IP Security (IPsec) là tiêu chuẩn của IETF (Internet Engineering Task Force) nhằm cung cấp bảo mật cho mạng Internet. IPsec đảm bảo tính toàn vẹn, xác thực và bảo mật. IPsec được tích hợp sẵn trong IPv4 và IPv6 và được định nghĩa trong cùng các RFC. Chức năng này chủ yếu có cả trong môi trường IPv4 và IPv6 nhưng tính năng IPsec là bắt buộc trong IPv6. Điều này có nghĩa mọi điểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này, do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ.
Trang 1MỤC LỤC
LỜI CẢM ƠN 1
CHƯƠNG I: TỔNG QUAN VỀ IPV6 2
I Tổng quan về địa chỉ IPv6 2
1 Những hạn chế của IPv4 2
2 Kiến trúc của IPv6 2
II Các loại địa chỉ IPv6 4
1 Unicast Address (địa chỉ đơn hướng) 5
2 Multicast Address (địa chỉ đa hướng) 6
3 Anycast Address (địa chỉ hướng tùy ý) 8
4 Các loại địa chỉ đặc biệt 8
III Triển khai IPv6 8
CHƯƠNG II: GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 11
I Tổng quan về giao thức IPSEC 11
1 Tổng quan 11
2 Chế độ vận hành 12
II Giao thức bảo mật IPsec trong IPv6 13
1 Mào đầu gói tin IPv6 14
2 Tích hợp bảo mật trong IPSEC trong IPv6 18
3 Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6 19 IV Kết luận 26
CHƯƠNG III: XÂY DỰNG CHƯƠNG TRÌNH DEMO 27
I Các bước xây dựng mô hình 27
II Vận hành thử nghiệm 29
CHƯƠNG IV: KẾT LUẬN 30
TÀI LIỆU THAM KHẢO 31
Trang 2DANH MỤC HÌNH
Hình 1.1 Header IPv4 và IPv6 2
Hình 1.2 Minh họa Unicast Address 5
Hình 1.3 Global Unicast Address 5
Hình 1.4 Link-local Address 6
Hình 1.5 Site-local Address 6
Hình 1.6 Minh họa Multicast Address 6
Hình 1.7 Cấu trúc Multicast Address của IPv6 6
Hình 1.8 Minh họa Anycast Address 8
Hình 1.9 Cấu trúc Anycast Address 8
Hình 1.10 Công nghệ chuyển đổi qua lại giữa IPv4 và IPv6 9
Hình 1.11 Maual Tunnel 9
Hình 1.12 Tunnel Broker 10
Hình 1.13 Minh họa NAT-PT 10
Hình 2.1 Chế độ hoạt động của IPsec 13
Hình 2.2 Cấu trúc gói tin IPv6 14
Hình 2.3 Cấu trúc mào đầu của IPv6 Header 15
Hình 2.4 Next Value Headers 16
Hình 2.5 Next Header 16
Hình 2.6 Ext Hdr Data 17
Hình 2.7 Ipsec trong chế độ Transport 18
Hình 2.8 IPsec trong chế độ Tunnel 19
Hình 2.9 Định dạng mào đầu Ipsec AH 19
Hình 2.10 Hai chế độ xác thực của AH 21
Hình 2.11 :Mào đầu được xác thực trong chế độ IPv6 AH Transport 21
Hình 2.12 Mào đầu được xác thực trong chế độ IPv6 AH Tunnel 21
Hình 2.13 Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu 22
Hình 2.14.S Định dạng mào đầu IPsec ESP 23
Hình 2.15 Mào đầu được mã hóa trong chế độ IPv6 ESP Transport 24
Hình 2.16 Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel 24
Hình 2.17 Nguyên tắc hoạt động của ESP Header 24
Trang 3CHƯƠNG I: TỔNG QUAN VỀ IPV6
I Tổng quan về địa chỉ IPv6
1 Những hạn chế của IPv4
Sự thiếu hụt địa chỉ
Cấu trúc định tuyến không hiệu quả
Hạn chế tính bảo mật và kết nối đầu cuối - đầu cuối
Thay thế cho nguồn ipv4 cạn kiệt để tiếp nối hoạt động internet
Khắc phục các hạn chế của ipv4
=> Sự ra đời của IPv6
2 Kiến trúc của IPv6
- Không gian địa chỉ: 128 Bits
2128
= 340 282 366 920 938 463 463 374 607 431 768 211 456
- So sánh header của ipv4 và ipv6
Hình 1.1 Header IPv4 và IPv6
- So sánh IPv4 và IPv6
Trang 4Header có phần tùy chọn Tất cả dữ liệu tùy chòn được chuyênr
vào phần header mở rộng
Có địa chỉ broadcast Không có địa chỉ broadcast vì đã bao
gồm trong địa chỉ multicast IGMP (Internet Group Management
Protocol) được dùng để quản lý các
thành viên của mạng con cục bộ
IGMP được thay thế bởi MLD (Mutilcast Listener Discovery)
IGMP Router Discovery được dùng để
xác định địa chỉ cảu gateway mặc định
tốt nhất và là tùy chọn
IGMP Router Discovery được thay thế bởi ICMPv6
Sử dụng các mẫu tin (A) chứa tài
nguyên địa chỉ host trong DNS để ánh
xạ tên host thành địa chỉ IPv4
Sử dụng các mẫu tin AAA trong DNS
để ánh xạ tên host thành địa chỉ IPv6
- Trường Flow Label
Trường hoàn toàn mới trong IPv6, có 20 bit chiều dài
Trường này biểu diễn luồng cho gói tin và được sử dụng trong các kỹthuật chuyển mạch đa lớp , nhờ đó các gói tin được chuyển mạch nhanhhơn trước
Nơi gửi gói tin hoặc thiết bị hiện thời có thể xác định một chuỗi các góitin, ví dụ VoIP, thành 1 dòng, và yêu cầu dịch vụ cụ thể cho dòng đó
Tuy nhiên, những thiết bị này không những kiểm tra thông tin tầng IP ví
dụ địa chỉ nơi gửi và nơi nhận, mà còn phải kiểm tra cả số port là thôngtin thuộc về tầng cao hơn Trường Flow Label trong IPv6 cố gắng đặt tất
cả những thông tin cần thiết vào cùng nhau và cung cấp chúng tại tầng IP
- Một số tính năng vượt trội của IPv6 so với IPv4
Đơn giản hóa việc đặt địa chỉ Host
Tính năng bảo mật cao
Hiệu suất cao
- Các quy tắc biểu diễn
128 bits
X : X : X : X : X : X : X : X Format
16 bits
X: 16 bits, được biểu diễn dưới dạng số hexadicemal
Ví dụ: FA08, 2013, FEC4, 0031…
Ví dụ:
Trang 5 Trong dãy địa chỉ IPv6, nếu có số 0 đứng đầu có thể lượt bỏ.
2031::130f::9c0:876a:130b FEC0::FCB9:0067::2A4
II Các loại địa chỉ IPv6
Có 3 loại địa chỉ IPv6:
Unicast Address (địa chỉ đơn hướng)
Multicast Address (địa chỉ đa hướng)
Anycast Address (địa chỉ hướng tùy ý)
1 Unicast Address (địa chỉ đơn hướng)
2031:0000:130F:0000:0000:09C0:876A:130B
1088:0:0:0:8:800:200C:463A
F0100F01
81
0000
0081
Trang 6Hình 1.2 Minh họa Unicast Address.
a Global Unicast Address
Hình 1.3 Global Unicast Address
Bắt đầu với chuỗi bit nhị phân là 001, hay với hệ thập lục phân là 2 hoặc 3: 2000::/3, 3001::/3 …
Trang 7b Link-local Address
Hình 1.4 Link-local Address
Trong Link-local Address: 64 bit đầu là giá trị cố định không thay đổi
tương ứng với prefix là FE80::/10
c Site-local Address
Hình 1.5 Site-local Address
Trong Site-local Address: 10 bit đầu là giá trị cố định không thay đổi
tương ứng với prefix là FEC0::/10
2 Multicast Address (địa chỉ đa hướng)
Hình 1.6 Minh họa Multicast Address
Trang 8Hình 1.7 Cấu trúc Multicast Address của IPv6.
- Địa chỉ IPv6 Multicast được định nghĩa với prefix là FF::/8
- Từ FF00:: đến FF0F:: là địa chỉ dành riêng được quy định bởi IANA để
sử dụng cho mục đích Multicast
- Octet thứ hai chỉ ra cờ (flag) và phạm vi (Scope) của địa chỉ multicast
Flag xác định thời gian sống của địa chỉ Có 2 giá trị của flag :
Flag = 0 : Địa chỉ multilcast vĩnh viễn
Flag = 1 : Địa chỉ multilcast tạm thời
Scope chỉ ra phạm vi hoạt động của địa chỉ Có 7 giá trị của Scope :
Scope = 1 : Interface-local Scope = 5 : Site-local
Scope = 2 : Link-local Scope = 8 : Organization
Scope = 3 : Subnet-local Scope = E : Global.
Scope = 4 : Admin-local
Trang 93 Anycast Address (địa chỉ hướng tùy ý)
Hình 1.8 Minh họa Anycast Address
Hình 1.9 Cấu trúc Anycast Address
III Triển khai IPv6
- Triển khai, chuyển đổi và thay thế một giao thức Internet không phải làmột chuyện dễ dàng
- Địa chỉ IPv6 không thể ngay tức khắc thay thế IPv4 trong thời gian ngắn
mà phải trải qua một quá trình lâu dài
- Thế hệ địa chỉ IPv6 phát triển khi IPv4 đã hoàn thiện và hoạt động trênmạng lưới rộng khắp toàn cầu
- Triển khai IPv6 trên cơ sở hạ tầng IPv4
Trang 10Configured TunnelNAT-PT
Trang 11 Tunnel Broker
Tunnel Broker là hình thức tunnel, trong đó một tổ chức đứng ra làmtrung gian, cung cấp kết nối tới Internet IPV6 cho những thành viên đăng ký sửdụng dịch vụ Tunnel Broker do tổ chức cung cấp
Hình 1.12 Tunnel Broker
NAT-PT
Giúp một thiết bị chỉ hỗ trợ IPv6 giao tiếp với một thiết bị chỉ hỗ trợ IPv4
Hình 1.13 Minh họa NAT-PT
Hiện tại chỉ có VNPT và NetNam đã tham gia đề tài “triển khai thửnghiệm mạng IPv6 ở Việt Nam và kết nối mạng IPv6 Quốc tế
VNPT cũng là đơn vị đầu tiên yêu cầu địa chỉ IPv6 và cũng là doangnghiệp duy nhất đủ tiêu chuẩn cấp phát địa chỉ IPv6
Đến nay đã có tổng cộng 28 khối địa chỉ IPv6 được cấp phát cho cácdoanh nghiệp, tổ chức Việt Nam
Mức độ ứng dụng IPv6 trong hoạt động mạng tại Việt Nam còn thấp Các ISP Việt Nam vẫn chưa thực sự bắt tay vào việc nghiên cứu, hoạchđịnh và xây dựng kế hoạch sử dụng thế hệ địa chỉ IPv6
Tính đến tháng 6/2010, Việt Nam là Quốc gia đứng thứ 38 trên thế giới về
số lượng vùng địa chỉ IPv6 được cấp phát
Trang 12CHƯƠNG II: GIAO THỨC BẢO MẬT IPSEC TRONG IPV6
I Tổng quan về giao thức IPSEC
- Bảo mật (mã hóa) - Confidentiality: Người gửi có thể mã hóa dữ liệutrước khi truyền chúng qua mạng Bằng cách đó, không ai có thể nghe trộm trênđường truyền Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được
- Toàn vẹn dữ liệu - Data integrity: Người nhận có thể xác minh các dữliệu được truyền qua mạng Internet mà không bị thay đổi IPsec đảm bảo toànvẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trịbăm)
- Xác thực - Authentication: Xác thực đảm bảo kết nối được thực hiện vàcác đúng đối tượng Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm,xác thực nguồn gốc của thông tin
- Antireply protection: xác nhận mỗi gói tin là duy nhất và không trùnglặp
