Tải bản đầy đủ (.doc) (130 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Đồ án tốt nghiệp bảo mật IPv6

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.27 MB, 130 trang )

Bảo mật Ipv6
BẢO MẬT IPv6
MỤC LỤC
BẢO MẬT IPv6 1
MỤC LỤC 1
1. Giới thiệu địa chỉ IPv6 1
1.1. Lịch sử phát triển của địa chỉ IPv6 1
1.2. Nghiên cứu và phân tích những hạn chế của địa chỉ IPv4 1
1.3. Giới thiệu một số tính năng chính của địa chỉ IPv6 3
2. Tổng quan về địa chỉ IPv6 12
2.1 Địa chỉ IPv6 13
2.1.1 Không gian sử dụng địa chỉ IPv6 14
2.1.2 Các kiểu địa chỉ IPv6 15
2.2 Các kiểu header, định dạng và trường trong IPv6 22
2.3 Các Header mở rộng trong IPv6 24
2.4 Giao thức điều khiển thông điệp Internet (ICMPv6) 27
2.4.1. Tổng quan ICMPv6 28
2.4.2. Sự khác biệt giữa ICMP IPv6 và IPv4 29
2.4.3. Chức năng Neighbor Discovery 31
2.4.4. Cấu hình địa chỉ IPv6 tự động 32
2.4.5 Khám phá MTU lớn nhất 33
2.5. Định tuyến trên địa chỉ IPv6 35
2.5.1. Tổng quan đặc điểm kỹ thuật 35
3.5.2. Bảo mật cho các giao thức định tuyến 36
2.6. IPv6 và hệ thống phân giải tên miền (DNS) 39
2.6.1. Giao thức truyền tải DNS 40
2.6.2. Tổng quan kỹ thuật DNS 41
2.6.3. Tác động bảo mật và khuyến nghị 43
3. Các tính năng nâng cao của địa chỉ UPv6 49
3.1 Nghiên cứu kỹ thuật Multihoming 49
Đồ án tốt nghiệp


Bảo mật Ipv6
3.1.1. Sự khác nhau giữa IV4 và IPv6 Multihoming 50
3.1.2. Tổng quan về Site Multihoming SHIM6 51
3.1.3. Các biện pháp đảm bảo an toàn cho Multihoming 53
3.2. Nghiên cứu kỹ thuật Multicast trong IPV6 54
3.2.1. Mô tả địa chỉ IPv6 Multicast 54
3.2.2. Sự khác nhau giữa Multicast IPv4 và Multicast IPv6 60
3.2.3. Các khía cạnh chưa được giải quyết của IPv6 Multicast 61
3.3. Chất lượng dịch vụ trong IPv6 (QoS) 62
3.3.1. Mô tả về chất lượng dịch vụ trong IPv6 62
3.3.2. Sự khác nhau giữa QoS IPv4 và QoS IPv6 63
3.3.3. Các khía cạnh bảo mật của QoS IPv6 63
3.3.4. Những khía cạnh chưa được giải quyết của QoS IPv6 63
3.4. Giao thức cấu hình tự động DHCP cho IPv6 64
3.4.1. Tổng quan về DHCP của IPv6 64
3.4.2. Sự khác nhau so với chuẩn IPv4 66
3.4.3. Đảm bảo an toàn cho DHCP IPv6 67
3.4.4. Các khía cạnh chưa được biết đến 68
3.5. Lựa chọn địa chỉ cho IPv6 69
3.5.1. Tổng quan về lựa chọn địa chỉ 69
3.5.2. Sự khác nhau so với chuẩn IPv4 71
3.5.3. Những khía cạnh bảo mật 71
3.5.4. Những khía cạnh chưa được biết đến 72
3.6. Đánh địa chỉ tiền tố trong IPv6 73
3.6.1. Tổng quan về đánh địa chỉ tiền tố trong IPv6 73
3.6.2. Sự khác nhau so với chuẩn IPv4 76
3.6.3. Các khía cạnh bảo mật 76
3.6.4. Các khía cạnh chưa được biết đến 77
4. Nghiên cứu các vấn dề bảo mật nâng cao với IPv6 79
4.1. Nghiên cứu các tùy chọn bảo mật riêng cho IPV6 (Privacy Addresses) 79

4.2. Tạo khóa xác thực trong IPv6(Cryptographically generated Address) 81
4.3. Nghiên cứu Bảo mật IPSec cho địa chỉ IPv6 83
Đồ án tốt nghiệp
Bảo mật Ipv6
4.3.1. Tổng quan về giao thức bảo mật IPSec 83
4.3.2. Giao thức bảo mật IPSec trong mạng IPv6 86
4.3.3. Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6 93
4.4. Nghiên cứu kỹ thuật bảo mật Stateless Address Autoconfiguration và
Neighbor Discovery 102
4.4.1. Sử dụng IPsec để bảo mật Autoconfiguration và ND 104
4.4.2. Sử dụng SEND để đảm bảo an toàn cho Autoconfiguration and ND 104
5. Đảm bảo an toàn trong triển khai IPv6 106
5.1. Nghiên cứu và phân tích các rủi ro khi triển khai Ipv6 106
5.1.1. Cộng đồng tấn công sử dụng IPv6 106
5.1.2. Khách hàng IPv6 trái phép 107
5.1.3. Lỗ hổng trong IPv6 107
5.1.4. Hoạt động kép 109
5.1.5. Nhận thức rủi ro 110
5.1.6. Nhà cung cấp hỗ trợ 110
5.2. Cơ chế bảo mật trong đánh địa chỉ 111
5.2.1. Kế hoạch đánh số 112
5.2.2. Mạng tăng trưởng 113
5.2.3. Các vấn đề với địa chỉ EUI-64 114
5.2.4. Địa chỉ quản lý 115
5.3. Cơ chế chuyển đổi giữa IPv4 và IPv6 116
5.4. Nghiên cứu về triển khai IPv6 thông qua hạ tầng IPv4 sử dụng kỹ thuật Dual
stack 118
5.5. Nghiên cứu về triển khai IPv6 thông qua hạ tầng IPv4 sử dụng kỹ thuật
Tunneling 119
5.6. Nghiên cứu về các phương thức chuyển đổi địa chỉ (SIIT, NAT-PT; TRT;

Application layer translation) 120
5.6.1. SIIT 120
5.6.2. NAT-PT 121
5.6.3. TRT 123
5.6.4. Ứng dụng tầng vận chuyển 124
Đồ án tốt nghiệp
Bảo mật Ipv6
5.7. Nghiên cứu một số điểm quan trọng trong xây dựng quy trình triển khai
IPV6 124
Đồ án tốt nghiệp
Bảo mật Ipv6
Đồ án tốt nghiệp
Bảo mật Ipv6
1. Giới thiệu địa chỉ IPv6
1.1. Lịch sử phát triển của địa chỉ IPv6
IPv4 đã được phát triển trong những năm 1970 và đầu những năm 1980 để
sử dụng trong chính phủ và cộng đồng học tập tại Hoa Kỳ để tạo thuận lợi cho
giao tiếp và chia sẻ thông tin. Nhu cầu kết nối mạng ngày nay, các trang web
cụ thể, email, các dịch vụ peer-to-peer, và việc sử dụng các thiết bị di động,
đã phát triển vượt ra ngoài mong đợi của những người phát minh. Việc triển
khai rộng rãi và phát triển của công nghệ mạng và truyền thông di động đã
vượt qua khả năng của IPv4 để cung cấp đầy đủ địa chỉ duy nhất trên toàn cầu
space4.
Những nỗ lực để phát triển một kế thừa cho IPv4 bắt đầu vào đầu những
năm 1990 trong Internet Engineering Task Force (IETF) 5. Mục tiêu là để giải
quyết những hạn chế không gian địa chỉ cũng như cung cấp các chức năng bổ
sung. IETF bắt đầu Internet Protocol Next Generation (IPng) làm việc vào
năm 1993 để điều tra các đề xuất khác nhau và đưa ra các khuyến nghị cho
các hành động hơn nữa. IETF đề nghị IPv6 vào năm 1994. (IPv5 tên trước
đây đã được giao cho một giao thức dòng thử nghiệm). Khuyến nghị của họ

được quy định trong RFC 1752, Khuyến nghị cho giao thức IP thế hệ kế tiếp.
Một số đề xuất tiếp theo, Internet Engineering Group chỉ đạo phê duyệt đề
nghị IPv6 và soạn thảo một tiêu chuẩn đề xuất ngày 17 tháng 11 năm 1994.
RFC 1883, Internet Protocol, phiên bản 6 (IPv6) Đặc điểm kỹ thuật, đã được
xuất bản vào năm 1995. Cốt lõi của IPv66 giao thức đã trở thành một dự thảo
tiêu chuẩn IETF vào ngày 10 Tháng Tám 1998. Điều này bao gồm RFC 2460,
thay thế RFC 1883.
IPv6 là một giao thức được thiết kế để xử lý tốc độ phát triển của Internet
và để đối phó với các yêu cầu đòi hỏi của các dịch vụ, di động, và bảo mật
end-to-end. Các phần sau đây mô tả những hạn chế của IPv4, các tính năng
chính của IPv6, và động lực cho việc triển khai IPv6.
1.2. Nghiên cứu và phân tích những hạn chế của địa chỉ IPv4
Sự cạn kiệt địa chỉ ipv4
Page 1
Bảo mật Ipv6
Những thập kỷ vừa qua, do tốc độ phát triển mạnh mẽ của Internet, không
gian địa chỉ ipv4 đã được sử dụng trên 60%. Những tổ chức quản lý địa chỉ
quốc tế đặt mục tiêu "sử dụng hiệu quả" lên hàng đâu.
Những công nghệ góp phần giảm nhu cầu địa chỉ ip như NAT, DHCP
(Dynamic Host Configuration Protocol) cấp địa chỉ tạm thời được sử dụng
rộng rãi. Tuy nhiên, hiện nay, nhu cầu địa chỉ tăng rất lớn.
Thời điểm không gian địa chỉ ipv4 cạn kiệt hiện đang là một vấn đề chưa
thống nhất và gây nhiều tranh cãi. Đã có nhiều dự án dự báo thời gian còn lại
của địa chỉ ipv4 căn cứ trên số liệu tiêu dùng địa chỉ ipv4 trong quá khứ. Tuy
nhiên, việc gia tăng sử dụng địa chỉ ipv4 đã làm cho biểu đồ sử dụng địa chỉ
ipv4 toàn cầu ngày càng dốc.
Tháng 07/2005, tạp chí 1PJ (Internet Protocol Journal) của Cisco đăng bài
phân tích, được nhiều ý kiến đồng tình, dự báo thời điểm các các tổ chức quản
lý không còn địa chỉ cấp cho hoạt động Internet toàn cầu là khoảng năm 2010.
Bài báo dựa trên số liệu về cấp phát địa chỉ của các RIR, số liệu tiêu thụ địa

chỉ ipv4 toàn cầu và số lượng địa chỉ ipv4 còn lại hiện nay. Trong đó, các RIR
cấp phát đi 22 khối 18 trong vòng 18 tháng gần nhất, và không gian địa chỉ
ipv4 còn lại 84 khối 18 (bao gồm địa chỉ còn lại của IANA và các RIR). Tuy
nhiên, tốc độ tăng vọt về không gian địa chỉ các RIR phân bổ trong những
năm gần đây, sự xuất hiện các dịch vụ mới như di động, Internet qua truyền
hình cáp…, sẽ tác động mạnh đến khoảng thời gian còn lại của địa chỉ ipv4.
Hạn chế về công nghệ và nhược điểm của ipv4
Cấu trúc định tuyến không hiệu quả. Địa chỉ ipv4 có cấu trúc định tuyến
vừa phân cấp: vừa không phân cấp Mỗi bộ định tuyến (router) phải duy trì
bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn.
ipv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin ipv4, ví dụ
thực hiện phân mảnh, điêu này tiêu tốn CPU của router và ảnh hưởng đến
hiệu quả xử lý (gây trễ, hỏng gói tin).
Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối
Trong cấu trúc thiết kế của ipv4 không có cách thức bảo mật nào đi kèm.
ipv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu. Kết quả là hiện nay,
Page 2
Bảo mật Ipv6
bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng
truyền tải giữa các máy. Nếu áp dụng lpsec (Internet Protocol Security) là một
phương thức bảo mật phổ biến tại tầng ip, mô hình bảo mật chủ yếu là bảo
mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối - đầu cuối
được sử dụng rất hạn chế.
Hình 2: Mô hình thực hiện NAT của địa chỉ Ipv4
1.3. Giới thiệu một số tính năng chính của địa chỉ IPv6
Chức năng cấu hình tự động của địa chỉ IPv6
Để có thể gán địa chỉ và những thông số hoạt động cho thiết bị ipv6 khi nó
kết nối vào mạng mà không cần nhân công cầu hình bằng tay. có thể sử dụng
DHCPV6. Đây được gọi là dạng thức cấu hình tự độ có trạng thái (stateful
autoconfiguration). Bên cạnh đó, thiết bị ipv6 có khả năng tự động cấu hình

địa chỉ và các thông số hoạt động mà không cần có sự hỗ trợ của máy chủ
DHCP. Đó là đặc điểm mới trong thế hệ địa chỉ ipv6. được gọi là dạng thức
cấu hình không trạng thái (stateless autoconfguration).
Cấu trúc IPv6 Header
Gói tin ipv6 có hai dạng header: header cơ bản (basic header) và header
mở rộng (extension header). Phần header cơ bản có chiều dài cố định 40 byte,
Page 3
Bảo mật Ipv6
chứa những thông tin cơ bản trong xử lý gói tin ipv6, thuận tiện hơn cho việc
tăng tốc xử lý gói tin. Những thông tin liên quan đến dịch vụ mở rộng kèm
theo được chuyển hẳn tới một phân đoạn khác gọi là header mở rộng .
Page 4
Bảo mật Ipv6
Cấu trúc một gói tin ipv6:
Hình 12 : Cấu trúc gói tin IPV6
Mặc dù trường địa chì nguồn và địa chỉ địch trong header ipv6 có chiều
dài 128 bit, gấp 4 lần số bộ địa chỉ ipv4, song chiều phần header của ipv6 chỉ
gấp hai lần ipv4. Đó là nhờ dạng thức của header đã được đơn giản hoá đi
trong ipv6 bằng cách bỏ bớt đi những trường không cần thiết và ít được sử
dụng.
Những trường bỏ đi trong phần mào đâu ipv6:
• Tuỳ chọn (Option): Một trong những thay đổi quan trọng là không còn
tồn tại trường Option trong header ipv6, do những thông tin liên quan
đến dịch vụ kèm theo (vốn được mô tả bằng trường Optỉon trong
header ipv4) được chuyển đặt riêng trong phần header mở rộng, đặt
ngay sau header cơ bản. Vi vậy, chiều dài phần mào đầu cơ bản của
ipv6 là cố định (40 byte).
• Kiểm tra header (Header Checksum): Trong ipv4, Header Checksum
là một sỗ sử dụng để kiểm tra lỗi trong phần header, được tinh toán ra
dựa trên những thông tin phần header. Do giá trị của trường Thời gian

sống (Time to Live TTL) thay đổi mỗi khi gói tin được truyền qua một
bộ định tuyến (router), số kiểm tra header cần phải được tính toán lại
mỗi khi gói tin đi qua một router ipv4. IPV6 đã giải phóng bộ định
tuyến khỏi công việc này, nhờ đó giảm được độ trễ của gói tin ipv6 khi
qua router. Do lớp TCP phía trên lớp IP có kiểm tra lỗi thông tin nên
việc thực hiện phép tính tương tự tại tầng IP là không cần thiết và dư
thừa, do vậy trường kiểm tra header được loại bỏ khỏi phân header
ipv6.
Page 5
Bảo mật Ipv6
• Chiều dài header (Header Length): Chiều dài phần header cơ bản của
gói tin ipv6 cố định là 40 byte. do vậy không cần thiết có trường này.
• Các trường Định danh (ldentirer), Cờ (Flag), Chỉ định phân mảnh
(Fragment Offset): Trong ipv4, đây là những trường phục vụ cho việc
phân mảnh gói tin. Trong ipv6, thông tin về phân mảnh không bao gồm
trong header cơ bản mà được chuyển hẳn sang một header mở rộng có
tên gọi header phân mảnh" (Fragment) Router ipv6 không tiến hành
phân mành gói tin. Việc thực hiện phân mảnh do ứng dụng thực hiện
ngay tại máy tính nguồn. Do vậy, các thông tin hỗ trợ phân mảnh được
bỏ đi khỏi phần header cơ bản là phần được xử lý tại các bộ định tuyến
và được chuyển sang phần header mở rộng. là phần được xử lý tại đầu
cuối.
Những trường trong header ipv6 thực hiện chức năng tương tự header ipv4
• Phiên bản (Version) - 4 bit: Cùng tên với trường trong ipv4. Chi khác
giá trị thể hiện địa chỉ phiên bản 6.
• Phân dạng lưu lượng (Traffic Class) - 8 bit: Thực hiện chức năng
tương tự trường Dạng dịch vụ (Type of Service) của ipv4. Trường này
được sử dụng để biểu diễn mức ưu tiên của gói tin, ví dụ gói tin nên
được truyền với tốc độ nhanh hay thông thường, hướng dẫn thiết bị
thông tin xừ lý gói một cách tương ứng.

