Docstoc

IPv6 pour les Nuls - Microsoft

Document Sample
IPv6 pour les Nuls - Microsoft Powered By Docstoc
					IPv6 pour les Nuls
10 février 2011
Marc Michault                 Arnaud Lheureux
Technologist                  Lead PFE- Security
Sidem Systems Solutions       Microsoft France


                          4
Ils avaient raison!
C’est la fin!!!!!
         5
C’est quoi ce beODLZ?




            6
Agenda
• Le paquet et les adresses IPv6
• Configuration (et Auto-Configuration)
• Résolution de Noms
• Technologies de Transition
• Dernières pensées

                      7
I – Le Paquet et les Adresses IPv6

•   Le Paquet IPv6
•   Comment rédiger des adresses IPv6
•   Sous-Réseautage
•   Types d’adresses
     • Monodiffusion (Unicast)
     • Multidiffusion (Multicast)


                            8
Paquet IPv6
• IPv6 utilise des adresses codées sur 128 bit
• En-tête réduit et fixe pour un routage rapide
• Options dans les en-têtes d’extensions
• Support de l’IPSec (en-têtes d’extensions spécifiques)
• Support du QoS (Identifiant de flux dans l’en-tête)


                             …
                             9
 Adresses IPv6
 •   1111 séparent huit blocs 0000 0000 0000 0000
     Des “:” 1101 0000 0000 de 4 chiffres hexadécimaux
 •   Les zéros de gauche sont ôtés 0000 0010 0001
     0000 0000 0000 0000 0000
 •   0000 0000 0000 0001 compressés
     Les groupes de zéros sont 0000 0000 0000 0000
     0000 seule 0000
     • Une 0000 fois… 0000 0101 0001 0100 0011


FD00:0:0:21:1:0:0:5143
FD00:0000:0000:0021:0001:0000:0000:5143
FD000000000000210001000000005143
FD00::21:1::5143
FD00::21:1:0:0:5143


                             10
Sous-Réseautage
•   Par défaut:
    • Identifiant de réseau de 48-bit
    • Identifiant de sous-réseau de 16-bit
    • Identifiant d’interface de 64-bit
•   Préfixe en notation CIDR:
    • Adresse/Préfixe:FD00::21:1:0:0:5143/96



                          11
Types d’Adresses IPv6
Photo de famille
• Un nœud a typiquement plusieurs adresses IPv6:
  • Adresses de Mono-Diffusion
      • Link-Local Unicast
        • Identifiant d’Interface
      • Global Unicast
      • Unique Local Unicast
      • Interfaces de Tunnels
      • Spéciales (Réservées)
• Adresses de Multi-Diffusion
     • Solicited Node
     • Link-Layer multicast addresses

                                12
Adresses IPv6 Link-Local
Bienvenue chez vous
• FE80::/64
• Similaire aux adresses APIPA (169.254.0.0)
• Toujours présentes
• Nécessaire pour les opérations sur le segment
 1111111010

       FE80




                            13
Identifiants de Zones (Scope)
Recyclez!
•   Les adresses Link-Local peuvent être dupliquées et
    ambigues
•   Pour clarifier une ZONE ID indique le lien
    • Sur Windows elle représente l’index d’interface
•   Syntaxe:
    • ADDRESS%ZONE_ID
    • Exemple:
      FE80::C582:1680:D349:A6BF%13

                              14
  Identifiants de Zones (Scope)
  Recyclez!




FE80::CD87:5DD6:CF39:DD08 %12        FE80::80D4:29C9:2B3C:A0E2%13

                                15
Adresses Global Unicast IPv6
IPv6 Internet Publique
•   Utilisation similaire aux adresses IPv4 publiques
•   2000::/3 (= 2000-3FFF)
    • 2001 utilisé pour Teredo et 2002 pour 6to4
      (solutions de compatibilité IPv4)
•   Préfixe de routage global de 45-bit,
    Identifiant de sous-réseau de 16-bit
    001

          2…

                               16
Adresses IPv6 Unique Local
Intranets privés IPv6
•   Utilisation similaire aux adresses IPv4 privées (RFC 1918)
    • Adresses Site-Local (FEC0::) retirées
•   FC::/7
    • Mais le 8éme bit définit “local” donc FD::

      11111101
                        “local”

           FD..



                                  17
Adresses IPv6 de Multi-Diffusion
Tir groupé
•   Utilisées pour les opérations link-local (segment)
    • Pas de broadcast en IPv6!
•   FF suivi par 4 bits pour les qualifiants et 4 bits pour
    l’étendue


11111111

             FF..


