IPv6 in Jülich · Historie - IPv6 im JSC bis März 2011 • 2002 • das JSC beantragt einen IPv6...
Transcript of IPv6 in Jülich · Historie - IPv6 im JSC bis März 2011 • 2002 • das JSC beantragt einen IPv6...
IPv6 in JülichSchritt für Schritt (Rückblick auf 2011)
scha
ft März 2013 Abteilung Kommunikationssysteme (JSC‐KS)
er H
elm
holtz
-Gem
eins
g y ( )Referent: Werner Anrath
Mitg
lied
in d
e
I h l üb i h
Historie
Inhaltsübersicht
HistorieIPv6 im JSC bis März 2011
IPv6 MotivationErfahrungen
IPv6 Testbed im JSCPhase 0 - Schulungen Adressplanung LeitungsebenePhase 0 Schulungen, Adressplanung, LeitungsebenePhase 1 - X-WiN-Anbindung, Firewall, LAN-RoutingPhase 2 - Client-Netz Abteilung KommunikationssystemePhase 3 - Client-Netz JSC weit
scha
ft
Phase 3 - Client-Netz JSC weit Phase 4 - Server-NetzPhase 5 - Dokumentation
er H
elm
holtz
-Gem
eins
und weitere Arbeiten/Aktivitäten 2012 / 2013
F it
Mitg
lied
in d
e Fazit2Werner Anrath
Historie - IPv6 im JSC bis März 2011
• 2002 das JSC beantragt einen IPv6 Prefix für das Forschungszentrum• das JSC beantragt einen IPv6 Prefix für das Forschungszentrum
• 2006 • beginnt der IPv6 Regelbetrieb im X-WiN
2007• 2007 • IPv6 Schulung und Labor im JSC, Besuch Fachvorträge• Test der IPv6 Funktionen in Betriebssystemen und Routern
2010• 2010 • Test der IPv6 Funktionen in Betriebssystemen und Routern• Vorplanung: Adressierungskonzept und Konfiguration (Grobkonzept)
i t S h l JSC KS (Mit b it Abt il K ik ti t )
scha
ft
• interne Schulung JSC-KS (Mitarbeiter Abteilung Kommunikatinssysteme)• 2011
• ab März: IPv6 Testbed im JSCab Dezember: Regelbetrieb mehr als 400 Systeme
er H
elm
holtz
-Gem
eins • ab Dezember: Regelbetrieb – mehr als 400 Systeme
Mitg
lied
in d
e
3Werner Anrath
IP 6 E f h V b i D l S k OSIPv6 Erfahrungen – Verbreitung Dual Stack OS
IPv6 FeaturesWindows 7
Vista /20082008 R2
Wi d 8 / 2012
Linux Mac OS XWindows 8 / 2012
Installiert / Aktiv ja / ja ja / ja ja / jaGUI / CLI ja / ja ja / ja ja / ja
Stateless Address ja ja jaAutoconfiguration ja ja ja
Privacy Extensions aktiv optional ab 10.7 aktivDNS ja ja ja
RFC 3484 ja ja nein
scha
ft
j jDHCPv6 Client ja optional ab 10.7
Link Local Multicast Name Resolution ja nein nein
Transition aktiv optional optional
er H
elm
holtz
-Gem
eins Technologies aktiv optional optional
Stateful Inspection Firewall aktiv optional optional
mehr als 8000 Systeme
Mitg
lied
in d
e
4Werner Anrath
… mehr als 8000 Systeme
IP 6 E f h A i k f IP 4 B i b
Auswirkungen auf IPv4 Betrieb nehmen zu
IPv6 Erfahrungen – Auswirkung auf IPv4 Betrieb
• Auswirkungen auf IPv4 Betrieb nehmen zu• Rogue Router
Internet Connection Sharing (fehlkonfigurierte Windows PCs) IPv6 Routing Advertisement Daemon aktiv (LINUX) Tunnel Broker
• Name Resolution Dynamic DNS und IPv6 in Windows Domänen (irrtümlich aktiv) Link Local Multicast Name Resolution und Multicast DNS
• Forensik
scha
ft
• Privacy Extensions
• IPv4 Address Pool Depletion – zukünftige Konnektivität IANA 2011
er H
elm
holtz
-Gem
eins • IANA 2011• RIPE Sommer 2012• APNIC 2009
Mitg
lied
in d
e
• aber letztlich bei uns noch kein belastbares Argument (2010/2011)
5Werner Anrath
IP 6 T b d i JSC
Ansatz: Core to Edge
IPv6 Testbed im JSC
• Ansatz: Core-to-Edge• Erprobung Adressierungskonzept im Produktionsumfeld• Skalierung im Bereich Konfiguration und Sicherheit• Skalierung im Bereich Konfiguration und Sicherheit• Wechselwirkung mit IPv4 Produktionsbetrieb erfassen• Netzwerkspezialisten trainierenNetzwerkspezialisten trainieren• Grundlage für weiteres Vorgehen schaffen• technische Dokumentation
scha
fter
Hel
mho
ltz-G
emei
nsM
itglie
d in
de
6Werner Anrath
IP 6 T b d Ph 0 Ad l• IPv6-Adressen - Randbedingungen
L 2 St kt i t b k i (St t i ) Ä d f l Si ht
IPv6 Testbed Phase 0 - Adressplanung
• Layer 2 Struktur ist vorgegeben – keine (Strategie)-Änderung auf lange Sicht• Dual Stack Betrieb auf lange Sicht (weiterhin stat. IPv4 Adressen)• einfach und intuitiv für Netzwerk- und System-Administratoren• überschaubarer Mehraufwand, reinrassige IPv6-Netze (Zukunft) ermöglichen
• Beispiel – Institutsnetze• Peter Grünberg Institutg
• IPv4> 134.94.160.0/21 IPv6> 2001:638:404:a000::/64• Jülich Supercomputing Centre
• IPv4> 134.94.168.0/21 IPv6> 2001:638:404:a800::/64
scha
ft
• IPv4> 134.94.105.0/24 IPv6> 2001:638:404:6900::/64
• Interface Identifier • Stateless Address Autoconfiguration (SLAAC)
er H
elm
holtz
-Gem
eins Stateless Address Autoconfiguration (SLAAC)
• Modified EUI-64 Format• Pseudozufallszahlen (Privacy Extensions)
• manuelle Konfiguration (Server DMZs FZJ-weite Server-Netze)
Mitg
lied
in d
e • manuelle Konfiguration (Server DMZs, FZJ-weite Server-Netze)• sonst als Option zu SLAAC
7Werner Anrath
IPv6 Testbed im JSCIPv6‐Sites:
www.dfn.de www.heise.dewww.ripe.net www.lrz.de DFN‐Verein
XWiN Anschluss
Firewall
DMZs
LAN Routingund weitereInstitute
Forschungszentrum
DMZs
scha
ft
Dual Stack
Forschungszentrum
Precedence Label Prefix
er H
elm
holtz
-Gem
eins
Dual Stack Clients
Dual StackServer
Precedence Label Prefix‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐50 0 ::1/128 Loopback Address40 1 ::/0 All IPv6 Traffic30 2 2002::/16 6to4 Traffic20 3 ::/96 IPv4 compatible Traffic10 4 ffff 0 0/96 IP 4 d T ffi
Mitg
lied
in d
e
8Werner Anrath
10 4 ::ffff:0:0/96 IPv4 mapped Traffic5 5 2001::/32 Teredo
IP 6 T b d Ph 1 X WiN Fi ll ANIPv6 Testbed Phase 1 - X-WiN, Firewall, LAN
• X-WiN Anbindung: Cat6500 SUP 720X WiN Anbindung: Cat6500 SUP 720• X-WiN Router – redundante SUPs• Software Stand 2011: 12.2(33)SXI5 -> IPv6 Support
Multiprotocol BGP 4 Konfiguration (IPv4 und IPv6)• Multiprotocol BGP-4 Konfiguration (IPv4 und IPv6)• Infrastructure ACLs
• ASA 5580 Firewall – redundant• Software 8.2(4) erfüllt Anforderung -> IPv6 Support• vorab Tests mit ASA 5510 • Access Groups für IPv6 Traffic
scha
ft
• LAN-Routing: Cat6500 SUP 720• LAN Routing intern – redundante SUPs• Software Stand 2011: 12 2(33)SXI5 > IPv6 Support
er H
elm
holtz
-Gem
eins • Software Stand 2011: 12.2(33)SXI5 -> IPv6 Support• IPv6 LAN Konfiguration: JSC-KS LAN, JSC LAN, Server LAN
Mitg
lied
in d
e
9Werner Anrath
IP 6 T b d Ph 1 XWiN Fi ll ANIPv6 Testbed Phase 1 - XWiN, Firewall, LAN
• DFNDFN• DFN NOC
• Adressierung und InbetriebnahmeMultiprotocol BGP nach bewährter Anleitung• Multiprotocol BGP nach bewährter Anleitung
• FZJ• Router- und Firewall-Admins• Netzwerkteam• Leitungsebene
• wichtige Technik-Details
scha
ft
wichtige Technik Details• ACLs
• Selbstschutz Router• Absicherung Transportnetze
er H
elm
holtz
-Gem
