工程4项目4IPv6安全配置

IPv6安全配置工程4项目4第31-32讲本讲内容IPv6安全性IPv6

ACLIPv6

DHCPIPv6

DNS4.1IPv6安全性由于IPv4在设计之初没有过多地考虑网络的安全性，随着Internet的飞速发展，各种应用越来越多和越来越深入，这种设计的不完善性引发了越来越多的网络安全问题，尽管后来通过在应用程序级上采用了一些安全机制，如加密和安全套接字层(SecureSocketLayer，SSL)等技术，但依然无法从IP层来保证网络的安全。而IPsec协议恰恰是解决IP层安全的一种可行的网络安全机制，该协议对IPv4来说是可选项，但对IPv6来说是必选的，它是IPv6网络安全的核心。IPsec协议是由一系列能够为IP网络提供完整安全方案的协议所构成，这些协议的组合为应用实体提供了多种保护措施，也构成了IPsec的体系结构。封装安全有效载荷(ESP)：ESP定义了ESP加密及验证处理的相关报文的格式和处理规则。认证报头(AH)：AH定义了AH验证处理的相关报文的格式和处理规则。加密算法：加密算法描述各种加密算法如何用于ESP中。验证算法：验证算法描述各种身份验证算法如何应用于AH和ESP中。1.传输安全4.1IPv6安全性不管是IPv4还是IPv6，都需要使用Web、DNS等服务器，IPv6网络中的服务器就是一个容易被黑客看中的关键主机。也就是说，虽然无法对整个网络进行系统的网络侦察，但在每个IPv6的网络中，总有那么几台主机是大家都知道网络名字的，也可以对这些主机进行攻击。而且，因为IPv6的地址空间实在是太大了，很多IPv6的网络都会使用动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器，就可以得到大量的在线IPv6的主机地址。对于关键网络服务器的安全需要特别重视，不然黑客就会从这里入手从而进入整个网络。所以，网络管理员在对主机赋予IPv6地址时，不应该使用好记的地址，也要尽量对自己网络中的IPv6地址进行随机化，这样会在很大程度上减少这些主机被黑客发现的机会。2.服务安全4.1IPv6安全性目前，病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了，因为IPv6的地址空间实在是太大了，如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机，就犹如大海捞针。在IPv6的世界中，对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。在IPv6的世界里，病毒、互联网蠕虫的传播将变得非常困难。但是，基于应用层的病毒和互联网蠕虫是一定会存在的，电子邮件的病毒还是会继续传播。此外，还需要注意IPv6网络中的关键主机的安全。对于特定应用领域，如电子商务等的攻击行为与IPv4网络基本相同，除非采用严格的防护措施才能解决。3.应用安全4.2IPv6ACL可根据源和目的地址过滤可在特定接口上分别控制进入和外出流量可添加ACL优先级ACL控制列表最后隐含着一条拒绝所有“denyall”注意IPv6中只能使用命名式访问控制列表功能：类似IPv4，IPv6的访问控制列表(ACL)有以下功能特征:4.2.1IPv6ACL命令配置命令格式ipv6access-listaccess-list-name//建立ACLnoipv6access-listaccess-list-name

//删除ACL注意IPv6不再使用数字访问列表，数字也将作为名字访问列表处理；而且IPv4和IPv6的访问列表不能使用相同的名字，否则端口无法识别；在全局配置模式下配置，并进入IPv6ACL命令配置模式；在用exit命令退出访问列表配置模式后，使用该命令的no形式可以删除该访问控制列表。1.建立ACL：4.2.1IPv6ACL命令配置命令格式Permit|deny协议源地址目标地址选项等例：permittcpanyhost1::1eqwebdenyfc00:0:0:2::/64anypermitanyany注意IPv6ACL默认配置是允许ICMPv6的ND报文(相当于IPv4的ARP)，但禁止其他IPv6报文。也就是说，在用deny配置规则时，应该在最后添加一条permitanyany。即隐含permiticmpanyanynd-napermiticmpanyanynd-nsdenyipv6anyany2.添加ACL语句：4.2.1IPv6ACL命令配置命令格式ipv6traffic-filteraccess-list-name{in|out}注意该命令将特定名字的访问控制列表应用到特定端口上。使用本命令的no形式将取消对该端口的访问控制。ipv6traffic-filter只将IPv6ACL规则用于特定端口，而其它需要使用访问列表过滤的应用，有其各自的命令。ipv6traffic-filter过滤的是路由器转发的报文，而不是router自身产生的报文。3.把ACL语句应用到相应接口的相应方向：1.过滤特定源地址的出口流量Globalprefix:2001:0db8:c18:2::/64

Site-localprefix:fc00:0:0:2::/64IPv6Internet2001:0db8:c18:2::/64fc00:0:0:2::/64Ethernet0ipv6access-listblocksite

