netsh interface isatap set state disabled netsh interface teredo set state disabled
  23. 23. Ranljivosti•  lažni usmerjevalnik•  lažna predpona med SLAAC•  prisvojitev IPv6-naslova med NS in DAD•  preusmeritev•  poplavljanje tabele sosedov
  24. 24. Lažni usmerjevalnik tu je vaš prehod - pošljite meni!
  25. 25. Nadzor in varovanje s super stikalom
  26. 26. NDPMon
  27. 27. Vzemimo s seboj ...•  označimo omrežno opremo•  statične nastavitve in SLAAC•  uvedba DHCPv6•  nadzor z NDPMon

×