IPv6 Assessment im UniversitätsSpital Zürich Stefan Portmann Netcloud AG 30.05.2013 2
Agenda Vorgehensweise in einem IPv6 Projekt IPv6 Assessment Einführung Anforderungsprofile IPv6 Assessment im USZ Auswahl an Ergebnissen im Überblick Layer 2 Switches Layer 3 Switches Firewalls 30.05.2013 3
IPv6 Projekt Vorgehensweise Eine gute Planung und Koordination ist unerlässlich, da viele Bereich der IT involviert sein werden: Network Engineers Server / Client engineers Security Engineers Application Developers Web Hosting / Content Developers Business Development Managers Im Weiteren ist das IPv6 Training für alle involvierten ein zentraler Punkt, der wesentlich zum gemeinsamen Verständnis beiträgt! 30.05.2013 4
IPv6 Projekt Vorgehensweise 30.05.2013 5
Agenda Vorgehensweise in einem IPv6 Projekt IPv6 Assessment Einführung Anforderungsprofile IPv6 Assessment im USZ Auswahl an Ergebnissen im Überblick Layer 2 Switches Layer 3 Switches Firewalls 30.05.2013 6
IPv6 Assessment - Einführung Das IPv6 Assessment ist ein wichtiger und notwendiger Schritt in einem IPv6 Projekt. Durch diesen Schritt gewinnt man einen Überblick über die IPv6 Funktionalität der bestehenden IT-Infrastruktur: Hardware (Client/Server, Netzwerkkomponenten und Back-End- Systeme, ) Software (Kommerzielle- / Fachapplikationen, Management Software, ) Services und Prozesse 30.05.2013 7
IPv6 Assessment - Einführung Diese Aufgabe des Assessment wird sehr umfangreich werden, eine Aufteilung in Phasen ist daher empfohlen. Die Aufteilung erfolgt nach Bereichen der IT und der IPv6 Roadmap: Die Netzwerkkomponenten werden z.b. in einer eigenen Phase erfasst. Diese kann weiter heruntergebrochen werden, z.b. Netzwerk- Komponenten im Internet Perimeter (Internet Access, DMZ) 30.05.2013 8
IPv6 Assessment - Anforderungsprofile Die Erstellung sogenannter Anforderungsprofile in tabellarischer Form erleichtern die Durchführung des Assessment und führen zu einem strukturierten Ergebnis. Das Profil sollte nicht nur auf einzelne RFCs abzielen, sondern die spezifische Zielarchitektur berücksichtigen. Diese Profile entwickeln sich in der Regel über einen gewissen Zeitraum können lange im Einsatz sein. Sie müssen daher an neue Entwicklungen angepasst werden. Profil Lifecycle Es ist empfohlen diese Profile auch bei Neuanschaffungen beizuziehen. 30.05.2013 9
IPv6 Assessment - Anforderungsprofile Es sind eine Reihe von Profilen frei verfügbar, welche als Basis für das eigene Profil dienen können: RIPE / Requirements for IPv6 in ICT Equipment http://www.ripe.net/ripe/docs/ripe-554 NIST / A Profile for IPv6 in the U.S. Government http://www-x.antd.nist.gov/usgv6/docs/usgv6-v1.pdf BMI / IPv6 Profile für die öffentliche Verwaltung http://www.bit.bund.de/cln_321/nn_2256370/bit/de /Shared/Publikationen/IPv6/fue profildokument.html 30.05.2013 10
Agenda Vorgehensweise in einem IPv6 Projekt IPv6 Assessment Einführung Anforderungsprofile IPv6 Assessment im USZ Auswahl an Ergebnissen im Überblick Layer 2 Switches Layer 3 Switches Firewalls 30.05.2013 11
IPv6 Assessment im USZ Projektumfang: IPv6 Assessment im USZ umfasst sämtliche Cisco Netzwerkkomponenten aus den Bereichen L2 Switch, L3 Switch/Router, Loadbalancer, Firewall und Wireless LAN. Im Bereich Software wurden die wichtigen Komponenten Cisco Secure Access Control System (ACS) und Cisco Security Manager (CSM) überprüft. Projektabgrenzung: Auf die Überprüfung der IPv6 Basis RFC wurde verzichtet. Diese Phase des Assessment basiert auf Herstellerangaben, auf Tests wurde verzichtet. Dies wird, falls erforderlich, in einer weiteren Phase angegangen. 30.05.2013 12
IPv6 Assessment im USZ Die bestehenden IPv6 Profile der öffentlichen Verwaltungen sind aufwendig und komplex. Das Dokument von RIPE bietet einen guten Ausgangspunkt für den Start. Im USZ wurde initial ein IPv6 Profil erstellt, welches von der Feature Parität zu IPv4 ausgeht. Erweitert wurde dieses Profil mit Elementen aus RIPE-554, um die neuen Eigenschaften und Funktionen von IPv6 zu berücksichtigen. 30.05.2013 13
IPv6 Assessment im USZ IPv6 Profil "Layer 2 Switch" - Beispiele Feature Parität zu IPv4: Management Funktionen: SSH, SNMP, Syslog, Tacacs, NTP, DNS, (T)FTP, Ping Quality of Service (QoS) Port-Channel Loadbalancing IPv6 Src/Dst based IPv6 Profil "Layer 2 Switch" - Beispiele aus RIPE-554: MLDv2 snooping [RFC4541] Router Advertisement (RA) filtering [RFC4862] DHCPv6 filtering [RFC3315] Dynamic "IPv6 Neighbor solicitation/advertisement" inspection [RFC4861] 30.05.2013 14
