IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata



Hasonló dokumentumok
Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

IPv6 Elmélet és gyakorlat

Internet Protokoll 6-os verzió. Varga Tamás

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Campus IPv6 projekt eredményei

IPv6 gyorstalpaló Mohácsi János NIIF Intézet

Campus6 projekt megbeszélés Mohácsi János

Adatközpont IPv6 bevezetés. Szakmai konzultáció 2011 május 31.

Hálózati architektúrák laborgyakorlat

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Gyakorló feladatok a 2. ZH témakörének egyes részeihez. Számítógép-hálózatok. Dr. Lencse Gábor

Számítógépes Hálózatok 2011

Fábián Zoltán Hálózatok elmélet

IPv6 és mobil IP. Dr. Huszák Árpád Szabadkai Műszaki Főiskola

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

IPv6 bevezetés a Műegyetem hálózatán. Jákó András

DNS és IPv6. Jákó András BME TIO

Az IPv6 a gyakorlatban

13. gyakorlat Deák Kristóf

Campus IPv6 projekt eredményei

Campus6 projekt megbeszélés Mohácsi János, Kovács András

VIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

IPv6 alapok, az első lépések. Kunszt Árpád Andrews IT Engineering Kft.

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez


IP címek fogyása Geoff Huston október

SCHNETv6 IPv6 a Schönherzben. 5/7/12 Tóth Ferenc - IPv6 a Schönherzben 1

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

Mobil Internet 2 3. előadás IPv6 alapok

OpenBSD hálózat és NAT64. Répás Sándor

OpenBSD hálózat és NAT64. Répás Sándor

A netfilter csomagszűrő tűzfal

Hálózati architektúrák laborgyakorlat

IPv6 dióhéjban Mohácsi János IPv6 forum elnökhelyettes, NIIF Intézet. Első Magyar IPv6 Fórum konferencia

Az Ethernet példája. Számítógépes Hálózatok Az Ethernet fizikai rétege. Ethernet Vezetékek

IPv6. A következő generációs Internet Protocol. Dr. Simon Vilmos. docens BME Hálózati Rendszerek és Szolgáltatások Tanszék svilmos@hit.bme.

Campus6 projekt megbeszélés Mohácsi János

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Tűzfalak működése és összehasonlításuk

A hasznos teher beágyazásának biztonságát szolgáló fej- és farokrész A kiegészítő fejrészek sorrendje

Bevezetés. A protokollok összehasonlítása. Célpontválasztás

Redundáns tűzfal konfiguráció OpenBSD/PF alapon

V2V - Mobilitás és MANET

ÉS BEVEZETÉSÉT TÁMOGATÓ TECHNOLÓGIÁK

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

IPv6 bevezetésének tapasztalatai a magyar akadémiai hálózatban

Routing update: IPv6 unicast. Jákó András BME EISzK

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

A HBONE+ projekt kapcsán megjelent új hálózati lehetőségek

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

Campus6 projekt megbeszélés Mohácsi János

Fábián Zoltán Hálózatok elmélet

IP - Mobil IP. Hogyan érnek utol a csomagok? Dr. Simon Vilmos. adjunktus BME Hálózati Rendszerek és Szolgáltatások Tanszék svilmos@hit.bme.

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Számítógépes Hálózatok. 8. gyakorlat

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

Számítógépes Hálózatok GY 8.hét

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

IPTABLES. Forrás: Gregor N. Purdy: Linux iptables zsebkönyv

A DNS64 és NAT64 IPv6 áttérési technikák egyes implementációinak teljesítőképesség- és stabilitás-vizsgálata. Répás Sándor

Department of Software Engineering

IP multicast routing napjainkban. Jákó András BME EISzK

A TCP/IP számos adatkapcsolati réteggel együtt tud működni:

Adatkapcsolati réteg. A TCP/IP számos adatkapcsolati réteggel együtt tud működni: Ethernet, token ring, FDDI, RS-232 soros vonal, stb.

Tájékoztató. Használható segédeszköz: -

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

A TCP/IP modell hálózati rétege (Network Layer) Protokoll-készlet: a csomagok továbbítása. Legjobb szándékú kézbesítés

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

A T-Online Adatpark és Dataplex hálózati megoldásai

Amennyiben argumentumként megadunk egy interfész nevet, úgy csak a megadott interfészt fogja kilistázni.

[SZÁMÍTÓGÉP-HÁLÓZATOK]

Számítógépes hálózatok

állomás két címmel rendelkezik

Változások a Sulinet szűrési szabályokban

[SZÁMÍTÓGÉP-HÁLÓZATOK]

Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő

Windows hálózati adminisztráció

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Forgalmi grafikák és statisztika MRTG-vel

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

J-N-SZ MEGYEI HÁMORI ANDRÁS SZAKKÖZÉPISKOLA ÉS SZAKISKOLA

Hálózattervezés alapjai Címek, címkiosztás, routing (IPv4, IPv6)

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

SzIP kompatibilis sávszélesség mérések

A Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface

Az RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.

8. A WAN teszthálózatának elkészítése

Számítógépes Hálózatok 2013

Netfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI <kadlec@mail.kfki.hu>

Számítógépes Hálózatok ősz Biztonság

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

2011. május 19., Budapest IP - MIKRO MOBILITÁS

{simplecaddy code=1005}

Adatátviteli rendszerek Mobil IP. Dr. habil Wührl Tibor Óbudai Egyetem, KVK Híradástechnika Intézet

Az IP hálózati protokoll

Hálózati beállítások Készítette: Jámbor Zoltán 2016

Átírás:

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata Mohácsi János Networkshop 2005 Mohácsi János, NIIF Iroda

Tartalom Bevezetés IPv6 tűzfal követelmény analízis IPv6 tűzfal architektúra IPv6 tűzfalak alkalmazás támogatása IPv6 tűzfalak áttekintése Jövő

IPv6 Tűzfalak IPv6: IPv6 valóban biztonságosabb vagy ez csak vágyálom IPv6 tűzfal követelmények Nincs szükség NAT-ra Hálózat szekenelés gyakorlatilag lehetséges (/64) A csomagszűrés gyengesége nem lehet NAT-al elfedni egyre több szolgáltatás igényel publikus címet Kiegészítő IPv6 fejlécek támogatása IPv4/IPv6 együttmüködési megoldások támogatása IPv4 biztonság megtartása

IPv6 tűzfal - metodus1 DMZ Internet Router Protected Network Firewall Internet router firewall net architektúra Követelmények: Tűzfal-nak támogatnia kell ND(NS/NA) üzeneteket Tűzfal-nak támogatnia kell (RS/RA) üzeneteket ha SLAAC-t használunk Tűzfal-nak támogatnia kell MLD üzeneteket ha multicastot használunk

IPv6 tűzfal metódus 2 DMZ Internet Router Protected Network Firewall Internet firewall router net architektúra Követelmények: Tűzfalnak támogatnia kell ND (NS/NA) Tűzfalnak támogatnia dinamikus routing protokollok szűrését Tűzfalnak mindenféle interfész típust támogatnia kell

IPv6 tűzfal metódus 3 DMZ Internet Protected Network Firewall+Router Internet firewall/router(edge device) net architektúra Követelmények: Hatékony lehet egyetlen pont routing és biztonsági politika bevezetésére nagyon gyakori SOHO (DSL/cable) routereken Mindazt támogatnia kell routereknek ÉS tűzfalaknak

Tűzfal követelmények Nem lehet vakon kiszűrni ICMPv6-t: IPv6 specifikus Echo request/reply No route to destination TTL exceeded Parameter problem NS/NA RS/RA Packet too big MLD szükséges Debug Debug jobb hiba indikáció mint ICMPv4 esetén Hiba jelentés Hiba jelentés Szükséges a helyes müködéshez kivéve statikus ND bejegyzések esetén Stateless Address Autoconfigration esetén szükséges Path MTU discovery Requirements in for multicast in architecture 1