                                 18
Adr. de Multicast Fréquentes
Exemples
•   Nœuds/Lien
    • FF01::1 – Interface-Local tous les Nœuds
    • FF02::1 – Link-Local tous les Nœuds
    • FF02::1:2 – Tous les serveurs DHCP
    • FF02::1:3 – Résolution de noms Link-Local (LLMNR)
•   Routeurs
    • FF01::2 – Interface-Local tous les Routeurs
    • FF02::2 – Link-Local tous les Routeurs
    • FF05::2 – Site-Local tous les Routeurs
                             19
Solicited Node
Adresse de multidiffusion associée à l’adresse de monodiffusion
•   Les noeuds enregistrent des adresses de multidiffusion
    associées à leurs adresses IPv6
    • Syntax:
       FF02::1:FF00:0/104 + <derniers 24 bits de
       l’Interface-ID IPv6 >
•   Utilisé pour obtenir l’adresse physique d’un hôte
    (remplace ARP)
    FF02::1:FF49:A6BF
    FE80::C582:1680:D349:A6BF

                                 20
Adr. MAC de Multi-Diffusion
Adresses MAC enregistrées par l’interface
• Pour recevoir le traffic, les noeuds enregistrent les adresses MAC de
   multi-diffusion associées à leurs multi-diffusions IPv6
• Syntaxe:
   33-33 + <Derniers 32 bit de l’adresse IPv6 multi-diffusion>
• Utilisées pour répondre aux multi-diffusions IPv6 à la couche physique


                             Adresses IPv6 multicast    Associated MAC
                                                        multicast addresses
    Solicited node           FF02::1:FF49:A6BF          33-33-FF-49-A6-BF
    Link-local tous noeuds   FF02::1                    33-33-00-00-00-01
                                                   21
Adresses Réservées et Routage
Où vais-je?
• ::1 : Localhost (le stack local)
• :: : Adresse indéfinie (l’ensemble du réseau)
• Le routage fonctionne de la même manière que sur IPv4
• La passerelle (routeur)
  • Peut être définie automatiquement par annonce
     • Sollicitation et annonce de routeur ICMPv6



                             22
II – Configuration Automatique

•   Configuration Stateful ou Stateless
•   Découverte de Voisinage (Neighbor Discovery)
•   Allocation automatique d’adresse
•   Découverte de Routeur (Router Discovery)




                             23
Recherche d’Adresses IPv6
J’en veux, j’en veux!
•   Stateless
    • Link-Local Neighbor Discovery
    • Router Advertisement
•   Stateful
    • Manuelle
    • DHCPv6



                             24
Découverte des Voisins
Enquéte de Voisinage
•   ICMPv6 Options Types:
    • 1-127: Codes d’erreur
    • 128-255: Codes d’information

•   Neighbor Discovery utilise des paquets ICMPv6
    • Avec des options types d’information spécifiques
    • Envoyés sur des adresses de multidiffusion
•   Les annonces sont envoyées:
    • Régulièrement (à la multidiffusion de tous les nœuds link-local)
    • En réponse à une demande (à l’adresse du demandeur)
                                 25
  Neighbor Discovery                                      Vert
                                                          IPv6:   FE80::2AA:FF:FE11:1111
  Bonjour voisin…                                         MAC:    00-AA-00-AA-AA-AA
Neighbor Advertisement
ICMPv6 Options Type: 136                                  Neighbor Solicitation
MAC                                                       ICMPv6 Options Type: 135
  Src: 00-AA-00-BB-BB-BB
        Blanc Adr. MAC                                    MAC
  Dest. 00-AA-00-AA-AA-AA
        Vert Adr. MAC                                       Src: Vert Adr. MAC
                                                                  00-AA-00-AA-AA-AA
IPv6:                                                       Dest. Blanc Solicited. Adr.
                                                                  33-33-FF-22-22-22
  Src: FE80::2AA:FF:FE22:2222
        Blanc Adr. IPv6                                   IPv6:
  Dest: FE80::2AA:FF:FE11:1111
        Vert Adr. IPv6                                      Src: Vert Adr. IPv6
                                                                  FE80::2AA:FF:FE11:1111
Target: FE80::2AA:FF:FE22:2222
        Blanc Adr. IPv6                                     Dest: Blanc Solicited Adr.
                                                                  FF02::1:FF22:2222
Option: 00-AA-00-BB-BB-BB
        Blanc Adr. MAC                                    Target: Blanc Adr. IPv6
                                                                  FE80::2AA:FF:FE22:2222
                                                          Option: Source Link-Layer Address