IPv6 Assessment im USZ Ergebnisse in tabellarischer Form auflisten. Alle recherchierte Informationen werden festgehalten. Berücksichtigt wird nicht nur die aktuell eingesetzte SW Version, es werden auch Angaben zu Features in neueren SW Versionen festgehalten. 30.05.2013 15
Agenda Vorgehensweise in einem IPv6 Projekt IPv6 Assessment Einführung Anforderungsprofile IPv6 Assessment im USZ Auswahl an Ergebnissen im Überblick Layer 2 Switches Layer 3 Switches Firewalls 30.05.2013 16
Auswahl an Ergebnissen im Überblick Layer 2 Switches Layer 2 Switches 2960/3560/3750 (*) Control Plan (Management) In 12.2(55)SE sind SSH, SNMP, Syslog, DNS, (T)FTP und Ping verfügbar, dieser Release unterstützt alle 2960/3560/3750 Switches, was in neueren Releases nicht mehr der Fall ist. In 12.2(58)SE sind TACACS und NTPv4 (ermöglicht NTP über IPv6) verfügbar, womit die Features für das Management über IPv6 breit abgestützt sind. Dieser Release unterstützt nur noch gewisse Modelle der 2960/3560/3750 Switches. * Die Switches 3560/3750 sind Layer 3 Switches, werden aber im USZ als Layer 2 Access Switch eingesetzt. 30.05.2013 17
Auswahl an Ergebnissen im Überblick Layer 2 Switches Layer 2 Switches 2960/3560/3750 Data Plane IPv6 Forwarding in Hardware ist auf allen 2960/3560/3750 Switches unterstützt. MLDv2 Snooping auch in älteren Releases (ab 12.2(40)SE) verfügbar QoS auf 2960G/3560G/3750G nicht supported (nur IPv6 Port Trust). Für 2960S ab 15.0(2)SE, für 3560E/3750E und 3560X/3750X ab 12.2(52)SE verfügbar. IPv6 First Hop Security umfasst diverse Features: IPv6 Snooping / RA Guard / DHCPv6 Guard / Source/Prefix Guard / Destination Guard. Es sind nicht alle Features auf allen Switches verfügbar. Die Switches 2960G/3560G/3750G und älter unterstützen FHS nicht. FHS wird ab 15.0(2)SE supported. 30.05.2013 18
Auswahl an Ergebnissen im Überblick Layer 3 Switches Layer 3 Switches (MPLS P/PE Router) C6500 Control Plan (Management) Gemeinsame Code Basis für SUP-720 und SUP-2T ab 15.1(1)SY In 12.2(33)SXH6 sind SSH, DNS, (T)FTP und Ping verfügbar. SNMP/Syslog wird ab 12.2(33)SXI und Tacacs/NTPv4 ab 12.2(33)SXJ unterstützt. In OSPFv3 werden Routing Updates mit IPsec authentisiert, was ab 15.0(1)SY1 unterstützt wird. Die aus OSPFv2 bekannte Authentisierung mittels MD5 existiert nicht. Es gibt Bestrebungen dies wieder im Protokoll einzuführen. (RFC6506) OSPFv3 für VRF-Lite / MPLS PE-CE Routing ist ab 15.1(1)SY unterstützt. 30.05.2013 19
Auswahl an Ergebnissen im Überblick Layer 3 Switches Layer 3 Switches (MPLS P/PE Router) C6500 Data Plane IPv6 Forwarding in Hardware MLDv2 Snooping ACL-based policies in Hardware QoS Support für IPv6 Netflow Support für IPv6 ab 12.2(33)SXH MPLS/VPN 6VPE ab 12.2(33)SXI 30.05.2013 20
Auswahl an Ergebnissen im Überblick Firewalls Firewall Services Module (FWSM) Das FWSM unterstützt IPv6 nur in Software, was eine massive Einbusse an Performance bedeutet. Ein Einsatz im produktiven Umfeld ist daher NICHT empfohlen. End of Sale Date 25.09.2012 Replacement Product: ASA Services Module (ASASM) 30.05.2013 21
Auswahl an Ergebnissen im Überblick Firewalls Adaptive Security Appliances (ASA) IPv6 Stateful Inspection ab 7.0(1) [Mai 2005] für through-the-box IPv6 traffic IPv6 Netflow (only Data) in 8.1(1) [März 2008] IPv6 Support für ASDM, IPS, Transparent Firewall Mode und Failover Configurations ab 8.2(2) [Mai 2009] IPv6 Inspection Extension Headers ab 8.4(2) [Jan 2011] 30.05.2013 22
Auswahl an Ergebnissen im Überblick Firewalls Adaptive Security Appliances (ASA) Neue IPv6 Features in 9.0(1) [Okt 2012]: Inspection support for IPv6 and NAT64 Range of IPv6 addresses for a Network object Mixed IPv4 and IPv6 object groups Unified ACL for IPv4 and IPv6 OSPFv3 DHCPv6 relay NAT support for IPv6 Remote Access VPN support for IPv6 (diverse Feature) IPv6 Support on the ASA's outside interface for VPN Features 30.05.2013 23
Zusammenfassung Ein umfassendes IPv6 Assessment ist ein aufwendiges Vorhaben, die Aufteilung in Phasen ist empfohlen. Es ist wichtig die Zielarchitektur vor Augen zuhaben und sich nicht nur auf einzelne Features und RFCs zu beschränken. Das Ganze kann ein längerer Prozess sein. Es ist sinnvoll, IPv6 Profile auch bei Neuanschaffungen beizuziehen Lifecycle der Infrastruktur beachten. Das IPv6 Assessment im USZ zeigt, dass die Einführung von IPv6 durchaus auf der bestehenden Netzwerkinfrastruktur erfolgen kann. Es ist wichtig, sich frühzeitig mit der Thematik zu befassen! 30.05.2013 24
Konnten wir Ihre Fragen beantworten?! Herzlichen Dank!