Tổng quan về đánh địa chỉ tiền tố trong IPv6

Một phần của tài liệu Đồ án tốt nghiệp bảo mật IPv6 (Trang 78)

3. Các tính năng nâng cao của địa chỉ UPv6

3.6.1. Tổng quan về đánh địa chỉ tiền tố trong IPv6

Cơ sở cơ bản cho tiền tố mạng renumbering được quy định trong RFC 4861 và RFC 4862. Renumbering được tạo điều kiện bởi vì RAS cho thuê nhiều địa chỉ để giao diện. Điều này có hai hậu quả: địa chỉ thời gian, bị phản đối, và cuối cùng biến mất, địa chỉ mới có thể ngay lập tức có sẵn. Này làm cho trước-break "switchover được thực hiện bởi có hai kiếp sống cho các tiền tố trong Ras, một đời ưa thích và tuổi thọ hợp lệ. Điều này cho phép các địa chỉ cá nhân được phân loại như là ưa thích hoặc phản đối. Mục đích là để cho phép các giao thức lớp trên có đủ thời gian để hoàn thành bằng cách sử dụng cũ, địa chỉ phản đối và bắt đầu bằng cách sử dụng mới, những người ưa thích. Đồng thời, các địa chỉ link-local các thiết bị định tuyến không thay đổi, do đó, host-to-router ICMPv6, DHCPv6, và cơ sở hạ tầng thông tin liên lạc không bị gián đoạn.

RFC 4861 trình bày một ví dụ trong đó một tiền tố được ban đầu được quảng cáo là có tuổi thọ lâu dài ưa thích sau đó được rút ngắn. Điểm là các nút tháo ra khỏi mạng có thể bỏ lỡ thông báo rút ngắn, do đó, ngay cả sau khi các tiền tố đã hết hạn, các tiền tố phải tiếp tục được quảng cáo với một đời không cho đến khi, thời gian dài ban đầu đã hết hạn. Ví dụ này được đi kèm với một cảnh báo về cuộc đời quảng cáo vô hạn.

Biến chứng khác là Ras mình có thời gian sống, ngoài đời sống của các tiền tố được công bố. Thiếu một tiền tố hợp lệ, không có địa chỉ IPv6 toàn cầu tồn tại, thiếu một RA hợp lệ, không có tuyến đường mặc định tồn tại.

Chỉ vì giao diện có thể chọn địa chỉ với một tiền tố mới không làm cho đánh số lại làm việc. RFC 4192 có chứa một mô tả về một trong các bước cần phải thực hiện để renumber một mạng lưới với một bổ sung khá bình thường của dịch vụ. Quá trình này liên quan đến việc phân bổ phụ tiền tố của tiền tố mới để liên kết và cập nhật tất cả các lần xuất hiện của các địa chỉ từ tiền tố cũ mới. Chúng bao gồm:

• Được gán địa chỉ cho các giao diện trên router.

• Routing thông tin và những tiền tố liên kết quảng cáo bởi các router+ Địa chỉ trên các bộ định tuyến, tường lửa, và các bộ lọc gói được sử dụng để kiểm soát truy cập hoặc lọc xâm nhập.

• Địa chỉ được gán cho giao diện với tự động cấu hình địa chỉ không quốc tịch.

• Địa chỉ và các thông tin khác được cung cấp bởi DHCPv6.

• Bản ghi DNS (chủ yếu là AAAA và bản ghi PTR, cũng như DNSSEC) • Tất cả các trường hợp của địa chỉ trong các ứng dụng, trình tự lệnh, các

file cấu hình, và các nơi khác.

• Một số bộ phận của một mạng lưới có thể được đánh số lại độc lập của người khác, có thể cho phép các quản trị viên để phá vỡ các nhiệm vụ lên và làm cho nó dễ quản lý hơn. Trong tình huống khác, hơn một mã cũ có thể được kết hợp dưới một tiền tố mới.

Các bước nêu trong RFC 4192 có thể được tóm tắt như sau:

1. Lấy tiền tố mới và khu vực đảo ngược DNS. Kế hoạch như thế nào phụ tiền tố sẽ được phân bổ đến các liên kết. Rút ngắn DNS TTLs và DHCP giấy phép. Liệt kê các dịch vụ và các ứng dụng quan trọng và sau đó kiểm tra mỗi một để khám phá tất cả những nơi mà địa chỉ này sẽ cần được cập nhật.

2. Cập nhật các bản ghi DNS. Điều này có thể được thực hiện tập trung hoặc ủy quyền cho hệ thống cá nhân sử dụng DNS động. Trong mọi trường hợp, nó cần phải được phối hợp với bản cập nhật đến các địa chỉ trên giao diện.

