juni 1714/06/2017 EINDWERK NETWERKING & IPV6

Transcriptie

1 juni 1714/06/2017 EINDWERK NETWERKING & IPV6 Nick Verstraete SYNTRA-WEST 2017

2 NICK VERSTRAETE 1

3 Eindwerk Netwerkbeheer NICK VERSTRAETE 2

4 Voorwoord Wie ben ik en waarom heb ik deze opleiding gevolgd? Wel ik ben Nick Verstraete 27 jaar wonende te Harelbeke. Ik heb voor deze opleiding gekozen omdat ik al van jongs af aan gebeten was door technologie. Natuurlijk werd ik zo ook de go to persoon in de familie als er wat scheelde aan de computers. Je ken het wel die pc s vol met malware en oneindig veel overbodige programma s een internet Explorer met 20 search balken. De nachtmerrie voor velen, maar die ruimde ik met plezier op en liet deze weer werken als nieuw. Natuurlijk was de volgende stap mijn eigen systeem bouwen na veel internet flora te hebben bezocht en eindeloze reviews te hebben gelezen en ook een paar maand keihard gewerkt was het eindelijk zo ver. Dat winkelmandje die ik al 100 malen gevuld had mocht ik eindelijk bestellen. Wanneer de postman aan de deur stond kon mijn geluk niet op het was kerstmis midden mei. Na nog geen half uur zat het ding samen en werkte alles perfect. 3 jaar later en vele builds verder sloeg het noodlot toe. Ik mocht mijn werk die ik toen deed niet meer uitoefenen vanwege medische problemen. Ik zat in zak en as niet wetend wat gedaan hielp ik bij mijn toenmalige schoonvader in zijn drukkerij toen hij op een dag een probleem had met zijn print server had ik die zo gefikst. Toen beseft ik het ik moet van die passie mijn beroep maken. Zo gezegd zo gedaan. Nu zijn we 3 jaar verder en met een hele bagage aan kennis die ik door de jaren in de avondschool vergaard heb ben ik al een jaar aan het werk in de sector. En ik mij nog geen minuut verveeld een job met enorm veel afwisseling en voldoening. Verder wil ik nog alle leerkrachten bedanken voor de vele interessante lessen, maar toch zou ik willen Christophe Ramandt in het extra willen bedanken. Hij heeft zijn passie voor het vak en zeker zijn passie voor alles wat opensource is kunnen overbrengen op mij. En die bagage zal ik voor de rest van mijn leven bijdragen. NICK VERSTRAETE 3

5 Inleiding Het nieuwe standaard netwerk protocol die er al jaren zit aan te komen, maar nog altijd niet heeft doorgebroken hoe komt dit wel mijn mening is dat het gewoon geen goed business model is. als je verder lees zal ik je aantonen dat met IPv6 iedereen miljoenen adressen kan gebruiken! Daar verdienen den ISP natuurlijk niets aan en zien zo een lucratieve business in rook opgaan daarom blijven ze bij een model waar er een tekort is want bij een tekort kan je hoge prijzen vragen. Bij een overvloed daarin tegen (IPv6) kan je niks meer vragen want er zijn er zodanig veel dat geld vragen een schande zou zijn. En ook mensen houden gewoon niet van verandering stel u voor dat alle programmeurs hun code mogen herschrijven om het te doen werken met andere protocollen dat netwerkbeheerder heel hun systeem van IPadressen in de vuilbak mogen gooien. En zolang het tekort nog geen direct effect heeft op de bedrijven zal het in mijn mening ook niet snel veranderen. De toekomst zal volgens mij een systeem zijn van 2 protocollen die naast elkaar zullen leven. Nu in deze paper zal ik ook eens kijken naar de alternatieven want IPv6 mag wel de logische verandering zijn er zijn ook nog een hele boel alternatieven op de markt die heel het systeem omgooien om meer veiligheid en anonimiteit te garanderen. Onder meer een nieuw peer-to-peer netwerk en ook een hypothetisch netwerk die ik wel interessant vond. Dit alles kan je in deze paper lezen als ook wat geschiedenis. NICK VERSTRAETE 4

6 Overzicht Voorwoord... 3 Inleiding... 4 Overzicht... 5 geschiedenis... 7 IPV IPv4 Subnetting Verschillende IPv4 Pakket transmissies IPv4 Broadcast IPv4 Multicast IPv4 Routing IPv IPv4 vs. IPv Hoe zit IPv6 in elkaar? Hoe maak je een IPv6 adres? De verschillende IPv6 adressen De 10 grote Voordelen van IPv DHCP Hoe werkt DHCP? Wat geeft DHCP juist mee? DHCPv DNS Korte geschiedenis van DNS Hoe werkt DNS? Verschillende DNS records Reverse Lookup DNS met IPv DNS64 & NAT/ DNSSEC IPSec IPSec technische details IPSec in IPv6 en waarom het belangrijk is De toekomst? NICK VERSTRAETE 5

7 Eindoordeel Nawoord Bron vermelding NICK VERSTRAETE 6

8 Geschiedenis Voor we kunnen uitleggen moeten we verstaan waar alles vandaan komt en daarom kunnen we niet verder dan hele tijd terug te keren in de geschiedenis. Hier volgt een uitgebreide kijk en uitleg over TCP / IPV4 De software dat het eerste internet gemaakt heeft ( en zodanig ook alle LAN netwerken) bestaat eigenlijk al een hele tijd. Het is eigenlijk een verzameling van protocollen. De kern protocollen hier zijn TCP ( the Transmission Controle Protocol) en IP ( Internet Protocol) waarvan het zijn huidig naam heeft afgeleid TCP/IP zijn officiële naam is eigenlijk The Internet protocol suite. TCP werd voor het eerst gedefinieerd in RFC 675 Specification of Internet Transmission Control Program, December 1974 (43 jaar geleden!) Het protocol die daar beschreven is heeft niet zoveel weg van het huidige TCP model en in feite bestond toen het Internet Protocol (IP) nog eens niet. Jon Postel was verantwoordelijk om de functionaliteit op te splitsen in RFC 675 in 2 verschillende protocollen: (het nieuwe) TCP en IP. RFC 675 is tegenwoordig maar een historische anekdote. De moderne versie TCP werd gedefinieerd in RFC 795, Transmission Control Protocol DARPA Internet Program Protocol Specification, September 1981 (7 jaar later). Het is later nog geüpdatet in RFC 1122 Transmission Control Protocol DARPA Internet Program Protocol Specification, September Wat ook de link layer, IP layer en trasport layer definieert. Dit werd nogmaals geüpdatet RFC3168, The Addition of Explicit Congestion Notification (ECN) to IP, September 2001, wat ook ECN toevoegd aan TCP en IP. Beide van deze kern protocolen zullen nog gedetaillerd worden uitgelegd in het vervolg van deze paper. IPv4 is de fundatie van TCP/IPv4 en heeft heel wat uitzonderlijke kenmerken, zoals 32-bit adres grootte, zijn adresering model, zijn pakket header structuur en routing. IPv4 werd voor het eerst gedefinieerd in RFC 791, Internet Protocol, September NICK VERSTRAETE 7

9 IPV4 Bij IPv4 zijn de adressen 32 bits in lengte. En bestaan gewoon uit nummers van 0 tot , maar om het ons gemakkelijk te maken worden deze nummers meestal gepresenteerd in een decimale notatie onderscheiden door punten. Dit verdeeld het 32-bit adres in 4 8-bit velden met een decimaal nummer tussen 0 en 255. Deze decimale nummers voorzien alle mogelijke 8-bit binaire patronen van tot Deze decimale nummers worden gescheiden door punten (.). Beginnende nullen kunnen worden geëlimineerd. De volgende serie van nummers gescheiden door punten zijn legitieme IPv4 adressen: (een globaal routeer baar adres overal ter wereld geaccepteerd) (een privaat adres alleen gebruikt binnen een LAN netwerk als gedefinieerd in RFC791, Internet Protocol, September ( broadcast adres voor IPv4) (Het IPv4 Loopback adres) NICK VERSTRAETE 8

