SlideShare a Scribd company logo

I pv6 ipv6網路管理與安全_企業網路課程_0901

宏義 張
宏義 張
1 of 80
Download to read offline
主題: IPv6網路管理與安全 -企業網路課程 主講人:張宏義
1 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
2 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
今日的 Internet 3
4 全球IPv4位址配發狀況 美國雖擁有接近全球半數之已配發IPv4位址數量,但也是目前推動IPv6最積極的國家 其所分配到的IPv4位址空間並非全數分配到終端用戶 每人平均分配到的IPv4位址仍不足以滿足用戶基本連網需求(例如手機、平板、 電腦以及相關穿戴式裝置) 中、印、俄和巴西人口眾多,但IP數/人小於1 參考來源:http://trace.twnic.net.tw/ipstats/, 2014/2/5
5 位址枯竭解決方案 - IPv6 IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間 特性 IPv4 IPv6 位址數量 232 = 4.3 109 2128 = 3.41038 網路位址轉 換器(NAT) 大量使用 NAT,用戶端戶連 技術複雜,成本提高 不須使用 NAT,用戶自由互 連,有利應用服務發展 用戶端位址 配置 需手動配置或需設置系統來 協助 支援自動組態,位址自動配 置,隨插隨用 網路安全性 IPSec需另外設定 內建IPSec加密機制 行動性支援 支援度低,不易支援跨網段 漫游連線 支援度高,有利於解決跨網 段漫游的連線障礙 QoS機制 QoS支援度低 表頭設計直接支援QoS機制
IPv4 與 IPv6 的差異 IPv4位址 IPv6位址 由32個位元(bits)的0與1組成 由128個位元(bits)的0與1組成 每8位元轉成十進位用.區隔 每16位元轉成十六進位用:區隔 分為 Classful 與 Classless 只有 Classless Multicast 位址為 224.0.0.1/4 Multicast 位址為 FF::/8 Loopback 位址為 127.0.0.1 Loopback 位址為 ::1 Public IP 位址 Global IP位址 (2:: /3 或 3:: /3) Private IP 位址 Site-Local IP 位址 (FEC0::/10) APIPA 位址 (169.254.0.0/16) Link-Local IP 位址 (FE8:: /10) 6
IPv4與IPv6封包的差異 minimum 20 octets maximum 65535 octets IPv4 PDU Fixed 40 octets maximum 65535 octets IPv6 PDU 0 or more IPv4 Header Data Field Transport-level PDU IPv6 Header Extension Header Extension Header 7
IPv4與IPv6封包標頭比較 Destination Address Source Address Ver IHL Service Type Identification Flags Offset TTL Protocol Header Checksum Source Address Destination Address Options + Padding Ver Flow Label Payload Length Next Header Hop Limit Traffic Class IPv4 Packet Header IPv6 Packet Header 32 bits 8
Header比較—IPv4 Header 20 Octets + Option (13 fields) 9
10 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
IPv4位址的表示方法 11
IPv6位址的表示方法 12
IPv6位址的表示方法 13
IPv6位址的表示方法 14
IPv6位址的表示方法 15
IPv6位址的表示方法 16
17 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
18 國際 IPv6 發展狀況 (1/3) 2010/09美國國家標準和科技機構(NIST)公佈美國政府最 新IPv6時程表 e-Government、Email 2012/9/30日前導入IPv6 政府部門內部基礎網路 2014/9/30日前導入IPv6 各政府部門指派IPv6 移轉負責主管 2010/10/30日前提報 Source:http://www.cio.gov/documents/IPv6MemoFINAL.pdf 18
19 國際 IPv6 發展狀況 (2/3) 2010/04中國大陸北京下一代互聯網高峰會議提出 中國工程院宣示IPv6為戰略性工作,物聯網、3G、三網 融合為中國大陸既定重點推動項目。 中國電信公佈IPv6部署日程表,即日起至2011年為試用性 商業運轉,2012-2015年為大規模商業運轉 2010/10日本IPv4 Exhaustion TF 公佈Action plan 日本總務省與產學研各界共同於2008成立IPv4 Exhaustion Task Force,推動IPv6的發展。 NTT 將於 2011/04 開始 IPv6 NGN 雙協定服務。 ISP/ICP最遲2012 第二季全面完成IPv6建置。
20 國際 IPv6 發展狀況 (3/3) 韓國 2008年韓國政府開始申裝IPv6,打開IPv6網路與應用 “雞與蛋 誰先”僵局,並規定政府必須採購支援IPv6設備。 韓國政府宣示與業界合力成立IPv6 transition committee,並規 劃將IPv6的需求納入政府預算。 歐洲 - 歐盟社會資訊總司 2011年歐盟國家將大規模部署IPv6,並達成25%企業使用IPv6 的目標。
21 中華電信IPv6發展歷程
22 RIPE 統計之全球骨幹網路IPv6 比例 13.62%  17.73% http://v6asns.ripe.net/v/6
23 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
24 IPv4/IPv6互通的三種技術 IPv4/IPv6雙協定︰Dual Stack – RFC 4213 在同一條線路及設備上,同時提供IPv6及IPv4通訊協定 為主流移轉技術,可一勞永逸解決問題,但建設成本較高 IPv6通道機制 ︰Tunneling – 6to4、Tunnel Broker、 ISATAP、Teredo、6RD等技術 在現有的兩個IPv4的端點間,建IPv6的隧道,使兩端後的 使用Dual Stack作業系統的使用者能以IPv6互通 為快速提供IPv6服務的過渡技術,但效能較差 IPv4/IPv6通訊協定轉換︰Translation – SIIT、NAT-PT、 BIS、ALG、IVI等技術 透過通訊協定轉換(黑盒子),可讓僅支援IPv4的使用者與 僅支援IPv6的主機互相連線 技術複雜,容易成為網路瓶頸,技術尚未真正成熟
IPv6通道設定展示 demonstration 25
26 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
雙重IP階層 Application Layer Host-to-Host Layer IPv6 Network Interface Layer Application Layer Host-to-Host Layer IPv6 Network Interface Layer IPv4 Application Layer Host-to-Host Layer IPv4 Network Interface Layer IPv6-only IPv6/IPv4 IPv4-only 27
28 雙協定堆疊(Dual Stack)技術優缺 點比較表
IPv6 over IPv4 Tunneling IPv6 Extension headers Upper layer PDU IPv6 Extension headers Upper layer PDU IPv4 IPv6 packet IPv4 packet IP Protocol field set to 41 (IPv6 header) 29
30 穿隧(Tunneling)技術優缺點比較表
31 轉換(Translation)技術優缺點比較表
32 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
33 IPv6 的安全威脅及防範方法 1. 網路偵蒐攻擊及防範方法 2. 非法存取攻擊及防範方法 3. 竊聽攻擊及防範方法 4. 封包碎片攻擊及防範方法 5. 病毒及蠕蟲攻擊及防範方法 6. IP位址偽冒攻擊及防範方法 7. DHCP攻擊及防範方法
34 網路偵蒐攻擊
35 網路偵蒐攻擊(1/2) 網路偵蒐為駭客進行任何一項攻擊行動的第一步, 此過程主要為決定要對那一個(些)目標進行後續 的攻擊行動,而這些目標可能位於組織內網或網際 網路上。 一般網路偵蒐的作法為藉由ARIN的WHOIS資料庫 取得目標公司所分配的IP網段及其網域名稱伺服器 資訊,接著使用dig工具進一步獲得該公司的網頁伺 服器及郵件伺服器等資訊,最後再以traceroute工具 來獲得該公司邊界路由器的IP位址,至此該目標網 路大致的輪廓即可描繪出來。在蒐集完目標網路的 情報後,接著會進行掃瞄,其主要目的為取得目標 網路主機(含網路裝置)的開啟狀況及其使用的作 業系統類型,典型的工具為nmap。
36 網路偵蒐攻擊(2/2)
