Palomuurien IPv6-migraatio
Leinonen, Riku (2011)
Kymenlaakson ammattikorkeakoulu
2011
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201105035901
https://urn.fi/URN:NBN:fi:amk-201105035901
Tiivistelmä
Tämän työn tarkoituksena on ollut tutkia Cisco ASA -palomuurien IPv6-ominaisuuksia ja sitä, mitä pitää ottaa huomioon IPv6-osoitteisiin siirtyessä, erityisesti Cisco ASA 5510 -palomuureissa. Työssä selvitettiin, miten saatiin käytössä olevaan IPv4-palomuuriin lisättyä IPv6-liikenne ja mitä eri IPv6-tunneleita voitiin toteuttaa eri Cisco ASA –käyttöjärjestelmäversioilla. Työssä selvitettiin myös miten natiivi IPv6-palomuuri liitettiin verkkoon. Työ on tehty Optimiratkaisut Oy:n toimeksiantona ja toteutettu Kymenlaakson ammattikorkeakoulun SimuNet-ympäristössä sekä puhtaassa laboratorioympäristössä.
Työ aloitettiin selvittämällä IPv4- ja IPv6-protokollien tietoturvaeroja ja kertaamalla IPv6-osoitteiden rakennetta. Teoriaosuudessa esiteltiin myös Cisco ASA -palomuurien eri IPv6-perustoimintoja, kuten pääsylistoja, reititystä sekä liityntäporttien eri IPv6-osoitetyyppejä. Teoriaosuuden lopussa selvennettiin IPv6-tunneleiksi soveltuvien VPN-tunnelityyppien toimintaa.
Käytännön kokeissa lisättiin SimuNetin toiminnassa oleviin palomuureihin Dual-Stack-ominaisuus eli lisättiin IPv6-liikenne IPv4-liikenteen rinnalle. IPv6-yhteyksiä ja palomuurien IPv6-pääsylistoja testattiin eri palvelimien avulla SimuNetissä. Tunneleiden käytännön kokeet tehtiin erillisillä palomuureilla, koska SimuNetin palomuurit eivät tukeneet VPN-tunneleita käytetyssä toimintatilassa. IPv6 SSL VPN -tunneli saatiin muodostettua liikennöimällä IPv6-osoitteilla IPv4-verkon läpi suojattuun IPv6-testiverkkoon. IPv6 LAN-to-LAN VPN –tunneli saatiin muodostettua täysin natiivina IPv6-tunnelina viimeisimmällä käyttöjärjestelmäversiolla. Viimeiseksi SimuNetin reunalle lisättiin natiivi IPv6 Cisco ASA -palomuuri, jonka kautta yhdistettiin Kymenlaakson ammattikorkeakoulun ICLAB-ympäristön "tuotantoverkko" julkiseen IPv6-Internettiin. Tämän palomuurin läpi toimi muun muassa ICTLAB-ympäristön IPv6-kotisivut.
Cisco ASA 5510 -palomuuri todettiin toimivaksi IPv6-liikenteen kanssa Dual-Stackiä käyttämällä SimuNetissä. Eri IPv6-tunnelit onnistuivat laboratorioympäristössä mutta ympäristöt näissä testeissä olisivat voineet ehkä olla vielä haastavampia. Natiivi IPv6-palomuuri oli SimuNetin ensimmäisiä natiiveja IPv6-laitteita ja oli tärkeä lisä SimuNetille.
Työ aloitettiin selvittämällä IPv4- ja IPv6-protokollien tietoturvaeroja ja kertaamalla IPv6-osoitteiden rakennetta. Teoriaosuudessa esiteltiin myös Cisco ASA -palomuurien eri IPv6-perustoimintoja, kuten pääsylistoja, reititystä sekä liityntäporttien eri IPv6-osoitetyyppejä. Teoriaosuuden lopussa selvennettiin IPv6-tunneleiksi soveltuvien VPN-tunnelityyppien toimintaa.
Käytännön kokeissa lisättiin SimuNetin toiminnassa oleviin palomuureihin Dual-Stack-ominaisuus eli lisättiin IPv6-liikenne IPv4-liikenteen rinnalle. IPv6-yhteyksiä ja palomuurien IPv6-pääsylistoja testattiin eri palvelimien avulla SimuNetissä. Tunneleiden käytännön kokeet tehtiin erillisillä palomuureilla, koska SimuNetin palomuurit eivät tukeneet VPN-tunneleita käytetyssä toimintatilassa. IPv6 SSL VPN -tunneli saatiin muodostettua liikennöimällä IPv6-osoitteilla IPv4-verkon läpi suojattuun IPv6-testiverkkoon. IPv6 LAN-to-LAN VPN –tunneli saatiin muodostettua täysin natiivina IPv6-tunnelina viimeisimmällä käyttöjärjestelmäversiolla. Viimeiseksi SimuNetin reunalle lisättiin natiivi IPv6 Cisco ASA -palomuuri, jonka kautta yhdistettiin Kymenlaakson ammattikorkeakoulun ICLAB-ympäristön "tuotantoverkko" julkiseen IPv6-Internettiin. Tämän palomuurin läpi toimi muun muassa ICTLAB-ympäristön IPv6-kotisivut.
Cisco ASA 5510 -palomuuri todettiin toimivaksi IPv6-liikenteen kanssa Dual-Stackiä käyttämällä SimuNetissä. Eri IPv6-tunnelit onnistuivat laboratorioympäristössä mutta ympäristöt näissä testeissä olisivat voineet ehkä olla vielä haastavampia. Natiivi IPv6-palomuuri oli SimuNetin ensimmäisiä natiiveja IPv6-laitteita ja oli tärkeä lisä SimuNetille.