ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ. IPv6 To μέλλον του δικτύου. ΤΜΗΜΑ: Εφαρμογές Πληροφορικής. στη διοίκηση και στην οικονομία ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ ΣΠΟΥΔΑΣΤΗΣ

Transcript

1 2014 δ ΤΜΗΜΑ: Εφαρμογές Πληροφορικής στη διοίκηση και στην οικονομία ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ IPv6 To μέλλον του δικτύου ΣΠΟΥΔΑΣΤΗΣ Κωστόπουλος Στέργιος ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ Οικονόμου Ευάγγελος ΑΜ 723

2 ΕΥΧΑΡΙΣΤΙΕΣ Θα ήθελα να ευχαριστήσω τον κ. Οικονόμου Ευάγγελο για την πολύτιμη βοήθεια του σε καθ όλη την διάρκεια της δημιουργίας, της τροποποίησης και τελειοποίησης της πτυχιακής εργασίας. 2

3 Εισαγωγή Στο μεσουράνημα μιας εποχής που χαρακτηρίζεται από την συνεχή εξελικτική πορεία της τεχνολογίας, το πρωτόκολλο IPv6 ήρθε για να φέρει πρωτοποριακές αλλαγές στον τομέα του διαδικτύου. Η παρούσα μελέτη σκοπό έχει να αναδείξει αυτές τις αλλαγές αλλά και να καταδείξει τα τρωτά σημεία του πρωτοκόλλου. Προκειμένου να εξαχθούν αντικειμενικά κριτήρια για την εφαρμογή του, καταγράφονται αναλυτικά οι τομείς εφαρμογής του, οι λειτουργικές βελτιώσεις και απλοποιήσεις συγκριτικά με το προγενέστερο πρωτόκολλο, αλλά και μηχανισμοί που παρατηρούνται για πρώτη φορά. Η ασφάλεια του πρωτοκόλλου που αποτελεί τον πυλώνα κάθε πρωτοκόλλου δικτύου, η υποστήριξη, ο τρόπος λειτουργίας και οι λόγοι που καθιστούν επιτακτική την αντικατάστασή του αποτελούν μερικά από τα θέματα που θα αναλυθούν. 3

4 Περίληψη Στη παρούσα εργασία μελετάμε το πρωτόκολλο IPv6. Το παρόν πρωτόκολλο βρίσκεται σε ένα μεταβατικό στάδιο, αφού γίνεται περιορισμένη χρήση του, η οποία έχει αναδείξει την αναγκαιότητα χρήσης του. Το πρωτόκολλο IPv6 είναι ένα χρήσιμο εργαλείο για την καλύτερη χρήση των δικτύων αφού προσπαθεί να λύσει προβλήματα που σχετίζονται με την αποδοτικότητα του δικτύου, την αυτορρύθμιση των διευθύνσεων και την ασφάλεια του δικτύου. 4

5 Abstract In this work we study the IPv6 protocol. The protocol is lying on a transient stage, since a small number of IPv6 addresses are used, although the partial application of it has shown its necessity. The IPv6 protocol is a valuable tool for better usage of current networks configurations since tries to solve problems related to the network efficiency, the address auto configuration and the network security. 5

6 Πίνακας Περιεχομένων Εισαγωγή... 3 Περίληψη... 4 Περίληψη... Σφάλμα! Δεν έχει οριστεί σελιδοδείκτης. Πίνακας Περιεχομένων... 6 ΚΕΦΑΛΑΙΟ ΣΧΕΔΙΑΣΜΟΣ IPV Τι είναι το IPV Πως φτάσαμε στο IPV Αναγκαιότητα IPV Πλεονεκτήματα Από το IPv4 στο IPv Καινοτομίες IPv Δομή IPv6 πακέτου Επικεφαλίδες επέκτασης Κατακερματισμός Fragmentation MTU IPv ΚΕΦΑΛΑΙΟ ADDRESSING AND ROUTING Διευθυνσιοδότηση Τύποι διευθύνσεων Ειδικοί τύπο διευθύνσεων Αριθμοδότηση Συνδυασμός ΙPV6 με πρόθεμα Απαιτούμενες διευθύνσεις κόμβου Ανίχνευση Ίδιων Διευθύνσεων(DAD) Χρόνος ζωής διεύθυνσης Δρομολόγηση Ρυθμίζοντας τα Windows XP σαν δρομολογητή Διάκριση Πρωτοκόλλων δρομολόγησης To μοντέλο RIPv To μοντέλο OSPFv Το μοντέλο IDRPv

7 2.6.4 To πρωτόκολλο ICMPv Το μοντέλο εύρεσης γειτόνων To πρωτόκολλο BGP RouterDiscovery Ανίχνευση γειτόνων ΚΕΦΑΛΑΙΟ Plug and Play Αυτορρύθμιση διευθύνσεων και σταθμών Autoconfigured Address States Διαδικασία αυτορρύθμισης IPV DHCPV6 Μηνύματα DHCPv6 Support Υποστήριξη φορητότητας ΚΕΦΑΛΑΙΟ ΑΣΦΑΛΕΙΑ Γενικά Τροποποιήσεις ασφάλειας από το IPv4 στο IPv Packet flooding Worms επιθέσεις Ingress/Egress Filtering Επιθέσεις άρνησης υπηρεσιών DoS IPv6 Firewalls IPsec Επικεφαλίδες Ασφαλείας Καταστάσεις λειτουργίας του IPsec Συσχετισμοί Ασφαλείας (security association) Δείκτης Παραμέτρων Ασφάλειας (Security Parameter Index) Επικεφαλίδα πιστοποίησης (Authedication Header) Επικεφαλίδα Encapsulating Security Payload* Διαχείριση Κλειδιού Πρωτόκολλο Συσχετίσεων Ασφαλείας και διαχείρισης Κλειδιών διαδικτύου ISAKMP Το πρωτόκολλο Oakley Key Determination Internet Key Exchange Χειροκίνητη ρύθμιση κλειδιού

8 Αυτόματη ρύθμιση κλειδιού ΚΕΦΑΛΑΙΟ REAL TIME SUPPoRT Διαφορετικότητα QoS μεταξύ IPv6 και IPv MultimediaSupport Μοντέλο ολοκληρωμένων υπηρεσιών PacketScheduler BufferManagement AccessControl ResourceReserVationRSVP ReservationStyles MBONE MboneIPMulticasting IPV6 Multihoming ΝETNetwork Διαδικασία μετάβασης από το IPv4 στο IPv IPv6 ProtocolTunneling Configured Tunnels Automatic Tunnels Είδη IPv6 Tunnels over Κόμβοι Διπλής Στοίβας Υποστήριξη IPv6 σε επίπεδο λειτουργικών συστημάτων και εφαρμογών ΚΕΦΑΛΑΙΟ Πειραματικό μέρος Υποστήριξη Πρωτοκόλλων Μετρήσεις UDPIPv Συμπεράσματα ασφάλειας ΚΕΦΑΛΑΙΟ Προβλήματα υιοθέτησης του IPv ΣΥΜΠΕΡΑΣΜΑΤΑ... Σφάλμα! Δεν έχει οριστεί σελιδοδείκτης. Βιβλιογραφία

9 ΚΕΦΑΛΑΙΟ 1 ΣΧΕΔΙΑΣΜΟΣ IPV6 1.1 Τι είναι το IPV6 Μέσω ενός διαδικτυακού πρωτοκόλλου ή μιας διεύθυνσης IP του διαδικτύου αναγνωρίζεται κάθε αποστολέας ή παραλήπτης μίας πληροφορίας που στέλνεται. Μέχρι και το 2011 η βιομηχανία υπολογιστών χρησιμοποιούσε το IPV4 το οποίο είναι ένα διαδικτυακό Πρωτόκολλο με έκδοση 4. επειδή όμως οι διευθύνσεις αυτές με το χρόνο εξαντλούνται η διαδικτυακή βιομηχανία υιοθέτησε το IPV6 προκειμένου να επιτραπεί η παρουσία πολλών συσκευών στο διαδίκτυο Πως φτάσαμε στο IPV6 Το 1981 οι μόνοι υπολογιστές που μπορούσαν να έχουν πρόσβαση στο διαδίκτυο ήταν από στρατιωτικές βάσεις αλλά και εργαστήρια ερευνών. Το περιβάλλον σύνδεσης τότε ήταν 8bit και θεωρούνταν υπεραρκετό καθώς το πρωτόκολλο του IPV4 επέτρεπε την ύπαρξη 32bit διευθύνσεων δηλαδή περίπου 4,3 δισεκατομμύρια συνδέσεις. Ωστόσο οι ερευνητές είχαν ως στόχο την δημιουργία ενός νέου πρωτοκόλλου καθώς προέβλεπαν την εξάντληση των υπαρχουσών διευθύνσεων διαπιστώνοντας την διεύρυνση του διαδικτύου και στο κοινό. Προκειμένου να αντιμετωπιστεί το πρόβλημα της έλλειψης των διευθύνσεων προτάθηκε η χρήση του ΝΑΤ. Στόχος ήταν να χρησιμοποιούνται οι ιδιωτικές 1 Kurose Ross Δικτύωση Υπολογιστών 2η Έκδ. Γκιούρδας 9

10 διευθύνσεις από τους κόμβους μέσα στο ιδιωτικό δίκτυο και πρωτού επικοινωνήσουν με άλλους κόμβους μία (gateway) πύλη ΝΑΤ θα αναλάμβανε να μεταφράζει τις ιδιωτικές διευθύνσεις των κόμβων σε μία IP διεύθυνση. Αυτό δημιουργούσε διάφορα προβλήματα καθώς η IP μοιραζόταν Στις αρχές της δεκαετίας του '90 η IETF θα ξεκινήσει μία προσπάθεια ανάπτυξης ενός πρωτοκόλλου που θα διαδεχόταν το IPV4. Το 1998, ο οργανισμός ICANN, κατοχυρώνει ένα νέο πρωτόκολλο διαδικτύου, το IPv6. δεν ονομάστηκε IPV5 καθώς το όνομα αυτό το είχαν δώσει ήδη σε ένα πειραματικό πρωτόκολλο. Το IPv6 αυξάνει το εύρος των διευθύνσεων σε 128 bits. Στις 6 Ιουνίου του 2012 ISPs και πάροχοι δικτυακού χώρου άρχισαν να εξυπηρετούν πελάτες με την νέα τεχνολογία διευθυνσιοδότησης. Οι υπάρχουσες συσκευές modem router είναι συμβατές, τουλάχιστον οι περισσότερες, με το νέο πρωτόκολλο. Αυτό σημαίνει ότι ο απλός χρήστης, είτε θα πρέπει να κάνει κάποιο update στην συσκευή του ή, θα του αποδοθεί μια νέα διεύθυνση που θα είναι συμβατή με το IPv6 πρωτόκολλο. 1.3 Αναγκαιότητα IPV6 Εκτός από τη διαθεσιμότητα των διευθύνσεων που αναφέρθηκε υπήρχαν κι άλλοι ουσιώδης λόγοι που οδήγησαν στην αναζήτηση και δημιουργία του νέου πρωτοκόλλου. 1) Περιορισμένη διαθεσιμότητα διευθύνσεων Ο οργανισμός IETF στις αρχές του 1990 προέβλεψε ότι ο χώρος διευθύνσεων του IPV4 μέχρι το 2005 θα τελείωνε (παρακάτω γίνεται αναφορά για τον ορισμό και τη χρησιμότητα μίας διεύθυνσης). Μέχρι τότε το πρωτόκολλο που χρησιμοποιούνταν ήταν το IPV4 το οποίο διέθετε διευθύνσεις (32 bit). Με το IPV6 έχουμε 155 δισεκατομμύρια IPV4 δίκτυα. Έτσι λύνεται το πρόβλημα του χώρου διευθύνσεων για τα επόμενα 30 τουλάχιστον χρόνια λαμβάνοντας υπόψιν το ρυθμό εξέλιξης της τεχνολογίας. 10

11 2) Αποδοτικότητα Η συνολική επικεφαλίδα του IPV6 είναι μόνο 40bytes παρόλο που τα πεδία διευθύνσεων είναι 4 φορές μεγαλύτερα απ' ότι στο IPV4. Ειδικότερα κάποιες βελτιώσεις σε σχέση με την αποδοτικότητα του μοντέλου είναι: Η επικεφαλίδα του IPv6 έχει σταθερό μήκος, ενώ διαθέτει 64 bit για επεξεργασία. Αφαιρέθηκε το checksum της επικεφαλίδας IPv4 που υπολογίζεται κάθε φορά που 1 πακέτο περνά από 1 δρομολογητή ενώ τέλος δεν χρειάζεται οι δρομολογητές να διαιρούν ένα μεγάλο πακέτο σε μικρότερα κομμάτια και μπορούν απλά να στείλουν σήμα να τους έρχονται μικρότερα πακέτα. Το broadcast αντικαταστάθηκε με τα multicast στο IPv6 με τα οποία δεν σταματούν όλες οι δικτυακές συσκευές για να επεξεργαστούν το μήνυμα που έρχεται αλλά μόνο όσες είναι ενεργές εκείνη τη στιγμή. 3) Αλλαγή διεύθυνσης με απλούστερο τρόπο Οι συσκευές ενός δικτύου μπορούν να αλλάξουν εύκολα διεύθυνση με τη διαδικασία της αυτόματης ρύθμισης, αλλάζοντας το 64bit που διαφημίζεται, με ένα καινούργιο. 4) Αυτορρύθμιση διεύθυνσης Το IPv4 χρησιμοποιούσε το πρωτόκολλο DHCP για να λάβει 1 μηχάνημα αυτόματα IP διεύθυνση. Αυτό είχε σαν μειονέκτημα ότι χρειαζόταν η ύπαρξη ενός DHCP server και ήταν αβέβαιο αν το ίδιο μηχάνημα λάβει τη διεύθυνση. Στο νέο πρωτόκολλο το DHCP έχει πάρει το όνομα της έκτης έκδοσης του DHCPv6 αλλά επιπλέον υπάρχει η επιλογή της αυτορρύθμισης. 5) Βελτίωση της Ασφάλειας Σε αντίθεση με το προηγούμενο πρωτόκολλο το IPv6 κυρίως λόγω του μεγάλου χώρου των διευθύνσεων δεν είναι το ίδιο ευάλωτο σε επιθέσεις. Επιπλέον έχει πολλές παραμετροποιήσιμες επιλογές ασφαλείας τις οποίες θα εξετάσουμε στο αντίστοιχο κεφάλαιο. 11

12 1.4 Πλεονεκτήματα Με τον ερχομό του IPV6 εισήχθησαν καινοτομίες στο χώρο των δικτύων που διαφοροποίησαν και βελτίωσαν την καθημερινότητα εκατομμυρίων ανθρώπων επιβεβαιώνοντας την πρόοδο της τεχνολογίας και την συνεχόμενη προσπάθεια εξελικτικής μετάβασης σε έναν τομέα που τίποτα και ποτέ δε θα είναι αρκετό. Αυτόν της πληροφορικής. Το IPV6 θα αυξάνει το μέγεθος της διεύθυνσης IP από 32 σε 128bits. Επίσης έχει εισαγάγει ένα νέο τύπο διεύθυνσης που ονομάζεται διεύθυνση εκπομπής σε κάποιον από την ομάδα ή anycast. Έτσι ένα δεδομενόγραμμα που διευθυνσιοδοτείται για οποιαδήποτε εκπομπή παραδίδεται σε οποιαδήποτε από μία ομάδα υπολογιστών υπηρεσίας. Ορίζονται διευθύνσεις με link-local/site local οι οποίες διευκολύνουν την αυτόματη ρύθμιση σταθμών. Πλέον υιοθετούνται anycast διευθύνσεις που αντιστοιχούν σε ένα σύνολο σταθμών, ενώ καταργούνται παλαιού τύπου επικεφαλίδες με αποτέλεσμα την αύξηση του συνολικού μήκους της επικεφαλίδας του πακέτου IPv6. Παράλληλα καταργούνται οι διευθύνσεις broadcast. Επιπλέον έχει αφηρημένο ορισμό της ροής. έτσι τα πακέτα μπορεί να σημανθούν με διαφορετικές ροές και να γίνει προεπιλεγμένη ποιότητα στο καθένα, όπως βίντεο, ήχος και . Η κεφαλίδα του πρωτοκόλλου 40 bytes επιτρέπει την ταχύτερη επεξεργασία του δεδομενογράμματος της IP. Επιπλέον δεν υπάρχει η ανάγκη καθορισμού διεύθυνσης μετάδοσης. ενώ χρησιμοποιείται το multicasting (κλιμακοποίηση δικτύου και βελτίωση υπηρεσιών) χωρίς να διαταράσσονται οι επαφές σε ένα σύνδεσμο. Εξίσου σημαντικό είναι ότι διατίθεται υποστήριξη για πακέτα μεγαλύτερα των 64Kb. Έτσι βελτιώνεται η ευρυζωνική επικοινωνία αφού μπορούν να υποστηριχθούν πακέτα έως τα 4Gb, κάτι το πρωτόγνωρο για τα τεχνολογικά δρώμενα. 12

13 Λόγω του μηχανισμού flow label και της μετάδοσης σήματος, μπορεί να πραγματοποιείται μετάδοση εικόνας και ήχου σε πραγματικό χρόνο. Οι δημιουργοί του πρωτοκόλλου έχουν δώσει μεγαλύτερη προσοχή στον τύπο υπηρεσιών, ενώ παρέχεται υποβοήθηση της πολυδιανομής επιτρέποντας τον καθορισμό εμβέλειας. Από τα πιο κρίσιμα ζητήματα αποτελεί και η διασφάλιση της επεκτασιμότητας του IPv6 καθώς και της συνύπαρξης παλιών και νέων πρωτοκόλλων. Ακόμη υπάρχουν δυνατότητες για παροχή υπηρεσιών ποιότητας. Τέλος καταργείται η ανάγκη λειτουργίας διακομιστών, οι οποίοι μπορεί να χρησιμοποιηθούν για άλλα καθήκοντα. 1.5 Από το IPv4 στο IPv6 Αν και το IPv4 διεκπεραίωνε με επιτυχία τον στόχο δημιουργίας του, παρόλα αυτά επιδέχεται αρκετές βελτιώσεις πέρα από την αύξηση του χώρου των διευθύνσεων του. Αυτές έχουν να κάνουν με την ασφάλεια, τη δρομολόγηση, τη διαχείριση, την ποιότητα υπηρεσιών αλλά και την ιεραρχία. Στον παρακάτω πίνακα παρουσιάζονται οι κυριότερες διαφορές του IPv4 με το IPv C. Bouras, A. Gkamas, K. Stamos, From IPv4 to IPv6: The case of OpenH323Library 13

