Por que suas considerações operacionais para IPv6 Cabeçalhos de extensão nunca funcionam da maneira que você planeja

 

IPv6 Cabeçalhos de extensão

IPv6 Cabeçalhos de extensão têm feito parte do núcleo IPv6 especificação conforme detalhado no RFC8200. Eles oferecem informações complementares sobre IPv6 pacotes sobre como eles são processados ​​ou roteados, como Opções Hop-by-Hop. O cabeçalho Hop-by-Hop Options não é inserido ou excluído.

Ainda assim, pode ser examinado ou processado por qualquer nó ao longo do caminho de entrega de um pacote até que o pacote chegue ao nó (ou a cada um do conjunto de nós, no caso de multicast) identificado no campo Endereço de Destino o IPv6 cabeçalho.

O cabeçalho Hop-by-Hop Options, quando presente, deve seguir imediatamente o IPv6 cabeçalho. Sua presença é indicada pelo valor zero no campo Próximo Cabeçalho do IPv6 cabeçalho (tirado de RFC 8200).

Suas implementações em vários IPv6 implantações levaram a muitos problemas de segurança, como o 'Software Cisco IOS IPv6 Vulnerabilidade de negação de serviço de remontagem de fragmentação virtual' ou IPv6 Opções de salto a salto, uso após livre.

 

IETF trabalha em IPv6 Cabeçalhos de extensão

Vários IPv6 engenheiros se reuniram para escrever o 'Implicações operacionais de IPv6 Pacotes com cabeçalhos de extensão' 

O documento destaca as questões relacionadas IPv6 Cabeçalhos de extensão e por que eles foram descartados intencionalmente na Internet pública.

 

Restrições de encaminhamento de pacote

Muitos roteadores de nível de consumidor têm limitações em relação ao comprimento do cabeçalho IP que podem processar. Com IPv6 Cabeçalhos de extensão, isso pode levar à redução da taxa de transferência ou simplesmente ao descarte de pacotes.

 

Compartilhamento de carga baseado em ECMP e Hash

Muitos roteadores precisam inferir mais informações sobre como fazer o compartilhamento de carga. O IPv6 cabeçalho de rótulo de fluxo seria útil para este propósito, pois evitaria ter que processar vários IPv6 Cabeçalhos de extensão antes de tomar uma decisão.

Infelizmente, muitos roteadores (aproximadamente 20-30%) implantados deixar de usar o IPv6 cabeçalho de rótulo de fluxo corretamente e, portanto, IPv6 Os cabeçalhos de extensão costumam ser descartados nesses casos.

 

Problemas de segurança com IPv6 Cabeçalhos de extensão

Muitos roteadores têm uma política de negação padrão em operações de segurança. Isso significa que IPv6 Os cabeçalhos de extensão geralmente são descartados por padrão. Além disso, quando as listas de controle de acesso são definidas, muitas vezes são feitas de uma maneira onde IPv6 Os cabeçalhos de extensão podem causar um desvio de segurança. Portanto, por motivos de segurança, eles geralmente são descartados. Além disso, devido aos requisitos de processamento desses cabeçalhos adicionais, muitos firewalls preferem descartá-los, pois podem ser usados ​​como um vetor de negação de serviço.

 

Conclusão

A IETF draft em 'Implicações operacionais de IPv6 Pacotes com cabeçalhos de extensão 'oferece uma excelente discussão aprofundada para engenheiros de rede sobre as implicações de IPv6 extensões do lado da operação.

Neste blog, demos uma visão geral para engenheiros de rede e sistemas. Nós encorajamos os leitores a navegar pela Internet-Draft e, se possível, oferecer sugestões ao Grupo de Trabalho IETF v6ops. 

 

 

 

---

 

Sobre o autor

Logan Velvindron Engenheiro de Segurança de Infraestrutura  Ele faz experiências com novas tecnologias de segurança que têm valor comercial. Além disso, ele contribui para a Força-Tarefa de Engenharia da Internet como desenvolvedor de especificações, membro da Diretoria da Área de Segurança / Internet das Coisas e presidente do Grupo de Trabalho. Ele gerenciou e liderou vários hackathons da IETF durante a Cúpula da Internet na África e as reuniões da IETF.