工程4項(xiàng)目4IPv6安全配置

IPv6安全配置工程4項(xiàng)目4第31-32講本講內(nèi)容IPv6安全性IPv6

ACLIPv6

DHCPIPv6

DNS4.1IPv6安全性由于IPv4在設(shè)計(jì)之初沒(méi)有過(guò)多地考慮網(wǎng)絡(luò)的安全性，隨著Internet的飛速發(fā)展，各種應(yīng)用越來(lái)越多和越來(lái)越深入，這種設(shè)計(jì)的不完善性引發(fā)了越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題，盡管后來(lái)通過(guò)在應(yīng)用程序級(jí)上采用了一些安全機(jī)制，如加密和安全套接字層(SecureSocketLayer，SSL)等技術(shù)，但依然無(wú)法從IP層來(lái)保證網(wǎng)絡(luò)的安全。而IPsec協(xié)議恰恰是解決IP層安全的一種可行的網(wǎng)絡(luò)安全機(jī)制，該協(xié)議對(duì)IPv4來(lái)說(shuō)是可選項(xiàng)，但對(duì)IPv6來(lái)說(shuō)是必選的，它是IPv6網(wǎng)絡(luò)安全的核心。IPsec協(xié)議是由一系列能夠?yàn)镮P網(wǎng)絡(luò)提供完整安全方案的協(xié)議所構(gòu)成，這些協(xié)議的組合為應(yīng)用實(shí)體提供了多種保護(hù)措施，也構(gòu)成了IPsec的體系結(jié)構(gòu)。封裝安全有效載荷(ESP)：ESP定義了ESP加密及驗(yàn)證處理的相關(guān)報(bào)文的格式和處理規(guī)則。認(rèn)證報(bào)頭(AH)：AH定義了AH驗(yàn)證處理的相關(guān)報(bào)文的格式和處理規(guī)則。加密算法：加密算法描述各種加密算法如何用于ESP中。驗(yàn)證算法：驗(yàn)證算法描述各種身份驗(yàn)證算法如何應(yīng)用于AH和ESP中。1.傳輸安全4.1IPv6安全性不管是IPv4還是IPv6，都需要使用Web、DNS等服務(wù)器，IPv6網(wǎng)絡(luò)中的服務(wù)器就是一個(gè)容易被黑客看中的關(guān)鍵主機(jī)。也就是說(shuō)，雖然無(wú)法對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行系統(tǒng)的網(wǎng)絡(luò)偵察，但在每個(gè)IPv6的網(wǎng)絡(luò)中，總有那么幾臺(tái)主機(jī)是大家都知道網(wǎng)絡(luò)名字的，也可以對(duì)這些主機(jī)進(jìn)行攻擊。而且，因?yàn)镮Pv6的地址空間實(shí)在是太大了，很多IPv6的網(wǎng)絡(luò)都會(huì)使用動(dòng)態(tài)的DNS服務(wù)。而如果攻擊者可以攻占這臺(tái)動(dòng)態(tài)DNS服務(wù)器，就可以得到大量的在線IPv6的主機(jī)地址。對(duì)于關(guān)鍵網(wǎng)絡(luò)服務(wù)器的安全需要特別重視，不然黑客就會(huì)從這里入手從而進(jìn)入整個(gè)網(wǎng)絡(luò)。所以，網(wǎng)絡(luò)管理員在對(duì)主機(jī)賦予IPv6地址時(shí)，不應(yīng)該使用好記的地址，也要盡量對(duì)自己網(wǎng)絡(luò)中的IPv6地址進(jìn)行隨機(jī)化，這樣會(huì)在很大程度上減少這些主機(jī)被黑客發(fā)現(xiàn)的機(jī)會(huì)。2.服務(wù)安全4.1IPv6安全性目前，病毒和互聯(lián)網(wǎng)蠕蟲(chóng)是最讓人頭疼的網(wǎng)絡(luò)攻擊行為。但這種傳播方式在IPv6的網(wǎng)絡(luò)中就不再適用了，因?yàn)镮Pv6的地址空間實(shí)在是太大了，如果這些病毒或者蠕蟲(chóng)還想通過(guò)掃描地址段的方式來(lái)找到有可乘之機(jī)的其他主機(jī)，就猶如大海撈針。在IPv6的世界中，對(duì)IPv6網(wǎng)絡(luò)進(jìn)行類似IPv4的按照IP地址段進(jìn)行網(wǎng)絡(luò)偵察是不可能了。在IPv6的世界里，病毒、互聯(lián)網(wǎng)蠕蟲(chóng)的傳播將變得非常困難。但是，基于應(yīng)用層的病毒和互聯(lián)網(wǎng)蠕蟲(chóng)是一定會(huì)存在的，電子郵件的病毒還是會(huì)繼續(xù)傳播。此外，還需要注意IPv6網(wǎng)絡(luò)中的關(guān)鍵主機(jī)的安全。對(duì)于特定應(yīng)用領(lǐng)域，如電子商務(wù)等的攻擊行為與IPv4網(wǎng)絡(luò)基本相同，除非采用嚴(yán)格的防護(hù)措施才能解決。3.應(yīng)用安全4.2IPv6ACL可根據(jù)源和目的地址過(guò)濾可在特定接口上分別控制進(jìn)入和外出流量可添加ACL優(yōu)先級(jí)ACL控制列表最后隱含著一條拒絕所有“denyall”注意IPv6中只能使用命名式訪問(wèn)控制列表功能：類似IPv4，IPv6的訪問(wèn)控制列表(ACL)有以下功能特征:4.2.1IPv6ACL命令配置命令格式ipv6access-listaccess-list-name//建立ACLnoipv6access-listaccess-list-name