eins • Absicherung Transportnetze• Link-Adressierung
• eine Global Unicast AddressLink Local Address configured (non EUI 64)
Mitg
lied
in d
e
10Werner Anrath
• Link Local Address configured (non-EUI-64)
IP 6 T b d Ph 2 Cli N Ab KSIPv6 Testbed Phase 2 - Client Netz Abt. KS
• einheitliche Konfiguration durch Router Advertisementeinheitliche Konfiguration durch Router Advertisement• Stateless Address Autoconfiguration (SLAAC) für Hosts (ca. 20 Systeme)• erfolgreich im Testnetz eingesetzt
Hosts: Windows OpenSuse Debian Ubuntu MacOS• Hosts: Windows, OpenSuse, Debian, Ubuntu, MacOS• Verzicht auf DHCPv6 derzeit ohne Nachteile• Betriebssicherheit: Layer 2 IPv6 Port ACL auf Cat4500 Sup 7e + NDPMON
• weitere Details zu den Hosts• DUAL Stack Umgebung
scha
ft
• keine Forward DNS Einträge und kein Reverse DNS IPv6 Eintrag• Zugriff auf externe IPv6-Inhalte problemlos• Linux: ip6tables Regelwerk dokumentiert
er H
elm
holtz
-Gem
eins
g• Windows: künftige Konfigurationsempfehlungen getestet
(Privacy Extensions und Tunnel deaktivieren)
Mitg
lied
in d
e
11Werner Anrath
IP 6 T b d Ph 2 Cli N Ab KSIPv6 Testbed Phase 2 - Client Netz Abt. KSLayer 2
RA –GuarddDHCPv6‐Guard
C2948 / C2948G (abgelöst)
C4948
C4948E
C4003 / C4006 (abgelöst)
Switch‐Hardware in Jülich – First Hop Security
scha
ft
C4003 / C4006 (abgelöst)
C4506 / 4506-E SUP VC4507R / C4507R-E / C4510R SUP V
er H
elm
holtz
-Gem
eins
C4507R+E SUP7-E
Mitg
lied
in d
e
12Werner Anrath
Quelle: Cisco
IP 6 T b d Ph 2 Cli N Ab KSIPv6 Testbed Phase 2 - Client Netz Abt. KS
April 2011April 2011
scha
fter
Hel
mho
ltz-G
emei
nsM
itglie
d in
de
13Werner Anrath
IP 6 T b d Ph 3 Cli N JSC
IPv6 Anleitung für Administratoren und User Managed PCs
IPv6 Testbed Phase 3 – Client Netz JSC
• IPv6 Anleitung für Administratoren und User Managed PCs erstellt
• Verteilung per EMAIL im JSC• verwendbar als Textbaustein für TKI (=Technische Kurzinformation)
• Personal Firewalls• Linux ip6tables getestet – Profile bereitgestelltLinux ip6tables getestet Profile bereitgestellt
• Info über weitere IPv6 Aktivitäten• RZ Betriebsbesprechungen und
scha
ft
• Abteilungsleitersitzung
• Info-Einträge im Ticket System über Konfigurationsarbeiten• Stateless Address Autoconfiguration
er H
elm
holtz
-Gem
eins • Stateless Address Autoconfiguration• mehr als 400 Systeme konfiguriert• keine Fehler / Nebeneffekte
EUI 64 IID d ACL i Ei t
Mitg
lied
in d
e • EUI-64 IIDs und ACLs im Einsatz
14Werner Anrath
IP 6 T b d Ph 3 Cli N JSCIPv6 Testbed Phase 3 – Client Netz JSC
Um diese globale Identifizierbarkeit zu vermeiden unterstützen die meisten IPv6Um diese globale Identifizierbarkeit zu vermeiden, unterstützen die meisten IPv6‐Implementierun‐gen sogenannte Privacy Extensions für die Adresskonfiguration. Dabeiwird für das Interface in regelmäßigen Abständen eine neue Adresse aus dem jeweiligenSubnetz generiert und für neue Verbindungen verwendet. Auf diese Weise wird es einemBeobachter erschwert, ein Gerät weltweit allein anhand seiner IPv6‐Adressen zuverfolgen. Der Nutzen der Privacy Extensions ist jedoch beschränkt, weil die Erstellungvon Profilen anhand von Identifizierungsmerkmalen aus höheren Schichten (bspw. HTTP‐Cookies) natürlich weiterhin möglich istCookies) natürlich weiterhin möglich ist.