14 ΔΙΑΦΟΡΕΣ IPv4 IPv6 Χώρος διευθύνσεων 32 bits 128 bits Υποστήριξη IPsec Προαιρετική Απαιτούμενη Επιλογές Στην επικεφαλίδα Επικεφαλίδα Επέκτασης CheckSum Ναι Όχι Broadcast Χρησιμοποιείται για μετάδοση κίνησης Έχει αντικατασταθεί από ένα σύνδεσμο PTR Χρησιμοποιείται για την εγγραφή των πόρων και διευθύνσεων στο IN- ADDR.ARPADNS Χρησιμοποιείται για την εγγραφή των πόρων και διευθύνσεων στο IP6- ADDR.ARPADNS ARP Χρησιμοποιείται για τη μετάδοση πλαισίων μίας linklayerδιεύθυνσης Έχει αντικατασταθεί με τα μηνύματα multicast Neighbor Solicitation IGMP Διαχειρίζεται τα τοπικά μέλη της ομάδας Αντικαταστάθηκε με το MLD DNS Χρήση της διεύθυνσης Α Χρήση των ΑΑΑΑ εγγραφών Link-layer Δεν έχει απαιτήσεις για linklayerpacketsize Tolink-layerπρέπει να υποστηρίζει 1280byte Κατακερματισμός Γίνεται από την αποστολή υποδοχής και τους Γίνεται μόνο από την αποστολή υποδοχής δρομολογητές Επανασυναρμολόγηση 576 byte 1500 byte Πακέτα ροής QoS Δεν εντοπίζονται Τα χειρίζεται ICMP Χρησιμοποιείται Δεν χρησιμοποιείται Header Checksum Χρησιμοποιείται Δεν χρησιμοποιείται Διαμόρφωση ΙP Χειροκίνητη ή με DHCP Autoconfiguration Πίνακας 1.1Διαφορές IPv4 με IPv6 3 ΠηγήUnderstandingIPv6 MicrosoftPress 3 Understanding IPv6, Microsoft Press

15 1.6 Καινοτομίες IPv6 Απλοποιημένη Επικεφαλίδα: Είναι απλοποιημένη σε σχέση με το προηγούμενο πρωτόκολλο. Η επικεφαλίδα έχει σταθερό μήκος, δεν υπάρχει θρυμματισμός αλλά ούτε και πεδίο ελέγχου ενώ οι δρομολογητές έχουν καλύτερη απόδοση. Επιπλέον υπάρχει υποστήριξη προαιρετικών πεδίων σε ξεχωριστές επικεφαλίδες διευκολύνοντας την απόδοση της απλής δρομολόγησης. Έλεγχος ροής: Έχει προστεθεί η δυνατότητα κατηγοριοποίησης των πακέτων του αποστολέα σε μία συγκεκριμένη ροή. Βελτίωση Mobility: Το Mobile IP δημιουργήθηκε προκειμένου να γνωρίζουν οι θύρες πότε ένα host μετακινείται από ένα δίκτυο σε ένα άλλο. Αρχικά με το MIP του IPv4 το σύνολο των κινήσεων προς και από την κινητή συσκευή έπρεπε να επιστρέψει στην αρχική πύλη. Στο νέο MIPv6 έχουμε την άμεση δρομολόγηση όπου η αρχική πύλη είναι συνεχώς ενημερωμένη 4. Βελτιωμένες παροχές υπηρεσιών ασφάλειας: Το IPv6 έχει ενσωματωμένη ασφάλεια με ενσωματωμένη υποστήριξη IPsec το οποίο μπορεί να επιτρέψει κρυπτογράφηση πακέτων end-to-end. Συνδεσιμότητα δικτύου end-to-end: Λόγω του μεγάλου χώρου διευθύνσεων που διατίθεται στο IPv6 έχει εξαλειφτεί η ανάγκη για την ύπαρξη συσκευών μετάφρασης των διευθύνσεων. 4 Cisco Press: IPv6 for Enterprice Networks 15

16 1.7 Δομή IPv6 πακέτου Ένα πακέτο IPv6 αποτελείται την επικεφαλίδα IPv6, την επικεφαλίδα επέκτασης και ένα πρωτόκολλο δεδομένων ανώτερου στρώματος. Εικόνα 1.2ΔομήIPv6 πακέτου 5 ΠηγήJosset, C. Bouras, A. Gkamas, K. Stamos, Adding IPv6 support to H323:Gnomemeeting/openH323 port Ipv6 Header:H επικεφαλίδα του IPv6 έχει σταθερό μήκος 40 byte. Τα πεδία που την αποτελούν περιγράφονται ακολούθως. ExtensionHeader:Το μήκος της κεφαλίδας επέκτασης ποικίλει. Όταν υπάρχουν κεφαλίδες επέκτασης το πεδίο Next Header δείχνει την πρώτη κεφαλίδα επέκτασης. Η τελευταία κεφαλίδα υποδεικνύει την κεφαλίδα επέκτασης για το πρωτόκολλο ανώτερου στρώματος. Σημαντικό είναι ότι οι κεφαλίδες επέκτασης είναι προαιρετικές. Η συγκεκριμένη κεφαλίδα έχει αντικαταστήσει την επικεφαλίδα IPv4 και τις επιλογές της. Σε αντίθεση με τις επικεφαλίδες του IPv4 οι επικεφαλίδες IPv6 δεν έχουν μέγιστο μέγεθος και μπορεί να επεκταθεί για να φιλοξενήσει όλα τα στοιχεία που απαιτούνται για IPv6 επικοινωνία. 5 S. Josset, C. Bouras, A. Gkamas, K. Stamos, Adding IPv6 support to H323:Gnomemeeting/openH323 port, IST Mobile & Wireless CommunicationsSummit 2003, June

17 Upper-LayerProtocolDataUnit:Αποτελείται συνήθως από ένα ανώτερο στρώμα πρωτοκόλλου και το ωφέλιμο φορτίο του. Το ωφέλιμο φορτίο του είναι ο συνδυασμός επικεφαλίδων επέκτασης και του Upper layer. Στο IPV6 μπορούν να τοποθετηθούν προαιρετικές πληροφορίες για το επίπεδο Internet. Αυτό γίνεται χρησιμοποιώντας ξεχωριστές επικεφαλίδες επέκτασης οι οποίες τοποθετούνται ανάμεσα στη βασική επικεφαλίδα και την επικεφαλίδα του πρωτοκόλλου του επόμενου υψηλότερου επιπέδου. 32bits Έκδοση Τάξη Κίνησης Ετικέτα ροής Μήκος ωφέλιμου πακέτου Επόμενη κεφαλίδα Όριο αλμάτων Διεύθυνση προέλευσης 40bytes Διεύθυνση προορισμού HopbyHopoptionsheader Destinations options header Routing header Fragment header Authedication header Encapsulating Security Payload Header Destination Options Header Upper Layer Header(s) Eικόνα 1.3 Δομή ενός πρωτοκόλλου IPV6 Πηγή 17

18 Προκειμένου να κατανοήσουμε το παραπάνω σχήμα και τον τρόπο λειτουργίας του IPV6 κρίνεται απαραίτητο να αναλυθούν τα πεδία του. Πεδία Το πεδίο Έκδοση είναι πάντα 6 για το συγκεκριμένο πρωτόκολλο και αναφέρει την έκδοση του πακέτου. Το πεδίο Τάξη κίνησης χρησιμοποιείται για πακέτα διαφορετικών απαιτήσεων και τη διάκρισή τους. Αποτελείται από 8 bit. Ουσιαστικά ορίζει το είδος της υπηρεσίας που ανήκει στο μοντέλο διαφορετικών υπηρεσιών που πρέπει να δοθεί στο πακέτο. Ροή πακέτων: χρησιμοποιείται για να αναγνωριστούν πακέτα της ίδιας ροής αφού ένας κόμβος μπορεί να έχει περισσότερες από μία ροές πακέτων. Μήκος πακέτου: Δηλώνεται το μήκος του πακέτου των δεδομένων συμπεριλαμβανομένου και του τέλους των επικεφαλίδων σε bytes. Όριο αλμάτων: Μειώνει το μέγεθος του ορίου αλμάτων κατά ένα κάθε φορά που ένας κόμβος προωθεί το πακέτο. Aν ο μετρητής ορίου αλμάτων φτάσει στο 0 τότε το δεδομενόγραμμα απορρίπτεται και διαγράφεται από το δίκτυο. Διεύθυνση αποστολέα: είναι η διεύθυνση του κόμβου που δημιούργησε το πακέτο. Διεύθυνση παραλήπτη: Είναι η IPV6 διεύθυνση του ή των κόμβων που πρόκειται να παραλάβουν το πακέτο. Στο IPV6 υπάρχουν 2 είδη κεφαλίδων. Η main/regular IPV6 καιη IPV6 extension header. Η κύρια επικεφαλίδα του IPV6 λειτουργεί σαν την βασική IPV4 με ελάχιστες 18

19 αλλά βασικές διαφορές. Παρότι η κεφαλίδα στο IPV6 είναι διπλάσια σε μέγεθος από το IPV4, περιέχει λιγότερες πληροφορίες 6. Eικόνα 1.4 Κεφαλίδες επέκτασης του IPV6 Πηγή ntranets%20(ch.15-part2).pdf

20 Μπορεί να υπάρχουν πολλές κεφαλίδες ή μία, ακόμη μπορεί να μην υπάρχει καν κεφαλίδα. το πεδίο του Next Header της προηγούμενης κεφαλίδας αναγνωρίζει κάθε κεφαλίδα επέκτασης. Μπορεί να γίνει επεξεργασία των κεφαλίδων, μόνο από τον κόμβο που αναγνωρίζεται στο πεδίο προορισμού. Σε περίπτωση που μία διεύθυνση είναι multicast οι επικεφαλίδες επέκτασης υπολογίζονται από όλους τους κόμβους που ανήκουν στην ομάδα. 1.8 Επικεφαλίδες επέκτασης σε μερικά. Υπάρχουν διάφορα είδη επικεφαλίδων επέκτασης. Ενδεικτικά θα αναφερθούμε o Hop by Hop option header/επικεφαλίδα βήμα προς βήμα: περιέχει πληροφορίες που πρέπει να εξεταστούν από κάθε δρομολογητή. Προσδιορίζεται από ένα Next Header με τιμή 0. 7 Ακολουθεί τη βασική επικεφαλίδα. Αν η επικεφαλίδα επέκτασης είναι hop by hop η πληροφορία που φέρει, εξετάζεται και υπολογίζεται από κάθε κόμβο της διαδρομής του πακέτου. Σε περίπτωση που δεν υπάρχει η συγκεκριμένη κεφαλίδα, ο δρομολογητής στέλνει αμέσως το πακέτο στον τελικό προορισμό χωρίς να επεξεργαστούν συγκεκριμένες (προαιρετικές) πληροφορίες, ενώ σε αντίθετη περίπτωση εξετάζει μόνο την επικεφαλίδα χωρίς το περαιτέρω πακέτο. Next Header Μήκος υπερμεγέθους ωφέλιμου φορτίου Eικόνα 1.5Η κεφαλίδα επέκτασης άλμα προς άλμα για μεγάλα αυτοδύναμα πακέτα

21 o Routing Header 8 /επικεφαλίδα δρομολόγησης: αυτή η επικεφαλίδα χρησιμοποιείται όταν η πηγή θέλει να περάσει το πακέτο από έναν ή ενδιάμεσους κόμβους πριν τον τελικό προορισμό. Αναγνωρίζεται στο Next Header και έχει τιμή ίση με 43 της προηγούμενη κεφαλίδα. o Destination Options Header/Επικεφαλίδα προορισμού: μεταφέρει προαιρετικές πληροφορίες που εξετάζονται μόνο από τους κόμβους προορισμού. Αναγνωρίζεται στο πεδίο της επόμενης κεφαλίδας και έχει τιμή ίση με 60 της προηγούμενης κεφαλίδας. Αρχικά δεν υπήρχαν επιλογές για τη συμπλήρωση του πεδίου της κεφαλίδας και έτσι χρησιμοποιήθηκαν κενές επιλογές σε πολλαπλάσιο των 8 byte. o Authentication Header/Κεφαλίδα Πιστοποίησης: αυτή η κεφαλίδα, διασφαλίζει την ακεραιότητα, την αποφυγή διπλότυπων πακέτων και την πιστοποίηση ταυτότητας δεδομένων. o Fragment Header/Επικεφαλίδα διάσπασης: Η κεφαλίδα αυτή περιέχει το αναγνωριστικό του πακέτου, τον αριθμό του θραύσματος και ένα bit που δείχνει αν ακολουθούν άλλα θραύσματα. Όταν στέλνεται ένα πακέτο σε ένα IPV6 προορισμό, καθορίζεται το μέγιστο μέγεθος του πακέτου που μπορεί να χρησιμοποιηθεί στο μονοπάτι για το συγκεκριμένο προορισμό. Ένα πακέτο δε διασπάται κατά μήκος της διαδρομής, παρά μόνο από την αρχική πηγή. Next Header Reserved Fragment Offset RES M Identification Εικόνα 1.6Επικεφαλίδαδιάσπασης Next Header: H επόμενη επικεφαλίδα Reserved:Είναι ένα πεδίο 8 bit. FragmentOffset:Είναι ένα πεδίο 13 bit που περιέχει την απόσταση των δεδομένων που ακολουθούν αυτή την επικεφαλίδα από τη αρχή του πακέτου σε λέξει 64 bit. 8 FouskasGΣύχρονα Δίκτυα και Υπηρεσίες ΠΛΗ/31/1 Ανοιχτό Πανεπιστήμιο 21

22 RES:Πεδίο 2 bit που δε χρησιμοποιείται. Αγνοείται κατά τη λήψη ενώ κατά τη μετάδοση αρχικοποιείται στο 0. Μ:Είναι ένα flag που όταν ορίζεται σε 0 σημαίνει πως είναι το τελευταίο κομμάτι ενώ ακολουθούν κι άλλα κομμάτια όταν ορίζεται σε 1. Identification*:Πεδίο 32 bit. o Options Extension Header/ Επικεφαλίδα επέκτασης επιλογών: Έχει έναν αριθμό επιλογών μεταβλητού μήκους. Οι επιλογές τους παρουσιάζονται στο ακόλουθο σχήμα: Option Type(8 bit) Option Data Length 8-bit unsigned integer Option Data Μεταβλητού μήκους Eικόνα 1.7 Μορφή επιλογών κεφαλίδας Επέκτασης ***Option Type: Τα δύο υψηλότερα bits προσδιορίζουν την ενέργεια που θα πρέπει να διεξαχθεί αν ο IPv6 κόμβος δεν αναγνωρίσει την επιλογή. 00 Συνέχισε την επεξεργασία της επικεφαλίδας αφήνοντας την επιλογή 01 Απέρριψε το πακέτο Απέρριψε το πακέτο και ενημέρωσε για το είδος της επιλογής Απέρριψε το πακέτο και αν ο προορισμός δεν είναι multicastστείλε μήνυμα στην πηγή 0 Η επιλογή δεν αλλάζει κατά τη δρομολόγηση 1 Η επιλογή μπορεί να αλλάξει κατά τη δρομολόγηση Πίνακας 1.8 Κωδικοποίηση εντολών στο πεδίο Option Type o Encapsulation Security Payload/Επικεφαλίδα ενσωματωμένης ασφάλειας: Σκοπός της επικεφαλίδας είναι να μεταφερθούν τα κρυπτογραφημένα δεδομένα, 22

23 καθώς τα δεδομένα λαμβάνονται με ένα είδος συγκεκριμένης κρυπτογράφησης προκειμένου να μεταφερθούν με ασφάλεια. Η ενθυλάκωση ασφάλειας ωφέλιμου φορτίου έχει τιμή 50 o Mobility Header/Επικεφαλίδα Φορητότητας: προσφέρονται υπηρεσίες ανάπτυξης των χρηστών κινητών συσκευών στα IPV6 δίκτυα Κατακερματισμός Fragmentation Όταν ένα πακέτο είναι κατακερματισμένο αρχικά χωρίζεται σε Fragmentable και unfragmentable. Unfragmentable: To μη διασπώμενο μέρος του πακέτου υποβάλλεται σε επεξεργασία από τους ενδιάμεσους κόμβους ανάμεσα στον κόμβο κατακερματισμού και τον προορισμό. Αποτελείται από την επικεφαλίδα IPv6 και τις επικεφαλίδες επέκτασης που πρέπει να επεξεργαστούν. Fragmentable:Το κομμάτι του κατακερματισμού πρέπει να διενεργείται μόνο στον κόμβο τελικού προορισμού. Το τμήμα αυτό αποτελείται από την Authedication Header, το Encapsulating Security Payload τις Επιλογές κεφαλίδας και το PDU. Ας δούμε όμως αναλυτικότερα τη διαδικασία του κατακερματισμού. Παρακάτω βλέπουμε μία αναπαράσταση του αρχικού πακέτου που στη συνέχεια χωρίζεται σε κομμάτια ενώ τέλος διασπάται και μεταφέρεται. Σε κάθε διάσπαση το πεδίο κάθε επόμενης κεφαλίδας στην κεφαλίδα διάσπασης υποδεικνύει την πρώτη κεφαλίδα ή το ανώτατο στρώμα του πρωτοκόλλου στο αρχικό πακέτο διάσπασης. Οι σημαίες κατακερματισμού βρίσκονται σε όλα τα πακέτα εκτός από το τελευταίο. Όλα τα πακέτα διάσπασης που δημιουργήθηκαν πρέπει να αναγνωρίζουν την ίδια τιμή πεδίου. Ο κατακερματισμός σε ένα IPv6 μπορεί να συμβεί όταν το ανώτερο στρώμα πρωτοκόλλου υποβάλει ένα πακέτο για αποστολή που είναι μεγαλύτερο από την MTU διαδρομή προορισμού. Για κάθε πακέτο διάσπασης, δημιουργείται μία τιμή Identification η οποία πρέπει να είναι διαφορετική από το Identification κάθε άλλου πρόσφατου πακέτου με την ίδια πηγή και τον ίδιο προορισμό. Αν το πακέτο περιλαμβάνει επικεφαλίδα δρομολόγησης ο προορισμός που 23

24 μας αφορά είναι ο τελικός. Το συγκεκριμένο πεδίο έχει πολύ μεγάλο εύρος τιμών για να μπορεί να διασφαλίζεται η απαίτηση αυτή για ένα και μοναδικό πεδίο Identification*. Εικόνα 1.9Κατακερματισμόςπακέτων IPv6 ΠηγήJosset, C. Bouras, A. Gkamas, K. Stamos, Adding IPv6 support to H323:Gnomemeeting/openH323 port 24

25 1.9 MTU IPv6 Κάθε δίκτυο έχει μία μέγιστη μονάδα μεταφοράς ή MTU (Maximum Transfer Unit) και κάθε τμήμα πρακτικά πρέπει να χωράει σε μία MTU. To IPv6 απαιτεί το link-layer να μπορεί να υποστηρίξει ένα ελάχιστο μέγεθος MTU 1280 bytes 9. Επιπλέον χρησιμοποιεί μία διαδικασία για τη μετάδοση πακέτων μεγαλύτερα από 1280 bytes. Ένας IPv6 κόμβος πρέπει να είναι σε θέση να ανασυνθέσει ένα κατακερματισμένο πακέτο μεγέθους τουλάχιστον 1500 bytes. Ένα μεγαλύτερο MTUείναι πιο αποτελεσματικό καθώς κάθε πακέτο μπορεί να μεταφέρει περισσότερα δεδομένα χρήστη, με μεγαλύτερη αποδοτικότητα και λιγότερη επεξεργασία των πακέτων για τα ίδια δεδομένα. 9 AndrewS. Tanenbaum: Δίκτυα Υπολογιστών 4η Αμερικανική Έκδοση, Κλειδάριθμος 25

26 ΚΕΦΑΛΑΙΟ 2 ADDRESSING AND ROUTING 2.1 Διευθυνσιοδότηση Ο σχεδιασμός του IPV6 μπορεί να επιλύσει πολλά θέματα του προηγούμενου πρωτοκόλλου καθώς μπορεί να επιτελέσει περισσότερες και χωρίς περιορισμούς λειτουργίες. Όπως αναφερθήκαμε και προηγουμένως, το IPV6 χρησιμοποιεί 128bits για την διευθυνσιοδότηση των κόμβων του διαδικτύου. Για να γίνει κατανοητός ο τρόπος διευθυνσιοδότησης αρκεί να αναλογιστούμε ότι όταν ένας κινητός κόμβος βρίσκεται μέσα σε ένα ξένο δίκτυο, όλη η κίνηση που απευθύνεται στη μόνιμη διεύθυνση του κόμβου πρέπει τώρα να δρομολογείται στο ξένο δίκτυο. Μία λύση θα ήταν αν το ξένο δίκτυο δημοσιοποιούσε σε όλα τα άλλα δίκτυα ότι ο κινητός κόμβος βρίσκεται μέσα στο δίκτυο του. Αυτό δημιουργεί το πρόβλημα ότι άλλα δίκτυα ξέρουν τη διεύθυνση του κινητού κόμβου και είναι εύκολο να δρομολογήσουν δεδομενογράμματα στον κόμβο. Άλλο ένα μειονέκτημα είναι αυτό της κλιμάκωσης καθώς οι δρομολογητές θα πρέπει να διατηρούν καταχωρήσεις σε πίνακες προώθησης Τύποι διευθύνσεων πρωτόκολλο. Αρχικά ας δούμε τα είδη των διευθύνσεων και την υποστήριξή τους από το Multicast: χρησιμοποιείται όταν θέλουμε να στείλουμε πακέτα σε πολλούς προορισμούς. Λειτουργεί στέλνοντας πακέτα σε όλες τις διεπαφές που αποτελούν το κομμάτι μίας multicast ομάδας. Χρησιμοποιείται συχνά σε εφαρμογές streaming. Η πηγή μπορεί να στείλει το πακέτο μία φορά, ακόμα και αν είναι πολλαπλοί οι παραλήπτες. Μία διεύθυνση Multicast είναι ορισμένη ακολούθως: 26

27 8bits 4bits 4bits 112bits (*) (**)flgs (***)scop (****)Group ID Eικόνα 2.1 Multicast διεύθυνση στο IPV6 Πηγή Σημ: * προσδιορίζεται η διεύθυνση ως multicast ** προσδιορίζει πότε η διεύθυνση είναι μια καλά αναγνωρισμένη ή multicast *** το εύρος της ομάδας και ο σκοπός της διεύθυνσης ****καθορίζεται η multicastομάδα είτε μόνιμη είτε προσωρινή Unicast: είναι ο πιο κοινός τύπος διεύθυνσης IP. Χρησιμοποιείται για 1 μόνο interface όπου θα οριστεί το σημείο επαφής του κόμβου με το σύνδεσμο του δικτύου. Κάθε κόμβος μπορεί να έχει πολλά interface. Κάποιες εφαρμογές δικτύου που απαιτούν πολλαπλούς υπολογιστικούς πόρους δεν χρησιμοποιούν αυτόν τον τύπο διεύθυνσης, καθώς απαιτείται υψηλό κόστος εύρους ζώνης. Μία Unicast διεύθυνση εισάγεται στην κεφαλίδα του πακέτου προορισμού. Επιπλέον μπορεί να υποστηρίξει διάφορους τύπους διευθύνσεων όπως site local, IPV4 compatible, global aggregatable, site local. Οι διευθύνσεις τύπου Unicast διακρίνονται στις εξής: Global unicast addresses Link-local addresses Unique local addresses Special addresses Transition addresses 27

28 Loopback: H loopback ή διεύθυνση ανατροφοδότησης είναι ένας ειδικός τύπος διεύθυνσης που χρησιμοποιείται για τη δρομολόγηση ηλεκτρονικών σημάτων. Ένας υπολογιστής, ακόμα κι αν καμία δικτυακή διασύνδεση, στέλνοντας πακέτα με προορισμό τη συγκεκριμένη διεύθυνση, αυτά στέλνονται πίσω στον ίδιο του τον εαυτό. Unspecified: Η μορφή της είναι 0:0:0:0:0:0:0:0: και δεν αποδίδεται ποτέ σε κόμβο. Μία τέτοια απροσδιόριστη διεύθυνση, δηλώνει την απουσία μιας IPV6 διεύθυνσης. Για παράδειγμα, κόμβοι που έχουν πρόσφατα αρχικοποιηθεί, τη χρησιμοποιούν σαν διεύθυνση αφετηρίας μέχρι να λάβουν μία IPV6 διεύθυνση. Στον παρακάτω πίνακα βλέπουμε χαρακτηριστικά παραδείγματα απεικόνισης διευθύνσεων Τύπος Κανονική μορφή Απόδοση Unicast address 1080:0:0:0:8:800:200C:417A 1080:8:800:200C:417A Multicast address FF01:0:0:0:0:0:0:101 FF01::101 Loopback address 0:0:0:0:0:0:0:1 ::1 Unspecified address 0:0:0:0:0:0:0:0 :: Πίνακας 2.2Συμπίεση μηδενικών στις IPV6 διευθύνσεις Πηγή IPv6 Forum, 28

29 2.1.3 Ειδικοί τύπο διευθύνσεων IPv4MappedIPv6Address: Οι διευθύνσεις αυτές επιτρέπουν σε εφαρμογές του νέου πρωτοκόλλου να λειτουργούν σε κόμβους του IPv4 και του ΙPv6. Αυτές οι διευθύνσεις ουσιαστικά λύνουν ένα μεγάλο πρόβλημα καθώς απαιτείται κάποιο χρονικό διάστημα για την εφαρμογή του IPv6 σε όλους τους σταθμούς κι έτσι οι εφαρμογές του προηγούμενου πρωτοκόλλου θα συνεχίσουν να υφίστανται. IPv4CompatibleIpv6Address: Αυτές οι διευθύνσεις δίνονται σε κόμβους που υποστηρίζουν και IPv4 και IPv6 αλλά δεν έχουν γειτονικό δρομολογητή που να υποστηρίζει IPv6. Link Local Address:Μία τέτοια διεύθυνση προορίζεται μόνο για την επικοινωνία εντός του τοπικού δικτύου. Αυτές οι διευθύνσεις εκχωρούνται αυτόματα από το διαχειριστή ή από το σύστημα. Χρήστες τέτοιων διευθύνσεων είναι κυρίως όσοι συνδέονται στα δίκτυα των οργανισμών μέσω τηλεφωνικών γραμμών. OSINSAPandIPXaddresses: Αυτές οι διευθύνσεις χρησιμοποιούνται για δίκτυα OSI και IPX Αριθμοδότηση Λαμβάνοντας υπ 'όψιν μας τα παραπάνω, η διεύθυνση ::/128 θεωρείται μη ορισμένη (unspecified), η διεύθυνση ::1/128 είναι διεύθυνση ανατροφοδότησης (loopback) ενώ οι διευθύνσεις FF08. Οι διευθύνσεις του IPv6 είναι 128-bit. Κάθε διεύθυνση χωρίζεται κατά μήκος 16-bit και κάθε 16-bit μπλοκ μετατρέπεται σε ένα 4-ψήφιο αριθμό δεκαεξαδικό και χωρίζεται με άνω και κάτω τελείες. 29

30 Το παρακάτω είναι μια IPv6 διεύθυνση σε δυαδική μορφή: Η 128-bit διεύθυνση χωρίζεται κατά μήκος 16-bit: Κάθε 16-bit μπλοκ μετατρέπεται σε δεκαεξαδικό 2001:0 DB8: 0000:2 F3B: 02AA: 00FF: FE28: 9C5A Μπορεί να απλοποιηθεί περαιτέρω 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A Συνδυασμός ΙPV6 με πρόθεμα Τα πρώτα bits προσδιορίζουν μία IPV6 διεύθυνση. Αυτά τα bits μπορεί να σχηματίσουν μεταβαλλόμενο μήκος πεδίο το οποίο ονομάζεται πρόθεμα τύπου. 30

31 Κατανομή διευθύνσεων Πρόθεμα μορφής Τμήμα χώρου (δυαδικό) διευθυνσιοδότησης Δεσμευμένο /256 Μη δεσμευμένο /256 Δεσμευμένο για NSAP διευθύνσεις /128 Δεσμευμένο για IPX διευθύνσεις /128 Μη δεσμευμένο /128 Μη δεσμευμένο /32 Μη δεσμευμένο /16 Διευθύνσεις Unicast 001 1/8 Μη δεσμευμένο 010 1/8 Μη δεσμευμένο 011 1/8 Μη δεσμευμένο 100 1/8 Μη δεσμευμένο 101 1/8 Μη δεσμευμένο 110 1/8 Μη δεσμευμένο /16 Μη δεσμευμένο /32 Μη δεσμευμένο /64 Μη δεσμευμένο /128 Μη δεσμευμένο /512 Διευθύνσεις δεσμού τοπικές Unicast /1024 Διευθύνσεις κόμβου τοπικές Unicast /1024 Διευθύνσεις Multicast /256 Πίνακας 2.3 Καταμερισμός χώρου διευθυνσιοδότησης Πηγή Οι διευθύνσεις IPV6 10 δεν αποδίδονται σε κόμβους αλλά σε interface. To πρόθεμα του δικτύου σχετίζεται με ένα δικτυακό σύνδεσμο, ενώ πολλά προθέματα μπορούν να συσχετιστούν με τον ίδιο σύνδεσμο. 31

32 2.1.6 Απαιτούμενες διευθύνσεις κόμβου Ένας κόμβος είναι υποχρεωμένος να αναγνωρίζει τις ακόλουθες διευθύνσεις για την αυτοαναγνώρισή του: Τις διευθύνσεις multicast κάθε κόμβου Την Unicast διεύθυνσή του Τη διεύθυνση ανατροφοδότησης Την Unicast για κάθε Unicast, Anycast που του έχει αποδοθεί Τη διεύθυνση τοπικού δεσμού για κάθε διεργασία 2.2 Ανίχνευση Ίδιων Διευθύνσεων(DAD) Προκειμένου να αποφύγουμε την περίπτωση που 2 IPv6 συστήματα έχουν την ίδια διεύθυνση, γίνεται ανίχνευση ίδιων διευθύνσεων για όλες τις καινούριες IPv6 διευθύνσεις πριν αυτές χρησιμοποιηθούν. Για καθολικές unicast χρησιμοποιείται το DAD αλλά και για τις διευθύνσεις link-local. Για προφανείς λόγους δεν υπάρχει DAD για διευθύνσεις anycast αφού η ουσία των anycast διευθύνσεων είναι ότι πολλά μηχανήματα έχουν την ίδια διεύθυνση. Επιτρέπεται επίσης να μη χρησιμοποιηθεί το DAD για διευθύνεις όπου η «ταυτότητα διεπαφής» έχει ήδη ελεγχθεί. 32

33 Εικόνα 2.4 Κύκλος ζωής IPV6 διεύθυνσης Πηγή IPv6 Forum, Αναλύοντας την εικόνα η αρχή του συστήματος είναι μία διεύθυνση link-local. Όταν τοσύστημα λαμβάνει μία διεύθυνση δρομολογητή που περιέχει ένα ή περισσότερα προθέματα με το flag autonomous address configuration ενεργοποιημένο, δημιουργούνται διευθύνσεις με ταυτότητες διεπαφής που παράγονται σύμφωνα με το RFC Η διεύθυνση σημειώνεται ως «δοκιμαστική» και προχωρά στην εκτέλεση DAD. Τότε 1 από τις παρακάτω περιπτώσεις θα συμβεί: Ο υπολογιστής λαμβάνει μια διαφήμιση ενός γείτονα ότι χρησιμοποιείται ήδη η διεύθυνση. Ο υπολογιστής λαμβάνει ένα μήνυμα neighbor solicitation, από κάποιον άλλο υπολογιστή που εκτελεί DAD. Δεν έρχεται καθόλου απάντηση. 2.3 Χρόνος ζωής διεύθυνσης Oι διευθύνσεις αυτορυθμίζονται. H ρύθμιση αυτή μπορεί να παραμείνει μέχρι το μήνυμα για τον «προτεινόμενο χρόνο ζωής» από το δρομολογητή λήξει. Σε όλες σχεδόν τις περιπτώσεις, αυτό δε θα συμβεί επειδή καινούρια πακέτα από το 33

34 δρομολογητή θα ανανεώσουν τους μετρητές. Αλλά αν δεν υπάρχουν τέτοια νέα πακέτα, τελικά ο «προτεινόμενος χρόνος ζωής» θα λήξει και η διεύθυνση θα μαρκαριστεί ως «παρωχημένη». Οι καινούριες σύνοδοι(sessions) που ανοίγονται δεν πρέπει να χρησιμοποιούν «παρωχημένες διευθύνσεις» αλλά να προτιμούν τις καινούριες διευθύνσεις αν είναι διαθέσιμες. Παρ όλα αυτά οι υπάρχουσες σύνοδοι συνεχίζουν να χρησιμοποιούν τις παρωχημένες διευθύνσεις. Τελικά ο «έγκυρος χρόνος ζωής» θα λήξει και οι παρωχημένες διευθύνσεις θα αφαιρεθούν από τη διεπαφή. Αυτό θα τερματίζει βίαια τυχόν συνόδους που ακόμα χρησιμοποιούν τη διεπαφή. 2.4 Δρομολόγηση Γενικά Για να φτάσουν τα πακέτα IPV6 σε απομακρυσμένους προορισμούς, πρέπει να περάσουν από διάφορους IPV6 δρομολογητές. Δρομολογητής είναι ο ενδιάμεσος κόμβος στην επικοινωνία μεταξύ ενός σταθμού και του υπόλοιπου δικτύου IPV6. Εικόνα 2.5 Απλή σύνδεση δρομολογητή 34

35 Παράδειγμα δρομολόγησης IPV6 Configuring IPv6 Stateless Autoconfiguration 1)Device> enable ενεργοποίηση 2) Device>configure terminal ρύθμισητουτερματικού 3) Device(config)# interface FastEthernet 1/0 αριθμόςγιατο interface 4) Device(config-if)# ipv6 address autoconfig αυτόματηδιαμόρφωσηδιεύθυνσης 2.5 Ρυθμίζοντας τα Windows XP σαν δρομολογητή Ρύθμιση λειτουργικού ως δρομολογητή C:\>netsh netsh>interface ipv6 netsh interface ipv6>add address interface="local area connection 3" address=2001:db8:31:2::1 Ok. netsh interface ipv6>add route prefix=2001:db8:31:2::/64 interface=5 publish=yes Ok. netsh interface ipv6>set interface interface=5 forwarding=enabled advertise=enabled Ok. netsh interface ipv6>set interface interface=7 forwarding=enabled Ok. Στο πρώτο βήμα, η διεπαφή Local Area Connection 3 παίρνει 1 διεύθυνση σε 1 προηγουμένως αχρησιμοποίητο δίκτυο. Στη 2η γραμμή προστίθεται 1 καινούριο υποδίκτυο και ο πίνακας δρομολόγησης και η λέξη-κλειδί publish=yes ενημερώνουν τα Windows ότι αυτό το πρόθεμα διεύθυνσης μπορεί να περιληφθεί στη διαφήμιση του 35

36 δρομολογητή. Μετά από αυτό, η προώθηση και οι διαφημίσεις του δρομολογητή είναι ενεργοποιημένες για τη διεπαφή Ethernet 5, και η προώθηση είναι ενεργοποιημένη για τη διεπαφή tunnel 7. Στα Windows το να ενεργοποιείς προώθηση σε μια διεπαφή σημαίνει ότι τα πακέτα που λαμβάνονται σε αυτή τη διεπαφή προωθούνται. Έτσι για να κάνουμε τα Windows να προωθήσουν πακέτα που έρχονται από το Διαδίκτυο πάνω από τη διεπαφή tunnel στο υποδίκτυο Ethernet και από το υποδίκτυο Ethernet στο Διαδίκτυο, η προώθηση θα πρέπει να είναι ενεργοποιημένη και στις 2 διεπαφές. Επειδή δεν υπάρχουν υπολογιστές που ν απαιτούν την ρύθμιση πληροφοριών στο υποδίκτυο tunnel, το να στέλνονται διαφημίσεις δρομολογητή δεν είναι κατάλληλο σε αυτή τη διεπαφή(ούτε επιτρέπεται). Ενεργοποιώντας το traceroute και άλλα πακέτα ICMP. netsh interface ipv6>firewall netsh firewall>set icmpsetting type=11 mode=enable Ok. netsh firewall>set icmpsetting 2 enable 2.6 Διάκριση Πρωτοκόλλων δρομολόγησης Στατική δρομολόγηση Τα πρωτόκολλα στατικής δρομολόγησης δεν ανταλλάσουν πληροφορία σχετική με την κατάσταση του δικτύου με άλλους δρομολογητές. Κάθε φορά που ενεργοποιείται μία σύνδεση από το διαχειριστή του σταθμού, δημιουργείται ένας πίνακας. Ο πίνακας δρομολόγησης. Παραμένει αναλλοίωτος και αποθηκεύεται στα μέσα αποθήκευσης ώστε να δημιουργείται αυτόματα σε κάθε επανεκκίνηση του συστήματος. Όταν δεν υπάρχει εγγραφή default και καμία από τις επαφές μέσα στον πίνακα δεν είναι κατάλληλη, ο δρομολογητής θα στείλει μήνυμα ICMP Host Unreachable, και πληροφορεί το τερματικό αποστολής ότι δεν υπάρχει path στον τελικό παραλήπτη. 36

