IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
1. IPv6 – dwa kliknięcia i działa
Piotr Wojciechowski (CCIE #25543)
Starszy Konsultant ds. Sieci
PLNOG 2011, Warszawa, 16-17 Marca 2011
2. 2
¢ Czy jesteśmy gotowi na IPv6?
¢ Jedno kliknięcie i działa – ale czy bezpiecznie?
¢ Kilka modeli wdrożenia IPv6 u operatora
¢ WLAN na konferencji PLNOG
Agenda
7. 7
¢ Czy jesteśmy gotowi na IPv6?
¢ Jedno kliknięcie i działa – ale czy bezpiecznie?
¢ Kilka modeli wdrożenia IPv6 u operatora
¢ WLAN na konferencji PLNOG
Agenda
8. IPv6 – jedno kliknięcie i działa
¢ Uruchomienie IPv6 nie stwarza problemów:
Router(config)#ipv6
unicast-‐routing
Router(config)#interface
Fa0/0
Router(config-‐if)#ipv6
enable
¢ Transparentne przenoszenie protokołu IPv6 w większości urządzeń
działa domyślnie, na niektórych trzeba je aktywować ręcznie
(chyba, że ruch IPv6 jest domyślnie odrzucany)
8
11. IPv6 – protekcja klientów
¢ Klient otrzymuje adres publiczny jego komputer jest więc zagrożony
¢ Większość systemów operacyjnych ma zapory sieciowe, które
klienci lubią wyłączać
¢ Zaatakowany komputer użytkownika końcowego to potencjalne
zagrożenie dla bezpieczeństwa naszej sieci.
11
13. IPv6 – Privacy Issue with EUI-64 Address
¢ Problem opisany w 1999, ubrany w formułę RFC 3041 “Privacy
Extensions for Stateless Address Autoconfiguration in IPv6” w 2001
roku, zaaktualizowany przez RFC 4941
¢ Rozwiązanie – generowanie części adresu bazującego na EUI-64
przy użyciu funkcji hashującej MD5.
¢ Prawie zerowe prawdopodobieństwo wystąpienia zduplikowanych
adresów – a nawet jeżeli to mamy DAD
¢ Hosty okresowo generują nowy adres IPv6 zachowując przy tym
stary dla ciągłości już aktywnych transmisji
13
14. IPv6 – Privacy Issue with EUI-64 Address
¢ Windows XP, Vista, 7 domyślnie używają rozszerzeń prywatności
przy generowaniu adresów IPv6.
¢ Większość dystrybucji Linuxa także z nich domyślnie korzysta
¢ MacOS X Snow Leopard domyślnie generuje adres w sposób
standardowy!
¢ Funkcjonalność ta często jest wyłączana w politykach
korporacyjnych
14
15. 15
¢ Czy jesteśmy gotowi na IPv6?
¢ Jedno kliknięcie i działa – ale czy bezpiecznie?
¢ Kilka modeli wdrożenia IPv6 u operatora
¢ WLAN na konferencji PLNOG
Agenda
25. 25
¢ Czy jesteśmy gotowi na IPv6?
¢ Jedno kliknięcie i działa – ale czy bezpiecznie?
¢ Kilka modeli wdrożenia IPv6 u operatora
¢ WLAN na konferencji PLNOG
Agenda
30. WLAN PLNOG 2011 w praktyce
¢ To było proste – jedno kliknięcie w konfiguracji WLC i IPv6 jest
transparentnie przenoszone
¢ Konfiguracja interfejsów i DHCPv6 serwera podręcznikowo prosta :)
30
31. WLAN PLNOG 2011 w praktyce
Native IPv6
ipv6
dhcp
pool
IPv6
dns-‐server
2001:1A68::55E8:E266
dns-‐server
2001:1A68::4D4F:EB66
!
interface
GigabitEthernet0/0.6
description
IPv6
native
interface
encapsulation
dot1Q
6
ipv6
address
2A02:2978:1:1::1/64
ipv6
enable
ipv6
nd
other-‐config-‐flag
ipv6
nd
router-‐preference
High
ipv6
nd
ra
lifetime
60
ipv6
nd
ra
interval
10
ipv6
dhcp
server
IPv6
31