• Chiều dài tải dữ liệu (Playload Length) - 16 bit: Trường này thay thế
cho trường Tổng chiều dải (Total Length) của địa chỉ ipv4. Tuy nhiên
nó chỉ xác định chiếu dài phần dữ liệu (payload). Phần dữ liệu trong gói
tin ipv6 được tính bao gồm cả header mở rộng. Với chiếu dài 16 bit,
trường Playload Length có thể chỉ định chiều dải phần dữ liệu của gói
tin ipv6 lên tới 65,535 byte.
• Giới hạn bước (Hop Limit) - 8 bit: Thay thế trường Thời gian sống
(Time to live) của ipv4.
• Header tiếp theo (Next Header) - 8 bit: Thay thế trường Thủ tục
(Protocol). Trường này chỉ định đến header mở rộng đầu tiên của gói
Page 6
Bảo mật Ipv6
tin ipv6 (nếu có) đặt sau header cơ bản, hoặc chỉ đỉnh tới thủ tục lớp
trên như TCP, UDP, ICMPV6 khi trong gói tin ipv6 không có phần
header mở rộng. Nếu sử dụng để chỉ định thủ tục lớp trên, trường này
sẽ có giá trị tương tự như trường Protocol của ipv4.
• Địa chỉ nguồn (Source Address): Địa chỉ nguồn. chiếu dài là 128 bit.
• Địa chỉ đích (Destination Address): Địa chỉ đích. chiều dài là 128 bit.
Trường thêm mới của header ipv6
• Nhãn dòng (Flow Label): Trường Flow Label có chiều dài 20 bit, là
trường mới được thiết lập trong ipv6. Trường này được sử dụng để chì
định rằng gói tin thuộc một dòng (flow) nhất định giữa nguồn và đích,
yêu cầu bộ định tuyến ipv6 (router ipv6) phải có cách xử lý đặc biệt.
Flow Label được dùng khi muôn áp dụng chất lượng dịch vụ (Quality
of Service - QOS) không mặc định. ví dụ QOS cho dữ liệu thời gian
thực (thoại, video). Bằng cách sử dụng trường này. nơi gửi gói tin có
thể xác định một chuỗi các gói tin, ví dụ gói tin của dịch vụ thoại VoiIP
thành 1 dòng. và yêu câu chất lượng dịch vụ cụ thể cho dòng đó. Theo
mặc định, flow Label được đặt giá trị 0. Có thể có nhiều dòng giữa
nguồn và đích. sẽ được xác định bởi những giá trị tách biệt của Flow

Label.
Các giá trị trường header tiếp theo của gói tin IPV6:
Giá trị Dạng header mở rộng tương ứng
0 Từng bước (Hop-By-Hop)
43 Định tuyến (Routing)
44 Phân mảnh (Fragment)
50 Mã hoá (Encapsulating Security Playload - ESP)
51 Xác thực (Authentication Header - AH)
60 Đích (Destination)
Hiện nay, có sáu dạng header mờ rộng tương ứng sáu dịch vụ đang được
định nghĩa. Đó là: Từng bước (Hop-By-Hop), Đích (Destination), Định tuyến
Page 7
Bảo mật Ipv6
(Routing), Phân mảnh (Fragment), Xác thực (Authentication Header - AH).
và Mã hoá (Encapsulating Security Playload - ESP). Thừ tự các header mở
rộng trong gói tin được đặt theo một quy tắc nhất định.
Phần Header mở rộng của địa chỉ IPv6
Các dạng header mở rộng của ipv6:
• Từng bước (Hop - by - Hop): Hop - by - Hop là mào đâu mở rộng
được đặt đầu tiên ngay sau header cơ bản. Header này được sử dụng để
xác định những tham sồ nhất định tại mỗi bước (hop) trên đường truyền
dẫn gói tin tử nguồn tới đích. Do vậy sẽ được xử lý tại mọi bộ định
tuyến (router) trên đường truyền dẫn gói tin.
• Đích (Destination): Header mở rộng Đích được sử dụng đe xác định
các tham số chuyền tải gói tại đích tiếp theo hoặc đích cuối cùng trên
đường đi của gói tin.
- Nếu trong gói tin có header mở rộng Định tuyến, thi header mở
rộng Đích mang thông tin tham số xử lý tại mỗi đích tới tiếp theo.
- Nếu trong gói tin không có header mở rộng Định tuyến, thông tin
trong header mở rộng Đích là tham số xử lý tại đích cuối cùng.

• Định tuyến (Routing): Header mở rộng Định tuyến đảm nhiệm xác
định đường dẫn định tuyến của gói tin. Nếu muốn gói tin được truyền
đi theo một đường xác định, chứ không tuỳ thuộc vào việc lựa chọn
đường đi của các thuật toán định tuyến. node ipv6 nguồn có thể sử
dụng header mở rộng định tuyến để xác định đường đi. bằng cách liệt
kê địa chỉ của các bộ định tuyến (router) mà gói tin phải đi qua. Các địa
chỉ thuộc danh sách này sẽ được lần lượt dùng làm địa chỉ đích của gói
tin ipv6 theo thừ tự được liệt kê vả gói tin sẽ được gửi từ router này đến
router khác, theo danh sách liệt kê trong header mở rộng định tuyến.
• Phân mảnh (Fragment): Header mở rộng phân mảnh mang thông tin
hỗ trợ cho quá trình phân mảnh và tái tạo gói tin ipv6. Header mở rộng
Phân mảnh được sử dụng khi nguồn ipv6 gửi đi gói tin lởn hơn giá trị
MTU (Maximum Transmission Ung) nhỏ nhất trong toàn bộ đường dẫn
Page 8
Bảo mật Ipv6
từ nguồn tới đích. Trong hoạt động của địa chỉ ipv4 mọi bộ định tuyến
(router) trên đường dẫn cần tiến hành phân mảnh gói tin theo giá trị của
MTU đặt cho một giao điện. Tuy nhiên. chu trình này áp đặt một gánh
nặng lên router. Bởi vậy trong địa chỉ ipv6. router không thực hiện
phân mảnh gói tin. Việc này được thực hiện tại nguồn gửi gói tin.
• Mã hoá (Encapsulating Security Playload - ESP): lpsec (Internet
Protocol Security) là phương thức mã hóa bảo mật dữ liệu tại tầng IP
được sử dụng phổ biến (vi dụ khi thực hiện mạng riêng ảo VPN
(Virtual Private Network)). Trong thế hệ địa chỉ ipv4, khi có sử dụng
lpsec trong bảo mật kết nồi dạng đầu cuối - đầu cuối. thông tin hỗ trợ
bảo mật và mã hóa được đặt trong trường Tuỳ chọn của header ipv4.
Trong hoạt động của địa chỉ ipv6, thực thi ipsec được coi là một đặc
tính bắt buộc. Tuy nhiên, lpsec có thực sụ được sử dụng trong giao tiếp
hay không tùy thuộc vào từng trường hợp. Khi ipsec được sử dụng, gói
tin ipv6 cần có các dạng header mở rộng Xác thực và Mã hoá. Header

