Tổng quan về lựa chọn địa chỉ

Một phần của tài liệu Đồ án tốt nghiệp bảo mật IPv6 (Trang 74)

3. Các tính năng nâng cao của địa chỉ UPv6

3.5.1. Tổng quan về lựa chọn địa chỉ

Phần này tóm tắt các quy tắc cho nguồn và lựa chọn địa chỉ đích được chỉ định trong RFC 3484. Tiêu chuẩn lựa chọn và sở thích trong mỗi trường hợp được bảo hiểm. Địa chỉ có thể có lựa chọn để lựa chọn giữa IPv4 so với IPv6, địa chỉ với các phạm vi khác nhau, địa chỉ công cộng hay tư nhân, và vv…. Một số các quy tắc có vẻ rõ ràng, ví dụ, việc lựa chọn một địa chỉ mà không được phản đối trên một trong đó có, nhưng tuy nhiên, phần mềm đã được viết để làm cho sự lựa chọn đúng. Nói chung, cặp nguồn và đích được lựa chọn để phù hợp với phạm vi và các loại (ví dụ, có nguồn gốc IPv6, 6to4, hoặc IPv4-mapped), thích phạm vi nhỏ hơn, và thích địa chỉ gốc của họ qua địa chỉ chuyển tiếp. Nếu điểm đến là một địa chỉ multicast, phạm vi multicast được sử dụng trong việc lựa chọn phạm vi của địa chỉ nguồn unicast. Một trong những nguyên tắc được giới thiệu trong việc lựa chọn địa chỉ là trận đấu

tiền tố dài nhất, có nghĩa là, trong trường hợp không có các tiêu chuẩn khác, người ta chọn địa chỉ nguồn và đích để cố gắng tận dụng lợi thế của sự kết hợp tuyến đường.

Với một địa chỉ, toàn bộ bảng được quét để tìm mục với tiền tố chung dài nhất phù hợp với địa chỉ. Sau đó, các ưu tiên tương ứng và Label được trả về. Điều này có tác dụng, lần đầu tiên, phù hợp với nhãn của nguồn và các điểm đến, và, thứ hai, thích nguồn gốc địa chỉ IPv6 trên IPv4 hoặc các địa chỉ đường hầm khác nhau (6to4 hoặc tương thích v4). Bước đầu tiên trong việc lựa chọn địa chỉ nguồn là để tạo ra một danh sách các lựa chọn ứng cử viên. Nói chung, sự lựa chọn nên phù hợp với giao diện và phạm vi. Bước tiếp theo là để sắp xếp các ứng cử viên bằng cách thông qua một danh sách có thứ tự các quy tắc, bắt đầu với quy tắc 1, và tiến tới các quy tắc tiếp theo chỉ để phá vỡ mối quan hệ:

1. Thích một nguồn địa chỉ bằng điểm đến.

2. Thích phạm vi nhỏ nhất mà ít nhất là lớn như phạm vi của điểm đến. (Quy tắc này là bắt buộc).

3. Thích một địa chỉ mà không bị phản đối.

4. Muốn có một địa chỉ nhà trên một địa chỉ chăm sóc, trừ khi ứng dụng lựa chọn để đảo ngược này.

5. Thích một địa chỉ trên giao diện đi đúng cho các điểm đến nhất định.

6. Thích một địa chỉ phù hợp với nhãn của các điểm đến trong bảng chính sách.

7. Muốn có một địa chỉ công cộng trên địa chỉ tạm thời, trừ khi ứng dụng lựa chọn để đảo ngược này.

8. Sử dụng địa chỉ với tiền tố phù hợp dài nhất chung với điểm đến.

Chọn một địa chỉ đích sau một bộ tương tự các quy tắc. Khác biệt chính là chọn một điểm đến liên quan đến việc yêu cầu nguồn sẽ được sử dụng cho mỗi sự lựa chọn. Các thí sinh được liệt kê và so sánh, bắt đầu từ quy tắc 1 và tiếp tục xuống danh sách các quy tắc để phá vỡ mối quan hệ:

1. Tránh các điểm đến không sử dụng được (những người không thể truy cập hoặc không có địa chỉ nguồn có thể sử dụng).

2. Thích một điểm đến với một nguồn phù hợp với phạm vi. 3. Thích một điểm đến với một nguồn mà không bị phản đối.

4. Thích một điểm đến với một nguồn mà chỉ là một địa chỉ nhà một với một nguồn đó chỉ là một địa chỉ chăm sóc.

3.5.2. Sự khác nhau so với chuẩn IPv4

Vấn đề lựa chọn địa chỉ chính nó là mới với IPv6 vì nhiều lý do:

• Tự do sử dụng các địa chỉ nhiều hơn vì không gian địa chỉ lớn hơn. • scoped địa chỉ (liên kết địa phương độc đáo, địa phương, vv)

• quy tắc rõ ràng cho phép sử dụng nhiều địa chỉ cùng loại • Tiền tố renumbering

• Địa chỉ deprecation.

Các quy tắc lựa chọn địa chỉ công nhận MIPv6 và phân biệt địa chỉ nhà chăm sóc các địa chỉ. Sự hiện diện đồng thời của IPv4, IPv6, và chuyển đổi đường hầm giao thức đòi hỏi phải có các quy tắc lựa chọn địa chỉ tích hợp sử dụng cả IPv4 và IPv6.

3.5.3. Những khía cạnh bảo mật

Việc sử dụng phù hợp các quy tắc lựa chọn địa chỉ ở đây có thể có một tác động về an ninh, ảnh hưởng đến dữ liệu sẵn có và tính toàn vẹn. Địa chỉ lựa chọn không đúng cách có thể dẫn đến bỏ các gói tin vô tình hoặc chuyển tiếp gói tin không hiệu quả, mà không phải là vấn đề an ninh cho mỗi gia nhập. Nhiều cuộc tấn công, tuy nhiên, sử dụng địa chỉ giả mạo, mà có thể được mô tả như là hệ thống không theo các quy tắc.

Địa chỉ nguồn lựa chọn thích hợp là rất quan trọng cho việc lọc xâm nhập. Lưu ý rằng nó có thể là khó khăn cho xâm nhập lọc để phân biệt địa chỉ tạm thời từ giả mạo trong tiền tố "địa chỉ được sử dụng trong các cuộc tấn công DOS. Phủ nhận mới thành lập đến TCP và UDP kết nối có thể ngăn ngừa một

số cuộc tấn công giả mạo địa chỉ nguồn bằng cách ngăn chặn các gói tin với địa chỉ nguồn giả mạo từ quá cảnh các thiết bị bảo vệ mạng.

Địa chỉ lựa chọn các công trình trên địa chỉ IPv4 và IPv6 và có thể xác định được sử dụng khi cả hai đều có sẵn hoặc loại đường hầm được sử dụng. Đảm bảo rằng chính sách địa chỉ lựa chọn được đúng quy định có thể ảnh hưởng đến các giả định khác về an ninh.

Các quy tắc lựa chọn địa chỉ có thể giúp cho phép một số cuộc tấn công về quyền riêng tư. Bằng cách thăm dò một máy chủ với yêu cầu đến từ các địa chỉ nguồn khác nhau và quan sát những gì các địa chỉ nguồn mục tiêu sử dụng cho bài trả lời, người ta có thể trích xuất thông tin về các thiết lập của các địa chỉ được sử dụng bởi mục tiêu.

