工程4項(xiàng)目4 IPv6安全配置

1、IPv6安全配置 工程工程4 4項(xiàng)目項(xiàng)目4 4 第第31-32講講 vIPv6 安全性 vIPv6 ACL vIPv6 DHCP vIPv6 DNS 4.1 IPv6 安全性安全性 v 由于IPv4在設(shè)計(jì)之初沒有過多地考慮網(wǎng)絡(luò)的安全性，隨著Internet的飛速發(fā) 展，各種應(yīng)用越來越多和越來越深入，這種設(shè)計(jì)的不完善性引發(fā)了越來越多 的網(wǎng)絡(luò)安全問題，盡管后來通過在應(yīng)用程序級上采用了一些安全機(jī)制，如加 密和安全套接字層(Secure Socket Layer，SSL)等技術(shù)，但依然無法從IP層 來保證網(wǎng)絡(luò)的安全。 v 而IPsec協(xié)議恰恰是解決IP層安全的一種可行的網(wǎng)絡(luò)安全機(jī)制，該協(xié)議對IPv4

2、來說是可選項(xiàng)，但對IPv6來說是必選的，它是IPv6網(wǎng)絡(luò)安全的核心。 v IPsec協(xié)議是由一系列能夠?yàn)镮P網(wǎng)絡(luò)提供完整安全方案的協(xié)議所構(gòu)成，這些協(xié) 議的組合為應(yīng)用實(shí)體提供了多種保護(hù)措施，也構(gòu)成了IPsec的體系結(jié)構(gòu)。 l 封裝安全有效載荷(ESP)：ESP定義了ESP加密及驗(yàn)證處理的相關(guān)報(bào)文的 格式和處理規(guī)則。 l 認(rèn)證報(bào)頭(AH)：AH定義了AH驗(yàn)證處理的相關(guān)報(bào)文的格式和處理規(guī)則。 l 加密算法：加密算法描述各種加密算法如何用于ESP中。 l 驗(yàn)證算法：驗(yàn)證算法描述各種身份驗(yàn)證算法如何應(yīng)用于AH和ESP中。 1.傳輸安全 4.1 IPv6 安全性安全性 v 不管是IPv4還是IPv6，都需

3、要使用Web、DNS等服務(wù)器，IPv6網(wǎng)絡(luò) 中的服務(wù)器就是一個容易被黑客看中的關(guān)鍵主機(jī)。也就是說，雖然無 法對整個網(wǎng)絡(luò)進(jìn)行系統(tǒng)的網(wǎng)絡(luò)偵察，但在每個IPv6的網(wǎng)絡(luò)中，總有那 么幾臺主機(jī)是大家都知道網(wǎng)絡(luò)名字的，也可以對這些主機(jī)進(jìn)行攻擊。 而且，因?yàn)镮Pv6的地址空間實(shí)在是太大了，很多IPv6的網(wǎng)絡(luò)都會使用 動態(tài)的DNS服務(wù)。而如果攻擊者可以攻占這臺動態(tài)DNS服務(wù)器，就可 以得到大量的在線IPv6的主機(jī)地址。 v 對于關(guān)鍵網(wǎng)絡(luò)服務(wù)器的安全需要特別重視，不然黑客就會從這里入手 從而進(jìn)入整個網(wǎng)絡(luò)。所以，網(wǎng)絡(luò)管理員在對主機(jī)賦予IPv6地址時，不 應(yīng)該使用好記的地址，也要盡量對自己網(wǎng)絡(luò)中的IPv6地址進(jìn)行隨

4、機(jī)化 ，這樣會在很大程度上減少這些主機(jī)被黑客發(fā)現(xiàn)的機(jī)會。 2.服務(wù)安全 4.1 IPv6 安全性安全性 v 目前，病毒和互聯(lián)網(wǎng)蠕蟲是最讓人頭疼的網(wǎng)絡(luò)攻擊行為。但這種傳播 方式在IPv6的網(wǎng)絡(luò)中就不再適用了，因?yàn)镮Pv6的地址空間實(shí)在是太大 了，如果這些病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘 之機(jī)的其他主機(jī)，就猶如大海撈針。在IPv6的世界中，對IPv6網(wǎng)絡(luò)進(jìn) 行類似IPv4的按照IP地址段進(jìn)行網(wǎng)絡(luò)偵察是不可能了。 v 在IPv6的世界里，病毒、互聯(lián)網(wǎng)蠕蟲的傳播將變得非常困難。但是， 基于應(yīng)用層的病毒和互聯(lián)網(wǎng)蠕蟲是一定會存在的，電子郵件的病毒還 是會繼續(xù)傳播。此外，還需要注意IPv6網(wǎng)

