1 / 20

IPv6 WiFi : опыт внедрения

IPv6 WiFi : опыт внедрения. Andrew Yourtchenko - Cisco. C егодня 60-70 % WiFi устройств поддерживают IPv6. Источник : NOC stats MPLS & IPv6 World Congress Conference, Paris, 2013. Сеть конференции CiscoLive Europe. 250-300 точек доступа ( Access Points) большая площадь покрытия

oliana
Télécharger la présentation

IPv6 WiFi : опыт внедрения

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IPv6 WiFi: опыт внедрения Andrew Yourtchenko - Cisco

  2. Cегодня60-70% WiFiустройств поддерживают IPv6 Источник: NOC stats MPLS & IPv6 World Congress Conference, Paris, 2013

  3. Сеть конференции CiscoLive Europe • 250-300 точек доступа (Access Points) • большая площадьпокрытия • несколько тысяч одновременных подключений • Динамичный жизненный цикл • Подготовка на месте – 4-5 дней • Срок эксплуатации – 5 дней • WiFi- критичный и заметный компонент • «прозрачный» роуминг в движении • Простота в эксплуатации и настройке

  4. Общиe принципы дизайна • Один сегмент:IPv4- /16, IPv6- /64 • Простота управления адресным пространством • Отсутствие L3-роуминга (только L2) • Ограничение multicast-трафика • Безопасность IPv6 Neighbor Discovery

  5. Обзор – новое подключение IPv6 Can I use this LL addr ? IPv6 LL DAD NS 1 RS 2 RA 3 Prfx O M Can I use this addr ? IPv6 g.a. DAD NS 4 DHCPv6 infreq 5 DHCPv6 Reply DNS DHCPv6 req 6 DHCPv6 Reply addr Can I use this addr ? IPv6 g.a. DAD NS

  6. Multicast Router Advertisementв WiFiсети конференции

  7. Multicast Router Advertisements: RA throttling

  8. Безопасность Neighbor Discovery

  9. Демо: Windows 7 & “Rogue” RA

  10. WLC RA guard: запрет несанкционированных RA

  11. Duplicate Address Detection:  проверка уникальности • Проверка уникальности адреса перед его активизацией • Требуема (MUST) при SLACC, рекомендована (SHOULD) by DHCP • Запрос ND на случай если кто-то уже использует этот адрес A C B ICMP type = 135 (Neighbor Solicitation) Src = UNSPEC = 0::0 Dst = Solicited-node multicast address of A target= A Query = Does anybody use A already? NS Node A can start using address A

  12. Уязвимость в протоколе – блокировка работы • Атакующий отвечает на все NS запросы DAD • Ошибка DAD, невозможность использования адреса A C Src = UNSPEC Dst = Solicited-node multicast address of A target= A Query = Does anybody use A already? NS • From RFC 4862 5.4: • «  If a duplicate @ is discovered… the address cannot be assigned to the interface» • What If: Use MAC@ of the Node You Want to DoS and Claim Its IPv6 @ Attack Tool: Dos-new-IPv6 • Mitigation in IOS: • Configuring the IPv6 address as anycast disables DAD on the interface Src = any C’s I/F address Dst = A target= A Option = link-layer address of C NA “it’s mine !”

  13. IPv6 Neighbor Discovery: поиск Ethernet-адреса • Позволяет узнать Ethernet адрес узла сети по его IPv6 адресу • Создает запись в таблице neighbor cache • Поддерживает актуальность записи (NUD / обновления) • Обновления обслуживаются по принципу “Last Come, First Serve (LCFS)” A C B ICMP type = 135 (Neighbor Solicitation) Dst = Solicited-node multicast address of B target = B Query = what is B’s Link-Layer Address? NS NA ICMP type = 136 (Neighbor Advertisement) Src = one B’s I/F address , Dst=A target = B Option = Target link-layer address (MACB) B MAC B Neighbor cache

  14. Уязвимость в протоколе– кража адреса B A C Address resolution flow B MAC B Src = B Target = B Dst= all-nodes Option = MACC B MAC C MAC C (unsolicited) NA Attack Tool: Parasite6 Answer to all NS, Claiming to Be All Systems in the LAN...

  15. Защита: отслеживание адресов на уровне L2 Binding table DHCP-server H1 H2 H3 DAD NS [IP source=UNSPEC, target=A1, SMAC=MACH1] REQUEST [XID, SMAC = MACH2] REPLY[XID, IPA21, IPA22] data [IP source=A3, SMAC=MACH3] DAD NS [IP source=UNSPEC, target = A3] NA [IP source=A3, LLA=MACH3]

  16. WLC 7.2 - FHS source-guard

  17. Neighbor Binding table in 7.3: установки по умолчанию

  18. Демо: iPhone & Source Guard

  19. В заключение • IPv6 на WiFiтребует внимания к Multicast трафику • RA Guard + Source Guard необходимы в любой IPv6 сети

More Related