3.5.4. Những khía cạnh chưa được biết đến

Kinh nghiệm sử dụng các quy tắc mô tả ở trên cho địa chỉ lựa chọn đã công bố một số cấu hình vấn đề, trong đó cần quan tâm hơn nữa. Khi một liên kết có nhiều hơn một bộ định tuyến, hoặc một bộ định tuyến biên giới được kết nối với nhiều hơn một ISP, tiền tố nhiều có thể được sử dụng. Nếu các tiền tố của một địa chỉ nguồn không tương ứng với các kết nối được sử dụng, gói tin có thể được giảm xuống vì lọc xâm nhập, hoặc một tuyến đường không đối xứng có thể được thành lập, và trả lại gói tin có thể được giảm xuống do lọc gói tin.

Vấn đề này thậm chí còn tồi tệ hơn trong trường hợp trong đó một trong các router không phải là kết nối toàn cầu nhưng chỉ có kết nối với một phân đoạn mạng lưới khép kín. Tiền tố renumbering tăng sự phức tạp này, bởi vì sự lựa chọn của các tiền tố thích hợp không phải là tĩnh.

Tiền tố quy tắc trận đấu dài nhất luôn luôn có thể phân biệt hiện đang được phân bổ địa chỉ toàn cầu từ các địa chỉ độc đáo của địa phương, nhưng điều này sẽ trở thành một vấn đề khi địa chỉ toàn cầu với một chút hàng đầu bắt đầu được phân bổ.

Các ứng dụng có thể cần phải có kiểm soát tốt hơn lựa chọn địa chỉ trong những trường hợp nhất định. Một trường hợp được lựa chọn giữa các địa chỉ tạm thời và vĩnh viễn, khác là giữa nhà và chăm sóc các địa chỉ.

Các quy tắc lựa chọn trên thích IPv6 trên địa chỉ IPv4, nhưng các trường hợp tồn tại trong đó các địa chỉ IPv4 là sự lựa chọn tốt hơn. Ví dụ, việc lựa chọn địa chỉ IPv6 có thể dẫn đến sử dụng kém hiệu quả của một đường hầm thông qua mạng IPv4 cùng hoặc lựa chọn một Ula IPv6 chỉ sẽ cung cấp cho kết nối địa phương như trái ngược với một địa chỉ IPv4 có thể cung cấp cho kết nối toàn cầu. Công việc đang được tiến hành để tìm cách để khắc phục tất cả những tình huống này, nhưng trong khi chờ đợi, cài đặt cần phải nhận thức được những vấn đề tiềm năng và cấu hình các cách để làm việc xung quanh, từng trường hợp.

3.6. Đánh địa chỉ tiền tố trong IPv6

3.6.1. Tổng quan về đánh địa chỉ tiền tố trong IPv6

Cơ sở cơ bản cho tiền tố mạng renumbering được quy định trong RFC 4861 và RFC 4862. Renumbering được tạo điều kiện bởi vì RAS cho thuê nhiều địa chỉ để giao diện. Điều này có hai hậu quả: địa chỉ thời gian, bị phản đối, và cuối cùng biến mất, địa chỉ mới có thể ngay lập tức có sẵn. Này làm cho trước-break "switchover được thực hiện bởi có hai kiếp sống cho các tiền tố trong Ras, một đời ưa thích và tuổi thọ hợp lệ. Điều này cho phép các địa chỉ cá nhân được phân loại như là ưa thích hoặc phản đối. Mục đích là để cho phép các giao thức lớp trên có đủ thời gian để hoàn thành bằng cách sử dụng cũ, địa chỉ phản đối và bắt đầu bằng cách sử dụng mới, những người ưa thích. Đồng thời, các địa chỉ link-local các thiết bị định tuyến không thay đổi, do đó, host-to-router ICMPv6, DHCPv6, và cơ sở hạ tầng thông tin liên lạc không bị gián đoạn.

