VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ IPV4 SANG IPV6

VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ IPV4 SANG IPV6 Chương 1: Tổng quan về IPv4 và IPv6. Nội dung trình bày tổng quan về cấu trúc, đặc điểm trong bảo mật của IPv4 và IPv6. Chương 2: Quá trình chuyển đổi từ IPv4 sang IPv6. Trình bày một số phương pháp chuyển đổi và quá trình chuyển đổi. Chương 3: Một số vấn đề về an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6. Phân tích vấn đề an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6 để thấy được các vấn đề cần phải quan tâm trong quá trình chuyển đổi và tiếp đến là triển khai IPv6.

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

TRỊNH NGỌC TÂN

VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ

IPV4 SANG IPV6

Chuyên ngành: Kỹ thuật Viễn thông

Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2014

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS TRỊNH ANH TUẤN

Phản biện 1: TS ĐẶNG HOÀI BẮC

Phản biện 2: PGS.TS NGUYỄN TIẾN BAN

Luận văn được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: 15 giờ 30 ngày 09 tháng 08 năm 2014

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

Nội dung luận văn bao gồm:

Chương 1: Tổng quan về IPv4 và IPv6 Nội dung trình bày tổng quan về cấu trúc, đặc điểm trong bảo mật của IPv4 và IPv6

Chương 2: Quá trình chuyển đổi từ IPv4 sang IPv6 Trình bày một số phương pháp chuyển đổi và quá trình chuyển đổi

Chương 3: Một số vấn đề về an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6 Phân tích vấn đề an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6 để thấy được các vấn đề cần phải quan tâm trong quá trình chuyển đổi và tiếp đến là triển khai IPv6

Trong quá trình làm luận văn, do gặp nhiều khó khăn và hạn chế về mặt kiến thức nên không tránh khỏi thiếu sót Tôi xin trân thành cảm ơn sự hướng dẫn tận tình của TS Trịnh Anh Tuấn - người đã giúp tôi hoàn thành luận văn này

CHƯƠNG 1: TỔNG QUAN VỀ IPv4 VÀ IPv6

Tổng quan về IPv4

1.1.

Là giao thức Internet phiên bản 4 (viết tắt IPv4, Internet Protocol version 4) là phiên bản thứ tư trong quá trình phát triển của các giao thức Internet (IP) Đây là phiên bản đầu tiên của IP được sử dụng rộng rãi IPv4 cùng với IPv6 (giao thức Internet phiên bản 6) là nền tảng cơ bản của giao tiếp Internet Hiện tại, IPv4 vẫn là giao thức được triển khai rộng rãi nhất trong bộ giao thức của lớp Internet

IPv4 là giao thức hướng dữ liệu, được sử dụng cho hệ thống chuyển mạch gói (tương tự như chuẩn mạng Ethernet) Đây là giao thức truyền dữ liệu hoạt động dựa trên nguyên tắc tốt nhất có thể, trong đó, nó không quan tâm đến thứ tự truyền gói tin cũng như không đảm bảo gói tin sẽ đến đích hay việc gây ra tình trạng lặp gói tin ở đích đến

Cấu trúc địa chỉ IPv4

Một địa chỉ Unicast xác định một giao diện duy nhất trong phạm vi hoạt động của nó

Có thể là VoIP, PC trong một mạng LAN

Địa chỉ multicast

Trong IPv6, multicast hoạt động giống như trong IPv4 Tự đặt các node IPv6 có thể lắng nghe lưu lượng multicast trên một địa chỉ multicast IPv6 tùy ý Các node IPv6 có thể nghe nhiều địa chỉ multicast cùng một lúc

Địa chỉ Anycast

Một địa chỉ Anycast được giao cho nhiều giao diện Các gói tin đến một địa chỉ anycast được chuyển tiếp bởi tầng định tuyến cơ sở tới giao diện gần nhất mà các địa chỉ anycast được giao Để tạo điều kiện giao tiếp, tầng cơ sở định tuyến phải biết được các giao

diện được giao và “khoảng cách” về số liệu định tuyến Hiện nay, các địa chỉ anycast được

sử dụng như địa chỉ đích và chỉ được giao cho các router

Cấu trúc gói tin

1.2.3.

