Le Futur d'Internet - IPv6 - Cours 5 - lis-lab.fr...E. Godard R eseau IPv6 5 / 59 Introduction...

Le Futur d’Internet - IPv6Cours 5

E. Godard

Aix-Marseille Universite

M1 Informatique Reseaux 2019/20

Introduction

Protocole IPv6

Deploiement

Securite

Transition

E. Godard Reseau IPv6 2 / 59

Introduction

Introduction

Protocole IPv6

Deploiement

Securite

Transition


Introduction

”Vous etes Ici”

TCP/IPOSI

Application

Presentation

Session

Transport

Network

Data link

Physical

7

6

5

4

3

2

1

Application

Transport

Internet

Host-to-network

Not presentin the model


Introduction

Limitations de IPv4

Malgre le succes d’internet, certains problemes demeurent

securite

trop peu d’adresses (epuisees chez l’IANA depuis 2011, auRIPE prevu pour le 5 novembre 2019)

I => adresses privees et NAT=> rupture du pair-a-pair


Introduction

Realite de l’epuisement des adresses IPv4

Alerte de l’ARCEP en septembre 2019 :


Introduction

Rappel : NAT/PAT

Probleme du nombre limite d’adresses=> adresse privee + NAT (Network Adresse Translation)

1

2

3

4

5

6

7NAT box/firewall

PC Leased line

Packet after translation

Packet before translationCompany

LAN

Company router

Server

ISP's router

10.0.0.1 198.60.42.12

Boundary of company premises


Introduction

Inconvenients du NAT

On appelle en general (et incorrectement) NAT les deuxtechniques.

1 Casse la structure pair-a-pair d’InternetTres problematique pour certaines applications(VoIP, ...)

2 Donne une fausse impression de securite :Certaines attaques sont possibles meme dans cetteconfiguration.

3 Semble etre une des (mauvaises) raisons du ralentissementde passage a IPv6

4 Carrier-grade NAT (CGN) : l’internet mobile estprincipalement propose par les operateurs sous ce modedegrade.


Protocole IPv6

Introduction

Protocole IPv6

Deploiement

Securite

Transition


Protocole IPv6

Historique IPv6

des les annees 90, la penurie d’adresses menace

1993 debut d’un groupe de travail IETF

1995 premiere version IPv6 (RFC 1883)

1998 finalisation (RFC 2460)


Protocole IPv6

IPv6 en (Tres) Bref

1 IPv6 (RFC 2373 et 2460) : pourquoi ?

I attribuer plus d’adresses128 bits au lieu de 32 en IPv4

=> meilleure organisation => routage facilite

I securiteI mobiliteI transition ?...

2 Points clefs :

I adresses et allocation des prefixes (id interface)I decouverte des voisins (attribution d’adresse + routage)I format de datagramme simplifie


Protocole IPv6

IPv6 en (Tres) Bref

1 IPv6 (RFC 2373 et 2460) : pourquoi ?I attribuer plus d’adresses

128 bits au lieu de 32 en IPv4



2 Points clefs :



Protocole IPv6

IPv6 en (Tres) Bref




I securite

I mobiliteI transition ?...

2 Points clefs :



Protocole IPv6

IPv6 en (Tres) Bref




I securiteI mobilite

I transition ?...

2 Points clefs :



Protocole IPv6

IPv6 en (Tres) Bref





2 Points clefs :



Protocole IPv6

IPv6 en (Tres) Bref





2 Points clefs :I adresses et allocation des prefixes (id interface)

I decouverte des voisins (attribution d’adresse + routage)I format de datagramme simplifie


Protocole IPv6

IPv6 en (Tres) Bref





2 Points clefs :I adresses et allocation des prefixes (id interface)I decouverte des voisins (attribution d’adresse + routage)

I format de datagramme simplifie


Protocole IPv6

IPv6 en (Tres) Bref





2 Points clefs :I adresses et allocation des prefixes (id interface)I decouverte des voisins (attribution d’adresse + routage)I format de datagramme simplifie


