Đang tải... (xem toàn văn)
Hiện nay, hệ thống mạng Internet ngày càng phát triển mạnh mẽ và có rất nhiều thiết bị mạng cần gia nhập vào hệ thống này nên cần một số lượng lớn địa chỉ IP để gán cho các cho các thiết bị này. Tuy nhiên không gian địa chỉ IP hiện tại IPv4 thì có giới hạn( 232 địa chỉ) nên không đáp ứng những nhu cầu về IP. Do đó tồ chức IETF ( Internet Engineering Task Force) đã đề xuất kế thừa cấu trúc và tổ chức của IPv4 để phát triển IPv6 nhằm khắc phục các khuyết điểm này của IPv4.
CÁC THÀNH VIÊN TRONG NHÓM 1. TRẦN DANH THỊNH 0920120 2. LÊ HỒNG HOÀNG LÂN 0920058 3. PHAN THANH MINH 0920200 4. NGUYỄN MINH HOÀNG 0920177 5. HUỲNH NGỌC PHÚC 0920087 IPv6 securit IPv6 SECURITY TABLE OF CONTENTS I) ĐẶT VẤN ĐỀ II) SƠ LƯỢC VỀ IPv6 III) IPv6 SECURITY IPv6 security Page 2 IPv6 securit I) Đặt vấn đề: - Hiện nay, hệ thống mạng Internet ngày càng phát triển mạnh mẽ và có rất nhiều thiết bị mạng cần gia nhập vào hệ thống này nên cần một số lượng lớn địa chỉ IP để gán cho các cho các thiết bị này. Tuy nhiên không gian địa chỉ IP hiện tại IPv4 thì có giới hạn( 2^32 địa chỉ) nên không đáp ứng những nhu cầu về IP. Do đó tồ chức IETF ( Internet Engineering Task Force) đã đề xuất kế thừa cấu trúc và tổ chức của IPv4 để phát triển IPv6 nhằm khắc phục các khuyết điểm này của IPv4. - Tuy nhiên IPv6 ra đời cũng đặt ra những vấn đề mới về Bảo Mật. Giao thức IP động được xây dựng trên nền IPv6 sẽ gây ra những vấn đề bảo mật nghiêm trọng nếu cấu hình không đúng, mặc dù IPv6 tăng cường bảo mật trên nền giao thức TCP/IP nhưng các hacker vẫn có khả năng xâm nhập vào các thành phần khác. II) Sơ Lượt Về IPv6: IPv6 security Page 3 IPv6 securit 1) Cấu tạo header của gói tin IPv6 : Gói tin IPv6 có hai dạng Header: Header cơ bản và header mở rộng. Header cơ bản : có chiều dài cố định 40 Byte, chứa những thông tin cơ bản trong quá trình xử lý gói tin IPv6. • Version: chỉ ra phiên bản của IPv6. • Traffic Class: ( 8 bíts) dùng để phân biệt lưu lượng, từ đó ảnh hưởng đến khả năng ưu tiên về lưu lượng. • Flow Lable: (20 bits) cho phép nguồn chỉ ra loại thông tin trong gói tin, từ đó đưa ra những các cách xử lý đặc biệt từ nguồn tới đích theo thứ tự gói. • Payload Length: ( 16 bits ) xác định độ dài gói tin phía sau header. • Hop limit: ( 8 bits) dung để ngăn chặn datagram lien tục xoay vòng trở lại. • Source address & Destination Address: địa chỉ nguồn và địa chỉ đích có độ dài 128 bits sử dụng hệ hexa và được ngăn cách nhau bởi dấu 2 chấm. Header mở rộng: những thông tin liên quan đến dịch vụ kèm theo được gửi hẳn tới một phân đoạn khác được gọi là Header mở rộng. • Được nhận dạng bởi trường Next header. • Được đặt giữa header IPv6 và header của các giao thức các lớp trên, dùng để mang các thông tin tùy chọn ở lớp mạng ( Network layer). IPv6 security Page 4 IPv6 securit • Các header mở rộng được đặt nối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng. • Mỗi header mở rộng có giá trị riêng đặc trưng cho nó: • Header cơ bản và header mở rộng IPv6 đều có trường Next Header chiều dài 8 bít. Next Header sẽ xác định gói tin có tồn tại header mở rộng hay không. Nếu không có header mở rộng giá trị của trường sẽ xác định phần header của tầng cao hơn (TCP hay UDP…) phía trên của tầng IP. Nếu có, giá trị trường Next Header chỉ ra loại header mở rộng đầu tiên theo sau header cơ bản. Tiếp theo, trường Next Header của header mở rộng thứ nhất sẽ trỏ tới header mở rộng thứ hai, đứng kế tiếp nó. Trường Next Header của header mở rộng cuối cùng sẽ có giá trị xác định header tầng cao hơn. IPv6 security Page 5 IPv6 securit • Khi gói đi từ nguồn đến đích, các trạm trung gian không được phép xử lý các Extension Header đến khi đến trạm đích. Và việc xử lý các Header này cũng phải diễn ra theo đúng tuần tự mà các Header sắp xếp trong gói tin IPv6. Không bao giờ được phép xảy ra trường hợp trạm đích quét qua toàn bộ gói tin và chọn ra một Header nào đó để xử lý trước. Trường hợp ngoại lệ là trường hợp Hop-by-hop Extension Header, sự hiện diện của Hop-by-hop Extension Header buộc gói tin phải bị kiểm tra bởi tất cả các trạm trung gian trên đường từ nguồn đến đích, bao gồm cả trạm nguồn và đích. Vì vậy, Hop-by-hop Extension Header luôn phải đứng sau IPv6 Header. Sự hiện diện của Extension Header này được chỉ thị bởi giá trị 0 trong Next-Header của IPv6 Header. Kích thước của các Extension Header có thể tùy ý, nhưng luôn là bội số của 8 octet. Nếu trong gói tin có chứa nhiều Extension Header, chúng được sắp xếp theo thứ tự sau : o IPv6 Header. o Hop-by-Hop Options Header. IPv6 security Page 6 IPv6 securit o Destination Options Header : Được xử lý bởi trạm đích đầu tiên trong IPv6 Header và những trạm còn lại được chỉ ra trong Routing Header. o Routing Header. o Fragment Header. o Authentication Header. o Encapsulating Security Payload Header. o Mobility header o Destination Options Header: Chỉ được xử lý bởi đích đến cuối cùng trong gói tin o Upper-layer Header. 2) So sánh vs IPv4: IPv6 security Page 7 IPv6 securit IPv6 security Page 8 IPv6 securit Những điểm khác tiêu biểu của IPv6 so với IPv4 : - Định dạng header mới - Không gian địa chỉ lớn hơn - Việc đánh địa chỉ và sử dụng trông hệ thống định tuyến có cấu trúc và hữu hiệu hơn. - Tự động cấu hình địa chỉ - Ip security bắt buộc ( IP SEC ) - Hỗ trợ QoS tốt hơn - Có giao thức tương tác với các node lân cận (neighbouring node interaction) IPv6 security Page 9 IPv6 securit - Khả năng mở rộng. IPv6 bảo mật hơn IPv4 trình bày phần III III) IPv6 Security: A. Vấn đề bảo mật của IPv6 - Khi các truy vấn Quad A đang phát broadcast, có nghĩa là một số nút (node) trên mạng đã được kích hoạt IPv6, vì thế có thể sẽ bị một cuộc tấn công dựa trên IPv6 nhắm tới. Bởi vì bản thân mạng không hỗ trợ IPv6 nên bộ quản lý mạng không có khả năng giám sát lưu lượng IPv6 với các công cụ kiểm tra kỹ gói tin. Vd: Khi các công ty có các thiết bị đã kích hoạt IPv6 nhưng mạng không kích hoạt IPv6, tin tặc biết rằng việc quản lý mạng cho IPv6 là thiếu, Chúng có thể dễ dàng làm ngập các máy chủ mail của tổ chức với cả đống thư rác có chứa phần mềm độc hại. Chỉ cần một người dùng với đặc quyền cao mở một thư rác chứa phần mềm độc hại, phần mềm độc hại này có thể mở một đường hầm cho các gói tin IPv6 xuyên qua tường lửa. - Các thông báo giả mạo các gói tin IPv6. Thông báo bộ định tuyến giả mạo là một mối đe dọa mà IETF đã đưa ra cảnh báo vào tháng Hai, chỉ ra rằng lỗ hổng này có thể được sử dụng để tấn công từ chối dịch vụ hoặc tấn công man-in-the-middle (đây là hình thức chặn các gói tin, chuyển đến máy chủ của kẻ tấn công, rồi mới chuyển tiếp, khiến các nạn nhân vẫn tin tưởng đang truyền thông trực tiếp với nhau). Vd: Các thiết bị được kích hoạt sẵn IPv6, khi nối mạng, luôn luôn lắng nghe các thông báo về bộ định tuyến vì tính năng tự động cấu hình IPv6. Tuy nhiên, các thiết bị trạm này có thể bị lừa bởi các thông báo giả mạo do lỗi quản trị mạng hoặc các cuộc tấn công của tin tặc. Các thông báo định tuyến giả mạo cho IPv6 xuất hiện cả trong các mạng không dây và có dây. - Internet hiện nay đang gặp nhiều vấn đề bảo mật. đó là việc thiếu phương thức hiệu quả để xác thực và bảo vệ tính riêng tư dưới tần ứng dụng. trong hoạt động internet, bảo mật tại tầng IP được thực hiện phổ biến bằng IPsec ( Internet Protocal Security) - Mặc dù có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không thể giải quyết tất cả các tồn tại trong IPv4. Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer). Các cuộc tấn công có thể là: + Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI như tràn bộ đệm (buffer overflow), virus, mã độc, tấn công ứng dụng web,… + Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực. + Thiết bị giả (rogue device) : các thiết bị đưa vào mạng nhưng không được phép. Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định IPv6 security Page 10 [...]