Cấu trúc gói tin IPv6 gồm 3 phần: IPv6 Header, Extension Headers và Upper Layer Protocol Data Unit [8]

Hình 1.4: Cấu trúc gói tin IPv6

 IPv6 Header - Đây là thành phần luôn phải có trong 1 gói tin IPv6 và chiếm cố định

40 bytes

 Extension Headers - Trường Header mở rộng có thể có hoặc không với độ dài không

cố định Trường Next Header trong Header của 1 gói tin IPv6 sẽ chỉ ra phần Header

Khác nhau 1.3.2.2.

Những thay đổi về mức độ an ninh

Nhu cầu vấn đề đảm bảo chất lượng dịch vụ QoS

Các ưu thế khi sử dụng IPv6

1.4.2.

Sử dụng định dạng Header mới

Không gian địa chỉ lớn

Khả năng tự động cấu hình (Autoconfiguration)

Khả năng bảo mật tốt hơn

Khả năng quản lý định tuyến tốt hơn

Dễ dàng thực hiện multicast và hỗ trợ tốt hơn cho di động

Hỗ trợ cho quản lý chất lượng mạng QoS

Kết luận chương

1.5.

IPv4 ra đời từ rất sớm, đóng vai trò quan trọng trong việc hình thành và vận hành Internet Nhưng đến nay, với sự phát triển mạnh mẽ của các thiết bị mới ra đời Đòi hỏi nhiều không gian địa chỉ hơn, chất lượng dịch vụ cao hơn, độ bảo mật và an toàn thông tin phải được đảm bảo

Qua nội dung của chương một, chúng ta đã có cái nhìn tổng quát về cấu trúc địa chỉ,

sự giống và khác nhau về cấu trúc, anh ninh trong mạng IPv4 và mạng IPv6 Từ đó thấy được những ưu thế khi sử dụng IPv6

Có rất nhiều giải pháp được đưa ra để thực hiện chuyển đổi từ IPv4 sang IPv6 Tuy nhiên, quá trình chuyển đổi diễn ra rất phức tạp vì mạng Internet rất rộng lớn Ta sẽ tìm hiểu các phương thức chuyển đổi từ IPv4 sang IPv6 trong chương II của luận văn

CHƯƠNG 2: QUÁ TRÌNH VÀ CÁC PHƯƠNG PHÁP CHUYỂN ĐỔI TỪ IPv4 SANG IPv6

Hiện nay, đa số các thiết bị trên mạng Internet đều sử dụng IPv4 Các thiết bị tham gia vào mạng Internet có các đặc điểm rất khác nhau Vì đặc điểm rộng lớn và đa dạng đó nên cũng hình thành các phương pháp chuyển đổi rất khác nhau Tuy nhiên, khi triển khai IPv6 ta không thể bỏ ngay các thiết bị cũ vẫn còn đang sử dụng được Do đó, việc triển khai IPv6 cần phải có tính tương thích ngược Trong chương này, ta sẽ cùng tìm hiểu các vấn đề

và phương pháp chuyển đổi từ IPv4 sang IPv6

Vấn đề khi chuyển sang IPv6

2.1.

Việc chuyển đổi toàn bộ sang IPv6 sẽ rất phức tạp Ban đầu, sẽ phải hình thành một cầu nối giữa 2 môi trường mạng là rất quan trọng bởi chưa thể thay đổi ngay trên diện rộng Các thiết bị đầu cuối cần phải chạy các node dual-stack hoặc chuyển đổi sang hệ thống IPv6 Hiện tại, các giao thức mới ra đời hỗ trợ các IPv4 tương thích Nó có dạng là một địa chỉ IPv6 và sử dụng địa chỉ IPv4 nhúng Tạo một đường hầm (tunnel) là bước quan trọng trong quá trình thiết lập sao cho thỏa mãn các yêu cầu:

 Dịch vụ IPv4 hiện tại không bị gián đoạn gây ra nhiều bất lợi

 Các dịch vụ trên nền IPv6 cũng phải thực hiện tương tự như các dịch vụ trên IPv4

 Dịch vụ phải được quản lý và có thể theo dõi được

 Phải đảm bảo an toàn mạng khi chuyển đổi

 Phải có kế hoạch phân bổ địa chỉ IPv6 phù hợp

Từ đó xây dựng một số liên kết mạng thông dụng như sau:

 Lớp IP kép (hay còn gọi là dual stack): một kỹ thuật cho việc cung cấp hỗ trợ cho cả

2 giao thức IP trên Internet là IPv4 và IPv6

 Liên kết đường hầm thủ công: là liên kết điểm-điểm, đường hầm được thực hiện bởi dạng đói gói tin IPv6 trong phần tiêu đề của IPv4 để thực hiện truyền trên cơ sở hạ tầng của mạng IPv4

 Liên kết đường hầm tự động: là một kỹ thuật sử dụng địa chỉ IPv4 tương thích để tạo liên kết đường hầm tự động truyền gói tin IPv6 trên mạng IPv4

Giai đoạn chuyển đổi và các phương pháp chuyển đổi

2.2.

Mặc dù hầu hết các vấn đề và khía cạnh của IPv6 đã được xác định rõ ràng trong một khoảng thời gian nhưng việc triển khai IPv6 đang được diễn ra dần dần vì cấu trúc mạng Internet rất phức tạp và rộng lớn Ban đầu, IPv6 sẽ được triển khai trong một khu vực cô lập với các khu vực khác [6]

IETF (Internet Engineering Task Force) đã xác định một số lượng cụ thể các kỹ thuật

để hỗ trợ chuyển đổi sang IPv6 Các kỹ thuật này được phân loại như sau:

 Dual stack

 Chuyển đổi trực tiếp

 Kết nối đường hầm (hay nói cách khác là đóng gói)

Lưu ý rằng có thể sử dụng nhiều hơn một phương pháp trong quá trình truyền Ví dụ như một hệ thống thiết bị đầu cuối hoặc một router có thể tạo ra một “đường hầm” IPv6-in-IPv4, bao gồm cả kỹ thuật dual-stack và kỹ thuật đường hầm

Các phương pháp chuyển đổi

Chuyển đổi trực tiếp

2.3.2.

Giao thức chuyển đổi trạng thái/giao thức thông điệp điều khiển 2.3.2.1

(SIIT) Bump in the Stack (BIS) 2.3.2.2

Hình 2.4: Kiến trúc BIS

Kết quả trao đổi dữ liệu cho các ứng dụng IPv4 trong máy chủ BIS giao tiếp với một ứng dụng IPv6 được thể hiện như trong Hình 2.5:

Hình 2.5: Trạng thái xử lý trong BIS

Quá trình xử lý của các module theo trình tự như sau:

(1) Các ứng dụng IPv4 yêu cầu các địa chỉ IPv4 của máy chủ đích

(2) Bộ phận phân giải tên chặn các yêu cầu của cả IPv4 và IPv6

(3) DNS trả về địa chỉ IPv6 của đích đến

(4) Các yêu cầu phân giải tên và nhận được một địa chỉ IPv4 từ một bộ đệm duy trì bởi các ánh xạ địa chỉ

(5) Phân giải tên trả về địa chỉ IPv4 cho các ứng dụng IPv4 để sử dụng cho quá trình truyền tin tiếp theo

(6) Bộ chuyển đổi nhận được gói tin IPv4 từ ứng dụng

(7) Các yêu cầu chuyển đổi sang IPv6 gắn liền trong các gói tin IPv4 và thực hiện chuyển đổi IPv4-to-IPv6

(8) Các gói tin IPv6 được chuyển tiếp đến máy chủ phía đích

Bump in the API (BIA) 2.3.2.3

Hình 2.6: Kiến trúc của BIA

Giao thức chuyển đổi địa chỉ mạng 2.3.2.4

Các giao thức địa chỉ mạng NAT-PT (network address translation – protocol translation) sử dụng một tiêu đề IPv4/IPv6 để chuyển đổi trạng thái tại biên của mạng phần tiếp giáp của IPv4 với IPv6 Cơ chế hoạt động tương tự như IPv4 NAT IPv4 NAT sẽ chuyển đổi IPv4 cần xử lý vào một bộ đệm NAT-PT sử dụng bộ đệm đó giao cho các node IPv6 trên cơ sở như các proxy cho IPv6 Một trong những lợi ích của NAT-PT là không làm thay đổi yêu cầu đến máy chủ hiện tại vì tất cả các NAT-PT được thực hiện ngay tại thiết bị NAT-PT [6]

Tạo đường hầm (Tunneling)

2.4.

