Next Generation Internet: IPv6 & IPsec Matteo Cicuttin Opensource Day 2010 @ Università di Udine 27 Novembre 2010 Copyright c 2010 Matteo Cicuttin (matteo DOT cicuttin AT gmail DOT com). These slides are released in Creative Commons (Attribution Non-commercial Share Alike (by-nc-sa)), you may share or modify them, but you have to credit the author and report this licence. 1 / 40
Chi sono? Attualmente sono al quinto anno di informatica, ma ho lavorato nel campo dell HPC e tuttora faccio qualche consulenza. Mi interesso di diversi (troppi) temi, tra cui: OS Development (yauosk e CfE) HPC (CfE) Compilatori e macchine virtuali (ope) Security e networking (IPv6-enabled dal 1999) Elettronica, TLC e radio (IV3IWE) 2 / 40
Agenda Di cosa parleremo? IPv6 & IPsec: cosa sono e perché ne parliamo Il protocollo IPv6 IPv6 e sicurezza: IPsec Meccanismi di transizione da IPv4 ad IPv6 Conclusioni 3 / 40
Cos è IPv6? IPv6 è il protocollo che soppianterà IPv4, l attuale lingua tramite cui si parlano i computer connessi ad Internet. Il cambiamento è reso necessario (prevalentemente) dal fatto che il numero di dispositivi connessi ad Internet è sempre maggiore. 4 / 40
Cos è IPsec? IPsec fornisce autenticazione e cifratura a livello IP Ci permette di comunicare in modo sicuro rendendo vane le intercettazioni e rendendo rilevabili spoofing e MITM. 5 / 40
E perché ne parliamo (nello stesso talk)? Si, sono due cose diverse e andrebbero trattate in due talk differenti: all inizio volevo parlare solo di IPsec, ma......ipv6 e IPsec sono legati dal fatto che le implementazioni IPv6 compliant devono supportare IPsec L ignoranza che c è in entrambi gli argomenti è allarmante: c è addirittura chi crede (tecnici) che un indirizzo IPv6 sia del tipo 111.222.333.444.555.666 Purtroppo il tempo non ci permetterà di concentrarci su troppi dettagli, e metteremo parecchia carne al fuoco. Il mio scopo è incuriosirvi ed iniziare con voi un discorso che poi potrete approfondire autonomamente... 6 / 40
Alcune tappe di IPv6 Fine anni 80: consapevolezza dei limiti di IPv4 1992: Call for papers da parte dell IETF per definire IPng 1995: RFC1883, IP Protocol version 6 1996: Linux 2.1.8, IPv6 in alpha 1997: AIX 4.3 primo OS commerciale a supportare IPv6 2000: IPv6 production quality in *BSD e Solaris 8, MSRIPv6 in NT4 e 2000 2001: XP fornito con stack IPv6 2003: OSX ha IPv6 abilitato di default 2007: Vista ha IPv6 abilitato di default 2008: Record AAAA nel DNS, era l ultimo pezzo mancante 7 / 40
IPv6 oggi 2011: Solo il core di Internet e i carrier sono full production in v4 e v6. Molti provider/operatori stanno a guardare. I produttori di router SOHO aspettano l ultimo in modo da costringerci a cambiare tutti gli apparati. Alcune realtà molto piccole sono invece IPv6-ready. 2012: Previsto esaurimento dello spazio IPv4 (svelato il mistero che ultimamente fa impazzire tanta gente), primi host involontariamente IPv6-only. 8 / 40
Nota In realtà mentre scrivevo queste slides sono state fatte delle grosse allocazioni e da oggi (26/10/2010) mancherebbero 95 giorni 9 / 40
Overview peering IPv6 al MIX Provider Peering Banda (Gbps) Aruba v4 2.5 BT Italia v4 2 CogentCO v4 10 I.net v4 3 Eutelia v4/v6 2.6 Fastweb v4 20 GARR v4/v6 28 Global crossing v4 1 Google v4 N/A ITGate v4/v6 1 McLink v4 1 Seeweb v4/v6 2 Telecom Italia v4 10 Tiscali v4/v6 10 Vodafone v4 10 Wind v4 10 Fuorviante: non è detto che internamente siano fermi. Telecom Italia ad esempio ha il TILAB (CSELT fino al 2001). Chi si ricorda di https://carmen.cselt.it/ipv6tb? 10 / 40