Tűzfal követelmények 2 Nem lehet vakon kiszűrni az IP opciókat ( extension Header): Hop-by-hop header Mit kell tenni jumbogram-okkal és router alert opcióval? multicast join üzenetekhez szükséges... Routing header Source routing IPv4 esetén kártékonynak minősített, de szükséges IPv6 mobilitáshoz csak a Home Agent-en szükséges engedélyezni ESP header AH header Fragment header Biztonsági policy szerinti feldolgozás Biztonsági policy szerinti feldolgozás Minden fregmens kivéve az utolsót 1280 octetnél hoszabb kell, hogy legyen

FTP: IPv6 tűzfalak alkalmazás támogatása Elég komplex: PORT, LPRT, EPRT, PSV, EPSV, LPSV (RFC 1639, RFC 2428) IPv6 tűzfalakban alig van támogatás HTTP tűnik a következő generációs fájltranszfer protokollnak különösen WEBDAV és DELTA kiegészítéssel Egyéb nem triviálisan proxyzható protokoll pl. H.323: Nincs támogatás

Áttekintés az IPv6 tűzfalakról Hordozhat óság ICMPv6 támogatás Neighbor Dissovery RS /RA támogatás Extension header támogatás Fregmens támogatás Stateful tűzfal FTP proxy Egyéb IPFilter 4.1 PF 3.6 IP6fw Iptables Cisco ACL Cisco PIX 7.0 Juniper firewall Juniper NetScreen Windows XP SP2 Kiváló Jó Közepes Gyenge Gyenge Gyenge Gyenge Gyenge Gyenge Jó Jó Jó Jó Jó Jó Jó Jó Jó Kiváló Kiváló Jó Kiváló Kiváló Kiváló Jó Kiváló Gyenge Kiváló Kiváló Jó Kiváló Kiváló Kiváló Kiváló Kiváló Jó Jó Jó Jó Kiváló Jó Jó Jó Jó Gyenge Teljes Gyenge Gyenge Jó Gyenge Közepes Gyenge Közepes Gyenge block Csak Reflexive ASP Igen Igen Nem Igen Igen Nem USAGI firewall szükséges Következő 12.3(11)Ttől Nem Nem Nem? Nem Nem Nem változat QoS Nincs TCP Előre IPSec támogatás, flag QOS definiált EUI64 Idő alapú VPN, Grafikus csomag támogatás támogatás szabályok check, ACL routing konfiguráció validitás jelenleg, *BSD-ben támogatás ellenőrzés HW alapú

Ipfilter teljesítménye GigabitEthernet Tesztelő Szerver Szerver rendszer: FreeBSD 4.10 MAXUSERS =1024 thttpd szerver Tesztelő: Linux erősen tuningolt max openfiles hack apachebench TCP stateful filtering különböző számú konkurens kérésekkel IPv6 stateful filtering képességét

1000 times n concurent 100 byte requests 6000.000 5000.000 4000.000 ms 3000.000 100 byte request non firewalled 100 byte request firewalled 2000.000 1000.000 0.000 500 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 number of concurent requests

1000 times n concurent 1600 byte packets requests 12000 10000 8000 ms 6000 1600 byte packets request non firewalled 1600 byte packets requests firewalled 4000 2000 0 500 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 number of concurent requests

Konklúzió + Jövő Konklúzió: IPv6 tűzfalak léteznek Viszonylag jól használhatóak Alkalmasak IPv6 hálózatok védelmére Gyártói támogatás elérhető Jövő Mobile IPv6 problematikus lehet Használhatóbbá tenni őket Campus IPv6 projektben Egyéb tűzfal teljesítmény tesztek

Köszönet! Köszönet Patrick Grossetete, Stig Veenas, Ladislav Lhotka and Tim Chown-nak megjegyzéseikért Kérdések: mohacsi@niif.hu

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés