đồ án :CÁC CƠ CHẾ CHUYỂN DỊCH VÀ BẢO MẬT TỪ IPv4 SANG IPv6 MỤC LỤCMỤC LỤCiDANH MỤC HÌNH VẼiiiDANH MỤC BẢNG BIỂUivTHUẬT NGỮ VIẾT TẮTvLỜI NÓI ĐẦUviiCHƯƠNG I: SỰ CẦN THIẾT PHẢI CHUYỂN ĐỔI SANG IPv611.1. Sự hạn chế của địa chỉ IPv411.1.1. Sự cạn kiệt của địa chỉ IPv411.1.2. Hạn chế về công nghệ và nhược điểm của IPv421.2. Các đặc tính của IPv631.2.1. Giới thiệu chung31.2.2. Các lợi ích của IPv641.2.3. Không gian địa chỉ IPv651.2.4. Các loại địa chỉ IPv661.2.5. Gán địa chỉ cho host và router161.3. Các yêu cầu trong quá trình cùng tồn tại và chuyển dịch IPv4/IPv6171.3.1. Các kịch bản chuyển dịch171.3.2. Các yêu cầu cho toàn bộ chiến lược chuyển dịch19CHƯƠNG II: CÁC CƠ CHẾ CHUYỂN DỊCH TỪ IPv4 SANG IPv6202.1. Giới thiệu chung202.2. Ngăn xếp kép IPv6/IPv4212.3. Các cơ chế biên dịch222.3.1. Biên dịch IP/ICMP không trạng thái (SIIT)222.3.2. Đệm trong ngăn xếp (BIS)272.3.3. Đệm trong ứng dụng (BIA)292.3.4. Biên dịch địa chỉ mạng-biên dịch giao thức (NAT-PT)322.3.5. Biên dịch chuyển tiếp lớp vận chuyển342.4. Cơ chế đường hầm362.4.1. Đường hầm tĩnh372.4.2. Cơ chế đường hầm động sử dụng địa chỉ IPv4 tương thích382.4.3. Cơ chế chuyển dịch 6over4382.4.4. Cơ chế chuyển dịch 6to4422.4.5. ISATAP462.4.6. Teredo49CHƯƠNG III: CÁC CƠ CHẾ BẢO MẬT KHI CHUYỂN DỊCH SANG IPv6553.1. Các vấn đề về bảo mật khi chuyển dịch sang IPv6553.1.1. Các vấn đề xác định cơ chế chuyển dịch553.1.2. Đường hầm tự động và chuyển tiếp553.1.3. Đường hầm IPv6 qua mạng IPv4 có thể làm ảnh hưởng đến các dữ kiện bảo mật mạng IPv4563.2. Bảo mật trong cơ chế 6to4573.2.1. Phân tích các mối đe dọa573.2.2. Tấn công trên mạng 6to4573.2.3. Tấn công vào mạng internet thuần IPv6643.3. Sử dụng IPSec trong cơ chế đường hầm683.3.1. Các nguy cơ và việc sử dụng IPSec683.3.2. IKE và các phiên bản IPSec723.3.3. Cấu hình chi tiết IPSec73CHƯƠNG IV: HOẠT ĐỘNG TRIỂN KHAI IPv6 TRÊN TOÀN CẦU774.1. Quá trình triền khai IPv6774.2. Hoạt động chuyển giao IPv6 trên toàn cầu824.2.1. Châu Âu824.2.2. Châu Mỹ834.2.3. Châu Á – Thái Bình Dương834.2.4. Tình hình triển khai IPv6 ở Việt Nam87KẾT LUẬN88TÀI LIỆU THAM KHẢO89
Học viện công nghệ Bưu chính Viễn thông Khoa Viễn thông I o0o Cộng hòa xã hội chủ nghĩa Việt Nam Độc lập – Tự do – Hạnh phúc o0o ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ và tên: Phạm Văn Nhuận Lớp: Đ2004VT1 Khoá: 2004-2008 Tên đề tài: CÁC CƠ CHẾ CHUYỂN DỊCH VÀ BẢO MẬT TỪ IPv4 SANG IPv6 Nội dung đồ án: • Sự cần thiết phải chuyển đổi sang IPv6 • Các cơ chế chuyển dịch từ IPv4 sang IPv6 • Vấn đề bảo mật trong quá trình chuyển sang IPv6 Ngày giao đề tài: 28/7/2008 Ngày nộp đồ án: 17/10/2008 Ngày tháng năm 2008 Giáo viên hướng dẫn TS Dư Đình Viên MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU THUẬT NGỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt ACL Access Control List Danh sách điều khiển truy nhập AH Authentication Header Nhận thực tiêu đề ALG Application Layer Gateway Cổng lớp ứng dụng API Application Programming Interface Giao diện lập trình ứng dụng BIA Bump In the Application Đệm trong ứng dụng BIS Bump In the Stack Đệm trong ngăn xếp CPU Central Processing Unit Đơn vị xử lý trung tâm DHCP Dynamic Host