Khám phá MTU lớn nhất

Một phần của tài liệu Đồ án tốt nghiệp bảo mật IPv6 (Trang 38 - 130)

2. Tổng quan về địa chỉ IPv6

2.4.5 Khám phá MTU lớn nhất

Mạng quy mô lớn hay nhỏ, bao gồm các đường kết nối vật lý khác nhau. Mỗi đường kết nối có một giá trị giới hạn về kích thước cực đại của gói tin mà máy tính có thể gửi trên đường kết nối, được gọi là MTU (Maximum Transmition Unit). Trong hoạt động của thế hệ địa chi ipv4. trong quá trình chuyển tiếp gói tin, nếu router ipv4 nhận được gói tin lớn hơn giá trị MTU của đường kết nối, router sẽ thực hiện phân mảnh gói tin (fragment) thành những gói tin nhỏ hơn. Sau quá trình truyền tải gói tin được xây dựng lại nhờ những thông tin trong mào đầu.

Địa chỉ ipv6 áp dụng một mô hình khác để phân mảnh gói tin. Mọi bộ định tuyến lFv6 (router ipv6) không tiến hành phân mảnh gói tin, nhờ đó tăng hiệu quả, giảm thời gian xừ lý gói tin. Việc phân mảnh gói tin được thực hiện tại máy tính nguồn, nơi gửi gói tin. Do vậy, trong mào đầu cơ bản ipv6, các trường hỗ trợ cho việc phân mảnh vả kết cấu lại gói tin (tương ứng mào đầu ipv4) đã được bỏ đi. Những thông tin trợ giúp cho việc phân mảnh và tái tạo gói tin ipv6 được để trong một mào đầu mở rộng của gói tin ipv6 gọi là Mào đầu Phân mảnh (Fragment Header).

Giá trị MTU tối thiểu mặc định trên đường kết nối ipv6 là 1280 byte. Tuy nhiên, để đến được đích, gói tin sẽ đi qua nhiều đường kết nối có giá trị MTU khác nhau việc phân mảnh gói tin được thực hiện tại máy tính nguồn, không thực hiện bởi các router trên đường truyền tài. Do vậy, máy tính nguồn cần

biết được giá trị MTU nhỏ nhất trên toàn bộ đường truyền từ nguồn tới đích để điều chỉnh kích thước gói tin phù hợp.

Có hai khái niệm về giá trị MTU trong ipv6, đó là:

• LinkMTU: Là giá trị MTU trên đường kết nối trực tiếp của máy tính • PathMTU: Là giá trị MTU nhỏ nhất trên toàn bộ một đường truyền từ

nguồn tới đích.

Máy tính nguồn sẽ sử dụng quy trình có tên gọi tìm kiếm PathMTU để tìm ra giá trị MTU nhỏ nhất trên đường dẫn từ nguồn đến đích. Khi tìm được nó sẽ lưu giữ giá trị này để sử dụng trong giao tiếp.

Quy trình tìm kiếm PathMTU được thực hiện nhờ thông điệp Gói tin quá lớn (Packet Tạo Bia) phản hồi từ router.

Để tìm PathMTU, máy tính nguồn gửi gói tin sử dụng giá trị MTU mặc định trên đường kết nối trực tiếp của minh. Nếu trên đường truyền, kích thước gói tin vượt quá giá trị MTU của một đường kết nối nào đó, router của đường kết nối phải hủy bỏ gói tin và gửi thông điệp gói tin quá lớn thông báo trong gói tin có chừa giá trị MTU của đường kết nối mà router phụ trách. Khi nhận được thông tin này, máy tính sẽ sử dụng giá trị MTU này để gửi lại gói tin. Cứ như vậy cho đến khi gói tin tới được đích vả máy tính sẽ lưu giữ lại thông tin về giá trị MTU nhỏ nhất đã dùng (PathMTU) để thực hiện gửi lần sau.

