Đang tải... (xem toàn văn)
IP Security (IPsec) là tiêu chuẩn của IETF (Internet Engineering Task Force) nhằm cung cấp bảo mật cho mạng Internet. IPsec đảm bảo tính toàn vẹn, xác thực và bảo mật. IPsec được tích hợp sẵn trong IPv4 và IPv6 và được định nghĩa trong cùng các RFC. Chức năng này chủ yếu có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPsec là bắt buộc trong IPv6. Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ.
MỤC LỤC DANH MỤC HÌNH CHƯƠNG I: TỔNG QUAN VỀ IPV6 I Tổng quan địa IPv6 Những hạn chế IPv4 Sự thiếu hụt địa Cấu trúc định tuyến không hiệu Hạn chế tính bảo mật kết nối đầu cuối - đầu cuối Thay cho nguồn ipv4 cạn kiệt để tiếp nối hoạt động internet Khắc phục hạn chế ipv4 => Sự đời IPv6 Kiến trúc IPv6 - Không gian địa chỉ: 128 Bits 2128= 340 282 366 920 938 463 463 374 607 431 768 211 456 - So sánh header ipv4 ipv6 Hình 1.1 Header IPv4 IPv6 - So sánh IPv4 IPv6 IPv4 Địa 32 bit Không định dạng luồng liệu Sự phân mảnh thực host router, nên khả thực thi router chậm Có checksum header Header có phần tùy chọn IPv6 Địa 128 bit Định dạng luồng liệu nên hỗ trợ Qos tốt Sự phân mảnh xảy host gửi Không có checksum header Tất liệu tùy chòn chuyênr vào phần header mở rộng Có địa broadcast IGMP (Internet Group Management Protocol) dùng để quản lý thành viên mạng cục IGMP Router Discovery dùng để xác định địa cảu gateway mặc định tốt tùy chọn Sử dụng mẫu tin (A) chứa tài nguyên địa host DNS để ánh xạ tên host thành địa IPv4 Không có địa broadcast bao gồm địa multicast IGMP thay MLD (Mutilcast Listener Discovery) IGMP Router Discovery thay ICMPv6 Sử dụng mẫu tin AAA DNS để ánh xạ tên host thành địa IPv6 - Trường Flow Label Trường hoàn toàn IPv6, có 20 bit chiều dài Trường biểu diễn luồng cho gói tin sử dụng kỹ thuật chuyển mạch đa lớp , nhờ gói tin chuyển mạch nhanh trước Nơi gửi gói tin thiết bị thời xác định chuỗi gói tin, ví dụ VoIP, thành dòng, yêu cầu dịch vụ cụ thể cho dòng Tuy nhiên, thiết bị kiểm tra thông tin tầng IP ví dụ địa nơi gửi nơi nhận, mà phải kiểm tra số port thông tin thuộc tầng cao Trường Flow Label IPv6 cố gắng đặt tất thông tin cần thiết vào cung cấp chúng tầng IP - Một số tính vượt trội IPv6 so với IPv4 Đơn giản hóa việc đặt địa Host Tự động cấu hình địa Một Interface gán nhiều địa Tổng hợp địa End-to-end mà không cần NAT Hỗ trợ tốt tính di động Tính bảo mật cao Hiệu suất cao - Các quy tắc biểu diễn 128 bits Format X : X : X : X : X : X : X : X 16 bits Ví dụ: X: 16 bits, biểu diễn dạng số hexadicemal Ví dụ: FA08, 2013, FEC4, 0031… 2031:0000:130F:0000:0000:09C0:876A:130B 1088:0:0:0:8:800:200C:463A Trong dãy địa IPv6, có số đứng đầu lượt bỏ 0081 81 0F01 F01 0000 Trong dãy địa IPv6, có nhóm số liên tiếp, đơn giản nhóm dấu :: (chỉ áp dụng dãy liên tiếp nhau) Trong IPv6, sử dụng dấu hai chấm lần với địa Không viết ::AB65:8952::, viết gây nhầm lần dịch đầy đủ 2031::130f::9c0:876a:130b FEC0::FCB9:0067::2A4 II Các loại địa IPv6 Có loại địa IPv6: Unicast Address (địa đơn hướng) Multicast