Protocole IPv6

Adressage : Espace de Noms IPv6

Beaucoup plus d’adresse disponibles : 2128

=> 667 millions de milliards d’adresses IP disponiblespar mm2 de la surface de la Terre ;


Protocole IPv6

Notation

Plus de notation pointee mais uniquement de l’hexadecimal

exemple2001:0db8:0000:85a3:0000:0000:ac1f:8001

possibilite de supprimer les 0 non significatifs par groupesde 1 a 32001:db8:0:85a3:0:0:ac1f:8001

voire par blocs entiers de 42001:db8:0:85a3::ac1f:8001


Protocole IPv6

Particularites

Cohabitation avec les ports de TCP/UDPI http://[2002:400:2A41:378::34A2:36]:8080


Protocole IPv6

Notation CIDR

On conserve la notation CIDR :

adresse/taille<=> prefixe de l’ensemble d’adresses considerees

exemple 2001:db8:1f89::/48

en salle de TP : 2001:660:5402:100::/64


Protocole IPv6

Type d’adresses IPv6

Prefixe Description::/8 Adresses reservees

2000::/3 Adresses unicast routables sur Internetfc00::/7 Adresses locales uniquesfe80::/10 Adresses liens locauxff00::/8 Adresses multicast


Protocole IPv6

Adresses Reservees

:: adresse non specifiee (debut de configuration...)

::1/128 adresse localhost (comme 127.0.0.1 en IPv4)

adresses permanentes 2001::/16

I adresses reservables par blocs /12 a /23 depuis 1999.I 2001::/32 est utilise pour le protocole de tunnel Teredo

2002::/16 est utilise par 6to4


Protocole IPv6

Fonctionnement

”Rien de change” (juste 96 bits de plus)

Entete simplifieI taille fixe

routage et aggregation de routes simplifie

auto-configuration simplifie (plusieurs adresses parinterfaces)


Protocole IPv6

Entete IPv6

32 Bits

Version Traffic class Flow label

Payload length Next header Hop limit

Source address (16 bytes)

Destination address (16 bytes)


Protocole IPv6

Entete IPv6

La signification des champs est la suivante :

Version (4 bits) : fixe a la valeur du numero de protocoleinternet, 6

Traffic Class (8 bits) : utilise dans la qualite de service.

Flow Label (20 bits) : permet le marquage d’un flux pour untraitement differencie dans le reseau.

Payload length (16 bits) : taille de la charge utile en octets.

Next Header (8 bits) : identifie le type de header qui suitimmediatement selon la meme convention qu’IPv4.


Protocole IPv6

Entete IPv6 (II)

Hop Limit (8 bits) : decremente de 1 par chaque routeur, lepaquet est detruit si ce champ atteint 0 en transit.

Source Address (128 bits) : adresse source

Destination Address (128 bits) : adresse destination.

pas de CRC


Protocole IPv6

Fragmentation

1 Problemes de la fragmentation

I couteuse pour les routeursI limites les taux de transfertI probleme de la perte d’un seul fragment

2 En IPv6, pas de fragmentation=> moins de travail pour les routeurs

I les routeurs intermediaires renvoient un paquet ICMPv6Packet Too Big

I l’emetteur doit fragmenter lui memeI utilisation du Path MTU discovery recommande


Protocole IPv6

Fragmentation

1 Problemes de la fragmentationI couteuse pour les routeurs

I limites les taux de transfertI probleme de la perte d’un seul fragment





Protocole IPv6

Fragmentation

1 Problemes de la fragmentationI couteuse pour les routeursI limites les taux de transfert

I probleme de la perte d’un seul fragment





Protocole IPv6

Fragmentation

1 Problemes de la fragmentationI couteuse pour les routeursI limites les taux de transfertI probleme de la perte d’un seul fragment





Protocole IPv6

Fragmentation




I l’emetteur doit fragmenter lui meme

I utilisation du Path MTU discovery recommande


Protocole IPv6

Fragmentation






Protocole IPv6

Taille des Paquets

MTU minimale autorisee 1 280 octets(contre 68 pour l’IPv4)

taille maximale d’un paquet (hors en-tete) 65535 octetscomme IPv4

option jumbogram (RFC 2675)=> taille maximale d’un paquet 4 Go


Protocole IPv6

Neighbor Discovery Protocol.

Ce protocole agrege les proprietes de ARP et ICMP pour IPv4Permet de decouvrir

1 les adresses MAC des hotes voisins2 les routeurs voisins pour une route donnee

I automatiquementI redirection

3 des parametres utiles comme le MTU


Protocole IPv6



1 les adresses MAC des hotes voisins

2 les routeurs voisins pour une route donnee




Protocole IPv6







Protocole IPv6




I automatiquement

I redirection



Protocole IPv6







Protocole IPv6

ICMPv6

Toute la gestion est realise grace a ce type de paquet.

Destination Unreachable

Packet Too Big

Time Exceeded

Echo Request

Echo Reply

Router Solicitation

Router Advertisement

Neighbor Solicitation

Neighbor Advertisement

Redirect

...


Protocole IPv6

Attribution des adresses IPv6

1 Manuellement

I adresse + longueur du prefixe de sous-reseauI (facultatif) passerelle par defaut

2 Automatiquement !

I autoconfiguration sans etat basee sur l’adresse MAC etNDP prefix64:adresseMAC

=> probleme de protection de la vie privee car le 64derniers bits seront les memes meme en changeant deFAI...

I autoconfiguration avec tirage pseudo aleatoire (RFC4941),=> verification par Neighbor Solicitation pour savoir sil’adresse est deja prise.

I utilisation d’adresses generees cryptographiquement apartir de la clef publique du client (RFC 3972),

I attribution par un serveur DHCPv6 (RFC 3315)


Protocole IPv6


1 ManuellementI adresse + longueur du prefixe de sous-reseau

I (facultatif) passerelle par defaut2 Automatiquement !







Protocole IPv6


1 ManuellementI adresse + longueur du prefixe de sous-reseauI (facultatif) passerelle par defaut

2 Automatiquement !







Protocole IPv6



2 Automatiquement !I autoconfiguration sans etat basee sur l’adresse MAC et

NDP prefix64:adresseMAC






Protocole IPv6



2 Automatiquement !I autoconfiguration sans etat basee sur l’adresse MAC et

NDP prefix64:adresseMAC




I attribution par un serveur DHCPv6 (RFC 3315)E. Godard Reseau IPv6 27 / 59

Protocole IPv6

Routage

Le routage est similaire a IPv4

commutation de paquets

=> tables

l’amelioration est l’automaticite pour certainsparametrages des hotes


Protocole IPv6

Details pour le Routage

1 Recherche de l’adresse Mac d’un voisin (RFC 4861)

I requete paquet ICMPv6 Neighbour SolicitationI reponse paquet ICMPv6 Neighbour AdvertisementI les adresses utilisees sont les adresses locales :fe80::/10 ou de multicast,

comme ff00::1 pour l’ensemble des hotes sur le reseaulocalcomme ff00::2 pour l’ensemble des routeurs sur lereseau local

2 Passerelle par defaut

I un routeur peut publier les routes et ainsi permettre a unhote de se configurer automatiquement. RFC 4862

I paquet ICMPv6 Router Solicitation et reponse


Protocole IPv6


1 Recherche de l’adresse Mac d’un voisin (RFC 4861)I requete paquet ICMPv6 Neighbour Solicitation

I reponse paquet ICMPv6 Neighbour AdvertisementI les adresses utilisees sont les adresses locales :fe80::/10 ou de multicast,






Protocole IPv6


1 Recherche de l’adresse Mac d’un voisin (RFC 4861)I requete paquet ICMPv6 Neighbour SolicitationI reponse paquet ICMPv6 Neighbour Advertisement

