350 likes | 480 Views
Hálózat menedzsment. Óravázlat Készítette: Toldi Miklós. IPv6. Az Internet legfőbb újdonsága az IPv6, teljes nevén Internet Protokoll 6 változat. Ez a verzió le fogja váltani a jelenlegi használt v4 –es változatot. A v6 -os szabvány fejlesztése 1990 körül
E N D
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós
IPv6 Az Internet legfőbb újdonsága az IPv6, teljes nevén Internet Protokoll 6 változat. Ez a verzió le fogja váltani a jelenlegi használt v4 –es változatot. A v6 -os szabvány fejlesztése 1990 körül kezdődött, 1992 decemberében jelentek meg az első szabványok, és 1994 –ben lett elfogadva a hivatalosan az IPv6.
IPv4 protokoll hibái • Kevés a publikusan használható IP cím • A NAT használata rengeteg hátrányt rejt • Nincs beépített automatikus konfiguráció a protokollban • A routolás adott esetben nehezen konfigurálható • QoS (Quality of Service, sávszélesség szabályozás) nem minden hálózati eszközzel oldható meg. • A mobil kliensek támogatása igencsak nehézkes.
IPv6 legfontosabb jellemzői • Nagyobb címtartomány, kisebb fejléc a csomagokban • Közvetlen végponti címezhetőség • Automatikus konfiguráció • Hálózati mobilitás – egy csatolóhoz egy időben több címet rendelhetünk • Titkosítás, azonosítás IPSec –el • Többszörös címezhetőség, szabványos multicast • A magasabb szintű protokollok többnyire nagyobb módosítás nélkül használhatóak.
IPv6 –os címzés – I. Egy IPv6-os cím 8 db 4 hexadecimális számjegyből álló csoportból áll, kettőspontokkal elválasztva. Pl. 2001:0db8:85a3:08d3:1319:8a2e:0370:7334
IPv6 –os címzés – II. Az IPv6 128 bites címet használ, míg az IPv4 32 bites címmel dolgozik. Ez azt jelenti, hogy a 296 -szor több IPv6 –os cím lesz használható, mint v4 –es. (Tízes számrendszerben kifejezve ez a szorzó kb. 7,92x 1028).
IPv6 –os címzés – III. Az IPv6 címek rövidíthetőek, kettő módon. A számjegyek csoportjában a kezdő nulla elhagyható. Pl. 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 2001:db8:85a3:8d3:1319:8a2e:370:7334
IPv6 –os címzés – IV. Ezenfelül az egymás után következő nullák címenként egyszer összevonhatóak. Pl. 2001:0db8:0000:0000:0000:0000:1428:57ab 2001:0db8::1428:57ab
IPv6 –os címzés – V. Viszont ilyen cím rövidítés nem lehetséges. 2001:0db8:0000:0000:1428:0000:0000:57ab 2001:0db8::1428::57ab <- Ez rossz !!! Helyesen: 2001:0db8::1428:0000:0000:57ab vagy 2001:0db8:0000:0000:1428::57ab
IPv6 –os címzés – VI. Az alhálózati maszk nem szűnt meg, a v6 – osnál prefix –nek nevezik, és a cím után tüntetik fel. A megadott szám jelzi, hogy az a cím mekkora része azonosítja a hálózatot, mekkora pedig a konkrét host –ot. Pl. fe80:0000:1234:adf:2::/64
IPv6 –os unicast címek fajtái • egyedi globális cím (unique global address) • link lokális cím (link local address) • site egyedi cím (site local address) • lokálisan egyedi cím (unique local address) • speciális címek • transitions (áttérési) címek Az internet IPv6 –al történő eléréséhez minimum szükség van egy link lokális címre, ill. egyedi globális címre is.
Egyedi globális cím (unique global address) Ez egy olyan cím, amely teljesen – az összes IPv6 –os címre értelmezve – egyedi cím. Felépítése: - fix rész (3 bit): alapértelmezetten 001 - Global Routing Prefix (45 bit): ez adja a cím egyediségét, itt helyezkednek el majd az ISP –k. - Subnet ID (16 bit): alhálózat azonosítója. 65534 lehet belőle. - Interface ID (64 bit): a node azonosítója, a MAC address –ből kerül előállításra.
Link lokális cím (link local address) Vagy más néven subnet local address, egy node –nak egy alhálózaton belül érvényes címe. Felépítése: - fix rész (10 bit): alapértelmezetten 11111111010 - üres rész: (54 bit): legtöbbször 0 –al kitöltött rész. - Interface ID (64 bit) Egy ilyen cím felírható FE80:0000:0000:0000 + Interface ID formában is.
Site egyedi cím (site local address) Egy nagyobb hálózatnál szükség lehet, több lokális alhálózati szegmens létrehozására, ezzel a címmel erre van mód. Felépítése: - fix rész (10 bit): alapértelmezetten 11111111011 - Subnet ID: (54 bit) - Interface ID (64 bit)
Lokálisan egyedi cím (unique local address) A site local address –ek léte miatt a link local address –ek nem biztos, hogy egyediek. Hogy legyen egy biztosan egyedi, lokális cím is, ahhoz hozták létre ezt a címtípust. Felépítése: - fix rész (7 bit): alapértelmezetten 1111110 - local rész (1 bit): ez mindig 1 –es érték - Global ID (40 bit) - Subnet ID: (16 bit) - Interface ID (64 bit)
Speciális címek Az egyes, speciális esetekben használt címek kerülnek ide. localhost: ::1/128 nem meghatárzott cím: ::
Transitions (áttérési) címek Mivel az IPv4 -> IPv6 váltás biztosan nem lesz egyszerű, a v6 –os szabványba beleépítették a lehetőséget, hogy minél inkább együtt lehessen használni az új rendszert a régivel. Az alábbi címek tartoznak ide: • IPv4-compatible address • IPv4-mapped address • 6to4 address • ISATAP address • Teredo address
IPv6 –os címzési módok A már létező unicast, broadcast, multicast mellé megjelent az anycast címzési mód is. Az anycast címzési mód, hasonlóan a multicast –hoz, egy gépcsoportnak szól. De a csoporthoz küldött csomagot bármelyik gép fogadhatja, viszont csak az a gép fogja ténylegesen fogadni, amelyik elsőként fogadta.
Fragmentálás Az IPv6 esetében, csak a feladó oszthatja részekre, a feladó és cél közti aktív eszközök ilyet nem tehetnek. Hogy ez működhessen a PMTU használatára van szükség.
A tűzfal (firewall) – I. A tűzfal egy olyan eszközt, amely a védendő, magasabb prioritású hálózatot vagy hálózati szegmenst elválasztja az alacsonyabb szintű hálózattól.
A tűzfal (firewall) – II. Másik definíció. A tűzfal egy olyan számítógépen futó program, amely elemzi a rajta áthaladó forgalmat, és megadott szabályok alapján engedélyezi vagy tiltja azt.
A tűzfal fajtái • (Nem állapottartó) Csomagszűrő tűzfal • Állapottartó csomagszűrő tűzfal • Alkalmazás szintű tűzfal • Proxy
Csomagszűrő tűzfal (packet filter) A csomagszűrő tűzfal a TCP, IP, ICMP csomagokat osztályozza és szűri a beállított szempontok alapján.
Állapottartó csomagszűrő tűzfal Az állapottartó (statefull) csomagszűrő tűzfal szintén csomagszűrést végez, amit kiegészít azzal, hogy ellenőrzi, hogy a csomag ténylegesen létező kapcsolathoz tartozik.
Alkalmazás szintű tűzfal Az alkalmazás szintű tűzfal egy alkalmazás egy adott protokollon keresztüli forgalmát figyeli, és a forgalom tartalma alapján végzi a szűrést.
Proxy Proxy az egy olyan alkalmazás szintű tűzfal, amely a hozzá forduló kliensek helyett igényli meg a használni kívánt erőforrást, majd azt átadja a kliensnek. Anonim proxy: olyan proxy, amelynek legfőbb célja, hogy a hozzá kapcsolódó klienst minden módon azonosíthatatlanná tegye.
Tűzfalak generációi • Csomagszűrő tűzfal • Alkalmazás szintű tűzfal, proxy • Állapottartó csomagszűrő tűzfal
Néhány, tűzfalakkal összefüggő fogalom –I. NAT (Network Address Translation, hálózati címfordítás): ez egy olyan eljárás, amely segítségével egy belső privát hálózat gépeinek IP címeit teljesen elrejthetjük a külső hálózat nyilvánossága elöl.
Néhány, tűzfalakkal összefüggő fogalom – II. DMZ (Demilitarized Zone, Demilitarizált Zóna): a személyes vagy vállalati hálózatok megbízhatatlan külső, és a megbízható belső része között elhelyezkedő terület. A benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízható belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra.
Néhány, tűzfalakkal összefüggő fogalom – III. IDS (Intrusion Detection System, Behatolás érzékelő rendszer): mint a neve is mutatja, ez a rendszer érzékeli, hogy a védett rendszert támadás éri. IPS (Intrusion Profiling System, Behatolás megelőző rendszer): ez a rendszer érzékeli, majd megpróbálja kivédeni a védendő rendszer elleni támadást.
Tűzfalak a gyakorlatban – I. Windows beépített tűzfala: Internet Connection Firewall (ICF) Microsoft Internet Security and Acceleration Server (ISA Server)
Tűzfalak a gyakorlatban – II. Linux: ipchains, iptables FreeBSD, Mac OS X: ipfw *BSD: pf Proxy: Squid
A csomagszűrés menete – I. A csomagszűrő tűzfal - Linux operációs rendszer esetén – mind a kernel, mind a felhasználói térben elhelyezkedik. A szükséges beállításokat a felhasználói térből indítva adhatjuk meg, míg a szűrés a kernel térben történik.
A csomagszűrés menete – II. A kernel térben a szűréskor a kernel kiértékeli, hogy az adott csomagra milyen szűrési szabályok vonatkoznak. Ha egyetlen illeszkedő szabályt sem talál, akkor az alapértelmezett szűrési beállítás lesz alkalmazva.