Indirizzamento IPv6 - Indirizzi Molto brutalmente, con IPv6, passiamo da 32 bit di indirizzo a 128 bit di indirizzo. In altre parole passiamo da 1 IP ogni 7 milioni di metri quadri a 666 mila miliardi di miliardi di IP per metro quadro (!). Formato degli indirizzi Esteso: 2001:0DB8:0000:0000:0001:0002:3333:4444 Compresso: 2001:DB8:0:0:1:2:3333:4444 Zero-compression: 2001:DB8::1:2:3333:4444 In IPv6 l indirizzo non si divide più in bit di rete/bit di host ma in prefisso/suffisso. Notazione CIDR (non esiste più la subnet mask): IPv6 CIDR Notation 2001:DB8::1af8/64 11 / 40
Indirizzamento IPv6 - Struttura di un indirizzo /48 identificano un sito (ADSL di casa vostra,...) /64 identificano una subnet di un dato sito /128 identificano un host in una data sottorete di un dato sito Questa allocazione rigida ha importanti conseguenze pratiche. Una è che il routing viene fatto in modo puramente gerarchico, un altra la vedremo tra qualche slide... Un sito, tipicamente, riceve una /48 statica. Basta IP dinamici. 12 / 40
Indirizzamento IPv6 - Topologia di un sito Internet 2001:db8:abcd::/48 2001:db8:abcd:3::/64 2001:db8:abcd:1::/64 Router Cucina Frigorifero Microonde Soggiorno 2001:db8:abcd:2::/64 Computer PS3 Salotto DVR TV 13 / 40
Indirizzamento IPv6 - Classi di indirizzi In IPv6 esistono differenti classi di indirizzi (RFC3513): Link-local: fe80::/10 Site-local: fec0::/10, deprecati nel 2004 da RFC3879 Unique local addresses (RFC4193): fc00::/7 Multicast: ff00::/8 Loopback: ::1/128 Global Unicast: attualmente indirizzi in cui i primi 3 bit sono 001 Con questa allocazione abbiamo esaurito solo il 15% dell address space e abbiamo allo stesso tempo coperto tutte le esigenze presenti (e, verosimilmente, future) di indirizzi (RFC3177). 14 / 40
Indirizzamento IPv6 - Ci risiamo con le classi?? Le classi di indirizzi sono state il male di IPv4, ora le rimettiamo?? La risposta è, naturalmente, no, almeno non nello stile di IPv4. Ogni interfaccia tipicamente ha almeno l indirizzo Link-local, poi se connessa alla Internet globale avrà anche il Global Unicast Address ed in un contesto aziendale, eventualmente, un ULA. Niente più NAT, tranquilli 1 :) Ma IPv6 non porta solo indirizzi più lunghi, per fortuna... 1 Per chi ancora crede che il NAT porti sicurezza consiglio http//www.s0ftpj.org/bfi/dev/bfi13-dev-17 15 / 40
Stateless address autoconfiguration In IPv4 avevamo il meccanismo del DHCP per l assegnamento degli indirizzi, ora esiste la Stateless address autoconfiguration (RFC2462). L host genera un indirizzo tentative Viene verificata la sua unicità Contatto con il router Configurazione del global address L indirizzo IP viene generalmente generato a partire dall indirizzo di livello 2...uhm...e la privacy?? Privacy extensions in BSD. Esiste anche DHCPv6 che però non tratteremo (RFC3315, RFC3633 e altri). 16 / 40
La famosa conseguenza pratica (una tra tante)... Cosa succede se dobbiamo rinumerare una rete, ad esempio quando cambiamo provider? Il nostro router riceverà un diverso prefisso dal nuovo provider: molto spannometricamente, grazie alla Stateless Address Autoconfiguration, questo prefisso verrà ridistribuito dal nostro router alle varie subnet a cui è connesso e automagicamente la rete è rinumerata! Se il provider A ci fornisse ad es. una /48 ed il provider B una /56 passare da A a B creerebbe un po di difficoltà (tipiche in IPv4)... 17 / 40
