IPv6 src address spoofing?
Még az internet korai szakaszában volt IPv4-nél népszerű eszköze a csomagokat küldő forrás címének meghamisítása.
Egy egyszerű példa erre, küldünk egy ping csomagot X ipcímével Y-nak és Y erre válaszol a valódi X-nek. Azt mindenkinek a fantáziájára bízom, hogy ezt mire lehetett/lehet használni. Manapság IPv4 esetén ez már egy megoldottnak tekinthető dolog (jobb helyeken szűrik), viszont most, hogy közelebbről is megismerkedtem a T dsl-en nyújtott natív szolgáltatásával (ami még csak teszt! ezt fontos kihangsúlyozni) kipróbáltam mi lenne ha felhúznék egy tetszőleges IPv6 címet ami nem a T tartományából való és megpingelnék egy gépet vele.
A teszt környezet:
1, gép T dsl natív IPv6-al
2, gép ATW-nél lévő VPS natív IPv6-al
3, gép itthoni szerverem DIGI-vel és SixXS tunnelel
Programok:
tcpdump
ping6
Mit csináltam:
1, gépre felhuztam a SixXS-es gép egyik IPv6 címét és ping6 al küldtem pár csomagot a 2, gépre ahol figyeltem tcpdump-al mi történik, valamint közben a 3, gépen is figyeltem tcpdump-al.
Eredmény:
2, gépre a kérés megjön látszólag 3, gép IPv6 címével és arra a válasz el is megy
3, gépre ping válaszok érkeznek 2, gépről
A dolgot próbáltam más környezetben is, HE és ATW tunnel esetén is működik a más forráscím használata, SixXS tunnelnél viszont nem.
Magyar Telekom IPv6 DSL teszt
Az előző heten elhelyeztünk egy kis HP ProLiant Microserver-t egy partnerünknél, melynek feladata a szokásos Samba PDC,MAIL szerver, valamint mivel eddig egy kis soho routerük volt ezért a tűzfal funkcióját is ellátja.
A cégnél egy üzleti T DSL vonal van amin mint tudjuk natív IPv6 szolgáltatás is elérhető.
Ahhoz, hogy ez működjön nem kell mást tennünk mint ezen az oldalon regisztrálnunk és az itt található leírások alapján beállítani a kapcsolatunkat.
Jelen esetben én debian squeeze-t használtam. Itt a szokásos pppoe kapcsolat beállítása mellett be kellett állítani egy másik kapcsolatot is, mert a T külön kezeli az IPv4 és az IPv6 kapcsolatokat. Így akár ha akarjuk lehet csak IPv6 kapcsolatunk is.
A felhasználónév és jelszó megegyezik, de a megszokott user@t-online.hu helyett user@ipv6.t-online.hu formát kell használni, valamint a /etc/ppp/options fileba be kell irni hogy "ipv6 ," (idézőjelek nélkül).
A pppoe kapcsolódás után kapunk egy /64-es címet amit a T a 2001:4c48:0100::/48 es 2001:4c48:0101::/48 tartományaiból oszt jelenleg, ez 2*65536 kapcsolat kiszolgálására elég. Természetesen a SixXS-el ellentétben itt a /64-es tartomány összes címe használható és a következő névkonvenciót használja a T:
<IPv6 cím kettőspont nélkül>.access.pool.telekom.hu
pl.: host 2001:4c48:0100::0
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.8.4.c.4.1.0.0.2.ip6.arpa domain name pointer 20014C48010000000000000000000000.access.pool.telekom.hu.
Igény esetén igényelhetünk egy /56-os subnetet ha beregisztráljuk a DUID címünket. Ezt a T a következő tartományokból szolgálja ki:
2001:4c48:0110::/48
2001:4c48:0111::/48
2001:4c48:0112::/48
2001:4c48:0113::/48
2001:4c48:0114::/48
2001:4c48:0115::/48
2001:4c48:0116::/48
2001:4c48:0117::/48
2001:4c48:0118::/48
2001:4c48:0119::/48
2001:4c48:011a::/48
2001:4c48:011b::/48
2001:4c48:011c::/48
2001:4c48:011d::/48
2001:4c48:011e::/48
2001:4c48:011f::/48
Vagy egyszerűbben 2001:4c48:0110::/44,ami 4096 db /56 subnetet jelent. Itt a névkonvenció már:
<IPv6 cím kettőspontok nélkül>.dsl-dp.pool.telekom.hu
pl.: host 2001:4c48:0110::0
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.1.0.8.4.c.4.1.0.0.2.ip6.arpa domain name pointer 20014C48011000000000000000000000.dsl-dp.pool.telekom.hu.