Configuration Protocol Giao thức cấu hình máy tự động DNS Domain Name System Hệ thống phân giải tên miền DoD Department of Defense Bộ quốc phòng Hoa Kỳ DoS Denial of Service Từ chối dịch vụ DSL Digital Subscrible Line Đường dây thuê bao số ESP Encapsulating Security Payload Đóng gói tải tin an toàn FTP File Transfer Protocol Giao thức truyền tải tệp IANA Internet Assigned Number Authority Tổ chức cấp phát số hiệu internet ICMP Internet Control Message Protocol Giao thức bản tin điều khiển internet IETF Internet Enginering Task Force Nhóm đặc trách kỹ thuật internet IKE Internet Key Exchange Trao đổi khóa internet IP Internet Protocol Giao thức internet IPSec IP Security Bảo mật IP IPTV Internet Protocol Television Truyền hình IP ISATAP Intrasite Automatic Tunnel Addressing Protocol Giao thức đánh địa chỉ đường hầm tự động bên trong ISP Internet Service Provider Nhà cung cấp dịch vụ internet LAN Local Area Network Mạng cục bộ MAC Medium Access Control Điều khiển truy nhập môi trường NAT Network Address Translator Thiết bị biên dịch địa chỉ mạng NAT-PT Network Address Translation- Protocol Translation Biên dịch địa chỉ mạng-Biên dịch giao thức NBMA Non Broadcast Multiple Access Đa truy nhập không quảng bá ND Neighbour Discovery Dò tìm hàng xóm PDA Personal Digital Assistant Thiết bị hỗ trợ số cá nhân PDU Protocol Data Unit Đơn vị dữ liệu giao thức PSD Packet Switched Data Dữ liệu chuyển mạch gói RFC Request for Comment Yêu cầu bình luận RIR Regional Internet Registry Tổ chức quản lý internet cấp vùng SA Security Association Thỏa hiệp bảo mật SIIT Stateless IP/ICMP Translation Algorithm Thuật toán biên dịch IP/ICMP không trạng thái SIP Session Initiation Protocol Giao thức khởi tạo phiên SOHO Small Office/Home Office Văn phòng nhỏ/ Văn phòng tại nhà SPI Security Parameter Index Chỉ số bảo mật TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn TRT Transport Relay Translator Biên dịch chuyển tiếp lớp truyền dẫn UDP User Datagram Protocol Giao thức dữ liệu người dùng VLAN Virtual Local Area Network Mạng LAN ảo VNPT Vietnam Posts and Telecommunications Tập đoàn bưu chính viễn thông Việt Nam VoIP Voice Over IP Thoại qua IP VPN Virtual Private Network Mạng riêng ảo LỜI NÓI ĐẦU Địa chỉ IPv4 đã đồng hành với việc phát triển như vũ bão của hoạt động Internet trong hơn hai thập kỷ vừa qua. Song nguồn tài nguyên IPv4 sắp cạn kiệt trước tốc độ tiêu thụ quá nhanh của toàn cầu trước nhu cầu phát triển không ngừng các dịch vụ mới. Bên cạnh nguy cơ cạn kiệt nguồn IPv4, xu hướng hội nhập mạng viễn thông và internet với khái niệm mạng thế hệ mới NGN đã khiến IPv4 bộc lộ một số hạn chế trong cấu trúc thiết kế, khiến những nhà nghiên cứu, những tổ chức tiêu chuẩn hóa chịu trách nhiệm về hoạt động mạng toàn cầu nhận thấy cần có sự phát triển lên một tầm cao hơn của giao thức internet. Thủ tục IPv6 phát triển khi IPv4 đã được sử dụng rộng rãi, mạng lưới IPv4 internet hoàn thiện, hoạt động tốt. Trong quá trình triển khai thế hệ địa chỉ IPv6 trên mạng internet, không thể có một thời điểm nhất định mà tại đó, địa chỉ IPv4 được hủy bỏ, thay thế hoàn toàn bởi thế hệ địa chỉ mới IPv6. Hai