Multicast In IPv6 non esiste più il broadcast a livello IP, tutto viene fatto via multicast, ad esempio: Indirizzo ff02::1 ff02::2 ff02::0 ff02::fb Funzione all-nodes all-routers RIP routers mdnsv6 Non sono i soli: http://www.iana.org/assignments/ipv6-multicast-addresses/ ipv6-multicast-addresses.xml 18 / 40
Altre novità Jumbograms (= pacchetti da 4 GB: utili ad es. su Infiniband) Semplificazioni che riguardano l elaborazione dei pacchetti da parte dei router Opzioni estendibili (dovrebbero scongiurare la necessità di riprogettare parti del protocollo in futuro)... 19 / 40
Sicurezza a livello 3 integrata IPv4 è stato progettato quando l intera Internet (Arpanet) era trusted, dunque non è prevista di default nessuna forma di protezione integrata delle informazioni. Un implementazione IPv6, invece, per essere compliant DE- VE comprendere IPsec. Andiamo allora a parlarne... 20 / 40
I rischi che incontriamo quando comunichiamo La comunicazione che avviene su un canale può essere oggetto di Intercettazione: viene compromessa la segretezza Spoofing: viene compromessa l autenticità MITM: viene compromessa (tra l altro) l integrità Chiariamo meglio il significato di questi tre termini... 21 / 40
Segretezza, autenticità, integrità Segretezza: vogliamo che nessuno (a parte il destinatario) possa leggere la nostra comunicazione Autenticità: vogliamo che sia garantito che il mittente è chi dice di essere Integrità: vogliamo che la comunicazione non sia alterata durante il transito sul canale IPsec è in grado di garantire questi tre requisiti tramite Authentication Header (AH) ed Encapsulating Security Payload (ESP). Ma prima dobbiamo dare un occhio ai modi operativi di IPsec... 22 / 40
Modi operativi di IPsec Transport mode Si usa per proteggere la comunicazione tra due singoli host. Lo scopo si ottiene autenticando e/o crittografando il payload dei pacchetti IP. Tunnel mode Si usa (generalmente) per proteggere la comunicazione tra due intere reti. Lo scopo si ottiene prendendo i singoli pacchetti IP che devono essere trasmessi ed inserendoli in altri pacchetti autenticati e/o crittografati. 23 / 40
IPsec in Tunnel Mode: disegnino... 24 / 40
Authentication header IP protocol 51 - RFC2402 25 / 40
Encapsulating Security Payload IP protocol 50 - RFC2406 26 / 40
Encapsulating Security Payload IP protocol 50 - RFC2406 27 / 40
SA e SP Ma chi dice quali sono i parametri (chiavi, algoritmi, quale traffico deve essere processato e come,...) che devono essere utilizzati nella comunicazione sicura? Tutto ruota attorno alle security associations (SA) e alle security policies (SP), che sono memorizzate nel Security Association Database e nel Security Policy Database. 28 / 40
Security Policies Si tratta di regole definite dall amministratore che indicano come processare il traffico in ingresso/uscita, ad esempio (spannometricamente): src dst protocol spi 192.168.0.1 192.168.0.2 ESP 0xdeadbeef 192.168.0.1 any AH 0xfeedcafe 192.168.1.0/27 192.168.1.32/27 ESP 0xbadcab1e Molto importante il campo SPI: serve al ricevente per capire come processare il traffico marcato con quell SPI. 29 / 40
Security Association Una security association invece è una sorta di contratto tra le due parti in comunicazione che specifica quali siano i meccanismi di sicurezza da utilizzare e soprattutto quali siano le chiavi necessarie per la comunicazione. Le security associations vengono stabilite tramite il protocollo IKE. 30 / 40