Hình 18: Quy trình thực hiện tìm kiếm PathMTU

2.5. Định tuyến trên địa chỉ IPv6

Một trong những nguyên lý thiết kế của IPv6 là các trạm phải hoạt động chính xác ngay cả khi nó biết rất ít thông tin về mạng. Trên thực tế các trạm không giống router, không lưu trữ bảng định tuyến và thường không có cấu hình cố định. Điều đó có nghĩa là khi khởi động, Máy trạm phải tự cấu hình, biết được thông tin về các đích mà nó trao đổi các gói tin. Các thông tin này được lưu trữ trong bộ nhớ bằng cache. Thông tin trên cache có khoảng thời gian tồn tại giới hạn và các thông tin hết thời gian tồn tại sẽ được loại bỏ định kỳ để giới hạn kích thước của cache.

2.5.1. Tổng quan đặc điểm kỹ thuật

Để quyết định sẽ sử dụng entry nào trong bảng định tuyến để truyền gói tin thì IPv6 sử dụng các quá trình sau:

• Với mỗi entry trong một bảng định tuyến, Router sẽ so sánh các bit trong tiền tố mạng của gói tin đích với danh sách các tiền tố trong bảng

định tuyến theo thứ tự entry từ trên xuống dưới. Nó sẽ chọn ra các tuyến đường nào có tiền tố mạng phù hợp(match) để xử lý tiếp.

• Danh sách các tuyến đường được match sẽ được xử lý lại. Tuyến có chiều dài tiền tố lớn nhất sẽ được chọn (theo quy tắc longest prefix match). Longest match route sẽ là tuyến đường tốt nhất cho đích. Nếu nhiều entry cùng thoả mãn (tiền tố) thì Router sẽ chọn tuyến nào có metric nhỏ nhất (theo quy tắc lowest metric). Nếu cả hai thông số trên đều trùng thì Router sẽ chọn 1 để sử dụng.

• Nếu không tìm thấy tuyến nào match với địa chỉ đích nó sẽ gửi gói tin đến route mặc định nếu trong bảng định tuyến có default Rroute, nếu không có router sẽ hủy gói tin đó đi và gửi một thông báo lỗi ICMP Destination Unreachable-No Route to Destination về nguồn gửi.

Với một đích bất kỳ cho trước, thì quá trình trên là kết quả của việc tìm đường theo thứ tự sau:

• Một host route match toàn bộ địa chỉ đích.

• Một network route với prefix lớn nhất match địa chỉ đích. • Default Route

Kết quả của công việc này là một tuyến đường sẽ được chọn ra từ bảng định tuyến. Tuyến đường này sẽ có interface và địa chỉ của Next Hop. Interface của Next-Hop sẽ được chỉ ra trong route mà router đã chọn. Đối với các router ở xa thì địa chỉ Next-Hop được lưu trong trường Next-Hop Address. Còn với trường hợp đích là router nối trực tiếp với nó thì địa chỉ Next-Hop là địa chỉ của router đích này và địa chỉ này không được lưu trong trường Destination Address của packet.

3.5.2. Bảo mật cho các giao thức định tuyến

Giao thức định tuyến có thể là mối đe dọa như cập nhật trái phép cho một trong hai tuyến đường IPv4 hoặc IPv6. Khả năng bảo mật đã được thiết kế cho các giao thức định tuyến để giảm thiểu các mối đe dọa cập nhật trái phép. Một số giao thức định tuyến IPv6 dựa trên cơ chế tương tự với những người trong IPv4 để bảo vệ, trong khi những người khác đã kết hợp IPsec để bảo vệ. Các cơ chế bảo mật này không cung cấp bảo mật end-to-end để giao thức định

tuyến qua các bước nhảy nhiều, bởi vì trong khi họ cung cấp đảm bảo tính toàn vẹn cho thông điệp giao thức định tuyến giữa các nút, không xác minh tính toàn vẹn của tin nhắn nhận được từ các nút khác mà không phải là một phần của một an ninh hiệp hội. Đây là mối quan tâm an ninh lớn đối với EGPs và ít hơn cho IGPs.

