_______________________________________________________________________________An Ninh Mạng

Lab 5: Cấu hình IPv6 ACLs

A. Lý Thuyết

 Ipv6 là gì ?

Địa chỉ IPv6 (Internet protocol version 6) là thế hệ địa chỉ Internet phiên bản mới được thiết kế để
thay thế cho phiên bản địa chỉ IPv4 trong hoạt động Internet. Địa chỉ IPv4 có chiều dài 32 bít, biểu
diễn dưới dạng các cụm số thập phân phân cách bởi dấu chấm, ví dụ 203.119.9.0. IPv4 là phiên bản
địa chỉ Internet đầu tiên, đồng hành với việc phát triển như vũ bão của hoạt động Internet trong hơn
hai thập kỷ vừa qua. Với 32 bit chiều dài, không gian IPv4 gồm khoảng 4 tỉ địa chỉ cho hoạt động
mạng toàn cầu.

Do sự phát triển như vũ bão của mạng và dịch vụ Internet, nguồn IPv4 dần cạn kiệt, đồng thời bộc lộ
các hạn chế đối với việc phát triển các loại hình dịch vụ hiện đại trên Internet. Phiên bản địa chỉ
Internet mới IPv6 được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:

Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet.

Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4.

____________________________________________________________ 1 | Chuyên Nghành An Ninh Mạng Máy Tính & IoT

_______________________________________________________________________________An Ninh Mạng
Địa chỉ IPv6 có chiều dài 128 bít, biểu diễn dưới dạng các cụm số hexa phân cách bởi dấu ::, ví dụ
2001:0DC8::1005:2F43:0BCD:FFFF. Với 128 bít chiều dài, không gian địa chỉ IPv6 gồm 2128 địa
chỉ, cung cấp một lượng địa chỉ khổng lồ cho hoạt động Internet.

IPv6 được thiết kế với những tham vọng và mục tiêu như sau:

o Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ.

o Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công
nghệ NAT

o Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu hình thủ
công TCP/IP cho host. IPv6 được thiết kế với khả năng tự động cấu hình mà không cần
sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công.

o Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp.

o Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khả năng
hỗ trợ và tính phổ dụng chưa cao.

o Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ
nhau kết nối với nhau. Do vậy bảo mật chưa phải là một vấn đề được quan tâm. Song
hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu.

o Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết
bị IP di động. Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu
trúc giao thức Internet có sự hỗ trợ tốt hơn.

 Default Gateway là gì ?

Default Gateway (viết tắt DG) trước tiên là một địa chỉ IP, và còn được gọi là cổng mặc định
của mạng máy tính. Địa chỉ này sẽ được cấu hình cho máy tính và máy tính mặc định sẽ gửi
gói tin đến địa chỉ này để tiếp tục đi đến nơi khác.

DG phải cùng lớp mạng với địa chỉ IP của thiết bị được cấu hình DG.

____________________________________________________________ 2 | Chuyên Nghành An Ninh Mạng Máy Tính & IoT

_______________________________________________________________________________An Ninh Mạng

Bất kì khi nào Host 1 và Host 2 cần gửi thông tin đi, thì các thông tin đó sẽ được gửi đến địa
chỉ Default gateway đã được cấu hình trên Host và Default gateway sẽ chuyển tiếp các
thông tin này đến các thiết bị kế tiếp.

Default Gateway IP Address

Những quản trị viên mạng (network administrators) quản lý default gateway IP address và
họ thường sử dụng địa chỉ IP khả dụng đầu tiên hoặc cuối cùng trong mạng. Hãy cùng xét
ví dụ: mạng 10.0.0./24, phạm vi mạng này từ địa chỉ IP 10.0.0.1 đến 10.0.0.254. Use case
phổ biến là sử dụng 10.0.0.1 làm default gateway IP address.

____________________________________________________________ 3 | Chuyên Nghành An Ninh Mạng Máy Tính & IoT

_______________________________________________________________________________An Ninh Mạng
B. Thực Hành

Cấu trúc mạng

Bảng thông số cấu hình thiết bị.

Device Interface IPv6 Address/Prefix Default Gateway

Server3 NIC 2001:DB8:1:30::30/64 FE80::30

Yêu cầu Lab.

 Phần 1: Cấu hình, áp dụng và kiểm tra một IPv6 ACL.

 Phần 2: Cấu hình, áp dụng và kiểm tra IPv6 ACL thứ hai.