37 網路偵蒐攻擊在 IPv6 上的問題 相對於IPv4的掃瞄,對IPv6網路掃瞄就較不實際, 原因在於以IPv4 Class C為例,其位址數量僅有256 個,大約僅花5-30秒即可完成掃瞄,但對IPv6的預 設子網/64(共有2^64=18.446.744.073.709.551.616 部可能的主機)的區塊位址來進行掃瞄的話,可 能要花上數年以上才能完成,故目前的掃瞄器如 nmap僅支援對單一主機的掃瞄。
38 IPv6偵蒐攻擊可行及有效的方式 對IPv6-enable的DNS伺服器下手,由該伺服器來得 知重要的主機位址。 對群播位址來作ping sweep,如對link-local all-node- multicast位址FF02::1做ping的動作,來獲取所有內 網主機的回應訊息或對all-router-multicast位址 FF05::2做ping的動作,來獲取所有路由器的回應訊 息或對all-DHCP-multicast位址FF05::3做ping的動作, 以獲取所有DHCP伺服器的回應訊息。
39 對IPv6偵蒐攻擊之防禦對策 1)不要使用容易猜測的位址。 2)使用私有擴展位址(Privacy extensions):私有擴 展位址會定期更新自己的Global Unicast IP位址, 來達到防禦外部對內進行偵蒐攻擊的目的。 3)在機構的邊界路由器或防火牆上啟用ICMPv6的過 濾機制,禁止不需要的ICMP echo封包進出機構內 部。 4)在防火牆上將不需要的服務(埠號)過濾掉。 5)強化主機系統及應用程式本身之安全,如定期做 作業系統之patch、安裝主機型的入侵偵測系統、 主機型防火牆及防毒軟體等。
40 非法存取攻擊
41 非法存取攻擊 非法存取泛指任何一個不為信任的來源端有意或無 意地對一經保護的網路(含主機及網路設備等)進 行存取的動作。 IPv6在某些對非法存取之防禦觀念上與IPv4非常相 似,如使用路由器上的存取控制清單(ACL)及防火 牆來對第三層的IPv6來源及目的位址、IPv6的基本 封包欄位及某些封包擴充欄位做檢查。 IPv6支援暫時性位址的觀念,稱私有位址(Private Address),該私有位址為隨機配置並定期更新,故 可有效降低駭客達成非法存取攻擊的成功機率。
IPv6 存取控制清單 (ACL) ipv6 access-list ipv6_163_out permit tcp any any established permit udp any host 2001:288:9000::1 eq 53 permit udp any eq 53 host 2001:288:9000::1 permit icmp any any 42
IPv6 存取控制清單設定展示 demonstration 43
44 各類 IPv6位置存取範圍討論 IPv6有類似IPv4使用的RFC1918私用位址,稱Site- Local Address,因其不得將路由發佈到公用網路上, 故對於由外對內之非法存取攻擊上可完全得到保 障。另一個IPv6特有的位址為Link-local Address, 有別於Site-local Address之有效範圍及於整個機構, Link-local Address僅在某一網段下有效,故其位址 之有效範圍更窄。第三個為Unique Global Address, 其為Public Address,位址有效範圍及於全球。
45 利用 IPSec 來增加存取安全性 IPSec提供雙方對等的認證機制(使用AH; Authentication Header),對於非法存取提供更安 全的保障。不同於IPv4,IPv6強制將IPSec納入協 定本身來設計,使得IPv6更能抵擋非法存取的攻 擊。除了AH外,IPSec也可經由使用ESP(Encapsulating Security Payload)加密機制來滿足 資料的私密性需求。
46 IPv6 防火牆對ICMPv6的過濾政策 ICMP協定在故障檢測上提供許多有用的機制,像 測試主機是否為開機運作中(Alive),或追蹤某 一目的地所經過的節點資訊等,而ICMPv6在IPv6 中如同IPSec一樣為IPv6協定的一部分,故相較於 IPv4的ICMP更顯重要。下表為建議的IPv6防火牆 對ICMPv6的過濾政策。
47 對IPv6非法取存攻擊之防禦對策 1)使用公認的網路前綴於防火牆的過濾政策中,並 僅允許正面表列的流量通過,其餘禁止。 2)使用位址Scoping來限制位址的有效範圍:Link- local及Site-local位址僅用於機構內部,Unique- global位址才可供外部存取。 3)使用IPSec AH來作為兩端連線的相互認證。 4)禁止使用Source-Routing機制。 5)設定邊緣防火牆僅允許需要的ICMPv6訊息項目 通過防火牆,並限定接受ICMPv6流量的速率, 以防止其誤用。 6)使用Privacy Addressing會在固定時間間隔更新IP 位址,故亦可防止非法存取的攻擊。
48 竊聽攻擊
49 竊聽攻擊 竊聽也稱Sniffing,使用tcpdump或ethereal工具來 對網路中傳送的封包進行解析,例如對Telnet連 線的登入資訊進行窺視,以得到使用者名稱及密 碼資訊。 在IPv4中最常用來反制竊聽的方式為使用網路交 換器,另外就是使用IPSec中的加密機制來防止竊 聽,封包加密除了保障傳輸時免於被竊聽外,也 可避免被傳輸路徑中的節點窺視或竄改封包內容。 但其缺點為路由器不再能經由檢視第四層的 header來管理QoS,防火牆也不能看到TCP的 Header及Payload,而僅能對ESP連線來進行允許 或拒絕的動作。
50 對IPv6竊聽攻擊之防禦對策 1)使用 IPv6 IPSec 來提供資料來源的認證、payload 的加密及封包完整性的確保。 2)當使用 IPSec ESP 時,記得在主機內安裝主機型 的防火牆及入侵偵測系統,以有效防止有意或無 意的惡意攻擊。
51 封包碎片攻擊
52 封包碎片攻擊(1/2) 碎片攻擊在IPv4為一個很普遍的攻擊方式,主要 目的為規避防火牆及入侵偵測系統的偵測,攻擊 技巧為將易被察覺的惡意資料簽章(data signature)分散到數個封包,造成防火牆及入侵 偵測系統難以有效偵測出其原封包的意圖。 在IPv6僅有來源端可分割封包,其被分割的封包 大小可依來源端到目的端路徑所測得的最大MTU(Maximum Transmit Unit)來指定,一般正常的 IPv6封包為1280 bytes,也就是IPv6最小的封包大 小,而最後一個傳送的封包大小通常會小於1280 bytes。
53 封包碎片攻擊(2/2) 要處理重疊的碎片為相當困難的一件事,原因在 於不同的目地端系統使用不同的方式來重組封包。 對IPv6而言,根據RFC 2460的規定,重疊碎片是 不被允許的,而且就算有重疊碎片被傳送到網路 上,網路裝置或終端主機也應該要拒絕處理,因 此可防止此類的攻擊發生。但不同的系統對IPv6 實作方式迴異,因此對處理碎片及重疊碎片的作 法可能也有差異,故這類的攻擊在某些情況下可 能仍然有效。 碎片攻擊在某種情況下常會造成阻斷服務的攻擊 效果,尤其當網路裝置忙於處理碎片的檢查及重 組時會降低網路裝置整體的處理效能。
54 對IPv6碎片攻擊之防禦對策 1)部署網路型及主機型的安全裝置。 2)隨時監測網路中碎片的數量。 3)拒絕重疊的封包流量。
55 病毒及蠕蟲攻擊
56 病毒及蠕蟲攻擊(1/2) 病毒,特別是蠕蟲,對企業及整個網際網路造成 許多安全威脅,這些威脅大多來自其惡意的 Payload。一般的傳播方式為使用位址空間掃瞄, 來對掃瞄到的線上主機進行傳染,而一旦某主機 被感染後,又會運用同樣的方式來向外傳播,建 立大量的連線,因此造成非常大的網路流量,進 而使整個網路癱瘓。 病毒主要為感染檔案,其會將自己植入到既有的 程式內,主要的傳播方式為透過分享的媒介或程 式的交換等途徑。而蠕蟲具有自體複製的能力, 主要的傳播方式為透過網路,如E-Mail或直接的 網路連線等,其快速散播的特性使得它對網路的 破壞程度叫人咋舌。
57 病毒及蠕蟲攻擊(2/2) 在公元2003年八月的疾風蠕蟲於數小時內快速地 經由網路感染了20萬部主機,損失不計其數。但 因為 IPv6 的位址空間太大,以掃瞄來散播蠕蟲 的方式將很容易遭到遏止。 另外,針對適應IPv6環境而設計的蠕蟲將會有不 同於IPv4的特性,如降低其掃瞄範圍,或以從某 網站獲得的存取日誌中的IP位址為基礎,做為第 一波傳染的對象。
58 對IPv6病毒及蠕蟲攻擊之防禦對策 1)對IPv4的反制策略仍適用於IPv6,如即時Patch系統。 2)使用主機型及網路型的入侵偵測系統來監督網路掃 瞄活動,並運用主機型入侵防護系統來保護主機。 3)在重要的網路出入點部署封包過濾器,如防毒牆等, 以遏阻其漫延。 4)避免將每個用戶的IP位址指定成連續的IP位址,應 該儘量分散其IP的指定,及使用隨機產生的位址前 綴,如此可有效降低掃瞄器掃瞄的效率。 5)使用代理伺服器,如HTTP Proxy,以避免Web客 戶端的IP被Cache,或使用暫時的Privacy Address, 以避免因位址被鎖定而成為被攻擊的目標。
59 IP位址偽冒攻擊
60 IP位址偽冒攻擊(1/2) IP位址偽冒一般用於偽冒來源端的位址,使得受 害者無法追蹤到惡意封包的實際發送者,或來源 位址根本不存在。這種攻擊方式也常用來做為阻 斷服務攻擊、發送垃圾郵件攻擊及蠕蟲的傳播等。 此種攻擊的效果通常會有兩個受害者,一為被攻 擊的目標,另一為被偽冒IP的主機(當有回應封 包到達時),這類型的攻擊方式如有大量回應封 包時即產生放大效果,而造成阻斷服務。 IPv6對位址前綴的指定及分配相當規律,使得下 游的ISP的IP位址會總是落在上游服務商的匯總位 址空間內,對ISP而言,因易於實現入口過濾機 制,故可有效遏阻此類攻擊。
61 對IPv6位址偽冒攻擊之防禦對策(1/2) 1)在各個網路出入點實做入口過濾機制。 2)有些位址偽冒攻擊使用非法或未經配置的IP位址空 間,故可在邊緣路由器實作存取控制列表機制,僅 允許合法位址的流量通過路由器。 3)部署入侵偵測系統來監督Link-local的流量,特別 是一些well-known的群播位址及監督一些可疑流量 型態的門檻值(threshold)。 4)除遵循IPv6基本規範中之ICMPv6錯誤訊息的傳送 速率限制外,也應考量對ICMPv6中之一般及其他 訊息的傳送速率限制在一個合理的門檻值。
