Implementaes de IPV6 Utilizando Mikrotik RouterOS

NIC.br Brasil 2011 So Paulo Wardner Maia

Introduo
Nome: Wardner Maia Engenheiro Eletricista modalidade Eletrotcnica/Eletrnica/Telecomunicaes Provedor de Internet desde 1995 Ministra treinamentos em rdio frequencia desde 2002 e em Mikrotik desde 2006 Presidente da ABRINT Associao Brasileira de Provedores de Internet e Telecomunicaes Diretor do LACNIC, eleito para o trinio 2011-2013

Introduo
MD Brasil TI & Telecom Operadora de Servios de Comunicao Multimdia e Servios de Valor Adicionado Distribuidora oficial de Hardware e Software Mikrotik Integradora e fabricante de equipamentos com produtos homologados na Anatel. Parceira da Mikrotik em treinamentos www.mikrotikbrasil.com.br / www.mdbrasil.com.br

Agenda
Viso geral do Mikrotik RouterOS Mikrotik como um ponto de acesso IPV6 Roteamento dinamico IPV6 no Mikrotik Ripng OSPFv3 BGP Firewall IPV6 Tneis IPV6 Cenrio real de aplicao
4

Mikrotik RouterOS

1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) 1995: Solues para WISPs em vrios pases 1996: Publicado na Internet o paper Wireless Internet Access in Latvia 1996: Incorporada e Fundada a empresa MikroTikls 2002: Desenvolvimento de Hardware prprio 2010: 70 funcionrios Atualmente: O Mikrotik RouterOS j um padro de fato para pequenos operadores em todo o mundo.
5

O que o Mikrotik RouterOS ?

Um poderoso sistema operacional carrier class que pode ser instalado em um PC comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de:
Firewall statefull Controlador de Banda e QoS Ponto de Acesso Wireless modo 802.11 e proprietrio Links Wireless de longa distancia. Concentrador PPPoE, PPtP, IPSeC, L2TP, etc Roteador dedicado BGP, OSPF, MPLS, etc Hotspot e gerenciador de usurios WEB Proxy Recursos de Bonding, VRRP, etc, etc Etc, etc
6

Alguns equipamentos Mikrotik

Configurao Stateless utilizando o Mikrotik

1 Configurar um endereo IPV6 golbal na Interface onde os clientes esto conectados, mantendo o advertise habilitado

Configurao Stateless utilizando o Mikrotik

2 Configurar o Neighbor Discovery na interface dos clientes (ou em all), habilitando o anncio de DNS

Configurao Stateless utilizando o Mikrotik

3 Configurar o DNS em /ip dns settings

10

Endereamento e roteamento no IPV6

Q

11

Endereamento e roteamento no IPV6

AS65000 AS65111 AS65011

AS65012

12

Endereamento e Roteamento esttico

13

Configurao de Endereos de Loopback no IPV4

Endereos de Loopback eliminam a dependencia da interface fsica para efetuar a conexo TCP. Utilizada com frequncia em roteamento dinmico. No Mikrotik a interface de Loopback criada, criando-se uma bridge sem associao a uma interface real

14

Configurao de Endereos de Loopback no IPV6

No IPV6 os endereos so formados a partir dos MAC addresses. Como a Bridge no tem um, o mtodo anterior falhar. Soluo usar Admin MAC

15

Configurao de Endereos de Loopback no IPV6

Como soluo alternativa pode-se criar um tnel EoIP falso que cria uma interface com um MAC automtico.

16

Endereamento e roteamento no IPV6 Rota default

Rota default de 13 para 11

17

Endereamento e roteamento no IPV6

Configuraes em R00 Configuraes em R11

18

Roteamento dinmico no IPV6

19

Roteamento dinmico no IPV6 IGP

O Mikrotik suporta dois protocolos de roteamento interno: RIP New Generation (RIPng) OSPFv3

20

Roteamento dinmico no IPV6 RIPng

Baseado no RIPv2 e RFC 2080 Utiliza o algortimo de Bellman-Ford, sendo um protocolo do tipo distance vector. Limitado a 15 saltos Utiliza o grupo de Multicast ff02::9 (todos Roteadores RIP) como destino para as mensagens de update.

21

Roteamento dinmico no IPV6 RIPng

Configura-se selecionando as interfaces em que o RIPng ir rodar

Redes no podem ser arbitradas para as publicaes, podendo no entanto serem publicadas rotas conectadas e estticas

22

Roteamento dinmico no IPV6 RIPng

Configura-se selecionando as interfaces em que o RIPng ir rodar

Redes no podem ser arbitradas para as publicaes, podendo no entanto serem publicadas rotas conectadas e estticas

23

Roteamento IPV6 com RIPng

Rotas obtidas em R15

24

Roteamento dinmico no IPV6 OSPFv3

O protocolo OSPF utilizado no IPV4 (V2) precisou de vrias modificaes para suportar o IPV6, dando origem ao OSPFv3 (RFC 2740)

Os mesmos princpios utilizados no OSPFv2, como LSAs, flooding, utilizao do algortimo de Djkstra, etc foram mantidos. Porm o OSPFv3 possue varias melhorias em relao ao seu sucessor.
A principal diferena de configurao que no OSPFv3 no h mais configuraes de redes e sim de interfaces, que passam a ser mandatrias.
25

Roteamento dinmico no IPV6 OSPFv3

Configuraes em R13

26

Roteamento dinmico no IPV6 - OSPFv3

Rotas OSPF resultantes

27

Roteamento externo no IPV6 BGP

O protocolo BGP permite a propagao de mltiplas famlias de endereos (adress families) e no houve a necessidade do desenvolvimento de um novo protocolo de roteamento externo. Para ativar a propagao de prefixos IPV6 sobre um peer IPV4, basta que a implementao do BGP tenha suporte a multiprotocolos, no caso IPV6, e habilitar o mesmo no peer.