Tạo đường hầm là một kỹ thuật thường được sử dụng trong quá trình đóng gói trên đường truyền Cho phép truyền tải đơn vị dữ liệu sau khi được đóng gói trên các giao thức của mạng truyền tải chung

Teredo

2.4.6.

Teredo là một công nghệ chuyển tiếp IPv6, cung cấp việc cấp phát địa chỉ và host từ đường hầm tự động cho lưu lượng IPv6 unicast khi các máy chủ IPv6/IPv4 được đặt phía sau một hay nhiều địa chỉ chuyển đổi mạng IPv4 (NAT)

Kiến trúc 2.4.6.1

Xử lý cấu hình địa chỉ và định địa chỉ Teredo 2.4.6.2

mạng đường trục, có phương pháp thì chỉ thích hợp để xử lý giao tiếp với các máy chủ dịch

vụ Việc chọn lựa phương pháp nào sẽ phụ thuộc vào các yêu cầu được đặt ra Tuy nhiên thì vẫn phải đảm bảo các yêu cầu cơ bản như:

 IPv6 và IPv4 phải tương thích với nhau

 Việc sử dụng các máy chủ IPv6 và bộ định tuyến phải được sử dụng rộng rãi trên Internet sao cho thật đơn giản và tiên tiến, ít phụ thuộc lẫn nhau

 Người quản trị mạng và người dùng đầu cuối không phải cấu hình một cách thủ công, mọi việc đều được tối đa hóa tự động

Một vấn đề nữa đó là làm sao để đảm bảo an ninh trong mạng khi chuyển đổi, vấn đề này sẽ được tìm hiểu tiếp theo trong chương 3 của luận văn

CHƯƠNG 3: MỘT SỐ VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ IPV4 SANG IPv6

Trong chương này, chúng ta sẽ xem xét cơ chế bảo mật có thể được sử dụng trong mạng IPv6 và một số vấn đề về an toàn mạng trong quá trình chuyển đổi, từ đó nghiên cứu một số giải pháp chung cũng như những giải pháp riêng cho kỹ thuật chuyển đổi khác nhau

Tính bảo mật và toàn vẹn thông tin trong quá trình chuyển đổi

3.1.

Hình 3.1b minh họa cho khả năng bảo mật và tính toàn vẹn thông tin trong quá trình chuyển đổi Quá trình mã hóa hoạt động trong các ngăn xếp giao thức tại một số node Mặc

dù các ứng dụng yêu cầu tính bảo mật cao, thường xuyên sử dụng liên kết mã hóa ở cấp vật

lý (cụ thể trong các kênh), thì các ứng dụng thương mại lại có xu hướng sử dụng mã hóa theo kiểu đường hầm sử dụng mạng truyền tải sẵn có (IPsec) hoặc tại lớp truyền tải (qua Transport layer security – TLS hoặc Secure sockets layer – SSL) [6]

Sức mạnh mã hóa

3.2.

IPsec được định nghĩa trong RFC2401 là một nhân tố cơ bản trong vấn đề an ninh mạng IPv6 trong bối cảnh yêu cầu toàn vẹn thông tin hiện nay Các mẫu thiết kế ban đầu của IP không có phương tiện nào để bảo vệ tính riêng tư cho các gói tin truyền đi trên mạng

Do đó, tổ chức IETF đã xây dựng một thành phần bổ sung vào giao thức và được tùy chọn chèn vào gói tin IP nhằm cung cấp tính bảo mật và toàn vẹn thông tin IPsec không phải là một giao thức duy nhất mà là một khung tham chiếu bao gồm nhiều tùy chọn khác nhau để

mã hóa và chứng thực cho gói tin IP IPsec cũng không trực tiếp thực hiện bất kỳ một thuật toán mã hóa cụ thể nào, nó được để mở để sao cho có thể thêm các thuật toán mã hóa mới vào mà không cần phải thay thế toàn bộ giao thức Kiến trúc của IPsec ban đầu được tạo ra vào cuối năm 1998 và sau đó cập nhật vào cuối năm 2005 [4]

Bản thân IPsec là một cấu trúc giao thức cung cấp phương thức mã hóa trong các mạng IP, nó bao gồm hai thành phần đó là mã hóa và công nghệ xác thực Kỹ thuật này đã được triển khai rộng rãi trên mạng IPv4 và được sử dụng để tăng cường bảo mật cho mạng VPN trên Internet