3. Cấu hình bộ định tuyến và các dịch vụ cơ sở hạ tầng mạng với tiền tố mới song song với tiếp tục sử dụng tiền tố cũ. DHCPv6 đoàn tiền tố có thể được sử dụng để phân phối phụ tiền tố liên kết. Kiểm tra xem các giao thức định tuyến, DNS, DHCPv6, tường lửa và bộ lọc gói tin, hệ thống phát hiện xâm nhập, và các thành phần cơ sở hạ tầng khác đang làm việc đúng với tiền tố mới trước khi quảng cáo bên ngoài mạng lưới của mình.

4. Phân bổ địa chỉ với tiền tố mới để giao diện trên máy tự động cấu hình địa chỉ không quốc tịch, DHCPv6, hoặc các thủ tục hướng dẫn sử dụng. Kiểm tra rằng tiền tố mới được làm việc một cách chính xác.

Sau bước này ổn định, mạng lưới nên được làm việc một cách chính xác với cả hai tiền tố. Phần còn lại của quá trình này bao gồm loại bỏ các tiền tố cũ. 5. Bắt đầu bằng cách sử dụng các tiền tố mới. Giai đoạn tiền tố cũ ra khỏi máy chủ DNS nội bộ và bên ngoài. Cho phép hệ thống cá nhân để chuyển sang tiền tố mới không đồng bộ. Điều này lây lan tải trên các hệ thống như DNS động. Hệ thống cá nhân có thể cần để chạy các kịch bản hoặc các công cụ nhất định để hoàn thành cấu hình lại của họ. Các ứng dụng có thể bị buộc phải thiết lập lại bộ nhớ cache địa chỉ của họ. Utilities có thể kiểm tra nơi tiền tố cũ vẫn được sử dụng.

6. Ras sau đó yêu cầu tiền tố cũ bằng cách thiết lập các đời ưa thích của các tiền tố và địa chỉ liên kết với tiền tố cũ không.

7. Sau khi phiên sử dụng tiền tố cũ hoàn thành, nó được lấy ra từ cơ sở hạ tầng định tuyến, DNS, bất cứ điều gì mà phụ thuộc vào DNS, và các tập tin cấu hình nào khác. Tiền tố cũ có thể được khai hoang bởi bất cứ ai phân bổ nó. Khu DNS đảo ngược có thể bị xóa và phái đoàn của loại bỏ. Tất cả các giờ, đặc biệt TTLs DNS, có thể được thiết lập lại giá trị bình thường của họ.

Hai trong số các trường hợp khó khăn hơn liên quan đến hệ thống kiểm soát bởi một thực thể hành chính khác (chẳng hạn như một máy chủ DNS bên ngoài) và các thiết bị cấu hình bằng tay.

RFC 4192 và dự thảo đề xuất cập nhật để nó tiếp tục với những lời khuyên về các chủ đề khác nhau từ phát triển phần mềm giao thức định tuyến trên làm thế nào để đánh số lại đi dễ dàng hơn:

Các ứng dụng không nên bỏ qua của DNS TTL giá trị.

• Router không nên dựa vào cấu hình thủ công nhưng có nên sử dụng DNS (correctly!) hoặc cung cấp một khả năng tích hợp cho renumbering. Chăm sóc phải được thực hiện trong việc cập nhật BGP không gây mất định tuyến hoặc nắp tuyến đường truyền trên toàn mạng.

• Xem RFC 4192, Phần 3.4.

• Sử dụng Suối Transmission Control Protocol (SCTP) có thể là một lựa chọn tốt cho các ứng dụng quan trọng là cần phải tiếp tục chạy trong renumbering, vì nó cho phép thay đổi năng động các địa chỉ IP của một thiết bị đầu cuối.

• Đối với MIPv6, đánh số lại tại các trang web truy cập có thể được xử lý như điện thoại di động chuyển đến vị trí mới, và nó có thể tìm hiểu đánh số lại các trang web nhà với MPS và MPA ICMPv6 thông điệp.

3.6.2. Sự khác nhau so với chuẩn IPv4

RFC 2072 chứa một mô tả của IPv4 renumbering ở một mức độ so sánh chi tiết với RFC 4192. Một mặt, NAT đơn giản hoá việc đánh số lại, nhưng đánh số lại các kế hoạch liên quan đến mạng CIDR kích thước khác nhau có xu hướng phức tạp hơn, ví dụ, lập bản đồ 1/48 đến nhau trong IPv6.

Bởi vì IPv4 không cung cấp các khối xây dựng cơ bản để tự động đánh số lại bắt đầu với RAS chứa giờ ưa thích và hợp lệ và tiếp tục với DHCPv6 đoàn tiền tố và các tính năng khác các mạng IPv4 phải được đánh số lại bằng tay, mà thường có nghĩa là hoạt động liên tục trong suốt quá trình renumbering là không thể . Các quá trình được mô tả trong phần này không tương ứng với bất kỳ quy trình thường tiếp theo trong mạng IPv4.

3.6.3. Các khía cạnh bảo mật

• Lỗi và thiếu sót trong quá trình renumbering có thể dẫn đến thờ gian tạm ngưng hoặc mất kết nối trong renumbering. Điều này áp dụng đặc biệt cho các thành phần cơ sở hạ tầng như DNS (bao gồm cả cây đảo ngược) và giao thức định tuyến.

• Đánh số lại, nếu không được thực hiện với sự quan tâm đến an ninh, có thể rời khỏi mạng trong trạng thái trung gian dễ bị tấn công. Nếu một người muốn mở rộng hình ảnh ẩn dụ lâu đài cho các tường lửa, sau đó renumbering là thay đổi của bảo vệ.

• Renumbering không đầy đủ của hệ thống an ninh có thể để lại các lỗ hổng vĩnh viễn.

Nếu renumbering là do thay đổi nhà cung cấp dịch vụ, và cả hai tiền tố có sẵn trong một chồng chéo hoặc giai đoạn chuyển tiếp, tất cả những cân nhắc an ninh cho multihoming áp dụng ở đây:

• Nhiều địa chỉ và những tiền tố dẫn đến biến chứng, đặc biệt là đối với việc thực thi các danh sách kiểm soát truy cập.

• Lọc Ingress, nếu được thực hiện ở cả hai nhà cung cấp dịch vụ, sẽ gây ra một số mất kết nối, trừ khi sắp xếp một số có thể được thực hiện để thư giãn các quy tắc lọc tạm thời.

Cân nhắc an ninh khác bao gồm:

• Đánh số lại sẽ phá vỡ tồn tại lâu dài IPsec SA và kết nối SSL / TLS. • Đăng nhập tập tin cần phải được giải thích một cách chính xác liên

quan để giải quyết các thay đổi.

• Động cập nhật DNS cần được bảo đảm với TSIG và SIG (0) cơ chế quy định tại DNSSEC.

3.6.4. Các khía cạnh chưa được biết đến

Mặc dù tất cả những gì đã được viết về IPv6 renumbering, ít kinh nghiệm thực tế tồn tại, mặc dù có những báo cáo bao gồm một số thí nghiệm kiểm soát. Hướng dẫn, danh sách thô của các bước, và một số cảnh báo tồn tại, nhưng một thoả thuận tập hợp các thực hành tốt nhất vẫn chưa xuất hiện.

Ba chủ đề được xác định là cần chú ý nhiều hơn là:

• Chi tiết tiền tố renumbering thủ tục cho các sản phẩm cụ thể.

• Một phương pháp ổn định để áp dụng đánh số lại để BGP mà không gây ra các cánh tà tuyến đường hoặc cúp.

• Renumbering DNS trên các lĩnh vực hành chính, và, đặc biệt, quản lý của vùng đảo ngược DNS.

Hai phương pháp tiềm năng của việc đơn giản hóa renumbering là:

• Phân công nổi tiếng anycast địa chỉ cho các thiết bị định tuyến và các máy chủ cung cấp các bộ phận quan trọng của cơ sở hạ tầng mạng. • Triển khai một công nghệ nhận dạng định vị phân chia như SHIM6,

trong trường hợp renumbering chỉ liên quan đến phần định vị của địa chỉ.

4. Nghiên cứu các vấn dề bảo mật nâng cao với IPv6

4.1. Nghiên cứu các tùy chọn bảo mật riêng cho IPV6 (PrivacyAddresses) Addresses)

Ipv6 cung cấp một số lựa chọn địa chỉ khác nhau để hỗ trợ bảo mật. Bảo mật địa chỉ có thể được thực hiện bằng cách theo dõi các ứng dụng của người dùng, hoặc từ các thông tin từ bên ngoài. Phần này sẽ nói rõ hơn về privacy addressing trong IPv6, sự khác biệt giữa IPv6 và IPv4.

Theo RFC 4291, các thiết bị tự động cấu hình địa chỉ định danh duy nhất toàn cầu theo cách thức định danh IEEE EUI-64. Điều này cung cấp cho cho card mạng một địa chỉ duy nhất gọi là địa chỉ MAC, nó không bị thay đổi ngay cả khi được chuyển sang mạng khác.