thế hệ mạng IPv4, IPv6 sẽ cùng tồn tại trong một thời gian rất dài. Trong quá trình phát triển, các kết nối IPv6 sẽ tận dụng cơ sở hạ tầng sẵn có của IPv4. Đồ án sẽ phân tích kỹ các vấn đề liên quan đến quá trình chuyển dịch từ IPv4 sang IPv6. Nội dung đồ án bao gồm các phần sau: Chương 1: Trình bày sự cần thiết phải chuyển đổi sang IPv6. Trong chương này sẽ trình bày về sự cạn kiệt tài nguyên IPv4 và các hạn chế của nó. Đồng thời trình bày các đặc điểm và lợi ích của việc chuyển đổi sang IPv6. Chương 2: Trình bày các cơ chế chuyển dịch từ IPv4 sang IPv6. Trong chương này sẽ trình bày về ngăn xếp kép, biên dịch và cơ chế đường hầm Chương 3: Trình bày về cơ chế bảo mật khi chuyển sang IPv6. Tập trung vào bảo mật trong cơ chế đường hầm 6to4 và sử dụng IPSec hỗ trợ cho bảo mật. Chương 4: Trình bày về hoạt động triển khai IP6 trên toàn cầu. Trong quá trình hoàn thành đồ án em chân thành cảm ơn sự giúp đỡ tận tình của các thầy cô giáo trong bộ môn chuyển mạch - khoa Viễn Thông I và đặc biệt là sự nhiệt tình của thầy giáo trực tiếp hướng dẫn – TS Dư Đình Viên và các thầy cô trong Khoa Viễn thông I. Mặc dù có nhiều cố gắng nhưng do sự hạn chế về trình độ và sự bỡ ngỡ khi tiếp xúc với những công nghệ mới nên đề tài chắc chắn không tránh khỏi những thiếu sót rất mong sự phê bình, đóng góp ý kiến chân thành của thầy cô và các bạn. CHƯƠNG I: SỰ CẦN THIẾT PHẢI CHUYỂN ĐỔI SANG IPv6 1.1. Sự hạn chế của địa chỉ IPv4 1.1.1. Sự cạn kiệt của địa chỉ IPv4 Những thập kỷ vừa qua, do tốc độ phát triển mạnh mẽ của internet, không gian địa chỉ IPv4 đã được sử dụng trên 60%. Những tổ chức quản lý địa chỉ quốc tế đặt mục tiêu “sử dụng hiệu quả” lên hàng đầu. Những công nghệ góp phần giảm nhu cầu địa chỉ IP như NAT (công nghệ biên dịch để có thể sử dụng địa chỉ IP private), DHCP (cấp địa chỉ tạm thời) được sử dụng rộng rãi. Tuy nhiên, hiện nay, nhu cầu địa chỉ tăng rất lớn: + Internet phát triển tại những khu vực dân cư đông đảo như Trung Quốc, Ấn Độ. + Những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cố định (tỉ lệ sử dụng địa chỉ/khách hàng là 1:1) và kết nối dạng đầu cuối – đầu cuối: dịch vụ DSL, cung cấp dịch vụ Internet qua đường cáp truyền hình, việc phát triển các mạng giáo dục, game trực tuyến, thiết bị di động tham gia vào mạng Internet, truyền tải thoại, audio, video trên mạng… Bảng 1.1: Số lượng địa chỉ IPv4 tiêu thụ trên toàn cầu. Thời điểm không gian địa chỉ IPv4 cạn kiệt hiện đang là một vấn đề chưa thống nhất và gây nhiều tranh cãi. Tháng 10/2003, BBC và một số hãng thông tấn đăng những bản tin phân tích rằng IPv4 sẽ chính thức cạn kiệt vào năm 2005. Ngay sau đó, các tổ chức quản lý địa chỉ cấp vùng RIR (Regional Internet Registry) đã có những phản ứng, đưa ra những bài phân tích tính chưa chính xác của thông tin này và khẳng định RIR sẽ còn đủ tài nguyên để tiếp tục cấp phát với tốc độ như hiện nay trong vòng 20 năm nữa, dựa trên những số liệu thống kê về địa chỉ IPv4 còn lại thời điểm đó và số lượng tiền tố địa chỉ được quảng bá trên bảng thông tin định tuyến toàn cầu. Theo đó, Internet toàn cầu còn lại 91 khối địa chỉ /8. Trong khi đó tốc độ phân bổ địa chỉ của RIR là 4,25 khối /8 năm 2002 và 5,5 khối /8 năm 2003. Tuy nhiên, với tốc độ tăng vọt về không gian địa chỉ các RIR phân bổ trong năm 2004, đặc biệt cho các dịch vụ DSL và modem cáp, kết luận các RIR đưa ra lại trở nên không còn chính xác. Khoảng thời gian các RIR có thể phân bổ không gian địa chỉ IPv4 cho cộng đồng Internet toàn cầu sẽ ngắn hơn 20 năm rất nhiều. 