Tự động cấu hình địa chỉ có trạng thái

Một phần của tài liệu triển khai IPV6 VA UNG DUNG trong thực tế tại viẹt nam (Trang 46)

2.2. Tự động cấu hình địa chỉ

2.2.1. Tự động cấu hình địa chỉ có trạng thái

Sự khác biệt giữa cấu hình stateful và stateless là ai là người quản lý địa chỉ. Trong mơ hình tự động cấu hình địa chỉ có trạng thái, các host dành được địa chỉ cho giao diện của mình và các thơng tin cấu hình cũng như các tham số từ máy chủ. Máy chủ sẽ duy trì một cơ sở dữ liệu để biết địa chỉ nào được gán cho máy nào. Mơ hình tự động cấu hình có trạng thái và mơ hình tự động cấu hình khơng trạng thái có sự bổ xung lẫn nhau. Ví dụ như một host có thể dùng phương pháp tự động thiết lập cấu hình địa chỉ khơng trạng thái để thiết lập địa chỉ của nó, cịn dùng phương pháp tự động thiết lập cấu hình có trạng thái để lấy các thông tin khác.

DHCPv6 là một giao thức UDP client/server được thiết kế nhằm làm giảm chi phí quản lý tập trung của các tài nguyên mạng như địa chỉ, thông tin

định tuyến, thông tin của hệ thống, thơng tin thư mục dịch vụ thay vì phân tán chúng trên các tệp nội bộ ở tất cả các máy trên mạng.

Điểm quan trọng ở đây là máy chủ DHCP quản lý thông tin địa chỉ và duy trì là địa chỉ nào sẽ được phân bổ cho ai. Trong phân bổ địa chỉ bằng DHCP, một node chỉ có thể sử dụng duy nhất một DHCP server (mặc dù có thể có nhiều máy chủ DHCP trong một mạng). Như vậy chỉ có một địa chỉ IP được phân bổ cho giao diện của một node.

- DHCPv6 sử dụng các địa chỉ muticast sau:

+ FF02::1:2. Đây là địa chỉ muticast cho tất cả các DHCP agent. DHCP agent là các máy chủ DHCP hay các node có nhiệm vụ chuyển tiếp các thơng báo giữa máy trạm và máy chủ

+ FF05::1:3. Địa chỉ muticast cho tất cả các máy chủ DHCP - DHCPv6 có các loại thơng báo sau:

+ Solicit: Được sử dụng bởi máy trạm để xác định máy chủ

+ Advertise: Được sử dụng bởi máy chủ để đáp lại thông báo “solicit” + Request: Được sử dụng bởi máy trạm để yêu cầu các tham số cấu

hình từ máy chủ

+ Confirm: Được sử dụng bởi máy trạm để xác nhận với máy chủ khi nhận địa chỉ cũng như tham số cấu hình từ máy chủ

+ Renew: Được sử dụng bởi máy trạm để cập nhật địa chỉ cũng như các tham số cấu hình từ máy chủ

+ Rebind: Được sử dụng bởi máy trạm để gia hạn thời gian sống của địa chỉ

+ Reply: Được sử dụng bởi máy chủ để đáp lại thông báo “Request, Renew, Rebind, Information - request, Release và Decline”

+ Release: Được sử dụng bởi máy trạm để thơng báo cho máy chủ nó khơng cịn địa chỉ

+ Decline: Được sử dụng bởi máy trạm để thơng báo cho máy chủ có sự trùng địa chỉ

+ Configure: Được sử dụng bởi máy chủ để thông báo cho máy trạm nó có các thong tin mới cập nhật trong các tham số. Máy trạm cần sử dụng thông báo “Renew” hay “Information - request” để lấy các tham số mới

+ Information - request: Được sử dụng bởi máy trạm để yêu cầu các thông tin tham số mà không cần gán lại địa chỉ IP

+ Relay - forward: Được sử dụng bởi các node chuyển tiếp để chuyển tiếp các yêu cầu của máy trạm đến máy chủ

+ Relay - reply: được sử dụng bởi máy chủ để phản hồi lại các yêu cầu của máy trạm thông qua node chuyển tiếp

Các relay-agent có nhiệm vụ chuyển tiếp các thơng báo từ máy trạm đến máy chủ khi khơng có các máy chủ DHCP trong cùng một liên kết

Các máy chủ và máy trạm sử dụng một định danh DUID (DHCP Unique IDentifier) để liên lạc với nhau

2.2.2. Tự động cấu hình địa chỉ khơng trạng thái

Trong IPv6, 128 bít địa chỉ được phân làm hai phần là tiền tố mạng, để xác định mạng và định danh giao diện (interface ID) để xác định giao diện. Phần định danh giao diện sẽ được tự node cấu hình lên, cịn prefix được thơng báo bởi mạng (thường là do router). Hai phần đó sẽ kết hợp lại để cấu thành lên địa chỉ IPv6

Hình 2.2. Địa chỉ IPv6

Quy trình sau đây là quy trình thực sự của cấu hình tự động địa chỉ IPv6 không trạng thái (stateless)

1. Node mới trong mạng tạo địa chỉ link-local và gắn nó cho giao diện. Tiền tố của địa chỉ link-local có dạng như sau: fe80:0000:0000:0000:0000:

Hình 2.3. Địa chỉ link-local

2. Node thực hiện kiểm tra để chắc chắn rằng địa chỉ link-local khơng có sử dụng rồi trong cùng mạng bằng DAD- Duplicate Address Detection. Trước tiên, node truyền thông điệp Neighbor Solicitation (NS) trong mạng với trường địa chỉ đích được thiết lập là địa chỉ link - local. Nếu một node nào đó đã sử dụng cùng địa chỉ rồi, node này sẽ gửi thông điệp Neighbor Advertisement (NA). Node mới sẽ sử dụng địa chỉ link-local nó vừa tạo nếu sau một khoảng thời gian nó khơng nhận được thơng điệp NA nào. Nếu trong khoảng thời gian đó nó nhận được thơng báo về tình trạng trùng lặp địa chỉ link-local, quá trình tự động cấu hình địa chỉ bị hủy bỏ và sự thiết lập cấu hình bằng tay được yêu cầu.

3. Node mới gửi thông điệp Router Solicitation (RS) trong mạng để yêu cầu thông tin sử dụng địa chỉ link-local vừa tạo. Các host gửi RS để yêu cầu RA ngay lập tức hơn là chờ đến lần gửi RA tiếp theo của router vì thơng điệp RA được truyền theo một thời hạn nhất định

4. Router nhận thông điệp RS sẽ gửi lại thông điệp RA (Router Advertisement). Nếu host khơng nhận được thơng điệp RA thì để có được địa chỉ và các tham số cấu hình khác các host phải sử dụng giao thức tự động cấu hình địa chỉ có trạng thái

5. Node nhận RA thì giới hạn hop, bộ định thời phát lại, MTU được thiết lập.

6. Trong RA có hai cờ để xác định loại tự động cấu hình địa chỉ có trạng thái, nếu cờ “Managed Address Configuration” được thiết lập là “1” giao thức tự động cấu hình địa chỉ có trạng thái được sử dụng để đạt được địa chỉ. Nếu cờ “Other Stateful Configuration” được thiết lập là “1” thì giao thức tự động cấu hình địa chỉ có trạng thái được sử dụng để đạt được các tham số cấu hình thêm vào.

Hình 2.4. Router quảng bá prefix

Chú ý rằng những thiết bị gửi RA, như router, chỉ gửi tiền tố cố định được gắn của mạng. Nói cách khác, nó khơng quan tên đến sẽ gửi RA cho ai. Bởi vậy, nếu cho hai router thuộc cùng mạng đó và quảng bá các prefix khác nhau bằng RA, node nhận thông điệp sẽ tự động lấy cả hai RA và tạo nên những địa chỉ khác nhau cho cùng một giao diện.

* Cấu hình định danh giao diện (Interface ID) từ địa chỉ MAC

Định danh giao diện (Interface ID) trong địa chỉ IPv6 là 64 bít cuối trong 128 bít địa chỉ IPv6. Định danh này có thể được tự động cấu hình lên từ địa chỉ card mạng MAC theo quy trình như sau:

Hình 2.5. Quá trình định danh giao diện từ địa chỉ MAC

2.2.3. Các trạng thái địa chỉ được tự động cấu hình

Một địa chỉ IPv6 có 3 trạng thái:

1. Địa chỉ thăm dò (Tentative address)

Đây là địa chỉ đang trong q trình xử lý tính duy nhất. Một node khơng thể nhận lưu lượng unicast từ địa chỉ thăm dị, tuy nhiên nó có thể nhận và xử lý các bản tin NS được gửi để hồi đáp lại bản tin NA trong quá trình kiểm tra sự trùng lặp địa chỉ.

2. Địa chỉ hợp lệ (Valid address)

Địa chỉ này có thể gửi và nhận lưu lượng unicast. Trạng thái hợp lệ bao gồm cả hai trạng thái preferred và deprecated. Tổng thời gian mà địa chỉ duy trì trong các trạng thái thăm dị, preferred và deprecated được xác định bởi trường Valid Lifetime trong lựa chọn thông tin tiền tố của bản tin RA.