5、絡(luò)中的關(guān)鍵主機(jī)的安全。 v 對于特定應(yīng)用領(lǐng)域，如電子商務(wù)等的攻擊行為與IPv4網(wǎng)絡(luò)基本相同， 除非采用嚴(yán)格的防護(hù)措施才能解決。 3.應(yīng)用安全 4.2 IPv6 ACL v 可根據(jù)源和目的地址過濾 v 可在特定接口上分別控制進(jìn)入和外出流量 v 可添加ACL優(yōu)先級 v ACL控制列表最后隱含著一條拒絕所有“deny all” v 注意IPv6中只能使用命名式訪問控制列表 功能：類似IPv4，IPv6的訪問控制列表 (ACL)有以下功能 特征 : 4.2.1 IPv6 ACL命令配置 1.建立ACL： 4.2.1 IPv6 ACL命令配置 Permit| deny 協(xié)議 源地址 目標(biāo)地址 選項(xiàng)等 例

6、： permit tcp any host 1:1 eq web deny fc00:0:0:2:/64 any permit any any 2.添加ACL語句： 4.2.1 IPv6 ACL命令配置 3.把ACL語句應(yīng)用到相應(yīng)接口的相應(yīng)方向： 1.過濾特定源地址的出口流量 Global prefix: 2001:0db8:c18:2:/64 Site-local prefix: fc00:0:0:2:/64 IPv6 Internet 2001:0db8:c18:2:/64 fc00:0:0:2:/64 Ethernet0 ipv6 access-list blocksite deny f

7、c00:0:0:2:/64 any permit any any interface Ethernet0 ipv6 traffic-filter blocksite out 4.2.2 IPv6 ACL示例 Web Server 1:1/64 IPv6 Internet F0/0 time-range work periodic daily 9:00 to 17:00 ipv6 access-list V6FILTER permit tcp any host 1:1 eq web time-range work interface FastEthernet0/0 ipv6 traffic-fi

8、lter V6FILTER in HTTP ANY 2. 設(shè)置在規(guī)定的時間可訪問Web服務(wù)器 3.過濾特定業(yè)務(wù)的流量 R0: ipv6 access-list test deny tcp host 2002:11 host 2006:11 eq www deny tcp host 2001:11 host 2004:11 eq www deny icmp 2002:/64 host 2004:11 permit ipv6 any any! interface Serial0/0/0 ipv6 traffic-filter test out 4.3 IPv6 DHCP v IPv6 配置ip地址

9、的方式 手工配置，一般應(yīng)用于路由器的接口地址配置。 無狀態(tài)自動配置(2.4節(jié))：使用鄰居發(fā)現(xiàn)協(xié)議及路由發(fā)現(xiàn)協(xié)議 自動配置IPV6地址及默認(rèn)網(wǎng)關(guān)等，主要在雙棧模式下實(shí)現(xiàn) IPV6的主機(jī)配置。 有狀態(tài)DHCPv6（2.6節(jié)）：使用IPV6服務(wù)器實(shí)現(xiàn)IPV6客戶 的所有參數(shù)的自動配置。 有無狀態(tài)DHCPv6：可以為IPV6客戶自動配置DNS及域名等 參數(shù)，但不動態(tài)維護(hù)其狀態(tài)。 DHCPv6前綴代表(DHCPv6-PD)（2.6節(jié)）:可以實(shí)現(xiàn)多級 DHCP前綴分配，主要應(yīng)用在運(yùn)營商為其客戶路由器分配下 級路由前綴。 4.3.1 DHCPv6消息類型消息類型 v DHCPv6消息類型共13種： 懇求(S

10、olicit):msg-type=1，客戶端查詢服務(wù)器。 通告(Advertise):msg-type=2，服務(wù)器向客戶提供參數(shù)。 請求(Request):msg-type=3，客戶端向特定服務(wù)器請求地址等配置參 數(shù) 確認(rèn)(Confirm):msg-type=4，客戶端向服務(wù)器確認(rèn)得到的地址對所在 鏈路是否合適。 更新(Renew):msg-type=5，客戶端在租用時間為一半時向服務(wù)器請求 新一輪的使用地址時間及更新其他參數(shù)。 再綁定(Rebind):msg-type=6，當(dāng)沒有收到服務(wù)器對更新信息的響應(yīng)時 ，客戶端發(fā)送該消息重新申請綁定。 應(yīng)答(Reply):msg-type=7，服務(wù)器回

