Ipv6 wifi
This presentation is the property of its rightful owner.
Sponsored Links
1 / 20

IPv6 WiFi : опыт внедрения PowerPoint PPT Presentation


  • 124 Views
  • Uploaded on
  • Presentation posted in: General

IPv6 WiFi : опыт внедрения. Andrew Yourtchenko - Cisco. C егодня 60-70 % WiFi устройств поддерживают IPv6. Источник : NOC stats MPLS & IPv6 World Congress Conference, Paris, 2013. Сеть конференции CiscoLive Europe. 250-300 точек доступа ( Access Points) большая площадь покрытия

Download Presentation

IPv6 WiFi : опыт внедрения

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Ipv6 wifi

IPv6 WiFi: опыт внедрения

Andrew Yourtchenko - Cisco


C 60 70 wifi ipv6

Cегодня60-70% WiFiустройств поддерживают IPv6

Источник: NOC stats MPLS & IPv6 World Congress Conference, Paris, 2013


Ciscolive europe

Сеть конференции CiscoLive Europe

  • 250-300 точек доступа (Access Points)

    • большая площадьпокрытия

    • несколько тысяч одновременных подключений

  • Динамичный жизненный цикл

    • Подготовка на месте – 4-5 дней

    • Срок эксплуатации – 5 дней

  • WiFi- критичный и заметный компонент

    • «прозрачный» роуминг в движении

    • Простота в эксплуатации и настройке


Ipv6 wifi

Общиe принципы дизайна

  • Один сегмент:IPv4- /16, IPv6- /64

    • Простота управления адресным пространством

    • Отсутствие L3-роуминга (только L2)

  • Ограничение multicast-трафика

  • Безопасность IPv6 Neighbor Discovery


Ipv6 wifi

Обзор – новое подключение IPv6

Can I use this LL addr ?

IPv6 LL DAD NS

1

RS

2

RA

3

Prfx

O

M

Can I use this addr ?

IPv6 g.a. DAD NS

4

DHCPv6 infreq

5

DHCPv6 Reply

DNS

DHCPv6 req

6

DHCPv6 Reply

addr

Can I use this addr ?

IPv6 g.a. DAD NS


Multicast router advertisement wifi

Multicast Router Advertisementв WiFiсети конференции


Multicast router advertisements ra throttling

Multicast Router Advertisements: RA throttling


Neighbor discovery

Безопасность Neighbor Discovery


Windows 7 rogue ra

Демо: Windows 7 & “Rogue” RA


Wlc ra guard ra

WLC RA guard: запрет несанкционированных RA


Ipv6 wifi

Duplicate Address Detection:  проверка уникальности

  • Проверка уникальности адреса перед его активизацией

  • Требуема (MUST) при SLACC, рекомендована (SHOULD) by DHCP

  • Запрос ND на случай если кто-то уже использует этот адрес

A

C

B

ICMP type = 135 (Neighbor Solicitation)

Src = UNSPEC = 0::0

Dst = Solicited-node multicast address of A

target= A

Query = Does anybody use A already?

NS

Node A can start using address A


Ipv6 wifi

Уязвимость в протоколе – блокировка работы

  • Атакующий отвечает на все NS запросы DAD

  • Ошибка DAD, невозможность использования адреса

A

C

Src = UNSPEC

Dst = Solicited-node multicast address of A

target= A

Query = Does anybody use A already?

NS

  • From RFC 4862 5.4:

  • «  If a duplicate @ is discovered… the address cannot be assigned to the interface»

  • What If: Use MAC@ of the Node You Want to DoS and Claim Its IPv6 @

    Attack Tool:

    Dos-new-IPv6

  • Mitigation in IOS:

  • Configuring the IPv6 address as anycast disables DAD on the interface

Src = any C’s I/F address Dst = A

target= A Option = link-layer address of C

NA

“it’s mine !”


Ipv6 wifi

IPv6 Neighbor Discovery: поиск Ethernet-адреса

  • Позволяет узнать Ethernet адрес узла сети по его IPv6 адресу

  • Создает запись в таблице neighbor cache

  • Поддерживает актуальность записи (NUD / обновления)

  • Обновления обслуживаются по принципу “Last Come, First Serve (LCFS)”

A

C

B

ICMP type = 135 (Neighbor Solicitation)

Dst = Solicited-node multicast address of B

target = B

Query = what is B’s Link-Layer Address?

NS

NA

ICMP type = 136 (Neighbor Advertisement) Src = one B’s I/F address , Dst=A target = B

Option = Target link-layer address (MACB)

B MAC B

Neighbor cache


Ipv6 wifi

Уязвимость в протоколе– кража адреса

B

A

C

Address resolution flow

B MAC B

Src = B

Target = B

Dst= all-nodes Option = MACC

B MAC C

MAC C

(unsolicited) NA

Attack Tool:

Parasite6

Answer to all NS, Claiming to Be All Systems in the LAN...


Ipv6 wifi

Защита: отслеживание адресов на уровне L2

Binding table

DHCP-server

H1

H2

H3

DAD NS [IP source=UNSPEC, target=A1, SMAC=MACH1]

REQUEST [XID, SMAC = MACH2]

REPLY[XID, IPA21, IPA22]

data [IP source=A3, SMAC=MACH3]

DAD NS [IP source=UNSPEC, target = A3]

NA [IP source=A3, LLA=MACH3]


Wlc 7 2 fhs source guard

WLC 7.2 - FHS source-guard


Neighbor binding table in 7 3

Neighbor Binding table in 7.3: установки по умолчанию


Iphone source guard

Демо: iPhone & Source Guard


Ipv6 wifi

В заключение

  • IPv6 на WiFiтребует внимания к Multicast трафику

  • RA Guard + Source Guard необходимы в любой IPv6 сети


  • Login