mở rộng Xác thực dùng để xác thực và bảo mật tính đồng nhất của dữ
liệu. Header mở rộng Mã hoá dùng để xác định những thông tin liên
quan đến mã hoá dữ liệu.
Tích hợp IPSec trên IPv6
Bảo mật IP (IPsec) là một bộ các giao thức Internet Protocol (IP) thông
tin liên lạc bằng cách chứng thực người gửi và cung cấp bảo vệ toàn vẹn
cộng với tùy chọn bảo mật cho dữ liệu được truyền. Điều này được thực hiện
thông qua việc sử dụng hai phần đầu mở rộng: Encapsulating Security
Payload (ESP) và Header xác thực (AH). Việc đàm phán và quản lý IPsec an
ninh bảo vệ và khóa bí mật liên quan được xử lý bởi các giao thức Internet
Key (IKE) Trao đổi. IPsec là một phần bắt buộc của một thực hiện IPv6, tuy
nhiên, việc sử dụng nó là không cần thiết. IPsec cũng được chỉ định để đảm
bảo cho các giao thức IPv6 cụ thể (ví dụ, Mobile IPv6 và OSPFv3 [Open
Shortest Path First v3]).
Chất lượng dịch vụ (QoS) trên IPv6
Page 9
Bảo mật Ipv6
IP (đối với hầu hết các phần) xử lý tất cả các gói tin như nhau, khi chúng
được chuyển tiếp với điều trị nỗ lực tốt nhất và đảm bảo không có giao thông
qua mạng. TCP (Transmission Control Protocol) cho biết thêm xác nhận giao
hàng nhưng không có tùy chọn để kiểm soát các thông số như sự chậm trễ
hoặc phân bổ băng thông. QoS cung cấp các tùy chọn mạng nâng cao dựa trên
chính sách để ưu tiên việc cung cấp các thông tin.
Hiện tại việc triển khai IPv4 và IPv6 sử dụng các khả năng tương tự như
QoS, như Dịch vụ phân biệt và các dịch vụ tích hợp, để xác định và ưu tiên
thông tin liên lạc trong thời gian tắc nghẽn mạng trên nền IP. Trong header
IPv6 hai lĩnh vực có thể được sử dụng cho QoS, Class giao thông và các lĩnh
vực Label lưu lượng. The Flow Label lĩnh vực mới và lớp giao thông mở rộng
lĩnh vực trong tiêu đề IPv6 chính cho phép hiệu quả hơn và tốt hơn sự khác
biệt hạt của các loại khác nhau của lưu lượng truy cập. The Flow Label lĩnh

vực mới có thể chứa một nhãn xác định hoặc ưu tiên lưu lượng gói tin nhất
định chẳng hạn như tiếng nói qua IP (VoIP) hoặc hội nghị truyền hình, cả hai
đều là nhạy cảm với giao hàng kịp thời. IPv6 QoS vẫn là một công việc đang
tiến và an ninh cần phải được xem xét gia tăng trong giai đoạn này của sự
phát triển.
So sánh các vấn đề khi triển khai IPv4 và IPv6
IPv6 là một giao thức Internet mới được thiết kế nhằm đáp ứng các yêu
cầu về phát triển các dịch vụ mới và mở rộng không gian địa chỉ trên mạng
Internet, đồng thời khắc phục những hạn chế khác của IPv4 hiện nay không
hỗ trợ tính “ mở” của giao thức, dịch vụ QoS, các chức năng bảo mật. Tuy
nhiên hai giao thức IPv4 và IPv6 không thực sự tương thích với nhau. Mặt
khác, hệ thống IPv4 đã phát triển mạnh mẽ và hiện nay đã hình thành một
mạng Internet toàn cầu có quy mô hết sức rộng lớn cả về kiến trúc mạng và
dịch vụ trên mạng. Do vậy, trong một tương lai gần không thể chuyển đổi
mạng từ IPv4 sang IPv6 được.
Để triển khai mạng IPv6 hiệu quả và thiết thực, các nhà thiết kế đã đưa ra
giải pháp là triển khai mạng IPv6 trên nền mạng IPv4. Vì xuất hiện vấn đề,
một máy tính sử dụng IPv6 khi truy cập website dùng IPv4 và ngược lại. Có
thể trong giai đoạn chuyển đổi, người sử dụng sẽ gặp thông báo site không
Page 10
Bảo mật Ipv6
tồn tại, hoặc tường lửa (firewall) cài đặt trên máy của họ không nhận diện
được IPv6 nên chặn hoặc khiến quá trình truy cập vào website bị chậm lại
Tuy nhiên, thông thường, các công ty triển khai IPv6 sẽ có các công cụ và
phần mềm để hỗ trợ việc giao tiếp giữa IPv4 và IPv6 trở nên thuận tiện.
Page 11
Bảo mật Ipv6
2. Tổng quan về địa chỉ IPv6
Vì số lượng và khả năng bảo mật IPv4 có hạn nên người ta đã phát triển
IPv6. Bảng sau đây mô tả sự khác nhau cơ bản của IPv6 và IPv4.

Thuộc tính IPv4 IPv6
Kích thước địa chỉ và
kích thước mạng
32 bit,
kích thước mạng 8-30
bit
128 bit,
kích thước mạng 64bit
Kích thước header gói
tin
20-60 bytes 40 bytes
Mức mở rộng header giới hạn số tuỳ chọn nhỏ
trong IP
không giới hạn số
header mở rộng
Phân mảnh Người gửi hoặc trung
gian bất kỳ cho phép
định tuyến phân mảnh
chỉ có người gửi có thể
phân mảnh
Giao thức điều khiển hỗn hợp của non-
IP(ARP), ICMP, và giao
thức khác
tất cả giao thức điều
khiển dựa trên ICMPv6
MTU tối thiểu cho phép 576 bytes 1280 bytes
Phần MTU phát hiện Tuỳ chọn, không sử
dụng rộng rãi
khuyến khích mạnh
Gán địa chỉ thường một địa chỉ một