62 對IPv6位址偽冒攻擊之防禦對策(2/2) 5)丟棄以群播為來源位址的封包。 6)若在路由器上具uRPF(unicast Reverse Path Forwarding)功能,請啟用此項功能,此項功能可核 對封包於接收時所流經的路由器介面與回傳時所流 經的介面是否一致,若有出入即表示來源位址曾被 修改過,此封包應予丟棄。
63 DHCP攻擊
64 DHCP攻擊(1/4) DHCP攻擊為IPv4與IPv6共通的威脅,主要為將 DHCP客戶端或伺服機端的資源耗盡,以達成阻 斷服務的目的。例如一部非法的客戶主機重覆對 伺服主機進行IP配置的請求,以致於因所有可用 IP位址皆已分配出去,故真正合法的客戶主機反 而得不到服務,造成伺服機端無法提供應有的服 務,而合法的客戶端也因得不到IP的配置而無法 正常運作。
65 DHCP攻擊(2/4) 不同於IPv4的DHCP使用廣播的方式進行協定的 操作,DHCPv6使用群播(IPv6不支援廣播), 故一種新的DHCPv6攻擊方式為使用群播泛洪攻 擊(Multicast-flooding attack),針對一個well- known的site-local群播位址做攻擊,因所有 DHCPv6伺服器皆會聆聽此位址,故只要攻擊者 將惡意封包送往此位址,就可一併攻擊多個 DHCPv6伺服器。 另一種攻擊方式為在合法的客戶主機內暗藏 DHCPv6服務,發送假的”reconfigure”訊息到網 路上,導致所有合法的客戶主機皆會再度去向伺 機主機詢問新的組態配置資料,這樣的結果會同 時影響到合法的客戶端及伺服端主機。
66 DHCP攻擊(3/4) 不同於IPv4的DHCP使用廣播的方式進行協定的 操作,DHCPv6使用群播(IPv6不支援廣播), 故一種新的DHCPv6攻擊方式為使用群播泛洪攻 擊(Multicast-flooding attack),針對一個well- known的site-local群播位址做攻擊,因所有 DHCPv6伺服器皆會聆聽此位址,故只要攻擊者 將惡意封包送往此位址,就可一併攻擊多個 DHCPv6伺服器。 另一種攻擊方式為在合法的客戶主機內暗藏 DHCPv6服務,發送假的”reconfigure”訊息到網 路上,導致所有合法的客戶主機皆會再度去向伺 機主機詢問新的組態配置資料,這樣的結果會同 時影響到合法的客戶端及伺服端主機。
67 DHCP攻擊(4/4) 其他像使用非法的DHCPv6伺服主機提供錯誤的IP 組態設定資料給合法的客戶端主機,導致客戶端 無法得到正確的資料而無法運作,或客戶端依所 得之錯誤資訊連線到惡意的應用伺服器等,也是 一般常見的攻擊方式。 最後一種攻擊型式為中間人(Man-in-the-middle)攻 擊,如一部非法的DHCPv6伺服器攔截到客戶主機 對伺服器的請求,並將之中繼到合法伺服器,但 卻在伺服器回應的封包上動手腳等。 解決此類攻擊的最佳解決方案為使用DHCP身份鑑 別選項(DHCP Authentication Option),這選項會在 客戶端及伺服端間進行交換,以驗證雙方的身份, 若驗證失敗則會忽略對方的請求或回應封包,但 目前支援這選項的DHCPv6伺服器並不多見。
68 對DHCPv6攻擊之防禦對策 1)使用DHCPv6身份鑑別選項可有效反制中間人攻擊 及阻斷服務攻擊。 2)實作DHCP Snooping:某些網路交換器實作DHCP Snooping機制,可在特定埠口上設定允許那些 DHCP的訊息通過,或設定僅允許某特定埠口可銜 接DHCP伺服器,借此來降低私接非法主機所造成 的問題。 3)使用IPSec來確保DHCPv6中繼器及伺服器間的安全 連線,以IPSec的AH來認證來源及封包的完整性, 以ESP來進行封包的加密。 4)部署入偵測系統來監督不尋常的DHCPv6訊息。
69 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
IPv6 帶給企業及營運商的影響(1/2) 推動IPv6 的建設對網路服務的發展與連續性至關重要, 也是國家資訊網路實力是否繼續領先國際的重要關鍵。基 於IPv6 網路未能立即創造商機,民營業界發展速度較慢, 因此目前由政府帶頭示範宣示推動IPv6 的決心,以加速 整體的發展。藉由政府網路及電子化政府網站服務啟動 IPv6 網路升級,將引導我國網路線路服務商、網路設備 廠商、網路內容開發商及系統整合服務商投入相關產品及 服務的研發與生產。 70
IPv6 帶給企業及營運商的影響(2/2) 藉由政府網路優先啟動IPv6網路升級,引導系統整合業者 提供IPv6 網路技術服務、民間資訊訓練機構儲備IPv6專業 師資並規劃相關課程、資通設備業者加速研發支援IPv6 相關設備。而網際網路服務提供者(ISP)及網際網路內容 提供者(ICP)也將感受到政府推動IPv6決心,以及網路升 級至IPv6 的必然性及急迫性,而加速進行IPv6移轉的工作, 因應政府優先升級養成的IPv6 技術服務能量也將可以順 勢提供業界的需求。 71
全球企業及營運商IPv6發展現況 依據Google量測全球用戶以IPv6瀏覽其網站比例,截至 2014/05使用IPv6用戶百分比約3.0%,自ISOC於2012/6/6 舉辦World IPv6 Launch活動以來,約每九個月成長一倍。 依據APNIC使用網頁廣告量測全球IPv6用戶數統計資料顯 示,IPv6部署以歐洲最積極,依序為美洲、亞洲、大洋洲 及非洲;亞洲IPv6部署,則以日本、新加坡最積極,中國 大陸也在政府主導下也趨積極。 2013年瑞士Swisscom、德國電信、法國Free、羅馬尼亞 RCS&RDS、美國Verizon Wireless、AT&T、Comcast、 Time Warner、日本KDDI、Softbank及新加坡Starhub、 M1等網際網路提供者均有顯著IPv6用戶數成長。 72
國際組織IPv6位置規劃建議 依照APNIC 『IPv6 Best Current Practices』之分配建議 <文件部分> 紀錄哪些位址使用於基礎設施,哪些位址屬於用戶網段 利用文件、試算表或資料庫方式紀錄 <Infrastructure部分> 可挑選第一段/48用作基礎設施,位址較短便於設定 ex:2001:df8:0000::/48 ->2001:df8::/48 所有路由器的loopback應設為/128,並從基礎設施/48中,指定一段 /64作為loopback使用 可挑選第二段/48作為點對點連線使用,若不足則增加/48數量 針對每一個點對點連線保留一個/64,實際設定時盡量使用/127,可 避免Neighbor Cache DoS攻擊 伺服主機使用的LAN則以/64為單位 73
基礎設施規劃建議-架構圖 74
75 IPv6 主機設備採購規範建議(1/2) 1)必要項目:必須通過IPv6 Ready Logo Phase-2 Core for Host 的測試規範。 2)安全選項:IPv6 Ready Logo Phase-2 IPSec for End- Node 的測試規範。 3)網管選項:IPv6 Ready Logo Phase-2 SNMP for Agent 的測試規範。建議以SNMPv2C 和RFC 4293 IP MIB 為參考標準,惟考量網路演進趨勢,將有 一段長時間之IPv4/IPv6 並存時期,故可暫以提供 IPv4 SNMP 功能為近期之要求,待市場設備普遍 成熟時再納入必要選項。
76 IPv6 主機設備採購規範建議(2/2) 4)移動性選項:IPv6 Ready Logo Phase-2 Mobility for Mobile Node 或Correspondent Node 的測試規範。 5)DNS 選項:建議需支援 RFC 3596 DNS Extensions to Support IP Version 6。 6)DHCPv6 選項:IPv6 Ready Logo Phase-2 DHCPv6 for Client,建議需支援Client 模式,相關標準為 RFC 3315 Dynamic Host Config Protocol (DHCPv6)。 7)應用程式選項:目前已有 IPv6 Ready Logo Phase-2 SIPv6 for User Agent,但可考慮 Email、Web 等服 務或是註明相關應用程式必須同時支援IPv4/IPv6 通訊協定。(目前大部分作業系統皆已經支援IPv6)。
77 IPv6路由器設備採購規範建議(1/2) 1)必要項目:必須通過IPv6 Ready Logo Phase-2 Core for Router 測試規範。 2)安全選項:IPv6 Ready Logo Phase-2 IPSec for Secure Gateway 測試規範。 3)網管選項:IPv6 Ready Logo Phase-2 SNMP for Agent 的測試規範。建議以SNMPv 2c 和RFC 4293 IP MIB 為參考標準,惟考量網路演進趨勢,將有 一段長時間之IPv4/IPv6 並存時期,故可暫以提供 IPv4 SNMP 功能為近期之要求,待市場設備普遍 成熟時再納入必要選項。
78 IPv6路由器設備採購規範建議(1/2) 4)移動性選項: IPv6 Ready Logo Phase-2 Mobility for Home Agent 的測試規範。 5)DNS 選項:建議需支援RFC 3596 DNS Extensions to Support IP Version 6)DHCPv6 選項:IPv6 Ready Logo Phase-2 DHCPv6 for Server,建議需支援Server 或Relay Agent 模式, 相關標準為RFC 3315 Dynamic Host Config Protocol (DHCPv6)。 7)路由選項:須根據路由器之容量及使用地點,決定 適當通訊協定,通常SOHO Router 只要支援RIPNG (RFC 2080),而大容量Router 建議需支援OSPFv3 (RFC 5340)和BGP-4 + (RFC 2545、RFC 4271)。
END