 ESP có thể cung cấp các dịch vụ bảo mật tương tự như AH hoặc cung cấp dịch vụ bảo mật dữ liệu ESP có khả năng cung cấp bảo mật và đảm bảo xác thực Sự khác nhau chính giữa ESP và AH là mức độ rủi ro ESP không bảo vệ các phần của tiêu đề

IP trừ khi chúng được đóng gói bởi AH ESP có thể cung cấp bảo mật (mã hóa), cung cấp tính toàn vẹn kết nối, chứng thực nguồn gốc dữ liệu Trong ESP có sử dụng thuật toán mã hóa để mã hóa tải trọng gói nhằm cung cấp tính bảo mật và sử dụng HMAC (hàm băm xác thực thông điệp) nhằm kiểm tra tính toàn vẹn của gói tin nhận được

3.2.1.2 Hàm băm xác thực thông điệp

3.2.1.3 Trao đổi khóa (IKE)

3.2.2 Phương thức hoạt động

IPsec có thể được triển khai trên nhiều loại liên kết Cả ESP và AH có thể được sử dụng cho yêu cầu bảo mật từ đầu đến cuối hay chỉ trong một đoạn trong quá trình truyền dữ liệu qua đường hầm Dưới đây là ba phương thức hoạt động của IPsec [7]:

 Host-to-host (chế độ truyền tải)

3.8.1.1 Nguy cơ an ninh

Vấn đề chính của dual-stack trên các máy chủ là IPv6 được kích hoạt một cách mặc định trên một số hệ điều hành (trên cả Windows, Mac OS X và các hệ điều hành Linux) Thế nhưng, các chính sách bảo mật và an ninh không được kích hoạt một cách mặc định, nếu nhà quản trị không có kinh nghiệm hoặc lơ đễnh trong việc cấu hình bảo mật thì sẽ tạo nên một lỗ hổng về bảo mật rất lớn [7]

Vấn đề thứ hai nguy hiểm hơn, đó là ngay cả khi một mạng không dây chạy trên nền IPv6 thì dual-stack trên host được mở tự do cho các cuộc tấn công cục bộ Mối đe dọa tiềm

ẩn trong dual-stack có thể xuất hiện khi:

 Một thiết bị hay phần mềm bảo mật không hỗ trợ cho IPv6

 Nếu thiết bị hay phần mềm đó hỗ trợ cho IPv6 nhưng không phải lúc nào cũng được cấu hình IPv6 bởi người quản trị không biết phải làm thế nào để cấu hình nó hoặc thậm chí còn không biết thiết bị hay sản phẩm có chức năng đó

 Việc hỗ trợ cho IPv6 còn quá mới mẻ nên trong quá trình triển khai có thể sẽ có những lỗi bảo mật tạo cơ hội cho kẻ tấn công

3.8.1.2 Biện pháp phòng chống

May mắn thay, có rất nhiều cách bảo vệ khi máy chủ chạy dual-stack, có thể thực hiện một số biện pháp bảo mật sau:

 Sử dụng tường lửa IPv6

 Sử dụng Cisco Agent security (CSA) 6.0

 Sử dụng các chính sách an ninh của Microsoft (GPO)

 Chặn tất cả các luồng lưu lượng IPv6

 Triển khai IPv6 một cách nghiêm ngặt

Kỹ thuật tạo đường hầm tĩnh

3.8.2.

3.8.2.1 Nguy cơ an ninh

Tất cả các cơ chế tạo đường hầm (từ 6in4 cho tới Teredo) về cơ bản không tích hợp tính năng an ninh như là không xác thực, không kiểm tra tính toàn vẹn và không bảo mật Điều này tạo nên nhiều nguy cơ bị tấn công trong đường hầm

3.8.3.1 Nguy cơ an ninh

Để inject được các gói tin vào một đường hầm được cấu hình, kẻ tấn công phải có hiểu biết về các địa chỉ IPv4 của thiết bị đầu cuối đường hầm và các địa chỉ IPv6 Với đường hầm động, các thiết bị đầu cuối đường hầm phải chấp nhận lưu lượng truy cập từ bất