1.1.2. Hạn chế về công nghệ và nhược điểm của IPv4 Thế hệ địa chỉ IPv4 có những hạn chế thấy rõ sau: Cấu trúc định tuyến không hiệu quả Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp. Mỗi router phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn. IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4, ví dụ thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin). Hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối Trong cấu trúc thiết kế của địa chỉ IPv4 không có cách thức bảo mật nào đi kèm. IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu. Kết quả là hiện nay, bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền tải giữa các host. Nếu áp dụng IPSec là một phương thức bảo mật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối được sử dụng rất hạn chế. Để giảm nhu cầu tiêu dùng địa chỉ, hoạt động mạng IPv4 sử dụng phổ biến công nghệ biên dịch NAT (Network Address Translator). Trong đó, máy chủ biên dịch địa chỉ (NAT) can thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa chỉ private có thể kết nối vào mạng internet (hình 1.1). Hình 1.1: Mô hình thực hiện NAT của địa chỉ IPv4. Mô hình sử dụng NAT của địa chỉ IPv4 có nhiều nhược điểm: [...]... như một cơ chế chuyển dịch Tuy nhiên, các ngăn xếp kép chỉ cho phép các ứng dụng giống nhau giao tiếp với nhau (ví dụ như từ IPv6 sang IPv6 hay từ IPv4 sang IPv4) Hình 2.1: Cơ chế sử dụng ngăn xếp kép ở các hệ thống kết cuối 2.3 Các cơ chế biên dịch 2.3.1 Biên dịch IP/ICMP không trạng thái (SIIT) 2.3.1.1 Tổng quan SIIT là một cơ chế chuyển dịch sang IPv6 cho phép các máy trạm thuần IPv6 giao tiếp được... Khối này cũng bảo trì một bảng các địa chỉ IPv6 và các địa chỉ IPv4 kết hợp với nó Bảng này được sử dụng để đáp lại các yêu cầu từ khối biên dịch trong quá trình thực hiện biên dịch IPv4 sang IPv6 + Khối biên dịch: Khối này thực hiện biên dịch giữa các gói IPv4 nhận được từ ứng dụng IPv4 BIS và các gói IPv6 được nhận từ ứng dụng IPv6 trên host đích Kết quả của trao đổi dữ liệu giữa ứng dụng IPv4 trong... vào nhóm trên mỗi giao diện 1.3 Các yêu cầu trong quá trình cùng tồn tại và chuyển dịch IPv4/ IPv6 1.3.1 Các kịch bản chuyển dịch Có 6 kịch bản chuyển đổi có thể xảy ra như sau: + Hệ thống IPv4 kết nối tới một hệ thống IPv4 đi qua một mạng IPv4 + Một hệ thống IPv6 kết nối tới một hệ thống IPv6 đi qua một mạng IPv6 + Một hệ thống IPv4 kết nối tới hệ thống IPv4 thông qua một mạng IPv6 + Một hệ thống IPv6. .. các địa chỉ IPv4 tới các địa chỉ IPv6 + Địa chỉ IPv6 loại 0::FFFF:0:v4, được gọi là địa chỉ được biên dịch từ IPv4: Địa chỉ này được cấu thành bởi việc dùng địa chỉ IPv4 tạm thời gán tới máy trạm thuần IPv6 và cho phép ánh xạ địa chỉ được biên dịch từ IPv4 của máy trạm IPv6 thành địa chỉ IPv4 Vì số địa chỉ IPv4 định danh toàn