Thực hiện yêu cầu Lab.

Phần 1: Cấu hình, áp dụng và kiểm tra IPv6 ACL.

Nhật ký chỉ ra rằng một máy tính trên mạng 2001: DB8: 1: 11 :: 0/64 liên tục yêu cầu một trang
web. Điều này đang tạo ra một cuộc tấn công từ chối dịch vụ (DoS) đối với Server3. Cho đến khi
máy khách có thể được xác định và làm sạch, bạn phải chặn truy cập HTTP và HTTPS vào mạng
đó bằng danh sách truy cập.

Bước 1: Cấu hình ACL sẽ chặn truy cập HTTP và HTTPS.

Cấu hình ACL có tên BLOCK_HTTP trên R1 với các câu lệnh sau.

____________________________________________________________ 4 | Chuyên Nghành An Ninh Mạng Máy Tính & IoT

_______________________________________________________________________________An Ninh Mạng
a. Chặn lưu lượng HTTP và HTTPS tiếp cận Server3.
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq www
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq 443

b. Cho phép tất cả lưu lượng IPv6 khác đi qua.

R1(config)# permit ipv6 any any

Bước 2: Áp dụng ACL cho cổng g0/1.

Áp dụng ACL trên cổng gần nhất với nguồn lưu lượng sẽ bị chặn

R1(config)# interface GigabitEthernet0/1

R1(config-if)# ipv6 traffic-filter BLOCK_HTTP in

Bước 3: Kiểm tra các hoạt động của ACL.

Kiểm tra rằng ACL đang hoạt động như các cấu hình theo yêu cầu của Lab:

o Mở trình duyệt web của PC1 sang http: // 2001: DB8: 1: 30 :: 30 hoặc https: // 2001:
DB8: 1: 30 :: 30. Trang web sẽ xuất hiện.

o Mở trình duyệt web của PC2 sang http: // 2001: DB8: 1: 30 :: 30 hoặc https: // 2001:
DB8: 1: 30 :: 30. Trang web nên bị chặn.

o Ping từ PC2 đến 2001: DB8: 1: 30 :: 30. Ping nên thành công.

Phần 2: Cấu hình, áp dụng và kiểm tra ACL IPv6 thứ hai.

Các nhật ký hiện chỉ ra rằng máy chủ của bạn đang bị tấn công từ nhiều địa chỉ IPv6 khác nhau
trong một cuộc tấn công từ chối dịch vụ phân tán (DDoS). Bạn phải lọc các yêu cầu ping ICMP
đến máy chủ của bạn.

Bước 1: Tạo danh sách truy cập để chặn ICMP.

Cấu hình ACL có tên BLOCK_ICMP trên R3 với các tuyên bố sau:

a. Chặn tất cả lưu lượng ICMP từ máy nào đến máy chủ.

R3(config)# deny icmp any any

____________________________________________________________ 5 | Chuyên Nghành An Ninh Mạng Máy Tính & IoT

_______________________________________________________________________________An Ninh Mạng
b. Cho phép tất cả lưu lượng IPv6 khác vượt qua.

R3(config)# permit ipv6 any any

Bước 2: Áp dụng ACL cho cổng g0/0 của R3.

Trong trường hợp này, lưu lượng ICMP có thể đến từ bất kỳ nguồn nào. Để đảm bảo lưu
lượng ICMP bị chặn, bất kể nguồn của nó hay bất kỳ thay đổi nào xảy ra đối với cấu trúc
liên kết mạng, hãy áp dụng ACL đích gần nhất nó muốn tới.

R3(config)# interface GigabitEthernet0/0

R3(config-if)# ipv6 traffic-filter BLOCK_ICMP out

Bước 3: Kiểm tra ACL rằng các chức năng danh sách truy cập hoạt động thế nào?

a. Ping từ PC2 đến 2001: DB8: 1: 30 :: 30. Ping sẽ thất bại.

b. Ping từ PC1 đến 2001: DB8: 1: 30 :: 30. Ping sẽ thất bại.

Mở trình duyệt web của PC1 tới http: // 2001: DB8: 1: 30 :: 30 hoặc https: // 2001: DB8:
1: 30 :: 30. Trang web sẽ hiển thị.

____________________________________________________________ 6 | Chuyên Nghành An Ninh Mạng Máy Tính & IoT