RIPng

RIP cho IPv4 sử dụng một cơ chế toàn vẹn dựa trên MD5, điều này đã được gỡ bỏ từ RIPng. RIPng không cung cấp tính năng bảo đảm tính toàn vẹn. Per RFC 2080, RIPng thúc đẩy IPsec để bảo mật. Cần lưu ý rằng các nhà cung cấp phần cứng đã không được tích hợp tính năng IPsec như là một tùy chọn cấu hình, thay vì dựa vào hỗ trợ IPsec IPv6 từ các nền tảng hoạt động để bảo vệ. RIPng là chỉ thích hợp cho nhỏ, mạng lưới tư nhân nơi mà các mối đe dọa của các cuộc tấn công định tuyến được giảm thiểu đáng kể.

OSPFv3

Bảo mật OSPFv2 trong một môi trường dual stack sẽ bảo vệ không phải giao thức OSPFv3 cũng không phải là bảng định tuyến OSPFv3. OSPFv2 cho phép xác thực null, dựa trên mật khẩu hoặc mã hóa bằng cách sử dụng MD5 dựa trên tính toàn vẹn cho định tuyến cập nhật. Các trường xác được tìm thấy trong OSPFv2 đã được gỡ bỏ từ các gói tin OSPFv3 cho IPv6, vì vậy MD5 không phải là một lựa chọn xác thực. OSPFv3 cung cấp không có đảm bảo tính toàn vẹn tính năng và dựa trên IPsec AH hoặc ESP để xác thực, tính toàn vẹn, bảo mật và. Lưu ý rằng OSPFv3 sử dụng unicast và multicast, và IKE không làm việc với multicast, vì vậy phương pháp mặc định là sử dụng keying hướng dẫn sử dụng. Kể từ khi bảo vệ replay không có thể được cung cấp bằng cách sử dụng keying hướng dẫn sử dụng, OSPFv3 thông điệp dễ bị tấn công phát lại, có thể dẫn đến các cuộc tấn công DoS, đơn vị xử lý trung tâm (CPU) quá tải, và các vòng lặp định tuyến nội địa hóa. IPsec cho OSPFv3 được nêu chi tiết trong RFC 4552.

Với giao thức định tuyến, định tuyến toàn vẹn thường là một mối quan tâm lớn hơn bảo mật. Tham số ESP NULL cho thấy không có mã hóa thường được coi là một lựa chọn chấp nhận được đối với an ninh OSPF.

IS-IS và EIGRP

Cả hai IS-IS và EIGRP hỗ trợ tính toàn vẹn dựa trên MD5 đơn giản để bảo vệ các thông tin cập nhật định tuyến IPv6, tương tự như bảo vệ cập nhật định tuyến cho IS-IS và EIGRP cho IPv4.

BGP

Việc sử dụng BGP là một giao thức định tuyến liên AS có nghĩa là nó có thể là mối đe dọa nghiêm trọng. Ba cơ chế tồn tại để giảm thiểu mối đe dọa đối với BGP. Đầu tiên là việc sử dụng các tính toàn vẹn dựa trên MD5-để bảo vệ các cập nhật định tuyến. Cơ chế thứ hai để giảm thiểu các mối đe dọa để BGP là GTSM (RFC 5082). GTSM là một cơ chế bảo mật đơn giản cho việc loại bỏ các tin nhắn giả mạo BGP dựa trên IP TTL hoặc Limit Hop.