10 Origineel waren er 5 klassen van IPv4 adressen als gedefinieerd in RFC791, Internet Protocol, September Class A eerste bit 0 ( ), een 8-bit netwerk nummer, 24 bit node binnen het netwerk nummer, subnetmask Er zijn 128 class A netwerken, elk heeft 16.8 miljoen adressen - Class B eerste 2-bits 10 ( ), 16-bit netwerk nummer subnetmask er zijn class B netwerken elke heeft adressen - Class C eerste 3-bits 110 ( ), 24 -bit, 8-bit node binnen het netwerk adress, subnetmask er zijn 2 miljoen class C netwerken elk heeft 256 adressen - Class D eerste 4-bits 1110 ( ) word gebruikt voor multicast. - Class E eerste 4-bit 1111 ( ) word als experimenteel gebruikt. Kan niet gerouteerd worden door meeste routers. NICK VERSTRAETE 9

11 IPv4 Subnetting Nu we het gehad hebben over de klassen moeten wa natuurlijk ook een deel wijden aan Ipv4 Subnetting. Dit is één van de moeilijkere onderdelen voor mensen die over netwerken willen leren. We weten natuurlijk dat alle adressen uit 2 delen bestaan, het eerste deel is het adres van het netwerk ( ), het 2 de deel bestaat uit de node van het netwerk ( ). Nu is dit mooi in 2 gedeeld maar dit kan natuurlijk ook anders verdeelt worden. In dit voorbeeld werden de eerste 16-bit gebruikt om het adres te definiëren en de laatste 16-bit om de node te definiëren. De adressen van alle nodes in dit netwerk hebben de eerste 16- bit gemeen, maar de laatste 16-bit zijn uniek. Dat wil zeggen dat in dit netwerk een paar nodes een adres hebben zoals , en , maar zal niet kunnen communiceren met iemand met een zoals want deze behoort niet tot het netwerk van Een subnet mask heeft een 32-bit waarde. Waar de eerste bits (1-32) een waarde hebben van 1. De andere 32-bit hebben een waarde van 0. Het word gebruikt om een netwerk opsplitsen in 2 delen. En het voorbeeld van daarnet heeft een subnet mask van ( de eerste 16-bit hebben een waarde van 1, de laatste een waarde van 0). Als je een Boolean 1 AND functie doet bij het adres met het subnet mask krijg je het adres van het netwerk, en als je een Boolean AND van het adres met 1 onderdeel van het subnet mask (in dit vb ) krijg je de node van het subnet. Dit is wat moeilijk te begrijpen omdat je het niet visueel ziet. Het is gemakkelijker te begrijpen als je het binair voor je ziet. Als je de Boolean AND functie gebruikt zie je dat als beide input een 1 zijn je een 0 krijgt. Waar een Boolean NOT functie iedere 0 in een 1 veranderd en omgekeerd. Met de AND functie, overal waar een 1 in de subnet mask zal het corresponderende bit doorvloeien naar het resultaat. Waar er een 0 in de subnetmask staat zal de corresponderende bit geblokkeerd worden (de waarde word geforceerd naar 0). Het 1 In de informatica is boolean een datatype met slechts twee mogelijke waarden, true (waar, ja) en false (onwaar, nee), bedoeld om de waarheidswaarde van logische expressies in computerprogramma s en Boole-algebra's te representeren. Het type is genoemd naar George Boole, die als eerste een algebraïsch systeem voor logica ontwikkelde halverwege de 19e eeuw. NICK VERSTRAETE 10

12 volgende exemplaar ( met de adressen en subnet mask getoond in decimaal en binair) zal het wat duidelijker maken. Address Subnet mask AND Network address Address NOT mask AND Node within network Voor een subnet mask (Class A), zijn de eerste 8-bit het netwerk adres, de laatste 24-bit zijn de node binnen het subnet mask. - Voor een subnet mask (Class B), zijn de eerste 16-bit het netwerk adres, de laatste 16-bit zijn de node binnen het subnet mask. - Voor een subnet mask (Class C), zijn de eerste 24-bit het netwerk adres, de laatste 8-bit zijn de node binnen het subnet mask. Subnetten is gemakkelijk als je deze klassen gebruikt (A,B en C). De eerste paar bits van het adres geven het subnet mask aan. Als de eerste bit van een 32-bit adres 0 is dan is het adres een Class A, en het subnet mask was dan Als de eerste 2-bit van een adres 10 was, dan was het een Class B adres, en het subne mask was dan Als de eerste 3- bit van een adres 110 was, dan was het een Class C adres, dan was het subnet mask Dit word automatisch gedaan dus geen zorgen. Eén van de grote veranderen NICK VERSTRAETE 11

13 die werden gemaakt in de IPv4 adressering model was in het midden van de jaren 90 daar werd het Classless Inter-Domain Routing, in RFC 1519, Classless Inter-domain Routing (CIDR), September 1993 het werd later vervangen door RFC 4632 Classless Inter-domain Routing (CIDR), August Wanneer CIDR geïntroduceerd werd gaf dat 2 grootte gevolgen. Als 1 ste de scheiding tussen de 2 delen van een adres konden nu overal gebeuren. Niet gewoon achter 8,16 of 24. Als 2 de verschillende kleine blokken konden nu uit grootere blokken gehaald worden op eender welke plaats in het adress. Dus kon je niet meer het subnet mask achterhalen door er gewoon naar te kijken. Als voorbeeld een /8 (Class A) blok kan gebruikt worden als 65,536 /24 (Class C) subnets, die dan op hun beurt kunnen uitgedeeld worden onder verschillende organisaties. Laten ons er van uitgaan dat je ISP in plaats van je een Class C blok te geven het je enkel een /28 blok van echte (routeerbare) IPv4 adressen geeft. Dat zou willen zeggen dat je enkel 16 echte IPv4 adressen zou krijgen bv tot de eerste 2 van deze adressen zijn niet bruikbaar, want is het netwerk adres en is het broadcast adres. Dit wil zeggen dat je enkel 14 bruikbare adres overhoud ( ). Nu wat is je subnet mask die je gebruikt? Als je de bovenste table bekijkt van bruikbare CIDR blok groottes dan zie je dat een /28 subnet een subnet mask heeft van in binair is dat is (de eerste 28-bits zijn 1, de laatste 4 bits zijn 0). Al hoe wel volgens de oude regels (de eerste bit is een 0) zijn dit eigenlijk adressen van een Class A blok dus zou eigenlijk het subnet mask moeten zijn, maar dat is niet correct. NICK VERSTRAETE 12