Recommended

IPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIIPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIgrecma
 
IPV6
IPV6IPV6
IPV6'Farouk' 'BEN GHARSSALLAH'
 
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandInternet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandPatricia NENZI
 
Internet Protocol version 6
Internet Protocol version 6Internet Protocol version 6
Internet Protocol version 6Rekha Yadav
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Gondo Fréjus Léonel MANDE
 
Successful FTTH Implementation
Successful FTTH ImplementationSuccessful FTTH Implementation
Successful FTTH ImplementationFinley Engineering Company
 
Border Gatway Protocol
Border Gatway ProtocolBorder Gatway Protocol
Border Gatway ProtocolShashank Asthana
 
HSRP (hot standby router protocol)
HSRP (hot standby router protocol)HSRP (hot standby router protocol)
HSRP (hot standby router protocol)Netwax Lab
 

Recommended

IPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIIPv6 cohabitation et migration - Oussama SALIHI
IPv6 cohabitation et migration - Oussama SALIHIgrecma
 
IPV6
IPV6IPV6
IPV6'Farouk' 'BEN GHARSSALLAH'
 
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandInternet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandPatricia NENZI
 
Internet Protocol version 6
Internet Protocol version 6Internet Protocol version 6
Internet Protocol version 6Rekha Yadav
 
Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Internet protocol version 6 (i pv6) migration IPv4/IPv6
Internet protocol version 6 (i pv6) migration IPv4/IPv6Gondo Fréjus Léonel MANDE
 
Successful FTTH Implementation
Successful FTTH ImplementationSuccessful FTTH Implementation
Successful FTTH ImplementationFinley Engineering Company
 
Border Gatway Protocol
Border Gatway ProtocolBorder Gatway Protocol
Border Gatway ProtocolShashank Asthana
 
HSRP (hot standby router protocol)
HSRP (hot standby router protocol)HSRP (hot standby router protocol)
HSRP (hot standby router protocol)Netwax Lab
 
IPV4 vs IPV6
IPV4 vs IPV6IPV4 vs IPV6
IPV4 vs IPV6Devang Doshi
 
Transport Layer in Computer Networks (TCP / UDP / SCTP)
Transport Layer in Computer Networks (TCP / UDP / SCTP)Transport Layer in Computer Networks (TCP / UDP / SCTP)
Transport Layer in Computer Networks (TCP / UDP / SCTP)Hamidreza Bolhasani
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsPavel Odintsov
 
Layer 2 switching
Layer 2 switchingLayer 2 switching
Layer 2 switchingNetProtocol Xpert
 
Bgp tutorial for ISP
Bgp tutorial for ISPBgp tutorial for ISP
Bgp tutorial for ISPWahyu Nasution
 
Routing Protocols
Routing Protocols Routing Protocols
Routing Protocols KhushbirSinghSandhu
 
IPv6 address
IPv6 addressIPv6 address
IPv6 addressPina Parmar
 
Chapter 06 - Routing
Chapter 06 - RoutingChapter 06 - Routing
Chapter 06 - Routingphanleson
 
IEEE 802.11ax
IEEE 802.11axIEEE 802.11ax
IEEE 802.11axAlice Valentini
 
Network Troubleshooting - Part 2
Network Troubleshooting - Part 2Network Troubleshooting - Part 2
Network Troubleshooting - Part 2SolarWinds
 
CCNP ROUTE V7 CH1
CCNP ROUTE V7 CH1CCNP ROUTE V7 CH1
CCNP ROUTE V7 CH1Chaing Ravuth
 
OSPF Basics
OSPF BasicsOSPF Basics
OSPF BasicsMartin Bratina
 
Router and routing
Router and routingRouter and routing
Router and routingIran-Gul Mukhlis
 
Bgp (1)
Bgp (1)Bgp (1)
Bgp (1)Vamsidhar Naidu
 
MPLS Concepts and Fundamentals
MPLS Concepts and FundamentalsMPLS Concepts and Fundamentals
MPLS Concepts and FundamentalsShawn Zandi
 
Neighbor Discovery Deep Dive – IPv6-Networking-Referat
Neighbor Discovery Deep Dive – IPv6-Networking-ReferatNeighbor Discovery Deep Dive – IPv6-Networking-Referat
Neighbor Discovery Deep Dive – IPv6-Networking-ReferatDigicomp Academy AG
 
IRR Tutorial and RPKI Demo
IRR Tutorial and RPKI DemoIRR Tutorial and RPKI Demo
IRR Tutorial and RPKI DemoAPNIC
 
Fttx
FttxFttx
FttxUnnikrishnan Nair
 
MPLS VPN
MPLS VPNMPLS VPN
MPLS VPNShahzaib Mahesar
 
Transportlayer tanenbaum
Transportlayer tanenbaumTransportlayer tanenbaum
Transportlayer tanenbaumMahesh Kumar Chelimilla
 
I pv6 windows 實做課程_0705
I pv6 windows 實做課程_0705I pv6 windows 實做課程_0705
I pv6 windows 實做課程_0705宏義 張
 
中央研究院:新世代骨幹網際網路發展現況
中央研究院:新世代骨幹網際網路發展現況中央研究院:新世代骨幹網際網路發展現況
中央研究院:新世代骨幹網際網路發展現況Ethern Lin
 

More Related Content

What's hot

Transport Layer in Computer Networks (TCP / UDP / SCTP)
Transport Layer in Computer Networks (TCP / UDP / SCTP)Transport Layer in Computer Networks (TCP / UDP / SCTP)
Transport Layer in Computer Networks (TCP / UDP / SCTP)Hamidreza Bolhasani
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsPavel Odintsov
 
Chapter 06 - Routing
Chapter 06 - RoutingChapter 06 - Routing
Chapter 06 - Routingphanleson
 
Network Troubleshooting - Part 2
Network Troubleshooting - Part 2Network Troubleshooting - Part 2
Network Troubleshooting - Part 2SolarWinds
 
MPLS Concepts and Fundamentals
MPLS Concepts and FundamentalsMPLS Concepts and Fundamentals
MPLS Concepts and FundamentalsShawn Zandi
 
Neighbor Discovery Deep Dive – IPv6-Networking-Referat
Neighbor Discovery Deep Dive – IPv6-Networking-ReferatNeighbor Discovery Deep Dive – IPv6-Networking-Referat
Neighbor Discovery Deep Dive – IPv6-Networking-ReferatDigicomp Academy AG
 
IRR Tutorial and RPKI Demo
IRR Tutorial and RPKI DemoIRR Tutorial and RPKI Demo
IRR Tutorial and RPKI DemoAPNIC
 

What's hot (20)

IPV4 vs IPV6
IPV4 vs IPV6IPV4 vs IPV6
IPV4 vs IPV6
 
Transport Layer in Computer Networks (TCP / UDP / SCTP)
Transport Layer in Computer Networks (TCP / UDP / SCTP)Transport Layer in Computer Networks (TCP / UDP / SCTP)
Transport Layer in Computer Networks (TCP / UDP / SCTP)
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developments
 