                     Blanc
                     IPv6:       FE80::2AA:FF:FE22:2222
                     MAC:        00-AA-00-BB-BB-BB
                                                  26
Auto-Attribution d’Adresse IPv6
J’veux la mienne!
• Sollicitation de voisin avec une adresse auto-attribuée
• Mais la source est :: (adresse indéfinie)
   • L’adresse est définie comme “Tentative”
   • Ne peux pas encore recevoir de paquets adressés à cette
      adresse

•   Si un conflit existe, la machine en conflit répond
•   Sinon, l’adresse est maintenue
    • L’adresse est définie comme “Valide”
    • L’hôte peux recevoir des paquets adressés à cette adresse
                                27
 Par ici la sortie…                                              Vert



Router Advertisement
ICMPv6 Options Type: 134
MAC
  Src: Routeur Adr. MAC
        00-AA-00-CC-CC-CC
  Dest. Nodes Multicast
        33-33-00-00-00-01
IPv6:
  Src: Routeur Adr. IPv6
        FE80::2AA:FF:FE33:3333
  Dest: Link-Local Nodes Multicast
        FF02::1                           Routeur
Target: Routeur Adr. IPv6
        FE80::2AA:FF:FE33:3333            IPv6:     FE80::2AA:FF:FE33:3333
Option: Routeur Adr. IPv6, MTU,
        00-AA-00-CC-CC-CC, MTU,           MAC:      00-AA-00-CC-CC-CC
        Préfixes…

                                     28
IPv6 Natif
•   Router Advertisement sur DA01
     • netsh int ipv6 set route
       2001:DB8:ABCD:1111::/64 "Local
       Area Connection" publish=yes
     • Netsh int ipv6 set int "Local Area
       Connection" advertise=enable
 Je veux sortir!
                                                                 Vert
Router Advertisement                                             IPv6:   FE80::2AA:FF:FE11:1111
                                                                 MAC:    00-AA-00-AA-AA-AA
ICMPv6 Options Type: 134
MAC
  Src: 00-AA-00-CC-CC-CC
        Routeur Adr. MAC
                                                                 Router Solicitation
  Dest. 00-AA-00-AA-AA-AA
        Vert Adr. MAC                                            ICMPv6 Options Type: 133
IPv6:                                                            MAC
  Src: FE80::2AA:FF:FE33:3333
        Routeur Adr. IPv6                                          Src: 00-AA-00-AA-AA-AA
                                                                         Vert Adr. MAC
  Dest: FE80::2AA:FF:FE11:1111
        Vert Adr. IPv6                                             Dest. 33-33-00-00-00-02
                                                                         Routeur Multicast
Target: FE80::2AA:FF:FE33:3333
        Routeur Adr. IPv6       Routeur                          IPv6:
Option: 00-AA-00-CC-CC-CC, MTU, IPv6:
        Routeur IPv6 Adr., MTU,         FE80::2AA:FF:FE33:3333     Src: FE80::2AA:FF:FE11:1111
                                                                         Vert Adr. IPv6
        Préfixes…               MAC:    00-AA-00-CC-CC-CC          Dest: FF02::2 Multicast Local
                                                                         Routeur
                                                                 Target: FE80::2AA:FF:FE22:2222
                                                                         Routeur Adr. IPv6
                                                                 Option: Source Link-Layer Address


                                             30
Atttribution d’adr. IPv6 Stateful
Configuration gérée
•   Manuelle
    • Refusez, la vie est trop courte!
•   DHCPv6
    • IPv6 Scope
    • Configuration IP additionnelle
      • DNS, etc…



                               31
III – Résolution de Noms

•   Link-Local Multicast Name Resolution (LLMNR)
•   Domain Name Service (DNS)




                            32
Résolution de Noms
Qu’est-ce qui se cache derrière un nom?
• Sous-réseau local
    • Link-Local Multicast Name Resolution
•   Internet
    • Peer Name Resolution Protocol
    • DNSv6
      • AAAA records
      • Reverse pointer

                                33
Link-Local Multicast
Name Resolution (LLMNR)
Mes copains du quartier
• Paquets similaire au DNS sont envoyés en multidiffusion
  • FF02::1:3 sous IPv6
    • 224.0.0.252 pour IPv4
  • Port UDP 5355 (peux aussi utiliser TCP)