... trường hợp xác thực giữa hệ thống đầu cuối với một thiết bị trung gian (router hoặc firewall) Trường hợp này sử dụng chế độ Tunnel Mode của AH • IPv6 security Page 15 IPv6 securit Header ở chế độ IPv6 AH Transport IPv6 security Page 16 IPv6 securit Header ở chế độ IPv6 AH tunnel d) Nguyên tắc hoạt động của AH: + Bước 1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy qua giải... toàn vẹn, là trường có độ dài thay đổi được tính trên các trường ESP trailer, Payload, ESP header • • • c) Các chế độ hoạt động ESP: IPv6 security Page 19 IPv6 securit • • IPv6 security Gói tin IPv6 ESP ở chế độ Transport mode: Gói tin IPv6 ESP ở chế độ tunnel mode: Page 20 IPv6 securit d) Nguyên tắc hoạt động của giao thức ESP: ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin... IPv6 security Page 17 IPv6 securit 2) Nguyên tắc hoạt động của ESP: a) Chức năng của ESP: Cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6 ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu Các giao thuật toán mã hóa được sử dụng trong giao thức là: DES, 3DES, AES… b) Định dạng của ESP: IPv6 security Page 18 IPv6. .. sẵn trong IPv4 và IPv6, chức năng này chủ yếu có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPSec là bắt buộc trong IPv6 Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ C Cấu trúc của IPsec: 1 Hai thủ tục bảo mật Authentication Header (AH), Encapsulating Security Payload (ESP)... VPN Tunnel mode + Transport mode: áp dụng cho truyền gói tin IP bởi host, được sử dụng cho kết nối end - to – end giữa các node IPv6 security Page 11 IPv6 securit Transport mode 3 CSDL Security Policy Database (SPD): để quản lý chính sách bảo mật và quản lý lưu lượng 4 CSDL Security Association Database ( SAD): chứa những tham số cần thiết để thiết lập kết nối IPsec và sử dụng IPsec 5 Các thủ tục trao... của mỗi giao thức được sử dụng g) Kết luận: IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6 Nó giúp phần làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối IPv6 security Page 22 ... mode: + Bảo vệ toàn bộ gói dữ liệu IPv6 security Page 13 IPv6 securit + IPSec header được chèn vào giữa Original Header và phần đầu mới của IP + Ip header ở đầu vào mang source address và destination address, còn IP header ở đầu ra mang địa chỉ để định tuyến qua Internet + AH bỏa vệ toàn bộ gói tin bên trong Các nguyên tắc hoạt động của các giao thức bảo mật trong IPv6 Nguyên tắc hoạt động của AH: a)... kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống b) Định dạng của AH: IPv6 security Page 14 IPv6 securit Next header: (8bits) dùng để xác định header tiếp theo sau AH Payload length: (8bits) xác định độ dài của AH không có tải Reserved (16bits) dùng để dữ trữ sử dụng trong tương lai SPI (security parameters index) (32 bits): kết hợp với destination address và giao thức ESP cho.. .IPv6 securit tuyến (router), server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless access point),… + Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6 + Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID,email spamming, phishing,… B Đôi Nét IPsec: + IPsec xác thực và mã hóa ở lớp mạng + Ipsec thực hiện xác thực nơi gửi và mã hóa đường kết nối + IP Security. .. một hệ thống mã hóa khóa đối xứng + Triple DES (3DES) là một biến thể của DES 56-bít • Message Integrity (Hash) Funtion Là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin • IPv6 security Page 12 IPv6 securit + Message Digest 5 (MD5) biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định 128 bít + Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, . HOÀNG 0920177 5. HUỲNH NGỌC PHÚC 0920087 IPv6 securit IPv6 SECURITY TABLE OF CONTENTS I) ĐẶT VẤN ĐỀ II) SƠ LƯỢC VỀ IPv6 III) IPv6 SECURITY IPv6 security Page 2 IPv6 securit I) Đặt vấn đề: - Hiện. sử dụng chế độ Tunnel Mode của AH. IPv6 security Page 15 IPv6 securit Header ở chế độ IPv6 AH Transport. IPv6 security Page 16 IPv6 securit Header ở chế độ IPv6 AH tunnel. d) Nguyên tắc hoạt. header. c) Các chế độ hoạt động ESP: IPv6 security Page 19 IPv6 securit • Gói tin IPv6 ESP ở chế độ Transport mode: • Gói tin IPv6 ESP ở chế độ tunnel mode: IPv6 security Page 20