37 Δυναμική δρομολόγηση Τα πρωτόκολλα αυτά, αφορούν την ανταλλαγή πληροφοριών μεταξύ γειτονικών πληροφοριών με τις τοπολογίες δικτύων που συνδέονται οι δρομολογητές. Η διαδικασία που χρησιμοποιείται προκειμένου να επικοινωνήσουν γειτονικοί δρομολογητές ονομάζεται δαίμονας δρομολόγησης. Ο τελευταίος αναλαμβάνει να ενημερώνει τους πίνακες και βασίζεται στην πληροφορία που λαμβάνει από γειτονικούς δρομολογητές. Ουσιαστικά αποφασίζει πιο είναι το καλύτερο μονοπάτι προς έναν προορισμό και το εγγράφει στον πίνακα. Τα πρωτόκολλα δυναμικής δρομολόγησης χωρίζονται σε 2 κατηγορίες: IGPs:(interior gateway protocol): Το πρωτόκολλο εσωτερικής δρομολόγησης είναι ένα πρωτόκολλο δρομολόγησης χάρις στο οποίο γίνεται ανταλλαγή πληροφοριών με τα δεδομένα του αυτόνομου συστήματος. Εκτελούν δρομολόγηση σε δίκτυα που έχουν κοινή δικτυακή διαχείριση. EGPs: (exterior gateway protocol): Τα πρωτόκολλα εξωτερικής δρομολόγησης χρησιμοποιούνται για την ανταλλαγή πληροφορίας δρομολόγησης μεταξύ δικτύων που δεν έχουν κοινή διαχειριστική αρχή To μοντέλο RIPv6 To μοντέλο αυτό βασίστηκε στο μοντέλο IGP. Σχεδιάστηκε από την Xerox για τα XNS δίκτυα. Το πρωτόκολλο αυτό δημιουργεί έναν πίνακα αποστάσεων στον οποίο κάθε δρομολογητής στέλνει το δικό του πίνακα αποστάσεων στους γειτονικούς δρομολογητές κάθε 30 δευτερόλεπτα. Επιτρέπονται μέχρι 15 βήματα και κάθε προορισμός με μεγαλύτερης απόσταση είναι μη προσπελάσιμος. Χρησιμοποιεί 2 είδη μηνυμάτων, του τύπου request και του τύπου response τα οποία μεταδίδονται με τη χρήση του πρωτοκόλλου UDP. Πιοαναλυτικά όταν ξεκινά ένα σύστημα, αναζητά τις ενεργές διασυνδέσεις με τις οποίες είναι συνδεδεμένο. Στη συνέχεια στέλνει πακέτο RIP και ζητά τους πλήρεις πίνακες των γειτονικών δρομολογητών. Για να γίνει η αίτηση παροχής, τα πεδία command, address family και metric της επικεφαλίδας του 11 Understanding IPv6 Microsoft 3th edition

38 μηνύματος, τίθενται σε 1, 0 και 16. Αφού η αίτηση φτάσει στη συνέχεια στέλνεται ο πλήρης πίνακας του δρομολογητή και εξετάζεται αν η αίτηση είναι για τον πλήρη πίνακα. Αν όχι τότε εξετάζεται το πεδίο metric για κάθε εγγραφή της αίτησης και παίρνει την αντίστοιχη τιμή ειδάλλως παίρνει την τιμή "16", που σημαίνει ότι δεν υπάρχει μονοπάτι στον πίνακα για το συγκεκριμένο προορισμό. Αξιοσημείωτο είναι ότι η πληροφορία που περιέχεται σε έναν πίνακα έχει περιορισμένη <<διαρκεί ζωής>> To μοντέλο OSPFv6 To πρωτόκολλο αυτό χρησιμοποιεί τον αλγόριθμο Dijkstra και στηρίζεται στην έννοια της ιεραρχημένης δομής. Σαν αρχή του είναι ότι το αυτόνομο σύστημα διαιρείται σε τομείς καθένας από τους οποίους έχει μία ομάδα διασυνδεδεμένων δικτύων. Χρησιμοποιείται κυρίως στα μεγάλα δίκτυα, όπου ο πίνακας δρομολόγησης αυξάνεται συνεχώς και η δρομολόγηση είναι αδύνατη σε πραγματικό χρόνο. Όταν έχουμε δρομολόγηση εντός περιοχής την ονομάζουμε <<intra area>> ενώ όταν έχουμε σε διαφορετικές περιοχές <<inter area>>. Όταν μία περιοχή δεν είναι συνεχόμενη είναι απαραίτητη η ρύθμιση εικονικών συνδέσεων προκειμένου να υπάρχει συνοχή. Μπορούν να εκτελούνται πολλές οντότητες στην ίδια σύνδεση χωρίς να γίνεται πιστοποίηση. Εικόνα 2.6 Παράδειγμα δρομολόγησης στο OSPF Πηγή 38

39 Τα πακέτα δεδομένων που διέρχονται από το και πηγαίνουν μέσω του.1.3 ή μέσω του.1.5 αφού οι δύο διαδρομές έχουν το ίδιο κόστος. Τα κόστη των διαφόρων ζεύξεων γίνονται γνωστά στους δρομολογητές ενός δικτύου μέσω της χρήσης του πρωτοκόλλου HELLO. Εκτός από τη μετάδοση πληροφορίας το HELLO συγχρονίζει τα ρολόγια των συστημάτων του OSPF. Ο δρομολογητής εισάγει ένα πεδίο της τρέχουσας ώρας αντιγράφοντάς την από το τοπικό ρολόι πριν από την αποστολή. Το σύστημα αφού λάβει το πακέτο αφαιρεί την τιμή αυτή από την τιμή που υπολογίζει ότι έχει ο αποστολέας από τη χρονική στιγμή της λήψης. Έτσι υπολογίζεται η διάρκεια για την αποστολή του πακέτου και ο ρυθμός διέλευσης. Παρατηρώντας την επικεφαλίδα ενός OSPF μηνύματος βλέπουμε ότι περιέχεται πεδίο για ανίχνευση λαθών. Το πεδίο version περιέχει την τρέχουσα έκδοση του πρωτοκόλλου ενώ το πεδίο type χρησιμοποιείται για την αναγνώριση του μηνύματος. Το πεδίο Network Mask περιέχει τη μάσκα του δικτύου από το οποίο εστάλη το μήνυμα. Αν παρέλθει το χρονικό διάστημα από το Dead Timer και ο δρομολογητής δεν έχει απαντήσει, τότε ο συγκεκριμένος δρομολογητής δε θα ληφθεί στη διαδικασία δρομολόγησης. Το πεδίο Hello Int. περιέχει το διάστημα μεταξύ της αποστολής διαδοχικών μηνυμάτων ενώ τα υπόλοιπα 3 πεδία περιέχουν τις διευθύνσεις των προεπιλεγμένων δρομολογητών. Εικόνα 2.7 Επικεφαλίδα μηνύματος OSPF Πηγή Εικόνα 2.8 Το μήνυμα HELLO Πηγή 39

40 Εικόνα 2.9 Το μήνυμα Database Description Πηγή Το μήνυμα Database Description χρησιμοποιείται προκειμένου να ανταλλάξουν πληροφορίες οι δρομολογητές από τις βάσεις δεδομένων τους. Επιπλέον από αυτό καταλαβαίνει ένας δρομολογητής την τοπολογία δικτύου που βρίσκεται. Ένας master δρομολογητής απαιτεί από έναν slave να του δώσει πληροφορίες από τη βάση δεδομένων του. Αν η βάση που απαιτεί να του σταλεί είναι μεγάλη και δεν χωράει σε ένα μήνυμα χρησιμοποιούνται τα bits l με τιμή 1 και Μ το οποίο είναι 1 αν ακολουθούν και άλλα μηνύματα που αφορούν την ίδια αίτηση. Το πεδίο bit S ξεχωρίζει τα μηνύματα του slave από αυτά του master. Tα υπόλοιπα πεδία παρέχουν πληροφορίες σχετικά με το χρόνο που ενεργοποιήθηκε η σύνδεση, την ταχύτητα του δρομολογητή και τον τύπο ζεύξης. Το μήνυμα Link Status Request χρησιμοποιείται για την βελτίωση των πληροφοριώνδρομολόγησης. Οι δρομολογητές στέλνουν πρότυπο σύνδεσμο αιτήματος για την απάντηση του μηνύματος. Οι πληροφορίες του συνδέσμου απεικονίζονται στον παρακάτω πίνακα. Οι γείτονες αποκρίνονται με την πιο πρόσφατη πληροφορία για τους αναμενόμενους συνδέσμους. Αν η λίστα αιτημάτων είναι μεγάλη τότε αναμεταδίδεται σε πολλαπλά μηνύματα. OSPF HEADER WITH TYPE LINK TYPE LINK ID ADVERTISING ROUTER... Εικόνα 2.10 Μορφή OSPF link status request μηνύματος Πηγή 40

41 Το μήνυμα Link Status Upd 13 χρησιμοποιείται προκειμένου να πληροφορηθούν οι γειτονικοί δρομολογητές για την αλλαγή μίας κατάστασης ζεύξης. Το μήνυμα είναι μεταβλητού μήκους. H επικεφαλίδα Link Status ακολουθείται από μία μορφή η οποία προσδιορίζει τον τύπο του συνδέσμου. Πιθανές επιλογές συμπεριλαμβάνουν συνδέσμους από έναν δρομολογητή σε μία περιοχή, ένα συγκεκριμένο δίκτυο, ένα υποδίκτυο Το μοντέλο IDRPv2 Τα αρχικά του προέρχονται από τη σύντμηση των λέξεων Inter-Domain Routing Protocol και είναι ένα EGP πρωτόκολλο που χρησιμοποιείται στο IPV6. Ουσιαστικά χρησιμοποιείται στην αρχιτεκτονική OSI και είναι ένας πίνακας μονοπατιού. Ένα πρόθεμα IPV6 αναγνωρίζει την δρομολόγηση. Στο συγκεκριμένο πρωτόκολλο δεν χρησιμοποιείται ο όρος αυτόνομη αλλά domain To πρωτόκολλο ICMPv6 Το ΙCMPv6 αποτελεί αναπόσπαστο μέρος του IPv6 και εκτελεί την αναφορά σφαλμάτων, διαγνωστικές λειτουργίες (π.χ., ping), και περιλαμβάνει ένα πλαίσιο για επεκτάσεις και για την εφαρμογή μελλοντικών αλλαγών. Συνδυάζει λειτουργίες που προηγουμένως μοιράζονταν σε πρωτόκολλα. Επιπλέον κάνει διαχείριση multicast ομάδων 14. Τα μηνύματα του ICMPv6 χωρίζονται σε 2 κατηγορίες: Μηνύματα λάθους Μηνύματα πληροφοριών 13 Ν.P. Gopalan, B. Siva Selvan: TCP/IP Illustrated, by Asoke K. Ghosh

42 Εικόνα2.11 Δομή ICMPv6 μηνύματος Παρακάτω παρουσιάζονται τα βασικά μηνύματα του IPV6 και η περιγραφή τους Μήνυμα Περιγραφή Destination Unreachable Το πακέτο δεν μπορεί να παραδοθεί Time Exceeded Parameter Problems Το πακέτο είναι πολύ μεγάλο για να σταλεί Σφάλμα κατά την επεξεργασία της επικεφαλίδας/επέκτασης Echo Request Διαπιστώνει πότε ένας IPV6 κόμβος είναι προσβάσιμος από το δίκτυο Echo Reply Χρησιμοποιείται για να απαντήσει στο IPV6 EchoReply Πίνακας 2.12 Bασικά μηνύματα IPV Το μοντέλο εύρεσης γειτόνων Οι κόμβοι υποδοχής ή αποστολής πακέτων, όσο και οι δρομολογητές προκειμένου να ορίσουν τη διεύθυνση που συνδέονται με τους γειτονικούς κόμβους του ίδιου υποδικτύου, χρησιμοποιούν το μοντέλο εύρεσης γειτόνων. Έτσι απαλείφουν τις τιμές που δεν έχουν ισχύ. Ταυτόχρονα βρίσκει το πρόθεμα της διεύθυνσής τους και έτσι διακρίνονται από τους υπόλοιπους σταθμούς. Σε αντίθεση με το IPV4 στο δεν χρησιμοποιείται το ARP και το RARP επειδή πλέον χρησιμοποιείται η τεχνική multicasting. Με το μοντέλο εύρεσης γειτόνων δίνεται η δυνατότητα να συσχετίζονται οι διευθύνσεις IP και να ελέγχεται η μοναδικότητα της κάθε διεύθυνσης. Επίσης αποτελεί σημαντικό παράγοντα σε ενδεχόμενες επιθέσεις όπου θα γίνει εκτενέστερη ανάλυση στο κεφάλαιο της ασφάλειας. 42

43 2.6.6 To πρωτόκολλο BGP To Border Gateway Protocol 15 είναι ένα πρωτόκολλο που επιτρέπει την ανταλλαγή πληροφορίας μεταξύ δρομολογητών που βρίσκονται στο ίδιο ή σε διαφορετικά αυτόνομα συστήματα. Ουσιαστικά είναι μία πύλη εξωτερικού πρωτοκόλλου σε αντίθεση με το RIP και το OSPF που είναι εσωτερικά πρωτόκολλα. Αν και προαιρετικό, όταν χρησιμοποιείται μπορεί να αντιμετωπίσει σφάλματα ή απώλειες εξερχόμενων κινήσεων. Τέλος μπορούμε να συναντήσουμε τις εξής περιπτώσεις ανταλλαγής πληροφορίας: Δρομολόγηση Διέλευσης(Pass Through): Μία περίπτωση δρομολόγησης διέλευσης είναι όταν κατά την ανταλλαγή πληροφορίας μεταξύ δρομολογητών που συνδέονται με το συγκεκριμένο πρωτόκολλο μέσω ενός άλλου αυτόνομου συστήματος το οποίο δε συμμετέχει στο BGP. Δρομολόγηση ενός αυτόνομου συστήματος: Οι δρομολογητές βρίσκονται στο ίδιο αυτόνομο σύστημα. Θα πρέπει να ενημερώνονται όλοι οι δρομολογητές για την τοπολογία του δικτύου αλλά και να καθορίζεται κάποιος ως συνδετικό σημείο προς άλλα αυτόνομα συστήματα. Δρομολόγηση μεταξύ διαφορετικών αυτόνομων συστημάτων: Οι δρομολογητές ανήκουν σε διαφορετικά αυτόνομα συστήματα όμως όσοι συμμετέχουν στην ανταλλαγή πληροφοριών πρέπει να βρίσκονται στο ίδιο φυσικό δίκτυο

44 Εικόνα 2.13 Δομή BGP κεφαλίδας Πηγή Το πεδίο marker περιέχει μία τιμή πιστοποίησης για την αυθεντικότητα του πακέτου, ενώ χρησιμοποιείται για την ανίχνευση σφαλμάτων συγχρονισμού μεταξύ των δρομολογητών. Το length καθορίζει το μήκος του πακέτου σε bytes με την επικεφαλίδα. Η τιμή πρέπει να είναι μεγαλύτερη ή ίση με 19 και μικρότερη από Στο Τype ρυθμίζεται ένας από τους τύπους πακέτων α) Open εγκατάσταση σύνδεσης η αποσύνδεση ενός δρομολογητή β) Update Εγκατάσταση ή απόσυρση ενός μονοπατιού γ)notification όταν ανιχνευτεί κάποιο λάθος αποστέλλεται αυτό το μήνυμα δ) Keep Alive επιβεβαιώνουν την ύπαρξη σύνδεσης των δρομολογητών. Data περιέχονται πληροφορίες δρομολόγησης. 2.7 RouterDiscovery Η διαδικασία επιτυγχάνεται μέσα από την παραλαβή της διαφήμισης του δρομολογητή που αποστέλλεται από ένα link router. Αυτό γίνεται είτε με τη μορφή διαφήμισης του δρομολογητή είτε ως απάντηση σε μία πρόσκληση του router για ένα IPv6 host. Οι διαφημίσεις Router μπορεί να περιέχουν έναν κατάλογο προθεμάτων. Τα προθέματα αυτά χρησιμοποιούνται για αυτόματη διαμόρφωση διευθύνσεων και για ανίχνευση διπλών διευθύνσεων. Εάν η διεύθυνση προορισμού σε ένα IP πακέτο ανήκει σε ένα πρόθεμα on-link αποστέλλονται στον επόμενο δρομολογητή. Όταν αναφερόμαστε στα διαφημιστικά μηνύματα, αναφερόμαστε κυρίως σε: Ένα ή περισσότερα προθέματα on-link IPv6 που μπορεί να χρησιμοποιηθούν από τους κόμβους τοπικής σύνδεσης για αυτόματη ρύθμιση των διευθύνσεων IPv6. 44

45 Πληροφορίες Χρόνου ζωής του προθέματος που περιλαμβάνεται στη διαφήμιση. Σύνολο flags που δείχνουν τον τύπο της αυτόματης διαμόρφωσης (stateless, statefull) που μπορεί να ολοκληρωθεί. Πληροφορίες του προεπιλεγμένου δρομολογητή που στέλνει τη διαφήμιση, και το χρόνο αποστολής σε δευτερόλεπτα. Πληροφορίες για τους host, όπως το hop limit και MTU. 2.8 Ανίχνευση γειτόνων Η ανίχνευση γειτόνων 16 λειτουργεί με τον ακόλουθο τρόπο. Όταν ένας host στέλνει ένα πακέτο IPv6 ελέγχει την Cache της γειτονικής διεύθυνσης και καθορίζει τη διεύθυνση του συνδέσμου στον επόμενο κόμβο. Ένα επίπεδο πρόσβασης δείχνει αν η γειτονική διεύθυνση είναι προσβάσιμη. Στο IPv6 μία διεύθυνση θεωρείται προσβάσιμη αν έχει λάβει πρόσφατα επιβεβαίωση ότι τα πακέτα έχουν ληφθεί από τη γειτονική διεύθυνση. Αυτό επιτυγχάνεται με δύο τρόπους: α) Από τη λήψη μίας διαφήμισης από μία γειτονική διεύθυνση σε απάντηση πρόσκλησης γείτονα που στέλνεται από έναν host ή όταν υποδεικνύεται από τα ανώτερα στρώματα άλλων πρωτοκόλλων. Μία στοίβα χρησιμοποιεί τις αναγνωρίσεις αυτές και τις καταχωρεί προκειμένου να θεωρούνται προσβάσιμες. O host θα στείλει γειτονική πρόσκληση σε περίπτωση που δεν υπάρχει καταχώριση στη μνήμη προκειμένου να οριστούν εκ νέου προσβάσιμες οι διευθύνσεις για την αποστολή ενός πακέτου. 16 Marin Dunmore: 6net An IPv6 Deployment Guide, The 6net Consortium,

