Tải bản đầy đủ (.docx) (22 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Báo cáo về IPv6 SECURITY

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.55 MB, 22 trang )

CÁC THÀNH VIÊN TRONG NHÓM
1. TRẦN DANH THỊNH 0920120
2. LÊ HỒNG HOÀNG LÂN 0920058
3. PHAN THANH MINH 0920200
4. NGUYỄN MINH HOÀNG 0920177
5. HUỲNH NGỌC PHÚC 0920087
IPv6 securit
IPv6 SECURITY
TABLE OF CONTENTS
I) ĐẶT VẤN ĐỀ
II) SƠ LƯỢC VỀ IPv6
III) IPv6 SECURITY
IPv6 security Page 2
IPv6 securit
I) Đặt vấn đề:
- Hiện nay, hệ thống mạng Internet ngày càng phát triển mạnh mẽ và có rất nhiều
thiết bị mạng cần gia nhập vào hệ thống này nên cần một số lượng lớn địa chỉ IP
để gán cho các cho các thiết bị này. Tuy nhiên không gian địa chỉ IP hiện tại IPv4
thì có giới hạn( 2^32 địa chỉ) nên không đáp ứng những nhu cầu về IP. Do đó tồ
chức IETF ( Internet Engineering Task Force) đã đề xuất kế thừa cấu trúc và tổ
chức của IPv4 để phát triển IPv6 nhằm khắc phục các khuyết điểm này của IPv4.
- Tuy nhiên IPv6 ra đời cũng đặt ra những vấn đề mới về Bảo Mật. Giao thức IP
động được xây dựng trên nền IPv6 sẽ gây ra những vấn đề bảo mật nghiêm trọng
nếu cấu hình không đúng, mặc dù IPv6 tăng cường bảo mật trên nền giao thức
TCP/IP nhưng các hacker vẫn có khả năng xâm nhập vào các thành phần khác.
II) Sơ Lượt Về IPv6:
IPv6 security Page 3
IPv6 securit
1) Cấu tạo header của gói tin IPv6 :
Gói tin IPv6 có hai dạng Header: Header cơ bản và header mở rộng.
 Header cơ bản : có chiều dài cố định 40 Byte, chứa những thông tin cơ


bản trong quá trình xử lý gói tin IPv6.
• Version: chỉ ra phiên bản của IPv6.
• Traffic Class: ( 8 bíts) dùng để phân biệt lưu lượng, từ đó ảnh hưởng
đến khả năng ưu tiên về lưu lượng.
• Flow Lable: (20 bits) cho phép nguồn chỉ ra loại thông tin trong gói tin,
từ đó đưa ra những các cách xử lý đặc biệt từ nguồn tới đích theo thứ tự
gói.
• Payload Length: ( 16 bits ) xác định độ dài gói tin phía sau header.
• Hop limit: ( 8 bits) dung để ngăn chặn datagram lien tục xoay vòng trở
lại.
• Source address & Destination Address: địa chỉ nguồn và địa chỉ đích
có độ dài 128 bits sử dụng hệ hexa và được ngăn cách nhau bởi dấu 2
chấm.
 Header mở rộng: những thông tin liên quan đến dịch vụ kèm theo được
gửi hẳn tới một phân đoạn khác được gọi là Header mở rộng.
• Được nhận dạng bởi trường Next header.
• Được đặt giữa header IPv6 và header của các giao thức các lớp trên,
dùng để mang các thông tin tùy chọn ở lớp mạng ( Network layer).
IPv6 security Page 4
IPv6 securit
• Các header mở rộng được đặt nối tiếp nhau theo thứ tự quy định, mỗi dạng có
cấu trúc trường riêng.
• Mỗi header mở rộng có giá trị riêng đặc trưng cho nó:

• Header cơ bản và header mở rộng IPv6 đều có trường Next Header
chiều dài 8 bít. Next Header sẽ xác định gói tin có tồn tại header mở
rộng hay không. Nếu không có header mở rộng giá trị của trường sẽ xác
định phần header của tầng cao hơn (TCP hay UDP…) phía trên của tầng
IP. Nếu có, giá trị trường Next Header chỉ ra loại header mở rộng đầu
tiên theo sau header cơ bản. Tiếp theo, trường Next Header của header

mở rộng thứ nhất sẽ trỏ tới header mở rộng thứ hai, đứng kế tiếp nó.
Trường Next Header của header mở rộng cuối cùng sẽ có giá trị xác
định header tầng cao hơn.
IPv6 security Page 5
IPv6 securit
• Khi gói đi từ nguồn đến đích, các trạm trung gian không được phép
xử lý các Extension Header đến khi đến trạm đích. Và việc xử lý các
Header này cũng phải diễn ra theo đúng tuần tự mà các Header sắp xếp
trong gói tin IPv6. Không bao giờ được phép xảy ra trường hợp trạm
đích quét qua toàn bộ gói tin và chọn ra một Header nào đó để xử lý
trước. Trường hợp ngoại lệ là trường hợp Hop-by-hop Extension
Header, sự hiện diện của Hop-by-hop Extension Header buộc gói tin
phải bị kiểm tra bởi tất cả các trạm trung gian trên đường từ nguồn đến
đích, bao gồm cả trạm nguồn và đích. Vì vậy, Hop-by-hop Extension
Header luôn phải đứng sau IPv6 Header. Sự hiện diện của Extension
Header này được chỉ thị bởi giá trị 0 trong Next-Header của IPv6
Header. Kích thước của các Extension Header có thể tùy ý, nhưng luôn
là bội số của 8 octet. Nếu trong gói tin có chứa nhiều Extension Header,
chúng được sắp xếp theo thứ tự sau :
o IPv6 Header.
o Hop-by-Hop Options Header.
IPv6 security Page 6
IPv6 securit
o Destination Options Header : Được xử lý bởi trạm đích đầu tiên
trong IPv6 Header và những trạm còn lại được chỉ ra trong
Routing Header.
o Routing Header.
o Fragment Header.
o Authentication Header.
o Encapsulating Security Payload Header.

o Mobility header
o Destination Options Header: Chỉ được xử lý bởi đích đến cuối
cùng trong gói tin
o Upper-layer Header.
2) So sánh vs IPv4:
IPv6 security Page 7
IPv6 securit
IPv6 security Page 8
IPv6 securit
Những điểm khác tiêu biểu của IPv6 so với IPv4 :
- Định dạng header mới
- Không gian địa chỉ lớn hơn
- Việc đánh địa chỉ và sử dụng trông hệ thống định tuyến có cấu trúc và hữu hiệu
hơn.
- Tự động cấu hình địa chỉ
- Ip security bắt buộc ( IP SEC )
- Hỗ trợ QoS tốt hơn
- Có giao thức tương tác với các node lân cận (neighbouring node interaction)
IPv6 security Page 9
IPv6 securit
- Khả năng mở rộng.
 IPv6 bảo mật hơn IPv4  trình bày phần III
III) IPv6 Security:
A. Vấn đề bảo mật của IPv6
- Khi các truy vấn Quad A đang phát broadcast, có nghĩa là một số nút (node) trên
mạng đã được kích hoạt IPv6, vì thế có thể sẽ bị một cuộc tấn công dựa trên IPv6
nhắm tới. Bởi vì bản thân mạng không hỗ trợ IPv6 nên bộ quản lý mạng
không có khả năng giám sát lưu lượng IPv6 với các công cụ kiểm tra kỹ gói tin.
Vd: Khi các công ty có các thiết bị đã kích hoạt IPv6 nhưng mạng không kích
hoạt IPv6, tin tặc biết rằng việc quản lý mạng cho IPv6 là thiếu, Chúng có thể dễ

