1. No category

Opinnäytetyön
loppuseminaari
19.4.2011
Opinnäytetyön nimi:
Palomuurien IPv6-migraatio
Riku Leinonen
TI07TIVE
Toimeksiantaja yritys: Optimiratkaisut Oy
Ohjaava opettaja: Martti Kettunen
Työ liittyy hankkeeseen: SimuNet
Arvioitu valmistumispäivä: 27.5.2011
Johdanto
IPv4-osoitteiden nopea väheneminen maailmalla ajaa
yrityksiä siirtymään IPv6–osoitteisiin.
Tämä opinnäytetyö on tehty Optimiratkaisut OY:n
toimeksiantona. Työ on tehty Kymenlaakson
ammattikorkeakoulun SimuNet–ympäristössä sekä
puhtaassa laboratorioympäristössä.
Tämä opinnäytetyö on suuntautunut tutkimaan
palomuurien IPv6-ominaisuuksia ja asioita joita täytyy
ottaa huomioon IPv6-liikenteeseen siirryttäessä,
erityisesti Ciscon Asa 5510 -palomuureissa.
Käytännönkokeissa on ollut tarkoituksena selvittää
mitä muutoksia IPv4 -osoitteilla toimivaan
palomuuriin on tehtävä että se toimisi myös IPv6liikenteen kanssa sekä miten erilaiset tunnelit ja
yhteydet toimivat IPv6-osoitteilla.
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
2
IPv6-migraatio palomuureissa
•Dual-Stack
•IPv6-osoitteet IPv4-osoitteiden rinnalle
•Helppo lisätä käytössä olevaan IPv4-palomuuriin
•Kummatkin protokollat toimivat erikseen
•Voi heikentää palomuurin suorituskykyä
•Natiivi IPv6-palomuuri
•Pelkästään IPv6-osoitteita
•Helpompi ja yksinkertaisempi hallita, kun suodattaa
vain yhden protokollan liikennettä
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
3
SimuNetin IPv6-testiympäristö
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
4
Dual-Stack SimuNetin palomuureihin
•Palomuurien päivitys versioon 8.2(3)
•IPv6-liityntäporttien määrittäminen
•IPv6-reititys
•IPv6-liikenteen suodatus(pääsylistat)
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
5
Dual-Stack SimuNetin palomuureihin
IPv6-osoitetyypit liityntäporteissa:
•Julkinen osoite
•ciscoasa(config-if)# ipv6 address 2a00:1dd0:100:a1fa::1/64
•Stateless autoconfiguration
•ciscoasa(config-if)#ipv6 address autoconfig
•Link-local
•ciscoasa(config-if)# ipv6 address fe80:a1::1 link-local
•IPv6 enable
•ciscoasa(config-if)# ipv6 enable
•EUI-64
•ciscoasa(config-if)#ipv6 address 2001:db8:: /64 eui – 64
show ipv6 interface f0/0
Global unicast address(es):
2001:DB8::212:7FFF:FEEB:6B40, subnet is 2001:DB8::/64 [EUI/TEN]
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
6
Dual-Stack SimuNetin palomuureihin
•Liityntäporttien määrittäminen
•KOTKA-context
interface Ethernet0/0.10
nameif outside
security-level 0
ipv6 address 2a00:1dd0:100:00a1::1/64
ipv6 address fe80:a1::1 link-local
!
interface Ethernet0/0.100
nameif inside
security-level 100
ipv6 address 2a00:1dd0:100:00b1::1/64
ipv6 address fe80:b1::1 link-local
ciscoasa/KOTKA# show ipv6 interface inside
inside is up, line protocol is up
IPv6 is enabled, link-local address is fe80:b1::1
Global unicast address(es):
2a00:1dd0:100:b1::1, subnet is 2a00:1dd0:100:b1::/64
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
7
Dual-Stack SimuNetin palomuureihin
•IPv6-reititys
•Molempiin konteksteihin
oletusreitit PE-laitteiden HSRP:n
tarjoamaan link-localosoitteeseen.
KOTKA-context:
ipv6 route outside ::/0 fe80::1
KOUVOLA-context:
ipv6 route outside ::/0 fe80::2
Opinnäytetyön nimi | Olli Opiskelija
ciscoasa/KOTKA# show ipv6 route
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S Static
L 2a00:1dd0:100:a1::1/128 [0/0]
via ::, outside
C 2a00:1dd0:100:a1::/64 [0/0]
via ::, outside
L 2a00:1dd0:100:b1::1/128 [0/0]
via ::, inside
C 2a00:1dd0:100:b1::/64 [0/0]
via ::, inside
L fe80::/10 [0/0]
via ::, outside
via ::, inside
L ff00::/8 [0/0]
via ::, outside
via ::, inside
S ::/0 [0/0]
via fe80::1, outside
27.4.2011
8
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•ICMP6-viestit
•IPv6 WWW-palvelin
•IPv6 FTP-palvelin
•IPv6 SSH-hallintayhteys
•IPv6 ja ASDM
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
9
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•ICMP6-viestit
•Pääsylista
ipv6 access-list SPOLICY_IN permit icmp6 2a00:1dd0:100::/48 2a00:1dd0:100:00b1::/64 echo
ipv6 access-list SPOLICY_IN deny ip any any
access-group SPOLICY_IN in interface outside
•ICMP inspection
•ICMP inspection-tarkkailu ohjaa ICMP6-viestit
palomuurin läpi.
