Bài A2 mọi người có thể tham khảo về IPv6. Nên nhớ bài chỉ để tham khảo, không cấm các bạn copy y nguyên nhưng khuyến khích mọi người chỉ nên xem lấy ý tưởng và tự mình làm sản phẩm của bản thân nhé. Cố viết thêm để đủ 200 kí tự hihi
Chủ đề 11 Tìm hiểu ipsec giao thức ipv6 Thành viên nhóm 11: I Nguyễn Nhật Linh Lê Đức Tiệp Tổng quan Ipv6 Địa hệ Internet – IPv6(IP adress version 6) nhóm chuyên trách kĩ thuật IETF Hiệp hội Internet (Internet Engineering Task Force) Đề xuất thực kế thằ cấu trúc tổ chức IPv4 Sự giới hạn kích thước địa Do IPv4 dùng 32 bit để đánh địa nên khơng gian địa IPv4 có 2^32 địa Với phát triển mạnh mẽ Internet nay, tài nguyên địa IPv4 gần cạn kiệt Như IPv4 ngày khơng cịn đáp ứng nhu cầu sử dụng mạng Internet Hai vấn đề lớn mà IPv4 phải đối mặt việc thiếu hụt địa chỉ, đặc biệt không gian địa tầm trung (lớp B) việc phát triển kích thước nguy hiểm bảng định tuyến Internet Cấu trúc định tuyến khơng hiệu q trình chọn lựa đường mạng máy tính để gửi liệu qua đó) Địa IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp Mỗi router phải trì bảng thơng tin định tuyến lớn, địi hỏi router phải có dung lượng nhớ lớn IPv4 yêu cầu router phải can thiệp xử lý nhiều gói tin IPv4 Hạn chế tính bảo mật kết nối đầu cuối – đầu cuối Trong cấu trúc thiết kế địa IPv4 khơng có cách thức bảo mật kèm IPv4 không cung cấp phương tiện hỗ trợ mã hóa liệu Kết nay, bảo mật mức ứng dụng sử dụng phổ biến, không bảo mật lưu lượng truyền tải host Nếu áp dụng IPSec phương thức bảo mật phổ biến tầng IP, mơ hình bảo mật chủ yếu bảo mật lưu lượng mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối sử dụng hạn chế Thiết bị đầu cuối thiết bị mà cuối nhận tín hiệu phát Ví dụ mạng điện thoại có: Tổng đài, trạm trung chuyển cuối máy điện thọại Máy điện thoại TB đầu cuối Tương tự mạng internet vây Máy PC bạn có nối mạng TB đầu cuối II Tìm hiểu IPSec IPv6 IP Security (IPSec) giao thức chuẩn hóa IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hóa xác thực thơng tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn chứng thực liệu liệu mạng IPSec cung cấp chế bảo mật tầng (Network layer) mơ hình OSI.Giao thức IPSec thiết kế phần mở rộng giao thức IP, thực thống phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tùy chọn, IPv6,giao thức bảo mật triển khai bát buộc 1, kiến trúc IPSec -Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: Định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP - Quản lý khoá (RFC 2408): Mô tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi - Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP nguyên thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) - ESP (Encapsulation Security Payload) - AH (Authentication Header) 2,Bảo mật ISPec IPSec cung cấp bốn chức quan trọng sau: - Bảo mật(mã hóa)- Confidentiality: Người gửi mã hóa liệu trước truyền chúng qua mạng Bằng cách đó, khơng nghe trộm đường truyền Nếu giao tiếp bị ngăn chặn, liệu đọc - Tồn vẹn liệu- Data integrity: Người nhận xác minh liệu truyền qua mạng Internet mà khơng bị thay đổi IPSec đảm bảo tồn vẹn liệu cách sử dụng checksums (cũng biết đến giá trị băm) - Xác thực- Authentication: Xác thực đảm bảo kết nối thực đối tượng Người nhận xác thực nguồn gốc gói tin, bảo đảm, xác thực nguồn gốc thông tin *Antireplay protection: xác nhận gói tin khơng trùng lặp 3, III Cấu trúc Địa IPv6 1) Kiến trúc IPv6 - IPv4 có 32 bít địa với khả lý thuyết cung cấp khơng gian địa 232 = 294 967 296 địa Cịn IPv6 có 128 bit địa dài lần so với IPv4 khả lý thuyết cung cấp khơng gian địa 2™ = 340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều không gian địa IPv4 khoảng tỷ tỷ tỷ lần 232 lấy trịn số 4.109 2128 lấy tròn số 340.10 36 ( khoảng 340 tỷ tỷ tỷ tỷ địa ) Số địa rải bề mặt đất mét vng có khoảng 665 570 tỷ tỷ địa (665 570 10 18) diện tích bề mặt đất khoảng 511 263 tỷ mét vuông Đây không gian địa cực lớn với mục đích khơng cho Internet mà cịn cho tất mạng máy tính, hệ thống viễn thơng, hệ thống điều khiển chí cho vật dụng gia đình Người ta nói điều hồ, tủ lạnh, máy giặt hay nồi cơm điện v.v gia đình mang điạ IPv6 để chủ nhân chúng kết nối lệnh từ xa Nhu cầu cần 15% khơng gian địa IPv6 cịn 85% dự phòng cho tương lai 2) CẤU TRÚC CỦA ĐỊA CHỈ IPv6 Địa IPv4 chia lớp A,B,C,D,E IPv6 lại phân