1. Trang chủ
  2. » Tất cả

Đồ án tốt nghiệp bảo mật IPv6

130 1,6K 19

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 130
Dung lượng 3,24 MB

Nội dung

Bảo mật Ipv6 BẢO MẬT IPv6 MỤC LỤC BẢO MẬT IPv6 1 MỤC LỤC 1 1. Giới thiệu địa chỉ IPv6 1 1.1. Lịch sử phát triển của địa chỉ IPv6 1 1.2. Nghiên cứu và phân tích những hạn chế của địa chỉ IPv4 1 1.3. Giới thiệu một số tính năng chính của địa chỉ IPv6 3 2. Tổng quan về địa chỉ IPv6 12 2.1 Địa chỉ IPv6 13 2.1.1 Không gian sử dụng địa chỉ IPv6 14 2.1.2 Các kiểu địa chỉ IPv6 15 2.2 Các kiểu header, định dạng và trường trong IPv6 22 2.3 Các Header mở rộng trong IPv6 24 2.4 Giao thức điều khiển thông điệp Internet (ICMPv6) 27 2.4.1. Tổng quan ICMPv6 28 2.4.2. Sự khác biệt giữa ICMP IPv6 và IPv4 29 2.4.3. Chức năng Neighbor Discovery 31 2.4.4. Cấu hình địa chỉ IPv6 tự động 32 2.4.5 Khám phá MTU lớn nhất 33 2.5. Định tuyến trên địa chỉ IPv6 35 2.5.1. Tổng quan đặc điểm kỹ thuật 35 3.5.2. Bảo mật cho các giao thức định tuyến 36 2.6. IPv6 và hệ thống phân giải tên miền (DNS) 39 2.6.1. Giao thức truyền tải DNS 40 2.6.2. Tổng quan kỹ thuật DNS 41 2.6.3. Tác động bảo mật và khuyến nghị 43 3. Các tính năng nâng cao của địa chỉ UPv6 49 3.1 Nghiên cứu kỹ thuật Multihoming 49 Đồ án tốt nghiệp Bảo mật Ipv6 3.1.1. Sự khác nhau giữa IV4 và IPv6 Multihoming 50 3.1.2. Tổng quan về Site Multihoming SHIM6 51 3.1.3. Các biện pháp đảm bảo an toàn cho Multihoming 53 3.2. Nghiên cứu kỹ thuật Multicast trong IPV6 54 3.2.1. Mô tả địa chỉ IPv6 Multicast 54 3.2.2. Sự khác nhau giữa Multicast IPv4 và Multicast IPv6 60 3.2.3. Các khía cạnh chưa được giải quyết của IPv6 Multicast 61 3.3. Chất lượng dịch vụ trong IPv6 (QoS) 62 3.3.1. Mô tả về chất lượng dịch vụ trong IPv6 62 3.3.2. Sự khác nhau giữa QoS IPv4 và QoS IPv6 63 3.3.3. Các khía cạnh bảo mật của QoS IPv6 63 3.3.4. Những khía cạnh chưa được giải quyết của QoS IPv6 63 3.4. Giao thức cấu hình tự động DHCP cho IPv6 64 3.4.1. Tổng quan về DHCP của IPv6 64 3.4.2. Sự khác nhau so với chuẩn IPv4 66 3.4.3. Đảm bảo an toàn cho DHCP IPv6 67 3.4.4. Các khía cạnh chưa được biết đến 68 3.5. Lựa chọn địa chỉ cho IPv6 69 3.5.1. Tổng quan về lựa chọn địa chỉ 69 3.5.2. Sự khác nhau so với chuẩn IPv4 71 3.5.3. Những khía cạnh bảo mật 71 3.5.4. Những khía cạnh chưa được biết đến 72 3.6. Đánh địa chỉ tiền tố trong IPv6 73 3.6.1. Tổng quan về đánh địa chỉ tiền tố trong IPv6 73 3.6.2. Sự khác nhau so với chuẩn IPv4 76 3.6.3. Các khía cạnh bảo mật 76 3.6.4. Các khía cạnh chưa được biết đến 77 4. Nghiên cứu các vấn dề bảo mật nâng cao với IPv6 79 4.1. Nghiên cứu các tùy chọn bảo mật riêng cho IPV6 (Privacy Addresses) 79 4.2. Tạo khóa xác thực trong IPv6(Cryptographically generated Address) 81 4.3. Nghiên cứu Bảo mật IPSec cho địa chỉ IPv6 83 Đồ án tốt nghiệp Bảo mật Ipv6 4.3.1. Tổng quan về giao thức bảo mật IPSec 83 4.3.2. Giao thức bảo mật IPSec trong mạng IPv6 86 4.3.3. Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6 93 4.4. Nghiên cứu kỹ thuật bảo mật Stateless Address Autoconfiguration và Neighbor Discovery 102 4.4.1. Sử dụng IPsec để bảo mật Autoconfiguration và ND 104 4.4.2. Sử dụng SEND để đảm bảo an toàn cho Autoconfiguration and ND 104 5. Đảm bảo an toàn trong triển khai IPv6 106 5.1. Nghiên cứu và phân tích các rủi ro khi triển khai Ipv6 106 5.1.1. Cộng đồng tấn công sử dụng IPv6 106 5.1.2. Khách hàng IPv6 trái phép 107 5.1.3. Lỗ hổng trong IPv6 107 5.1.4. Hoạt động kép 109 5.1.5. Nhận thức rủi ro 110 5.1.6. Nhà cung cấp hỗ trợ 110 5.2. Cơ chế bảo mật trong đánh địa chỉ 111 5.2.1. Kế hoạch đánh số 112 5.2.2. Mạng tăng trưởng 113 5.2.3. Các vấn đề với địa chỉ EUI-64 114 5.2.4. Địa chỉ quản lý 115 5.3. Cơ chế chuyển đổi giữa IPv4 và IPv6 116 5.4. Nghiên cứu về triển khai IPv6 thông qua hạ tầng IPv4 sử dụng kỹ thuật Dual stack 118 5.5. Nghiên cứu về triển khai IPv6 thông qua hạ tầng IPv4 sử dụng kỹ thuật Tunneling 119 5.6. Nghiên cứu về các phương thức chuyển đổi địa chỉ (SIIT, NAT-PT; TRT; Application layer translation) 120 5.6.1. SIIT 120 5.6.2. NAT-PT 121 5.6.3. TRT 123 5.6.4. Ứng dụng tầng vận chuyển 124 Đồ án tốt nghiệp Bảo mật Ipv6 5.7. Nghiên cứu một số điểm quan trọng trong xây dựng quy trình triển khai IPV6 124 Đồ án tốt nghiệp Bảo mật Ipv6 Đồ án tốt nghiệp Bảo mật Ipv6 1. Giới thiệu địa chỉ IPv6 1.1. Lịch sử phát triển của địa chỉ IPv6 IPv4 đã được phát triển trong những năm 1970 và đầu những năm 1980 để sử dụng trong chính phủ và cộng đồng học tập tại Hoa Kỳ để tạo thuận lợi cho giao tiếp và chia sẻ thông tin. Nhu cầu kết nối mạng ngày nay, các trang web cụ thể, email, các dịch vụ peer-to-peer, và việc sử dụng các thiết bị di động, đã phát triển vượt ra ngoài mong đợi của những người phát minh. Việc triển khai rộng rãi và phát triển của công nghệ mạng và truyền thông di động đã vượt qua khả năng của IPv4 để cung cấp đầy đủ địa chỉ duy nhất trên toàn cầu space4. Những nỗ lực để phát triển một kế thừa cho IPv4 bắt đầu vào đầu những năm 1990 trong Internet Engineering Task Force (IETF) 5. Mục tiêu là để giải quyết những hạn chế không gian địa chỉ cũng như cung cấp các chức năng bổ sung. IETF bắt đầu Internet Protocol Next Generation (IPng) làm việc vào năm 1993 để điều tra các đề xuất khác nhau và đưa ra các khuyến nghị cho các hành động hơn nữa. IETF đề nghị IPv6 vào năm 1994. (IPv5 tên trước đây đã được giao cho một giao thức dòng thử nghiệm). Khuyến nghị của họ được quy định trong RFC 1752, Khuyến nghị cho giao thức IP thế hệ kế tiếp. Một số đề xuất tiếp theo, Internet Engineering Group chỉ đạo phê duyệt đề nghị IPv6 và soạn thảo một tiêu chuẩn đề xuất ngày 17 tháng 11 năm 1994. RFC 1883, Internet Protocol, phiên bản 6 (IPv6) Đặc điểm kỹ thuật, đã được xuất bản vào năm 1995. Cốt lõi của IPv66 giao thức đã trở thành một dự thảo tiêu chuẩn IETF vào ngày 10 Tháng Tám 1998. Điều này bao gồm RFC 2460, thay thế RFC 1883. IPv6 là một giao thức được thiết kế để xử lý tốc độ phát triển của Internet và để đối phó với các yêu cầu đòi hỏi của các dịch vụ, di động, và bảo mật end-to-end. Các phần sau đây mô tả những hạn chế của IPv4, các tính năng chính của IPv6, và động lực cho việc triển khai IPv6. 1.2. Nghiên cứu và phân tích những hạn chế của địa chỉ IPv4 Sự cạn kiệt địa chỉ ipv4 Page 1 Bảo mật Ipv6 Những thập kỷ vừa qua, do tốc độ phát triển mạnh mẽ của Internet, không gian địa chỉ ipv4 đã được sử dụng trên 60%. Những tổ chức quản lý địa chỉ quốc tế đặt mục tiêu "sử dụng hiệu quả" lên hàng đâu. Những công nghệ góp phần giảm nhu cầu địa chỉ ip như NAT, DHCP (Dynamic Host Configuration Protocol) cấp địa chỉ tạm thời được sử dụng rộng rãi. Tuy nhiên, hiện nay, nhu cầu địa chỉ tăng rất lớn. Thời điểm không gian địa chỉ ipv4 cạn kiệt hiện đang là một vấn đề chưa thống nhất và gây nhiều tranh cãi. Đã có nhiều dự án dự báo thời gian còn lại của địa chỉ ipv4 căn cứ trên số liệu tiêu dùng địa chỉ ipv4 trong quá khứ. Tuy nhiên, việc gia tăng sử dụng địa chỉ ipv4 đã làm cho biểu đồ sử dụng địa chỉ ipv4 toàn cầu ngày càng dốc. Tháng 07/2005, tạp chí 1PJ (Internet Protocol Journal) của Cisco đăng bài phân tích, được nhiều ý kiến đồng tình, dự báo thời điểm các các tổ chức quản lý không còn địa chỉ cấp cho hoạt động Internet toàn cầu là khoảng năm 2010. Bài báo dựa trên số liệu về cấp phát địa chỉ của các RIR, số liệu tiêu thụ địa chỉ ipv4 toàn cầu và số lượng địa chỉ ipv4 còn lại hiện nay. Trong đó, các RIR cấp phát đi 22 khối 18 trong vòng 18 tháng gần nhất, và không gian địa chỉ ipv4 còn lại 84 khối 18 (bao gồm địa chỉ còn lại của IANA và các RIR). Tuy nhiên, tốc độ tăng vọt về không gian địa chỉ các RIR phân bổ trong những năm gần đây, sự xuất hiện các dịch vụ mới như di động, Internet qua truyền hình cáp…, sẽ tác động mạnh đến khoảng thời gian còn lại của địa chỉ ipv4. Hạn chế về công nghệ và nhược điểm của ipv4 Cấu trúc định tuyến không hiệu quả. Địa chỉ ipv4 có cấu trúc định tuyến vừa phân cấp: vừa không phân cấp Mỗi bộ định tuyến (router) phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn. ipv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin ipv4, ví dụ thực hiện phân mảnh, điêu này tiêu tốn CPU của router và ảnh hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin). Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối Trong cấu trúc thiết kế của ipv4 không có cách thức bảo mật nào đi kèm. ipv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu. Kết quả là hiện nay, Page 2 Bảo mật Ipv6 bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền tải giữa các máy. Nếu áp dụng lpsec (Internet Protocol Security) là một phương thức bảo mật phổ biến tại tầng ip, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối - đầu cuối được sử dụng rất hạn chế. Hình 2: Mô hình thực hiện NAT của địa chỉ Ipv4 1.3. Giới thiệu một số tính năng chính của địa chỉ IPv6 Chức năng cấu hình tự động của địa chỉ IPv6 Để có thể gán địa chỉ và những thông số hoạt động cho thiết bị ipv6 khi nó kết nối vào mạng mà không cần nhân công cầu hình bằng tay. có thể sử dụng DHCPV6. Đây được gọi là dạng thức cấu hình tự độ có trạng thái (stateful autoconfiguration). Bên cạnh đó, thiết bị ipv6 có khả năng tự động cấu hình địa chỉ và các thông số hoạt động mà không cần có sự hỗ trợ của máy chủ DHCP. Đó là đặc điểm mới trong thế hệ địa chỉ ipv6. được gọi là dạng thức cấu hình không trạng thái (stateless autoconfguration). Cấu trúc IPv6 Header Gói tin ipv6 có hai dạng header: header cơ bản (basic header) và header mở rộng (extension header). Phần header cơ bản có chiều dài cố định 40 byte, Page 3 Bảo mật Ipv6 chứa những thông tin cơ bản trong xử lý gói tin ipv6, thuận tiện hơn cho việc tăng tốc xử lý gói tin. Những thông tin liên quan đến dịch vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi là header mở rộng . Page 4 Bảo mật Ipv6 Cấu trúc một gói tin ipv6: Hình 12 : Cấu trúc gói tin IPV6 Mặc dù trường địa chì nguồn và địa chỉ địch trong header ipv6 có chiều dài 128 bit, gấp 4 lần số bộ địa chỉ ipv4, song chiều phần header của ipv6 chỉ gấp hai lần ipv4. Đó là nhờ dạng thức của header đã được đơn giản hoá đi trong ipv6 bằng cách bỏ bớt đi những trường không cần thiết và ít được sử dụng. Những trường bỏ đi trong phần mào đâu ipv6: • Tuỳ chọn (Option): Một trong những thay đổi quan trọng là không còn tồn tại trường Option trong header ipv6, do những thông tin liên quan đến dịch vụ kèm theo (vốn được mô tả bằng trường Optỉon trong header ipv4) được chuyển đặt riêng trong phần header mở rộng, đặt ngay sau header cơ bản. Vi vậy, chiều dài phần mào đầu cơ bản của ipv6 là cố định (40 byte). • Kiểm tra header (Header Checksum): Trong ipv4, Header Checksum là một sỗ sử dụng để kiểm tra lỗi trong phần header, được tinh toán ra dựa trên những thông tin phần header. Do giá trị của trường Thời gian sống (Time to Live TTL) thay đổi mỗi khi gói tin được truyền qua một bộ định tuyến (router), số kiểm tra header cần phải được tính toán lại mỗi khi gói tin đi qua một router ipv4. IPV6 đã giải phóng bộ định tuyến khỏi công việc này, nhờ đó giảm được độ trễ của gói tin ipv6 khi qua router. Do lớp TCP phía trên lớp IP có kiểm tra lỗi thông tin nên việc thực hiện phép tính tương tự tại tầng IP là không cần thiết và dư thừa, do vậy trường kiểm tra header được loại bỏ khỏi phân header ipv6. Page 5 [...]... lại Tuy nhiên, thông thường, các công ty triển khai IPv6 sẽ có các công cụ và phần mềm để hỗ trợ việc giao tiếp giữa IPv4 và IPv6 trở nên thuận tiện Page 11 Bảo mật Ipv6 2 Tổng quan về địa chỉ IPv6 Vì số lượng và khả năng bảo mật IPv4 có hạn nên người ta đã phát triển IPv6 Bảng sau đây mô tả sự khác nhau cơ bản của IPv6 và IPv4 Thuộc tính IPv4 IPv6 Kích thước địa chỉ và 32 bit, 128 bit, kích thước... buộc của một thực hiện IPv6, tuy nhiên, việc sử dụng nó là không cần thiết IPsec cũng được chỉ định để đảm bảo cho các giao thức IPv6 cụ thể (ví dụ, Mobile IPv6 và OSPFv3 [Open Shortest Path First v3]) Chất lượng dịch vụ (QoS) trên IPv6 Page 9 Bảo mật Ipv6 IP (đối với hầu hết các phần) xử lý tất cả các gói tin như nhau, khi chúng được chuyển tiếp với điều trị nỗ lực tốt nhất và đảm bảo không có giao thông... IPSec trên IPv6 Bảo mật IP (IPsec) là một bộ các giao thức Internet Protocol (IP) thông tin liên lạc bằng cách chứng thực người gửi và cung cấp bảo vệ toàn vẹn cộng với tùy chọn bảo mật cho dữ liệu được truyền Điều này được thực hiện thông qua việc sử dụng hai phần đầu mở rộng: Encapsulating Security Payload (ESP) và Header xác thực (AH) Việc đàm phán và quản lý IPsec an ninh bảo vệ và khóa bí mật liên... lần như vậy trong toàn bộ một địa chỉ ipv6 Page 13 Bảo mật Ipv6 2.1.1 Không gian sử dụng địa chỉ IPv6 Phần này giới thiệu các kiểu khác nhau của địa chỉ IPv6, phạm vi và sử dụng Chi tiết hơn sẽ mô tả trong các phần sau Kiểu địa chỉ Tiền tố nhị phân Nhúng địa chỉ 00 1111 IPv4 1111 (96bit) Ký hiệu IPv6 1111 ::FFFF/96 1111 Sử dụng Tiền tố nhúng địa chỉ IPv4 trong IPv6 Loopback 00 1 (128 bit) ::1/128... hỗ trợ bảo mật và mã hóa được đặt trong trường Tuỳ chọn của header ipv4 Trong hoạt động của địa chỉ ipv6, thực thi ipsec được coi là một đặc tính bắt buộc Tuy nhiên, lpsec có thực sụ được sử dụng trong giao tiếp hay không tùy thuộc vào từng trường hợp Khi ipsec được sử dụng, gói tin ipv6 cần có các dạng header mở rộng Xác thực và Mã hoá Header mở rộng Xác thực dùng để xác thực và bảo mật tính đồng nhất... tuyến 2.1.2 Các vùng địa chỉ IPv6 Địa chỉ đặc biệt IPv6 sử dụng hai địa chi đặc biệt sau đây trong giao tiếp: Page 15 Bảo mật Ipv6 0:0:0:0:0:0:0:0 hay còn được viết " : : " là loại địa chỉ không định danh" được node ipv6 sử dụng để thể hiện rằng hiện tại nó không có địa chỉ Địa chỉ "::" được sử dụng làm địa chỉ nguồn cho các gói tin trong quy trình hoạt động của một node ipv6 khi tiến hành kiểm tra... trúc định tuyến vừa phân cấp vừa không phân cấp, địa chỉ Internet ipv6 được cải tiến trong thiết kế để đảm bảo có một cấu trúc định tuyến và đánh địa chỉ phân cấp rõ ràng Nếu ba mục tiêu quan trọng nhất trong quản lý địa chỉ ipv4 là "sử dụng hiệu quả, tiết kiệm", "tính tổ hợp" và tính có đăng ký" thì đối với địa chỉ ipv6, Page 18 Bảo mật Ipv6 mục tiêu đầu tiên được đặt lên hàng đầu là tính tổ hợp" Điều... tính ipv6 riêng lẻ Địa chỉ ipv6 tương thích được định nghĩa để sử dụng trong những công nghệ chuyển đổi từ địa chỉ ipv4 sang địa chỉ ipv6 bao gồm: Sử dụng trong công nghệ biên dịch giữa địa chỉ ipv4 - ipv6 (cho phép mạng ipv4 giao tiếp được mạng ipv6) Sử dụng cho một hình thức chuyển đồi được gọi là "đường hầm - tunnel" trong đó lợi dụng cơ sở hạ tâng sẵn có của mạng ipv4 để kết nối các mạng ipv6 bằng... trong đó lợi dụng cơ sở hạ tâng sẵn có của mạng ipv4 để kết nối các mạng ipv6 bằng cách bọc gói tin ipv6 vào trong gói tin đánh địa chỉ ipv4 để truyền đi trên mạng cơ sở hạ tầng ipv4, sử dụng cấu trúc định tuyên ipv4 Page 19 Bảo mật Ipv6 Do phục vụ cho công nghệ chuyển đổi giữa giao tiếp ipv4 và ipv6, địa chỉ ipv6 tương thích được cấu hình nên từ địa chỉ ipv4 và có nhiều dạng tuỳ thuộc theo các công nghệ... Protocol Security) là phương thức mã hóa bảo mật dữ liệu tại tầng IP được sử dụng phổ biến (vi dụ khi thực hiện mạng riêng ảo VPN (Virtual Private Network)) Trong thế hệ địa chỉ ipv4, khi có sử dụng lpsec trong bảo mật kết nồi dạng đầu cuối - đầu cuối thông tin hỗ trợ bảo mật và mã hóa được đặt trong trường Tuỳ chọn của mào đầu ipv4 Trong hoạt động của địa chỉ ipv6, thực thi ipsec được coi là một đặc . chuyển 124 Đồ án tốt nghiệp Bảo mật Ipv6 5.7. Nghiên cứu một số điểm quan trọng trong xây dựng quy trình triển khai IPV6 124 Đồ án tốt nghiệp Bảo mật Ipv6 Đồ án tốt nghiệp Bảo mật Ipv6 1. Giới. trong IPv6( Cryptographically generated Address) 81 4.3. Nghiên cứu Bảo mật IPSec cho địa chỉ IPv6 83 Đồ án tốt nghiệp Bảo mật Ipv6 4.3.1. Tổng quan về giao thức bảo mật IPSec 83 4.3.2. Giao thức bảo. Bảo mật Ipv6 BẢO MẬT IPv6 MỤC LỤC BẢO MẬT IPv6 1 MỤC LỤC 1 1. Giới thiệu địa chỉ IPv6 1 1.1. Lịch sử phát triển của địa chỉ IPv6 1 1.2. Nghiên cứu và phân tích

Ngày đăng: 14/12/2021, 17:38

HÌNH ẢNH LIÊN QUAN

Hình 2: Mô hình thực hiện NAT của địa chỉ Ipv4 - Đồ án tốt nghiệp bảo mật IPv6
Hình 2 Mô hình thực hiện NAT của địa chỉ Ipv4 (Trang 8)
Hình 12 : Cấu trúc gói tin IPV6 - Đồ án tốt nghiệp bảo mật IPv6
Hình 12 Cấu trúc gói tin IPV6 (Trang 10)
Hình 8:  Cấu trúc địa chỉ ipv4-compatible - Đồ án tốt nghiệp bảo mật IPv6
Hình 8 Cấu trúc địa chỉ ipv4-compatible (Trang 25)
Hình 13 Mào đầu mở rộng của IPV6 Các giá trị trường mào đầu tiếp theo của gói tin IPV6: - Đồ án tốt nghiệp bảo mật IPv6
Hình 13 Mào đầu mở rộng của IPV6 Các giá trị trường mào đầu tiếp theo của gói tin IPV6: (Trang 30)
Hình 18: Quy trình thực hiện tìm kiếm PathMTU - Đồ án tốt nghiệp bảo mật IPv6
Hình 18 Quy trình thực hiện tìm kiếm PathMTU (Trang 40)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w