Viszont ezen reverzek AAAA rekordjai jelenleg nem léteznek.
host 20014C48011000000000000000000000.dsl-dp.pool.telekom.hu
Host 20014C48011000000000000000000000.dsl-dp.pool.telekom.hu not found: 3(NXDOMAIN)
Az XP klienseken RADVD segítségével kapnak IPv6 címet, de XP nem tud IPv6 NS használni ezert a szerveren futó bind szolgálja ki őket, ami a következő forwarders címeket használja:
2001:4c48:1::1
2001:4c48:2::1
Mivel így minden kliens publikus IPv6 címet kapott ezert a szerveren az iptables tűzfalat is ehhez kellett igazítani.
Magyar Telekom IPv6 Workshop #2
Előző sikeres workshop után megrendezésre kerül a második is. Valamint kikerült az első workshop anyaga, ami egy elég jó általános IPv6 dokumentációnak is beillik, tehát érdemes megtekinteni annak is akinek nincsen szervere a Magyar Telekom szervertermeiben.
Részletek:
Tisztelt Partnerünk!
Szeretettel meghívjuk Önt és érdeklődő munkatársait az IPv6 átállással kapcsolatos Várjuk ezen a felületen is a kérdéseket, amikre a hálózatfejlesztő kollégák megadják a válaszokat. Rendezvény helyszíne: Telekom székház (1013 Budapest, Krisztina krt. 55.) Időpont: 2011. június 21. 9.00-11.00 Részvételi szándékát kérjük az alábbi felületen jelezze: Üdvözlettel: Gulyás Zoltán |
Magyar Telekom IPv6 Workshop
Ahogyan már a korábbi bejegyzésebben említettem, a Magyar Telekom tart egy IPv6-al kapcsolatos szakmai konzultációt, mielőtt "felkapcsolnák" az IPv6-ot.
Erről most már hivatalos meghívót is küldtek az ügyfeleknek:
Tisztelt Partnerünk!
Szeretettel meghívjuk Önt és érdeklődő munkatársait az IPv6 átállással kapcsolatos
szakmai konzultációnkra.
Rendezvény helyszíne: Telekom székház (1013 Budapest, Krisztina krt. 55.)
Időpont: 2011. május 31. 9.00-11.00
Részvételi szándékát kérjük az alábbi felületen jelezze:
Üdvözlettel:
Gulyás Zoltán
hosting termékmenedzser
Magyar Telekom – “IPv6 felkapcsolás”!
Tegnap este jött a levél, miszerint:
"A még rendelkezésre álló szabad IPv4-es címek csökkenésével egyre inkább előtérbe kerül az IPv6-os címek használata világszerte.
A tömeges elterjedés eddigi gátja az IPv6-os címek mögötti tartalom hiánya volt. Ennek kezelésére több szolgáltató, köztük a Magyar Telekom is elindítja a rendszereinek az átállítását." teljes levél
Tehát a telekom végre megkezdi a tesztidőszakot a szerverhosting ágazatában is, mind az Adatparkban mind pedig a Dataplex-ben.
"IPv6 felkapcsolás időpontja
2011.06.03-án (péntek) 3:00-tól 07:00-ig"
Arról, hogy milyen formában és milyen méretű tartományt ad majd az ügyfeleknek a T nem esik szó a levélben, viszont 2011.05.31-én a Budapest Krisztina krt. 55. Tölösi3 konferencia terem szám alatti épületükben egy nyilvános, szakmai konzultációt tartanak, amire szeretettel várnak minden kedves érdeklődőt!
Lakossági IPv6 internet szolgáltatók
Remélem ez egy folyamatosan frissülő lista lesz.
1,Externet
-DSL szolgáltató
-/56 tartományokat oszt kapcsolatonként díjmentesen
-2a02:558::/32 a saját tartományuk
-2009 májusától vezették be
-Optikai és DSL szolgáltatásainál vehető igénybe jelenleg teszt jelleggel
-/56 tartományokat oszt kapcsolatonként díjmentesen
-2001:4c48::/32 a saját tartományuk
-2009 novemberétől vezették be
Egyelőre ekkora a lista, de több nagy itthon szolgáltató (GTS-Datanet, UPC, Btel, Telenor, Digi, FiberNet, Interware, PR-Telecom) is rendelkezik már IPv6 tartománnyal, remélhetőleg ők is hamarosan bővítik szolgáltatásaikat.