28

Roteamento externo no IPV6 BGP

29

Roteamento externo no IPV6 BGP

Rota externa recebida do peer eBGP (R11)

30

Firewall IPV6 no Mikrotik RouterOS

31

Princpios Bsicos de Proteo

Proteo do prprio roteador tratamento das conexes e eliminao de trfego prejudicial/intil permitir somente os servios necessrios no prprio roteador prevenir e controlar ataques e acesso no autorizado ao roteador

Proteo da rede interna tratamento das conexes e eliminao de trfego prejudicial/intil permitir somente os servios necessrios nos clientes prevenir e controlar ataques e acesso no autorizado em clientes.

32

Recursos do Firewall IPV6 no Mikrotik RouterOS

33

Recursos do Firewall IPV6 no Mikrotik RouterOS

34

Regras de Firewall Controle de ICMP

O Internet Control Message Protocol (ICMP) basicamente uma ferramenta para diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados. No IPV4 boas prticas indicam a manuteno de pelo menos 5 tipos de ICMP (type:code), que so: - PING Mensagens 0:0 e 8:0 - TRACEROUTE Mensagens 11:0 e 3:3 - PMTUD Path MTU discovery mensagem 3:4

Os outros tipos de ICMP normalmente podem ser bloqueados sem qualquer efeito danoso rede
35

Regras de Firewall Controle de ICMP

O Internet Control Message Protocol (ICMP) basicamente uma ferramenta para diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados. No IPV4 boas prticas indicam a manuteno de pelo menos 5 tipos de ICMP (type:code), que so: - PING Mensagens 0:0 e 8:0 - TRACEROUTE Mensagens 11:0 e 3:3 - PMTUD Path MTU discovery mensagem 3:4

Os outros tipos de ICMP normalmente podem ser bloqueados sem qualquer efeito danoso rede
36

Regras de Firewal - Controle de ICMP

Equivalentes do IPV4 no IPV6 ICMPv6 Type 1 Code 0 No route to destination ICMPv6 Type 3 - Time exceeded ICMPv6 Type 128 and Type 129 - Echo request and echo reply Novas mensagens potencialmente requeridas no IPV6: ICMPv6 Type 2 - Packet too big requerido pelo PMTUD

ICMPv6 Type 4 - Parameter problem

ICMP Type 130-132 - Multicast listener messages ICMPv6 Type 133/134 Router solicitation and router advertisement ICMPv6 Type 135/136 Neighbor solicitation and neighbor advertisement.
37

Filtrando trfego indesejvel

IPs Bogons: No IPV4 Ainda que restem poucos endereos IPV4 (menos de 5%), aqueles no alocados podem ser empregados para ataques quando o atacante quer ocultar seu endereo. No IPV6 O grande espao de endereamento do IPV6 torna a necessidade de controle de BOGONS ainda mais crtica.

38

Controlando BOGONS

O Site abaixo mantem listas e servios para controle de BOGONS http://www.team-cymru.org/Services/Bogons/

Listas podem ser obtidas: pelo prprio site por email automricamente fazendo um peer BGP com a cymru

39

Filtro automtico de Full Bogons via BGP

Marcando as rotas entrantes do peer com o Cymru como blackhole

40

Implementao de IPV6 no Mikrotik

IPV6 Como comear ???

Como comear
Para quem no tem conectividade nativa IPV6 uma boa soluo comear por um tnel IPV4-IPV6. Como sugesto a empresa abaixo oferece essa conectividade sem custo.

www.tunnelbroker.net www.he.net
42

Como comear
So oferecidos dois tipos de tnel: Tneis regulares teis para quem ainda no tem AS ou se tem ainda no tem seu bloco prprio de IPV6 Tneis BGP Quem tem AS e bloco IPV6 designado mas no tem conectividade nativa IPV6 pode anunciar seu bloco pela HE sem qualquer custo. Nesse caso ser pedida uma carta de confirmao para conferencia da titularidade do AS.

43

Configuraes no Mikrotik

1 Criar a interface 6to4 utilizando o seu endereo IPV4 e o remoto fornecido pela HE

2 Configurar o endereo IPV6 fornecido pela HE na interface criada

44

Configuraes no Mikrotik
3 Fazer o Peer com a HE habilitando o MBGP com address family IPV6 e publicar o bloco de IPV6 pertencente ao provedor.

45

IPV6 Como comear

Principais desafios:

Falta de conectividade nativa. Tneis podem ser um bom comeo para o aprendizado do IPV6 mas tero suas limitaes quando em produo
Falta de suporte nos equipamentos dos clientes. Quebra do paradigma interno nas empresas. Investimento em planejamento, treinamentos e equipamentos.

46

IPV6 Como comear

Estratgias para os pequenos e mdios provedores

Comear a exigir equipamentos com suporte a IPV6

Quem ainda no tem, correr atrs do seu AS Procurar formas de se conectar a um PTT

Iniciar o estudo e implementao, ontem !

47

Cenrio Real Americana Digital

48

Cenrio Real - Americana Digital

49

Cenrio Real - Americana Digital

50

Cenrio Real - Americana Digital

51

Cenrio Real - Americana Digital

Participantes do PTT de Americana: AS28289 - Americana Digital (ASN 16 bits, IPv4, IPv6). AS262656 - Americana Telecom (ASN 32 bits). AS53119 - Teletrade (ASN 16 bits, IPv4). AS53131 - GB Info (ASN 16 bits, IPv4, IPv6). AS262804 - Folhamatic (ASN 32 bits, em ativao)

52

Obrigado !
Wardner Maia maia@mikrotikbrasil.com.br

53