2. Tổng quan về địa chỉ IPv6
3.5.2. Bảomật cho các giao thức định tuyến
Giao thức định tuyến có thể là mối đe dọa như cập nhật trái phép cho một trong hai tuyến đường IPv4 hoặc IPv6. Khả năng bảo mật đã được thiết kế cho các giao thức định tuyến để giảm thiểu các mối đe dọa cập nhật trái phép. Một số giao thức định tuyến IPv6 dựa trên cơ chế tương tự với những người trong IPv4 để bảo vệ, trong khi những người khác đã kết hợp IPsec để bảo vệ. Các cơ chế bảo mật này không cung cấp bảo mật end-to-end để giao thức định
tuyến qua các bước nhảy nhiều, bởi vì trong khi họ cung cấp đảm bảo tính toàn vẹn cho thông điệp giao thức định tuyến giữa các nút, không xác minh tính toàn vẹn của tin nhắn nhận được từ các nút khác mà không phải là một phần của một an ninh hiệp hội. Đây là mối quan tâm an ninh lớn đối với EGPs và ít hơn cho IGPs.
RIPng
RIP cho IPv4 sử dụng một cơ chế toàn vẹn dựa trên MD5, điều này đã được gỡ bỏ từ RIPng. RIPng không cung cấp tính năng bảo đảm tính toàn vẹn. Per RFC 2080, RIPng thúc đẩy IPsec để bảo mật. Cần lưu ý rằng các nhà cung cấp phần cứng đã không được tích hợp tính năng IPsec như là một tùy chọn cấu hình, thay vì dựa vào hỗ trợ IPsec IPv6 từ các nền tảng hoạt động để bảo vệ. RIPng là chỉ thích hợp cho nhỏ, mạng lưới tư nhân nơi mà các mối đe dọa của các cuộc tấn công định tuyến được giảm thiểu đáng kể.
OSPFv3
Bảo mật OSPFv2 trong một môi trường dual stack sẽ bảo vệ không phải giao thức OSPFv3 cũng không phải là bảng định tuyến OSPFv3. OSPFv2 cho phép xác thực null, dựa trên mật khẩu hoặc mã hóa bằng cách sử dụng MD5 dựa trên tính toàn vẹn cho định tuyến cập nhật. Các trường xác được tìm thấy trong OSPFv2 đã được gỡ bỏ từ các gói tin OSPFv3 cho IPv6, vì vậy MD5 không phải là một lựa chọn xác thực. OSPFv3 cung cấp không có đảm bảo tính toàn vẹn tính năng và dựa trên IPsec AH hoặc ESP để xác thực, tính toàn vẹn, bảo mật và. Lưu ý rằng OSPFv3 sử dụng unicast và multicast, và IKE không làm việc với multicast, vì vậy phương pháp mặc định là sử dụng keying hướng dẫn sử dụng. Kể từ khi bảo vệ replay không có thể được cung cấp bằng cách sử dụng keying hướng dẫn sử dụng, OSPFv3 thông điệp dễ bị tấn công phát lại, có thể dẫn đến các cuộc tấn công DoS, đơn vị xử lý trung tâm (CPU) quá tải, và các vòng lặp định tuyến nội địa hóa. IPsec cho OSPFv3 được nêu chi tiết trong RFC 4552.
Với giao thức định tuyến, định tuyến toàn vẹn thường là một mối quan tâm lớn hơn bảo mật. Tham số ESP NULL cho thấy không có mã hóa thường được coi là một lựa chọn chấp nhận được đối với an ninh OSPF.
IS-IS và EIGRP
Cả hai IS-IS và EIGRP hỗ trợ tính toàn vẹn dựa trên MD5 đơn giản để bảo vệ các thông tin cập nhật định tuyến IPv6, tương tự như bảo vệ cập nhật định tuyến cho IS-IS và EIGRP cho IPv4.
BGP
Việc sử dụng BGP là một giao thức định tuyến liên AS có nghĩa là nó có thể là mối đe dọa nghiêm trọng. Ba cơ chế tồn tại để giảm thiểu mối đe dọa đối với BGP. Đầu tiên là việc sử dụng các tính toàn vẹn dựa trên MD5-để bảo vệ các cập nhật định tuyến. Cơ chế thứ hai để giảm thiểu các mối đe dọa để BGP là GTSM (RFC 5082). GTSM là một cơ chế bảo mật đơn giản cho việc loại bỏ các tin nhắn giả mạo BGP dựa trên IP TTL hoặc Limit Hop.
BGP gửi bộ định tuyến luôn luôn sử dụng một TTL = 255, và kiểm tra router nhận BGP TTL có giá trị dự kiến của 255. Bất kỳ gói dữ liệu từ một kẻ tấn công từ xa có để đi du lịch thông qua can thiệp router, sẽ có một TTL nhỏ hơn tối đa, và sẽ được giảm trên hóa đơn. Lưu ý rằng hoạt động router như các thiết bị đầu cuối của một giao thức đường hầm không thể giảm các hop count khi nhận được gói tin thông qua đường hầm, do đó những hình dung có thể đến từ bất cứ nơi nào với TTL = 255. Cơ chế thứ ba để giảm thiểu các mối đe dọa để BGP là IPsec. IPsec quản lý chủ chốt có thể sử dụng bí mật được chia sẻ hoặc giấy chứng nhận khóa công khai, cho phép IPsec để cung cấp khả năng mở rộng. GTSM có chi phí thấp nhất trong ba cơ chế, và là dễ nhất để cấu hình. Nó cũng cung cấp bảo vệ kém hiệu quả nhất. Cơ chế chữ ký MD5 cung cấp bảo vệ phía trên thấp và hiệu quả, nhưng nó buộc các quản trị viên để làm gián đoạn phiên BGP của họ tại mỗi lần cập nhật quan trọng, và nó cũng không quy mô. IPsec cung cấp bảo vệ hiệu quả, sự gián đoạn ít nhất, và khả năng mở rộng tốt nhất. Nó cũng áp đặt chi phí cao nhất (mặc dù chi phí vẫn còn nhỏ), và nó là cơ chế phức tạp nhất để cấu hình. Tóm lại, bằng cách sử dụng một tổng kiểm tra MD5 là chắc chắn tốt hơn là không có gì, nhưng MD5 chính nó có thể bị tấn công thành công, và hầu hết những phương pháp này không có cách dễ dàng để thay đổi các chức năng băm hoặc thậm chí thay đổi các phím. IPsec là thích hợp hơn cho các giao thức định tuyến hỗ
trợ việc sử dụng nó. Tất cả các cơ chế bảo mật trên bảo vệ chống lại chèn trái phép hoặc thao tác của giao thức định tuyến messages.22 Họ không bảo vệ chống lại một router bị hỏng hoặc bị hư hỏng mà có thể xây dựng và vượt qua cùng thông tin định tuyến không chính xác. Nhiều phương pháp để cung cấp tốt hơn an ninh cho end-to-end BGP đã được đề xuất, nhưng vẫn chưa đạt được sự đồng thuận về một giải pháp duy nhất.