máy
nhiều địa chỉ trên một
giao diện mạng
Kiểu địa chỉ sử dụng kiểu địa chỉ
unicast, multicast,
broadcast
địa chỉ broadcast không
được sử dụng, sử dụng
unicast, multicast và
anycast
Cấu hình địa chỉ cấu hình bằng tay thiết
bị hoặc sử dụng DHCP
thiết bị tự cấu hình bằng
sử dụng tự động cấu
hình địa chỉ không trạng
thái hoặc sử dụng
DHCP
Page 12
Bảo mật Ipv6
2.1 Địa chỉ IPv6
Người ta không biểu diễn địa chi ipv6 dưới dạng số thập phân. Địa chỉ
ipv6 được viết hoặc theo 128 bit nhị phân, hoặc thành một dãy chữ số hexa.
Tuy nhiên, nếu viết một dãy số 128 bit nhị phân quả là không thuận tiện, và
để nhớ chúng thì không thể. Do vậy, địa chỉ ipv6 được biểu diễn dưới dạng
một dãy chữ số hexa.
Để biểu diễn 128 bit nhị phân ipv6 thành dãy chữ số hexa decimal, người
ta chia 128 bit này thành các nhóm 4 bit, chuyển đổi từng nhóm 4 bit thành số
hexa tương ứng và nhóm 4 số hexa thành một nhóm phân cách bởi dâu “:”
Kết quả một địa chỉ ipv6 được biểu diễn thành một dãy số gồm 8 nhóm số
hexa cách nhau băng dấu ":". mỗi nhóm gồm 4 chữ số hexa.

Địa chỉ ipv6: 128 bit
0010 0000 … 00 1100 1011 1010 0010 0011 1001 1011 0111
32 cụm 4 bit = 32 chữ số hexa = 8 cụm 4 chữ số hexa
2000:0000:0000:0000:0000:0000:cba2:39b7
Rút gọn cách viết địa chỉ ipv6
Dãy 32 chữ số hexa của một địa chỉ ipv6 có thể có rất nhiều chữ số 0 đi liền
nhau. Nếu viết toàn bộ và đầy đủ những con số này thì dãy biểu diễn địa chỉ
ipv6 thường rất dài. Do vậy có thể rút gọn các địa chỉ ipv6 theo hai quy tắc
sau đây:
Quy tắc 1 : Trong một nhóm 4 số hexa, có thể bỏ bớt những số 0 bên trái. Ví
dụ cụm số “0000" có thể viết thành "0". cụm số "09C0" có thể viết thành
"9C0"
Quy tác 2: Trong cả địa chỉ ipv6. một số nhóm liền nhau chứa toàn số 0 có
thể không viết và chỉ viết thành "::". Tuy nhiên. chỉ được thay thế một lần như
vậy trong toàn bộ một địa chỉ ipv6.
Page 13
Bảo mật Ipv6
2.1.1 Không gian sử dụng địa chỉ IPv6
Phần này giới thiệu các kiểu khác nhau của địa chỉ IPv6, phạm vi và sử
dụng. Chi tiết hơn sẽ mô tả trong các phần sau.
Kiểu địa chỉ Tiền tố nhị phân Ký hiệu IPv6 Sử dụng
Nhúng địa chỉ
IPv4
00 1111 1111
1111 1111
(96bit)
::FFFF/96 Tiền tố nhúng địa
chỉ IPv4 trong IPv6
Loopback 00 1 (128 bit) ::1/128 Địa chỉ Loopback
trên mỗi giao diện

mạng [RFC 2460]
Unicast toàn cục 001 2000::/3 Unicast toàn cục và
anycast ( phân bổ)
[RFC 4291]
Unicast toàn cục 01 - 1111 1100
0
4000::/2 -
FC00 ::/9
Unicast toàn cục và
anycast(không phân
bổ)
Teredo 0010 0000 0000
0001 0000 0000
0000 0000
2001:0000::/32 Teredo [RFC 4380]
Nonroutable 0010 0000 0000
0001 0000 1101
1011 1000
2001:DB8:/32 Nonroutable. Tài
liệu mục đích [RFC
3849]
6to4 0010 0000 0000
0010
2002::/16 6to4 [RFC 3056]
6Bone 0011 1111 1111
1110
3FFE::/16 Phản đối. 6bone
giao thử nghiệm,
năm 1996 đến giữa
năm 2006 [RFC

3701]
Link-local
unicast
1111 1110 10 FE80::/10 Liên kết unicast địa
phương
Page 14
Bảo mật Ipv6
Reversed 1111 1110 11 FEC0::/10 Phản đối, Không
gian địa chỉ trước
của site-
local,unicast,anycast
Địa chỉ cục bộ
IPv6
1111 110 FC00::/7 Không gian địa chỉ
Unicast Unique,
unicast và anycast
[RFC 4193]
Multicast 1111 1111 FF00::/8 Không gian địa chỉ
Multicast [RFC
4291]
2.1.2 Các kiểu địa chỉ IPv6
Unicast: Địa chỉ unicast xác định một giao diện duy nhất. Trong mô hình
định tuyến, các gói tin có địa chỉ đích là địa chỉ unicast chỉ được gửi tới một
giao diện duy nhất. Địa chỉ unicast được sử dụng trong giao tiếp một - một.
Multicast: Địa chỉ multicast định danh một nhóm nhiều giao diện. Gói tin có
địa chỉ đích là địa chỉ multicast sẽ được gửi tới tất cả các giao diện trong
nhóm được gắn địa chỉ đó. Địa chỉ multicast được sử dụng trong giao tiếp một
– nhiều. Trong địa chỉ ipv6 không còn tồn tại khái niệm địa chỉ broadcast (địa
chỉ quảng bá). Mọi chức năng của địa chỉ broadcast trong ipv4 được đảm
nhiệm thay thế bởi địa chỉ ipv6 multicast. Ví dụ chức năng quảng bá trong