46 ΚΕΦΑΛΑΙΟ 3 Plug and Play Γενικά Η έκφραση Plug and Play σημαίνει τοποθέτηση και άμεση λειτουργία. Ουσιαστικά είναι μία λειτουργία που επιτρέπει σε έναν υπολογιστή να αναγνωρίσει μία νέα συσκευή που προστέθηκε στο σύστημα και να μπορέσει άμεσα να την υποστηρίξει. 3.1 Αυτορρύθμιση διευθύνσεων και σταθμών Μία από τις χρησιμότητες του IPV6 είναι η ικανότητα αυτόματης ρύθμισης, ακόμα καιχωρίς τη βοήθεια πρωτοκόλλου διαμόρφωσης διεύθυνσης, σύνδεσης δικτύου. Στο νέο πρωτόκολλο έχουμε τη δυνατότητα να συνδεόμαστε αυτόματα στο δίκτυο, μέσω των δυνατοτήτων που προσφέρονται για αυτόματη ρύθμιση. Αυτό γίνεται μέσω του DHCPv6 ενός μηχανισμού διαχείρισης πρωτοκόλλου TCP/IP. To DHCPv6 είναι το αντίστοιχο DHCP για το IPV6. Στο IPv4 χρησιμοποιούνταν το πρωτόκολλο DHCP για να λάβει 1 μηχάνημα αυτόματα IP διεύθυνση. Αυτό έχει 2 μεγάλα μειονεκτήματα: 1)χρειάζεται 1 DHCP server. 2)δεν υπάρχει εγγύηση ότι το ίδιο μηχάνημα θα λάβει την ίδια διεύθυνση(εκτός βέβαια και αν ρυθμιστεί ρητά με αντιστοίχηση της MAC διεύθυνσής του). Με το IPv6 υπάρχει μεν μια ανανεωμένη έκδοση του DHCP το DHCPv6 αλλά υπάρχει και άλλη επιλογή για την αυτόματη ρύθμιση της διεύθυνσης, που ονομάζεται stateless autoconfiguration. Με αυτή την επιλογή κάθε δικτυακή συσκευή περιμένει να «ακούσει» ποια 64 bit να χρησιμοποιήσει για το πρώτο μέρος της IPv6 διεύθυνσης. Όσες συσκευές είναι μέρος του ίδιου δικτύου έχουν το ίδιο 64-bit πρόθεμα. Τα υπόλοιπα bit συμπληρώνονται από τη MAC διεύθυνση των συσκευών αυτών. Οι MAC διευθύνσεις είναι 48 bit συνεπώς τα υπόλοιπα 16 συμπληρώνονται κατά 1 προσυμφωνημένο τρόπο, συνήθως με 1. Με αυτόν τον τρόπο ο ίδιος Η/Υ παίρνει την 46

47 ίδια IP κάθε φορά στο ίδιο δίκτυο και χωρίς την ανάγκη ύπαρξης DHCP server. Βέβαια οι δρομολογητές συνεχίζουν να «διαφημίζουν» στους Η/Υ ποιους δρομολογητές μπορούν να χρησιμοποιήσουν για να επικοινωνήσουν με το υπόλοιπο Internet. Έχει σαν σκοπό τη ρύθμιση διεύθυνσης, την απόδοση πληροφοριών και τη διαφήμιση προθεμάτων στους δρομολογητές. Οι IPV6 host μπορούν να ρυθμιστούν αυτόματα με την αποθήκευση κατάστασης. Αυτό μπορεί να γίνει και χωρίς αποθήκευση κατάστασης (stateless address auto configuration). Για να γίνει αυτό απαιτείται η δημιουργία μίας τοπικής διεύθυνσης και η επαλήθευση της μοναδικότητάς της σε μία σύνδεση. Αυτά είναι τα δύο μοντέλα απόδοσης IP διευθύνσεων. Stateless Address Autoconfiguration: είναι μία διαδικασία που χρησιμοποιούν οι IPV6 κόμβοι για να ρυθμίσουν αυτόματα τις διευθύνσεις για τα Interface. Έτσι καταργείται η ανάγκη για χειροκίνητες ρυθμίσεις παραμέτρων ή η βοήθεια ενός εξυπηρετητή. Ουσιαστικά ένας κόμβος δημιουργεί διάφορες διευθύνσεις συνδυάζοντας το πρόθεμα μίας διεύθυνσης είτε με τη MAC διεύθυνση του κόμβου είτε χρησιμοποιώντας έναν αναγνωριστή διεπαφής. Το πρόθεμα περιέχει το πρόθεμα τοπικού συνδέσμου της μορφής fe80::/10 και προθέματα μήκους 64 από τοπικούς δρομολογητές αν υπάρχουν. Οι κόμβοι παράγουν ένα αναγνωριστικό διεπαφής που χαρακτηρίζει μοναδικά μία διεπαφή σε ένα υποδίκτυο και οι δρομολογητές διαφημίζουν τα προθέματα του υποδικτύου. Κατά την διεργασία πραγματοποιείται αρχικοποίηση διεπαφής. Stateful Address Autoconfiguration: Εδώ οι κόμβοι λαμβάνουν τις διευθύνσεις των διεπαφών και τις πληροφορίες διαμόρφωσης από έναν κεντρικό server. Οι κεντρικοί υπολογιστές διατηρούν μία βάση δεδομένων για τις ήδη χρησιμοποιημένες διευθύνσεις. Σε αντίθεση με την πρώτη μέθοδο η Stateful χρησιμοποιείται όταν απαιτείται αυστηρότερος έλεγχος για αναθέσεις διευθύνσεων. Both: είναι βασισμένο στα μηνύματα του δρομολογητή διαφήμισης και περιέχει επιλογές πληροφοριών προθέματος και αυτόνομο flag ορισμένο σε 1. Επιπλέον έχει διαχείριση configuration address ή άλλες statefull configuration flags ορισμένες σε "1" 47

48 3.2 Autoconfigured Address States Τις αυτορυθμιζόμενες διευθύνσεις μπορούμε να τις συναντήσουμε στις ακόλουθες καταστάσεις: Tentative: Η διεύθυνση βρίσκεται στη διαδικασία επαλήθευσης μοναδικότητας. Γίνεται διπλη ανίχνευση, ενώ ο κόμβος δεν έχει τη δυνατότητα να λάβει Unicast διευθύνσεις όταν η διεύθυνση είναι προσωρινή. Παρόλα αυτά μπορεί να λαμβάνει και να επεξεργάζεται μηνύματα multicast. Valid: η διεύθυνση μπορεί να χρησιμοποιηθεί για την αποστολή και λήψη σε κίνηση Unicast. Preffered: Η διεύθυνση είναι έγκυρη έχει ελεγχθεί η μοναδικότητά της και μπορεί να χρησιμοποιηθεί για απεριόριστη επικοινωνία. Ένας κόμβος μπορεί να στέλνει και να λαμβάνει unicast traffic από και προς μία προτιμώμενη διεύθυνση. Από το πρόθεμα ενός δρομολογητή στο πεδίο Lifetime στην επιλογή Πληροφορίες, μπορούμε να ρυθμίσουμε τη χρονική διάρκεια που επιθυμούμε να παραμείνει προτιμητέα η διεύθυνση. Deprecated: Η διεύθυνση είναι έγκυρη, η μοναδικότητά της έχει ελεγχθεί, αλλά δε συνιστάται για σύνδεση. Invalid: Η διεύθυνση δεν μπορεί να χρησιμοποιηθεί για Unicast κινήσεις. Όταν επισημανθεί ως <<invalid>> λήγει ο χρόνος ζωής της. 48

49 Εικόνα 3.1 επίπεδα αυτορυθμιζόμενης διεύθυνσης Πηγή Cisco.Press.IPv6.for.Enterprise.Networks.Mar Διαδικασία αυτορρύθμισης IPV6 εξής: Για το IPv6 υποδοχής, η Autoconfiguration διεύθυνση πραγματοποιείται ως 1. Ο host στέλνει ένα μήνυμα αποδοχής στο Router, ενώ οι δρομολογητές στέλνουν ανά τακτά διαστήματα διαφημίσεις. 2. Σε περίπτωση που δεν υπάρχουν μηνύματα Διαφήμισης Router, o host χρησιμοποιεί ένα πρωτόκολλο διαμόρφωσης διεύθυνσης για να αποκτήσει διευθύνσεις και άλλες παραμέτρους διαμόρφωσης. 3. Εάν εμφανιστεί ότι έχει ληφθεί ένα μήνυμα Διαφήμισης Router, το hop limit ρυθμίζεται σε προσβάσιμο χρόνο και αναμεταδίδεται. 4. Για κάθε Prefix Information με επιλογή προθέματος, θα συμβούν οι ακόλουθες ενέργειες: a. Αν το On-Link flag έχει οριστεί σε 1, το πρόθεμα προστίθεται στη λίστα πρόθεμα. b. Εάν η Αυτόνομη σημαία έχει οριστεί σε 1, το πρόθεμα και ένα κατάλληλο αναγνωριστικό διεπαφής χρησιμοπoιείται για τον υπολογισμό της διεύθυνση. 49

50 c. Γίνεται ανίχνευση για διπλότυπες διευθύνσεις προκειμένου να επιβεβαιώσουν τη μοναδικότητα της διεύθυνσης. d. Εάν η δοκιμαστική διεύθυνση είναι σε χρήση δεν προετοιμάζεται για τη διασύνδεση. e. Εάν η δοκιμαστική διεύθυνση δεν είναι σε χρήση, η διεύθυνση θα αρχικοποιηθεί. Αυτό περιλαμβάνει τη ρύθμιση της εγκυρότητας και τη διάρκεια ζωής. Εάν χρειαστεί, περιλαμβάνει επίσης την καταχώρηση του επιπέδου σύνδεσης multicast. 5. Εάν η Managed address configuration flag στο μήνυμα Διαφήμισης του Router έχει οριστεί σε 1, ένα πρωτόκολλο διαμόρφωση διεύθυνσης χρησιμοποιείται για την απόκτηση επιπλέον διευθύνσεων.. 6. Εάν κάποια άλλη Statefull configuration flag στο μήνυμα Διαφήμισης Router έχει οριστεί στο 1, γίνεται λήψη των υπολοίπων παραμέτρων διαμόρφωσης. 50

51 Εύρεση link-local address Ρύθμιση hoplimit, χρόνου αναμετάδοσης, ΜΤU Αποστολή multicast σε γειτονικές διευθύνσεις Φαίνονται οι επιλογές προθέματος; ΝΑΙ Α Β Έλαβε απάντηση η διαφήμιση; ΝΑΙ Παύση αυτορρύθμισης διεύθυνσης ΟΧΙ Είναιη Manage address configuration flag ρυθμισμένηστο 1; Αρχικοποίηση link-local address ΟΧΙ Στείλε αίτηση στο δρομολογητή Πρωτόκολλο αυτορρύθμισης διεύθυνσης Χρήση πρωτοκόλλου διαμόρφωσης διεύθυνσης Είναιάλλη Statefull Configuration flag στο 1; ΝΑΙ Επιβεβαίωση λήψης από το δρομολογητή; Χρήση πρωτόκολλου διαμόρφωσης διεύθυνσης Σταμάτα την αυτορρύθμιση διεύθυνσης Σχήματα 3.2 διάγραμμα ροής αυτόματης ρύθμισης διεύθυνσης για έναν κεντρικό υπολογιστή. Πηγή Cisco.Press.IPv6.for.Enterprise.Networks.Mar

52 3.4 DHCPV6 Μηνύματα Όπωςκαιστο DHCP γιατο IPv4, τα DHCPv6 μηνύματαείναιτύπου User Datagram Protocol (UDP). Η δομή DHCPv6 μηνυμάτων είναι πολύ πιο απλή από ό, τι για το DHCP του IPv4, η οποία είχε τις ρίζες της στο πρωτόκολλο BOOTP. Το συγκεκριμένο υποστηρίζει χωρίς σκληρό δίσκο θέσεις εργασίας. Εικόνα 3.3Μηνύματα ανταλλαγής client με server Πηγή Cisco.Press.IPv6.for.Enterprise.Networks.Mar.2011 Η ακόλουθη λίστα περιγράφει τα πεδία σε ένα DHCPv6 μήνυμα Msg Type: Αυτό το πεδίο μεγέθους 1 byte δηλώνει το είδος του DHCPv6 μηνύματος. Transaction ID: Αυτό το πεδίο 3 byte, χρησιμοποιείται για την ομαδοποίηση μηνυμάτων. Options: περιέχονται επιλογές πληροφοριών αναγνώρισης client και server, statefull διευθύνσεις και περισσότερες ρυθμίσεις. Option-Code: Μεγέθους 2 byte δηλώνει το είδος της επιλογής. Option-Len : Δείχνει το μήκος του πεδίου Options σε byte. Option-Data : Περιέχει τα δεδομένα του Options. Υπάρχει μια ξεχωριστή δομή μηνύματος για τα μηνύματα που ανταλλάσσονται μεταξύ των agents και των servers που καταγράφουν πρόσθετες πληροφορίες, όπως το υποδίκτυο από το οποίο προέρχεται το 52

53 μήνυμα. Έτσι ο DHCPv6 server μπορεί να καθορίσει το κατάλληλο πρόθεμα υποδικτύου Εικόνα 3.4Μηνύματα μεταξύ agents και server Πηγή Cisco.Press.IPv6.for.Enterprise.Networks.Mar.2011 Ανταλλαγή Stateful Μηνυμάτων Χρησιμοποιείται όταν το Μ και Ο flag έχουν οριστεί σε "1", καθώς λαμβάνουν διαφήμιση από το δρομολογητή. Ανταλλαγή Μηνυμάτων Stateless Χρησιμοποιείται όταν το flag M έχει οριστεί 0 και το flag O με DHCPv6 Support DHCPv6 Client Τα Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, τα Windows 8, Windows 7, και τέλος τα Windows Vista περιλαμβάνουν έναν DHCPv6 client. Ο τελευταίος επιχειρεί βάση των τιμών Μ, Ο flag να λάβει μηνύματα διαφήμισης από το δρομολογητή. Ρυθμίζοντας κάθε φορά τα flags, μπορούμε να διαμορφώσουμε το υποδίκτυο και τους servers. Σε περίπτωση που υπάρχουν πολλοί δρομολογητές διαφήμισης για ένα υποδίκτυο, θα πρέπει να ρυθμιστούν τα flags ώστε να διαφημίσουν τα ίδια προθέματα. 53

54 DHCPv6 Relay Agent Τα Windows Server 2012, Windows Server 2008 R2 και Windows Server 2008 υποστηρίζουν DCHPv6 relay agents δρομολόγηση και απομακρυσμένη πρόσβαση. Για να εγκατασταθεί και να ρυθμιστεί το DHCPv6 relay agents: Χρησιμοποιώντας το εργαλείο Διαχειριστή διακομιστή μπορούμε να προσθέσουμε νέα υπηρεσία δρομολόγησης ή να ορίσουμε απομακρυσμένη πρόσβαση. Πρωτόκολλο ΙPV6 για αυτορρυθμιζόμενο λειτουργικό Windows Από προεπιλογή, οι υπολογιστές με Windows Server 2012, Windows Server 2008 R2, τα Windows Server 2008, τα Windows 8, Windows 7 ή Windows Vista παράγουν τυχαία αναγνωριστικά διασύνδεσης για μη προσωρινές αυτορυθμιζόμενες IPv6 διευθύνσεις, συμπεριλαμβανομένων των δημόσιων και link-local διευθύνσεων, αντί να χρησιμοποιούν EUI-64 αναγνωριστικά interface. Μια δημόσια διεύθυνση IPv6 είναι μια παγκόσμια διεύθυνση που έχει καταχωρηθεί στο DNS και συνήθως χρησιμοποιείται από server εφαρμογών για εισερχόμενες συνδέσεις, γνωστοί ως web server. Μπορεί να ενεργοποιηθεί η προεπιλεγμένη ρύθμιση. 3.6 Υποστήριξη φορητότητας Γενικά Ουσιαστικά, με τον όρο φορητότητα, εννοούμε τη δυνατότητα μιας συσκευής να συνδέεται σε ένα δίκτυο, από διαφορετικές τοποθεσίες και σε διαφορετικές χρονικές περιόδους. Με τις ραγδαίες τεχνολογικές εξελίξεις υπήρξε η αναγκαιότητα φορητών συσκευών που θα υποστήριζαν σύνδεση στο διαδίκτυο. Ταυτόχρονα από τις νέες συσκευές προϋπήρχε κι ένας αριθμός εξ αυτών που υποστήριζαν τη σύνδεση. Οι τελευταίες λοιπόν θα πρέπει να είναι σε θέση να προσαρμοστούν στο νέο πρωτόκολλο, δηλαδή να 54

55 εκχωρούν μία διεύθυνση χωρίς να χάνονται οι προηγούμενες και να επιτυγχάνεται σύνδεση σε αυτή. Αν και το IPv4 υποστήριζε την δυνατότητα φορητότητας με αρκετές αδυναμίες ασφαλείας και φορτώνοντας αρκετά το δίκτυο. Επιπλέον ο κινητός κόμβος επικοινωνούσε με τους υπόλοιπους μέσω του home agents. Στο ΙΡv6 η υποστήριξη των κινητών χρηστών είναι ενσωματωμένη ενώ υπάρχει βελτιστοποιημένη δρομολόγηση με τη χρήση του binding update δηλαδή της τεχνικής ενημέρωσης. Ο δρομολογητής ειδοποιείται από τον κινητό κόμβο για την προσωρινή διεύθυνσή του, ειδοποιώντας ταυτόχρονα όποιον κόμβο του στέλνει πακέτα, προκειμένου να τα στείλει στην προσωρινή και όχι στη home διεύθυνσή του. Εικόνα3.5 Χρήση του Mobile IPv6 17 Πηγή