RFC 4861 trình bày một ví dụ trong đó một tiền tố được ban đầu được quảng cáo là có tuổi thọ lâu dài ưa thích sau đó được rút ngắn. Điểm là các nút tháo ra khỏi mạng có thể bỏ lỡ thông báo rút ngắn, do đó, ngay cả sau khi các tiền tố đã hết hạn, các tiền tố phải tiếp tục được quảng cáo với một đời không cho đến khi, thời gian dài ban đầu đã hết hạn. Ví dụ này được đi kèm với một cảnh báo về cuộc đời quảng cáo vô hạn.

Biến chứng khác là Ras mình có thời gian sống, ngoài đời sống của các tiền tố được công bố. Thiếu một tiền tố hợp lệ, không có địa chỉ IPv6 toàn cầu tồn tại, thiếu một RA hợp lệ, không có tuyến đường mặc định tồn tại.

Chỉ vì giao diện có thể chọn địa chỉ với một tiền tố mới không làm cho đánh số lại làm việc. RFC 4192 có chứa một mô tả về một trong các bước cần phải thực hiện để renumber một mạng lưới với một bổ sung khá bình thường của dịch vụ. Quá trình này liên quan đến việc phân bổ phụ tiền tố của tiền tố mới để liên kết và cập nhật tất cả các lần xuất hiện của các địa chỉ từ tiền tố cũ mới. Chúng bao gồm:

• Được gán địa chỉ cho các giao diện trên router.

• Routing thông tin và những tiền tố liên kết quảng cáo bởi các router+ Địa chỉ trên các bộ định tuyến, tường lửa, và các bộ lọc gói được sử dụng để kiểm soát truy cập hoặc lọc xâm nhập.

• Địa chỉ được gán cho giao diện với tự động cấu hình địa chỉ không quốc tịch.

• Địa chỉ và các thông tin khác được cung cấp bởi DHCPv6.

• Bản ghi DNS (chủ yếu là AAAA và bản ghi PTR, cũng như DNSSEC) • Tất cả các trường hợp của địa chỉ trong các ứng dụng, trình tự lệnh, các

file cấu hình, và các nơi khác.

• Một số bộ phận của một mạng lưới có thể được đánh số lại độc lập của người khác, có thể cho phép các quản trị viên để phá vỡ các nhiệm vụ lên và làm cho nó dễ quản lý hơn. Trong tình huống khác, hơn một mã cũ có thể được kết hợp dưới một tiền tố mới.

Các bước nêu trong RFC 4192 có thể được tóm tắt như sau:

1. Lấy tiền tố mới và khu vực đảo ngược DNS. Kế hoạch như thế nào phụ tiền tố sẽ được phân bổ đến các liên kết. Rút ngắn DNS TTLs và DHCP giấy phép. Liệt kê các dịch vụ và các ứng dụng quan trọng và sau đó kiểm tra mỗi một để khám phá tất cả những nơi mà địa chỉ này sẽ cần được cập nhật.

2. Cập nhật các bản ghi DNS. Điều này có thể được thực hiện tập trung hoặc ủy quyền cho hệ thống cá nhân sử dụng DNS động. Trong mọi trường hợp, nó cần phải được phối hợp với bản cập nhật đến các địa chỉ trên giao diện.

3. Cấu hình bộ định tuyến và các dịch vụ cơ sở hạ tầng mạng với tiền tố mới song song với tiếp tục sử dụng tiền tố cũ. DHCPv6 đoàn tiền tố có thể được sử dụng để phân phối phụ tiền tố liên kết. Kiểm tra xem các giao thức định tuyến, DNS, DHCPv6, tường lửa và bộ lọc gói tin, hệ thống phát hiện xâm nhập, và các thành phần cơ sở hạ tầng khác đang làm việc đúng với tiền tố mới trước khi quảng cáo bên ngoài mạng lưới của mình.

4. Phân bổ địa chỉ với tiền tố mới để giao diện trên máy tự động cấu hình địa chỉ không quốc tịch, DHCPv6, hoặc các thủ tục hướng dẫn sử dụng. Kiểm tra rằng tiền tố mới được làm việc một cách chính xác.