//刪除ACL注意IPv6不再使用數(shù)字訪問(wèn)列表，數(shù)字也將作為名字訪問(wèn)列表處理；而且IPv4和IPv6的訪問(wèn)列表不能使用相同的名字，否則端口無(wú)法識(shí)別；在全局配置模式下配置，并進(jìn)入IPv6ACL命令配置模式；在用exit命令退出訪問(wèn)列表配置模式后，使用該命令的no形式可以刪除該訪問(wèn)控制列表。1.建立ACL：4.2.1IPv6ACL命令配置命令格式Permit|deny協(xié)議源地址目標(biāo)地址選項(xiàng)等例：permittcpanyhost1::1eqwebdenyfc00:0:0:2::/64anypermitanyany注意IPv6ACL默認(rèn)配置是允許ICMPv6的ND報(bào)文(相當(dāng)于IPv4的ARP)，但禁止其他IPv6報(bào)文。也就是說(shuō)，在用deny配置規(guī)則時(shí)，應(yīng)該在最后添加一條permitanyany。即隱含permiticmpanyanynd-napermiticmpanyanynd-nsdenyipv6anyany2.添加ACL語(yǔ)句：4.2.1IPv6ACL命令配置命令格式ipv6traffic-filteraccess-list-name{in|out}注意該命令將特定名字的訪問(wèn)控制列表應(yīng)用到特定端口上。使用本命令的no形式將取消對(duì)該端口的訪問(wèn)控制。ipv6traffic-filter只將IPv6ACL規(guī)則用于特定端口，而其它需要使用訪問(wèn)列表過(guò)濾的應(yīng)用，有其各自的命令。ipv6traffic-filter過(guò)濾的是路由器轉(zhuǎn)發(fā)的報(bào)文，而不是router自身產(chǎn)生的報(bào)文。3.把ACL語(yǔ)句應(yīng)用到相應(yīng)接口的相應(yīng)方向：1.過(guò)濾特定源地址的出口流量Globalprefix:2001:0db8:c18:2::/64