ciscoasa/KOTKA(config)# class-map icmp_class
ciscoasa/KOTKA (config-cmap)# match default-inspection-traffic
ciscoasa/KOTKA (config-cmap)# exit
ciscoasa/KOTKA (config)# policy-map icmp_policy
ciscoasa/KOTKA (config-pmap)# class icmp_class
ciscoasa/KOTKA (config-pmap-c)# inspect icmp
ciscoasa/KOTKA (config-pmap-c)# exit
ciscoasa/KOTKA (config)# service-policy icmp_policy interface outside
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
10
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•ICMP6-viestien testaus KOTKA-puolen
testipalvelimelta(FPING-script)
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
11
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•IPv6 WWW-palvelin
•Pääsylistat
ipv6 access-list SPOLICY_IN permit tcp any host 2a00:1dd0:100:00b1::200 eq https
ipv6 access-list SPOLICY_IN permit tcp any host 2a00:1dd0:100:00b1::200 eq www
access-group SPOLICY_IN in interface outside
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
12
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•IPv6 FTP-palvelin
•Pääsylistat
ipv6 access-list SPOLICY_IN permit tcp any host 2a00:1dd0:100:00b1::200 eq ftp
ipv6 access-list SPOLICY_IN permit tcp any host 2a00:1dd0:100:00b1::200 eq ftp-data
access-group SPOLICY_IN in interface outside
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
13
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•IPv6 SSH-hallintayhteys
•Pääsylistat
ipv6 access-list SPOLICY_IN permit tcp any host 2a00:1dd0:100:00a1::1 eq ssh
access-group SPOLICY_IN in interface outside
•Konfiguraatiot
enable password “*****”
username asakotka password **********
aaa authentication ssh console LOCAL
ssh ::/0 outside
ssh 2a00:1dd0:100:00b1::/64 inside
domain-name CISCO.ORG
crypto key generate rsa modulus 1024
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
14
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•IPv6 ja ASDM 6.3(3)
Konfiguraatiot
System-context:
context admin
allocate-interface Management0/0
!
interface Management0/0
no shutdown
Admin-context:
interface Management0/0
nameif management
ipv6 address 2a00:1dd0:100:ffff::1/64
management-only
!
http server enable
http 2a00:1dd0:100:ffff::/64 management
Pääsylistat:
ipv6 access-list V6MGMT permit tcp 2a00:1dd0:100:ffff::/64 host 2a00:1dd0:100:ffff::1 eq www
ipv6 access-list V6MGMT permit tcp 2a00:1dd0:100:ffff::/64 host 2a00:1dd0:100:ffff::1 eq https
access-group V6MGMT in interface management
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
15
IPv6-yhteyksien testaaminen sekä niiden
pääsylistat
•ASDM 6.3(3) tuki lähestulkoon
kaikkia IPv6-ominaisuuksia,
lukuunottamatta VPN-tunneleita,
koska ASAn 8.2-versio ei tue
IPv6-tunneleita.
•Tunneleita tuetaan vain tätä
versiota uudemmilla versioilla,
koska IPv6-tunnelit tarvitsevat
vähintään ASAn version 8.3.
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
16
IPv6-tunnelit Cisco ASA -palomuureissa
•ASAn versiot 8.3 ja uudemmat tukevat
natiivina ainoastaan IPv6 LAN-to-LAN
tunnelia.
•Laboratorioympäristössä testatut tunnelit:
•LAN-to-LAN IPSec VPN
•SSL VPN
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
17
SSL VPN
•
SSL VPN –tunneli muodostettiin IPv4-osoitteilla ja tunnelin läpi
liikennöitiin IPv6-osoitteilla.
•
Mikään Cisco ASAn käyttöjärjestelmäversioista ei vielä tukenut natiivia
IPv6 SSL VPN –tunnelia.
•
SSL VPN –tunnelin testissä käytettiin myös AnyConnect 3.0 –
asiakasohjelmaa.
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
18
SSL VPN
IPv4 SSL VPN –tunnelin konfiguraatioon piti tehdä seuraavat muutokset:
1.
IPv6-osoitteen lisääminen inside-porttiin
interface Ethernet0/1
nameif inside
ipv6 address 2001:db8:1::100/64
2.
IPv6-osoite-”poolin” luominen
ipv6 local pool ipv6pool 2001:db8:1::1000/64 10
3.
IPv6-poolin lisääminen tunnelointiryhmien asetuksiin
tunnel-group TestiVPN general-attributes
address-pool insidepool
ipv6-address-pool ipv6pool
tunnel-group ipsecvpn general-attributes
address-pool insidepool
ipv6-address-pool ipv6pool
4.