BGP gửi bộ định tuyến luôn luôn sử dụng một TTL = 255, và kiểm tra router nhận BGP TTL có giá trị dự kiến của 255. Bất kỳ gói dữ liệu từ một kẻ tấn công từ xa có để đi du lịch thông qua can thiệp router, sẽ có một TTL nhỏ hơn tối đa, và sẽ được giảm trên hóa đơn. Lưu ý rằng hoạt động router như các thiết bị đầu cuối của một giao thức đường hầm không thể giảm các hop count khi nhận được gói tin thông qua đường hầm, do đó những hình dung có thể đến từ bất cứ nơi nào với TTL = 255. Cơ chế thứ ba để giảm thiểu các mối đe dọa để BGP là IPsec. IPsec quản lý chủ chốt có thể sử dụng bí mật được chia sẻ hoặc giấy chứng nhận khóa công khai, cho phép IPsec để cung cấp khả năng mở rộng. GTSM có chi phí thấp nhất trong ba cơ chế, và là dễ nhất để cấu hình. Nó cũng cung cấp bảo vệ kém hiệu quả nhất. Cơ chế chữ ký MD5 cung cấp bảo vệ phía trên thấp và hiệu quả, nhưng nó buộc các quản trị viên để làm gián đoạn phiên BGP của họ tại mỗi lần cập nhật quan trọng, và nó cũng không quy mô. IPsec cung cấp bảo vệ hiệu quả, sự gián đoạn ít nhất, và khả năng mở rộng tốt nhất. Nó cũng áp đặt chi phí cao nhất (mặc dù chi phí vẫn còn nhỏ), và nó là cơ chế phức tạp nhất để cấu hình. Tóm lại, bằng cách sử dụng một tổng kiểm tra MD5 là chắc chắn tốt hơn là không có gì, nhưng MD5 chính nó có thể bị tấn công thành công, và hầu hết những phương pháp này không có cách dễ dàng để thay đổi các chức năng băm hoặc thậm chí thay đổi các phím. IPsec là thích hợp hơn cho các giao thức định tuyến hỗ

trợ việc sử dụng nó. Tất cả các cơ chế bảo mật trên bảo vệ chống lại chèn trái phép hoặc thao tác của giao thức định tuyến messages.22 Họ không bảo vệ chống lại một router bị hỏng hoặc bị hư hỏng mà có thể xây dựng và vượt qua cùng thông tin định tuyến không chính xác. Nhiều phương pháp để cung cấp tốt hơn an ninh cho end-to-end BGP đã được đề xuất, nhưng vẫn chưa đạt được sự đồng thuận về một giải pháp duy nhất.

2.6. IPv6 và hệ thống phân giải tên miền (DNS)

Hệ thống tên miền (DNS) là điều cần thiết để sử dụng hầu như tất cả các của Internet. Nó phải có sẵn, và nó phải cung cấp thông tin chính xác. Mối đe dọa như từ chối dịch vụ đối với các máy chủ cấp cao được thực hiện rất nghiêm túc. Có lẽ câu chuyện an ninh mạng lớn nhất năm 2008 là sự chứng minh của một cuộc tấn công mới có thể chèn thông tin sai sự thật vào một bộ nhớ cache của máy chủ DNS. Nâng cấp DNS bảo mật là một trong những thách thức chính hiện tại cho ISPs23.

Domain Name System (Secure DNS) Triển khai Guide24 chứa các thông tin cơ bản về DNS như nó được sử dụng với IPv4, có thể tấn công chống lại DNS, và các biện pháp an ninh thích hợp. Hệ thống tên miền - Security phiên bản Hướng dẫn thực hiện kỹ thuật 4r125 bao gồm các chủ đề tương tự cho các mạng Bộ Quốc phòng (DoD) và cũng có lời khuyên về cách sử dụng DNS trên nền tảng máy tính và hệ điều hành cụ thể. Cả hai tài liệu nhấn mạnh kinh nghiệm với IPv4. Kiến trúc và cơ cấu dịch vụ DNS là một chủ đề phức tạp là ở bên ngoài phạm vi của ấn phẩm này, mở rộng hướng dẫn về an toàn dịch vụ DNS có thể được tìm thấy trong NIST SP (Ấn phẩm đặc biệt) 800-81.