Site-localprefix:fc00:0:0:2::/64IPv6Internet2001:0db8:c18:2::/64fc00:0:0:2::/64Ethernet0ipv6access-listblocksite

denyfc00:0:0:2::/64any

permitanyanyinterfaceEthernet0

ipv6traffic-filterblocksiteout4.2.2IPv6ACL示例WebServer

1::1/64IPv6InternetF0/0time-rangeworkperiodicdaily9:00to17:00ipv6access-listV6FILTERpermittcpanyhost1::1eqwebtime-rangeworkinterfaceFastEthernet0/0ipv6traffic-filterV6FILTERinHTTPANY2.設(shè)置在規(guī)定的時(shí)間可訪問(wèn)Web服務(wù)器3.過(guò)濾特定業(yè)務(wù)的流量R0:ipv6access-listtestdenytcphost2002::11host2006::11eqwwwdenytcphost2001::11host2004::11eqwwwdenyicmp2002::/64host2004::11permitipv6anyany!interfaceSerial0/0/0ipv6traffic-filtertestout4.3IPv6DHCPIPv6配置ip地址的方式手工配置，一般應(yīng)用于路由器的接口地址配置。無(wú)狀態(tài)自動(dòng)配置(2.4節(jié))：使用鄰居發(fā)現(xiàn)協(xié)議及路由發(fā)現(xiàn)協(xié)議自動(dòng)配置IPV6地址及默認(rèn)網(wǎng)關(guān)等，主要在雙棧模式下實(shí)現(xiàn)IPV6的主機(jī)配置。有狀態(tài)DHCPv6（2.6節(jié)）：使用IPV6服務(wù)器實(shí)現(xiàn)IPV6客戶的所有參數(shù)的自動(dòng)配置。有無(wú)狀態(tài)DHCPv6：可以為IPV6客戶自動(dòng)配置DNS及域名等參數(shù)，但不動(dòng)態(tài)維護(hù)其狀態(tài)。DHCPv6前綴代表(DHCPv6-PD)（2.6節(jié)）:可以實(shí)現(xiàn)多級(jí)DHCP前綴分配，主要應(yīng)用在運(yùn)營(yíng)商為其客戶路由器分配下級(jí)路由前綴。4.3.1DHCPv6消息類型DHCPv6消息類型共13種：懇求(Solicit):msg-type=1，客戶端查詢服務(wù)器。通告(Advertise):msg-type=2，服務(wù)器向客戶提供參數(shù)。請(qǐng)求(Request):msg-type=3，客戶端向特定服務(wù)器請(qǐng)求地址等配置參數(shù)確認(rèn)(Confirm):msg-type=4，客戶端向服務(wù)器確認(rèn)得到的地址對(duì)所在鏈路是否合適。更新(Renew):msg-type=5，客戶端在租用時(shí)間為一半時(shí)向服務(wù)器請(qǐng)求新一輪的使用地址時(shí)間及更新其他參數(shù)。再綁定(Rebind):msg-type=6，當(dāng)沒(méi)有收到服務(wù)器對(duì)更新信息的響應(yīng)時(shí)，客戶端發(fā)送該消息重新申請(qǐng)綁定。應(yīng)答(Reply):msg-type=7，服務(wù)器回應(yīng)客戶的懇求、請(qǐng)求、更新和再綁定等信息。4.3.1DHCPv6消息類型DHCPv6消息類型共13種：P.22釋放(Release):msg-type=8，客戶端通知服務(wù)器釋放使用的參數(shù)。拒絕(Decline):msg-type=9，客戶端通知服務(wù)器分配的地址已被占用。再配置(Reconfigure):msg-type=10，服務(wù)器通知客戶有新參數(shù)需要更新。信息請(qǐng)求(Information-Request):msg-type=11，客戶端請(qǐng)求除地址之外的其他參數(shù)。中繼轉(zhuǎn)發(fā)(Relay-forw):msg-type=12，中繼代理向服務(wù)器發(fā)送的消息。中繼應(yīng)答(Relay-repl):msg-type=13，服務(wù)器回應(yīng)中繼代理的消息。4.3.2DHCPv6報(bào)文結(jié)構(gòu)DHCPv6報(bào)文共分為3部分：msg-type，消息類型：1字節(jié)，區(qū)分不同的報(bào)文。Transactin-id:消息交互編號(hào)：3字節(jié)，區(qū)分不同交互過(guò)程。Opting：選項(xiàng)：變長(zhǎng)。以選項(xiàng)類型(2字節(jié))+選項(xiàng)長(zhǎng)度(2字節(jié))+選項(xiàng)內(nèi)容的TLV方式出現(xiàn)。其中選項(xiàng)類型=13的為狀態(tài)代碼。DHCPv6設(shè)備ID選項(xiàng)：P.21為了區(qū)分不同的客戶端及服務(wù)器，使用DUID(DHCPUniqueID)區(qū)分：其類型值=1；類型為鏈路類型，以太網(wǎng)為1；然后是4字節(jié)的時(shí)間字段，以秒為單位自2000-1-1的時(shí)間值；最后是鏈路層地址信息。DHCPv6報(bào)文使用的地址及端口號(hào):P.24DHCPv6使用下列2個(gè)組播地址：FF02::1:2為客戶端與服務(wù)器的通信地址，F(xiàn)F05::1:3為服務(wù)器與中繼代理之間使用的地址。DHCPv6使用UDP通信，客戶端端口號(hào)546,服務(wù)器及中繼代理使用的端口號(hào)為547.4.3.3DHCPv6基本配置DHCPv6服務(wù)器基本配置：定義地址池：R(config)#ipv6dhcppoolpool-name//定義一個(gè)DHCPV6地址池R(config-dhcp)#prefix-delegationipv6-prefix

//定義分配地址前綴………………R(config-dhcp)#domain-namedomain-name//定義域名R(config-dhcp)#dns-serverdns-ipv6-address//定義DNS地址在接口上啟用DHCPv6服務(wù)器功能：R(config-if)#ipv6dhcpserverpool-name4.3.4DHCPv6前綴配置DHCPv6-PD部署方式：Clent-server模式：Clent-relay模式：DHCPv6-PDClent-relay模式：4.4IPv6域名解析概述：與IPV4類似，在IPv6網(wǎng)絡(luò)中IPv6域名解析由正向解析和反向解析組成。由于A6及其相關(guān)的反向解析的規(guī)范都處于實(shí)驗(yàn)狀態(tài)，因而本書(shū)將主要討論以AAAA為基礎(chǔ)的正向解析及其相關(guān)的反向解析。IPv6DNS的正向解析IPv4地址正向解析的資源記錄是“A”記錄，在IPv6正向解析中，是通過(guò)對(duì)IPv4域名解析的擴(kuò)展來(lái)實(shí)現(xiàn)的，具體是AAAA記錄，該資源記錄最早是在RFC1886中提出，它是對(duì)A記錄的一種簡(jiǎn)單擴(kuò)展，由于IP地址由32位擴(kuò)展到128位，擴(kuò)大了4倍，所以資源記錄由“A”擴(kuò)大成了4個(gè)A，即AAAA，用于表示域名和IPv6地址的對(duì)應(yīng)關(guān)系，它不支持地址的層次性。下面實(shí)例顯示了主機(jī)名或域名www.kame.example的A和AAAA資源記錄的格式，A資源記錄表示了IPv6環(huán)境下從主機(jī)名到IPv4地址的映射關(guān)系，AAAA資源記錄代表了從主機(jī)名到IPv6地址的映射關(guān)系。IPV4實(shí)例：www.kame.example.3600AIPV6實(shí)例：www.kame.example.3600AAAA2345:OOC1:CA11:0001:1234:5678:9ABC:DEF0IPv6DNS的反向解析在RFC1035中定義了“”域用于對(duì)IPv4的域名反向解析，與此相對(duì)應(yīng)，在RFC1886提出了IPv6域名的反向解析為“IP6.INT”域。在“IP6.INT”域中，地址表示形式是采用半位元標(biāo)記格式(NibbleLabelFormat)，即用“.”分隔的半字節(jié)十六進(jìn)制數(shù)字格式，低位地址在前，高位地址在后，域后綴是“IP6.INT”。例如，地址為3ffe:3217:4000:1::11的反向域名查找記錄表示為：$ORIGIN.......INPTR.說(shuō)明在....域中IPv6地址3ffe:3217:4000:1::11所對(duì)應(yīng)的域名