IPv6 oletusreitin lisääminen sisäverkon suuntaan, käyttäen tunneled-käskyä
ipv6 route inside ::/0 2001:db8:1::1111 tunneled
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
19
SSL VPN
SSL VPN –tunnelin toimivuuden testaus IPv6-liikenteellä
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
20
IPv6 LAN-to-LAN IPSec VPN
• Molemmat palomuurit päivitettiin ASAn
käyttöjärjestelmäversioon 8.4(1)
• LAN-to-LAN –tunnelin muodostukseen käytettiin vain
IPv6-osoitteita.
• Testin ulko- ja sisäverkot olivat kaikki natiiveja IPv6verkkoja.
• Tunnelissa käytettiin IKEv2-avaintenvaihtoprotokollaa
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
21
IPv6 LAN-to-LAN IPSec VPN
• Ennen kuin itse IPv6 LAN-to-LAN –tunnelia käytiin
konfiguroimaan oli hyvä varmistaa että perus IPv6yhteys toimi kohdeverkkojen välillä. Esim. laitteiden
reitit olivat oikein määritettyjä.
• Tunnelin konfigurointivaiheet
1.
ISAKMP-policyn konfigurointi ja sen liittäminen outside porttiin
2.
IKEv2 Proposal-asetusten konfigurointi
3.
IPv6-pääsylistat tunnelin kohdeverkkojen välille
4.
Tunnelointi-ryhmän määritykset
5.
Crypto map -määritykset
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
22
IPv6 LAN-to-LAN IPSec VPN
• Tunnelin testaus
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
23
Natiivi IPv6-palomuuri SimuNetiin
Hauki
KYMP
KALAVERKKO
2a00:1dd0:100:101::20
PE3
PE4
G3
/0
/2
2a00:1dd0:0:200::1
e0/0
Outside
1
SIMUNET
2
Cisco
ASA
5510
VLAN 140
2a00:1dd0:100:100::1/64
E0/1
Inside
Lisäkytkin
WWW-Palvelin
Papaya
L3-kytkin
Lohi
Kuha
2
2a00:1dd0:100:f001::/64 2a00:1dd0:100:100::/64
•
Palomuuri päivitettiin uusimpaan 8.4(1)-versioon
•
ICTLAB-ympäristö liitettiin IPv6-Internetiin SimuNetin kautta.
•
Palomuuri lisättiin SimuNetin ja ICTLAB-ympäristön väliin
suodattamaan vain IPv6-liikennettä.
•
ICTLAB-ympäristön WWW-palvelin Papaya liitettiin myös IPv6Internetiin.
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
24
Natiivi IPv6-palomuuri SimuNetiin
• Natiiviin IPv6-palomuuriin konfigurointi
Liityntäportit
interface Ethernet0/0
nameif outside
security-level 0
ipv6 address 2a00:1dd0:100:f001::2/64
!
interface Ethernet0/1
nameif inside
security-level 100
ipv6 address 2a00:1dd0:100:100::2/64
ICMP inspection
class-map icmp_class
match default-inspection-traffic
policy-map icmp_policy
class icmp_class
inspect icmp
service-policy icmp_policy interface outside
Opinnäytetyön nimi | Olli Opiskelija
IPv6-reititys
ipv6 route inside 2a00:1dd0:100:100::/56 2a00:1dd0:100:100::1
ipv6 route outside ::/0 2a00:1dd0:100:f001::1
Pääsylistat
ipv6 access-list SPOLICY_IN permit tcp any host
2a00:1dd0:100:101::20 eq www
ipv6 access-list SPOLICY_IN permit tcp any host
2a00:1dd0:100:101::20 eq https
ipv6 access-list SPOLICY_IN permit icmp6 any any echo
ipv6 access-list SPOLICY_IN permit icmp6 any any echo-reply
ipv6 access-list SPOLICY_IN deny ip any any
access-group SPOLICY_IN in interface outside
27.4.2011
25
Natiivi IPv6-palomuuri SimuNetiin
• Natiiviin IPv6-palomuuriin ja IPv6-yhteyden testaus
•
Yhteyttä testattiin pingaamalla ipv6.google.comia onnistuneesti asiakaskoneelta ja tämän
jälkeen avattiin ICTLAB-ympäristön IPv6-kotisivut Teredo-tunnelin avulla
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
26
Tulosten tarkastelu ja päätelmät
•
Natiivi IPv6 –palomuuri auttaa SimuNetiä
siirtymään IPv6-protokollaan ja on SimuNetin
ensimmäisiä natiiveja IPv6-laitteita.
•
ASA järjestelmäversio 8.2(3) todettiin
toimivaksi IPv6-liikenteen kanssa, käyttäen
Dual-Stack-ominaisuutta.
• Uudemmat versiot tuovat lisää IPv6-ominaisuuksia,
mutta vaativat muistipäivityksen.
-Muun muassa IPv6-tunnelit.
•
Uusimmatkaan käyttöjärjestelmäversiot eivät
kuitenkaan kykene vielä tarjoamaan kaikkia
ominaisuuksia IPv6-osoitteita käytettäessä.
Opinnäytetyön nimi | Olli Opiskelija
27.4.2011
27