I les adresses utilisees sont les adresses locales :fe80::/10 ou de multicast,






Protocole IPv6


1 Recherche de l’adresse Mac d’un voisin (RFC 4861)I requete paquet ICMPv6 Neighbour SolicitationI reponse paquet ICMPv6 Neighbour AdvertisementI les adresses utilisees sont les adresses locales :fe80::/10 ou de multicast,






Protocole IPv6



comme ff00::1 pour l’ensemble des hotes sur le reseaulocal

comme ff00::2 pour l’ensemble des routeurs sur lereseau local





Protocole IPv6








Protocole IPv6




2 Passerelle par defautI un routeur peut publier les routes et ainsi permettre a un

hote de se configurer automatiquement. RFC 4862



Protocole IPv6




2 Passerelle par defautI un routeur peut publier les routes et ainsi permettre a un

hote de se configurer automatiquement. RFC 4862I paquet ICMPv6 Router Solicitation et reponse


Protocole IPv6

Autoconfiguration vs DHCPv6

Lors de la redaction du procotole IPv6, DHCP n’etait pas aussirepandu (ni meme completement standardise), par consequent,le protocole SLAAC (RFC 4862) a ete propose.On a donc en general

SLAAC : passerelle par defaut mais pas de DNS

DHCPv6 : DNS mais pas de passerelle par defaut

=> ajout RDNSS (Recursive DNS Solver) dans SLAAC.A noter :

SLAAC : sans etat

DHCPv6 : avec etat (conservation des durees de validitedes attributions )


Protocole IPv6

Routage IPv6

Pas de changement de protocole.

OSPFv6

BGPv6


Protocole IPv6

Mobilite : Principes

Le but est de permettre a un hote mobile de maintenir uneconnexion pendant ses deplacements de son reseau ”initial” a unreseau ”etranger”.

adresse maison (home address)

adresse de mobilite (care of address)obtenue par la configuration automatique dans le reseauetranger.


Protocole IPv6

Mobilite : Mise en oeuvre


Deploiement

Introduction

Protocole IPv6

Deploiement

Securite

Transition


Deploiement

Etendue du Deploiement

0

5000

10000

15000

20000

25000

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Pre

fixe

s / A

S

Date

IPv6 prefixes and AS

ASPrefixes

a comparer aux 50000 AS sur l’internet IPv4 sans route pardefaut


Deploiement

Prise en charge d’IPv6 par le DNS

pas de changement de l’espace de noms=> champs d’enregistrement supplementaire

www.ipv6.ripe.net. IN AAAA 2001:610:240:22::c100:68b

EvolutionI 2004 : possibilite d’integrer des serveurs de noms en IPv6I 2008 : la moitie des serveurs racines ont une adresse IPv6I 2010 : 228/283 des domaines de premier niveau ont un

serveur en IPv6

probleme de la taille des paquets UDP (seulement 512octets max pour le DNS)


Deploiement

Double Pile et Resolution DNS

En cas de double pile, la connexion UDP pour la reso-lution DNS se fait en general en IPv4.

De plus, l’appel getaddrinfo() va retourner une listed’adresses qui peut comporter des adresses IPv4, mais engeneral les IPv6 sont en tete.


Deploiement

Prise en Charge d’IPv6

Systeme d’exploitationtous les systemes disposent d’une double pile

Logicielsla plupart des logiciels orientes Internet sont prets


Deploiement

Et en France ?...

1 Renater a commence a experimenter IPv6 depuis 1996

I IPv6 effectif depuis 2002

2 FAI

I mars 2003 nerimI decembre 2007 freeI novembre 2008 FDNI 2009 SFR et Orange (pour les professionnels seulement)

=> depuis 2016 pour l’ensemble de leurs clientsI OVH : 2012


Deploiement

Et en France ?...

1 Renater a commence a experimenter IPv6 depuis 1996I IPv6 effectif depuis 2002

2 FAI

I mars 2003 nerimI decembre 2007 freeI novembre 2008 FDNI 2009 SFR et Orange (pour les professionnels seulement)



Deploiement

Et en France ?...


2 FAII mars 2003 nerim

I decembre 2007 freeI novembre 2008 FDNI 2009 SFR et Orange (pour les professionnels seulement)



Deploiement

Et en France ?...


2 FAII mars 2003 nerimI decembre 2007 free

I novembre 2008 FDNI 2009 SFR et Orange (pour les professionnels seulement)



Deploiement

Et en France ?...


2 FAII mars 2003 nerimI decembre 2007 freeI novembre 2008 FDN

I 2009 SFR et Orange (pour les professionnels seulement)=> depuis 2016 pour l’ensemble de leurs clients

I OVH : 2012


Deploiement

Et en France ?...


2 FAII mars 2003 nerimI decembre 2007 freeI novembre 2008 FDNI 2009 SFR et Orange (pour les professionnels seulement)

=> depuis 2016 pour l’ensemble de leurs clients

I OVH : 2012


Deploiement

Et en France ?...


2 FAII mars 2003 nerimI decembre 2007 freeI novembre 2008 FDNI 2009 SFR et Orange (pour les professionnels seulement)



Deploiement

Freins au Deploiement

Benefices surevalues ?

Pas de contenus nouveaux sur Internetv6

I pas tout-a-fait vrai : l’acces en NAT pour les terminauxmobiles est limite

Probleme de l’acces en cas de double pile :

1 tentative en IPv62 echec ! car pas de connectivite IPv6 de bout-en-bout.3 connexion en IPv4

=> grande lenteur => desactivation d’IPv6


Deploiement





Probleme de l’acces en cas de double pile :1 tentative en IPv6

2 echec ! car pas de connectivite IPv6 de bout-en-bout.3 connexion en IPv4



Deploiement





Probleme de l’acces en cas de double pile :1 tentative en IPv62 echec ! car pas de connectivite IPv6 de bout-en-bout.

3 connexion en IPv4=> grande lenteur => desactivation d’IPv6


Deploiement





Probleme de l’acces en cas de double pile :1 tentative en IPv62 echec ! car pas de connectivite IPv6 de bout-en-bout.3 connexion en IPv4



Securite

Introduction

Protocole IPv6

Deploiement

Securite

Transition


Securite

Architectures Securisees

architecture fermees peu d’acteurs (banques) ou structureautonome (une entreprise)

chiffrement symetrique + distribution des cles“a la main”

=> Kerberos, IPSec

architecture hierarchisee de nombreux acteurs avec desautorites de confiance peu nombreuses

=> PKI a base d’authentification X509 : IPSec,SSL

architecture decentralisee de nombreux acteurs certifiants leurs“connaissances” de proche en proche

=> PGP/GnuPG, reseau P2P/F2F crypte, ...


Securite

References IPSec

RFCs : 2401 (IPSec), 2402 (AH), 2403, 2404, 2405 (detailsdes algorithmes cryptographiques d’IPSec), 2406 (ESP), 2408(ISAKMP), 2409 (IKE).


Securite

Apercu

IPSec est un ensemble de protocoles permettant de mettre enoeuvre une ou plusieurs des proprietes cryptographiquesprecedentes pour des datagrammes IP.

AH : integrite et authentification (sans confidentialite).

ESP : confidentialite (+authentification)

Ces mecanismes sont

compatibles IPv4

integres a IPv6


Securite

Configurations d’Utilisation


Securite

Mecanisme AH (Authentication Header)

Ce mecanisme a vocation d’authentifier un datagramme IP sansle chiffrer.