dàng làm ngập các máy chủ mail của tổ chức với cả đống thư rác có chứa phần mềm
độc hại. Chỉ cần một người dùng với đặc quyền cao mở một thư rác chứa phần mềm
độc hại, phần mềm độc hại này có thể mở một đường hầm cho các gói tin IPv6 xuyên
qua tường lửa.
- Các thông báo giả mạo các gói tin IPv6. Thông báo bộ định tuyến giả mạo là một
mối đe dọa mà IETF đã đưa ra cảnh báo vào tháng Hai, chỉ ra rằng lỗ hổng này có
thể được sử dụng để tấn công từ chối dịch vụ hoặc tấn công man-in-the-middle
(đây là hình thức chặn các gói tin, chuyển đến máy chủ của kẻ tấn công, rồi mới
chuyển tiếp, khiến các nạn nhân vẫn tin tưởng đang truyền thông trực tiếp với
nhau).
Vd: Các thiết bị được kích hoạt sẵn IPv6, khi nối mạng, luôn luôn lắng nghe
các thông báo về bộ định tuyến vì tính năng tự động cấu hình IPv6. Tuy nhiên, các
thiết bị trạm này có thể bị lừa bởi các thông báo giả mạo do lỗi quản trị mạng hoặc
các cuộc tấn công của tin tặc. Các thông báo định tuyến giả mạo cho IPv6 xuất
hiện cả trong các mạng không dây và có dây.
- Internet hiện nay đang gặp nhiều vấn đề bảo mật. đó là việc thiếu phương thức
hiệu quả để xác thực và bảo vệ tính riêng tư dưới tần ứng dụng. trong hoạt động
internet, bảo mật tại tầng IP được thực hiện phổ biến bằng IPsec ( Internet Protocal
Security)
- Mặc dù có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không
thể giải quyết tất cả các tồn tại trong IPv4. Giao thức IPv6 không thể ngăn được
các cuộc tấn công ở lớp trên lớp mạng (network layer). Các cuộc tấn công có thể
là:
+ Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI như tràn bộ
đệm (buffer overflow), virus, mã độc, tấn công ứng dụng web,…
+ Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực.
+ Thiết bị giả (rogue device) : các thiết bị đưa vào mạng nhưng không được phép.
Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định
IPv6 security Page 10
IPv6 securit

tuyến (router), server DNS, DHCP hay một thiết bị truy cập mạng không dây
(Wireless access point),…
+ Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6
+ Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu,
ID,email spamming, phishing,…
B. Đôi Nét IPsec:
+ IPsec xác thực và mã hóa ở lớp mạng.
+ Ipsec thực hiện xác thực nơi gửi và mã hóa đường kết nối.
+ IP Security (IPSec) là tiêu chuẩn của IETF (Internet Engineering Task Force)
nhằm cung cấp bảo mật cho mạng Internet. IPSec đảm bảo tính toàn vẹn, xác thực
và bảo mật. IPSec được tích hợp sẵn trong IPv4 và IPv6, chức năng này chủ yếu
có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPSec là bắt buộc trong
IPv6. Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải
luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng
Internet IPv4 cũ.
C. Cấu trúc của IPsec:
1. Hai thủ tục bảo mật Authentication Header (AH), Encapsulating
Security Payload (ESP)
2. Hai phương thức làm việc : tunnel mode & transport mode.
+ Tunnel mode: thêm 1 header mới và lấy phần gói tin trước làm
Payload, được sử dụng trong VPN.
Tunnel mode
+ Transport mode: áp dụng cho truyền gói tin IP bởi host, được sử dụng
cho kết nối end - to – end giữa các node.
IPv6 security Page 11
IPv6 securit
Transport mode
3. CSDL Security Policy Database (SPD): để quản lý chính sách bảo
mật và quản lý lưu lượng.
4. CSDL Security Association Database ( SAD): chứa những tham số