Preferred address

Địa chỉ này là duy nhất và nó có thể dùng để trao đổi thơng tin. Khoảng thời gian mà địa chỉ duy trì ở trạng thái thăm dị và preferred được xác định bởi trường Preferred Lifetime trong lựa chọn thông tin tiền tố của bản tin RA

Deprecated address

Việc trao đổi các thông tin mới sẽ bị loại bỏ, các phiên trao đổi thông tin đang tồn tại vẫn có thể sử dụng địa chỉ này.

3. Địa chỉ khơng hợp lệ (Invalid address)

Địa chỉ này không được sử dụng để gửi và nhận lưu lượng unicast. Một địa chỉ sẽ ở trạng thái không hợp lệ khi mà thời gian sống hợp lệ bị hết.

2.3. Bảo mật trong IPv6

Khi mà Internet đang phát triển với tốc độ vô cùng lớn như hiện nay, gần như mọi hoạt động trao đổi thông tin của con người đều được thực hiện thơng qua Internet thì nhu cầu bảo mật dữ liệu càng trở nên quan trọng hơn bao giờ hết. Vấn đề an ninh mạng là nhân tố quan trọng ảnh hưởng rất lớn đến hoạt động của các tổ chức kinh doanh và đến cả an ninh, kinh tế của một quốc gia.

Mặc dù đã có rất nhiều các ứng dụng đã triển khai chế độ bảo mật nhưng với việc triển khai chế độ bảo mật tại mức mạng ngồi việc có được sự an ninh trong mạng ta cịn có thể bảo vệ được các ứng dụng khơng triển khai các chức năng an ninh. IPv6 ra đời là một giải pháp tối ưu cho các vấn đề rủi ro của Internet ngày nay.

2.3.1. Các kiểu tấn công và các yêu cầu bảo mật cơ bản

- Các kiểu tấn cơng

Có 3 kiểu tấn cơng chủ yếu, mỗi kiểu tấn cơng nhằm phục vụ cho mục đích nhất định như lấy trộm thông tin, giả mạo thông tin, thay đổi nội dung thông tin, phá hủy thông tin…

- Tấn công từ chối dịch vụ(DoS)

Tấn cơng bằng phương thức DoS có thể dễ dàng nhận ra vì nó làm gián đoạn các quá trình xử lý hoặc là truy xuất thơng tin.Nhưng lại rất khó để xác định và loại bỏ. DoS tấn công một cách dồn dập vắt kiệt tài nguyên hệ thống, làm hệ thống bị tê liệt. Sự tinh vi của phương thức này là nó giống như sự gián đoạn của đường truyền hay là sự gián đoạn của một quá trình xử lý nào đó mà người dùng khơng thể nhận ra đó lại là một sự tấn công.

- Tấn cơng làm thay đổi, giả mạo,xóa thơng tin

Phương thức tấn cơng này thì cịn khó có thể phát hiện và ngăn chặn hơn so với DoS trừ khi có những cơ chế bảo mật đặc biệt.

- Nghe trộm hoặc là đánh cắp thông tin

Được thực hiện bằng nhiều cách, từ những cách cổ điển đến cách sử dụng các phần mềm gián điệp trên hệ thống.

- Các yêu cầu bảo mật cơ bản

Với những phương thức tấn cơng ở trên thì ta có những thuộc tính bảo mật cơ bản: - Tính bí mật. - Tính tồn vẹn. - Tính xác thực. - Tính duy nhất. 2.3.2. Các tính năng bảo mật

Định dạng Header của gói tin IPv6 đã thay đổi để xác thực các gói tin trong phiên làm việc, điều này có nghĩa là các gói tin sẽ khơng bị làm giả. Khi tất cả các server Internet đều sử dụng IPv6, các client cũng chỉ sử dụng các

phần mềm và các phần cứng hỗ trợ IPv6 thì một gói tin truyền trên mạng sẽ phải được xác thực bởi tất cả các trạm mà nó đi qua trên đường truyền. Điều này là một vấn đề khó khăn cho bất kì ai cố gắng làm giả gói tin bởi vì họ phải khởi tạo một số tuần tự xác thực với server đầu tiên mà họ kết nối vào trước khi được phép truyền gói tin tới các server Internet khác. Nhờ đó các gói tin giả mạo sẽ bị loại bỏ.