IKE - RFC2409 IKE viene implementato da un demone che gira in user space. La negoziazione delle chiavi avviene tramite il meccanismo di Diffie-Hellmann: grazie ad esso è possibile stabilire le chiavi per la crittografia simmetrica usate nella comunicazione. Le due parti vengono autenticate tramite meccanismi a chiave pubblica o tramite segreto condiviso. Una volta che le chiavi sono state stabilite, vengono passate allo stack IPsec che gira in kernel space. IKE si compone di 2 fasi: Phase 1: Serve a creare un canale di comunicazione sicuro Phase 2: In questa fase le parti coinvolte nella comunicazione utilizzano il canale sicuro precedentemente creato per scambiare le chiavi necessarie agli altri servizi, ad esempio proprio IPsec. Non diciamo altro: una delle difficoltà di IPsec è proprio IKE. 31 / 40
RFC relativi ad IPsec RFC4301: Security Architecture for the Internet Protocol RFC2402: Authentication Header RFC2406: Encapsulating Security Payload RFC2408: ISAKMP RFC2409: IKE RFC3947: Negotiation of NAT-Traversal in the IKE 32 / 40
Tunneling Si tratta, molto semplicemente, di incapsulare i pacchetti IPv6 in pacchetti IPv4 e spedirli ad un Tunnel broker: in poche parole è una specie di provider che fornisce connettività IPv6 e che invece di arrivare a noi direttamente su ADSL, arriva tramite IPv4. Concettualmente è simile ad una VPN. Forse è il modo più diffuso per ottenere connettività IPv6 I maggiori TB sono Hurricane Electric, SixXS e gogonet 33 / 40
6to4 Non c è bisogno di configurare tunnel espliciti: esiste un indirizzo IPv4 anycast (192.88.99.1) al quale tramite un interfaccia di rete virtuale vengono inviati, sempre incapsulati in IPv4, i pacchetti IPv6. Ormai ogni sistema operativo fornisce di default l interfaccia virtuale in questione. 34 / 40
Teredo 6to4 fa a botte con il NAT (tanto per cambiare). Senza scendere nei dettagli, Teredo è qualcosa di simile a 6to4, solo fatto apposta per superare le difficoltà causate dal NAT. Le ultime versioni di Windows supportano Teredo senza problemi. Per i sistemi Unix (dunque Linux, FreeBSD, MacOS X,...) c è miredo. 35 / 40
Meccanismi di transizione Abbiamo parlato di 3 meccanismi di transizione. Tunneling: è sicuramente quello più completo e che permette di avvicinarsi maggiormente a quella che sarà la situazione con IPv6 nativo, ma è anche il più invasivo. 6to4: si abilita in 2 secondi e funziona subito. A patto di avere un IP pubblico. Teredo: non fornito con la maggior parte dei sistemi, ma si installa molto facilmente. 6to4 e Teredo condividono un problema: alcuni bit dell indirizzo IPv6 vengono calcolati in base all indirizzo IPv4, e dunque niente IPv6 statici (se IPv4 non è statico). 36 / 40
Cosa abbiamo visto? Le funzionalità salienti del nuovo protocollo IP Come esso preveda la possibilità di comunicazioni sicure tramite IPsec Le tecnologie che ci permetteranno il passaggio da IPv4 ad IPv6 in modo quasi indolore 37 / 40
Cosa non abbiamo visto? La situazione mi ha fatto preferire una discussione divulgativa ad una discussione profonda e relativa ad una sola delle due tecnologie, per cui abbiamo tralasciato molte cose. Sarebbe stato bello parlare di: DNS & IPv6 NDP (il sostituto di ARP) Mobile IPv6 Routing IPv6... Per quanto riguarda IPsec, sarebbe stato interessante mettere le mani e vedere come configurare veramente delle macchine, ma in 45 minuti è un po difficile :) 38 / 40
Domande? 39 / 40
Grazie! Grazie a tutti per la partecipazione! Feedback: matteo.cicuttin@gmail.com Slides a breve disponibili sul sito di IGLU e su http://www.matteocicuttin.it/ 40 / 40