NAT64/DNS64 in the Networks with DNSSEC

Zvyšuj?c? se pod?l resolverů a aplikac? použ?vaj?c? DNS-over-HTTPSvede k vyš?mu pod?lu klientů použ?vaj?c?ch DNS resolvery třet?chstran. Kvůli tomu ovšem selhává nejpouž?vanějš? NAT64 detekčn?metoda RFC7050[1], což vede u klientů použ?vaj?c?ch přechodovémechanismy NAT64/DNS64 nebo 464XLAT k neschopnosti tytopřechodové mechanismy správně detekovat, a t?m k nedostupnostiobsahu dostupného pouze po IPv4. C?lem této práce je navrhnoutnovou detekčn? metodu postavenou na DNS, která bude pracovati s resolvery třet?ch stran, a bude schopná využ?t zabezpečen? DNSdat pomoc? technologie DNSSEC. Práce popisuje aktuálně standardizovanémetody, protokoly na kterých závis?, jejich omezen?a interakce s ostatn?mi metodami. Navrhovaná metoda použ?vá SRVzáznamy k přenosu informace o použitém NAT64 prefixu v globáln?mDNS stromu. Protože navržená metoda použ?vá již standardizovanéprotokoly a typy záznamů, je snadno nasaditelná bez nutnostimodifikovat jak DNS server, tak s?t'ovou infrastrukturu. Protožemetoda použ?vá k distribuci informace o použitém prefixu globáln?DNS strom, umožňuje to metodě použ?t k zabezpečen? technologiiDNSSEC. To této metodě dává lepš? bezpečnostn? vlastnosti nežjaké vykazuj? předchoz? metody. Tato práce vytvář? standardizačn?bázi pro standardizaci v rámci IETF.The rising number of DNS-over-HTTPS capable resolvers and applicationsresults in the higher use of third-party DNS resolvers byclients. Because of that, the currently most deployed method of theNAT64 prefix detection, the RFC7050[1], fails to detect the NAT64prefix. As a result, clients using either NAT64/DNS64 or 464XLATtransition mechanisms fail to detect the NAT64 prefix properly,making the IPv4-only resources inaccessible. The aim of this thesisis to develop a new DNS-based detection method that would workwith foreign DNS and utilize added security by the DNS securityextension, the DNSSEC. The thesis describes current methods ofthe NAT64 prefix detection, their underlying protocols, and theirlimitations in their coexistence with other network protocols. Thedeveloped method uses the SRV record type to transmit the NAT64prefix in the global DNS tree. Because the proposed method usesalready existing protocols and record types, the method is easilydeployable without any modification of the server or the transportinfrastructure. Due to the global DNS tree usage, the developedmethod can utilize the security provided by the DNSSEC and thereforeshows better security characteristics than previous methods.This thesis forms the basis for standardization effort in the IETF.

IPv6-verkkopalvelut

Tämän opinnäytetyön tavoitteena oli kehittää Lahden kaupungin langattoman verkon, Mastonetin, virtualisoidut verkkopalvelut toimimaan IPv6-protokollan kanssa. Mastonetin DHCP- ja DNS-verkkopalvelut on toteutettu alun perin Linux-palvelimille. Opinnäytetyön käytännön osuudessa toteutettiin vastaava ympäristö ja kehitettiin ympäristöä IPv6-yhteensopivaksi. Lisäksi samanlainen ympäristö rakennettiin käyttäen Windows-palvelimia. Lopuksi näitä kahta eri toteutusta verrattiin keskenään. IPv6-protokollan käyttöönottoon on syytä valmistautua, koska IPv4-osoitteet eivät tule riittämään ikuisesti. Lisäksi IPv6 tuo parannuksia IPv4-protokollaan verrattuna. Tärkein parannus laajemman osoiteavaruuden lisäksi on tilaton autokonfiguraatio, jossa verkkoon liittyvä laite voi muodostaa itse verkkoon liittyessään itselleen IPv6-osoitteen. IPv6-osoitteiden pituus tekee DHCP- ja DNS-verkkopalveluista entistä tärkeämmät. Se, että verkkoon liittyvä laite saa DHCP-palvelimelta IPv6-osoitetiedot tai käyttää osoitteen muodostamiseen tilatonta autokonfiguraatiota, muodostuu tärkeäksi kun on kyse 128 bitin pituisista IPv6-osoitteista. IPv6-osoitteiden pituus tekee osoitteiden ulkoa muistamisesta lähes mahdotonta. Tämän vuoksi IPv6-yhteensopiva DNS-nimipalvelu on toimivan verkon edellytys. Opinnäytetyön käytännön osuudessa selvisi, että IPv6-verkkopalvelut ovat toteutettavissa Mastonetin käyttöön Linux-ympäristössä. Käytännön toteutuksen perusteella IPv6-ominaisuudet on mahdollista ottaa käyttöön myös Windows-palvelinympäristössä. Linux-palvelimilla käytetty DHCP-palvelinohjelmisto ei työn toteutusvaiheessa tarjonnut tukea DHCPv6:n failover-protokollalle. Tulevaisuudessa failover-protokollan tuki voi kuitenkin tuoda Linux-ympäristön vikasietoisuuden toteutukseen edun verrattuna Windows-ympäristöön. Toteutuksien vertailussa todettiin Windows-ympäristön toteutus helpommaksi graafisen ympäristön vuoksi. Linux on kuitenkin palvelinkäytössä löytänyt oman vakaan asemansa. Työn perusteella voidaan todeta, että jos aikaisempi IPv4-palvelinympäristö on toteutettu Windows-palvelimilla, ei IPv6-ominaisuuksien käyttöönoton vuoksi ole tarpeellista vaihtaa toiseen palvelinympäristöön.The aim of this thesis was to develop the virtualized network services of Mastonet, the wireless network of the city of Lahti, to work with the IPv6 protocol. Mastonet's DHCP and DNS network services were originally developed to work on the Linux environment. In the practical part of the thesis the same environment was implemented with IPv6 support. Also, an identical environment was built by using Windows servers. Finally, these two implementations were compared. The preparation for IPv6 deployment is necessary because the IPv4 address exhaustion will take place some day in the near future. Comparing to IPv4, IPv6 will bring improvements. The second most important improvement after larger address space is the stateless autoconfiguration. With stateless autoconfiguration the device entering the network will form the IPv6 address by itself. The DHCP and DNS network services are more important with IPv6 because of the length of IPv6 addresses. The 128-bit-long IPv6 address means that it is important that the device gets the IPv6 address information from the DHCP server or by using stateless autoconfiguration. The length of the address will make memorizing the addresses almost impossible. That is the reason why the IPv6 compatible DNS name server is the prerequisite of a fully functional network. In the practical part of the thesis it was found that the IPv6 network services can be implemented successfully to Mastonet's Linux environment. The practical implementation proved that the IPv6 features are also implementable to the Windows server environment. The DHCP server software used in the Linux environment did not support the DHCPv6 failover protocol at the time of the implementation. In the future the support of the failover protocol may bring the advantage of better fault tolerance on the Linux server environment than in the Windows server environment. In the comparison of the two implementations it was found that the graphical user interface of the Windows environment facilitates the implementation of DHCP and DNS servers. However, Linux has gained a large share in server use. The practical implementation showed that the Windows server environment can be used with IPv6. From this it can be concluded that if the IPv4 server environment has been implemented with Windows servers, it is not necessary to change to another server environment because of IPv6