Một giao diện chấp nhận các kết nối gửi đến một DNS không thể có một địa chỉ tin tưởng, nhưng nó vẫn còn có thể sử dụng các địa chỉ khác nhau cho các kết nối gửi đi. Trong RFC 4941, phần mở rộng bảo mật cho Stateless Address Autoconfiguration trong IPv6 được định nghĩa để tạo ra và thay đổi địa chỉ tạm thời như vậy. Các yêu cầu quan trọng là trình tự các địa chỉ tạm thời một giao diện lựa chọn phải được hoàn toàn không thể đoán trước và có xác suất thấp ít trùng với sự lựa chọn được thực hiện bởi các giao diện khác.

Các phương pháp được đề xuất trong RFC 4941 hoạt động như sau:

• Lấy thông tin về định danh giao diện mà có thể được sử dụng mà không có kế hoạch này.

• Áp dụng một hàm băm mật mã giá trị này và một trong hai giá trị lịch sử lưu hoặc một số 64-bit được chọn ngẫu nhiên.

• Sử dụng đầu ra của hàm băm để chọn định danh giao diện và cập nhật các giá trị lịch sử.

• Chạy lệnh Duplicate Address Detection (DAD).

• Thiết lập thời gian sống thích hợp và tham gia nhóm multicast của nút tương ứng với định danh giao diện.

• Tiếp tục sử dụng định danh giao diện trước cho các kết nối liên tục, nhưng không phải cho những cái mới.

• Lặp lại quá trình này bất cứ khi nào một trong những kết nối với một mạng mới, hoặc thiết lập các bộ định thời trong quá trình lặp đi lặp lại trước hết hạn.

Ví dụ bảo mật riêng cho IPV6

Như một ví dụ về bảo mật sự riêng tư giải quyết hình trên cho thấy một giao diện Ethernet / 24 với một địa chỉ IPv4 không thể định tuyến chung, / 64 trên toàn cầu có khả năng định tuyến địa chỉ IPv6 được tạo ra với sự riêng tư giải quyết, trên toàn cầu có khả năng định tuyến thứ hai / 64 địa chỉ IPv6 dựa trên địa chỉ IEEE, và liên kết địa chỉ IPv6 địa phương dựa trên địa chỉ IEEE của nó.

Đối với một số lý do, cơ chế bảo mật mở rộng nên được sử dụng với việc chăm sóc, nếu nó được sử dụng ở tất cả:

• Bảo mật được thực sự cung cấp bao nhiêu là vấn đề. Đặc biệt là trên các mạng nhỏ không thay đổi nhiều, bất cứ ai có thể quan sát lưu lượng truy cập mạng cũng có thể tương quan hoạt động tương đối chính xác bất kể có hoặc không có địa chỉ thay đổi định kỳ. Một người quan sát

thậm chí có thể có thể xác định mức độ thường xuyên mỗi giao diện là tạo ra địa chỉ mới.

• Trên một số mạng, các quản trị viên có thể muốn có kiểm soát tốt hơn những gì được kết nối và tương ứng với địa chỉ được sử dụng. Chính sách an ninh địa phương có thể ra lệnh cho mục đích kiểm toán, pháp y, tất cả các địa chỉ phải được Trung ương giao và đăng nhập.Trong những trường hợp như vậy, tốt hơn là không để cho phép các địa chỉ riêng tư hoặc tự động cấu hình địa chỉ không quốc tịch, nhưng yêu cầu sử dụng DHCPv6 cho các bài tập địa chỉ.

• Nhìn chung, chính sách an ninh doanh nghiệp không mở rộng quyền của truyền thông tư nhân để một người dùng trên một máy tính doanh nghiệp hoặc truy cập vào mạng doanh nghiệp.Trong những trường hợp này, các mục tiêu của pháp y và an ninh có thể được xem như là quan trọng hơn so với mục tiêu bảo vệ sự riêng tư của người dùng trong khi sử dụng Internet. Đây là một quyết định chính sách cần được trái lên đến các bộ phận cá nhân hoặc cơ quan.

• Thực hành tốt mạng là để áp dụng lọc xâm nhập, đó là, không cho phép các gói tin mà không có địa chỉ nguồn hợp lệ vào cốt lõi của mạng.Một số phân phối các cuộc tấn công tấn công từ chối dịch vụ (DDOS) đã sử dụng địa chỉ nguồn giả mạo với các tiền tố hợp lệ. Địa chỉ riêng tư có thể được khó khăn để phân biệt từ các địa chỉ được sử dụng trong các cuộc tấn công mà không có các biện pháp bổ sung như giới hạn tốc độ hoặc hoàn tất con đường ngược lại kiểm tra.

Đối với những lý do này, các địa chỉ riêng tư không nên được bật theo mặc định, và cần được xem xét cẩn thận từng trường hợp cụ thể để cho dù đó là

Một phần của tài liệu Đồ án tốt nghiệp bảo mật IPv6 (Trang 78)

Tải bản đầy đủ (DOC)

(130 trang)
w