• Remplaces le service Browser 

                            34
DNSv6
Notation AAAA
•   Les enregistrements IPv6 sont inscrit avec AAAA
•   Les enregistrements inversés son inscrit dans IP6.IANA
    • Notation inversée par chiffre hexadécimal
    • Par exemple, pointeur à 2001:0DB8:DADA::BEEF:1:
     1.0.0.0.F.E.E.B.0.0.0.0.0.0.0.0.0.0.0.0.A:D:A:D.8.B:D.0.1.0.0.2.ip6.arpa.
     IN PTR
•   Le DNS essaiera de répondre avec l’adresse appropriée
    • IPv6 or IPv4

                                    37
Sommaire
Alors, ça me sert à quoi tout cela?
• HomeGroup
• DirectAccess
• Peer-to-Peer Name Resolution (PPNR)
    • EasyConnect
• People Near Me
    • Meeting Space (snif, snif, Vista )
•   Etc…


                                  38
IV – Technologies de Transition

•   Tunneling
•   ISATAP
•   6to4




                    39
Tunneling
Encapsuler un paquet IPv6 dans de l’IPv4
•   IPv6 (inclus l’en-tête avec les adresses) est la charge IPv4
•   Type de paquet définit comme 41 pour indiquer un paquet
    IPv6 encapsulé                          Protocol Data Unit




                                                          Protocol Data Unit
                                     IPv4 Protocol Data Unit




                                40
ISATAP
•   But: Fournir un support aux applications IPv6 dans un réseau IPv4
    • Adresses IPv6 pour des hôtes IPv4
    • L’intranet IPv4 est présenté comme un seul segment

•   Interface ID:
    •     ::0:5EFE:w.x.y.z (adresse IPv4 privée)
    • ::200:5EFE:w.x.y.z (adresse IPv4 publique)
•   Avec soit comme Network ID:
    • FE80::/64 Link-Local
    • Un préfixe annoncé par un routeur ISATAP
•   Les paquets de/à ces adresses sont transportés en IPv4

                                     41
ISATAP
Attribution d’adresses
                192.168.41.30
                2001:DB8:0:7:0:5EFE:192.168.41.30
                FE80::5EFE:192.168.41.30
                  Annonce de Routeur
                  2001:DB8:0:7::/64
                                                        IPv6 Network
             IPv4 Intranet
                                       Routeur ISATAP

                10.40.1.29
                2001:DB8:0:7:0:5EFE:10.40.1.29
                FE80::5EFE:10.40.1.29




                                42
IPv6 et ISATAP en Action!
•   Annonce du préfixe 2001:FEFE::/64 pour ISATAP
6to4
Utilisation et fonctionnement
•   But: Permettre à des réseaux IPv6 de communiquer au
    travers de l’Internet IPv4
•   L’Internet IPv4 est encapsulé dans la plage
    2002:WWXX:YYZZ::
•   6to4 Relay offre des adresses dans la plage
    2002:WWXX:YYZZ::
    • À des hôtes de l’intranet IPv6
    • Basées sur l’adresse IPv4 externe WW.XX.YY.ZZ du
      relais 6to4
                                44
6to4
Attribution d’adresses
              FE80::CD87:5DD6:CF39:DD08
              2002:836B:1759:5::1
              Annonce de Routeur
              2002:836B:1759:5::/64              Adresse externe:
                                                 131.107.23.89
                                                      En Hex=
             Réseau IPv6
                                      Relais 6to4 836B:1759
                                                         Internet IPv4
              FE80::80D4:29C9:2B3C:A0E2
              2002:836B:1759:5::2



                               45
V – Dernières pensées…

•   Ressources
•   Arnaud
•   Marc




                  46
Resources
 WWW.Microsoft.Com/IPv6

    “Introduction to IPv6” & “IPv6 Transition Technologies”

 MSPress “Understanding IPv6, Second Edition”, Joseph Davies

 Wikipedia 




                                  47
Dernières pensées d’Arnaud

•   Non, une adresse IPv6 n’est pas basée sur l’adresse MAC
    de la carte!
•   Désactiver IPv6 n’accélère pas votre machine
•   IPv6 activé par défaut n’est pas dangereux pour la santé
•   IPv6 n’est pas plus “secure” qu’IPv4…




                             48
Dernières pensées de Marc
•   IPv6 est prévu pour des machines…
•   …Pas des être humains!
•   IPv6 est finalisé depuis 2006 mais…
•   …les choses changent entre les versions de Windows
•   Les technologies de transition…
•   …sont transitoires!
•   Vous stressez pas,…
•   …ce ne sont que des uns et de zéros !

                            49

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:0
posted:3/22/2013
language:Latin
pages:46