cầu khả dụng ngày càng khan hiếm nên cần lợi dụng địa chỉ IPv6 và không yêu... thức IPv6 Nó bao gồm hai loại nút mạng là nút mạng thuần IPv6 và nút mạng IPv4/ IPv6 + Nút mạng IPv4 (IPv4 node): Bất cứ host hoặc router nào mà làm việc với giao thức IPv4 Nó bao gồm hai loại nút mạng là nút mạng thuần IPv4 và nút mạng IPv4/ IPv6 Trong kết nối ở lớp internet, sự chuyển dịch sang IPv6 cũng không trong suốt toàn bộ với các lớp phía trên Địa chỉ IPv6 dài hơn đáng kể so với so với địa chỉ IPv4. .. là làm thế nào để biên dịch địa chỉ IP giữa các gói IPv4 và IPv6 Biên dịch một địa chỉ IPv4 vào trong một địa chỉ một địa chỉ IPv6 thì khá đơn giản SIIT định nghĩa nó như là việc nhúng địa chỉ IPv4 với 32 bit địa chỉ vào trong một địa chỉ IPv6 đặc biệt, được gọi là địa chỉ IPv6 ánh xạ từ địa chỉ IPv4 Bởi vì địa chỉ IPv6 lớn hơn và bổ sung nhiều chức năng được định nghĩa cho việc ánh xạ Trong trường hợp... kịch bản chuyển dịch yêu cầu biên dịch Về bản chất, biên dịch được yêu cầu khi một hệ thống thuần IPv4 kết nối tới một hệ thống thuần IPv6 hoặc ngược lại; nếu mạng kết nối là thuần IPv4 hoặc thuần IPv6 và không cung cấp cơ chế đường hầm Hình 1.7: Chuyển dịch yêu cầu biên dịch Trong một kịch bản như vậy, cần phải tạo ra một cổng biên dịch cho mạng sao cho các gói từ một hệ thống được biên dịch chuyển. .. thuần IPv4 Cơ chế này liên quan đến một ánh xạ không trạng thái hay một thuật toán biên dịch hai chiều giữa tiêu đề các gói IPv4 và IPv6 cũng như giữa các bản tin ICMPv4 và các bản tin ICMPv6 SIIT yêu cầu cung cấp một địa chỉ IPv4 cho máy trạm thuần IPv6 và địa chỉ IP này được sử dụng bởi máy trạm trong một khuôn dạng địa chỉ IPv6 đặc biệt có chứa địa chỉ IPv4 này Cơ chế này được sử dụng để bảo toàn... đường hầm IPv6- trong -IPv4, có thể là sử dụng kết hợp cơ chế ngăn xếp kép cùng với cơ chế đường hầm 2.2 Ngăn xếp kép IPv6 /IPv4 Hình 2.1 trình bày một nút mạng kết hợp giữa các ngăn xếp giao thức IPv4 và IPv6 song song nhau Các ứng dụng IPv4 dùng ngăn xếp IPv4 và các ứng dụng IPv6 sử dụng ngăn xếp IPv6 Quyết định luồng trong mỗi nút mạng dựa trên trường version trong tiêu đề IP cho các gói được nhận từ các... địa chỉ IPv4 tạm được ấn định cho nút thuần IPv6 và nhúng địa chỉ IPv4 này vào trong địa chỉ IPv6 đặc biệt, được gọi là địa chỉ IPv6 được biên dịch từ địa chỉ IPv4 Với phương pháp gán này, việc biên dịch địa chỉ IPv6 tới IPv4 thì cũng khá đơn giản với việc sử dụng địa chỉ IPv4 tạm Phần sau sẽ mô tả việc xử lý này 2.3.1.2 Chi tiết về SIIT Biên dịch tiêu đề địa chỉ IP Như đã đề cập, thuật toán SIIT . Học viện công nghệ Bưu chính Viễn thông Khoa Viễn thông I o0o Cộng hòa xã hội chủ nghĩa Việt Nam Độc lập – Tự do – Hạnh phúc o0o ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ và tên: Phạm. Virtual Local Area Network Mạng LAN ảo VNPT Vietnam Posts and Telecommunications Tập đoàn bưu chính viễn thông Việt Nam VoIP Voice Over IP Thoại qua IP VPN Virtual Private Network Mạng riêng ảo LỜI. giáo trong bộ môn chuyển mạch - khoa Viễn Thông I và đặc biệt là sự nhiệt tình của thầy giáo trực tiếp hướng dẫn – TS Dư Đình Viên và các thầy cô trong Khoa Viễn thông I. Mặc dù có nhiều cố gắng