Sau bước này ổn định, mạng lưới nên được làm việc một cách chính xác với cả hai tiền tố. Phần còn lại của quá trình này bao gồm loại bỏ các tiền tố cũ. 5. Bắt đầu bằng cách sử dụng các tiền tố mới. Giai đoạn tiền tố cũ ra khỏi máy chủ DNS nội bộ và bên ngoài. Cho phép hệ thống cá nhân để chuyển sang tiền tố mới không đồng bộ. Điều này lây lan tải trên các hệ thống như DNS động. Hệ thống cá nhân có thể cần để chạy các kịch bản hoặc các công cụ nhất định để hoàn thành cấu hình lại của họ. Các ứng dụng có thể bị buộc phải thiết lập lại bộ nhớ cache địa chỉ của họ. Utilities có thể kiểm tra nơi tiền tố cũ vẫn được sử dụng.

6. Ras sau đó yêu cầu tiền tố cũ bằng cách thiết lập các đời ưa thích của các tiền tố và địa chỉ liên kết với tiền tố cũ không.

7. Sau khi phiên sử dụng tiền tố cũ hoàn thành, nó được lấy ra từ cơ sở hạ tầng định tuyến, DNS, bất cứ điều gì mà phụ thuộc vào DNS, và các tập tin cấu hình nào khác. Tiền tố cũ có thể được khai hoang bởi bất cứ ai phân bổ nó. Khu DNS đảo ngược có thể bị xóa và phái đoàn của loại bỏ. Tất cả các giờ, đặc biệt TTLs DNS, có thể được thiết lập lại giá trị bình thường của họ.

Hai trong số các trường hợp khó khăn hơn liên quan đến hệ thống kiểm soát bởi một thực thể hành chính khác (chẳng hạn như một máy chủ DNS bên ngoài) và các thiết bị cấu hình bằng tay.

RFC 4192 và dự thảo đề xuất cập nhật để nó tiếp tục với những lời khuyên về các chủ đề khác nhau từ phát triển phần mềm giao thức định tuyến trên làm thế nào để đánh số lại đi dễ dàng hơn:

Các ứng dụng không nên bỏ qua của DNS TTL giá trị.

• Router không nên dựa vào cấu hình thủ công nhưng có nên sử dụng DNS (correctly!) hoặc cung cấp một khả năng tích hợp cho renumbering. Chăm sóc phải được thực hiện trong việc cập nhật BGP không gây mất định tuyến hoặc nắp tuyến đường truyền trên toàn mạng.

• Xem RFC 4192, Phần 3.4.

• Sử dụng Suối Transmission Control Protocol (SCTP) có thể là một lựa chọn tốt cho các ứng dụng quan trọng là cần phải tiếp tục chạy trong renumbering, vì nó cho phép thay đổi năng động các địa chỉ IP của một thiết bị đầu cuối.

• Đối với MIPv6, đánh số lại tại các trang web truy cập có thể được xử lý như điện thoại di động chuyển đến vị trí mới, và nó có thể tìm hiểu đánh số lại các trang web nhà với MPS và MPA ICMPv6 thông điệp.

3.6.2. Sự khác nhau so với chuẩn IPv4

RFC 2072 chứa một mô tả của IPv4 renumbering ở một mức độ so sánh chi tiết với RFC 4192. Một mặt, NAT đơn giản hoá việc đánh số lại, nhưng đánh số lại các kế hoạch liên quan đến mạng CIDR kích thước khác nhau có xu hướng phức tạp hơn, ví dụ, lập bản đồ 1/48 đến nhau trong IPv6.

Bởi vì IPv4 không cung cấp các khối xây dựng cơ bản để tự động đánh số

Một phần của tài liệu Đồ án tốt nghiệp bảo mật IPv6 (Trang 74)

Tải bản đầy đủ (DOC)

(130 trang)
w