loại sau : 1/ Unicast Address Địa đơn hướng cụ thể gói số liệu gửi tới địa đơn hướng chuyển tới Node mang địa đơn hướng - Unicast 3/ Multicast Address Địa đa hướng cụ thể gói số liệu gửi tới địa " đa hướng" chuyển tới tất Node Tập hợp Node mang địa Multicast 2/ Anycast Address Địa hướng nào, cụ thể gói số liệu gửi tới địa "Bất hướng nào" chuyển tới Node gần Tập hợp Node mang địa anycast Cách viết địa IPv6: nhà thiết kế chọn cách viết 128 bit địa thành nhóm, nhóm chiếm bytes, bytes biểu diễn số hệ 16; nhóm ngăn cách dấu hai chấm Tích hợp bảo mật IPsec địa IPv6 IV 1,Các chế độ làm việc giao thức IPSec, bao gồm: Transport mode tunnel mode Transport mode: chế độ hoạt động bảo vệ giao thức tầng ứng dụng Trong đó, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên.Vì vậy, có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Hoạt động ESP chế độ sử dụng để bảo vệ thông tin hai host cố định bảo vệ giao thức lớp IP datagram Trong Transport Mode, AH header chèn vào IP datagram sau IP header tuỳ chọn Ở chế độ này, AH xem phần tải đầu cuối tới đầu cuối (end-to-end payload), nên xuất sau phần header mở rộng hop-to-hop, routing, fragmentation Còn phần mào đầu đích (Destination Options Header) đặt trước sau AH Tunnel mode: chế độ bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác Và IPSec header chèn vào phần đầu nguyên (Original Header)và phần đầu IP Trong chế độ Tunnel IP header đầu vào mang địa nguồn địa đích cuối cùng, IP header đầu mang địa để định tuyến qua Internet Trong chế độ này, AH bảo vệ tồn gói tin IP bên trong, bao gồm IP header đầu vào * Nguyên tắc hoạt động AH: - Authentication Header (AH) (tiêu đề xác thực):AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Các modes thực hiện: *Ý nghĩa phần: Next header: Nhận dạng giao thức sử dụng truyền thông tin Payload length: Độ lớn gói tin AH RESERVED: Sử dụng tương lai (cho tới thời điểm biểu diễn số 0) Security parameters index (SPI): Nhận thơng số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin Sequence number: Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks Authentication data: Bao gồm thơng số Integrity check value (ICV) cần thiết gói tin xác thực *Nguyên lý hoạt động ESP: - Encapsulating Security Payload (ESP) (gói gọn tải trọng bảo mật):Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng tính cần bảo mã hoá cần cho authentication, sử dụng mã hố mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Khơng AH, header gói tin IP, bao gồm option khác ESP thực top IP sử dụng giao thức IP mang số hiệu 50 AH mang số hiệu 51.Các modes thực hiện: *Ý nghĩa phần: Security parameters index (SPI): Nhận thông số tích hợp với địa IP Sequence number: Tự động tăng có tác dụng chống cơng kiểu replay attacks Payload data: Cho liệu truyền Padding: Sử dụng vài block mã hoá Pad length: Độ lớn padding Next header: Nhận giao thức sử dụng q trình truyền thơng tin Authentication data: Bao gồm liệu để xác thực cho gói tin *ưu điểm IPSec: -Khái niệm: tường lửa ( firewall) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn truy cập thơng tin khơng mong muốn từ ngồi vào hệ thống mạng nội ngăn chặn thông tin bảo mật nằm mạng nội xuất ngồi internet mà khơng cho phép -TCP:TCP viết tắt Transmission Control Protocol Đó giao thức phổ biến sử dụng Internet -UDP:UDP viết tắt User Datagram Protocol - gói tương tự gói thông tin Giao thức UDP hoạt động tương tự TCP, bao gồm tất thứ kiểm tra có lỗi Khi IPSec triển khai tường lửa tính an tồn IPSec áp dụng cho tồn vào mạng riêng IPSec thực bên lớp TCP không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec cấu hình để hoạt động ứng dụng đầu cuối giúp che giấu chi tiết cấu hình phức tạp mà người dùng phải thực kết nối đến mạng nội từ xa thông qua mạng Internet *nhược điểm IPSec: Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật cịn nghiên cứu chưa chuẩn hóa IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác Việc tính tốn nhiều giải thuật phức tạp IPSec cịn vấn đề khó trạm làm việc máy PC lực yếu Việc phân phối phần cứng phầm mềm mật mã cịn bị hạn chế phủ số quốc gia Địa IP (IP viết tắt từ tiếng Anh: Internet Protocol - giao thức Internet) làmột địa đơn mà thiết bị điện tử sử dụng để nhận diện liên lạc với mạng máy tính cách sử dụng giao thức Internet