14 Verschillende IPv4 Pakket transmissies Het meest gebruikte type van pakket transmissie is unicast, dit is wanner een node (A) Een pakket verzend naar node (B). A en B kunnen in het zelfde local link of aan de andere kant van de wereld zitten, zolang ze routeerbare adressen gebruiken en re is een routing pad beschikbaar tussen A en B dan word het nog altijd een unicast genoemd. Een andere vorm van transmissie is broadcast. Hier kan een node een pakket verzenden naar alle nodes in een local link. Meestal zal gelijk welke node die niet geïnteresseerd is in het pakket het gewoon laten vallen (Pakket drop). Als het een ICMP echo request is (PING), dan zullen de meeste nodes op een local link antwoorden, maar het kan voor een overvloed aan overbodig netwerk transport zorgen. Dan is er nog een andere vorm van transmissie genaamd anycast. Hier kan een node een pakket verzenden naar één enkele node uit een collectie van verschillende nodes. (bv de dichtstbijzijnde DNS server). Meestal zal 1 enkele node het pakket accepteren en een antwoord verzenden naar de node die het verzonden heeft. Deze transmissie werkt wel in IPv4 maar is wat beperkt in functionaliteit. Het werkt veel beter in IPv6 (meer uitleg daarover verder is deze paper). DNS anycast wordt gebruikt bij de root DNS servers om verschillende kopieën van de root servers toe te laten. Om de belasting en maximale effectiviteit te hebben gebruiken root servers eigenlijk nog een andere transmissie genaamd multicast. Hier kan één enkele node een stroom van pakketjes versturen, zoals bv een digitaal radio programma. Daar kan gelijk hoeveelheid nodes de transmissie oppikken van de multicast en het ontvangen. Meestal is (in het voorbeeld van een digitale radio) luisteren een passieve gebeurtenis, er moeten geen antwoorden worden gegeven op de pakketen. De zender heeft dan ook geen weet van wie of hoeveel nodes er de verzonden informatie aan het ontvangen zijn. Het is zeer efficiënt want andere nodes verder op het netwerk behandelen de replicatie en verder zetting van de pakketten naar nodes nog op het netwerk. Dit word weeral ondersteund door IPv4 maar is veel uitgebreider in IPv6. NICK VERSTRAETE 13

15 IPv4 Broadcast Eender welke node kan een pakket verzenden naar een speciaal IPv4 adres ( ) en alle nodes op de local link zullen deze dan ook ontvangen. Meestal, is er een bepaalde soort informatie in het pakket dat toelaat dat de meeste nodes doet realiseren dat het pakket niet betekend voor hen (bv als een broadcast pakket een DHCPv4 bericht bevat, dan zullen alle nodes die geen DHCPv4 server hebben het pakket negeren). Deze mechanisme kan gebruikt worden om server te lokaliseren of om andere problemen optelossen (zoals geen legitiem IP adres hebben), maar het kan wel onnodige veel belasting geven aan de alle nodes die er niks mee te maken hebben. Dit kan als gevolg een broadcast storm veroorzaken, wat inhoud dat grootte hoeveelheden van overbodige data het netwerk vertragen of in het ergste geval helemaal uitschakelen. Als voorbeeld heb je bijvoorbeeld een smurf attack dat miljoenen op miljoenen pings stuurt naar het broadcast adres. De request bevat het spoofed 2 adres van de node die onder aanval is als het source adres ( dus als degene die het bericht verzend). Alle nodes zullen antwoorden op de node die onder aanval is wat de aanval nog eens versterkt. Niet allen smurf attacks, maar ook misconfiguratie of netwerk storingen kunnen deze broadcast storms veroorzaken. Pakketen verzonden aan het broadcast adres gaan niet over routers of VLAN. Dus goed uw netwerken afschermen kan de schade die deze stormen veroorzaken tot een minimum beperken. Het aantal nodes die een broadcast kan bereiken word ook wel het broadcast domain genoemd. Broadcast word gebruikt in het DHCPv4 protocol, om communicatie tussen de nodes en de server toe te laten zonder dat de node een adres heeft. In IPv6 bestaat broadcast niet het is een mechanisme die veel problemen veroorzaakt daarom worden er andere methoden gebruikt om communicatie te voorzien voor bv DHCPv6 servers te lokaliseren. 2 Spoofing is het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen. Dit kan bijvoorbeeld gaan om , website, IP-adres en biometrische kenmerken. NICK VERSTRAETE 14

16 IPv4 Multicast Multicast laat toe dat een node een stroom aan data kan verzenden (meestal UDP data grams) naar 1 of meerdere speciale multicast adressen. Eendere welke node kan zich aanmelden om de stroom van data te ontvangen. Als voorbeeld dit kan gebruikt worden om een broadcast (in media termen) van radio en televisie programma s te versturen. Sites zoals YouTube en services zoals on demand televisie gebruiken traditioneel unicast (één zender die verbind met één ontvanger) verzending naar elke ontvanger. Dit verbruikt een groot deel van de bandbreedte en een krachtige netwerk infrastructuur bij de verzender zeker als er een groot deel ontvangers zijn. Multicast is dus nodig om de kosten en netwerk bandbreedte voorschriften zo laag mogelijk zijn om het aantrekkelijker te maken dan gewoon kabel televisie. NICK VERSTRAETE 15

17 IPv4 Routing TCP/IP was van in het begin ontworpen om een internet working protocol te zijn. Dat betekent dat het verschillende methoden ondersteunt om een pakket van één node naar een andere te versturen, zelfs over meerder netwerken, door verschillende routes door een mogelijk complexe serie van interconnecties. Als één of meerdere links down gaan, dan zal het pakket een andere route nemen. Zelfs binnen een bepaalde groep van pakketten (stel u een lange voor) sommige pakketjes zullen een andere route pakken dan de andere. Het proces om een goeie route ( s) te vinden om van A naar B te geraken word routing genoemd. Dit is een van de meest complexe onderdelen van TCP/IP er zijn hele boeken en papers geschreven rond dit ene onderwerp. Wij zullen gewoon over de simpele details gaan, om je aan te tonen hoe de verschillen zijn tussen IPv4 en IPv6. Sommige simpelere netwerk protocollen (zoals Netbios of NetBEUI) zijn niet routeer baar. Ze werken enkel binnen een bepaald netwerk segment. TCP/IP en Netware s IPX/SPX ondersteunen routing. Je kan meerder netwerken met elkaar verbinden en elke node binnen eender welk netwerk kan (onder normale omstandigheden) data uitwisselen met eender welke node uit een ander netwerk. Het internet is dus gewoon een grootste verzameling van onderling verbonden netwerken in de wereld. TCP/IP flexibele routing capaciteiten is één van de dingen die dit mogelijk maakten. Er zijn veel componenten nodig om IP based netwerking te creëren, onder andere NIC s, netwerk kabels, switches, gateways, etc van alle deze componenten zijn gateways ( een netwerk toestel dat pakketten kan forwarden van netwerk segment naar het andere) de enige die routing doen. Er zijn verschillende soorten gateways, de simpelste is de router, wie verschillende protocollen gebruikt, zoals RIP, OSPF en BGP om te bepalen welke de pakketten naar toe geforward moeten worden al naar gelang hun bestemming. Het is perfect mogelijk om van een gewone computer een router te maken zolang het maar meerdere netwerk ingangen heeft, die nog eens verbonden zijn met verschillende netwerken. Bijna alle OS en met entwerk ondersteuning kunnen worden geconfigureerd om pakket forwarding te doen ( het accepteren van een pakket uit één NICK VERSTRAETE 16

18 netwerk en het dan forwarden naar een ander netwerk via een andere NIC). Meestal worden er geen verandering gemaakt aan het pakket zelf behalve misschien de hop count in de IP pakket header. Als er NATing plaats vind kunnen er verschillende veranderingen plaats vinden in de pakket header. Het is ook mogelijk dat een gateway node verschillende processen doet op een pakket wanneer het passeert, zoals pakket filtering op verschillende criteria (bv om bepaald verkeer door te laten via poort 25 naar een IP-adres, maar alles naar een andere ip adres zal worden geblokkeerd). Deze worden ook wel pakket filtering firewalls genoemd. Het zijn eigenlijk gewoon routers dat meer controle laat over het verkeer en het netwerk kan beschermen tegen bepaalde aanvallen. Zelfs binnen deze firewall worden alle processen gevoerd op de internet layer. Meer geavanceerde firewalls kunnen ook de inhoud van het pakket bekijken en onthouden dit word ook wel deep pakket inspection genoemd. Het is ook mogelijk om een "bastion host 3 te hebben die forward niet alleen het verkeer, maar krijgt ook de protocol verbindingen namens de nodes op het internet netwerk en verbind ze door als ze acceptabel zijn. Ze fungeren als een proxy voor interne servers, het proces hier neemt plaats op de applicatie laag van het OSI model. Proxy firewalls zijn veel beter beveiligd dan gewone firewalls, maar tevens ook veel complexer en resource beoefend. Typische moet een proxy server gemaakt worden voor ieder gebruikt protocol behandeld door de firewall. Der kunnen zowel inkomende als uitgaande proxy s zijn. De node maakt een uitgaande verbinding naar een proxy in uw firewall, en deze maakt dan de verder verbinding naar de node die je echt wil mee verbinden. Deze zorgen voor veel meer controle dan een simpele pakket filtering firewall. Als de firewall zowel packet statefull inspectie en ook een proxy server heeft (inkomende en uitgaande) voorenkele protocollen dan word dit een hybrid firewall genoemd. 3 Een bastion host is een speciaal ontworpen en geconfigureerde computer die enkel en alleen de taak heeft om aanvallen te weerstaan. NICK VERSTRAETE 17