Address (địa đa hướng) Anycast Address (địa hướng tùy ý) Unicast Address (địa đơn hướng) Hình 1.2 Minh họa Unicast Address a Global Unicast Address Hình 1.3 Global Unicast Address Bắt đầu với chuỗi bit nhị phân 001, hay với hệ thập lục phân : 2000::/3, 3001::/3 … b Link-local Address Hình 1.4 Link-local Address Trong Link-local Address: 64 bit đầu giá trị cố định không thay đổi tương ứng với prefix FE80::/10 c Site-local Address Hình 1.5 Site-local Address Trong Site-local Address: 10 bit đầu giá trị cố định không thay đổi tương ứng với prefix FEC0::/10 Multicast Address (địa đa hướng) Hình 1.6 Minh họa Multicast Address Hình 1.7 Cấu trúc Multicast Address IPv6 - Địa IPv6 Multicast định nghĩa với prefix FF::/8 - Từ FF00:: đến FF0F:: địa dành riêng quy định IANA để sử dụng cho mục đích Multicast - Octet thứ hai cờ (flag) phạm vi (Scope) địa multicast Flag xác định thời gian sống địa Có giá trị flag : Flag = : Địa multilcast vĩnh viễn Flag = : Địa multilcast tạm thời Scope phạm vi hoạt động địa Có giá trị Scope : Scope = : Interface-local Scope = : Site-local Scope = : Link-local Scope = : Organization Scope = : Subnet-local Scope = E : Global Scope = : Admin-local Anycast Address (địa hướng tùy ý) Hình 1.8 Minh họa Anycast Address Hình 1.9 Cấu trúc Anycast Address One-to-nearest Địa Anycast không sử dụng làm địa nguồn gói tin Các loại địa đặc biệt Loopback Address: : : : : : : : hay : : 1/128 Unspecified Address: : : : : : : : hay : :/128 III Triển khai IPv6 - Triển khai, chuyển đổi thay giao thức Internet chuyện dễ dàng - Địa IPv6 tức khắc thay IPv4 thời gian ngắn mà phải trải qua trình lâu dài - Thế hệ địa IPv6 phát triển IPv4 hoàn thiện hoạt động mạng lưới rộng khắp toàn cầu - Triển khai IPv6 sở hạ tầng IPv4 Automatic Tunnel Dual Stack Tunneling Configured Tunnel NAT-PT ISATAP Tunneling Công nghệ chuyển đổi qua lại IPv4 node sang IPv6 node mạng Intranet, địa chuyển đổi địa dành riêng (private) IPv4 IPv6 linklocal Hình 1.10 Công nghệ chuyển đổi qua lại IPv4 IPv6 Teredo Tunneling Sử dụng cho địa private IPv4, kỹ thuật đóng gói gói tin IPv6 bên gói UDP IPv4 để định tuyến hay qua thiết bị NAT mạng IPv4 Manual Tunnel Hình 1.11 Maual Tunnel Đường hầm cấu hình tay thiết bị điểm đầu điểm cuối đường hầm Phương thức áp dụng với mạng có host Tunnel Broker 10 Hình 2.3 Cấu trúc mào đầu IPv6 Header 1.3 Các trường mào đầu mở rộng Mào đầu mở rộng (extension header) đặc tính hệ địa IPv6 Những thông tin liên quan đến dịch vụ kèm theo chuyển hẳn tới phân đoạn khác gọi header mở rộng, header mở rộng nhận dạng trường Next Header Các header mở rộng đặt IPv6 header header giao thức lớp trên, sử dụng để mang thông tin tuỳ chọn lớp mạng (Network layer) gói tin Một gói tin IPv6 chứa hay nhiều header mở rộng, đặt sau mào đầu Các mào đầu mở rộng đặt nối thứ tự quy định, dạng có cấu trúc trường riêng Thông thường, mào đầu mở rộng xử lý đích Tuy nhiên có dạng mào đầu mở rộng xử lý định tuyến mà gói tin qua, dạng mào đầu mở rộng Từng bước (Hop by Hop) Mỗi header mở rộng có giá trị đại diện cho Ví dụ: TCP (6); UDP (7); Routing header (43); Fragment header (44); ESP (50); AH (51); ICMP (58) [1] 16 Hình 2.4 Next Value Headers Mào đầu mào đầu mở rộng IPv6 có trường mào đầu (Next Header) chiều dài bít Trong mào đầu bản, trường Next Header xác định gói tin có tồn mào đầu mở rộng hay không Nếu mào đầu mở rộng giá trị trường xác định phần mào đầu tầng cao (TCP hay UDP…) phía tầng IP Nếu có, giá trị trường Next Header loại mào đầu mở rộng theo sau mào đầu Tiếp theo, trường Next Header mào đầu mở rộng thứ trỏ tới mào đầu mở rộng thứ hai, đứng Trường Next Header mào đầu mở rộng cuối có giá trị xác định mào đầu tầng cao Hình 2.5 Next Header Khi gói từ nguồn đến đích, trạm trung gian không phép xử lý Extension Header đến đến trạm đích Và việc xử lý Header phải diễn theo mà Header xếp gói tin IPv6 Không phép xảy trường hợp trạm đích quét qua toàn gói tin chọn Header để xử lý trước Trường hợp ngoại lệ trường hợp Hop-by-hop Extension Header, diện Hop-by-hop Extension Header buộc gói tin phải bị kiểm tra tất trạm trung gian đường từ nguồn đến đích, bao gồm trạm nguồn đích Vì vậy, Hop-by-hop Extension Header phải đứng sau IPv6 Header Sự diện Extension Header thị giá trị Next-Header IPv6 Header Kích thước Extension Header tùy ý, bội số octet Nếu gói tin có chứa nhiều Extension Header, chúng xếp theo thứ tự sau: - IPv6 Header - Hop-by-Hop Options Header - Destination Options Header: Được xử lý trạm đích IPv6 Header trạm lại Routing Header - Routing Header - Fragment Header - Authentication Header - Encapsulating Security Payload Header - Mobility Header 17 - Destination Options Header: Chỉ xử lý đích đến cuối gói tin - Upper-layer Header Hình 2.6 Ext Hdr Data Tích hợp bảo mật IPSEC IPv6 Cấu trúc địa IPv6 sử dụng IPsec để đảm bảo tính toàn vẹn, bảo mật xác thực nguồn gốc liệu sử dụng hai mào đầu mở rộng tùy chọn: mào đầu Xác thực(AH -Authentication Header) mào đầu Mã hóa (ESP - Encrypted Security Payload) Hai Header sử dụng chung hay riêng để hỗ trợ nhiều chức bảo mật Các chế độ làm việc giao thức IPsec, bao gồm: - Transport mode: chế độ hoạt động bảo vệ giao thức tầng ứng dụng Trong đó, phần IPsec header chèn vào phần IP header phần header giao thức tầng trên.Vì vậy, có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPsec Hoạt động ESP chế độ sử dụng để bảo vệ thông tin hai host cố định bảo vệ giao thức lớp IP datagram Trong Transport Mode, AH header chèn vào IP datagram sau IP header tuỳ chọn Ở chế độ này, AH xem phần tải đầu cuối tới đầu cuối (end-to-end payload), nên xuất sau phần header mở rộng hop-to-hop, routing, fragmentation Còn phần mào đầu đích (Destination Options Header) đặt trước sau AH 18 Hình 2.7 Ipsec chế độ Transport - Tunnel mode: chế độ bảo vệ toàn gói liệu Toàn gói liệu IP đóng gói gói liệu IP khác Và IPsec header chèn vào phần đầu nguyên (Original Header) phần đầu IP Trong chế độ Tunnel IP header đầu vào mang địa nguồn địa đích cuối cùng, IP header đầu mang địa để định tuyến qua Internet Trong chế độ này, AH bảo vệ toàn gói tin IP bên trong, bao gồm IP header đầu vào Hình 2.8 IPsec chế độ Tunnel Nguyên tắc hoạt động giao thức bảo mật địa IPv6 3.1 Nguyên tắc hoạt động AH AH mô tả RFC 4302, IPSec header cung cấp xác thực gói tin kiểm tra tính toàn vẹn AH cho phép xác thực kiểm tra tính toàn vẹn liệu gói tin IP truyền hệ thống Nó phương tiện để kiểm tra xem liệu có bị thay đổi truyền hay không Tuy nhiên liệu truyền dạng Plaintext AH không cung cấp khả mã hóa liệu 19 Hình 2.9 Định dạng mào đầu Ipsec AH Định dạng AH: - Next Header: Trường có độ dài bits để xác định mào đầu sau AH Giá trị trường lựa chọn từ tập giá trị IP Protocol Numbers định nghĩa IANA- Internet Assigned Numbers Authority (xem chi tiết Hình 4) - Payload Length: Trường có độ dài bits để xác định độ dài AH tải - Reserved: Trường có độ dài 16 bits dành để dự trữ cho việc sử dụng tương lai Giá trị trường thiết lập bên gửi loại bỏ bên nhận - SPI (Security Parameters index): Đây số 32 bits bất kì, với địa đích giao thức an ninh ESP cho phép nhận dạng sách liên kết bảo mật SA (xác định giao thức IPSec thuật toán dùng để áp dụng cho gói tin) cho gói liệu Các giá trị SPI 1-255 dành riêng để sử dụng tương lai SPI thường lựa chọn phía thu thiết lập SA - Sequence Number: Trường có độ dài 32 bits, chứa giá trị đếm tăng dần (SN), trường không bắt buộc cho dù phía thu không thực dịch vụ chống trùng lặp cho SA cụ thể Việc thực SN tùy thuộc phía thu, nghĩa phía phát phải truyền trường này, phía thu không cần phải xử lí Bộ đếm phía phát phía thu khởi tạo SA thiết lập (Gói truyền với SA có SN=1) - Authentication Data: Trường có độ dài biến đổi chứa giá trị kiểm tra tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài số nguyên lần 32 bits Trường chứa thêm phần liệu đệm để đảm bảo độ dài AH header số nguyên lần 32 bít (đối với IPV4) 64 bít (đối với IPV6) Chế độ xác thực: - Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): trường hợp xác thực trực tiếp hai hệ thống đầu cuối (giữa máy chủ với trạm làm việc 20 hai trạm làm việc), việc xác thực diễn mạng nội hai mạng khác nhau, cần hai đầu cuối biết khoá bí mật Trường hợp sử dụng chế độ vận chuyển (Transport Mode) AH - Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): trường hợp xác thực hệ thống đầu cuối với thiết bị trung gian (router firewall) Trường hợp sử dụng chế độ đường hầm (Tunnel Mode) AH Hình 2.10 Hai chế độ xác thực AH Gói tin IPv6 AH chế độ Transport: Hình 2.11: Mào đầu xác thực chế độ IPv6 AH Transport Gói tin IPv6 AH chế độ Tunnel: Hình 2.12 Mào đầu xác thực chế độ IPv6 AH Tunnel 21 Nguyên tắc hoạt động AH gồm bước: B1: AH đem gói liệu (packet) bao gồm : Payload + IP Header + Key cho chạy qua giải thuật Hash chiều cho chuỗi số chuỗi số gán vào AH Header B2: AH Header chèn vào Payload IP Header chuyển sang phía bên B3: Router đích sau nhận gói tin bao gồm: IP Header + AH Header + Payload cho qua giải thuật Hash lần chuỗi số B4: so sánh chuỗi số vừa tạo chuỗi số giống chấp nhận gói tin Hình 2.13 Mô tả AH xác thực đảm bảo tính toàn vẹn liệu 3.2 Nguyên tắc hoạt động ESP ESP Header mô tả RFC 4303, cung cấp mã hóa bảo mật toàn vẹn liệu điểm kết nối IPv6 ESP giao thức an toàn cho phép mật mã liệu, xác thực nguồn gốc liệu, kiểm tra tính toàn vẹn liệu Khác với AH, ESP cung cấp khả bí mật thông tin thông qua việc mã hóa gói tin lớp IP, tất lưu lượng ESP mã hóa hệ thống, xu hướng sử dụng ESP nhiều AH tương lai để làm tăng tính an toàn cho liệu Sau đóng gói xong ESP, thông tin mã hoá giải mã nằm ESP Header Các thuật toán mã hoá sử dụng giao thức như: DES, 3DES, AES Định dạng ESP Header sau: 22 Hình 2.14.S Định dạng mào đầu IPsec ESP Định dạng ESP: ESP thêm header Trailer vào xung quanh nội dung gói tin - SPI (Security Parameters Index): Trường tương tự bên AH - SN (Sequence Number): Trường tương tự bên AH - Payload Data: Trường có độ dài biến đổi chứa liệu mô tả bên Next Header Đây trường bắt buộc có độ dài số nguyên lần bytes - Padding: Trường thêm vào thuật toán mật mã sử dụng yêu cầu rõ (plaintext) padding sử dụng để điền vào plaintext (bao gồm trường Payload Data, Pad Length, Next Header Padding) để có kích thước theo yêu cầu - IVC: Giá trị kiểm tra tính toàn vẹn, trường có độ dài thay đổi tính trường ESP trailer, Payload, ESP header Thực chất trường ESP trailer bao gồm kiểm tra tính toàn vẹn (IVC) 23 Gói tin IPv6 ESP chế độ Transport: Hình 2.15 Mào đầu mã hóa chế độ IPv6 ESP Transport Gói tin IPv6 ESP chế độ Tunnel: Hình 2.16 Mào đầu mã hóa chế độ IPv6 ESP Tunnel Nguyên tắc hoạt động: Về nguyên tắc hoạt động ESP sử dụng mật mã đối xứng để cung cấp mật hoá liệu cho gói tin IPSec Cho nên, để kết nối hai đầu cuối bảo vệ mã hoá ESP hai bên phải sử dụng key giống mã hoá giải mã gói tin Khi đầu cuối mã hoá liệu, chia liệu thành khối (block) nhỏ, sau thực thao tác mã hoá nhiều lần sử dụng block liệu khóa (key) Khi đầu cuối khác nhận liệu mã hoá, thực giải mã sử dụng key giống trình thực tương tự, bước ngược với thao tác mã hoá Hình 2.17 Nguyên tắc hoạt động ESP Header 24 So sánh AH ESP: Tính bảo mật AH ESP Giao thức IP lớp 51 50 Toàn vẹn liệu Có Có Xác thực liệu Có Có Mã hóa liệu Không Có Chống công phát Có lại Có Hoạt động với NAT Không Có Hoạt động với PAT Không Không Bảo vệ gói tin IP Có Không Chỉ bảo vệ liệu Không Có 3.3 Quản lý khóa Để áp dụng hai mào đầu AH ESP yêu cầu bên tham gia phải thỏa thuận khóa chung để sử dụng việc kiểm tra an toàn thông tin - Quản lý khóa thủ công: IPv6 yêu cầu tất thao tác cho phép thiết lập thủ công khóa bí mật Công nghệ cấu hình tay cho phép IPsec chuẩn chấp nhận để cấu hình hay hai gateway việc gõ key tay không thích hợp số trường hợp số lượng gateway nhiều gây vấn đề không an toàn trình tạo khóa - Quản lý khóa tự động - Internet Key Exchange (IKE) cung cấp key cách tự động, quản lý SA hai chiều, tạo key quản lý key IKE thương thuyết hai giai đoạn + Giai đoạn 1: thương thuyết bảo mật, kênh chứng thực mà dựa hệ thống thương thuyết nhiều giao thức khác Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực nhóm Diffie-Hellman để trao đổi key thông tin + Giai đoạn 2: xác định dịch vụ sử dụng IPsec Chúng đồng ý giao thức IPsec, thuật toán hash, thuật toán mã hoá Một SA tạo cho inbound outbound giao thức sử dụng 25 IV Kết luận IPv6Sec tính ưu việt bật IPv6 Nó giúp phần làm tăng cường tính an toàn an ninh thông tin trao đổi, giao dịch mạng Internet IPv6sec lựa chọn giao thức bảo mật sử dụng mạng riêng ảo thích hợp việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối 26 CHƯƠNG III: XÂY DỰNG CHƯƠNG TRÌNH DEMO I Các bước xây dựng mô hình Bước 1: Cài đặt 3PC Đặt địa Ipv6 cho 3PC Xong, ping thử xem thông chưa? Bước 2: Tiếp theo vào netword monitor xem thông tin ping có mã hóa hay không? 27 Bước 3: Tiếp theo, cấu hình IP Sec PC1 PC2 Chú ý: Đặt khóa tùy ý (nhưng khóa 2pc phải trùng nhau) Bước 4: Kích hoạt IP Sec cho có hiệu lực 28 Bước 5: Cập nhật policy lệnh gpupdate/force cho PC Bước 6: Sau ping thử xem thông tin icmp có mã hóa hay không? Bước 7: Từ PC3 thử ping với 2PC lại bật Ipsec xem có thông không? (Nếu không thông thành công) Sau tắt Ipsec, ping lại từ PC3 thông thành công II Vận hành thử nghiệm Chúng em xây dựng mô hình thành công Sau cài IP Sec cho máy Ping thử thành công 29 Trong trình phát triển, nhóm chúng em hướng tới xây dựng mô hình có quy mô lớn hơn, nhiều máy với TÀI LIỆU THAM KHẢO [1] http://tailieu.tv [2] http://wikipedia.com [3] http://sinhvienit.net [4] http://youtube.com [5] http://quantrimang.com [6] http://vnnic.vn [7] Tiểu luận môn An ninh mạng IPsec IPv6 – Nhóm học viên trường Học viện Công Nghệ Bưu Chính Viễn Thông [8] Triển khai công nghệ Ipsec giao thức IPv6 môi trường Window Server 2008 – Nhóm học viên trường Học viện Kỹ Thuật Mật Mã 30 [...]... 6/2010, Việt Nam là Quốc gia đứng thứ 38 trên thế giới về số lượng vùng địa chỉ IPv6 được cấp phát 11 CHƯƠNG II: GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 I Tổng quan về giao thức IPSEC 1 Tổng quan IPsec thực hiện mã hóa và xác thực ở lớp mạng Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng (ví dụ khi thực hiện mạng riêng ảo VPN) Vì vậy vấn đề an toàn được thực... chỉ IPv6 và cũng là doang nghiệp duy nhất đủ tiêu chuẩn cấp phát địa chỉ IPv6 Đến nay đã có tổng cộng 28 khối địa chỉ IPv6 được cấp phát cho các doanh nghiệp, tổ chức Việt Nam Mức độ ứng dụng IPv6 trong hoạt động mạng tại Việt Nam còn thấp Các ISP Việt Nam vẫn chưa thực sự bắt tay vào việc nghiên cứu, hoạch định và xây dựng kế hoạch sử dụng thế hệ địa chỉ IPv6 Tính đến tháng 6/2010, Việt Nam là Quốc... Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin + Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPsec Chúng đồng ý giao thức IPsec, thuật toán hash, và thuật toán mã hoá Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng 25 IV Kết luận IPv6Sec là một trong những tính năng ưu việt nổi bật của IPv6 Nó... thực và bảo mật IPsec được tích hợp sẵn trong IPv4 và IPv6 và được định nghĩa trong cùng các RFC Chức năng này chủ yếu có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPsec là bắt buộc trong IPv6 Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ Giao thức IPsec được làm việc tại... mở rộng Phần mào đầu cơ bản có chiều dài cố định 40 byte, chứa những thông tin cơ bản trong xử lý gói tin IPv6 Những thông tin liên quan đến dịch vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi là mào đầu mở rộng Cấu trúc gói tin IPv6: Hình 2.2 Cấu trúc gói tin IPv6 1.2 Định dạng các trường mào đầu Cấu trúc mào đầu của IPv6 header gồm: - Phiên bản (Version): Gồm 4 bít được sử dụng để xác... Internet IPV6 cho những thành viên đăng ký sử dụng dịch vụ Tunnel Broker do tổ chức cung cấp Hình 1.12 Tunnel Broker NAT-PT Giúp một thiết bị chỉ hỗ trợ IPv6 giao tiếp với một thiết bị chỉ hỗ trợ IPv4 Hình 1.13 Minh họa NAT-PT Hiện tại chỉ có VNPT và NetNam đã tham gia đề tài “triển khai thử nghiệm mạng IPv6 ở Việt Nam và kết nối mạng IPv6 Quốc tế VNPT cũng là đơn vị đầu tiên yêu cầu địa chỉ IPv6 và... ninh thông tin khi trao đổi, giao dịch trên mạng Internet IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp trong việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối 26 CHƯƠNG III: XÂY DỰNG CHƯƠNG TRÌNH DEMO I Các bước xây dựng mô hình Bước 1: Cài đặt 3PC Đặt địa chỉ Ipv6 cho 3PC Xong, ping thử xem thông chưa? Bước 2: Tiếp theo vào netword monitor xem thông. .. cấp sức mạnh khóa đáng kể so với DES 12 - Message Integrity (Hash) Functions + Hash- based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin Tại đầu cuối, bản tin và một khóa chia sẻ bí mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm Bản tin và giá trị băm được gửi qua mạng Hai dạng phổ biến của thuật toán HMAC như sau:... có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị IPsec cung cấp bốn chức năng quan trọng sau: - Bảo mật (mã hóa) - Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi truyền chúng qua mạng Bằng cách đó, không ai có thể... sử dụng để thêm các thông tin về các dịch vụ tùy chọn khác nhau trong IPv4 (Ví dụ như thông tin liên quan đến mã hóa) Do đó, chiều dài của mào đầu IPv4 thay đổi tùy theo tình trạng Vì sự thay đổi đó, các bộ định tuyến điều khiển giao tiếp dựa trên những thông tin trong phần mào đầu không thể biết trước chiều dài của 14 mào đầu Điều này cản trở việc tăng tốc xử lý gói tin Gói tin IPv6 có hai dạng mào ... bí m t gửi thông qua thuật toán b m, tạo giá trị b m Bản tin giá trị b m gửi qua m ng Hai dạng phổ biến thuật toán HMAC sau: i) Message Digest (MD5): h m b m để m hóa với giá trị b m 128 bít MD5... trùng lặp IPsec (Frame work) kết hợp giao thức bảo m t cung cấp m ng riêng ảo với liệu bảo m t, toàn vẹn xác thực L m việc với tập hợp chuẩn m thiết lập để đ m bảo bảo m t liệu, đ m bảo tính toàn... Trường định đến m o đầu m rộng gói tin IPv6, đặt sau m o đầu định tới thủ tục lớp TCP, UDP, ICMPv6 gói tin IPv6 m o đầu m rộng - Hop limit: G m bít, sử dụng để giới hạn số hop m packet qua,