IP header AH

32 Bits

Security parameters index

Next header Payload len (Reserved)

Sequence number

Authentication data (HMAC)

TCP header

Authenticated

Payload + padding


Securite

Mecanisme ESP (Encapsulating Security Payload)

Ce mecanisme a vocation a chiffrer un datagramme IP.Deux modes :

mode transport

mode tunnel (typiquement entre deux passerelles desecurite)

ESP header

New IP header

Old IP header

TCP header

Authenticated

Payload + padding(b) Authentication (HMAC)

ESP header

IP header

TCP header Payload + padding(a) Authentication (HMAC)

Authenticated

Encrypted

Encrypted


Transition

Introduction

Protocole IPv6

Deploiement

Securite

Transition


Transition

Avertissement

Les adresses IPv4 et IPv6 ne sont pas compatiblesToute transition technologique est delicate, la transitioncomplete de IPv4 a IPv6 sera tres delicate.


Transition

Technologies de transition

technique de double pile pour pouvoir utiliser IPv4 et IPv6simultanement

puisque IPv6 n’est souvent pas utilisable nativement =>tunnels en IPv4

I statiquesI automatiques

passerelles applicatives

Il est toujours preferable d’avoir un acces natif.


Transition

Tunnels Statiques


Transition

Tunnels Automatiques : 6to4

6to4 est le principal protocole de tunnel sur IPv4 pour les IPspubliques IPv6.Le protocole 6to4 se situe au niveau 3 OSI (et possede le code41).Une correspondance est etabli entre adresses IPv4 et IPv6 :


Transition

Adresses relais

l’adresse 192.88.99.1 est une adresse anycast

comme du multicast => ensemble d’adresses

mais la diffusion s’arrete des qu’un membre de l’ensemblea recu le message


Transition

Un protocole de Transition

Le protocole 6to4 est un protocole de transition permettant aun hote IPv6 de communiquer a un autre hote IPv6 via lenuage IPv4.

1 Assignation d’un bloc d’adresses IPv6 a tout hote oureseau qui dispose d’une adresse IPv4

2 Encapsulation des paquets IPv6 a l’interieur de paquetsIPv4Un entete IPv4 (avec protocole 41) est ajoute

3 Gere le transit du trafic entre 6to4 et les reseaux IPv6 «natifs »


Transition

Tunnels Automatiques : 6to4


Transition

Des Limitations Certaines

On rencontre cependant quelques problemes avec cettearchitecture :

les adresses IPv4 doivent etre publiques

en terme de routage IPv6 : il est difficile de controler quiutilise un relai donne

en terme de qualite d’acces : si le relai est loin du routeur6to4 alors la qualite de la connexion peut etre tresmauvaise.De meme, sur le chemin retour.

en terme de compatibilite avec d’eventuels parefeux avecune FAIbox typique.


Transition

De 6to4 a 6rd

Il a effectivement ete constate en 2010 qu’environ 15% desconnexions IPv6 qui echouent sont des connexions 6to4. Il adonc ete propose a l’IETF une extension le protocole 6rd (IPv6rapid deployment) sous l’impulsion du francais Remi Despres.La principale, et importante differente, est que le relai se situedesormais necessairement dans le reseau du fournisseur d’acces.


Transition

Protocole “6rd“

proximite immediate des relais

encodage efficace des adresses IPv4 (qui appartiennent aureseau du FAI)


Transition

Tunnels Automatiques et NAT : Teredo

La methode precedente fonctionne mal avec les NATs : unautre protocole est propose

1 Teredo (vers) RFC 4380

2 un protocole utilisable dans un reseau d’adresses IPv4privees, relie a Internet via un routeur assurant unetraduction d’adresses NAT.

3 implementation

I windowsI UNIX : miredo


Transition





3 implementationI windows

I UNIX : miredo


Transition





3 implementationI windowsI UNIX : miredo


Le Futur d'Internet - IPv6 - Cours 5 - lis-lab.fr...E. Godard R eseau IPv6 5 / 59 Introduction...

Documents

Transcript of Le Futur d'Internet - IPv6 - Cours 5 - lis-lab.fr...E. Godard R eseau IPv6 5 / 59 Introduction...