19 IPv6 Nu komen we aan op het deel waar deze paper eigenlijk over gaat, we gaan nu kijken wat de verschillen of gelijkenissen zijn met IPv4 wat er verbeterd is of waar er zich nog obstakels voordoen. Eerst praten we wat over de verschillen tussen IPv6 en IPv4, daarna over hoe eigenlijk in elkaar zit en uit wat bestaat een IPv6 adres? Dan als volgt nog wat voordelen. En daarna komt IPSec aan de beurt. Veel lees plezier! NICK VERSTRAETE 18

20 IPv4 vs. IPv6 Met IPv4 had je 32 bits (4 bytes) adressen, waarmee in theorie maximaal adressen mogelijk zijn. Je adressen werden opgesplitst in een adres en een subnetmask bv met als subnetmask je subnetmask zorgt er voor dat er een scheiding is in IP adressering. Dit zorgt ervoor dat je geen broadcast kan sturen over het hele internet. Nu nog een detail is dat IPv4 in binair is dat wil zeggen dat er enkel getallen in staan van 0 9. Nu we weten hoe IPv4 in elkaar zit hoe werkt IPv6 dan en verschild het zoveel met IPv4? Om te beginnen IPv6 heeft 128 bits adressen wat resulteert in een gigantische voorraad we mogen bijna zeggen onuitputtelijk ( maar dat dachten ze van IPv4 ook!). naast een gigantische voorraad zijn er uiteraard nog voordelen aan verbonden. - Betere routering en netwerk-autoconfiguratie - Geen NAT 4 meer nodig - Gegevensbeveiliging op IP niveau - Ondersteuning van mobiele nodes - Echte point to point verbindingen Over deze voorbeelden gaan we straks nog wat dieper in eerste gaan we kijken hoe zo een adres word opgemaakt! 4 Network Address Translation (NAT, ook wel Network masquerading of IP-masquerading) is een verzamelnaam voor technieken die gebruikt worden in computernetwerken waarbij de adresinformatie in de datapakketjes veranderd wordt. Zodoende kunnen verschillende netwerken aan elkaar worden verbonden. De techniek wordt hoofdzakelijk in router ingezet. NICK VERSTRAETE 19

21 Hoe zit IPv6 in elkaar? Eerst en vooral IPv6 word hexadecimaal geschreven dit wel zeggen cijfers van 0-9 en letters van A tot F. dus een gelding IPv6 adres bestaat uit 8 groepen van 4 hexadecimale cijfers. Om je een voorbeeld te geven zo ziet een legitiem IPv6 adres eruit. 2001:0db8:85a3:08d3:0000:0102:0030:0001 Nu denk je vast hoef ik elke maal heel deze notatie schrijven? Nee dat hoeft niet want elke leidende 0 in een groep mag wegelaten worden. Ik neem het voorbeeld van hierboven en herschrijf die. 2001:db8:85a3:8d3:0000:102:30:1 Nu heb ik alle leidende nullen weggelaten en dit is nog altijd een correct IPv6 adres want achterliggend weet het proces van als er cijfers te kort zijn dat er gewoon een nul moet voor komen. Als je goed kijkt zie je natuurlijk dat er daar een groep staat met 4 nullen wat moet daarmee gebeuren? Wel dat is heel simpel die mag je gewoon weglaten, maar dit geeft enkele voorwaren. Wanneer een hele groep weggelaten word moet deze gescheiden worden met 2 dubbele punten (::). Ik gebruik nogmaals het voorbeeld van hierboven. 2001:db8:85a3:8d3::102:30:1 Nu zie je dat een groot adres al snel heel wat kleiner en overzichtelijker word. Wat wel zo is je kan deze methode geen 2 maal toepassen wat logische is want dan weet het proces niet of hoeveel groepen waar moeten komen. Een klein voorbeeld. NICK VERSTRAETE 20

22 2001:0000:0000:08d3:0000:0000:0000:0001 Hier zie je een aangepast adres om juist dit probleem te tonen. Mochten we dit op de manier hierboven doen zouden we op het volgende uitkomen. 2001::08d3::0001 We hebben nu juist een situatie gecreëerd waar dat de computer nooit kan weten wat het adres is want hij weet niet hoeveel groepen werden overgeslagen in het eerste en 2 de deel van het adres. Hoe doen we dit dan wel simpel je kiest wat voor jouw het makkelijkst is de eerste of de 2 de groep. 2001:0000:0000:08d3::0001 Dit is nu terug een correct adres want de computer weet nu perfect dat er 5 groepen zijn maar door het gebruik van 2 (:) tussen de 4 de en 5 de groep weet hij dat hij daar 3 groepen met nullen mag plaatsen om zo terug een legitiem adres te vormen. NICK VERSTRAETE 21

23 Hoe maak je een IPv6 adres? In dit segment van het eindwerk moeten we even de rekenkracht van de meest complexe computer gebruiken, onze hersenen natuurlijk! Hoe worden nulletjes en ééntjes gebruikt om IP adressen te creëren? Wel eigenlijk heel simpel je moet er alleen goed je aandacht bijhouden laten we voor het eerste voorbeeld eerst eens kijken naar een IPv4 adres /24 Om dit adres in zijn pure vorm te bekijken moeten we eerst zien wat het subnet is. Dit kan je achterhalen door de /24 dat wil zeggen dat de eerst 24 bit van het adres het netwerk-id zijn en dus eigenlijk bezet Dus eigenlijk als we het eens willen berekenen moeten we zien hoeveel elke positie heeft van waarde. Hier werkt men met een waarde van de 2 de macht dus Als we dan 192 willen uitkomen zoals we zien op het IP adres komen we uit op Zoals je nu ziet alles heeft een waarde van 0 behalve de eerste 2 en wat is de waarde van die 2 dat is 128 en 64 als je die 2 optelt kom je op 192. Als we dit nu doen voor het volledig adres komen we uit op. NICK VERSTRAETE 22

24 Zoals je ziet bij de eerste 8 staan de 128 en de 64 actief in de 2 de blok staan 128,32 en 8 actief en de laatste 2 blokken staan enkel de ééns actief dus kom je op (128+64).( ).(1).(1) als die sommetjes maak kom je terug op Dit was nu in een notendop IPv4 hoe zit IPv6 dan elkaar? Eigenlijk is het gewoon een uitgebreide vorm van IPv4. In plaats spelen met 32 bits Spelen we nu met 128 bits Dus 128 ipv 32 of van 4 groepen van 8 naar 16 groepen van 8. Nu kan je al zien dat dit deze voorraad echt wel onuitputtelijk is! Ik zal het je zelfs tonen! Een beetje eerder had ik je gezegd dat IPv4 decimaal is en IPv6 hexadecimaal wat houd dat nu juist in? Wel heel simpel waar we eerst tellen van 0-9 gaan we nu door naar 15. Natuurlijk kan je een dubbel getal niet schrijven op 1 plaats dus wat men doet van 0-9 blijft het zelfde maar, 10 = A 11 = B 12 = C 13 = D 14 = E 15 = F Hierdoor kan je wel een dubbel getal schrijven op 1 plaats en zo kunnen we weer verder. NICK VERSTRAETE 23

25 De verschillende IPv6 adressen Zoals IPv4 ook een paar speciale adressen heeft bv (loopback adres) heeft IPv6 dit natuurlijk ook Hier volgende de belangrijkste. ::/128 Een IPv6 adres met allemaal nullen word gezien als een niet toegekend adres. Dit word meestal gebruikt in software toepassingen. ::1/128 Dit is het loopback adres in IPv6 of ook wel localhost genoemd. 2001:db8::/32 Dit is de documentatie prefix. Alle testcases van IPv6 zouden dit als voorbeeld moeten gebruiken. Fec0::/10 Dit is de site-local prefix aangeboden door IPv6. Dit wil zeggen dat het adres enkel bruikbaar is binnen de organisatie. Dit gebruik word wel afgeraden in de RFC 5. Fc00::/7 Dit word het Unique Local Addres (ULA) genoemd. Deze worden enkel gerouteerd binnen een bepaalde set van meewerkende organisaties. Dit adres werd ontworpen om de site-local adressen te vervangen. Binnen deze adressen word een 40 bit pseudorandom nummer voorzien dit verminderd het risico op adres conflicten. Ff00::/8 Deze prefix word toegewezen aan multicast adressen. FE80::/10 Dit is het link local prefix aangeboden door IPv6. Dit wil zeggen dat zo een type adres enkel bruikbaar is binnen de lokale fysieke link. 5 RFC (Request for Comment)De meeste IETF (Internet Engineering Task Force ook wel de bewaarders van de RFC documenten genoemd) standaarden zijn gedocumenteerd in RFC documenten. Alhoewel, niet alle RFC s zijn standaarden, Dus bekijk goed de status van het RFC. NICK VERSTRAETE 24

26 De 10 grote Voordelen van IPv6 Grotere adres pool 1 Ste grote voordeel is natuurlijk een veel grotere adressen pool, en die is natuurlijk nodig want met de steeds groeiende populatie en beschikbaarheid van het internet zijn veel adressen nu eenmaal een noodzaak. En niet allen de populatie ook de toestellen die verbonden zijn met het internet groeien exponentieel. wie had 10 jaar geleden kunnen denken dat elke huishoudelijk toestel nu bijna internet verbinding nodig heeft van koelkasten tot koffiezet apparaten alles kan je tegenwoordig verbinden met het internet. Met 4 miljard adressen en een kleine 7 miljard mensen kan je wel denken dat deze op moeten zijn. Gelukkig bied IPv6 de oplossing! Betere end-to-end verbindingen Het 2 de grote voordeel is echte end-to-end verbinding. Door het overbodig worden van NAT heb je echt een verbinding van toestel naar toestel zonder dat er andere toestellen en vertaling moten worden gedaan hierdoor kan de word de verbinding veel beter en dit heeft vooral een voordeel voor de telefonie over netwerk ook,wel VIOP 6 genoemd. 6 Voice over Internet Protocol (Voice over IP, VoIP en IP telephony) is een methodologie en groep van technologieën voor de aflevering van voice communications en multimedia sessies over Internet Protocol (IP) netwerken, zoals het Internet. NICK VERSTRAETE 25

27 Betere autoconfig mogelijkheden Ten 3 de heeft IPv6 meer mogelijkheden naar autoconfiguratie. Wat houd dit in? IPv6 heeft natuurlijk ook zijn variant van DHCP 7, maar IPv6 kan ook stateless of serverless autoconfiguratie doen. Dit houd in dat een computer zijn eigen IPv6 adres aanmaakt aan de hand van zijn netwerkkaart Mac adres. Daardoor kunnen routers bv. heel gemakkelijk hun eigen interfaces instellen. Simpelere Header Structuren Ten 4 de heeft IPv6 een veel simpelere pakket header structuur die ontworpen is om de tijd die nodig is om de header te processen tot het minimum te houden. Dit is gelukt door de optionele velden en non essential velden te verplaatsen naar de extensie header en die word geplaats na de IPv6 header. Dit heeft ten gevolge dat men veel efficiënter kan communiceren omdat router nu geen network layer checksums moeten berekenen of zelf pakketten her assembleren. Dit vertaald zich naar minder overhead voor routers en maakt de hardware minder complex en het pakket proces veel sneller. Nog een andere eigenschap die anders is bij IPv6 dan IPv4 is dat extension headers geen limit meer hebben. Dit kan is past zich aan naar de noden die nodig zijn om een goeie verbinding te hebben, meer zelfs een typische IPv6 pakket heeft zelfs geen extension header. Er word enkel en alleen een extensie pakket toegevoegd als de router of het te bereiken doel speciale vereisten heeft. 7 Dynamic Host Configuration Protocol (DHCP) is een computerprotocol dat beschrijft hoe een computer dynamisch zijn netwerkinstelling van een DHCP-server kan verkrijgen. Het DHCP-protocol is gebaseerd op het Internet Protocol IP en werkt met UDP-pakketten. NICK VERSTRAETE 26

28 Betere beveiliging Punt 5, In IPv6 is IPSec een heel belangrijk protocol vereiste wat maakt dat dit veel betere beveiliging heeft ten opzichte van IPv4. Wat is IPSec? IPSec bestaat uit enkele crypt grafische protocollen die maken dat data communicatie en sleutel overhandiging veel veiliger zijn. - Authentication Header (AH) protocol, die zorgt voor authenticatie en integriteit van de data - Encapsulating Security Payload (ESP) protocol, die zorgt voor authenticatie en integriteit van de data en alsook de privacy van de data - Internet Key Exchange (IKE) protocol, Deze protocol suite helpt met de initiële set up en onderhandeling van de security paramaters tussen 2 eind gebruikers. Het houd ook de informatie in de gaten zodat de communicatie tot het einde beveiligd blijft Dit houd in dat IPv6 verzekert dat er complete end-to-end security is. Dit kan heel zijn naar mate we meer en meer betaling uitvoeren via mobiele devices. NICK VERSTRAETE 27

29 Qaulity of Service (QoS) Punt 6. In Ipv6 word QoS een serieuze boost gegeven. In de header heb je nu een nieuwe veld genaamd Flow Label Field dat definieert hoe bepaalde pakketten worden geïdentificeerd en behandeld door routers. Daardoor kunnen de routers veel sneller en efficiënter werken! Het Flow Label Field verzekert er ons van de er efficiënte aflevering is van informatie van het ene eind naar het andere zonder de mogelijkheid dat het pakket veranderd word andere systemen. Dit verzekert een hoge graad van QoS zeker voor peer to peer applicatie zoals VIOP. Betere Multicast & Anycast eigenschappen Punt 7. IPv6 vergoot de multicast mogelijkheden door een grote multicast adress range aan Te bieden. Dit vergroot de netwerk efficiëntie. Ook word het concept van de anycast services dramatische verbeterd. Hier worden de pakketten niet verzonden naar alle nodes op het netwerk maar enkel naar de dichtstbijzijnde nodes. NICK VERSTRAETE 28

30 Betere Mobiliteit eigenschappen Punt 8. In IPv6 word de mobiliteits support verplicht door het gebruik van Mobile IPv6 (MIPv6).Route optimalisatie is een ingebouwde feature voor mobile Ipv6. Verder worden features als ND en adres auto-configuratie gebruikt zodat de mobiele nodes kunnen functioneren zonder nood aan een speciale router. MIPv6 kan ook gebruikt worden om naadloze mobiliteit te bereiken door middel van handovers tussen verschillende verbindingstechnologieën. Bijvoorbeeld om van een 4G netwerk om te schakelen naar Wifi zonder enige onderbrekingen in de bestaande connecties. De steeds maar grotere nood in deze mobiele devices aan voice, video en data wat word mogelijk gemaakt door een standaard genaamd IP Multimedia Subsystem (IMS) 8. Jammer genoeg heeft als vereiste dat iedere node een Unique IP adres heeft om volledige bi-directionele services te hebben. Dit speelt natuurlijk in de kaart van IPv6 want door zijn enorme grote pool van adressen word dat nu eindelijk mogelijk. 8 Het IP Multimedia Subsystem (IMS) is een gestandaardiseerde Next Generation Networking (NGN) infrastructuur voor telefonie aanbieders die multimedia diensten willen aanbieden voor mobiele en vaste toepassingen. Het gebruikt bijvoorbeeld een Voice over IP (VoIP) implementatie gebaseerd op een 3GPP standaardimplementatie van het Session Initiation Protocol (SIP). Bestaande telefonie systemen (zowel packet-switched en circuitswitched) worden ondersteund en worden als het ware geïntegreerd binnen IMS. NICK VERSTRAETE 29

31 Makkelijke administratie Als voorlaatste argument heeft IPv6 de mogelijkheden zo dat netwerk her nummering automatisch gebeurt. Hierdoor is er geen manuele configuratie meer nodig van iedere host en router en maakt samensmeltingen van netwerken veel gemakkelijker. Nog een andere handige feature is multihoming. In de feature is het mogelijk om verschillende ISP 9 verbindingen te hebben zodat als er één uitvalt hij automatische switch naar de andere. Dit vergroot de betrouwbaarheid van de services. Makkelijke overgang van IPv4 naar IPv6 En als laatste argument is dat het makkelijk is om over te stappen naar IPv6. De meeste onder jullie hebben al een IPv6 adres. Het is ook mogelijk om de 2 systemen door elkaar te gebruiken door middel van dual IPv4/IPv6 stack en een tunnel broker 10 die vertaal van IPv4 naar IPv6. 9 Een internetprovider of internetaanbieder (Engels: internet service provider of ISP) is een organisatie of persoon die diensten levert op of via het internet. Dit kan zowel de verbinding van een gebruiker aan het internet zijn, alsook diensten die de gebruiker via het internet kan gebruiken. 10 in de context van computer networking, een tunnel broker is een service die een netwerk tunnel voorzien. Deze tunnels kunnen een ingekapselde verbinding voorzien over een bestaande infrastructuur naar een andere infrastructuur. Er bestaan een heleboel van tunnel brokers, inclusief IPv4 tunnel brokers, maar ze zijn beter gekend als een IPv6 tunnel broker zoals gedefinieerd in RFC:3053. IPv6 tunnel brokers voorzien meestal IPv6 tunnels naar sites of end users over IPv4. In het algemeen bieden IPv6 tunnel brokers zo genaamd 'protocol 41' or proto-41 tunnels aan. Dit zijn tunnels waar IPv6 Direct getunneld is in IPv4 pakketten door het protocol veld te zetten op '41' (IPv6) in het IPv4 pakket. In het geval van IPv4 tunnel brokers IPv4 tunnels zijn voorzien naar users door middel van inkapseling in IPv4 binnen in IPv6 zoals gedefinieerd in RFC:2473. NICK VERSTRAETE 30

32 DHCP Wat is het? Wel DHCP of ook wel Dynamic Host Configuration Protocol genoemd, word gebruikt om een computer die verbind met het netwerk automatisch de juiste instellingen van de netwerk configuratie mee te geven. Dus eigenlijk een protocol die er voor zorgt dat wanneer een computer een netwerk kabel of verbind met de wifi meteen de juist netwerk instelling heeft, zodat je niet bij elke computer die wilt verbinden handmatig de netwerk configuratie moet meegeven. NICK VERSTRAETE 31

33 Hoe werkt DHCP? De client computer stuurt een DHCP Discovery Request naar alle computer in het netwerk. Wanneer er zicht een DHCP-server bevind op het netwerk zal deze als enige antwoorden op deze request. Hij stuurt dan op zijn beurt de netwerk instellingen terug naar de client die het request vroeg (Offer). De client maakt eigenlijk gebruikt van de eerste server die antwoord op zijn vraag als er dus 2 DHCP servers zijn op een netwerk is het first come first serve principe. Eens hij deze instellingen heeft gekregen stuurt hij nogmaals naar de DHCP-server om te zeggen dat hij de instellingen gaat gebruiken (request). De server op zijn beurt stuurt nog een bevestiging (acknowledge). Nu kan de client met zijn uniek IP het netwerk verkennen. NICK VERSTRAETE 32

34 Wat geeft DHCP juist mee? Welke instellingen geeft een DHCP server allemaal mee? Dit is natuurlijk te beslissen door de netwerk beheerder maar dit zijn de voornaamste. - Een uniek IP - Een subnetmask - Een gateway zodat men ook andere netwerken kan bereiken - Een DNS server zodat men op naam kan zoeken. - Een lease time, hoe lang mag de client het adres lenen Hoe klein of groot je omgeving ook is Dit zijn de meeste voornaamste instellingen. Zelfs van je ISP krijg je deze instellingen mee. Het grote internet is eigenlijk een gewoon een groot netwerk verbonden met nog grotere netwerken. NICK VERSTRAETE 33

35 DHCPv6 Het Dynamic Host Configuration Protocol versie 6 is een netwerk protocol voor het configureren van IPv6 hosts met IP-adressen, prefixen en andere instellingen om een werkend IPv6 netwerk te hebben. IPv6 hosts genereren automatisch al een intern adres om te communiceren met behulp van Stateless Adress Autoconfiguration (SLAAC) maar het kan ook met DHCPv6. Een IPv6 host kan dan ook de meeste info verkrijgen via het Neighbor Discovery Protocol. NICK VERSTRAETE 34

36 DNS DNS of wel ook Domain Name System is een systeem en netwerkprotocol dat gebruikt word om namen van computers te vertalen naar IP-adressen en omgekeerd. Dus eigenlijk gaat het gewoon om tabellen waar IP-adressen aan namen worden gelinkt. DNS werkt dus onder het client-server model. de client gebruikt het protocol om aan een server de naam en IP-adres op te vragen. Op zijn beurt stuurt de server een antwoord terug. Het opzoeken van een nummer bij een naam wordt een Forward Lookup genoemd, Het opzoeken van een naam bij een nummer Reverse Lookup genoemd. De naamgeving is hiërarchisch opgezet: namen bevatten punten, en organisatorische eenheden corresponderen met onderdelen van de naam. Zo'n eenheid wordt een domain genoemd, en een naam een domainname. Als je bijvoorbeeld surft naar het domainname dan kom je achterliggend eigenlijk op terecht. In mail servers gebruikt het SMTP-protocol ook DNS en dit om de domain namen op te zoeken. Wanneer computers een ontvangen die voor uw desbetreffende organisatie bedoeld zijn. Daarnaast is er een protocol, het sender policy framework (SPF), waarmee van een verstuurde computer via DNS kan worden opgezocht of die daartoe volgens zijn organisatie recht heeft. Dit is één van de instrumenten die zijn ingezet tegen de bestrijding van wereldwijde spam. NICK VERSTRAETE 35