Layer 2 switching
Layer 2 switchingLayer 2 switching
Layer 2 switching
 
Bgp tutorial for ISP
Bgp tutorial for ISPBgp tutorial for ISP
Bgp tutorial for ISP
 
Routing Protocols
Routing Protocols Routing Protocols
Routing Protocols
 
IPv6 address
IPv6 addressIPv6 address
IPv6 address
 
Chapter 06 - Routing
Chapter 06 - RoutingChapter 06 - Routing
Chapter 06 - Routing
 
IEEE 802.11ax
IEEE 802.11axIEEE 802.11ax
IEEE 802.11ax
 
Network Troubleshooting - Part 2
Network Troubleshooting - Part 2Network Troubleshooting - Part 2
Network Troubleshooting - Part 2
 
CCNP ROUTE V7 CH1
CCNP ROUTE V7 CH1CCNP ROUTE V7 CH1
CCNP ROUTE V7 CH1
 
OSPF Basics
OSPF BasicsOSPF Basics
OSPF Basics
 
Router and routing
Router and routingRouter and routing
Router and routing
 
Bgp (1)
Bgp (1)Bgp (1)
Bgp (1)
 
MPLS Concepts and Fundamentals
MPLS Concepts and FundamentalsMPLS Concepts and Fundamentals
MPLS Concepts and Fundamentals
 
Neighbor Discovery Deep Dive – IPv6-Networking-Referat
Neighbor Discovery Deep Dive – IPv6-Networking-ReferatNeighbor Discovery Deep Dive – IPv6-Networking-Referat
Neighbor Discovery Deep Dive – IPv6-Networking-Referat
 
IRR Tutorial and RPKI Demo
IRR Tutorial and RPKI DemoIRR Tutorial and RPKI Demo
IRR Tutorial and RPKI Demo
 
Fttx
FttxFttx
Fttx
 
MPLS VPN
MPLS VPNMPLS VPN
MPLS VPN
 
Transportlayer tanenbaum
Transportlayer tanenbaumTransportlayer tanenbaum
Transportlayer tanenbaum
 

Similar to I pv6 ipv6網路管理與安全_企業網路課程_0901

I pv6 windows 實做課程_0705
I pv6 windows 實做課程_0705I pv6 windows 實做課程_0705
I pv6 windows 實做課程_0705宏義 張
 
中央研究院:新世代骨幹網際網路發展現況
中央研究院:新世代骨幹網際網路發展現況中央研究院:新世代骨幹網際網路發展現況
中央研究院:新世代骨幹網際網路發展現況Ethern Lin
 
Ipv6協定與原理
Ipv6協定與原理Ipv6協定與原理
Ipv6協定與原理dpodp
 
I pv6資通設備與軟體規範建議書
I pv6資通設備與軟體規範建議書I pv6資通設備與軟體規範建議書
I pv6資通設備與軟體規範建議書煥文 陳
 
ASCC IPv6 建置經驗分享
ASCC IPv6 建置經驗分享ASCC IPv6 建置經驗分享
ASCC IPv6 建置經驗分享Ethern Lin
 
DNS IPv6
DNS IPv6DNS IPv6
DNS IPv6csklho
 
0416 Windows Server 2008 Native IPv6 新功能介紹
0416 Windows Server 2008 Native IPv6 新功能介紹0416 Windows Server 2008 Native IPv6 新功能介紹
0416 Windows Server 2008 Native IPv6 新功能介紹Timothy Chen
 
200701011
200701011200701011
2007010115045033
 
全球IPv6實驗網路暨交換中心發展概況
全球IPv6實驗網路暨交換中心發展概況全球IPv6實驗網路暨交換中心發展概況
全球IPv6實驗網路暨交換中心發展概況Ethern Lin
 
防火墙产品原理介绍20080407
防火墙产品原理介绍20080407防火墙产品原理介绍20080407
防火墙产品原理介绍20080407paulqi
 
網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)
網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)
網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)tahr1984
 
中研院IPv6基礎建設概況報告
中研院IPv6基礎建設概況報告中研院IPv6基礎建設概況報告
中研院IPv6基礎建設概況報告Ethern Lin
 
04 hou ziqiang
04 hou ziqiang04 hou ziqiang
04 hou ziqiangMason Mei
 
IPv6简介
IPv6简介IPv6简介
IPv6简介asweisun
 
Lvs在大规模网络环境下的应用pukong
Lvs在大规模网络环境下的应用pukongLvs在大规模网络环境下的应用pukong
Lvs在大规模网络环境下的应用pukongMichael Zhang
 

Similar to I pv6 ipv6網路管理與安全_企業網路課程_0901 (20)

I pv6 windows 實做課程_0705
I pv6 windows 實做課程_0705I pv6 windows 實做課程_0705
I pv6 windows 實做課程_0705
 
中央研究院:新世代骨幹網際網路發展現況
中央研究院:新世代骨幹網際網路發展現況中央研究院:新世代骨幹網際網路發展現況
中央研究院:新世代骨幹網際網路發展現況
 
Ipv6協定與原理
Ipv6協定與原理Ipv6協定與原理
Ipv6協定與原理
 
金盾集訓 II
金盾集訓 II金盾集訓 II
金盾集訓 II
 
I pv6資通設備與軟體規範建議書
I pv6資通設備與軟體規範建議書I pv6資通設備與軟體規範建議書
I pv6資通設備與軟體規範建議書
 
ASCC IPv6 建置經驗分享
ASCC IPv6 建置經驗分享ASCC IPv6 建置經驗分享
ASCC IPv6 建置經驗分享
 
DNS IPv6
DNS IPv6DNS IPv6
DNS IPv6
 
0416 Windows Server 2008 Native IPv6 新功能介紹
0416 Windows Server 2008 Native IPv6 新功能介紹0416 Windows Server 2008 Native IPv6 新功能介紹
0416 Windows Server 2008 Native IPv6 新功能介紹
 
200701011
200701011200701011
200701011
 
20110607 IPv6
20110607 IPv620110607 IPv6
20110607 IPv6
 
全球IPv6實驗網路暨交換中心發展概況
全球IPv6實驗網路暨交換中心發展概況全球IPv6實驗網路暨交換中心發展概況
全球IPv6實驗網路暨交換中心發展概況
 
防火墙产品原理介绍20080407
防火墙产品原理介绍20080407防火墙产品原理介绍20080407
防火墙产品原理介绍20080407
 
network1
network1network1
network1
 
網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)
網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)
網路之根-基礎建設與標準化 (Kenny Huang, ph.D.)
 
中研院IPv6基礎建設概況報告
中研院IPv6基礎建設概況報告中研院IPv6基礎建設概況報告
中研院IPv6基礎建設概況報告
 
Tcpip
TcpipTcpip
Tcpip
 
04 hou ziqiang
04 hou ziqiang04 hou ziqiang
04 hou ziqiang
 
IPv6简介
IPv6简介IPv6简介
IPv6简介
 
Lvs在大规模网络环境下的应用pukong
Lvs在大规模网络环境下的应用pukongLvs在大规模网络环境下的应用pukong
Lvs在大规模网络环境下的应用pukong
 