Im internen Netz erschwert die Nutzung von Privacy Extensions die Segmentierung desNetzes anhand von Paketfilterregeln, denn ein Whitelisting von zugelassenen IP‐Adressen
scha
ft
an Paketfiltern oder in Anwendungen ist auf diese Weise nicht möglich. Soll ein Teilnetzdurch eine IP‐Whitelist an einem Paketfilter geschützt werden, so müssen die PrivacyExtensions deaktiviert werden oder es muss ein anderer Mechanismus für dieAdresskonfiguration gewählt werden
er H
elm
holtz
-Gem
eins Adresskonfiguration gewählt werden.
Quelle:https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit
Mitg
lied
in d
e
15Werner Anrath
p // / / / / //isi_lana_leitfaden_IPv6_pdf
IP 6 T b d Ph 4 S N
DNS und IPv6 Zonen
IPv6 Testbed Phase 4 - Server Netz
• DNS und IPv6 – Zonen • Forward Lookup• Reverse Lookup
• Whatsup-Netzwerküberwachung• IPv6 Monitoring funktioniert und in Betrieb • manuelle IPv6 Adressierung (Server LAN)g ( )
• Terminal Server / File Server• TSW2K8 mit DNS AAAA Eintrag
ll IP 6 Ad i (S LAN)
scha
ft
• manuelle IPv6 Adressierung (Server LAN)
• Systeme (Desktops und Server) im Client-Netz (RDP, SMB, SSH ….)
er H
elm
holtz
-Gem
eins
)• u.a. Secure Shell, Remote Desktop, Dateifreigaben• Stateless Address Autoconfiguration
Mitg
lied
in d
e
16Werner Anrath
IP 6 T b d Ph D k iIPv6 Testbed Phase 5 - Dokumentation• Vorträge in der Abteilung Kommunikationssysteme – Themen:
• Zusammenfassung Projektverlauf• LAN Switching, Wireless LANs• Außenstellen und VPNs• Firewalls und Security• Monitoring und Management
• Vorträge und VeröffentlichungenVorträge und Veröffentlichungen•19. DFN Workshop "Sicherheit in vernetzten Systemen“• DFN Betriebstagung März 2012
Linux Admin Magazin Juli/August 2012
scha
ft
• Linux Admin Magazin Juli/August 2012
• Dokumentation – Technische Berichte:• IB 2011-05 ‚IPv6 Testbed im JSC‘
er H
elm
holtz
-Gem
eins
• IB 2011-07 ‚IPv6 im Lokalen Netz – Gefahren und Lösungen‘ (Download)• IB 2011-08 ‚IPv6 Privacy Extensions – Alptraum im Enterprise LAN‘ (Download)
Mitg
lied
in d
e
17Werner Anrath
IP 6 i JSC /J N b 2012IPv6 im JSC /JuNet - ab 2012• Deployment im JuNet:
• Rollout IPv6 First Hop Security läuft Campus-weit• derzeit noch auf Basis IPv6 Port ACL (stateless)
• unzureichend gegen Attacken• Bedarf an Nachbesserung -> CISCO TAC• CPOC 2013 (NRW Unis) in London: IPv6 First Hop Security
• Tests neuer Funktionalität in den kommenden Wochen• Stichwort ipv6 snooping
• Neighbor Discovery Monitoring erweitert / JuNet Strukturierung• angemessene Konsolidierung der L2-Topologie
scha
ft
g g p g• NDPMON-Server (Rogue Router, DAD DOS …..)
• Domain Name System• bisher kein IPv6 Transport
er H
elm
holtz
-Gem
eins
b s e e 6 a spo• RDNSS Option (RFC5006) / Stateless DHCPv6
• Monitoring und Management erweitert• JuNet Management Datenbank
Mitg
lied
in d
e
18Werner Anrath
JuNet Management Datenbank• Firewall Tools
IP 6 i JSC /J N b 2012 (F )IPv6 im JSC /JuNet - ab 2012 (Forts.)• Dokumentation für Systemadministratoren
• JSC TKI-0412 ‚IPv6 im JuNet‘• Konfigurationsempfehlung für Windows / LINUX / MAC OS X
• Schulungskurs für Systemadministratoren erstellt• FZJ-Fortbildungsprogramm, 2 x jährlich geplant• bereits geschult (Nov. 2012): WEB- und Mail-Admins (TSM/CITRIX …)• hoher Bedarf: 4 Termine (März/Juni) im 1. Halbjahr 2013
• IPv6 ShowRoom für Organisationseinheiten• VLAN für Demo- und Testzwecke
• sonstiges
scha
ft
• sonstiges• Loadbalancer Tests• JSC interne TKI für Netzwerk-Admins
F b 2013 i IPAM L i d f b h IP 6 F k i li
er H
elm
holtz
-Gem
eins • Februar 2013: eigene IPAM-Lösung wird aufgebohrt – IPv6 Funktionalität
Mitg
lied
in d
e
19Werner Anrath
FAZIT
Dual Stack Betrieb ohne Mehraufwand im Tagesgeschäft
FAZIT
• Dual Stack Betrieb ohne Mehraufwand im Tagesgeschäft• Zugriffe auf IPv6 Inhalte und Dienste funktionieren• Subnetze und DMZs im JuNet• Subnetze und DMZs im JuNet
• Vorgehensweise anwendbar
• und weiterhinund weiterhin• stabiler IPv6 Core im Tagesgeschäft: WAN/LAN-Routing und Firewall• solide Ausgangsbasis für weitere Anforderungen wie z.B. Mail und WEB
• Teambildung
scha
ft
• Teambildung
• aber auch:• zeitintensive Einarbeitungsphasen
er H
elm
holtz
-Gem
eins • Know-How erhalten ist ebenfalls eine Herausforderung• Aufwand für Anpassung der Tools (IPAM) hoch
Mitg
lied
in d
e
20Werner Anrath
IP 6 Hi d i
IP 6 f E t i N t k (Ci P )
IPv6 - Hintergrundwissen
• IPv6 for Enterprise Networks (Cisco Press)• IPv6 Security (Cisco Press)• How to Securely Operate an IPv6 Network (BRKSPG 2603 Cisco Live)
Fi ll D i C id ti f IP 6 (NSA)• Firewall Design Considerations for IPv6 (NSA)• Router Security Configuration Guide Supplement – Security for IPv6 Routers (NSA)• Guidelines for the Secure Deloyment of IPv6 (NIST)• Leitfaden für eine sichere IPv6-Netzwerkarchitektur (BSI)• Understanding IPv6 (Microsoft Press)• IETF RFCs – First Hop Security
scha
ft
• http://datatracker.ietf.org/doc/rfc6104• http://datatracker.ietf.org/doc/rfc6105• http://datatracker.ietf.org/doc/draft-ietf-6man-nd-extension-headers/
er H
elm
holtz
-Gem
eins • http://datatracker.ietf.org/doc/draft-ietf-v6ops-ra-guard-implementation/• http://www.ietf.org/rfc/rfc3756.txt
Mitg
lied
in d
e
21Werner Anrath
scha
fter
Hel
mho
ltz-G
emei
nsM
itglie
d in
de
Werner Anrath 22