denyfc00:0:0:2::/64any

permitanyanyinterfaceEthernet0

ipv6traffic-filterblocksiteout4.2.2IPv6ACL示例WebServer

1::1/64IPv6InternetF0/0time-rangeworkperiodicdaily9:00to17:00ipv6access-listV6FILTERpermittcpanyhost1::1eqwebtime-rangeworkinterfaceFastEthernet0/0ipv6traffic-filterV6FILTERinHTTPANY2.设置在规定的时间可访问Web服务器3.过滤特定业务的流量R0:ipv6access-listtestdenytcphost2002::11host2006::11eqwwwdenytcphost2001::11host2004::11eqwwwdenyicmp2002::/64host2004::11permitipv6anyany!interfaceSerial0/0/0ipv6traffic-filtertestout4.3IPv6DHCPIPv6配置ip地址的方式手工配置，一般应用于路由器的接口地址配置。无状态自动配置(2.4节)：使用邻居发现协议及路由发现协议自动配置IPV6地址及默认网关等，主要在双栈模式下实现IPV6的主机配置。有状态DHCPv6（2.6节）：使用IPV6服务器实现IPV6客户的所有参数的自动配置。有无状态DHCPv6：可以为IPV6客户自动配置DNS及域名等参数，但不动态维护其状态。DHCPv6前缀代表(DHCPv6-PD)（2.6节）:可以实现多级DHCP前缀分配，主要应用在运营商为其客户路由器分配下级路由前缀。4.3.1DHCPv6消息类型DHCPv6消息类型共13种：恳求(Solicit):msg-type=1，客户端查询服务器。通告(Advertise):msg-type=2，服务器向客户提供参数。请求(Request):msg-type=3，客户端向特定服务器请求地址等配置参数确认(Confirm):msg-type=4，客户端向服务器确认得到的地址对所在链路是否合适。更新(Renew):msg-type=5，客户端在租用时间为一半时向服务器请求新一轮的使用地址时间及更新其他参数。再绑定(Rebind):msg-type=6，当没有收到服务器对更新信息的响应时，客户端发送该消息重新申请绑定。应答(Reply):msg-type=7，服务器回应客户的恳求、请求、更新和再绑定等信息。4.3.1DHCPv6消息类型DHCPv6消息类型共13种：P.22释放(Release):msg-type=8，客户端通知服务器释放使用的参数。拒绝(Decline):msg-type=9，客户端通知服务器分配的地址已被占用。再配置(Reconfigure):msg-type=10，服务器通知客户有新参数需要更新。信息请求(Information-Request):msg-type=11，客户端请求除地址之外的其他参数。中继转发(Relay-forw):msg-type=12，中继代理向服务器发送的消息。中继应答(Relay-repl):msg-type=13，服务器回应中继代理的消息。4.3.2DHCPv6报文结构DHCPv6报文共分为3部分：msg-type，消息类型：1字节，区分不同的报文。Transactin-id:消息交互编号：3字节，区分不同交互过程。Opting：选项：变长。以选项类型(2字节)+选项长度(2字节)+选项内容的TLV方式出现。其中选项类型=13的为状态代码。DHCPv6设备ID选项：P.21为了区分不同的客户端及服务器，使用DUID(DHCPUniqueID)区分：其类型值=1；类型为链路类型，以太网为1；然后是4字节的时间字段，以秒为单位自2000-1-1的时间值；最后是链路层地址信息。DHCPv6报文使用的地址及端口号:P.24DHCPv6使用下列2个组播地址：FF02::1:2为客户端与服务器的通信地址，FF05::1:3为服务器与中继代理之间使用的地址。DHCPv6使用UDP通信，客户端端口号546,服务器及中继代理使用的端口号为547.4.3.3DHCPv6基本配置DHCPv6服务器基本配置：定义地址池：R(config)#ipv6dhcppoolpool-name//定义一个DHCPV6地址池R(config-dhcp)#prefix-delegationipv6-prefix

//定义分配地址前缀………………R(config-dhcp)#domain-namedomain-name//定义域名R(config-dhcp)#dns-serverdns-ipv6-address//定义DNS地址在接口上启用DHCPv6服务器功能：R(config-if)#ipv6dhcpserverpool-name4.3.4DHCPv6前缀配置DHCPv6-PD部署方式：Clent-server模式：Clent-relay模式：DHCPv6-PDClent-relay模式：4.4IPv6域名解析概述：与IPV4类似，在IPv6网络中IPv6域名解析由正向解析和反向解析组成。由于A6及其相关的反向解析的规范都处于实验状态，因而本书将主要讨论以AAAA为基础的正向解析及其相关的反向解析。IPv6DNS的正向解析IPv4地址正向解析的资源记录是“A”记录，在IPv6正向解析中，是通过对IPv4域名解析的扩展来实现的，具体是AAAA记录，该资源记录最早是在RFC1886中提出，它是对A记录的一种简单扩展，由于IP地址由32位扩展到128位，扩大了4倍，所以资源记录由“A”扩大成了4个A，即AAAA，用于表示域名和IPv6地址的对应关系，它不支持地址的层次性。下面实例显示了主机名或域名www.kame.example的A和AAAA资源记录的格式，A资源记录表示了IPv6环境下从主机名到IPv4地址的映射关系，AAAA资源记录代表了从主机名到IPv6地址的映射关系。IPV4实例：www.kame.example.3600AIPV6实例：www.kame.example.3600AAAA2345:OOC1:CA11:0001:1234:5678:9ABC:DEF0IPv6DNS的反向解析在RFC1035中定义了“”域用于对IPv4的域名反向解析，与此相对应，在RFC1886提出了IPv6域名的反向解析为“IP6.INT”域。在“IP6.INT”域中，地址表示形式是采用半位元标记格式(NibbleLabelFormat)，即用“.”分隔的半字节十六进制数字格式，低位地址在前，高位地址在后，域后缀是“IP6.INT”。例如，地址为3ffe:3217:4000:1::11的反向域名查找记录表示为：$ORIGIN.......INPTR.说明在....域中IPv6地址3ffe:3217:4000:1::11所对应的域名