Báo cáo về IPv6 SECURITY

Hiện nay, hệ thống mạng Internet ngày càng phát triển mạnh mẽ và có rất nhiều thiết bị mạng cần gia nhập vào hệ thống này nên cần một số lượng lớn địa chỉ IP để gán cho các cho các thiết bị này. Tuy nhiên không gian địa chỉ IP hiện tại IPv4 thì có giới hạn( 232 địa chỉ) nên không đáp ứng những nhu cầu về IP. Do đó tồ chức IETF ( Internet Engineering Task Force) đã đề xuất kế thừa cấu trúc và tổ chức của IPv4 để phát triển IPv6 nhằm khắc phục các khuyết điểm này của IPv4.

1 TRẦN DANH THỊNH 0920120

IPv6 SECURITY

TABLE OF CONTENTS

I) ĐẶT VẤN ĐỀ

II) SƠ LƯỢC VỀ IPv6

III) IPv6 SECURITY

- Tuy nhiên IPv6 ra đời cũng đặt ra những vấn đề mới về Bảo Mật Giao thức IP động được xây dựng trên nền IPv6 sẽ gây ra những vấn đề bảo mật nghiêm trọng nếu cấu hình không đúng, mặc dù IPv6 tăng cường bảo mật trên nền giao thức TCP/IP nhưng các hacker vẫn có khả năng xâm nhập vào các thành phần khác

II) Sơ Lượt Về IPv6:

1) Cấu tạo header của gói tin IPv6 :

Gói tin IPv6 có hai dạng Header: Header cơ bản và header mở rộng

 Header cơ bản : có chiều dài cố định 40 Byte, chứa những thông tin cơ bản trong quá trình xử lý gói tin IPv6

• Version: chỉ ra phiên bản của IPv6.

• Traffic Class: ( 8 bíts) dùng để phân biệt lưu lượng, từ đó ảnh hưởng

đến khả năng ưu tiên về lưu lượng

• Flow Lable: (20 bits) cho phép nguồn chỉ ra loại thông tin trong gói tin,

từ đó đưa ra những các cách xử lý đặc biệt từ nguồn tới đích theo thứ tự gói

• Payload Length: ( 16 bits ) xác định độ dài gói tin phía sau header.

• Hop limit: ( 8 bits) dung để ngăn chặn datagram lien tục xoay vòng trở

lại

• Source address & Destination Address: địa chỉ nguồn và địa chỉ đích

có độ dài 128 bits sử dụng hệ hexa và được ngăn cách nhau bởi dấu 2 chấm

 Header mở rộng: những thông tin liên quan đến dịch vụ kèm theo được gửi hẳn tới một phân đoạn khác được gọi là Header mở rộng

• Được nhận dạng bởi trường Next header

• Được đặt giữa header IPv6 và header của các giao thức các lớp trên, dùng để mang các thông tin tùy chọn ở lớp mạng ( Network layer)

• Các header mở rộng được đặt nối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng.

• Mỗi header mở rộng có giá trị riêng đặc trưng cho nó:

• Header cơ bản và header mở rộng IPv6 đều có trường Next Header chiều dài 8 bít Next Header sẽ xác định gói tin có tồn tại header mở rộng hay không Nếu không có header mở rộng giá trị của trường sẽ xác định phần header của tầng cao hơn (TCP hay UDP…) phía trên của tầng

IP Nếu có, giá trị trường Next Header chỉ ra loại header mở rộng đầu tiên theo sau header cơ bản Tiếp theo, trường Next Header của header

mở rộng thứ nhất sẽ trỏ tới header mở rộng thứ hai, đứng kế tiếp nó Trường Next Header của header mở rộng cuối cùng sẽ có giá trị xác định header tầng cao hơn

• Khi gói đi từ nguồn đến đích, các trạm trung gian không được phép

xử lý các Extension Header đến khi đến trạm đích Và việc xử lý các Header này cũng phải diễn ra theo đúng tuần tự mà các Header sắp xếp trong gói tin IPv6 Không bao giờ được phép xảy ra trường hợp trạm đích quét qua toàn bộ gói tin và chọn ra một Header nào đó để xử lý trước Trường hợp ngoại lệ là trường hợp Hop-by-hop Extension Header, sự hiện diện của Hop-by-hop Extension Header buộc gói tin phải bị kiểm tra bởi tất cả các trạm trung gian trên đường từ nguồn đến đích, bao gồm cả trạm nguồn và đích Vì vậy, Hop-by-hop Extension Header luôn phải đứng sau IPv6 Header Sự hiện diện của Extension Header này được chỉ thị bởi giá trị 0 trong Next-Header của IPv6 Header Kích thước của các Extension Header có thể tùy ý, nhưng luôn

là bội số của 8 octet Nếu trong gói tin có chứa nhiều Extension Header, chúng được sắp xếp theo thứ tự sau :

o IPv6 Header

o Hop-by-Hop Options Header

o Destination Options Header : Được xử lý bởi trạm đích đầu tiên trong IPv6 Header và những trạm còn lại được chỉ ra trong Routing Header.

