Implementaes de IPV6

Utilizando Mikrotik RouterOS

NIC.br Brasil 2011

So Paulo
Wardner Maia
 Introduo

Nome: Wardner Maia

Engenheiro Eletricista modalidade Eletrotcnica/Eletrnica/Telecomunicaes

Provedor de Internet desde 1995

Ministra treinamentos em rdio frequencia desde 2002 e em Mikrotik desde 2006

Presidente da ABRINT Associao Brasileira de Provedores de Internet e

Telecomunicaes

Diretor do LACNIC, eleito para o trinio 2011-2013

2
 Introduo
MD Brasil TI & Telecom

Operadora de Servios de Comunicao Multimdia e Servios de Valor Adicionado

Distribuidora oficial de Hardware e Software Mikrotik

Integradora e fabricante de equipamentos com produtos homologados na Anatel.

Parceira da Mikrotik em treinamentos

www.mikrotikbrasil.com.br / www.mdbrasil.com.br

3
 Agenda
Viso geral do Mikrotik RouterOS

Mikrotik como um ponto de acesso IPV6

Roteamento dinamico IPV6 no Mikrotik

Ripng
OSPFv3
BGP

Firewall IPV6

Tneis IPV6

Cenrio real de aplicao

4
 Mikrotik RouterOS

1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia)

1995: Solues para WISPs em vrios pases
1996: Publicado na Internet o paper Wireless Internet Access in Latvia
1996: Incorporada e Fundada a empresa MikroTikls
2002: Desenvolvimento de Hardware prprio
2010: 70 funcionrios

Atualmente:
O Mikrotik RouterOS j um padro de fato para pequenos operadores em todo o mundo.
5
 O que o Mikrotik RouterOS ?

Um poderoso sistema operacional carrier class que pode ser instalado em um PC

comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de:

Firewall statefull
Controlador de Banda e QoS
Ponto de Acesso Wireless modo 802.11 e proprietrio
Links Wireless de longa distancia.
Concentrador PPPoE, PPtP, IPSeC, L2TP, etc
Roteador dedicado BGP, OSPF, MPLS, etc
Hotspot e gerenciador de usurios
WEB Proxy
Recursos de Bonding, VRRP, etc, etc
Etc, etc

6
Alguns equipamentos Mikrotik

7
 Configurao Stateless utilizando o Mikrotik

1 Configurar um endereo IPV6 golbal na Interface onde os clientes esto

conectados, mantendo o advertise habilitado

8
 Configurao Stateless utilizando o Mikrotik

2 Configurar o Neighbor Discovery na interface dos clientes (ou em all),

habilitando o anncio de DNS

9
 Configurao Stateless utilizando o Mikrotik

3 Configurar o DNS em /ip dns settings

10
 Endereamento e roteamento no IPV6

11
 Endereamento e roteamento no IPV6

AS65000

AS65111 AS65011

AS65012

12
Endereamento e Roteamento esttico

13
 Configurao de Endereos de Loopback no IPV4
Endereos de Loopback eliminam a dependencia da interface fsica para efetuar a
conexo TCP. Utilizada com frequncia em roteamento dinmico.

No Mikrotik a interface de Loopback criada, criando-se uma bridge sem

associao a uma interface real

14
 Configurao de Endereos de Loopback no IPV6
No IPV6 os endereos so formados a partir dos MAC addresses. Como a Bridge
no tem um, o mtodo anterior falhar. Soluo usar Admin MAC

15
 Configurao de Endereos de Loopback no IPV6
Como soluo alternativa pode-se criar um tnel EoIP falso que cria uma interface
com um MAC automtico.

16
Endereamento e roteamento no IPV6
Rota default

Rota default de 13 para 11

17
 Endereamento e roteamento no IPV6
Configuraes em R00 Configuraes em R11

18
Roteamento dinmico no IPV6

19
 Roteamento dinmico no IPV6
IGP

O Mikrotik suporta dois protocolos de roteamento

interno:

RIP New Generation (RIPng)

OSPFv3

20
 Roteamento dinmico no IPV6
RIPng

Baseado no RIPv2 e RFC 2080

Utiliza o algortimo de Bellman-Ford, sendo um

protocolo do tipo distance vector.

Limitado a 15 saltos

Utiliza o grupo de Multicast ff02::9 (todos

Roteadores RIP) como destino para as mensagens
de update.

21
 Roteamento dinmico no IPV6
RIPng

Configura-se selecionando as interfaces em que o RIPng ir rodar

Redes no podem ser arbitradas para as publicaes, podendo no

entanto serem publicadas rotas conectadas e estticas

22
 Roteamento dinmico no IPV6
RIPng

Configura-se selecionando as interfaces em que o RIPng ir rodar

Redes no podem ser arbitradas para as publicaes, podendo no

entanto serem publicadas rotas conectadas e estticas

23
Roteamento IPV6 com RIPng

Rotas obtidas em R15

24
 Roteamento dinmico no IPV6
OSPFv3

O protocolo OSPF utilizado no IPV4 (V2) precisou de

vrias modificaes para suportar o IPV6, dando
origem ao OSPFv3 (RFC 2740)

Os mesmos princpios utilizados no OSPFv2, como

LSAs, flooding, utilizao do algortimo de Djkstra, etc
foram mantidos. Porm o OSPFv3 possue varias
melhorias em relao ao seu sucessor.

A principal diferena de configurao que no OSPFv3

no h mais configuraes de redes e sim de
interfaces, que passam a ser mandatrias.

25
 Roteamento dinmico no IPV6
OSPFv3

Configuraes em R13

26
 Roteamento dinmico no IPV6 - OSPFv3

Rotas OSPF resultantes

27
 Roteamento externo no IPV6
BGP

O protocolo BGP permite a propagao de mltiplas

famlias de endereos (adress families) e no houve a
necessidade do desenvolvimento de um novo protocolo
de roteamento externo.

Para ativar a propagao de prefixos IPV6 sobre um

peer IPV4, basta que a implementao do BGP tenha
suporte a multiprotocolos, no caso IPV6, e habilitar o
mesmo no peer.

28
Roteamento externo no IPV6
BGP

29
Roteamento externo no IPV6
BGP

Rota externa recebida

do peer eBGP (R11)

30
 Firewall IPV6 no
Mikrotik RouterOS

31
 Princpios Bsicos de Proteo

Proteo do prprio roteador

tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios no prprio roteador
prevenir e controlar ataques e acesso no autorizado ao roteador

Proteo da rede interna

tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios nos clientes
prevenir e controlar ataques e acesso no autorizado em clientes.

32
Recursos do Firewall IPV6
no Mikrotik RouterOS

33
Recursos do Firewall IPV6
no Mikrotik RouterOS

34
 Regras de Firewall
Controle de ICMP

O Internet Control Message Protocol (ICMP) basicamente uma ferramenta para

diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.

No IPV4 boas prticas indicam a manuteno de pelo menos 5 tipos de ICMP

(type:code), que so:

- PING Mensagens 0:0 e 8:0

- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4

Os outros tipos de ICMP normalmente podem ser bloqueados sem qualquer efeito
danoso rede
35
 Regras de Firewall
Controle de ICMP

O Internet Control Message Protocol (ICMP) basicamente uma ferramenta para

diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.

No IPV4 boas prticas indicam a manuteno de pelo menos 5 tipos de ICMP

(type:code), que so:

- PING Mensagens 0:0 e 8:0

- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4

Os outros tipos de ICMP normalmente podem ser bloqueados sem qualquer efeito
danoso rede
36
 Regras de Firewal - Controle de ICMP

Equivalentes do IPV4 no IPV6

ICMPv6 Type 1 Code 0 No route to destination
ICMPv6 Type 3 - Time exceeded
ICMPv6 Type 128 and Type 129 - Echo request and echo reply

Novas mensagens potencialmente requeridas no IPV6:

ICMPv6 Type 2 - Packet too big requerido pelo PMTUD
ICMPv6 Type 4 - Parameter problem
ICMP Type 130-132 - Multicast listener messages
ICMPv6 Type 133/134 Router solicitation and router advertisement
ICMPv6 Type 135/136 Neighbor solicitation and neighbor advertisement.

37
 Filtrando trfego indesejvel

IPs Bogons:

No IPV4
Ainda que restem poucos endereos IPV4 (menos de 5%), aqueles no alocados podem
ser empregados para ataques quando o atacante quer ocultar seu endereo.

No IPV6
O grande espao de endereamento do IPV6 torna a necessidade de controle de
BOGONS ainda mais crtica.

38
 Controlando BOGONS

O Site abaixo mantem listas e servios para controle de BOGONS

http://www.team-cymru.org/Services/Bogons/

Listas podem ser obtidas:

pelo prprio site
por email
automricamente fazendo um peer BGP com a cymru

39
 Filtro automtico de Full Bogons via BGP

Marcando as rotas entrantes do peer com o Cymru como blackhole

40
 Implementao de IPV6 no Mikrotik

IPV6
Como comear ???
 Como comear
Para quem no tem conectividade nativa IPV6 uma boa soluo comear por um
tnel IPV4-IPV6. Como sugesto a empresa abaixo oferece essa conectividade
sem custo.

www.tunnelbroker.net
www.he.net
42
 Como comear
So oferecidos dois tipos de tnel:
Tneis regulares
teis para quem ainda no tem AS ou se tem ainda no tem seu bloco prprio de
IPV6

Tneis BGP
Quem tem AS e bloco IPV6 designado mas no tem conectividade nativa IPV6
pode anunciar seu bloco pela HE sem qualquer custo. Nesse caso ser pedida
uma carta de confirmao para conferencia da titularidade do AS.

43
 Configuraes no Mikrotik

1 Criar a interface
6to4 utilizando o seu
endereo IPV4 e o
remoto fornecido
pela HE

2 Configurar o
endereo IPV6
fornecido pela HE
na interface criada
44
 Configuraes no Mikrotik

3 Fazer o Peer com a HE habilitando o MBGP com address family IPV6 e

publicar o bloco de IPV6 pertencente ao provedor.

45
 IPV6 Como comear

Principais desafios:

Falta de conectividade nativa. Tneis podem ser um bom comeo para o

aprendizado do IPV6 mas tero suas limitaes quando em produo
Falta de suporte nos equipamentos dos clientes.
Quebra do paradigma interno nas empresas. Investimento em planejamento,
treinamentos e equipamentos.

46
 IPV6 Como comear

Estratgias para os pequenos e mdios provedores

Comear a exigir equipamentos com suporte a IPV6

Quem ainda no tem, correr atrs do seu AS
Procurar formas de se conectar a um PTT
Iniciar o estudo e implementao, ontem !

47
 Cenrio Real

Americana Digital

48
Cenrio Real - Americana Digital

49
Cenrio Real - Americana Digital

50
Cenrio Real - Americana Digital

51
 Cenrio Real - Americana Digital

Participantes do PTT de Americana:

- AS28289 - Americana Digital (ASN 16 bits, IPv4, IPv6).

- AS262656 - Americana Telecom (ASN 32 bits).

- AS53119 - Teletrade (ASN 16 bits, IPv4).

- AS53131 - GB Info (ASN 16 bits, IPv4, IPv6).

- AS262804 - Folhamatic (ASN 32 bits, em ativao)

52
 Obrigado !
Wardner Maia maia@mikrotikbrasil.com.br

53