IPV6
IPV6IPV6
IPV6
 

I pv6 ipv6網路管理與安全_企業網路課程_0901

  • 2. 1 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 3. 2 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 5. 4 全球IPv4位址配發狀況 美國雖擁有接近全球半數之已配發IPv4位址數量,但也是目前推動IPv6最積極的國家 其所分配到的IPv4位址空間並非全數分配到終端用戶 每人平均分配到的IPv4位址仍不足以滿足用戶基本連網需求(例如手機、平板、 電腦以及相關穿戴式裝置) 中、印、俄和巴西人口眾多,但IP數/人小於1 參考來源:http://trace.twnic.net.tw/ipstats/, 2014/2/5
  • 6. 5 位址枯竭解決方案 - IPv6 IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間 特性 IPv4 IPv6 位址數量 232 = 4.3 109 2128 = 3.41038 網路位址轉 換器(NAT) 大量使用 NAT,用戶端戶連 技術複雜,成本提高 不須使用 NAT,用戶自由互 連,有利應用服務發展 用戶端位址 配置 需手動配置或需設置系統來 協助 支援自動組態,位址自動配 置,隨插隨用 網路安全性 IPSec需另外設定 內建IPSec加密機制 行動性支援 支援度低,不易支援跨網段 漫游連線 支援度高,有利於解決跨網 段漫游的連線障礙 QoS機制 QoS支援度低 表頭設計直接支援QoS機制
  • 7. IPv4 與 IPv6 的差異 IPv4位址 IPv6位址 由32個位元(bits)的0與1組成 由128個位元(bits)的0與1組成 每8位元轉成十進位用.區隔 每16位元轉成十六進位用:區隔 分為 Classful 與 Classless 只有 Classless Multicast 位址為 224.0.0.1/4 Multicast 位址為 FF::/8 Loopback 位址為 127.0.0.1 Loopback 位址為 ::1 Public IP 位址 Global IP位址 (2:: /3 或 3:: /3) Private IP 位址 Site-Local IP 位址 (FEC0::/10) APIPA 位址 (169.254.0.0/16) Link-Local IP 位址 (FE8:: /10) 6
  • 8. IPv4與IPv6封包的差異 minimum 20 octets maximum 65535 octets IPv4 PDU Fixed 40 octets maximum 65535 octets IPv6 PDU 0 or more IPv4 Header Data Field Transport-level PDU IPv6 Header Extension Header Extension Header 7
  • 9. IPv4與IPv6封包標頭比較 Destination Address Source Address Ver IHL Service Type Identification Flags Offset TTL Protocol Header Checksum Source Address Destination Address Options + Padding Ver Flow Label Payload Length Next Header Hop Limit Traffic Class IPv4 Packet Header IPv6 Packet Header 32 bits 8
  • 10. Header比較—IPv4 Header 20 Octets + Option (13 fields) 9
  • 11. 10 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 18. 17 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 19. 18 國際 IPv6 發展狀況 (1/3) 2010/09美國國家標準和科技機構(NIST)公佈美國政府最 新IPv6時程表 e-Government、Email 2012/9/30日前導入IPv6 政府部門內部基礎網路 2014/9/30日前導入IPv6 各政府部門指派IPv6 移轉負責主管 2010/10/30日前提報 Source:http://www.cio.gov/documents/IPv6MemoFINAL.pdf 18
  • 20. 19 國際 IPv6 發展狀況 (2/3) 2010/04中國大陸北京下一代互聯網高峰會議提出 中國工程院宣示IPv6為戰略性工作,物聯網、3G、三網 融合為中國大陸既定重點推動項目。 中國電信公佈IPv6部署日程表,即日起至2011年為試用性 商業運轉,2012-2015年為大規模商業運轉 2010/10日本IPv4 Exhaustion TF 公佈Action plan 日本總務省與產學研各界共同於2008成立IPv4 Exhaustion Task Force,推動IPv6的發展。 NTT 將於 2011/04 開始 IPv6 NGN 雙協定服務。 ISP/ICP最遲2012 第二季全面完成IPv6建置。
  • 21. 20 國際 IPv6 發展狀況 (3/3) 韓國 2008年韓國政府開始申裝IPv6,打開IPv6網路與應用 “雞與蛋 誰先”僵局,並規定政府必須採購支援IPv6設備。 韓國政府宣示與業界合力成立IPv6 transition committee,並規 劃將IPv6的需求納入政府預算。 歐洲 - 歐盟社會資訊總司 2011年歐盟國家將大規模部署IPv6,並達成25%企業使用IPv6 的目標。
  • 23. 22 RIPE 統計之全球骨幹網路IPv6 比例 13.62%  17.73% http://v6asns.ripe.net/v/6
  • 24. 23 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 25. 24 IPv4/IPv6互通的三種技術 IPv4/IPv6雙協定︰Dual Stack – RFC 4213 在同一條線路及設備上,同時提供IPv6及IPv4通訊協定 為主流移轉技術,可一勞永逸解決問題,但建設成本較高 IPv6通道機制 ︰Tunneling – 6to4、Tunnel Broker、 ISATAP、Teredo、6RD等技術 在現有的兩個IPv4的端點間,建IPv6的隧道,使兩端後的 使用Dual Stack作業系統的使用者能以IPv6互通 為快速提供IPv6服務的過渡技術,但效能較差 IPv4/IPv6通訊協定轉換︰Translation – SIIT、NAT-PT、 BIS、ALG、IVI等技術 透過通訊協定轉換(黑盒子),可讓僅支援IPv4的使用者與 僅支援IPv6的主機互相連線 技術複雜,容易成為網路瓶頸,技術尚未真正成熟
  • 27. 26 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 28. 雙重IP階層 Application Layer Host-to-Host Layer IPv6 Network Interface Layer Application Layer Host-to-Host Layer IPv6 Network Interface Layer IPv4 Application Layer Host-to-Host Layer IPv4 Network Interface Layer IPv6-only IPv6/IPv4 IPv4-only 27
  • 30. IPv6 over IPv4 Tunneling IPv6 Extension headers Upper layer PDU IPv6 Extension headers Upper layer PDU IPv4 IPv6 packet IPv4 packet IP Protocol field set to 41 (IPv6 header) 29
  • 33. 32 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 34. 33 IPv6 的安全威脅及防範方法 1. 網路偵蒐攻擊及防範方法 2. 非法存取攻擊及防範方法 3. 竊聽攻擊及防範方法 4. 封包碎片攻擊及防範方法 5. 病毒及蠕蟲攻擊及防範方法 6. IP位址偽冒攻擊及防範方法 7. DHCP攻擊及防範方法
  • 36. 35 網路偵蒐攻擊(1/2) 網路偵蒐為駭客進行任何一項攻擊行動的第一步, 此過程主要為決定要對那一個(些)目標進行後續 的攻擊行動,而這些目標可能位於組織內網或網際 網路上。 一般網路偵蒐的作法為藉由ARIN的WHOIS資料庫 取得目標公司所分配的IP網段及其網域名稱伺服器 資訊,接著使用dig工具進一步獲得該公司的網頁伺 服器及郵件伺服器等資訊,最後再以traceroute工具 來獲得該公司邊界路由器的IP位址,至此該目標網 路大致的輪廓即可描繪出來。在蒐集完目標網路的 情報後,接著會進行掃瞄,其主要目的為取得目標 網路主機(含網路裝置)的開啟狀況及其使用的作 業系統類型,典型的工具為nmap。
  • 38. 37 網路偵蒐攻擊在 IPv6 上的問題 相對於IPv4的掃瞄,對IPv6網路掃瞄就較不實際, 原因在於以IPv4 Class C為例,其位址數量僅有256 個,大約僅花5-30秒即可完成掃瞄,但對IPv6的預 設子網/64(共有2^64=18.446.744.073.709.551.616 部可能的主機)的區塊位址來進行掃瞄的話,可 能要花上數年以上才能完成,故目前的掃瞄器如 nmap僅支援對單一主機的掃瞄。