11、應(yīng)客戶的懇求、請求、更新和再 綁定等信息。 4.3.1 DHCPv6消息類型消息類型 v DHCPv6消息類型共13種：P.22 釋放(Release):msg-type=8，客戶端通知服務(wù)器釋放使用 的參數(shù)。 拒絕(Decline):msg-type=9，客戶端通知服務(wù)器分配的地 址已被占用。 再配置(Reconfigure):msg-type=10，服務(wù)器通知客戶有新 參數(shù)需要更新。 信息請求(Information-Request):msg-type=11，客戶端請 求除地址之外的其他參數(shù)。 中繼轉(zhuǎn)發(fā)(Relay-forw):msg-type=12，中繼代理向服務(wù)器 發(fā)送的消息。 中繼應(yīng)

12、答(Relay-repl):msg-type=13，服務(wù)器回應(yīng)中繼代 理的消息。 4.3.2 DHCPv6報(bào)文結(jié)構(gòu)報(bào)文結(jié)構(gòu) v DHCPv6報(bào)文共分為3部分： msg-type，消息類型：1字節(jié)，區(qū)分不同的報(bào)文。 Transactin-id:消息交互編號：3字節(jié)，區(qū)分不同交互過程。 Opting：選項(xiàng)：變長。以選項(xiàng)類型(2字節(jié))+選項(xiàng)長度(2字節(jié))+選項(xiàng)內(nèi)容 的TLV方式出現(xiàn)。其中選項(xiàng)類型=13的為狀態(tài)代碼。 v DHCPv6設(shè)備ID選項(xiàng)：P.21 為了區(qū)分不同的客戶端及服務(wù)器，使用DUID(DHCP Unique ID)區(qū)分： 其類型值=1；類型為鏈路類型，以太網(wǎng)為1；然后是4字節(jié)的時間字段

13、 ，以秒為單位自2000-1-1的時間值；最后是鏈路層地址信息。 v DHCPv6報(bào)文使用的地址及端口號:P.24 DHCPv6使用下列2個組播地址：FF02:1:2為客戶端與服務(wù)器的通信地 址，F(xiàn)F05:1:3為服務(wù)器與中繼代理之間使用的地址。 DHCPv6使用UDP通信，客戶端端口號546,服務(wù)器及中繼代理使用的端 口號為547. 4.3.3 DHCPv6基本配置基本配置 v DHCPv6服務(wù)器基本配置： 定義地址池： R(config)#ipv6 dhcp pool pool-name /定義一個 DHCPV6地址池 R(config-dhcp)#prefix-delegation ip

14、v6-prefix /定義分配地 址前綴 R(config-dhcp)#domain-name domain-name /定義域名 R(config-dhcp)#dns-server dns-ipv6-address /定義DNS 地址 v 在接口上啟用DHCPv6服務(wù)器功能： R(config-if)# ipv6 dhcp server pool-name 4.3.4 DHCPv6前綴配置前綴配置 v DHCPv6-PD部署方式： Clent-server模式： Clent-relay模式： DHCPv6-PD Clent-relay模式： 4.4 IPv6域名解析域名解析 v 概述：與IPV4類似，在IPv6網(wǎng)絡(luò)中IPv6域名解析由正向解析和反向解析組成。由于 A6及其相關(guān)的反向解析的規(guī)范都處于實(shí)驗(yàn)狀態(tài)，因而本書將主要討論以AAAA為基 礎(chǔ)的正向解析及其相關(guān)的反向解析。 v IPv6 DNS的正向解析 IPv4地址正向解析的資源記錄是“A”記錄，在IPv6正向解析中，是通過對 IPv4域名解析的擴(kuò)展來實(shí)現(xiàn)的，具體是AAAA記錄，該資源記錄最早是在 RFC1886中提出，它是對A記錄的一種簡單擴(kuò)展，由于IP地址由32位擴(kuò) 展到128位，擴(kuò)大了4倍，所以資源記錄由“A”擴(kuò)大成了4個A，即AAAA， 用于表示域名和IPv6地址的對應(yīng)關(guān)系，它不支持地址的層次性。 下面實(shí)例顯