một mạng của địa chỉ ipv4 được đảm nhiệm bằng một loại địa chỉ multicast
ipv6 có tên gọi địa chỉ multicast mọi node phạm vi một đường kết nối
(FF02::1).
Anycast: Anycast là khái niệm mới trong địa chỉ ipv6. Địa chỉ anycast cũng
xác định tập hợp nhiều giao diện. Tuy nhiên. Trong mô hình định tuyền. gói
tin có địa chỉ đích anycast chỉ được gửi tới một giao diện duy nhất trong tập
hợp. Giao diện đó là giao diện gần nhất theo khái niệm của thủ tục định tuyến.
2.1.2 Các vùng địa chỉ IPv6
Địa chỉ đặc biệt
IPv6 sử dụng hai địa chi đặc biệt sau đây trong giao tiếp:
Page 15
Bảo mật Ipv6
0:0:0:0:0:0:0:0 hay còn được viết " : : " là loại địa chỉ không định danh"
được node ipv6 sử dụng để thể hiện rằng hiện tại nó không có địa chỉ. Địa chỉ
"::" được sử dụng làm địa chỉ nguồn cho các gói tin trong quy trình hoạt động
của một node ipv6 khi tiến hành kiểm tra xem có một node nào khác trên
cùng đường kết nối đã sử dụng địa chỉ ipv6 mà nó đang dự định dùng hay
chưa. Địa chỉ này không bao giờ được gắn cho một giao diện hoặc được sử
dụng làm địa chỉ đích.
0:0:0:0:0:0:0:0:1 hay " : : 1 " được sử dụng làm địa chỉ xác định giao
diện loopback. cho phép một node gửi gói tin cho chính nó. tương đương với
địa chì 127.0 0.1 của ipv4. Các gói tin có địa chỉ đích : : 1 không bao giờ
được gửi trên đường kết nối hay chuyển tiếp đi bởi bộ định tuyến. Phạm vi
của dạng địa chỉ này là phạm vi node.
Địa chỉ phục vụ cho giao tiếp trên một đường kết nối (địa chỉ Link-local)
Trong IPv6 các node trên cùng một đường kết nối (một Ethernet) coi
nhau là các node lân cận (neighbor). Trong mô hình hoạt động của ipv6, giao
tiếp giữa các node lân cận trên một đường kết nối là vô cùng quan trọng.
IPV6 đã phát triển một thủ tục mới, tên gọi Neighbor Discovery (ND) là một
thủ tục thiết yêu, phục vụ giao tiếp giữa các node trên cùng một đường kết

nối. Địa chỉ Link-local sử dụng trong các quy trình mà thủ tục ND phụ trách.
Địa chỉ Link-local là loại địa chỉ phục vụ cho giao tiếp nội bộ giữa các
node ipv6 trên cùng một Ethernet. IPV6 được thiết kế với tính năng "plug-
and-play", tức khả năng cho phép thiết bị ipv6 tự động cấu hình địa chỉ và các
tham số phục vụ cho giao tiếp bắt đầu từ trạng thái chưa có thông tin cấu hình
nào. Tinh năng đó có được là nhờ node ipv6 luôn có khả năng tự động cấu
hình nên một dạng địa chỉ sử dụng cho giao tiếp nội bộ. Đó chinh là địa chỉ
Link-local.
Địa chi Link-local luôn được node ipv6 cấu hình một cách tư động khi
bắt đầu hoạt động, ngay cả khi không có sự tồn tại của mọi dạng địa chỉ
unicast khác. Địa chỉ này có phạm vi trên một đường kết nối (một Ethernet),
phục vụ cho giao tiếp giữa các node lân cận. Sở dĩ một node ipv6 có thể tự
động cấu hình địa chỉ Link-local là do node ipv6 có khả năng tự động cấu
hình 64 bit định danh giao diện.
Page 16
Bảo mật Ipv6
Địa chỉ Link-local được tạo nên từ 64 bit định danh giao diện (interface
ID) và một tiền tố (prefix) quy định sẵn cho địa chỉ Link-local là FE80::110.
Khi không có router (bộ định tuyến). các node ipv6 trên một đường kết
nối sẽ sử dụng địa chì Link-local để giao tiếp với nhau. Phạm vi của dạng địa
chỉ này là trên một đường kết nối.
Hình 5: Cấu trúc địa chỉ Link-local
Địa chỉ Link-local bắt đầu bởi 10 bit tiền tô FE80::110, theo sau bởi 54 bit
0. 64 bit còn lại là định danh giao diện (lnterface ID).
Địa chỉ phục vụ cho giao tiếp phạm vi một mạng (địa chỉ site-local)
Trong thời kỳ ban đầu của ipv6. dạng địa chì ipv6 Site-local được thiết
kế với mục đích sử dụng trong phạm vi một mạng. tương đương với địa chỉ
dùng riêng (private) của ipv4. Tính duy nhất của dạng địa chỉ này được đảm
bảo trong phạm vi một mạng dùng riêng (vi dụ một mạng văn phòng, một tổ
hợp mạng văn phòng của một tổ chức ). Các router biên ipv6 không chuyển

tiếp gói tin có địa chỉ site-local ra khỏi phạm vi mạng riêng của tổ chức. Do
vậy, một vùng địa chỉ site-local có thể được dùng trùng lặp bởi nhiều tổ chức
mà không gây xung đột định tuyến ipv6 toàn cầu. Địa chỉ site-local trong một
mạng dùng riêng không thể được truy cập tới từ một mạng khác.
Địa chỉ Site-local có tiền tố FEC0::110 và có cấu trúc như trong hình sau:
Hình 6: Cấu trúc địa chỉ Site-local
Page 17
Bảo mật Ipv6

Địa chỉ site-local bắt đau bằng 10 bit tiền tố FEC0::110. Tiếp theo là 38
bộ 0 và 16 bit mà tổ chức có thể phân chia mạng con (subnet). định tuyến
trong phạm vi mạng của mình. 64 bit cuối là 64 bit định danh giao diện cụ thể
trong một mạng con.
Địa chỉ Site-local được định nghĩa trong thời kỳ đầu phát triển ipv6.
Trong quá trinh sử dụng ipv6 người ta nhận thấy nhu cau sử dụng địa chỉ
dạng site-local trong tương lai phát triển của thế hệ địa chỉ ipv6 là không thực
tế và không cần thiết. Do vậy, IETF đã sửa đổi RFC3513 loại bỏ đi dạng địa
chỉ site-local.
Địa chỉ định danh toàn cầu (địa chỉ Global Unicast)
Đây là dạng địa chỉ tương đương với địa chỉ ipv4 công cộng hiện đang
sử dụng cho mạng Internet toàn cầu. Tính duy nhất của dạng địa chỉ này được
đảm bảo trong phạm vi toàn cầu. Chúng được định tuyến và có thể liên kết tới
trên phạm vi toàn bộ mạng Internet. Việc phân bổ và cấp phát dạng địa chỉ
này do hệ thống các tổ chức quản lý địa chỉ quốc tế đảm nhiệm.
Địa chỉ định danh toàn cầu có tiền tô bao gồm ba bit 001::/3. Một địa
chỉ định danh toàn cầu là duy nhất trên toàn bộ mạng Internet ipv6. Như
chúng ta đã biết. node ipv6 ngay từ lúc khởi tạo đã có khả năng giao tiếp, do
luôn có khả năng tự động tạo nên dạng địa chỉ Link-local.
Tuy nhiên với địa chỉ này, node chỉ có thể thực hiện giao tiếp trong
phạm vi một LAN. Để có giao tiếp toàn cầu node ipv6 cần được gán ít nhất