56 Στο IPv6 πιστοποιείται οτί ο κόμβος που επικοινωνεί με το home agents είναι ο κινητός κόμβος. Αυτό γίνεται μέσω ενσωματωμένου μηχανισμού που επιπρόσθετα μπορεί να ενημερώσει τον κινητό κόμβο και το δρομολογητή του ξένου υποδικτύου, σε περίπτωση που αλλαχθεί το δίκτυο. 56

57 ΚΕΦΑΛΑΙΟ 4 ΑΣΦΑΛΕΙΑ 4.1 Γενικά Το IP (Internet Protocol) 18 είναι το πιο διαδεδομένο πρωτόκολλο σήμερα. Πηγαίνοντας στο παρελθόν μέχρι και τα τέλη της δεκαετίας του 1980 το ιντερνετ χρησιμοποιούνταν από ακαδημαϊκά ιδρύματα ή για κρατικούς σκοπούς. Ωστόσο στις 2 Νοεμβρίου του 1988 κάνει την εμφάνιση του ο πρώτος ιός, με το όνομα Morris. Σήμερα, αναλογιζόμενοι και μόνο τη χρήση που μπορεί να ξεκινάει από μία οικιακή απλή έως και σε μία ομάδα ερευνητικού περιεχομένου, επιχειρήσεις ή κρατικούς οργανισμούς, συνειδητοποιούμε οτί το κομμάτι της ασφάλειας είναι ίσως το σημαντικότερο απ' όλα. Εξάλλου και η εφαρμογή προηγούμενων πρωτοκόλλων έχει διδάξει πως αν ο πρώτος παράγοντας που θα λαμβάνονταν υπόψιν κατά το σχεδιασμό τους ήταν η ασφάλεια, θα είχαν αποφευχθεί πολλά λάθη αλλά και επιθέσεις. Ακολουθούν κάποια είδη επιθέσεων και οι τρόποι πρόληψης στο IPv6 4.2 Τροποποιήσεις ασφάλειας από το IPv4 στο IPv6 Κατά το σχεδιασμό του IPv4 όπου αρχικός στόχος ήταν η επικοινωνία ακαδημαϊκών ιδρυμάτων υλοποιήθηκε η προσπάθεια σύνδεσης ετερογενών δικτύων για τον μοναδικό προορισμό του κάθε υπολογιστή, προκειμένου να επικοινωνούν μεταξύ τους, δημιουργήθηκαν αρκετά κενά ασφαλείας. Αρχικά με το IPsec έγιναν κάποιες βελτιώσεις μέσω κρυπτογράφησης, προστατεύοντας έτσι τα δεδομένα αναλλοίωτα. Όμως στο IPv4 η δυνατότητα αυτή προστέθηκε μετά ως προαιρετική σε αντίθεση με το IPv6 όπου η υποστήριξη IP security είναι ενσωματωμένη. Σαν 18 Pfleeger, C., P., 1997, Security in Computing, Prentice Hall 57

58 προαιρετική γινόταν χρήση του πεδίου IP options γεγονός που αύξανε την πολυπλοκότητα επεξεργασίας των πακέτων. Αξίζει ακόμη να σημειωθεί, οτί η χρήση του NAT στο IPv4 διέκοπτε την end-to-end επικοινωνία του IP security καθιστώντας το μη αποδοτικό. Στα αρνητικά μπορεί να καταγραφεί και το γεγονός ότι για κάθε νέα χρήση, τροποποίηση η επέκταση στο IPv4 θα έπρεπε να εξασφαλίζονται εκ νέου, μηχανισμοί ασφαλείας. Όταν χρησιμοποιείται ασφάλεια στο επίπεδο μεταφοράς του IPv4, οι εφαρμογές που κάνουν χρήση της μεθόδου πρέπει να ξαναγραφτούν για να μπορεί ο πελάτης και ο εξυπηρετητής να χρησιμοποιούν την ασφάλεια του ίδιου επιπέδου. Αυτό δε συμβαίνει στην 6η έκδοση του πρωτοκόλλου. Τέλος, στο θέμα των ιών τύπου worm εξ αιτίας της μικρής διεύθυνσης στο IPv4 μπορούσαν να κάνουν port-scanning σε ελάχιστο χρόνο, προξενώντας βλάβη σε υπολογιστές και δεδομένα και κάνοντας πιο αργή τη σύνδεση. Στο νέο πρωτόκολλο, με την αυξημένη διεύθυνση στα 64 bit θεωρείται απίθανη μία τέτοια επίθεση καθώς χρειάζεται αναλογικά scanning 2 φορές απ'ότι σε όλο το IPv4 διαδίκτυο. 4.3 Packet flooding To IPv4 μπορούσε να προσβληθεί εύκολα από smurf επιθέσεις. Ένα πακέτο πλαστογραφείται από τη διεύθυνση του <<θύματος>> και στη συνέχεια αποστέλλεται στο subnet broadcast στο τμήμα του δικτύου του IPv4. Για παράδειγμα η διεύθυνση /24. Όλοι οι hosts στο εν λόγω τμήμα LAN λαμβάνουν το συγκεκριμένο πακέτο (ICMP-echo με μεγάλο ωφέλιμο φορτίο) και στέλνουν πίσω μια απάντηση ηχώ στην πλαστή διεύθυνση θύματος. Αυτή η υπερφόρτωση στη διεύθυνση IP του θύματος προκαλεί DoS. Επειδή το IPv6 δεν χρησιμοποιεί εκπομπές ως μορφή επικοινωνίας, περιορίζονται αυτοί οι τύποι των επιθέσεων 4.4 Worms επιθέσεις Ο πιο κοινός τύπος επίθεσης τα worms έχει εξαπλωθεί ιδιαίτερα στο διαδίκτυο. Η μετάδοσή τους γίνεται είτε μέσω κάποιων προγραμμάτων που εγκαθίστανται ή 58

59 μέσω του ηλεκτρονικού ταχυδρομείου. Όπως έγινε αναφορά πιο πάνω, ένα worm δεν εξαπλώνεται με την ίδια ταχύτητα σε ένα IPv6. Αυτό συμβαίνει κατά κύριο λόγο εξ αιτίας της μεγάλης διαθεσιμότητας των διευθύνσεων όπου μεγάλος αριθμός εξ αυτών είναι ελεύθερος. Βέβαια πάντα το κακόβουλο λογισμικό προσπαθεί να <<χτυπήσει>> ένα σύστημα, κυρίως πετυχαίνοντας τη σάρωση ενός μεγάλου αριθμού διευθύνσεων στο IPv6. Λόγω της ιεραρχημένης δομής στο IPv6 εντοπίζεται άμεσα ο αποστολέας ενός πακέτου αλλά και η προέλευσή του. Αυτό συμβάλει στο εξ ολοκλήρου φιλτράρισμα εξερχόμενων και εισερχόμενων μηνυμάτων σε συνδυασμό με την τεχνολογία RFP 4.5 Ingress/Egress Filtering Μία από τις σημαντικότερες μεθόδους ασφαλείας στο IPv6 είναι το Ingress/Egress Filtering (φιλτράρισμα εισερχόμενης και εξερχόμενης κίνησης). Αυτό αφορά κυρίως τους παρόχους υπηρεσιών όπου θα πρέπει να ελέγχουν τους πελάτες τους αλλά ταυτόχρονα και τις άλλες υπηρεσίες παρόχων που συνδέονται. Ουσιαστικά φιλτράρονται οι πλαστές διευθύνσεις είτε στη διεύθυνση πηγής είτε στο πεδίο προορισμού διεύθυνσης κεφαλίδας. 4.6 Επιθέσεις άρνησης υπηρεσιών DoS Οι DoS 21 επιθέσεις ονομάζονται γενικά οι επιθέσεις εναντίον ενός υπολογιστή, ή μιας υπηρεσίας που παρέχεται, οι οποίες έχουν ως σκοπό να καταστήσουν τον υπολογιστή ή την υπηρεσία ανίκανη να δεχτεί άλλες συνδέσεις και έτσι να μην μπορεί να εξυπηρετήσει άλλους πιθανούς πελάτες. 19 request for proposal 20 Cisco Press IPv6 security 59

60 Στο παρακάτω σχήμα βλέπουμε 2 παρόχους ISP υπηρεσιών να έχουν εκχωρήσει διευθύνσεις σε 2 οργανισμού Εικόνα 4.1Φιλτράρισμα εισερχόμενων/εξερχόμενων διευθύνσεων Πηγή Cisco.Press.IPv6.Security.2009 Αν μία οργάνωση συνδεδεμένη με το ISP1 στέλνει μεγάλο όγκο πακέτων, αυτό μπορεί να ελεγχθεί από το ISP1 ενώ θα μπορούσαν να επαληθευτούν ως προς την εγκυρότητά τους. Πακέτα με πλαστογραφημένες διευθύνσεις δε θα μπορούσαν να αποσταλούν από τον οργανισμό. Τελικώς, αν όλοι οι ISPs αλλά και οι οργανώσεις χρησιμοποιούσαν spoofing filtering στις διευθύνσεις τόσο για τα εισερχόμενα όσο και για τα εξερχόμενα πακέτα η επίθεση σε ένα σύστημα θα ήταν αδύνατη. 4.7 IPv6 Firewalls Πολλές εταιρείες σήμερα χρησιμοποιούν stateful firewalls ή statefull access control list για τον έλεγχο πρόσβασης και την εφαρμογή των πολιτικών ασφαλείας. Αυτά τα πακέτα χρησιμοποιούν κάποιους κανόνες φίλτρου για υπολογιστές διαφορετικών επιπέδων. Τα firewalls μπορούν να αναβαθμιστούν για να εκτελεστεί η λειτουργία dual-stack. Αυτό θα σήμαινε ότι οι υπάρχουσες IPv4 firewalls θα πρέπει να ρυθμιστεί και στα δύο πρωτόκολλα προκειμένου να προσφέρουν ίση προστασία.dual- 60

61 stack mode, καθώς και οι πολιτικές ασφάλειας για τα δύο πρωτόκολλα θα πρέπει να προσφέρουν ίση προστασία. 4.8 IPsec Επικεφαλίδες Ασφαλείας To IPsec χρησιμοποιείται από ένα σύστημα για να απαιτήσει από τους κόμβους που επικοινωνεί, να κάνουν χρήση συγκεκριμένων πρωτοκόλλων ασφαλείας, ενώ παρέχει κρυπτογράφηση στο επίπεδο του IP. Ουσιαστικά είναι ένα πρωτόκολλο ανοιχτών προδιαγραφών που διασφαλίζει το απόρρητο των επικοινωνιών για την ασφάλεια ενός δικτύου. Μερικές από τις υπηρεσίες που προσφέρει είναι: Προστασία από την αλλοίωση των δεδομένων Προστασία εναντίων των επιθέσεων packet replay Κωδικοποίηση δεδομένων Έλεγχος των administrator servers 22 Επιπλέον το IPsec αναφέρεται σε μία σειρά πρωτοκόλλων που αξίζει να αναφερθούν Διαχείριση κλειδιών: Η πλειοψηφία των μηχανισμών ασφαλείας του IPsec απαιτεί τη χρήση κλειδιών κρυπτογράφησης. Έτσι ένα μέρος του δημιουργήθηκε για το διαχειρισμoύ των κλειδιών, Έτσι χρησιμοποιείται το Internet Key Exchange, προκειμένου να μη ρυθμίζονται χειροκίνητα οι συσχετισμοί ασφαλείας. IP πρωτόκολλο ασφαλείας: Προκειμένου να ενεργοποιηθούν οι έλεγχοι ταυτότητας καθορίζει την πληροφορία που πρέπει να προστεθεί σε ένα πακέτο IP. Πακέτα IPsec: Αυτά τα πακέτα ορίζουν επικεφαλίδες για τα IP πακέτα.*

62 4.9 Καταστάσεις λειτουργίας του IPsec Transport: Οι συσχετισμοί ασφαλείας γίνονται μέσω των δύο κόμβων που επικοινωνούν. Οι επικεφαλίδες δεν αλλάζουν ενώ IP φορτίο κρυπτογραφείται. Ταυτόχρονο επιτρέπονται σε συσκευές του δημοσίου δικτύου να εντοπίζουν τον προορισμό του πακέτου και την τελική πηγή. Η κατάσταση λειτουργίας transport μπορεί να χρησιμοποιηθεί μόνο όταν τόσο η πηγή όσο και τα συστήματα προορισμού είναι συμβατά με την IPsec. Tunnel: Οι συσχετισμοί ασφαλείας γίνονται μεταξύ δύο ασφαλών πυλών. Το πακέτο μαζί με τη βασική επικεφαλίδα κρυπτογραφείται και τοποθετείται σε μία καινούργια επικεφαλίδα. Έτσι επιτρέπεται σε μία δικτυακή συσκευή να ενεργήσει σαν IPproxy. Ο δρομολογητής πραγματοποιεί κρυπτογράφηση για λογαριασμό υπολογιστών του δικτύου. Η πηγή του δρομολογητή κρυπτογραφεί τα πακέτα και τα προωθεί στο IPsec. Η κατάσταση λειτουργίας tunnel προστατεύει επιπλέον το σύστημα από τη διαδικασία της ανάλυσης κίνησης Συσχετισμοί Ασφαλείας (security association) Μία ασφάλεια δεδομένων είναι ουσιαστικά ένας συνδυασμός αλγόριθμων και παραμέτρων που χρησιμοποιείται για την κρυπτογράφηση και των έλεγχο ταυτότητας μίας ροής δεδομένων προς μία κατεύθυνση. Για την ασφαλή επικοινωνία 2 συστημάτων απαιτούνται 2 SA μία για κάθε διεύθυνση προορισμού Δείκτης Παραμέτρων Ασφάλειας (Security Parameter Index) Είναι ένας μοναδικός αριθμός, τυχαία επιλεγμένος, που αναγνωρίζει το συσχετισμό ασφαλείας. Όταν στέλνεται ένα πακέτο που απαιτεί IPsec εφαρμόζει συγκεκριμένη επεξεργασία σύμφωνα με το συσχετισμό ασφαλείας και εισάγει τον SPI στην κεφαλίδα του IPsec. Όταν το IPsec λαμβάνει το πακέτο, ελέγχει το συσχετισμό 62

63 ασφαλείας της διεύθυνσης προορισμού και του SPI και κατόπιν επεξεργάζεται το πακέτο Επικεφαλίδα πιστοποίησης (Authedication Header) Παρέχει έλεγχο πιστοποίησης για όσο το δυνατόν περισσότερες επικεφαλίδες IP αλλά και για δεδομένα πρωτοκόλλων ανώτερου επιπέδου. Επιπλέον κάποια πεδία των κεφαλίδων IP μπορεί να τροποποιηθούν κατά τη μετάδοσή τους. Οι τιμές αυτές δεν είναι δυνατό να προστατευτούν από την AH. Συνήθως χρησιμοποιείται με την επικεφαλίδα ESP κυρίως όταν δεν χρησιμοποιείται άλλος μηχανισμός ασφαλείας στην τελευταία. Ακόμη πιστοποιεί τον αποστολέα σε μεταδόσεις πακέτων με τη δημιουργία καναλιών ή να ενσωματώνει όλη τη ροή των πακέτων από και προς μία πύλη ασφαλείας. Η δομή της ακολουθεί τη δομή των υπόλοιπων επικεφαλίδων IPv Next Header Payload Length Reserved Security Parameters Index Sequence Number Authedication Data Πίνακας 4.2 Δομή επικεφαλίδας πιστοποίησης Πηγή Next header: είναι η επόμενη επικεφαλίδα μήκους 8 bit

64 PayloadLength: είναι το μήκους του φορτίου (8bits) και καθορίζει το μήκος της επικεφαλίδας Πιστοποίησης. Reserved: είναι ένα δεσμευμένο πεδίο 16 bit που θα χρησιμοποιηθεί για μελλοντική χρήση. Ρυθμίζεται στην τιμή 0 και συμπεριλαμβάνεται στον υπολογισμό των δεδομένων πιστοποίησης. SecurityParameter Index: μία τυχαία τιμή 32 bit που μαζί με τη διεύθυνση προορισμού και το πρωτόκολλο ασφαλείας προσδιορίζει μοναδικά τη συσχέτιση ασφαλείας. Χρησιμοποιείται για να διαχωρίσει διαφορετικές συσχετίσεις ασφαλείας SequenceNumber: Ο αριθμός ακολουθίας 32bit.. Αν ο παραλήπτης διαπιστώσει ίδιο sequence number σε διάφορα πακέτα, τα αγνοεί και έτσι αποφεύγονται επιθέσεις τύπου replay. Αυξάνεται κατά ένα από την αρχική του τιμή. Προκειμένου να αποφευχθεί ο κίνδυνος ο παραλήπτης να αγνοεί πακέτα που δεν πρέπει, όταν ο αριθμός φτάσει 2^32 τότε δημιουργείται νέα συσχέτιση ασφαλείας. Authedication Data: Περιέχει την ICV 25 ενώ το μέγεθος του πεδίου μεταβάλλεται. Το μήκος του πεδίου πρέπει να είναι πολλαπλάσιο των 32bit και για να το εξασφαλίσει αυτό μπορεί να περιλαμβάνει και την επικεφαλίδα συμπληρώματος Επικεφαλίδα Encapsulating Security Payload* Όπως και η επικεφαλίδα πιστοποίησης, η ESP χρησιμοποιείται τόσο για να παρέχει προστασία σε εφαρμογές πρωτοκόλλων ανώτερου επιπέδου, όσο και για να επικυρώσει την ακεραιότητα των δεδομένων. Στην τελευταία περίπτωση δεν περιλαμβάνει τα πεδία της IP επικεφαλίδας. Ουσιαστικά λειτουργεί με 2 τρόπους: transport mode ή tunnel mode. Κατά το transport mode παρέχει προστασία σε πρωτόκολλα ανώτερου επιπέδου αλλά όχι στην IP header Μπορεί να χρησιμοποιηθεί είτε σε ένα τμήμα του επιπέδου μεταφοράς π.χ. (TCP, UDP), είτε για ένα ολόκληρο IP datagram. Ουσιαστικά χρησιμοποιείται για την απευθείας μετάδοση δεδομένων. Η κρυπτογραφημένη πληροφορία περιέχει μόνο το πακέτου του επιπέδου μεταφοράς, δηλαδή την επικεφαλίδα του επιπέδου Transport και τα δεδομένα του χρήστη. Μέσω Kent S. Seo, "Security Architecture for the Internet Protocol" 64