37 Korte geschiedenis van DNS Je weet dat elke computer die verbonden is met het internet en wil bereikbaar zijn een zogenoemd adres moeten hebben een IP-adres, zo een computer wordt ook wel een host genoemd. Omdat deze nummers eigenlijk niet makkelijk te onthouden zijn kregen de computers een naam toegekend. Zie het als eigenlijk in je gsm telefoon nummers niet van buiten kent maar wel onder een naam opslaat. Dan werd er dus in de software die de internet verbindingen maakt een feature ingebouwd dat je eigenlijk de IP-adressen kon opzoeken in een tabel. Deze tabel was aanvankelijk een bestand /etc/hosts of host.txt. Dit moet op elke internet verbonden computer aanwezig zijn. Naarmate het internet groeide en omvangrijker word werd het behouden van zo een bestand niet meer mogelijk. Daarom is het DNS-protocol ontworpen. Zodat je deze info over het internet kon worden opgevraagd en niet meer lokaal moest worden bijgehouden, ook is het interessanter als je wijzigingen doorvoert dat je de andere niet meer op de hoogte moet houden. Alle software die internetverbindingen gebruikt ondersteunt DNS, maar ook nog altijd het hosts-bestand. Dit lokale bestand kan nog altijd gebruikt worden om lokale pc een makkelijke naam te geven. NICK VERSTRAETE 36

38 Hoe werkt DNS? DNS bestaat eigenlijk in praktische implementaties uit drie onderdelen: - De stub resolver - De caching/recursing resolver (ook wel recursor genoemd) - De authoritative nameserver Het opzoeken van data met DNS word een lookup genoemd. Software zoals bv een webbrowsers die zo een lookup wil doen vraagt dit eerst aan de stub resolver. dit is software die redelijk eenvoudig is afhankelijk van hoe je het configureert kan je de vraag stellen aan een recursor of kijk je eerst in het etc/hosts bestand (bij bv Linux). De stub resolver stelt een DNS-pakket samen en stuurt dir door naar de recursor. Meestal word de cursor gebruikt die de internet provider voorstelt. De recursor is geavanceerder dan de stub resolver en zal om te beginnen eerst de vraag doorsturen naar een DNS-root server. Deze zal dan op zijn beurt mits er geen antwoord wordt gevonden de vraag doorspelen naar andere DNS servers dit gebeurt tot er een antwoord wordt gevonden of tot men ziet dat er geen antwoord bestaat. Dit laatste kan zijn dat de naam niet bestaat of de servers niet reageren. Het proces van eerst naar de root dns gaan en dan vervolgens server tot server aflopen tot men een antwoord vind word recursie genoemd. Bij het opzoeken van een domein word altijd begonnen op het hoogste niveau ook wel de root genoemd. Daarna wordt steeds specifieker gezocht. Bij het opzoeken naar een domain word meteen aan de DNS-root server gevraagd voor bv google.be Het is mogelijk dat de root server al het antwoord weet voor google.be. zo weten root servers bijvoorbeeld wel het NICK VERSTRAETE 37

39 antwoord voor google.com. in de regel zal door de DNS-root servers echter wel verwezen worden naar de nameservers voor.be. deze zou in het geval van google.be dan door verwijzen naar de nameservers voor google.com die vervolgens het antwoord weet. Deze servers waar de recursor vragen kan stellen zijn authoritative nameservers. Deze zijn ook relatief dom en geven simpele antwoorden. De antwoorden worden vaak gewoon in bestanden of in databases opgeslagen. Een authoritative nameserver zal een antwoord geven zijne een direct antwoord of een verwijzing naar een andere server. Zowel de recursor als de authoritative name server worden vaan DNS-servers genoemd. Het is mogelijk om beide functies te combineren in één programma. Dit word bv gedaan in een Bind server. Er zijn ook servers die enkele één van de 2 functies invullen NSD is bv een voorbeeld van een puur authoritative nameserver. Bij servers die beide functies combineren is het meestal mogelijk om 1 van beide uitschakelen. NICK VERSTRAETE 38

40 Verschillende DNS records Bij DNS word de data opgeslagen in resource records. Zo een resource record bevat een type bv een TTL, naam of data. Deze data kan bv een IP-adres zijn of een andere naam. De meest voorkomende records zijn de volgende. - SOA of Start-Of-Authority, met instellingen voor het (sub)domain, zoals TTL, serienummer, primaire server, etc. - A record voor het bepalen van een IPv4 adres bij een naam. - AAAA record voor het bepalen van een IPv6 adres bij een naam. - CNAME voor het configureren van een alias van een A of AAAA record. - PTR voor het bepalen van een naam bij een IPv4- of IPv6-adres (reverse lookup) - MX voor het bepalen van mailserver voor en domain hier bepaal je ook de prioriteit van de mail servers. - NS hier geef je aan wat de authoritative name server zijn. - TXT eerst gebruikt voor commentaar te geven nu meer om anti spam (SPF). - SRV een nieuwer record dat wordt gebruikt om een service aan te duiden - DKIM een nieuwer record dat wordt gebruikt om de echtheid van een mail te kunnen Valideren. NICK VERSTRAETE 39

41 Reverse Lookup Omgekeerde of reverse lookups kan je gebruiken om te weten te komen welke naam bij een IP-adres hoort. Voor het bepalen van de naam die bij een IPv4- of IPv6-adres hoort ziet er niet gemakkelijk uit maar is eigenlijk redelijk simpel. Voor het bepalen van bv een naam bij een IPv4-adres moet men de juiste naam opvragen die zich onder in-addr.arpa bevindt. Bv wordt vertaalt naar in-addr.arpa en wordt vertaald naar in-addr.arpa voor deze naam wordt het PTR-record. Hieruit komt dan de naam die bij het IP-adres hoort Voor IPv6 is dit bijna het zelfde alleen met veel langere records die zich in ip6.arpa bevinden. De reverse van bijvoorbeeld 2001:200:0:8000:42 kan worden verkregen door het opvragen van het PTR-record ip6.arpa. NICK VERSTRAETE 40

42 DNS met IPv6 Zoals bij IPv4 al het geval was zijn IP-adressen moeilijk te onthouden. IPv6 is daar geen verbetering op tot 4 keer zoveel getallen te onthouden. Dus bij IPv6 zal DNS dan wederom een grote rol spelen, maar hoe gaat het juist in zijn werk? Zoals u al weet bij IPv4 word er gebruik gemaakt van een A record. Bij IPv6 is dit een AAAA record geworden, omdat een IPv6-adres dan ook 4 maal groter is dan een IPv4 adres. Als je bv van facebook eens het IPv6 opzoekt met een dig kun je de DNS record opvragen. Hoe maak je nu dat jouw record ook online komt te staan? Eerst moet je maken dat je extern IPv6 adres bereikbaar is op het internet zodat daarop volgend je DNS ook beschikbaar word op internet daarnaast moet je maken dat je bij jouw provider zoals bv hostbasket daar vult je de details in een AAAA record en link je een naam aan je IPv6-adres. En met de magie van hoe DNS mits je top level domain IPv6 ondersteunt ben je nu bereikbaar vanaf het internet op naam met IPv6. NICK VERSTRAETE 41

43 DNS64 & NAT/64 We weten al dat DNS ook werkt bij IPv6 maar wat als we ook IPv4-adressen willen en wat met DNSSEC? Ik zal dit proberen te verduidelijken aan de hand van een voorbeeld. Als client1 een DNS request verstuurt naar de DNS64 server vragend naar een AAAA record voor Dan zal de DNS64 server de standard procedure opstarten voor het verkrijgen van een AAAA DNS Resource Record (RR) van het authoritatieve NS. Als een IPv4-only site is heeft het alleen een A RR, dan zal de DNS64 server een response aanmaken voor een AAAA query gebruik makend van een speciale NAT64/96 prefix (beter bekend als prefix 64:ff9b::/96) en combineert deze dan met IPv4-adres verkregen van het A RR. Dus als bv is en de gekende prefix 64:ff9b::/96 word gebruikt voor NAT64, dan zal de DNS64 het volgende aangemaakt AAAA record generen 64:ff9b:: wanneer dan client1 een pakket verstuurd van zijn IPv6- adres (bv 2001:db8::2) naar het IPv6 adres van (64:ff9b:: ). Het moeilijke hierachter is dat NAT64/69 prefix (64:ff9b::/96 in ons voorbeeld) word gerouteerd naar een netwerk adres dat network address and protocol translation doet tussen IPv6 en IPv4 (op de zelfde manier op hoe gewone NATing werkt). Het NAT64 toestel vertaald dan het IPv6 pakket naar een IPv4 pakket door het vertalen van het source IPv6- adres 2001:db8::2 met de bijhorende poort naar een publiek IPv4-adres van de NAT64 pool en poort. Dan word het IPv4-adres uit het IPv6-adres gehaald door de prefix /96 weg te halen. Het antwoord van komende van IPv4 naar het NAT64 toestel. Zal volgens de zelfde logica worden vertaald en naar client1 worden gestuurd over IPv6. Hieronder een afbeelding die de situatie visueel beschrijft. NICK VERSTRAETE 42