cần thiết để thiết lập kết nối IPsec và sử dụng IPsec.
5. Các thủ tục trao đổi khóa ( Internet Key Exchange ): Tạo ra khóa để
cho AH và ESP thực hiện các thuật toán và mã hóa.
D. Ipsec có các chức năng sau:
• Bảo mật(mã hóa) –confidentiality: Người gửi có thể mã hóa dữ liệu trước
khi truyền chúng qua mạng.
• Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu
được truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn
vẹn dữ liệu bằng cách sử dụng checksums.
• Xác thực- Authentication: Người nhận có thể xác thực nguồn gốc của gói
tin, bảo đảm, xác thực nguồn gốc của thông tin.
• Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng
lặp.
E. Các giao thức của IPsec:
• IP security Protocol (IPsec):
+ Authentication Header ( AH ): cung cấp tính toàn vẹn phi kết nối và
chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại
các cuộc tấn công replay.
+ Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật,
chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống
replay.
• Message Encryption
+ Data Encryption Standard (DES) DES sử dụng 1 khóa 56-bít,DES là một
hệ thống mã hóa khóa đối xứng.
+ Triple DES (3DES) là một biến thể của DES 56-bít.
• Message Integrity (Hash) Funtion
Là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin.
IPv6 security Page 12
IPv6 securit
+ Message Digest 5 (MD5) biến đổi một thông điệp có chiều dài bất kỳ

thành một khối có kích thước cố định 128 bít.
+ Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224
bít….
• Peer Authentication
+ Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống
mật mã khóa bất đối xứng. Nó sử dụng một chiều dài khóa là 512 bít, 768
bít, 1024 bít hoặc lớn hơn.
+ RSA Encrypted Nonces.
• Key management
+ Diffie-Hellman (D-H).
+ Certificate Authority (CA).
• Security Association
+ Internet Exchange Key (IKE): để thỏa thuận các giao thức bảo mật và các
thuật toán mã hóa trước và trong suốt phiên giao dịch.
+ Internet Security Association and Key Management Protocol (ISAKMP).
F. Tích hợp IPsec trong IPv6:
Các chế độ làm việc của IPsec:
o Transport mode:
+ Bảo vệ các giao thức tầng trên và tầng ứng dụng.
+ Phần IPSec header được chèn vào giữa phần IP header và phần header của giao
thức tầng trên.
+ ESP được sử dụng để bảo vệ thông tin giữa hai host cố định và bảo vệ các giao
thức lớp trên của IP datagram.
+ AH header được chèn vào trong IP datagram sau IP header và các tuỳ chọn.
o Tunnel mode:
+ Bảo vệ toàn bộ gói dữ liệu.
IPv6 security Page 13
IPv6 securit
+ IPSec header được chèn vào giữa Original Header và phần đầu mới của
IP.

+ Ip header ở đầu vào mang source address và destination address, còn IP
header ở đầu ra mang địa chỉ để định tuyến qua Internet.
+ AH bỏa vệ toàn bộ gói tin bên trong.
G. Các nguyên tắc hoạt động của các giao thức bảo mật trong
IPv6.
1) Nguyên tắc hoạt động của AH:
a) Chức năng của AH:
Là một IPSec header cung cấp xác thực gói tin và kiểm tra tính toàn vẹn dữ
liệu của các gói tin IP truyền giữa 2 hệ thống.
b) Định dạng của AH:
IPv6 security Page 14
IPv6 securit
• Next header: (8bits) dùng để xác định header tiếp theo sau AH.
• Payload length: (8bits) xác định độ dài của AH không có tải.
• Reserved (16bits) dùng để dữ trữ sử dụng trong tương lai.
• SPI (security parameters index) (32 bits): kết hợp với destination address và
giao thức ESP cho phép nhận dạng chính sách bảo mật cho gói tin này.
• Sequence number: (32 bits) chứa 1 giá trị đếm tang dần. Bộ đếm của phía
phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu
tiên truyền đi với SA đó sẽ có SN=1).
• Authentication data: Trường có độ dài biến đổi chứa một giá trị kiểm tra
tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số
nguyên lần 32 bits.
c) Chế độ xác thực:
• End – to – end authentication: là trường hợp xác thực trực tiếp giữa hai
hệ thống đầu cuối chỉ cần hai đầu cuối biết được khoá bí mật của nhau.
Trường hợp này sử dụng chế độ Transport Mode của AH.
• End – to – intermedia authentication: là trường hợp xác thực giữa hệ
thống đầu cuối với một thiết bị trung gian (router hoặc firewall). Trường
hợp này sử dụng chế độ Tunnel Mode của AH.