65 του tunnel mode παρέχει υπηρεσίες για την προστασία από επιθέσεις τύπου (replay) και ελέγχου κίνησης. Επιπλέον γίνεται χρήση πυλών ασφαλείας για να εξασφαλιστεί οτί κανένας μη εξουσιοδοτημένος κόμβος δε θα βγάλει συμπεράσματα για την κυκλοφορία αφού το πακέτο είναι ενσωματωμένο και κωδικοποιημένο σε νέο πακέτο που απευθύνεται στην πύλη. 27 Στο IPv6 η ESP συναντάται σαν end to end payload και θα πρέπει να εμφανίζεται μετά από κάθε hop by hop, κάθε δρομολόγηση και κάθε κατακερματισμό κεφαλίδων. Οι επιλογές επικεφαλίδας επέκτασης μπορούν να εμφανιστούν είτε πριν είτε μετά την ESP. Ωστόσο επειδή η ESP προστατεύει μόνο τα πεδία μετά την κεφαλίδα μπορεί να χρειαστεί να τοποθετηθεί το πεδίο Options μετά την επικεφαλίδα ESP. Το ESP υποστηρίζει ένα μεγάλο αριθμό συμμετρικών αλγόριθμων κρυπτογράφησης αλλά η συνηθισμένη προεπιλογή είναι ο αλγόριθμος ΑΕS. Πίνακας 4.3 Δομή πρωτοκόλλου ESP Πηγή Το παρακάτω διάγραμμα απεικονίζει τον τρόπο μεταφοράς και τοποθέτησης ESP για ένα IPv6 πακέτο

66 Εικόνα 4.4Δομή πακέτων μετά την εφαρμογή του ESP Πηγή Microsoft.Press.-.Understanding.IPv Διαχείριση Κλειδιού Η διαχείριση κλειδιών αφορά τη δημιουργία τη διανομή, την εγκατάσταση, χρήση, ανανέωση, ανάκληση, φύλαξη και καταστροφή κλειδιών. Εκτός από την καταστροφή των κλειδιών, όλες οι άλλες ενέργειες διαχείρισης μπορούν να περιλαμβάνουν κρυπτογραφικές τεχνικές. Η IPsec περιλαμβάνει πρωτόκολλα ανταλλαγής κλειδιού αλλά και την επεξεργασία των πακέτων μέσω των κεφαλίδων ESP και AH Πρωτόκολλο Συσχετίσεων Ασφαλείας και διαχείρισης Κλειδιών διαδικτύου ISAKMP 66

67 To πρωτόκολλο αυτό, ασχολείται με την εγκαθίδρυση την τροποποίηση και τη διαγραφή των SA 29. Το ISAKMP βασίζεται στο πρωτόκολλο ανταλλαγής κλειδιών Diffie-Hellman το οποίο θεωρεί γνωστές τις ταυτότητες των δύο μερών είτε με χρήση κλειδιών ασφαλείας εκ των προτέρων γνωστών σε αμφότερα, είτε με τη βοήθεια πιστοποιητικών ασφαλείας (digital certificates) και ανταλλάσσει πληροφορίες με τη βοήθεια πακέτων UDP προκειμένου να πιστοποιηθούν από κοινού τα κοινά κλειδιά ασφάλειας μεταξύ αμφοτέρων των μερών. Μπορεί να χρησιμοποιηθεί και σε συνδυασμό με άλλα πρωτόκολλα ενώ για να μην ξοδεύει μεγάλο αριθμό πόρων αλλά και να αποτρέψει επιθέσεις τύπου clogging 30 χρησιμοποιεί τα cookies. 31 Εικόνα 4.5Διάταξη της επικεφαλίδας ISAKMP Πηγή Όλα τα payloads του ISAKMP αρχίζουν με την ίδια επικεφαλίδα. Το επόμενο payload έχει τιμή 0 αν περιέχει το τελευταίο μήνυμα. Σε διαφορετική περίπτωση 29 SecurityAssociations:περιέχει πληροφορίες για την εκτέλεση διάφορων υπηρεσιών ασφαλείας 30 επίθεση σε ένα σύστημα κρυπτογράφησης με την άρνηση της DoS

68 παίρνει την τιμή του επόμενου payload. To payload length δείχνει το μήκος σε οκτάδες του φορτίου συμπεριλαμβανομένου του payload της γενικής επικεφαλίδας. Ειδικότερα Initiator cookie: Αποτελεί την οντότητα cookie από όπου ξεκίνησε η εγκατάσταση η ενημέρωση και η διαγραφή της SA. Responder cookie: Το κουπόνι απόκρισης ουσιαστικά απαντά στην εγκατάσταση ενημέρωση και διαγραφή της SA. Next payload: καθορίζει τον τύπο του πρώτου payload στο μήνυμα. Major Version: Καθορίζει τη βασική έκδοση του ISAΚMP. Ότι βασίζεται σ' αυτή την έκδοση θα πρέπει να έχουν ως αριθμό έκδοσης το 1 ενώ οι υπόλοιπες της προηγούμενης έκδοσης το 0. Minor Version: καθορίζει τον δευτερεύον αριθμό της έκδοσης ISAKMP. Exchange Type: Ορίζει τον τύπο της ανταλλαγής που χρησιμοποιείται. Flags: Καθορίζει τις επιλογές που έχουν οριστεί κατά την ανταλλαγή. Από το πεδίο των 8 bits χρησιμοποιούνται τα 3 λιγότερο σημαντικά για να μην μπορεί να ληφθεί πληροφορία πρωτού επιτραπεί η μετάδοση από τη Συσχέτιση Ασφαλείας. Message ID: είναι ένα μοναδικό αναγνωριστικό μηνύματος που δείχνει την κατάσταση του πρωτοκόλλου. Length Payload: Δείχνει το μήκος του μηνύματος σε bytes Το πρωτόκολλο Oakley Key Determination O αλγόριθμος Oakley είναι μία βελτιωμένη έκδοση του Diffie-Hellman αλγορίθμου ανταλλαγής κλειδιών. Χρησιμοποιεί cookies για την πρόληψη της εξάντλησης των πόρων ενώ χρησιμοποιεί τον έλεγχο ταυτότητας για τις man in the middle επιθέσεις αλλά και για τις επιθέσεις clogging. Επιτρέπει σε 2 ή περισσότερους υπολογιστές τη δημιουργία μίας ομάδας η οποία καθορίζει τις παραμέτρους 68

69 ανταλλαγής κλειδιών και το είδος του αλγόριθμου που θα χρησιμοποιηθεί. Δύο χρήστες μπορούν να ανταλλάσουν ένα μυστικό κλειδί ακόμα και σε ένα μη ασφαλές κανάλι. Αποτελείται από 2 παραμέτρους, p και g. Το Oakley χρησιμοποιεί nonces, έναν τοπικά παραγόμενο ψευδοτυχαίο αριθμό, με σκοπό να εμφανίζονται σε πακέτα απάντησης ή επιβεβαίωσης και να κρυπτογραφούνται σε σημεία ανταλλαγής. Οι μέθοδοι ταυτοποίησης του Oakley είναι: Ψηφιακές Υπογραφές: Η ανταλλαγή ταχτοποιείται με την υπογραφή ενός από κοινού λαμβανόμενου κορδονιού (hash). Κάθε υπολογιστής το κρυπτογραφεί με το δημόσιο του κλειδί ενώ παράγεται από πληροφορίες όπως το User ID και Nonces. Κρυπτογράφηση Δημοσίου Κλειδιού: Η ανταλλαγή ταχτοποιείται με την κρυπτογράφηση παραμέτρων όπως το ID, Nonces και ιδιωτικό κλειδί. Συμμετρική Κρυπτογράφηση: Το κλειδί κρυπτογράφησης παράγεται από κάποιον άγνωστο μηχανισμό Internet Key Exchange Για να επικοινωνούν δύο υπολογιστές με ασφάλεια θα πρέπει να συμφωνούν σχετικά με τη μορφή της κρυπτογράφησης που πρόκειται να χρησιμοποιήσουν, ενώ όταν χρησιμοποιούν IPsec είναι απαραίτητο να συμφωνούν στο σύστημα ελέγχου ταυτότητας τον αλγόριθμο κρυπτογράφησης και το κλειδί. Η αρχιτεκτονική του IPsec παρέχει έναν τέτοιο μηχανισμό που ονομάζεται Internet Key Exchange (IKE) 32. Καταργεί την ανάγκη για χειροκίνητες ρυθμίσεις των παραμέτρων ασφαλείας του IPsec Επιτρέπει να καθοριστεί η διάρκεια ζωής για την ασφάλεια του IPsec συνδέσμου Επιτρέπει την παροχή υπηρεσιών για επιθέσεις τύπου replay Παρέχεται υποστήριξη για επέκταση της IPsec Επιτρέπει τη δυναμική πιστοποίηση της γνησιότητας των οντοτήτων επικοινωνίας

70 Οι μέθοδοι που χρησιμοποιεί το πρωτόκολλο προκειμένου να εξακριβωθεί η γνησιότητα ενός πακέτου είναι: Pre Shared Key: Προδιαμοιρασμένα κλειδιά που εγκαθίστανται και στους 2 υπολογιστές και κατά την πιστοποίηση στέλνεται από τον ένα στον άλλο μία επεξεργασμένη μορφή του ίδιου κλειδιού. Digital Signatures : Κάθε συσκευή υπογράφει ψηφιακά ένα σύνολο δεδομένων, ο αποστολέας χρησιμοποιεί το κρυφό κλειδί ενώ ο παραλήπτης το δημόσιο κλειδί του αποστολέα. Public Keys Encryptions: H πιστοποίηση γίνεται με ποκρυπτογράφηση των ληφθέντων δεδομένων Χειροκίνητη ρύθμιση κλειδιού Το IPv6 απαιτεί ρύθμιση των κλειδιών ασφαλείας χειροκίνητα όταν δεν μπορεί να καταστεί η αυτορρύθμιση του κλειδιού. Η χειροκίνητη ρύθμιση δεν συστήνεται καθώς απαιτείται υψηλό κόστος και ύπαρξη προσωπικής δράσης αλλά μπορεί να είναι μία καλή λύση όταν το περιβάλλον είναι περιορισμένο με ένα μικρό αριθμό συσκευών Αυτόματη ρύθμιση κλειδιού Στην περίπτωση της αυτόματης ρύθμισης το IKMP 33 τοποθετείται στο επίπεδο εφαρμογής και είναι ανεξάρτητο από τα πρωτόκολλα στα χαμηλότερα επίπεδα. 33 Internet Key Management 70

71 ΚΕΦΑΛΑΙΟ 5 REAL TIME SUPPoRT Το IPv6 συνδυάζει τεχνολογίες για υποστήριξη σε πραγματικό χρόνο. Συνήθως όταν αναφερόμαστε στον όρο real time support εννοούμε quality of service καθώς ο δεύτερος όρος έχει καθιερωθεί κυρίως. H επιτακτική ανάγκη για την υποστήριξη τoυ πρωτοκόλλου ανάγκασε τους κατασκευαστές να βελτιώσουν την ήδη παρεχόμενη υπηρεσία από το IPv4 στο IPv6. Έτσι παρέχονται δύο νέα πεδία το Traffic Class και το Flow label.34 Traffic Class: To πεδίο αυτό έχει την ανάλογη λειτουργικότητα με τα πεδία Type Of Service, Precedence του IPv4. Μπορεί να χρησιμοποιηθεί για να διαφοροποιηθεί ο χειρισμός της κίνησης βάσει της τιμής κάθε πακέτου σε αυτό το πεδίο. Οι τιμές αυτού του πεδίου χωρίζονται στα 6 πιο σημαντικά bits που χρησιμοποιούνται για διαφοροποιημένες υπηρεσίες κυρίως για ταξινόμηση πακέτων και στα υπόλοιπα 2 που χρησιμοποιούνται για ECN 35. To τελευταίο είναι μία επέκταση του πρωτοκόλλου του ίντερνετ για το Πρωτόκολλο ελέγχου μεταφοράς. Flow label: Δημιουργήθηκε για να παρέχει σε πραγματικό χρόνο υπηρεσίες εφαρμογών. Όταν το flow label τεθεί σε μία μη μηδενική τιμή χρησιμεύει ως δείκτης των routers και swatches προκειμένου να παραμείνουν στην ίδια πορεία μονοπατιών τα πακέτα, αλλά και για τον εντοπισμό πλαστογραφημένων πακέτων 36 Ταυτόχρονα μπορεί να βοηθήσει τους ενδιάμεσους κόμβους ώστε να επεξεργαστούν την κίνηση ταχύτερα. Η τιμή του πεδίου αρχικοποιείται από τις πηγές των ροών. 34 Christian Huitema IPv6: The New Internet Protocol (2nd Edition) 35 Explicit Congestion Notification

72 5.1 Διαφορετικότητα QoS μεταξύ IPv6 και IPv4 Οι διαφορές των 2 πρωτοκόλλων στον τομέα ποιότητας τον υπηρεσιών αφορούν κυρίως την ταξινόμηση της κυκλοφορίας των πακέτων, ενώ το καθένα χρησιμοποιεί διαφορετικές διεύθυνσης, όπως η διεύθυνση πηγής και προορισμού. Ο παρακάτω πίνακας συνοψίζει τις διαφορές των δύο πρωτοκόλλων. QoS Εκτέλεση IPv4 IPv6 Προτεραιότητα Ναι Ταξινόμηση DSCP Nαι Class-Based marketing Ναι Βαθμολόγηση Δέσμευσηταχύτηταςπρόσβασης Ναι Policy-based routing Ναι Ναι Ναι Ναι Ναι Ναι Ασφάλεια και διαμόρφωση Περιορισμός Class-basedpolicing Διαμόρφωση κυκλοφορίας Πλαίσιο αναμετάδοσης κυκλοφορίας Ναι Ναι Ναι Ναι Ναι Ναι Όχι Ναι Αποφυγή συμφόρησης Διαχείριση Συμφόρησης Τυχαία ανίχνευση Ναι Ναι FirstInFirstOut Ναι Ναι Ουρέςπροτεραιότητας Ναι Ναι Προσαρμοσμένηουρά Ναι Όχι Μικρός χρόνος αναμονής ουράς Ναι Όχι Εικόνα 5.1 Διαφορές QoS στα δύο πρωτόκολλα Πηγή Cisco.Press.IPv6.Security

73 5.2MultimediaSupport Η μεταφορά πολυμεσικών εφαρμογών απασχολεί το μεγαλύτερο μέρος των χρηστών του διαδικτύου. Τα προβλήματα για το διαμοιρασμό ροών multimedia 37 σχετίζονται κυρίως με το εύρος ζώνης και τις χρονικές απαιτήσεις που πρέπει να πληρούνται. Το τελευταίο είναι και ο ακρογωνιαίος λίθος των σύγχρονων πλατφόρμων που δημιουργούνται καθώς απαιτείται μετάδοση σε πραγματικό χρόνο. Το IPv6 βελτιώνει την υποστήριξη πολυμεσικών εφαρμογών (real time applications), με τη διαθεσιμότητα του Priority fields και του πεδίου Flow Label. Επιπλέον άλλα πρωτόκολλα στοίβας εισάγουν σημαντικές καινοτομίες συμπεριλαμβανομένου των λειτουργιών για τη διαχείριση των multicast ομάδων ενώ το OSPFv6 παρέχει υποστήριξη των δέντρων multicast. To πιο φιλόδοξο σχέδιο για το IPv6 έχει ως στόχο να επεκτείνει την αρχιτεκτονική του διαδικτύου για την πραγματοποίηση μεταφορών σε πραγματικό χρόνο αλλά και τον έλεγχο χρήσης των συνδέσεων μετάδοσης. 5.3 Μοντέλο ολοκληρωμένων υπηρεσιών Traffic Control 38 Είναι ένας μηχανισμός ελέγχου κυκλοφορίας στους δρομολογητές. Ένα δίκτυο μπορεί να διαχειρίζεται τον έλεγχο χρησιμοποιώντας 2 πόρους: packet scheduler και buffer management PacketScheduler Το πακέτο αυτό καθορίζει τη σειρά διαβίβασης των πακέτων. Είναι η κύρια λειτουργία ελέγχου εξυπηρέτησης χρηστών. Συγκεκριμένα η λειτουργία των πακέτων γίνεται κατά προτεραιότητα για να μεταδοθούν πρώτα τα πακέτα με την υψηλότερη. Ο πιο διαδεδομένος αλγόριθμος για τη διαχείριση της κυκλοφορίας σε πραγματικό χρόνο είναι WFQ

74 Εικόνα 5.2Σειρά αναμονής πακέτων Πηγή Κάθε ουρά συνδέεται με μία τιμή αναλόγως της συχνότητας που πρέπει για να είναι served. Επίσης μπορεί και ισορροπεί τη μετάδοση των πακέτων που ανήκουν σε διαφορετικές ροές BufferManagement H παρουσία τους είναι απαραίτητη, κάθε φορά που πακέτα στέλνονται με ταχύτητα μεγαλύτερη από αυτή που μπορούν να μεταδοθούν. Η ρύθμιση αυτή μπορεί να υπάρξει μόνο σε περιπτώσεις κίνησης επειδή μπορεί να απορριφθούν όταν φτάνουν για μεγάλο χρονικό διάστημα με ταχύτητα μεγαλύτερη της αναμετάδοσης. Επιπλέον, μπορεί να αυξήσει τις απαιτήσεις για εφαρμογές συγκεκριμένων μηχανισμών διαχείρισης σε διαφορετικές τάξεις πακέτου. Ένα παράδειγμα είναι πως στο TCP η ένδειξη ενός απορριφθέντος πακέτου ερμηνεύεται σαν σήμα συμφόρησης του δικτύου. 74