Những điểm khác tiêu biểu của IPv6 so với IPv4 :

- Định dạng header mới

- Không gian địa chỉ lớn hơn

- Việc đánh địa chỉ và sử dụng trông hệ thống định tuyến có cấu trúc và hữu hiệu hơn

- Khả năng mở rộng.

 IPv6 bảo mật hơn IPv4  trình bày phần III

III) IPv6 Security:

A. Vấn đề bảo mật của IPv6

- Khi các truy vấn Quad A đang phát broadcast, có nghĩa là một số nút (node) trên mạng đã được kích hoạt IPv6, vì thế có thể sẽ bị một cuộc tấn công dựa trên IPv6 nhắm tới Bởi vì bản thân mạng không hỗ trợ IPv6 nên bộ quản lý mạng không có khả năng giám sát lưu lượng IPv6 với các công cụ kiểm tra kỹ gói tin Vd: Khi các công ty có các thiết bị đã kích hoạt IPv6 nhưng mạng không kích hoạt IPv6, tin tặc biết rằng việc quản lý mạng cho IPv6 là thiếu, Chúng có thể dễ dàng làm ngập các máy chủ mail của tổ chức với cả đống thư rác có chứa phần mềm độc hại Chỉ cần một người dùng với đặc quyền cao mở một thư rác chứa phần mềm độc hại, phần mềm độc hại này có thể mở một đường hầm cho các gói tin IPv6 xuyên qua tường lửa

- Các thông báo giả mạo các gói tin IPv6 Thông báo bộ định tuyến giả mạo là một mối đe dọa mà IETF đã đưa ra cảnh báo vào tháng Hai, chỉ ra rằng lỗ hổng này có thể được sử dụng để tấn công từ chối dịch vụ hoặc tấn công man-in-the-middle (đây là hình thức chặn các gói tin, chuyển đến máy chủ của kẻ tấn công, rồi mới chuyển tiếp, khiến các nạn nhân vẫn tin tưởng đang truyền thông trực tiếp với nhau)

Vd: Các thiết bị được kích hoạt sẵn IPv6, khi nối mạng, luôn luôn lắng nghe các thông báo về bộ định tuyến vì tính năng tự động cấu hình IPv6 Tuy nhiên, các thiết bị trạm này có thể bị lừa bởi các thông báo giả mạo do lỗi quản trị mạng hoặc các cuộc tấn công của tin tặc Các thông báo định tuyến giả mạo cho IPv6 xuất hiện cả trong các mạng không dây và có dây

- Internet hiện nay đang gặp nhiều vấn đề bảo mật đó là việc thiếu phương thức hiệu quả để xác thực và bảo vệ tính riêng tư dưới tần ứng dụng trong hoạt động internet, bảo mật tại tầng IP được thực hiện phổ biến bằng IPsec ( Internet Protocal Security)

- Mặc dù có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không thể giải quyết tất cả các tồn tại trong IPv4 Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer) Các cuộc tấn công có thể là:

+ Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI như tràn bộ đệm (buffer overflow), virus, mã độc, tấn công ứng dụng web,…

+ Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực

+ Thiết bị giả (rogue device) : các thiết bị đưa vào mạng nhưng không được phép Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định

tuyến (router), server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless access point),…

+ Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6

+ Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID,email spamming, phishing,…

B. Đôi Nét IPsec:

+ IPsec xác thực và mã hóa ở lớp mạng

+ Ipsec thực hiện xác thực nơi gửi và mã hóa đường kết nối

+ IP Security (IPSec) là tiêu chuẩn của IETF (Internet Engineering Task Force) nhằm cung cấp bảo mật cho mạng Internet IPSec đảm bảo tính toàn vẹn, xác thực

và bảo mật IPSec được tích hợp sẵn trong IPv4 và IPv6, chức năng này chủ yếu

có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPSec là bắt buộc trong IPv6 Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ

C. Cấu trúc của IPsec:

1. Hai thủ tục bảo mật Authentication Header (AH), Encapsulating Security Payload (ESP)

2. Hai phương thức làm việc : tunnel mode & transport mode.

+ Tunnel mode: thêm 1 header mới và lấy phần gói tin trước làm

Payload, được sử dụng trong VPN

Tunnel mode

+ Transport mode: áp dụng cho truyền gói tin IP bởi host, được sử dụng

cho kết nối end - to – end giữa các node

D. Ipsec có các chức năng sau:

• Bảo mật(mã hóa) –confidentiality: Người gửi có thể mã hóa dữ liệu trước

khi truyền chúng qua mạng

• Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu

được truyền qua mạng Internet mà không bị thay đổi IPSec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums

• Xác thực- Authentication: Người nhận có thể xác thực nguồn gốc của gói

tin, bảo đảm, xác thực nguồn gốc của thông tin

• Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng

lặp

E. Các giao thức của IPsec:

• IP security Protocol (IPsec):

+ Authentication Header ( AH ): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay

+ Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay

• Message Encryption

+ Data Encryption Standard (DES) DES sử dụng 1 khóa 56-bít,DES là một

hệ thống mã hóa khóa đối xứng

+ Triple DES (3DES) là một biến thể của DES 56-bít

• Message Integrity (Hash) Funtion

Là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin

+ Message Digest 5 (MD5) biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định 128 bít.

+ Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224 bít…

• Peer Authentication

+ Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mã khóa bất đối xứng Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn

+ RSA Encrypted Nonces

+ Internet Security Association and Key Management Protocol (ISAKMP)

F. Tích hợp IPsec trong IPv6:

Các chế độ làm việc của IPsec:

o Transport mode:

+ Bảo vệ các giao thức tầng trên và tầng ứng dụng.

+ Phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên

+ ESP được sử dụng để bảo vệ thông tin giữa hai host cố định và bảo vệ các giao

thức lớp trên của IP datagram

+ AH header được chèn vào trong IP datagram sau IP header và các tuỳ chọn.

o Tunnel mode:

+ Bảo vệ toàn bộ gói dữ liệu

+ IPSec header được chèn vào giữa Original Header và phần đầu mới của IP.

+ Ip header ở đầu vào mang source address và destination address, còn IP header ở đầu ra mang địa chỉ để định tuyến qua Internet

+ AH bỏa vệ toàn bộ gói tin bên trong

G. Các nguyên tắc hoạt động của các giao thức bảo mật trong IPv6.

1) Nguyên tắc hoạt động của AH:

a) Chức năng của AH:

Là một IPSec header cung cấp xác thực gói tin và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống

b) Định dạng của AH:

• Next header: (8bits) dùng để xác định header tiếp theo sau AH.

• Payload length: (8bits) xác định độ dài của AH không có tải

• Reserved (16bits) dùng để dữ trữ sử dụng trong tương lai

• SPI (security parameters index) (32 bits): kết hợp với destination address và giao thức ESP cho phép nhận dạng chính sách bảo mật cho gói tin này

• Sequence number: (32 bits) chứa 1 giá trị đếm tang dần Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó sẽ có SN=1)

• Authentication data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là số nguyên lần 32 bits

c) Chế độ xác thực:

• End – to – end authentication: là trường hợp xác thực trực tiếp giữa hai

hệ thống đầu cuối chỉ cần hai đầu cuối biết được khoá bí mật của nhau Trường hợp này sử dụng chế độ Transport Mode của AH

• End – to – intermedia authentication: là trường hợp xác thực giữa hệ thống đầu cuối với một thiết bị trung gian (router hoặc firewall) Trường hợp này sử dụng chế độ Tunnel Mode của AH

Header ở chế độ IPv6 AH Transport.

Header ở chế độ IPv6 AH tunnel.

d) Nguyên tắc hoạt động của AH:

+ Bước 1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header +

Key cho chạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số, và chuỗi số này

sẽ được gán vào AH Header

+ Bước 2: AH Header này sẽ được chèn vào giữa Payload và IP Header và

chuyển sang phía bên kia

+ Bước 3: Router đích sau khi nhận được gói tin này bao gồm : IP Header +

AH Header + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số

+ Bước 4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau

thì nó chấp nhận gói tin

2) Nguyên tắc hoạt động của ESP:

a) Chức năng của ESP:

Cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6 ESP là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu

Các giao thuật toán mã hóa được sử dụng trong giao thức là: DES, 3DES, AES…

b) Định dạng của ESP:

Header của IPsec ESP.

• SPI (Security Parameters Index): Trường này tương tự như bên AH

• Sequence Number: giống như bên AH

• Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả bên trong Next Header

• Padding: Trường này được thêm vào bởi nếu thuật toán mật mã được sử dụng yêu cầu plaintext thì padding được sử dụng để điền vào plaintext

để có kích thước theo yêu cầu

• ICV: Giá trị kiểm tra tính toàn vẹn, là trường có độ dài thay đổi được tính trên các trường ESP trailer, Payload, ESP header

c) Các chế độ hoạt động ESP:

• Gói tin IPv6 ESP ở chế độ Transport mode:

• Gói tin IPv6 ESP ở chế độ tunnel mode:

d) Nguyên tắc hoạt động của giao thức ESP:

ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin IPSec Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống nhau mới mã hoá và giải mã được gói tin Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các khối (block) nhỏ, và sau đó thực hiện thao tác mã hoá nhiều lần sử dụng các block

dữ liệu và khóa (key) Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá

Nguyên tắc hoạt động của ESP.

e) So sánh giao thức bảo mật AH và ESP:

• Quản lý khóa tự động

• Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý

SA hai chiều, tạo key và quản lý key IKE thương thuyết trong hai giai đoạn

o Giai đoạn 1: thương thuyết bảo mật, kênh chứng thực mà dựa trên

đó hệ thống có thể thương thuyết nhiều giao thức khác Chúng đồng

ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin

o Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec Chúng đồng

ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng

g) Kết luận:

IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6 Nó giúp phần làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối