Đang tải... (xem toàn văn)
BÁO CÁO ĐỀ TÀI BẢO MẬT TRONG IPv6 Địa chỉ IPv6 được viết dưới dạng hexa decimal. Địa chỉ IPV6 có độ dài 128 bít nhị phân. 128 bít nhị phân này được chia thành các nhóm 4 bít, chuyển đổi viết theo dạng số hexa decimal và nhóm 4 số hexa thành một nhóm phân cách bởi dấu “:”. Kết quả, địa chỉ ipv6 được biểu diễn thành một dãy số gồm 8 nhóm số hexa cách nhau bằng dấu “:”, mỗi nhóm gồm 4 chữ số hexa.
ĐẠI HỌC QUỐC GIA TP.HCM ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ VIỄN THÔNG BÁO CÁO ĐỀ TÀI BẢO MẬT TRONG IPv6 Giảng viên hướng dẫn : ThS.Nguyễn Việt Hà ThS.Trần Thị Thảo Nguyên Sinh viên thực hiện : Nguyễn Xuân Diệu 0920159 Huỳnh Trọng Hiếu 0920031 Nguyễn Quang Dương 0920164 Trần Dương Kha 0920182 Lê Quốc Lâm 0920055 Bảo mật trong IPv6 – Nhóm Telecom -2- Mục Lục Phần 1: IPv6 3 Tổng quan 3 IPv6 Header 3 Đặc điểm của IPv6 5 ICMPv6 6 Phần 2: Bảo mật trong IPv6 & IPsec 8 Các dạng tấn công tồn tại trong IPv6 8 Tổng quan về IPsec trong IPv6 8 Tổng quan 8 Các mode trong IPsec 9 Các giao thức sử dụng trong IPsec 9 Quản lí khóa trong IPsec 10 Phần 3: Hoạt động của AH và ESP trong IPsec 10 Hoạt động của AH 12 Hoạt động của ESP 15 Kết luận………………………………………………………………………………18 Bảo mật trong IPv6 – Nhóm Telecom -3- Phần 1: IPv6 (Internet Protocol version 6) I. Tổng quan: Địa chỉ IPv6 được viết dưới dạng hexa decimal. Địa chỉ IPV6 có độ dài 128 bít nhị phân. 128 bít nhị phân này được chia thành các nhóm 4 bít, chuyển đổi viết theo dạng số hexa decimal và nhóm 4 số hexa thành một nhóm phân cách bởi dấu “:”. Kết quả, địa chỉ ipv6 được biểu diễn thành một dãy số gồm 8 nhóm số hexa cách nhau bằng dấu “:”, mỗi nhóm gồm 4 chữ số hexa. VD: 2001:0f68:0000:0000:0000:0000:1986:69af IPv6 có ba loại địa chỉ khác nhau: Unicast, Multicast và Anycast. II. IPv6 Header Cấu trúc của IPv6 header gồm: Phiên bản (Version): Gồm 4 có giá trị là 6 với IPv6. Phân dạng lưu lượng (Traffic Class): Gồm 8 bít, biểu diễn mức độ ưu tiên của gói tin. Nhãn dòng(Flow Label): Có chiều dài 20 bít, sử dụng để chỉ định gói tin thuộc một dòng(Flow) nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6 phải có cách xử lý đặc biệt. Bảo mật trong IPv6 – Nhóm Telecom -4- Chiều dài tải dữ liệu (Payload Length): Gồm 16 bít, xác định tổng kích thước của gói tin IPv6. Next Header: Gồm 8 bít, trường này chỉ định đến headermở rộng đầu tiên của gói tin IPv6 Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet đi qua, được sử dụng để tránh cho packet được định tuyến vòng vòng trong mạng. Trường này giống như trường TTL (Time-To-Live) của IPv4. Source Address: Gồm 128 bít, xác định địa chỉ nguồn của gói tin. Destination Address: Gồm 128 bít, xác định địa chỉ đích của gói tin Header mở rộng (extension header) trong IPv6: Header mở rộng (extension header) là đặc tính mới trong thế hệ địa chỉ IPV6. Trong IPv4, thông tin liên quan đến những đặc tính mở rộng (ví dụ xác thực, mã hoá) đư ợc để trong phần Options của IPv4 header. Địa chỉ IPv6 đưa những đặc tính mở rộng và các dịch vụ thêm vào thành một phần riêng, gọi là header mở rộng. Gói tin IPv6 có thể có một hay nhiều header mở rộng, được đặt sau header chính, trước phần dữ liệu. Các header mở rộng được đặt nối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng. Nhờ tách biệt các dịch vụ gia tăng khỏi các dịch vụ cơ bản và đặt chúng trong header mở rộng, phân loại header mở rộng theo chức năng, địa chỉ IPv6 đ ã gi ảm tải nhiều cho router, và thiết lập nên được một hệ thống cho phép bổ sung một cách linh động các chức năng, kể cả các chức năng hiện nay chưa thấy rõ ràng. Bảo mật trong IPv6 – Nhóm Telecom -5- Thông thường các header mở rộng được xử lý tại đích. Header mở rộng Hop- by-Hop được xử lý tại mọi router mà gói tin đi qua. Thứ tự xử lý các header mở rộng: III. Đặc điểm IPv6: 1. Không gian địa chỉ gần như vô hạn: IPv6 có chiều dài bít (128 bít) gấp 4 lần IPv4 nên đ ã m ở rộng không gian địa chỉ từ khoảng hơn 4 tỷ (4.3 * 109) lên tới một con số khổng lồ (2128 = 3.3*1038). 2. Khả năng tự động cấu hình (Plug and Play): IPv6 cho phép thiết bị IPv6 tự động cấu hình các thông số phục vụ cho việc nối mạng như địa chỉ IP, địa chỉ gateway, địa chỉ máy chủ tên miền khi kết nối vào mạng. 3. Khả năng bảo mật kết nối từ thiết bị gửi đến thiết bị nhận (đầu cuối – đầu cuối): Địa chỉ IPv6 được thiết kế để tích hợp sẵn tính năng bảo mật trong giao thức nên có thể dễ dàng thực hiện bảo mật từ thiết bị gửi đến thiết bị nhận (end-to-end). 4. Quản lý định tuyến tốt hơn: IPv6 được thiết kế có cấu trúc đánh địa chỉ và phân cấp định tuyến thống nhất, dựa trên một số mức cơ bản đối với các nhà cung cấp dịch vụ. Cấu trúc phân cấp này giúp tránh khỏi nguy cơ quá tải bảng thông tin định tuyến toàn cầu khi chiều dài địa chỉ IPv6 lên tới 128 bít. 5. Dễ dàng thực hiện Multicast. Bảo mật trong IPv6 – Nhóm Telecom -6- 6. Hỗ trợ cho quản lý chất lượng mạng: Những cải tiến trong thiết kế của IPv6 như: không phân mảnh, định tuyến phân cấp, gói tin IPv6 được thiết kế với mục đích xử lý thật hiệu quả tại thiết bị định tuyến tạo ra khả năng hỗ trợ tốt hơn cho chất lượng dịch vụ QoS. IV. Internet Control Message Protocol (ICMPv6): ICMPv6 được sử dụng bởi các nút IPv6 để báo cáo các lỗi gặp phải trong việc xử lí các gói tin, và để thực hiện các chức năng của lớp internet, chẳng hạn như chẩn đoán (ICMPv6 "ping") . ICMPv6 là một phần của IPv6, và giao thức nền tảng nảy phải được thực hiện đầy đủ ở mỗi node IPv6. Message General Format Trường Type: Giá trị bít đầu tiên của trường type sẽ xác định đây là thông điệp lỗi (bít đầu có giá trị 0, toàn bộ giá trị trường type từ 0-127), hay thông điệp thông tin (bít đầu có giá trị 1, toàn bộ giá trị trường type từ 128-255) Code: 8 bít trường code sẽ phân dạng sâu hơn gói tin ICMPv6, định rõ đây là gói tin dạng gì trong từng loại thông điệp trên. Checksum: 16 bit, tổng kiểm tra lỗi bản tin ICMPv6. Nhiệm vụ của ICMPv6: Tìm Path MTU (Path MTU Discovery): xác định kích thước MTU (Maximum transmission unit) thích hợp cho truyền thông. Thông báo lỗi (Error Notification) Thông báo thông tin Echo Request and Echo Reply hỗ trợ tiện ích Ping6. Tìm kiếm router và prefix địa chỉ: Router Advertisements ( RA) và Router Solicitations ( RS) giúp cho các node xác định thông tin về mạng LAN của chúng , Bảo mật trong IPv6 – Nhóm Telecom -7- chẳng hạn như tiền tố mạng , gateway mặc định, và các thông tin khác có thể giúp chúng giao tiếp. Tự động cấu hình đ ịa chỉ (Address auto configuration) Kiểm tra trùng lặp địa chỉ (Duplicate Address Detection) Phân giải địa chỉ (Address Resolution): Các giao thức Neighbor Discovery Protocol (NDP), Neighbor Advertisements (NA), and Neighbor Solicitations (NS) cung cấp cho IPv6 chức năng tương đương như giao thức Address Resolution Protocol (ARP) trong IPv4. Kiểm tra tính kết nối được của node lân cận (Neighbor Reachability Detection), Node Information Query (NIQ) chia sẻ thông tin node giữa các node với nhau. Redirect Secure Neighbor Discovery (SEND) hỗ trợ giao tiếp bảo mật giữa các node lân cận. Bảo mật trong IPv6 – Nhóm Telecom -8- Phần 2: Bảo mật trong IPv6 & Ipsec I. CÁC DẠNG TẤN CÔNG TỒN TẠI TRONG IPV6 Giao thức mới IPv6 (Internet Protocol version 6) có những cải tiến đáng kể, giải quyết nhiều vấn đề tồn tại về mặt bảo mật trong giao thức IPv4 c ũ. Vi ệc tích hợp giao thức IPsec (IP security) là bắt buộc trong IPv6, điều này khiến cho giao thức IPv6 trở nên an toàn hơn giao thức IPv4 c ũ. Tuy nhiên, bên cạnh tính mềm dẻo, giao thức IPv6 c ũng đ ặt ra một số vấn đề bảo mật mới. Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer). Các cuộc tấn công có thể là: - Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI nh ư tràn b ộ đệm (buffer overflow), virus, mã đ ộc, tấn công ứng dụng web, … - Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực - Thiết bị giả (rogue device): các thiết bị đưa vào mạng nhưng không được phép. Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định tuyến (router), server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless access point),… - Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6 - Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID, email spamming, phishing, … -Ngoài ra hình thức tần công man-in-the-middle (đây là h ình th ức chặn các gói tin, chuyển đến máy chủ của kẻ tấn công, rồi mới chuyển tiếp, khiến các nạn nhân vẫn tin tưởng đang truyền thông trực tiếp với nhau) vẫn không thể phòng chống trong IPv6. II. TỔNG QUAN VỀ IPSEC TRONG IPV6 a. Tổng quan Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Đi ều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng Bảo mật trong IPv6 – Nhóm Telecom -9- IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đo ạn mã ứng dụng đó sẽ bị thay đổi lớn IPsec đ ã đư ợc giới thiệu và cung cấp các dịch vụ bảo mật: - Tính bảo mật dữ liệu – Data confidentiality - Tính toàn vẹn dữ liệu – Data Integrity - Tính chứng thực nguồn dữ liệu – Data origin authentication - Tính tránh trùng lặp gói tin – Anti-replay b. Các Mode trong IPSec Hai chế độ chính được sử dụng trong ipsec đó là: transport và tunnel. AH và ESP đều cung cấp sự bảo mật bằng cách thêm vào trường header để bảo mật thông tin vào trong datagram. Transport mode: Cách bảo vệ thông tin được thể hiện khi mà gói tin ip được chuyển xuống từ tầng vận chuyển TCP. Thì gói tín được sử lý bởi AH hoặc ESP thêm trường header vào trước trường TCP/UDP header. Lúc này gói tin được chuyển tiếp hay sử lý thông qua IPsec Header, không còn sử lý trên ip header nữa Tunnel mode Trong chế độ đường hầm, ipsec được sử dụng để bảo vệ quá trình đóng gói ip datagram, sau khi ip header đ ã s ẵn sàng. Ipsec header được thêm vào trước ip header, rồi sau đó một ip header mới, được thêm vào trước ipsec header. Lúc đó ip datagram đ ã đư ợc bảo vệ. c. Các giao thức sử dụng trong IPsec Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6: IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Bảo mật trong IPv6 – Nhóm Telecom -10- Thuật toán mã hoá đư ợc sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đ ảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện trong RFC 4305. Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP c ũng h ỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật. Không như AH, header của gói tin IP, bao gồm các option khác. ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51. d. Quản lí khóa trong IPsec - Key Exchange(IKE): Để áp dụng hai Header AH và ESP, yêu cầu các bên tham gia phải thỏa thuận một khóa chung để sử dụng trong việc kiểm tra an toàn thông tin. Các phương pháp quản lí khóa: Quản lý khóa thủ công: Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn nhưng chỉ có thể được chấp nhận để cấu hình một hay hai gateway. Quản lý khóa tự động: Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý SA (Security Association) hai chiều, tạo key và quản lý key. Các giai đoạn thương thuyết IKE: Giai đoạn 1: Thương thuyết bảo mật, kênh chứng thực mà dựa trên đó hệ thống có thể thương thuyết nhiều giao thức khác. Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin. [...]... quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá Nguyên tắc hoạt động của ESP Header -17- Bảo mật trong IPv6 – Nhóm Telecom KẾT LUẬN IPv6 sẽ là giải pháp giải quyết vấn đề không gian địa chỉ IP cho tương lai, mang đến cho người dùng khả năng bảo mật tốt hơn nhờ vào việc sử dụng IPSec IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6 Nó giúp phần làm tăng cường... làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối Bên cạnh các tính năng ưu việt đó, IPv6 vẫn mang trong nó nhiều nguy cơ bảo mật nhất là các cuộc tấn công ở các lớp trên lớp mạng Để phòng chống các rủi ro đó người.. .Bảo mật trong IPv6 – Nhóm Telecom Giai đoạn 2: Xác định dịch vụ được sử dụng bởi IPSec Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng -11- Bảo mật trong IPv6 – Nhóm Telecom Phần 3: Hoạt động của AH và ESP trong IPv6 I Nguyên tắc hoạt động của AH AH được mô tả trong RFC 4302, là một... nhau thì nó chấp nhận gói tin -14- Bảo mật trong IPv6 – Nhóm Telecom II Nguyên tắc hoạt động của ESP ESP Header được mô tả trong RFC 4303, cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6 ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu Khác với AH, ESP cung cấp khả năng bí mật của thông tin thông qua việc... trailer đã bao gồm kiểm tra tính toàn vẹn (IVC) 2 Gói tin IPv6 ESP ở chế độ Transport: -16- Bảo mật trong IPv6 – Nhóm Telecom 3 Gói tin IPv6 ESP ở chế độ Tunnel: 4 Nguyên tắc hoạt động: Về nguyên tắc hoạt động thì ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin IPSec Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống... IP, tất cả các lưu lượng ESP đều được mã hóa giữa 2 hệ thống, do đó xu hướng sử dụng ESP nhiều hơn AH trong tương lai để làm tăng tính an toàn cho dữ liệu Sau khi đóng gói xong bằng ESP, mọi thông tin và mã hoá và giải mã sẽ nằm trong ESP Header Các thuật toán mã hoá sử dụng trong giao thức như : D ES, 3DES, AES Định dạng của ESP Header như sau: -15- Bảo mật trong IPv6 – Nhóm Telecom Định dạng... đích và giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ liệu này Các giá trị SPI 1-255 được dành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởi phía thu khi thiết lập SA -12- Bảo mật trong IPv6 – Nhóm Telecom Sequence Number : Trường này có độ dài 32 bits, chứa một... cuối biết được khoá bí mật của nhau Trường hợp này sử dụng chế độ vận chuyển (Transport Mode) của AH o Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): là trường hợp xác thực giữa hệ thống đầu cuối với một thiết bị trung gian (router hoặc firewall) Trường hợp này sử dụng chế độ đường hầm (Tunnel Mode) của AH -13- Bảo mật trong IPv6 – Nhóm Telecom a) Gói tin IPv6 AH ở chế độ Transport:... bị thay đổi trong khi truyền hay không Tuy nhiên các dữ liệu đều truyền dưới dạng bản Plaintext vì AH không cung cấp khả năng mã hóa dữ liệu Định dạng của AH: Next Header: Trường này có độ dài 8 bits để xác định mào đầu tiếp theo sau AH Payload Length: Trường này có độ dài 8 bits để xác định độ dài của AH không có tải Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc sử dụng trong tương... thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó sẽ có SN=1) Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số nguyên lần 32 bits Trường này có thể chứa thêm một phần dữ liệu đệm để đảm bảo độ dài của AH header là số nguyên lần 32 bít (đối với IPV4) hoặc 64 bít (đối với IPV6) . mật trong IPv6 – Nhóm Telecom -2- Mục Lục Phần 1: IPv6 3 Tổng quan 3 IPv6 Header 3 Đặc điểm của IPv6 5 ICMPv6 6 Phần 2: Bảo mật trong IPv6 & IPsec 8 Các dạng tấn công tồn tại trong IPv6 8 Tổng. luận………………………………………………………………………………18 Bảo mật trong IPv6 – Nhóm Telecom -3- Phần 1: IPv6 (Internet Protocol version 6) I. Tổng quan: Địa chỉ IPv6 được viết dưới dạng hexa decimal. Địa chỉ IPV6 có độ dài 128 bít nhị phân giữa các node lân cận. Bảo mật trong IPv6 – Nhóm Telecom -8- Phần 2: Bảo mật trong IPv6 & Ipsec I. CÁC DẠNG TẤN CÔNG TỒN TẠI TRONG IPV6 Giao thức mới IPv6 (Internet Protocol version 6) có