Phần này xem xét các khía cạnh chính của DNS một thời gian ngắn để giúp hiểu những thay đổi cần thiết để làm cho DNS làm việc với IPv6 và cách này có ảnh hưởng đến hoạt động an toàn của DNS.

DNS là một cơ sở dữ liệu phân tán theo cấp bậc mà dịch hợp lý, tên con người có thể đọc được như www.example.com thành địa chỉ IP nhị phân được sử dụng bởi các ứng dụng như email và trình duyệt web. Các định dạng phổ biến nhất của một tên DNS được gọi là Uniform Resource Locator (URL), hoặc đơn giản là địa chỉ trang web. DNS mục cơ sở dữ liệu được gọi là tài

nguyên records26. Địa chỉ IPv4 và IPv6 là các loại khác nhau của các bản ghi tài nguyên, nhưng DNS xử lý cả hai bản là giống nhau. Điều quan trọng cần nhớ là một URL duy nhất có thể có địa chỉ IPv4, địa chỉ IPv6, cả hai, hoặc không.

Dịch vụ DNS được xác định đầy đủ cho IPv6 trong RFC 3596. Thông tin bổ sung có thể được tìm thấy trong RFC 4472, cân nhắc hoạt động và các vấn đề với DNS IPv6. Các máy chủ gốc và các tên miền cấp cao chung (TLD) là tất cả các IPv6 có khả năng hôm nay. Tuy nhiên, địa chỉ IPv6 cho các dịch vụ sản xuất thường không thể được tìm thấy trong DNS, đặc biệt là đối với các dịch vụ có trụ sở tại Hoa Kỳ hoặc Bắc Mỹ. Hầu hết các dịch vụ không kích hoạt IPv6 truy cập, và hầu hết người dùng sẽ không phải dễ dàng kết nối IPv6 cho họ nếu họ. IPv6 mục DNS gần ngang bằng với IPv4 DNS trên Internet là không thể xảy ra mà không có nhu cầu truy cập IPv6 cho các trang web phổ biến, khối lượng cao và các dịch vụ khác.

Hầu hết các triển khai DNS đã được nâng cấp để hỗ trợ IPv6, nhưng các ứng dụng phần mềm cũ có thể giả định rằng các truy vấn DNS địa chỉ trở về chỉ 32-bit địa chỉ IPv4. DNS IPv6 có khả năng triển khai thực hiện hoàn toàn không chỉ cần để xử lý địa chỉ IPv6 128-bit nhưng cũng cần để chạy trên IPv6 với các UDP và số cổng TCP, 53, được sử dụng bởi IPv4 (RFC 3901, DNS IPv6 Hướng dẫn hoạt động Giao thông vận tải) 27.

Các thành phần chính của DNS là gốc rễ DNS và TLD máy chủ, máy chủ DNS có thẩm quyền, máy chủ bộ nhớ đệm địa phương, và khách hàng được gọi là phân giải. Một hồ sơ giải quyết yêu cầu tài nguyên từ một máy chủ bộ nhớ đệm địa phương. Nếu máy chủ bộ nhớ đệm địa phương không có hồ sơ yêu cầu, nó sử dụng các thông tin nó có để bắt đầu truy vấn các máy chủ có thẩm quyền.

2.6.1. Giao thức truyền tải DNS

Điều quan trọng là cần lưu ý rằng trong khi các truy vấn địa chỉ IPv6 có thể thực hiện qua mạng IPv4 hoặc IPv6, IPv6 vận chuyển thông điệp DNS không cần thiết cho việc tìm kiếm các địa chỉ IPv6 trong DNS. Các truy vấn, không phải là giao thức vận chuyển, nên luôn luôn xác định những thông tin

nào được trả về phần Answer, Authority và Additional trong phản hổi. Một máy chủ có thể yêu cầu một địa chỉ IPv6 ngay cả khi mạng mà host đó cư trú

Một phần của tài liệu Đồ án tốt nghiệp bảo mật IPv6 (Trang 38 - 130)

Tải bản đầy đủ (DOC)

(130 trang)
w