IPv6 security Page 15
IPv6 securit
Header ở chế độ IPv6 AH Transport.
IPv6 security Page 16
IPv6 securit
Header ở chế độ IPv6 AH tunnel.
d) Nguyên tắc hoạt động của AH:
+ Bước 1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header +
Key cho chạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số, và chuỗi số này
sẽ được gán vào AH Header.
+ Bước 2: AH Header này sẽ được chèn vào giữa Payload và IP Header và
chuyển sang phía bên kia.
+ Bước 3: Router đích sau khi nhận được gói tin này bao gồm : IP Header +
AH Header + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra
một chuỗi số.
+ Bước 4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau
thì nó chấp nhận gói tin .
IPv6 security Page 17
IPv6 securit
2) Nguyên tắc hoạt động của ESP:
a) Chức năng của ESP :
Cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6.
ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ
liệu, kiểm tra tính toàn vẹn của dữ liệu.
Các giao thuật toán mã hóa được sử dụng trong giao thức là: DES, 3DES,
AES…
b) Định dạng của ESP:
IPv6 security Page 18
IPv6 securit
Header của IPsec ESP.

• SPI (Security Parameters Index): Trường này tương tự như bên AH.
• Sequence Number: giống như bên AH.
• Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả bên
trong Next Header.
• Padding: Trường này được thêm vào bởi nếu thuật toán mật mã được sử
dụng yêu cầu plaintext thì padding được sử dụng để điền vào plaintext
để có kích thước theo yêu cầu.
• ICV: Giá trị kiểm tra tính toàn vẹn, là trường có độ dài thay đổi được
tính trên các trường ESP trailer, Payload, ESP header.
c) Các chế độ hoạt động ESP:
IPv6 security Page 19
IPv6 securit
• Gói tin IPv6 ESP ở chế độ Transport mode:
• Gói tin IPv6 ESP ở chế độ tunnel mode:
IPv6 security Page 20
IPv6 securit
d) Nguyên tắc hoạt động của giao thức ESP:
ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói
tin IPSec. Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá
ESP thì hai bên phải sử dụng key giống nhau mới mã hoá và giải mã được gói
tin . Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các khối
(block) nhỏ, và sau đó thực hiện thao tác mã hoá nhiều lần sử dụng các block
dữ liệu và khóa (key). Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó
thực hiện giải mã sử dụng key giống nhau và quá trình thực hiện tương tự,
nhưng trong bước này ngược với thao tác mã hoá.
Nguyên tắc hoạt động của ESP.
e) So sánh giao thức bảo mật AH và ESP:
Tính bảo mật AH ESP
Giao thức IP layer 3 51 50
Toàn vẹn dữ liệu Có Có

Xác thực dữ liệu Có Có
Mã hóa dữ liệu Không Có
Chống tấn công phát lại Có Có
Hoạt động với NAT Không Có
Hoạt động với PAT Không Không
Bảo vệ gói tin IP Có Không
Chỉ bảo vệ dữ liệu Không có
IPv6 security Page 21
IPv6 securit
f) Quản lý khóa:
Để áp dụng hai header AH và ESP yêu cầu các bên tham gia phải thỏa
thuận một khóa chung để sử dụng trong việc kiểm tra an toàn thông tin.
• Quản lý khóa thủ công: Công nghệ cấu hình bằng tay được cho phép
trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai
gateway nhưng việc gõ key bằng tay không thích hợp trong một số
trường hợp số lượng các gateway nhiều và cũng gây ra các vấn đề
không an toàn trong quá trình tạo khóa.
• Quản lý khóa tự động
• Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý
SA hai chiều, tạo key và quản lý key. IKE thương thuyết trong hai giai
đoạn.
o Giai đoạn 1: thương thuyết bảo mật, kênh chứng thực mà dựa trên
đó hệ thống có thể thương thuyết nhiều giao thức khác. Chúng đồng
ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và
nhóm Diffie-Hellman để trao đổi key và thông tin.
o Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec. Chúng đồng
ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá. Một SA
được tạo ra cho inbound và outbound của mỗi giao thức được sử
dụng.
g) Kết luận:

IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6. Nó giúp
phần làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên
mạng Internet. IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong
mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới
đầu cuối.
IPv6 security Page 22

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×