4. Nghiên cứu các vấn dề bảomật nâng cao với IPv6
4.1. Nghiên cứu các tùy chọn bảomật riêng cho IPV6 (Privacy Addresses)
Addresses)
Ipv6 cung cấp một số lựa chọn địa chỉ khác nhau để hỗ trợ bảo mật. Bảo mật địa chỉ có thể được thực hiện bằng cách theo dõi các ứng dụng của người dùng, hoặc từ các thông tin từ bên ngoài. Phần này sẽ nói rõ hơn về privacy addressing trong IPv6, sự khác biệt giữa IPv6 và IPv4.
Theo RFC 4291, các thiết bị tự động cấu hình địa chỉ định danh duy nhất toàn cầu theo cách thức định danh IEEE EUI-64. Điều này cung cấp cho cho card mạng một địa chỉ duy nhất gọi là địa chỉ MAC, nó không bị thay đổi ngay cả khi được chuyển sang mạng khác.
Một giao diện chấp nhận các kết nối gửi đến một DNS không thể có một địa chỉ tin tưởng, nhưng nó vẫn còn có thể sử dụng các địa chỉ khác nhau cho các kết nối gửi đi. Trong RFC 4941, phần mở rộng bảo mật cho Stateless Address Autoconfiguration trong IPv6 được định nghĩa để tạo ra và thay đổi địa chỉ tạm thời như vậy. Các yêu cầu quan trọng là trình tự các địa chỉ tạm thời một giao diện lựa chọn phải được hoàn toàn không thể đoán trước và có xác suất thấp ít trùng với sự lựa chọn được thực hiện bởi các giao diện khác.
Các phương pháp được đề xuất trong RFC 4941 hoạt động như sau:
• Lấy thông tin về định danh giao diện mà có thể được sử dụng mà không có kế hoạch này.
• Áp dụng một hàm băm mật mã giá trị này và một trong hai giá trị lịch sử lưu hoặc một số 64-bit được chọn ngẫu nhiên.
• Sử dụng đầu ra của hàm băm để chọn định danh giao diện và cập nhật các giá trị lịch sử.
• Chạy lệnh Duplicate Address Detection (DAD).
• Thiết lập thời gian sống thích hợp và tham gia nhóm multicast của nút tương ứng với định danh giao diện.
• Tiếp tục sử dụng định danh giao diện trước cho các kết nối liên tục, nhưng không phải cho những cái mới.
• Lặp lại quá trình này bất cứ khi nào một trong những kết nối với một mạng mới, hoặc thiết lập các bộ định thời trong quá trình lặp đi lặp lại trước hết hạn.
Ví dụ bảo mật riêng cho IPV6
Như một ví dụ về bảo mật sự riêng tư giải quyết hình trên cho thấy một giao diện Ethernet / 24 với một địa chỉ IPv4 không thể định tuyến chung, / 64 trên toàn cầu có khả năng định tuyến địa chỉ IPv6 được tạo ra với sự riêng tư giải quyết, trên toàn cầu có khả năng định tuyến thứ hai / 64 địa chỉ IPv6 dựa trên địa chỉ IEEE, và liên kết địa chỉ IPv6 địa phương dựa trên địa chỉ IEEE của nó.
Đối với một số lý do, cơ chế bảo mật mở rộng nên được sử dụng với việc chăm sóc, nếu nó được sử dụng ở tất cả:
• Bảo mật được thực sự cung cấp bao nhiêu là vấn đề. Đặc biệt là trên các mạng nhỏ không thay đổi nhiều, bất cứ ai có thể quan sát lưu lượng truy cập mạng cũng có thể tương quan hoạt động tương đối chính xác bất kể có hoặc không có địa chỉ thay đổi định kỳ. Một người quan sát
thậm chí có thể có thể xác định mức độ thường xuyên mỗi giao diện là tạo ra địa chỉ mới.
• Trên một số mạng, các quản trị viên có thể muốn có kiểm soát tốt hơn những gì được kết nối và tương ứng với địa chỉ được sử dụng. Chính sách an ninh địa phương có thể ra lệnh cho mục đích kiểm toán, pháp y, tất cả các địa chỉ phải được Trung ương giao và đăng nhập.Trong những trường hợp như vậy, tốt hơn là không để cho phép các địa chỉ riêng tư hoặc tự động cấu hình địa chỉ không quốc tịch, nhưng yêu cầu sử dụng DHCPv6 cho các bài tập địa chỉ.
• Nhìn chung, chính sách an ninh doanh nghiệp không mở rộng quyền của truyền thông tư nhân để một người dùng trên một máy tính doanh nghiệp hoặc truy cập vào mạng doanh nghiệp.Trong những trường hợp này, các mục tiêu của pháp y và an ninh có thể được xem như là quan trọng hơn so với mục tiêu bảo vệ sự riêng tư của người dùng trong khi sử dụng Internet. Đây là một quyết định chính sách cần được trái lên đến các bộ phận cá nhân hoặc cơ quan.
• Thực hành tốt mạng là để áp dụng lọc xâm nhập, đó là, không cho phép các gói tin mà không có địa chỉ nguồn hợp lệ vào cốt lõi của mạng.Một số phân phối các cuộc tấn công tấn công từ chối dịch vụ (DDOS) đã sử dụng địa chỉ nguồn giả mạo với các tiền tố hợp lệ. Địa chỉ riêng tư có thể được khó khăn để phân biệt từ các địa chỉ được sử dụng trong các cuộc tấn công mà không có các biện pháp bổ sung như giới hạn tốc độ hoặc hoàn tất con đường ngược lại kiểm tra.
Đối với những lý do này, các địa chỉ riêng tư không nên được bật theo mặc định, và cần được xem xét cẩn thận từng trường hợp cụ thể để cho dù đó là giá trị sử dụng.Trong nhiều trường hợp nơi doanh nghiệp đang hoạt động mạng riêng của mình, DHCPv6 địa chỉ có thể được ưa thích hơn.