Với IPv6, các cuộc tấn công từ chối dịch vụ sẽ kết thúc. Bởi nếu một người cố gắng thực hiện các cuộc tấn cơng từ chối dịch vụ thì việc tìm kiếm dấu vết sẽ dễ dàng hơn nhiều do các thơng tin xác thực có trong Header gói tin IPv6. Cũng chính vì lý do đó, các hacker sẽ hạn chế việc tấn công do lo ngại bị truy tố

Bên cạnh khả năng xác thực các gói tin, IPv6 cũng cung cấp khả năng đảm bảo tính bí mật của dữ liệu bằng việc sử dụng các thuật tốn mã hóa mạnh qua cơ chế mã hóa ESP. Các khóa dùng cho việc xác thực, mã hóa của các cơ chế AH và ESP được trao đổi thơng qua giao thức trao đổi khóa Internet (Internet Key Exchange – IKE) nên có được mức độ an tồn rất cao. Về cơ bản, mỗi địa chỉ IP sẽ có khóa bí mật của nó chỉ cho phép những địa chỉ xác định mới có thể giải mã gói tin của nó. Thậm chí nếu việc cướp đường truyền diễn ra trên IPv6 thì những dữ liệu được trao đổi cũng không thể đọc được. Lý do mà việc cướp đường không thể xảy ra trong mạng IPv6 là nếu dữ liệu cần được định tuyến lại tới một địa chỉ IP khác trong một phiên làm việc thì cần phải xác thực lại địa chỉ IP mới với cùng Header xác thực được sử dụng để tạo ra kết nối ban đầu. Do đó phiên làm việc với tin tặc sẽ bị hủy từ phía máy chủ do các tin tặc hầu như khơng biết được Header xác thực này.

Tính năng bảo mật của IPv6 được sử dụng bởi 2 header mở rộng chuyên biệt Authentication Header (AH) và Encrypted Security Payload (ESP)

AH được thiết kế nhằm đảm bảo tính chân thực và tồn vẹn của gói tin IP. Nó bảo vệ chống lại hai loại tấn công: Điều chỉnh bất hợp pháp các trường cố định và sự giả mạo gói tin. Header ESP cung cấp việc mã hóa để đảm bảo

rằng chỉ có node đích mới có thể đọc phần dữ liệu thực tế được truyền bởi gói tin IP. Hai Header có thể được sử dụng cùng với nhau để cung cấp tất cả các tính năng bảo mật một cách đồng thời.

Cả hai Header AH và ESP đều khai thác nội dung của sự kết hợp bảo mật Security Association (SA) để có sự đồng ý giữa các node về các thuật toán bảo mật và các tham số liên quan được sử dụng trong quá trình chuyển tiếp gói tin giữa bên gửi và bên nhận. Nhìn chung, mỗi node IPv6 quản lý một tập các SA, mỗi SA cho mỗi phiên truyền tin bảo mật được active. Chỉ số tham số bảo mật Security Parameters Index (SPI) là một tham số được chứa đựng trong cả AH và ESP để xác định SA nào được sử dụng trong việc giải mã và/hoặc nhận dạng gói tin. Như vậy mỗi SA được nhận dạng bởi một SPI.

Trong việc truyền dẫn unicast, SPI thường được lựa chọn bởi node đích và được gửi trở lại nơi gửi lúc truyền tin được thiết lập.

Trong truyền dẫn multicast, SPI phải là chung cho tất cả các thành viên của nhóm multicast. Mỗi node phải có khả năng nhận dạng SA đúng bằng việc kết nối SPI với địa chỉ multicast. Việc thỏa thuận của một SA và SPI liên quan là một phần của giao thức cho việc chuyển đổi các khóa bảo mật.

2.3.3. Các thành phần của bảo mật

2.3.3.1. Khung IPSEC

Khung bảo mật cho lớp giao thức IP đã chính thức được định nghĩa và chuẩn hóa bởi IETF IP Security Protocol Working Group (IPSEC) trong RFC 2401.

Khung thơng thường bao gồm 6 phần:

• Mơ tả chung của yêu cầu và cơ chế bảo mật trong lớp mạng.

• Phần tử bảo mật riêng cho việc mã hóa(Encrypted Security Payload [ESP]).

• Phần tử bảo mật riêng cho việc xác thực(Authentication Header [AH]).

• Định nghĩa để sử dụng thuật tốn mã hóa cho việc mã hóa và xác thực.

• Định nghĩa những chính sách bảo mật và liên kết bảo mật giữa các thành phần giao tiếp.

Khóa quản lý IPSEC được dựa trên một khung quản lý khóa chung

2.3.3.2. Liên kết bảo mật SA

Các đối tác truyền thông cần thống nhất thông tin trước khi áp dụng các yếu tố bảo mật của IPv6 như : chìa khóa, những thuật tốn về mã hóa và xác thực và một số tham số đặc biệt sử dụng cho các thuật toán.Những thỏa thuận đó cấu thành Liên kết bảo mật (SA) giữa các đối tác truyền thơng.

Có hai phương thức liên kết bảo mật đó là phương thức truyền tải

Một phần của tài liệu triển khai IPV6 VA UNG DUNG trong thực tế tại viẹt nam (Trang 46)

Tải bản đầy đủ (DOC)

(93 trang)
w