75 5.3.3 AccessControl Η τεχνική αυτή υλοποιείται από τον έλεγχο πρόσβασης και περιλαμβάνει την αποθήκευση όλων των παραμέτρων των υπηρεσιών των προηγούμενων αιτήσεων και τη λήψη μιας απόφασης με βάση τα μη ασφαλή χαρακτηριστικά που είχαν εντοπιστεί. Κάθε δρομολογητής καθορίζει τη χρήση των συνδέσεων από τις υφιστάμενες ροές πακέτων, και χρησιμοποιεί τις πληροφορίες αυτές για την μη - ή αποδοχή νέων ροών ResourceReserVationRSVP Το πρωτόκολλο δέσμευσης πόρων χρησιμοποιείται για την υλοποίηση των δεσμεύσεων. Επιτρέπει σε περισσότερους από έναν αποστολείς να μεταδίδουν σε πολλές ομάδες παραληπτών αλλάζοντας κανάλια ελεύθερα, αποτρέπει τη συμφόρηση και βελτιστοποιεί τη χρήση του εύρους ζώνης. Χρησιμοποιεί δρομολόγηση πολυδιανομής με χρήση δέντρων σκελετών. Σε κάθε ομάδα εκχωρείται μία διεύθυνση ομάδας. Αναλυτικότερα κάθε παραλήπτης στέλνει ένα μήνυμα δέσμευσης πόρων προς τα ανώτερα επίπεδα της λίστας διανομής πολυεκπομπής. Το μήνυμα δέσμευσης καθορίζει την ταχύτητα με την οποία θέλει να λαμβάνει τα δεδομένα από την πηγή, ο συγκεκριμένος υπολογιστής. Όταν το μήνυμα δέσμευσης φτάσει σε έναν δρομολογητή, ο δρομολογητής προσαρμόζει το δικό του μηχανισμό προγραμματισμού πακέτου για να ικανοποιήσει τη δέσμευση. Κατόπιν στέλνει ένα μήνυμα δέσμευσης προς τα ανώτερα επίπεδα. Το ποσό του εύρους ζώνης δεσμεύεται από τον δρομολογητή στα ανώτερα επίπεδα και εξαρτάται από τα ποσά εύρους ζώνης που έχουν δεσμευτεί στα κατώτερα επίπεδα

76 Στο παράδειγμα της εικόνας 5.2 οι παραλήπτες R1, R2, R3, R4 δεσμεύουν 20Kbps 100Kbps 3Mbps 3Mbps αντίστοιχα. Δηλαδή οι παραλήπτες που βρίσκονται πιο κάτω από τον δρομολογητή D στη λίστα διανομής ζητούν συνολικά 3Mbps. Εικόνα 5.3 Παράδειγμα εφαρμογής του RSVP Γι αυτή τη μετάδοση από έναν αποστολέα σε πολλούς παραλήπτες ο δρομολογητής D στέλνει ένα μήνυμα στον Β ζητώντας από αυτόν να δεσμεύσει 3 Μbps στη σύνδεση μεταξύ των 2 δρομολογητών. Οι παραλήπτες R3, R4 παρακολουθούν το ίδιο πρόγραμμα οπότε οι δύο δεσμεύσεις τους συγχωνεύονται σε μία. Παρόμοια ο δρομολογητής C ζητά από τον B να δεσμεύσει 100Kbps στη σύνδεση μεταξύ των B, C. 76

77 5.3.5 ReservationStyles To RSVP μπορεί να χρησιμοποιήσει διαφορετικά στυλ κράτησης. Αυτό εξαρτάται από το πως αποθηκεύονται οι πληροφορίες των πόρων στους υπολογιστές. Ισχύουν οι ακόλουθες 3 μορφές κράτησης. Wildcart Reservation Fixed Filter Reservation Shared Filter Reservation 5.4 MBONE H Multicast Backbone 4041 on the internet είναι μία τεχνολογία για αποστολή αρχείων ήχου και βίντεο σε πολλαπλούς χρήστες ταυτόχρονα. Δεδομένου των τεχνολογικών εξελίξεων άρα και αναγκών και ότι οι περισσότεροι IP servers δεν υποστήριζαν ομαδική επικοινωνία το MBONE συστάθηκε για το σχηματισμό ενός δίκτυο μετάδοσης multicast. To MBone αποτελείται από servers που χρησιμοποιούν τεχνολογίες multicast. Η αρχική ιδέα ξεκίνησε το 1992 όταν αποφασίστηκε η κατασκευή ενός έξυπνου λογισμικού και έτσι κατέληξαν στην κατασκευή ενός εικονικού δικτύου που επέτρεπε σε multicast πακέτα να μεταφέρονται στο δίκτυο. Σε αντίθεση με το IP multicasting που είναι μία υπηρεσία δρομολόγησης δικτύου για αποστολή πακέτων σε πολλούς δικτυακούς τόπους, το ΜΒοne είναι ομαδοποιημένοι ιστότοποι που συγχρόνως υλοποιούν IP multicasting. Διαφοροποίηση αποτελεί το χαρακτηριστικό του να επιτρέπει σε multicast πακέτα να στέλνονται από δρομολογητές που διαχειρίζονται μόνο Unicast κίνηση. Ουσιαστικά μετατρέπει τα multicast πακέτα σε Unicast προκειμένου να τα διαχειρίζονται οι δρομολογητές. 40 Ipv6 Networks Marcus Goncalves and Kitty Niles

78 5.4.1 MboneIPMulticasting Όπως αναφερθήκαμε σε προηγούμενο κεφάλαιο το IP multicasting είναι μία υπηρεσία δρομολόγησης του δικτύου προκειμένου να στέλνονται περισσότερα πακέτα σε διαφορετικούς ιστότοπους. Ουσιαστικά είναι μία ομάδα ιστοτόπων που υλοποιούν συγχρόνως IP multicasting. 5.5 IPV6 Multihoming Με τον όρο multihoming εννοούμε μία ιστοσελίδα που απορροφάται από πολλά διαφορετικά δίκτυα, δηλαδή που έχει περισσότερες από μία συνδέσεις είτε ίδιων είτε διαφορετικών ISPs. Μία ιστοσελίδα επιλέγει αυτή την μορφή για πολλούς λόγους κυρίως για τη βελτίωση και διόρθωση σφαλμάτων αλλά και εξισορρόπηση του φόρτου των συνδέσεων. Σήμερα συνηθίζεται να πραγματοποιείται από κατόχους ιστοτόπων που έχουν δικό τους χώρο διευθύνσεων και διαφημίζουν μία διαδρομή με το πρόθεμά της μέσω των συνδέσεων ISP. O χώρος διευθύνσεων μπορεί να είναι ανεξάρτητος ή μπορεί να είναι κατανεμημένος από κάποιον Oι ISP ενός δικτυακού τόπου διαφημίζουν με τη σειρά τους το πρόθεμα σε επιλεγόμενες συνδέσεις και η διαδρομή κοινοποιείται σε όλους τους δρομολογητές που συνδέονται με DFZ 42. Καθώς ο αριθμός των site με multihomming έχει αυξηθεί πολλαπλασιάζεται ταυτόχρονα και ο αριθμός των γραμμών με αποτέλεσμα να μειώνεται η σταθερότητα της δρομολόγησης. H multihomming που χρησιμοποιούνταν στο IPv4 μπορεί να χρησιμοποιηθεί και στο IPv6 δίνοντας την ευκαιρία για περεταίρω επεκτάσεις. Μία μεγάλη αλλαγή ήταν η αύξηση του χώρου διευθύνσεων με αποτέλεσμα τη υποστήριξη πολλαπλών διευθύνσεων ανά interface ενώ δίνονται τα μπλόκ διευθύνσεων χωρίς να υπάρχουν προβλήματα κατανομών 43. Τέλος ο δρομολογητής μπορεί να προτείνει ρυθμίσεις στους host. 42 DFZ:Default Free Zone

79 5.6 ΝETNetwork Την τελευταία τριετία έγινε μία προσπάθεια ανάπτυξης των δυνατοτήτων του IPv6 για τη δημιουργία ενός μεγάλου κι ενιαίου πρωτοκόλλου, του 6NET. To project υλοποιήθηκε λαμβάνοντας υπ' όψιν τις 16 χώρες που συνδέοντας στην IPv6 αλλά και την ανάγκη μετάβασης από το IPv4. Δοκιμάζοντας τη νέα τεχνολογία διαπιστώθηκαν θετικά δείγματα όπως απεριόριστες δυνατότητες QoS, αποδοτικότερη κίνηση δικτύου χωρίς συμφόρηση, προτεραιότητα αναμονής και ταξινόμηση Διαδικασία μετάβασης από το IPv4 στο IPv6 Αναφέροντες τις παροχές υπηρεσιών δε θα μπορούσε να παραληφθεί και η προσαρμοστικότητα των συστημάτων του παλαιού πρωτοκόλλου για το νέο. Ουσιαστικά πρόκειται για ένα είδος υποστηριξιμότητας καθώς χωρίς την παροχή τέτοιων δυνατοτήτων θα ήταν σχεδόν αδύνατη η ανάπτυξη του IPv6 κυρίως λόγου κόστους και χρόνου. Για να είναι αποτελεσματικό το IPv6 δεν απαιτείται η αναβάθμιση όλων των διεπαφών που συνδέονται μία δεδομένη χρονική στιγμή. Οι περισσότερες λύσης για τη μετάβαση ουσιαστικά βασίζονται σε 2 κατευθύνσεις. Η μία χρησιμοποιεί protocol tunneling. Στην περίπτωση αυτή τα πακέτα ενθυλακώνονται μέσα σε IPv4 πακέτα για τη μετακίνηση τους. Η άλλη είναι η μέθοδος dual stack δηλαδή διπλής στοίβας. Oι hosts και οι δρομολογητές εκτελούν παράλληλα IPv4 και IPv6 στοίβες πάνω στις ίδιες διεπαφές και έτσι ένας κόμβος διπλής στοίβας δέχεται και μεταδίδει πακέτα και των δύο πρωτοκόλλων. Ας δούμε όμως αναλυτικά τις 2 τεχνικές μετάβασης:

80 5.8IPv6 ProtocolTunneling H μέθοδος αυτή απαιτεί τη μετάδοση IPv4 πακέτων από έναν κόμβο IPv6, σε κάθε μία άκρη του tunnel. Ο κόμβος από τη μία άκρη παίρνει το IPv6 πακέτο και το χειρίζεται σαν τμήμα δεδομένων ενός IPv4 πακέτου. Έτσι έχουμε μία συνεχόμενη ροή IPv4 πακέτων με IPv6. Ουσιαστικά πρόκειται για ένα είδος ενθυλάκωσης καθώς τα πακέτα ενθυλακώνονται προκειμένου να μεταδοθούν. ΚόμβοςΑ ΚόμβοςΒ Εικόνα 5.4 Protocol Tunneling of IPv6 Πηγή Documents/Technical_Documents Στην εικόνα βλέπουμε ότι ο κόμβος Α και ο κόμβος Β είναι IPv6 κόμβοι. Προκειμένου να πάει ένα πακέτο από τον Α στον Β, ο κόμβος Α τοποθετεί στο πεδίο διεύθυνσης προορισμού του πακέτου την IPv6 διεύθυνση του κόμβου Β. Στη συνέχεια το πακέτο πηγαίνει στο δρομολογητή που ενθυλακώνει το πακέτο που προορίζεται για τον κόμβο Β και το στέλνει στην IPv4 του τελευταίου δρομολογητή, ο οποίος και λαμβάνει το πακέτο, και το προωθεί ανακτημένο στον κόμβο Β Configured Tunnels Είναι το tunnel στο οποίο κάθε άκρο είναι ορισμένο με την IPv4 διεύθυνση του απέναντι άκρου. Tα IPv6 πακέτα ενθυλακώνονται σε IPv4 πακέτα των οποίων το πεδίο Identification έχει την τιμή 41 η οποία και δηλώνει ότι το IPv4 πακέτο περιέχει ένα IPv6. H διεύθυνση προορισμού είναι αυτή που έχει δηλωθεί αρχικά στον 80

81 δρομολογητή ενώ του αποστολέα είναι η IPv4 του interface. Με αυτό τον τρόπο 45 οι δρομολογητές χτίζουν point-to-point links και μεταφέρουν τα πακέτα. Η συγκεκριμένη τεχνική έχει χρησιμεύσει για την παράλληλη ανάπτυξη ενός IPv6 δικτύου χωρίς τη χρήση ξεχωριστών φυσικών διασυνδέσεων Automatic Tunnels Πρόκειται ουσιαστικά για ένα συγκεκριμένο λογισμικό που εγκαθίστανται στους σταθμούς των χρηστών και κάνει την ενθυλάκωση IPv^ πακέτων. Στην τεχνική αυτή χρησιμοποιούνται συμβατές διευθύνσεις IPv4. Από τον τρόπο που είναι δομημένες οι διευθύνσεις ο σταθμός. μπορεί να αντιληφθεί ποιο είναι το άλλο άκρο του tunnel που θα δημιουργήσει για να επικοινωνήσει με τον IPv6 σταθμό. Για να λειτουργήσει το λογισμικό απαιτείται να μην υπάρχουν private διευθύνσεις ειδάλλως αποκλείονται Είδη IPv6 Tunnels Router-to-router tunneling: Γίνεται σύνδεση δρομολογητών IPv6, IPv4 μέσω μίας λίστας IPv4 κατόπιν πραγματοποιείται tunneling IPv6 πακέτων. Host-to-router tunneling: Οι hosts IPv6, IPv4 που κάνουν tunneling IPv6 πακέτων σε έναν ενδιάμεσο δρομολογητή στον οποίο έχουν πρόσβαση μέσω μίας IPv4 δομής. Host-to-host tunneling: Oι IPv4, IPv6 hosts είναι συνδεδεμένοι μεταξύ τους μέσω μίας δομής IPv4 και κάνουν tunneling IPv6 πακέτων. Σε αντίθεση με την προηγούμενη μέθοδο όπου το tunnel αντιστοιχούσε σε ένα τμήμα της συνολικής διαδρομής, στο συγκεκριμένο αντιστοιχεί σε όλη τη συνολική διαδρομή. Router-to-host: Οι IPv4,IPv6 δρομολογητές κάνουν tunneling IPv6 πακέτων στον τελικό τους προορισμό. 45 A Transport Protocol for Real-Time Applications, H.Shculzrinne, S. Casner, R. Frederick, V. Jacobson, January

82 Εικόνα 5.5 Συνδυασμός μεθόδων tunneling ΠηγήCisco.Press.IPv6.for.Enterprise.Networks.Mar.2011 Στο σχήμα αναπαρίστανται οι περιπτώσεις που αναφέρθηκαν. Στις 2 πρώτες τo τέλος του tunnel είναι ένας router ο οποίος είναι ο ενδιάμεσος. Η λειτουργία του κόμβου είναι απλώς να απενθυλακώσει τα IPv6 πακέτα και να τα προωθήσει προς τον τελικό προορισμό τους. Η IPv6 διεύθυνση δεν μπορεί να παρέχει καμία πληροφορία σχετικά με την IPv4 διεύθυνση του tunnel. Σε αντίθεση στις 2 τελευταίες περιπτώσεις τα IPv6 πακέτα ενθυλακώνονται προς έναν σταθμό ο οποίος αποτελεί και τον τελικό αποδέκτη της πληροφορίας που μεταδίδεται over4 Η μέθοδος αυτή έχει ως σκοπό να επιτρέψει σε κάποιον απομονωμένο σταθμό IPv6 ο οποίος βρίσκεται πάνω σε φυσικό σύνδεσμο χωρίς την παροχή native IPv6 υποστήριξης, να γίνειπλήρως λειτουργικός IPv6 σταθμός με πρόσβαση στο IPv6 δίκτυο. 82

83 5.9Κόμβοι Διπλής Στοίβας Καθώς τα πακέτα λαμβάνονται από το επίπεδο σύνδεσης στο επίπεδο δικτύου, εξετάζονται οι επικεφαλίδες τους. Αν το πεδίο έκδοσης της επικεφαλίδας είναι 4 τότε το πακέτο επεξεργάζεται από την IPv4 στοίβα. Εάν είναι έξι τότε επεξεργάζεται από την IPv6 στοίβα. Έτσι ενεργοποιούνται 2 πρωτόκολλα στα δικτυακά interfaces του εξοπλισμού. Αποτέλεσμα είναι η επικοινωνία των κόμβων του δικτύου με άλλους είτε αυτοί χρησιμοποιούν το IPv4 είτε το IPv6 είτε και τα δύο. Εικόνα 5.6 DualStackofIPv6 Πηγή Το σχήμα δείχνει το μοντέλο διπλής στοίβας. Οι κόμβοι και οι συσκευές δικτύωσης μπορούν να εκτελέσουν τόσο IPv4 όσο και IPv6. 83

84 5.10 Υποστήριξη IPv6 σε επίπεδο λειτουργικών συστημάτων και εφαρμογών Η Microsoft έχει ενσωματώσει στα Windows ΧP την IPv6 stack κάτι που δεν ισχύει για τα Windows 2000 στα οποία μεν εγκαθίσταται η IPv6 stack αλλά η λειτουργικότητά της είναι αρκετά περιορισμένη και προκαλεί αρκετά προβλήματα στην όλη λειτουργία του σταθμού. Καλύτερη είναι η αντίστοιχη υποστήριξη στο IPv6 από τους κλώνους του σταθμού. Σημαντικότερα καλύτερη είναι η αντίστοιχη υποστήριξη στο IPv6 από τους κλώνους του Unix και ειδικότερα από τις διάφορες εκδόσεις του Linux και του BSD C. Bouras, A. Gkamas, K. Stamos, From IPv4 to IPv6: The case of OpenH323 Library, SAINT 2003, Orlando, Florida, January 2003, pp

85 ΚΕΦΑΛΑΙΟ Πειραματικό μέρος Μπορούμε να διαπιστώσουμε αν η σύνδεση μας υποστηρίζει IPv6 με μία επίσκεψη στην επίσημη ιστοσελίδα του Μελετώντας τα παρακάτω σχήματα μπορούμε να διεξάγουμε συμπεράσματα συγκριτικά με το προηγούμενο πρωτόκολλο ως προς την ταχύτητα αλλά και ως προς την ασφάλεια. 6.2 Υποστήριξη Πρωτοκόλλων Στα παρακάτω γραφήματα μπορούμε να δούμε την υποστηριξιμότητα των δύο πρωτοκόλλων. Εικόνα 6.1 Υποστηριξιμότητα διευθύνσεων των πρωτοκόλλων Πηγή Παρατηρούμε οτί το IPv4 υποστηρίζεται σχεδόν από το 100% των συνδέσεων σε αντίθεση με το IPv6 που είναι αρκετά αργή η διάδοσή του. το παραπάνω μπορεί να επιβεβαιωθεί και από τις μετρήσεις επισκεψιμότητας χρηστών από τον προεπιλεγμένο τους περιηγητή 85

86 Εικόνα 6.2 Σύγκριση χρήσης IPv6-IPv4 από προεπιλεγμένο browser Πηγή Εικόνα 6.3 Χρήση IPv6 στην Ελλάδα Πηγή Όπως μπορούμε να συμπεράνουμε από το γράφημα γενικότερα αλλά και ειδικότερα στη χώρα μας δεν γίνεται χρήση του IPv6 παρά από ελάχιστες διευθύνσεις. 86