44 Het ziet er allemaal goed uit en het werkt ook maar er is 1 belangrijk ding met NAT64/DNS64 en dat is dat eigenlijk de DNS64 server aan het liegen is tegen ons, want het geeft een AAAA RR terug terwijl deze niet eens bestaat. I dit een probleem? Wel het kan een probleem vormen wanneer je DNSSEC gaat implementeren want die zal zien dat de response gewijzigd is geweest. NICK VERSTRAETE 43

45 DNSSEC Als we verder inpikken waar het vorige thema is gestopt zagen we dat bij NAT64 en DNS64 er zich problemen konden vormen met DNSSEC. Maar wat is DNSSEC precies wat doet en waarom zou dat een probleem vormen met DNS64 / NAT64. DNSSEC is een redelijk gecompliceerde set van DNS existenties dat maakt dat de herkomst van de data en de integriteit bewaard worden bij een DNS response in andere woorden. - Verifieer dat de DNS response niet gewijzigd is - de authenticiteit van de bron van het bericht juist is - Bewijs de denial of existence In de context van DNSSEC een resolver kan security bewust zijn, ik bedoel daarmee dat het de mogelijkheid heeft om DNSSEC RR s te accepteren in het geval dat de server het terug stuurt. Security bewuste resolvers kunnen niet validerend zijn (het niet gebruik maken van DNSSEC RR s om de informatie te valideren) of juist wel validerend zijn zijn (het gebruik maken van DNSSEC RR s om de informatie te valideren). De resolver indiceert zijn mogelijkheid om DNSSEC informatie en zijn intentie om data te valideren door middel van specifieke bits in de DNS requests te zetten (DO, DNSSEC OK voor security bewuste resolvers en CD, Checking Disabled bit voor validatie van resolvers). Momenteel lijkt het erop dat de meeste DNSSEC validatie gebeuren op de recursive DNS servers, maar het valideren van de stub resolvers (zoals resolvers op de eind hosts) is niet zo gebruikelijk. Alhoewel, DNSSEC geeft het meeste voordeel wanneer de validatie gebeurt bij de eind host, daarmee word verzekert dat de DNS informatie die doorgegeven word aan de applicaties is geverifieerd. NICK VERSTRAETE 44

46 IPSec Wat is IPSec? IPSec is een framework van open standaarden (IETF). Deze definiëren de policy voor een beveiligde communicatie binnen een netwerk. Deze standaarden beschrijven ook hoe je deze policy moet toebrengen. Bij gebruik van IPSec kunnen alle meewerkende peers (machines of computers) er vertrouwen in hebben dat de data, integriteit en data authenticatie op netwerk laag ( laag 3 op het OSI model 11 ) niet word aangetast. RFC 2401 specifieer de basis architectuur van IPSec voor meewerkende systemen. Deze RFC zegt dat het doel van de architectuur is om verschillende services voor transport op de IP laag, voor IPv4 en 6 omgevingen te voorzien. Je kan RFC 2404, 2406 en 2407 bekijken voor meer details. NICK VERSTRAETE 45

47 Het basis doel van IPSec is om interoperabele, hoge kwaliteit, Cryptologische gebaseerde beveiliging voor IPV4 en IPv6 te voorzien. Het bied verschillende security services op de IP laag en bijgevolg bied het ook beveiliging aan op de hogere lagen. Specifiek bied IPSec ondersteuning aan - Data Encryption Standard (DES) 56-bit en 3dubbele DES (3DES) 168-bit symmetrische sleutel encryptie algoritmes binnen de IPSec client software. - Certificate authorrities en Internet Key Exchange (IKE) onderhandelingen. IKE word gedefineerd in RFC Encryptie dat kan worden uitgerold in standalone omgevingen tussen client, firewalls en routers - Omgevingen waar het gebruikt word in samenhang met L2TP 12 tunneling Hieruit afleidend bied IPSec in een operationele omgeving eigenlijk 3 grote punten aan. - Support tussen vele OS platforms - Echte VPN oplossingen - Open standaard, dus een samenwerking tussen de vele platformen is gemakkelijk op te zetten 12 Bij computernetwerken is Layer 2 Tunneling Protocol (L2TP) een tunnelprotocol dat gebruikt wordt voor Virtual Private Networks (VPN s). L2TP kan simpel beschreven worden als PPP over IP, ook al heeft het veel meer mogelijkheden. NICK VERSTRAETE 46

48 IPSec technische details Hier word dieper ingegaan hoe IPSec juist werkt welke standaarden het gebruikt en hoe de pakketten worden getransporteerd. IPSec heeft 2 verschillende modes: de transport mode (host-to-host) en tunnel mode (gateway-to-gateway of gateway-to-host). In transport mode word de payload ingekapseld (de header word wel intact gelaten) en de te ontvangen host ontrafeld het pakket terug. In tunnel modus word het volledige IP pakket ingekapseld (met een nieuwe header). De te ontvangen host of gateway gespecifieerd in de nieuwe IP header ontrafeld dan het pakket. Wel moet nog toegevoegd worden dat in tunnel modus er geen nood is aan client software dat moet worden gedraaid op de gateway en de communicatie tussen de client systemen en de gateway niet beschermd zijn. NICK VERSTRAETE 47

49 IPSec heeft standaard de volgende features: - AH (Authentication Header) dit zorgt voor de authenciteit van de verzonden pakketten. Dit word gerealiseerd door middel een ckeck-summing op de pakketten gebruik makende van een crypto grafisch algoritme. - ESP (Encapsulating Security Payload) dat de encryptie voorziet van de pakketten. - IPcomp (IP payload compression) dit zorgt voor de compressie voor dat een gëincrypteerd word - IKE (Internet Key Exchange) zorgt voor de (optionele) methoden om de onderhandeling van de sleutels geheim te houden. Het zorgt ook voor de volgende componenten: - Security Policy Database (SPD) dit overziet de security policy (SP) en die selecteert ook of de SP verband houd met de actuele data. - Security Association Database (SAD) hier zitten de Security Association (SA) parameters in die nodig zijn om de IPSec verbindingen aan te duiden en toepassen van IPSec. NICK VERSTRAETE 48

50 IPSec traditioneel implementeert beveiligde remote access verbindingen gebruik makend van VPNtunneling protocolen zoals Layer 2 Tunneling Protocol (L2TP). Wel moet worden vermeld dat IPSec geen echt VPN mechanisme is. Eerst werd het gebruikt in Wan omgeving, maar nu word het meer en meer verlegd in LAN omgevingen om interne communicatie veilig te houden zodat niemand het verkeer kan onderscheppen of veranderen. Wanneer 2 computers (peers) willen communiceren met IPSec gaan ze eerst een verbindingen leggen om elkaar de authentiseren waarna er dan een onderhandeling plaats vind over welke encryptie er gebruikt word en ook word de digitale handtekening gezet op de trafiek die onderling word verzonden. Deze IPSec sessies worden ook wel Security Associations genoemd of (Sas). NICK VERSTRAETE 49