  • 39. 38 IPv6偵蒐攻擊可行及有效的方式 對IPv6-enable的DNS伺服器下手,由該伺服器來得 知重要的主機位址。 對群播位址來作ping sweep,如對link-local all-node- multicast位址FF02::1做ping的動作,來獲取所有內 網主機的回應訊息或對all-router-multicast位址 FF05::2做ping的動作,來獲取所有路由器的回應訊 息或對all-DHCP-multicast位址FF05::3做ping的動作, 以獲取所有DHCP伺服器的回應訊息。
  • 40. 39 對IPv6偵蒐攻擊之防禦對策 1)不要使用容易猜測的位址。 2)使用私有擴展位址(Privacy extensions):私有擴 展位址會定期更新自己的Global Unicast IP位址, 來達到防禦外部對內進行偵蒐攻擊的目的。 3)在機構的邊界路由器或防火牆上啟用ICMPv6的過 濾機制,禁止不需要的ICMP echo封包進出機構內 部。 4)在防火牆上將不需要的服務(埠號)過濾掉。 5)強化主機系統及應用程式本身之安全,如定期做 作業系統之patch、安裝主機型的入侵偵測系統、 主機型防火牆及防毒軟體等。
  • 42. 41 非法存取攻擊 非法存取泛指任何一個不為信任的來源端有意或無 意地對一經保護的網路(含主機及網路設備等)進 行存取的動作。 IPv6在某些對非法存取之防禦觀念上與IPv4非常相 似,如使用路由器上的存取控制清單(ACL)及防火 牆來對第三層的IPv6來源及目的位址、IPv6的基本 封包欄位及某些封包擴充欄位做檢查。 IPv6支援暫時性位址的觀念,稱私有位址(Private Address),該私有位址為隨機配置並定期更新,故 可有效降低駭客達成非法存取攻擊的成功機率。
  • 43. IPv6 存取控制清單 (ACL) ipv6 access-list ipv6_163_out permit tcp any any established permit udp any host 2001:288:9000::1 eq 53 permit udp any eq 53 host 2001:288:9000::1 permit icmp any any 42
  • 45. 44 各類 IPv6位置存取範圍討論 IPv6有類似IPv4使用的RFC1918私用位址,稱Site- Local Address,因其不得將路由發佈到公用網路上, 故對於由外對內之非法存取攻擊上可完全得到保 障。另一個IPv6特有的位址為Link-local Address, 有別於Site-local Address之有效範圍及於整個機構, Link-local Address僅在某一網段下有效,故其位址 之有效範圍更窄。第三個為Unique Global Address, 其為Public Address,位址有效範圍及於全球。
  • 46. 45 利用 IPSec 來增加存取安全性 IPSec提供雙方對等的認證機制(使用AH; Authentication Header),對於非法存取提供更安 全的保障。不同於IPv4,IPv6強制將IPSec納入協 定本身來設計,使得IPv6更能抵擋非法存取的攻 擊。除了AH外,IPSec也可經由使用ESP(Encapsulating Security Payload)加密機制來滿足 資料的私密性需求。
  • 47. 46 IPv6 防火牆對ICMPv6的過濾政策 ICMP協定在故障檢測上提供許多有用的機制,像 測試主機是否為開機運作中(Alive),或追蹤某 一目的地所經過的節點資訊等,而ICMPv6在IPv6 中如同IPSec一樣為IPv6協定的一部分,故相較於 IPv4的ICMP更顯重要。下表為建議的IPv6防火牆 對ICMPv6的過濾政策。
  • 48. 47 對IPv6非法取存攻擊之防禦對策 1)使用公認的網路前綴於防火牆的過濾政策中,並 僅允許正面表列的流量通過,其餘禁止。 2)使用位址Scoping來限制位址的有效範圍:Link- local及Site-local位址僅用於機構內部,Unique- global位址才可供外部存取。 3)使用IPSec AH來作為兩端連線的相互認證。 4)禁止使用Source-Routing機制。 5)設定邊緣防火牆僅允許需要的ICMPv6訊息項目 通過防火牆,並限定接受ICMPv6流量的速率, 以防止其誤用。 6)使用Privacy Addressing會在固定時間間隔更新IP 位址,故亦可防止非法存取的攻擊。
  • 50. 49 竊聽攻擊 竊聽也稱Sniffing,使用tcpdump或ethereal工具來 對網路中傳送的封包進行解析,例如對Telnet連 線的登入資訊進行窺視,以得到使用者名稱及密 碼資訊。 在IPv4中最常用來反制竊聽的方式為使用網路交 換器,另外就是使用IPSec中的加密機制來防止竊 聽,封包加密除了保障傳輸時免於被竊聽外,也 可避免被傳輸路徑中的節點窺視或竄改封包內容。 但其缺點為路由器不再能經由檢視第四層的 header來管理QoS,防火牆也不能看到TCP的 Header及Payload,而僅能對ESP連線來進行允許 或拒絕的動作。
  • 51. 50 對IPv6竊聽攻擊之防禦對策 1)使用 IPv6 IPSec 來提供資料來源的認證、payload 的加密及封包完整性的確保。 2)當使用 IPSec ESP 時,記得在主機內安裝主機型 的防火牆及入侵偵測系統,以有效防止有意或無 意的惡意攻擊。
  • 53. 52 封包碎片攻擊(1/2) 碎片攻擊在IPv4為一個很普遍的攻擊方式,主要 目的為規避防火牆及入侵偵測系統的偵測,攻擊 技巧為將易被察覺的惡意資料簽章(data signature)分散到數個封包,造成防火牆及入侵 偵測系統難以有效偵測出其原封包的意圖。 在IPv6僅有來源端可分割封包,其被分割的封包 大小可依來源端到目的端路徑所測得的最大MTU(Maximum Transmit Unit)來指定,一般正常的 IPv6封包為1280 bytes,也就是IPv6最小的封包大 小,而最後一個傳送的封包大小通常會小於1280 bytes。
  • 54. 53 封包碎片攻擊(2/2) 要處理重疊的碎片為相當困難的一件事,原因在 於不同的目地端系統使用不同的方式來重組封包。 對IPv6而言,根據RFC 2460的規定,重疊碎片是 不被允許的,而且就算有重疊碎片被傳送到網路 上,網路裝置或終端主機也應該要拒絕處理,因 此可防止此類的攻擊發生。但不同的系統對IPv6 實作方式迴異,因此對處理碎片及重疊碎片的作 法可能也有差異,故這類的攻擊在某些情況下可 能仍然有效。 碎片攻擊在某種情況下常會造成阻斷服務的攻擊 效果,尤其當網路裝置忙於處理碎片的檢查及重 組時會降低網路裝置整體的處理效能。
  • 55. 54 對IPv6碎片攻擊之防禦對策 1)部署網路型及主機型的安全裝置。 2)隨時監測網路中碎片的數量。 3)拒絕重疊的封包流量。
  • 57. 56 病毒及蠕蟲攻擊(1/2) 病毒,特別是蠕蟲,對企業及整個網際網路造成 許多安全威脅,這些威脅大多來自其惡意的 Payload。一般的傳播方式為使用位址空間掃瞄, 來對掃瞄到的線上主機進行傳染,而一旦某主機 被感染後,又會運用同樣的方式來向外傳播,建 立大量的連線,因此造成非常大的網路流量,進 而使整個網路癱瘓。 病毒主要為感染檔案,其會將自己植入到既有的 程式內,主要的傳播方式為透過分享的媒介或程 式的交換等途徑。而蠕蟲具有自體複製的能力, 主要的傳播方式為透過網路,如E-Mail或直接的 網路連線等,其快速散播的特性使得它對網路的 破壞程度叫人咋舌。
  • 58. 57 病毒及蠕蟲攻擊(2/2) 在公元2003年八月的疾風蠕蟲於數小時內快速地 經由網路感染了20萬部主機,損失不計其數。但 因為 IPv6 的位址空間太大,以掃瞄來散播蠕蟲 的方式將很容易遭到遏止。 另外,針對適應IPv6環境而設計的蠕蟲將會有不 同於IPv4的特性,如降低其掃瞄範圍,或以從某 網站獲得的存取日誌中的IP位址為基礎,做為第 一波傳染的對象。
  • 59. 58 對IPv6病毒及蠕蟲攻擊之防禦對策 1)對IPv4的反制策略仍適用於IPv6,如即時Patch系統。 2)使用主機型及網路型的入侵偵測系統來監督網路掃 瞄活動,並運用主機型入侵防護系統來保護主機。 3)在重要的網路出入點部署封包過濾器,如防毒牆等, 以遏阻其漫延。 4)避免將每個用戶的IP位址指定成連續的IP位址,應 該儘量分散其IP的指定,及使用隨機產生的位址前 綴,如此可有效降低掃瞄器掃瞄的效率。 5)使用代理伺服器,如HTTP Proxy,以避免Web客 戶端的IP被Cache,或使用暫時的Privacy Address, 以避免因位址被鎖定而成為被攻擊的目標。
  • 61. 60 IP位址偽冒攻擊(1/2) IP位址偽冒一般用於偽冒來源端的位址,使得受 害者無法追蹤到惡意封包的實際發送者,或來源 位址根本不存在。這種攻擊方式也常用來做為阻 斷服務攻擊、發送垃圾郵件攻擊及蠕蟲的傳播等。 此種攻擊的效果通常會有兩個受害者,一為被攻 擊的目標,另一為被偽冒IP的主機(當有回應封 包到達時),這類型的攻擊方式如有大量回應封 包時即產生放大效果,而造成阻斷服務。 IPv6對位址前綴的指定及分配相當規律,使得下 游的ISP的IP位址會總是落在上游服務商的匯總位 址空間內,對ISP而言,因易於實現入口過濾機 制,故可有效遏阻此類攻擊。
  • 62. 61 對IPv6位址偽冒攻擊之防禦對策(1/2) 1)在各個網路出入點實做入口過濾機制。 2)有些位址偽冒攻擊使用非法或未經配置的IP位址空 間,故可在邊緣路由器實作存取控制列表機制,僅 允許合法位址的流量通過路由器。 3)部署入侵偵測系統來監督Link-local的流量,特別 是一些well-known的群播位址及監督一些可疑流量 型態的門檻值(threshold)。 4)除遵循IPv6基本規範中之ICMPv6錯誤訊息的傳送 速率限制外,也應考量對ICMPv6中之一般及其他 訊息的傳送速率限制在一個合理的門檻值。
  • 63. 62 對IPv6位址偽冒攻擊之防禦對策(2/2) 5)丟棄以群播為來源位址的封包。 6)若在路由器上具uRPF(unicast Reverse Path Forwarding)功能,請啟用此項功能,此項功能可核 對封包於接收時所流經的路由器介面與回傳時所流 經的介面是否一致,若有出入即表示來源位址曾被 修改過,此封包應予丟棄。
  • 65. 64 DHCP攻擊(1/4) DHCP攻擊為IPv4與IPv6共通的威脅,主要為將 DHCP客戶端或伺服機端的資源耗盡,以達成阻 斷服務的目的。例如一部非法的客戶主機重覆對 伺服主機進行IP配置的請求,以致於因所有可用 IP位址皆已分配出去,故真正合法的客戶主機反 而得不到服務,造成伺服機端無法提供應有的服 務,而合法的客戶端也因得不到IP的配置而無法 正常運作。
  • 66. 65 DHCP攻擊(2/4) 不同於IPv4的DHCP使用廣播的方式進行協定的 操作,DHCPv6使用群播(IPv6不支援廣播), 故一種新的DHCPv6攻擊方式為使用群播泛洪攻 擊(Multicast-flooding attack),針對一個well- known的site-local群播位址做攻擊,因所有 DHCPv6伺服器皆會聆聽此位址,故只要攻擊者 將惡意封包送往此位址,就可一併攻擊多個 DHCPv6伺服器。 另一種攻擊方式為在合法的客戶主機內暗藏 DHCPv6服務,發送假的”reconfigure”訊息到網 路上,導致所有合法的客戶主機皆會再度去向伺 機主機詢問新的組態配置資料,這樣的結果會同 時影響到合法的客戶端及伺服端主機。
  • 67. 66 DHCP攻擊(3/4) 不同於IPv4的DHCP使用廣播的方式進行協定的 操作,DHCPv6使用群播(IPv6不支援廣播), 故一種新的DHCPv6攻擊方式為使用群播泛洪攻 擊(Multicast-flooding attack),針對一個well- known的site-local群播位址做攻擊,因所有 DHCPv6伺服器皆會聆聽此位址,故只要攻擊者 將惡意封包送往此位址,就可一併攻擊多個 DHCPv6伺服器。 另一種攻擊方式為在合法的客戶主機內暗藏 DHCPv6服務,發送假的”reconfigure”訊息到網 路上,導致所有合法的客戶主機皆會再度去向伺 機主機詢問新的組態配置資料,這樣的結果會同 時影響到合法的客戶端及伺服端主機。
  • 68. 67 DHCP攻擊(4/4) 其他像使用非法的DHCPv6伺服主機提供錯誤的IP 組態設定資料給合法的客戶端主機,導致客戶端 無法得到正確的資料而無法運作,或客戶端依所 得之錯誤資訊連線到惡意的應用伺服器等,也是 一般常見的攻擊方式。 最後一種攻擊型式為中間人(Man-in-the-middle)攻 擊,如一部非法的DHCPv6伺服器攔截到客戶主機 對伺服器的請求,並將之中繼到合法伺服器,但 卻在伺服器回應的封包上動手腳等。 解決此類攻擊的最佳解決方案為使用DHCP身份鑑 別選項(DHCP Authentication Option),這選項會在 客戶端及伺服端間進行交換,以驗證雙方的身份, 若驗證失敗則會忽略對方的請求或回應封包,但 目前支援這選項的DHCPv6伺服器並不多見。
  • 69. 68 對DHCPv6攻擊之防禦對策 1)使用DHCPv6身份鑑別選項可有效反制中間人攻擊 及阻斷服務攻擊。 2)實作DHCP Snooping:某些網路交換器實作DHCP Snooping機制,可在特定埠口上設定允許那些 DHCP的訊息通過,或設定僅允許某特定埠口可銜 接DHCP伺服器,借此來降低私接非法主機所造成 的問題。 3)使用IPSec來確保DHCPv6中繼器及伺服器間的安全 連線,以IPSec的AH來認證來源及封包的完整性, 以ESP來進行封包的加密。 4)部署入偵測系統來監督不尋常的DHCPv6訊息。
  • 70. 69 大綱: 1. IPv6介紹 (1) IPv4回顧與IPv6介紹 (2) IPv6機制介紹 (3) 台灣與國際IPv6發展現況介紹 (4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯) 2. IPv4 到IPv6 轉移技術深入探討 3. IPv6 的安全威脅及防範方法 4.基礎網路與服務系統升級介紹
  • 71. IPv6 帶給企業及營運商的影響(1/2) 推動IPv6 的建設對網路服務的發展與連續性至關重要, 也是國家資訊網路實力是否繼續領先國際的重要關鍵。基 於IPv6 網路未能立即創造商機,民營業界發展速度較慢, 因此目前由政府帶頭示範宣示推動IPv6 的決心,以加速 整體的發展。藉由政府網路及電子化政府網站服務啟動 IPv6 網路升級,將引導我國網路線路服務商、網路設備 廠商、網路內容開發商及系統整合服務商投入相關產品及 服務的研發與生產。 70
  • 72. IPv6 帶給企業及營運商的影響(2/2) 藉由政府網路優先啟動IPv6網路升級,引導系統整合業者 提供IPv6 網路技術服務、民間資訊訓練機構儲備IPv6專業 師資並規劃相關課程、資通設備業者加速研發支援IPv6 相關設備。而網際網路服務提供者(ISP)及網際網路內容 提供者(ICP)也將感受到政府推動IPv6決心,以及網路升 級至IPv6 的必然性及急迫性,而加速進行IPv6移轉的工作, 因應政府優先升級養成的IPv6 技術服務能量也將可以順 勢提供業界的需求。 71
  • 73. 全球企業及營運商IPv6發展現況 依據Google量測全球用戶以IPv6瀏覽其網站比例,截至 2014/05使用IPv6用戶百分比約3.0%,自ISOC於2012/6/6 舉辦World IPv6 Launch活動以來,約每九個月成長一倍。 依據APNIC使用網頁廣告量測全球IPv6用戶數統計資料顯 示,IPv6部署以歐洲最積極,依序為美洲、亞洲、大洋洲 及非洲;亞洲IPv6部署,則以日本、新加坡最積極,中國 大陸也在政府主導下也趨積極。 2013年瑞士Swisscom、德國電信、法國Free、羅馬尼亞 RCS&RDS、美國Verizon Wireless、AT&T、Comcast、 Time Warner、日本KDDI、Softbank及新加坡Starhub、 M1等網際網路提供者均有顯著IPv6用戶數成長。 72
  • 74. 國際組織IPv6位置規劃建議 依照APNIC 『IPv6 Best Current Practices』之分配建議 <文件部分> 紀錄哪些位址使用於基礎設施,哪些位址屬於用戶網段 利用文件、試算表或資料庫方式紀錄 <Infrastructure部分> 可挑選第一段/48用作基礎設施,位址較短便於設定 ex:2001:df8:0000::/48 ->2001:df8::/48 所有路由器的loopback應設為/128,並從基礎設施/48中,指定一段 /64作為loopback使用 可挑選第二段/48作為點對點連線使用,若不足則增加/48數量 針對每一個點對點連線保留一個/64,實際設定時盡量使用/127,可 避免Neighbor Cache DoS攻擊 伺服主機使用的LAN則以/64為單位 73
  • 76. 75 IPv6 主機設備採購規範建議(1/2) 1)必要項目:必須通過IPv6 Ready Logo Phase-2 Core for Host 的測試規範。 2)安全選項:IPv6 Ready Logo Phase-2 IPSec for End- Node 的測試規範。 3)網管選項:IPv6 Ready Logo Phase-2 SNMP for Agent 的測試規範。建議以SNMPv2C 和RFC 4293 IP MIB 為參考標準,惟考量網路演進趨勢,將有 一段長時間之IPv4/IPv6 並存時期,故可暫以提供 IPv4 SNMP 功能為近期之要求,待市場設備普遍 成熟時再納入必要選項。
  • 77. 76 IPv6 主機設備採購規範建議(2/2) 4)移動性選項:IPv6 Ready Logo Phase-2 Mobility for Mobile Node 或Correspondent Node 的測試規範。 5)DNS 選項:建議需支援 RFC 3596 DNS Extensions to Support IP Version 6。 6)DHCPv6 選項:IPv6 Ready Logo Phase-2 DHCPv6 for Client,建議需支援Client 模式,相關標準為 RFC 3315 Dynamic Host Config Protocol (DHCPv6)。 7)應用程式選項:目前已有 IPv6 Ready Logo Phase-2 SIPv6 for User Agent,但可考慮 Email、Web 等服 務或是註明相關應用程式必須同時支援IPv4/IPv6 通訊協定。(目前大部分作業系統皆已經支援IPv6)。
  • 78. 77 IPv6路由器設備採購規範建議(1/2) 1)必要項目:必須通過IPv6 Ready Logo Phase-2 Core for Router 測試規範。 2)安全選項:IPv6 Ready Logo Phase-2 IPSec for Secure Gateway 測試規範。 3)網管選項:IPv6 Ready Logo Phase-2 SNMP for Agent 的測試規範。建議以SNMPv 2c 和RFC 4293 IP MIB 為參考標準,惟考量網路演進趨勢,將有 一段長時間之IPv4/IPv6 並存時期,故可暫以提供 IPv4 SNMP 功能為近期之要求,待市場設備普遍 成熟時再納入必要選項。
  • 79. 78 IPv6路由器設備採購規範建議(1/2) 4)移動性選項: IPv6 Ready Logo Phase-2 Mobility for Home Agent 的測試規範。 5)DNS 選項:建議需支援RFC 3596 DNS Extensions to Support IP Version 6)DHCPv6 選項:IPv6 Ready Logo Phase-2 DHCPv6 for Server,建議需支援Server 或Relay Agent 模式, 相關標準為RFC 3315 Dynamic Host Config Protocol (DHCPv6)。 7)路由選項:須根據路由器之容量及使用地點,決定 適當通訊協定,通常SOHO Router 只要支援RIPNG (RFC 2080),而大容量Router 建議需支援OSPFv3 (RFC 5340)和BGP-4 + (RFC 2545、RFC 4271)。
  • 80. END