một địa chỉ định danh toàn cầu. Địa chỉ này có thể được cấu hình bằng tay
cho node như hiện nay vẫn đang thực hiện với ipv4. Tuy nhiên, giao thức
ipv6 được thiết kế với đặc tinh hỗ trợ node ipv6 khả năng tìm kiếm và tự động
gắn địa chỉ định danh toàn cầu. qua những giao tiếp nội bộ sử dụng địa chỉ
Link-local.
Không như địa chỉ ipv4, với cấu trúc định tuyến vừa phân cấp. vừa
không phân cấp, địa chỉ Internet ipv6 được cải tiến trong thiết kế để đảm bảo
có một cấu trúc định tuyến và đánh địa chỉ phân cấp rõ ràng.
Nếu ba mục tiêu quan trọng nhất trong quản lý địa chỉ ipv4 là "sử dụng
hiệu quả, tiết kiệm", "tính tổ hợp" và tính có đăng ký" thì đối với địa chỉ ipv6,
Page 18
Bảo mật Ipv6
mục tiêu đầu tiên được đặt lên hàng đầu là tính tổ hợp". Điều này rất dễ hiểu.
Với chiều dài 128 bit. không gian địa chỉ vô cùng rộng lớn. Nếu địa chỉ ipv6
không được tổ hợp thật tốt, có cấu trúc định tuyến phân cấp rõ ràng hiệu quả
thì không thể xử lý được một khối lượng thông tin không lồ đặt lên bảng
thông tin định tuyến toàn cầu.
Cấu trúc địa chỉ định danh toàn cầu:
Hình 7: Cấu trúc địa chỉ định danh toàn cầu
Địa chỉ định danh toàn cầu được bắt đầu với 3 bit tiền tố 001. Theo
cách thức biểu diễn dạng số hexa. hiện nay hoạt động liên kết mạng ipv6 toàn
cầu đang sử dụng địa chỉ thuộc vùng 2000::/3 (bắt đầu từ 2000:0:0:0:0:0:0:0
đến 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF), do hệ thống tổ chức
quản lý địa chỉ ip quốc tế cấp phát. phân bổ lại cho hoạt động Internet toàn
cầu. Nếu một địa chỉ ipv6 được bắt đầu bà ba bit tiến tố 001, chúng ta biết đó
là vùng địa chì định tuyến toàn cầu.
Địa chỉ tương thích (địa chỉ Compatibility)
Địa chỉ ipv6 phát triển khi mạng Internet là một thế giới kết nối ipv4.
Cần có những công nghệ phục vụ cho việc chuyển đổi từ địa chỉ ipv4 sang địa
chỉ ipv6. cũng như những cách thức cho phép lợi dụng cơ sở hạ tầng mạng

Internet ipv4 để kết nối các mạng. hoặc các máy tính ipv6 riêng lẻ. Địa chỉ
ipv6 tương thích được định nghĩa để sử dụng trong những công nghệ chuyển
đổi từ địa chỉ ipv4 sang địa chỉ ipv6. bao gồm:
Sử dụng trong công nghệ biên dịch giữa địa chỉ ipv4 - ipv6 (cho phép mạng
ipv4 giao tiếp được mạng ipv6)
Sử dụng cho một hình thức chuyển đồi được gọi là "đường hầm - tunnel"
trong đó lợi dụng cơ sở hạ tâng sẵn có của mạng ipv4 để kết nối các mạng
ipv6 bằng cách bọc gói tin ipv6 vào trong gói tin đánh địa chỉ ipv4 để truyền
đi trên mạng cơ sở hạ tầng ipv4, sử dụng cấu trúc định tuyên ipv4.
Page 19
Bảo mật Ipv6
Do phục vụ cho công nghệ chuyển đổi giữa giao tiếp ipv4 và ipv6, địa
chỉ ipv6 tương thích được cấu hình nên từ địa chỉ ipv4 và có nhiều dạng tuỳ
thuộc theo các công nghệ chuyển đổi khác nhau. Một số dạng hiện nay đã
không còn được sử dụng nữa. Chúng ta sẽ tìm hiểu ba trong số những dạng
địa chỉ tương thích. Đó là địa chỉ ipv4-compatible. địa chỉ ipv4-mapped, địa
chỉ 6to4.
Địa chỉ ipv4-compatible
Địa chỉ ipv4-compatible được tạo từ 32 bit địa chỉ ipv4 theo cách thức
gắn các bit toàn 0 vào trước 32 bit địa chỉ ipv4 và được viết như sau:
0:0:0:0:0:0:w.x.y.z hoặc :: w.x.y.z
Trong đó w.x.y.z là địa chỉ ipv4 viết theo cách thông thường
Hình 8: Cấu trúc địa chỉ ipv4-compatible
Dạng địa chỉ ipv4-compatible được sử dụng trong một công nghệ tạo
đường hầm có tên gọi tunnel tự động. Khi một gói tin ipv6 có địa chỉ nguồn
và đích dạng ipv4-compatible, gói tin ipv6 đó sẽ được tự động bọc trong gói
tin có phần mào đâu (header) ipv4 và gửi tới đích sử dụng cơ sở hạ tầng mạng
ipv4
Hiện nay, nhu cầu về dạng kết nối tunnel tự động này không còn nữa.
Do vậy, dạng địa chỉ này cũng đã được loại bỏ không còn sử dụng trong giai

đoạn phát triển tiếp theo của địa chi ipv6.
Địa chỉ ipv4-mapped
Hình 9: Địa chỉ ipv4-mapped
Page 20

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×