1. Trang chủ
  2. » Luận Văn - Báo Cáo

BÁO CÁO ĐỀ TÀI BẢO MẬT TRONG IPv6

18 1K 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 18
Dung lượng 375,78 KB

Nội dung

BÁO CÁO ĐỀ TÀI BẢO MẬT TRONG IPv6 Địa chỉ IPv6 được viết dưới dạng hexa decimal. Địa chỉ IPV6 có độ dài 128 bít nhị phân. 128 bít nhị phân này được chia thành các nhóm 4 bít, chuyển đổi viết theo dạng số hexa decimal và nhóm 4 số hexa thành một nhóm phân cách bởi dấu “:”. Kết quả, địa chỉ ipv6 được biểu diễn thành một dãy số gồm 8 nhóm số hexa cách nhau bằng dấu “:”, mỗi nhóm gồm 4 chữ số hexa.

Trang 1

KHOA ĐIỆN TỬ VIỄN THÔNG



BÁO CÁO ĐỀ TÀI BẢO MẬT TRONG IPv6

ThS.Trần Thị Thảo Nguyên

Huỳnh Trọng Hiếu 0920031 Nguyễn Quang Dương 0920164 Trần Dương Kha 0920182

Trang 2

Mục Lục

Phần 1: IPv6 3

Tổng quan 3

IPv6 Header 3

Đặc điểm của IPv6 5

ICMPv6 6

Phần 2: Bảo mật trong IPv6 & IPsec 8

Các dạng tấn công tồn tại trong IPv6 8

Tổng quan về IPsec trong IPv6 8

Tổng quan 8

Các mode trong IPsec 9

Các giao thức sử dụng trong IPsec 9

Quản lí khóa trong IPsec 10

Phần 3: Hoạt động của AH và ESP trong IPsec 10

Hoạt động của AH 12

Hoạt động của ESP 15

Kết luận………18

Trang 3

Phần 1: IPv6

(Internet Protocol version 6)

Địa chỉ IPv6 được viết dưới dạng hexa decimal Địa chỉ IPV6 có độ dài 128 bít nhị phân 128 bít nhị phân này được chia thành các nhóm 4 bít, chuyển đổi viết theo

dạng số hexa decimal và nhóm 4 số hexa thành một nhóm phân cách bởi dấu “:” Kết

quả, địa chỉ ipv6 được biểu diễn thành một dãy số gồm 8 nhóm số hexa cách nhau

bằng dấu “:”, mỗi nhóm gồm 4 chữ số hexa.

VD: 2001:0f68:0000:0000:0000:0000:1986:69af

IPv6 có ba loại địa chỉ khác nhau: Unicast, Multicast và Anycast.

Cấu trúc của IPv6 header gồm:

 Phiên bản (Version): Gồm 4 có giá trị là 6 với IPv6.

 Phân dạng lưu lượng (Traffic Class): Gồm 8 bít, biểu diễn mức độ ưu

tiên của gói tin

 Nhãn dòng(Flow Label): Có chiều dài 20 bít, sử dụng để chỉ định gói

tin thuộc một dòng(Flow) nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6 phải có cách xử lý đặc biệt

Trang 4

 Chiều dài tải dữ liệu (Payload Length): Gồm 16 bít, xác định tổng

kích thước của gói tin IPv6

 Next Header: Gồm 8 bít, trường này chỉ định đến headermở rộng đầu

tiên của gói tin IPv6

 Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet đi

qua, được sử dụng để tránh cho packet được định tuyến vòng vòng trong mạng Trường này giống như trường TTL (Time-To-Live) của IPv4

 Source Address: Gồm 128 bít, xác định địa chỉ nguồn của gói tin.

 Destination Address: Gồm 128 bít, xác định địa chỉ đích của gói tin

 Header mở rộng (extension header) trong IPv6:

Header mở rộng (extension header) là đặc tính mới trong thế hệ địa chỉ IPV6 Trong IPv4, thông tin liên quan đến những đặc tính mở rộng (ví dụ xác thực,

mã hoá) được để trong phần Options của IPv4 header Địa chỉ IPv6 đưa những đặc tính mở rộng và các dịch vụ thêm vào thành một phần riêng, gọi là header mở rộng Gói tin IPv6 có thể có một hay nhiều header mở rộng, được đặt sau header chính, trước phần dữ liệu Các header mở rộng được đặt nối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng

Nhờ tách biệt các dịch vụ gia tăng khỏi các dịch vụ cơ bản và đặt chúng trong header mở rộng, phân loại header mở rộng theo chức năng, địa chỉ IPv6 đã giảm tải nhiều cho router, và thiết lập nên được một hệ thống cho phép bổ sung một cách linh động các chức năng, kể cả các chức năng hiện nay chưa thấy rõ ràng

Trang 5

Thông thường các header mở rộng được xử lý tại đích Header mở rộng Hop-by-Hop được xử lý tại mọi router mà gói tin đi qua

Thứ tự xử lý các header mở rộng:

III Đặc điểm IPv6:

1 Không gian địa chỉ gần như vô hạn: IPv6 có chiều dài bít (128 bít) gấp 4 lần

IPv4 nên đã mở rộng không gian địa chỉ từ khoảng hơn 4 tỷ (4.3 * 109) lên tới một con

số khổng lồ (2128 = 3.3*1038)

2 Khả năng tự động cấu hình (Plug and Play): IPv6 cho phép thiết bị IPv6 tự

động cấu hình các thông số phục vụ cho việc nối mạng như địa chỉ IP, địa chỉ gateway, địa chỉ máy chủ tên miền khi kết nối vào mạng

3 Khả năng bảo mật kết nối từ thiết bị gửi đến thiết bị nhận (đầu cuối – đầu

cuối): Địa chỉ IPv6 được thiết kế để tích hợp sẵn tính năng bảo mật trong giao thức

nên có thể dễ dàng thực hiện bảo mật từ thiết bị gửi đến thiết bị nhận (end-to-end)

4 Quản lý định tuyến tốt hơn: IPv6 được thiết kế có cấu trúc đánh địa chỉ và

phân cấp định tuyến thống nhất, dựa trên một số mức cơ bản đối với các nhà cung cấp dịch vụ Cấu trúc phân cấp này giúp tránh khỏi nguy cơ quá tải bảng thông tin định tuyến toàn cầu khi chiều dài địa chỉ IPv6 lên tới 128 bít

5 Dễ dàng thực hiện Multicast.

Trang 6

6 Hỗ trợ cho quản lý chất lượng mạng: Những cải tiến trong thiết kế của IPv6

như: không phân mảnh, định tuyến phân cấp, gói tin IPv6 được thiết kế với mục đích

xử lý thật hiệu quả tại thiết bị định tuyến tạo ra khả năng hỗ trợ tốt hơn cho chất lượng dịch vụ QoS

ICMPv6 được sử dụng bởi các nút IPv6 để báo cáo các lỗi gặp phải trong việc xử lí các gói tin, và để thực hiện các chức năng của lớp internet, chẳng hạn như chẩn đoán (ICMPv6 "ping") ICMPv6 là một phần của IPv6, và giao thức nền tảng nảy phải được thực hiện đầy đủ ở mỗi node IPv6

Message General Format

Trường Type: Giá trị bít đầu tiên của trường type sẽ xác định đây là thông điệp lỗi

(bít đầu có giá trị 0, toàn bộ giá trị trường type từ 0-127), hay thông điệp thông tin (bít đầu có giá trị 1, toàn bộ giá trị trường type từ 128-255)

Code: 8 bít trường code sẽ phân dạng sâu hơn gói tin ICMPv6, định rõ đây là gói

tin dạng gì trong từng loại thông điệp trên

Checksum: 16 bit, tổng kiểm tra lỗi bản tin ICMPv6.

 Nhiệm vụ của ICMPv6:

 Tìm Path MTU (Path MTU Discovery): xác định kích thước MTU (Maximum transmission unit) thích hợp cho truyền thông

 Thông báo lỗi (Error Notification)

 Thông báo thông tin

 Echo Request and Echo Reply hỗ trợ tiện ích Ping6

 Tìm kiếm router và prefix địa chỉ: Router Advertisements ( RA) và Router

Solicitations ( RS) giúp cho các node xác định thông tin về mạng LAN của chúng ,

Trang 7

chẳng hạn như tiền tố mạng , gateway mặc định, và các thông tin khác có thể giúp chúng giao tiếp

 Tự động cấu hình địa chỉ (Address auto configuration)

 Kiểm tra trùng lặp địa chỉ (Duplicate Address Detection)

 Phân giải địa chỉ (Address Resolution): Các giao thức Neighbor Discovery

Protocol (NDP), Neighbor Advertisements (NA), and Neighbor Solicitations (NS) cung cấp cho IPv6 chức năng tương đương như giao thức Address Resolution Protocol (ARP) trong IPv4

 Kiểm tra tính kết nối được của node lân cận (Neighbor Reachability Detection), Node Information Query (NIQ) chia sẻ thông tin node giữa các node với nhau

 Redirect

 Secure Neighbor Discovery (SEND) hỗ trợ giao tiếp bảo mật giữa các node lân cận

Trang 8

Phần 2: Bảo mật trong IPv6 & Ipsec

I CÁC DẠNG TẤN CÔNG TỒN TẠI TRONG IPV6

Giao thức mới IPv6 (Internet Protocol version 6) có những cải tiến đáng kể, giải quyết nhiều vấn đề tồn tại về mặt bảo mật trong giao thức IPv4 cũ Việc tích hợp giao thức IPsec (IP security) là bắt buộc trong IPv6, điều này khiến cho giao thức IPv6 trở nên an toàn hơn giao thức IPv4 cũ

Tuy nhiên, bên cạnh tính mềm dẻo, giao thức IPv6 cũng đặt ra một số vấn đề bảo mật mới Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer) Các cuộc tấn công có thể là:

- Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI như tràn bộ đệm (buffer overflow), virus, mã độc, tấn công ứng dụng web, …

- Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực

- Thiết bị giả (rogue device): các thiết bị đưa vào mạng nhưng không được phép Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định tuyến (router), server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless access point),…

- Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6

- Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID, email spamming, phishing, …

-Ngoài ra hình thức tần công man-in-the-middle (đây là hình thức chặn các gói tin, chuyển đến máy chủ của kẻ tấn công, rồi mới chuyển tiếp, khiến các nạn nhân vẫn tin tưởng đang truyền thông trực tiếp với nhau) vẫn không thể phòng chống trong IPv6

II TỔNG QUAN VỀ IPSEC TRONG IPV6

a Tổng quan

Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI) Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI Với một ứng dụng sử dụng

Trang 9

IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó

sẽ bị thay đổi lớn

IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:

- Tính bảo mật dữ liệu – Data confidentiality

- Tính toàn vẹn dữ liệu – Data Integrity

- Tính chứng thực nguồn dữ liệu – Data origin authentication

- Tính tránh trùng lặp gói tin – Anti-replay

b Các Mode trong IPSec

Hai chế độ chính được sử dụng trong ipsec đó là: transport và tunnel AH và ESP đều cung cấp sự bảo mật bằng cách thêm vào trường header để bảo mật thông tin vào trong datagram

 Transport mode:

Cách bảo vệ thông tin được thể hiện khi mà gói tin ip được chuyển xuống từ tầng vận chuyển TCP Thì gói tín được sử lý bởi AH hoặc ESP thêm trường header vào trước trường TCP/UDP header Lúc này gói tin được chuyển tiếp hay sử lý thông qua IPsec Header, không còn sử lý trên ip header nữa

 Tunnel mode

Trong chế độ đường hầm, ipsec được sử dụng để bảo vệ quá trình đóng gói ip

datagram, sau khi ip header đã sẵn sàng Ipsec header được thêm vào trước ip header, rồi sau đó một ip header mới, được thêm vào trước ipsec header Lúc đó ip datagram

đã đư ợc bảo vệ

c Các giao thức sử dụng trong IPsec

Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:

 IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực

 IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu

Trang 10

Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã

mã hoá và đảm bảo độ an toàn của gói tin Toàn bộ thuật toán này được thể hiện trong RFC 4305

 Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets AH bảo vệ quá trình truyền dữ liệu khi

sử dụng IP

 Encapsulating Security Payload (ESP)

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật Không như AH, header của gói tin IP, bao gồm các option khác ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51

d Quản lí khóa trong IPsec - Key Exchange(IKE):

Để áp dụng hai Header AH và ESP, yêu cầu các bên tham gia phải thỏa thuận một khóa chung để sử dụng trong việc kiểm tra an toàn thông tin

 Các phương pháp quản lí khóa:

 Quản lý khóa thủ công: Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn nhưng chỉ có thể được chấp nhận để cấu hình một hay hai gateway

 Quản lý khóa tự động: Internet Key Exchange (IKE) cung cấp key một cách tự

động, quản lý SA (Security Association) hai chiều, tạo key và quản lý key.

 Các giai đoạn thương thuyết IKE:

Giai đoạn 1: Thương thuyết bảo mật, kênh chứng thực mà dựa trên đó hệ thống có

thể thương thuyết nhiều giao thức khác Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin

Trang 11

Giai đoạn 2: Xác định dịch vụ được sử dụng bởi IPSec Chúng đồng ý giao thức

IPSec, thuật toán hash, và thuật toán mã hoá Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng

Trang 12

Phần 3: Hoạt động của AH và ESP trong IPv6

I Nguyên tắc hoạt động của AH

AH được mô tả trong RFC 4302, là một IPSec header cung cấp xác thực gói tin và kiểm tra tính toàn vẹn AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống Nó là phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền hay không Tuy nhiên các dữ liệu đều truyền dưới dạng bản Plaintext

vì AH không cung cấp khả năng mã hóa dữ liệu

Định dạng của AH:

Next Header: Trường này có độ dài 8 bits để xác định mào đầu tiếp theo sau AH.

Payload Length: Trường này có độ dài 8 bits để xác định độ dài của AH không có tải Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc sử dụng trong tương lai.

Giá trị của trường này được thiết lập bằng 0 bởi bên gửi và sẽ được loại bỏ bởi bên nhận

SPI (Security Parameters index): Đây là một số 32 bits bất kì, cùng với địa chỉ đích và

giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ liệu này Các giá trị SPI 1-255 được dành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởi phía thu khi thiết lập SA

Trang 13

Sequence Number : Trường này có độ dài 32 bits, chứa một giá trị đếm tăng dần (SN),

đây là trường không bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào đó Việc thực hiện SN tùy thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không cần phải xử lí nó Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó sẽ

có SN=1)

Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn

vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số nguyên lần 32 bits Trường này

có thể chứa thêm một phần dữ liệu đệm để đảm bảo độ dài của AH header là số nguyên lần

32 bít (đối với IPV4) hoặc 64 bít (đối với IPV6)

Chế độ xác thực:

o Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): là trường hợp xác thực trực tiếp giữa hai hệ thống đầu cuối (giữa máy chủ với trạm làm việc hoặc giữa hai trạm làm việc), việc xác thực này có thể diễn ra trên cùng mạng nội bộ hoặc giữa hai mạng khác nhau, chỉ cần hai đầu cuối biết được khoá bí mật của nhau Trường hợp này sử dụng chế độ vận chuyển (Transport Mode) của AH

o Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): là trường hợp xác thực giữa hệ thống đầu cuối với một thiết bị trung gian (router hoặc firewall) Trường hợp này sử dụng chế độ đường hầm (Tunnel Mode) của AH

Trang 14

a) Gói tin IPv6 AH ở chế độ Transport:

b) Gói tin IPv6 AH ở chế độ Tunnel

Nguyên tắc hoạt động của AH

Bước 1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy

qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số, và chuỗi số này sẽ được gán vào AH

Header

Bước 2: AH Header này sẽ được chèn vào gi ữa Payload và IP Header và chuyển sang

phía bên kia

Bước 3: Router đích sau khi nhận được gói tin này bao gồm : IP Header + AH Header +

Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số

Bước 4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó chấp

nhận gói tin

Ngày đăng: 04/07/2014, 18:10

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w