Ipv6 - Nuevo paradigma de conectividad
•Descargar como PPTX, PDF•
0 recomendaciones•436 vistas
Este documento habla sobre IPv6 y anima a la gente a probar esta nueva tecnología de conectividad. Explica cómo configurar IPv6 de forma local usando túneles y comparte recursos para explorar su implementación en el mundo real. También advierte que aunque es fácil configurar IPv6 a nivel local, todavía quedan muchos desafíos para su adopción generalizada debido a fallos de implementación y la lentitud de los fabricantes y proveedores para adoptarlo.
Más contenido relacionado
Destacado
Similar a Ipv6 - Nuevo paradigma de conectividad
Similar a Ipv6 - Nuevo paradigma de conectividad (20)
Último
Último (20)
Ipv6 - Nuevo paradigma de conectividad
- 1. IPv6 NUEVO PARADIGMA DE CONECTIVIDAD… … (Y SEGURIDAD) Dos cosas quiero conseguir en esta charla • Explicar bien el nuevo esquema de conectividad de IPv6 • Animaros a que trasteéis con IPv6…
- 2. Si empiezo por una introducción a IPv6 os pierdo…
- 5. Entonces qué cojones hacemos aquí….
- 6. Pues como el propio nombre indica, somos hackers….
- 7. Al grano… RED HOST 2001:05c0:1400:000a:0000:0000:0000:0761
- 8. Al grano… 5.100.720.000.000.000.000 cm2 2^64 = 18.446.744.073.709.551.616 510.072.000.000.000.000.000 mm2
- 9. Probar IPv6 es fácil 6in4
- 11. #!/bin/bash modprobe ipv6 ip tunnel add he-ipv6 mode sit remote 216.66.80.26 local 192.168.2.132 ttl 255 ip link set he-ipv6 up ip addr add 2001:470:1f08:1566::2/64 dev he-ipv6 ip route add ::/0 dev he-ipv6 ip -f inet6 addr
- 12. Manos a la obra… 6in4
- 13. Conectividad con IPv4 (con NAT) Port Forwarding
- 14. Consecuencias
- 15. Conectividad con IPv6 (sin NAT)
- 17. Ok, no se puede escanear, pero vamos a trastear…
- 18. ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest ftp://ftp.registro.br/pub/stats/delegated-ipv6-nicbr-latest ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
- 20. Router 172.16.33.1 80.56.4.22 NAT
- 22. ¿Qué pasa en el mundo real?
- 23. ¿Qué pasa en el mundo real?
- 24. Conclusiones • Trastear con IPv6 es fácil • Miles de entornos, equipos, aplicaciones esperando a ser probados… • Muchos fallos de implementación • Los fabricantes van despacio • Si yo soy proveedor no pongo IPv6 por lo que falla • No estamos preparados para recibir IPv6 Como con el ébola!!!!!
Notas del editor
- Cuando Pablo me propuso participar en este evento, me acordé que tenía pendiente contar algo sobre IPv6 que puede resultar interesante.
- Información sobre la cantidad de tráfico que reciben en IPv6 Google parece una fuente fiable si tenemos en cuenta los servicios que ofrece.
- Clasificación por países según su estado en la migración a IPv6 Atención al “impact”
- Por qué hablar de IPv6 cuando todavía no ha llegado Y quién sabe cuándo llegará…
- Hay que ver cómo funcionan las cosas. Además, luego contaré de que realmente IPv6 sí que está aquí entre nosotros
- Algunos datos curiosos Sobre el tamaño de las direcciones IPv6 Nos da para 3 superficies plantearías Una lástima, pera dar IP a cada mm no nos llega Router Advertisement, MITM en capa 2, ataques con DHCP, multicast…
- Esto no es exacto, ya que el tráfico 6in4 se desencapsula en los terminadores de túneles y se manda por redes IPv6 NATIVAS Pero eso no nos importa hoy El tráfico va sobre redes IPv4, utilizando payload UDP Prueba práctica lanzando ping y nmap Comprobar resultados en ipv4 e ipv6 Poner capturas >>> ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/ICMPv6EchoRequest() >>> send(ICMP_packet,iface="he-ipv6",count=2) >>> ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/IPv6ExtHdrDestOpt()/ICMPv6EchoRequest() >>> send(ICMP_packet,iface="he-ipv6",count=2) ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/ICMPv6EchoRequest() Este ya no….. ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/ICMPv6EchoRequest()
- Mi servidor lo tengo en internet fácilmente Pero estoy más expuesto? Ya estoy contribuyendo a la gráfica de antes
- Esto no es exacto, ya que el tráfico 6in4 se desencapsula en los terminadores de túneles y se manda por redes IPv6 NATIVAS Pero eso no nos importa hoy El tráfico va sobre redes IPv4, utilizando payload UDP Prueba práctica lanzando ping y nmap Comprobar resultados en ipv4 e ipv6 Poner capturas >>> ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/ICMPv6EchoRequest() >>> send(ICMP_packet,iface="he-ipv6",count=2) >>> ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/IPv6ExtHdrDestOpt()/ICMPv6EchoRequest() >>> send(ICMP_packet,iface="he-ipv6",count=2) ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/ICMPv6EchoRequest() Este ya no….. ICMP_packet=IPv6(dst="2001:5c0:1400:a::5a1")/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/IPv6ExtHdrDestOpt()/ICMPv6EchoRequest()
- Se pierde la conectividad Extremo a Extremo (End-to-end)
- Cómo montar un servidor web en casa UPnP Skype
- Ya no hacen falta ñapas para dar conectividad a “todos” los hosts Ya no hace falta port forwarding
- Qué difícil es escanear IPv6…
- Voy a presentaros un estudio que hice algún tiempo sobre la exposición del nuevo esquema de conectividad en IPv6 Para ello necesitaba escanear… Pero cómo hacerlo? Busqué un método de escaneo parcial No sé si es válido, pero para lo que yo quería demostrar me valía A alguien le suena esto?
- Cómo podemos ir a por los primeros 64 bits?????
- Recopilé prefijos asignados y los organicé un poco
- Antes de seguir, un reminder de seguridad en servicios Objetivo, reducir la superficie de ataque Minimizar los servicios e información que se exponen a Internet FIREWALL Habilitando servicios en la interfaz interna, el propio NAT se encargaba de esconder esos puertos
- Ahora ya no hay NAT, con lo que las dos Ips son visibles desde internet… Necesitamos tener mucho ojo con las reglas de FIREWALL
- Y le tiré a algunos puertos comunes… Sin complicaciones SNMP, WEB, SSH, Telnet…. 2001:dc7:ffec::1 2001:eb0:0:3::10 (telnet)
- Probamos a conectar por ssh o telnet Insistir en que no llegamos a intentar entrar en ningún equipo. Poner captura
- Ébola!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! IPv6 sí que ha llegado, y además está entre nosotros. Así que si alguien os pregunta, que cuándo llegará IPv6 decid, que ya está aquí.