IPsec là một nền (Frame work) kết hợp giao thức bảo mật và cung cấpmạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực Làm việc với sựtập hợp của các chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảmbảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia vàomạng VPN Các thiết bị này có thể là các host hoặc là các security gateway(routers, firewalls, VPN concentrator, ) hoặc là giữa 1 host và gateway nhưtrong trường hợp remote access VPNs
Các giao thức chính sử dụng trong IPsec:
- IP Security Protocol (IPsec)
+ Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối vàchứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại cáccuộc tấn công replay
+ Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật,chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay
- Message Encryption
Trang 13 Data Encryption Standard (DES): Được phát triển bởi IBM DES sửdụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao DES là một hệ thống mãhóa khóa đối xứng.
Triple DES (3DES): là một biến thể của DES 56-bít Hoạt động tương
tự như DES, trong đó dữ liệu được chia thành các khối 64 bít 3DES thực thimỗi khối ba lần, mỗi lần với một khóa 56 bít độc lập 3DES cung cấp sức mạnhkhóa đáng kể so với DES
- Message Integrity (Hash) Functions
+ Hash- based Message Authentication Code (HMAC) : là một thuật toántoàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin Tại đầu cuối, bản tin và mộtkhóa chia sẻ bí mật được gửi thông qua một thuật toán băm, trong đó tạo ra mộtgiá trị băm Bản tin và giá trị băm được gửi qua mạng Hai dạng phổ biến củathuật toán HMAC như sau:
i) Message Digest 5 (MD5): là một hàm băm để mã hóa với giá trị băm là
128 bít MD5 biến đổi một thông điệp có chiều dài bất kỳ thành một khối cókích thước cố định 128 bít Thông điệp đưa vào sẽ được cắt thành các khối 512bít, thông điệp sau đó được độn sao cho chiều dài của nó chia chẵn cho 512
ii) Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224bít…
+ Internet Security Association and Key Management Protocol
Trang 14- Chế độ chuyển giao: chỉ có trọng tải (dữ liệu được truyền) của gói tin IPmới được mã hóa và/hoặc chứng thực Trong quá trình Routing cả IP header đềukhông bị chỉnh sửa hay mã hóa Transport mode sử dụng trong tình huống giaotiếp host to host.
- Chế độ Tunnel: Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóavà/hoặc chứng thực Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề
IP mới Chế độ tunnel được sử dụng để tạo Virtual Private Network (mạng riêngảo) phục vụ cho việc liên lạc giữa các mạng, liên lạc giữa máy chủ và mạng (ví
dụ như truy cập người sử dụng từ xa), và giữa các máy chủ
Hình 2.1 Chế độ hoạt động của IPsec
II Giao thức bảo mật IPsec trong IPv6
IP Security (IPsec) là tiêu chuẩn của IETF (Internet Engineering TaskForce) nhằm cung cấp bảo mật cho mạng Internet IPsec đảm bảo tính toàn vẹn,xác thực và bảo mật IPsec được tích hợp sẵn trong IPv4 và IPv6 và được địnhnghĩa trong cùng các RFC Chức năng này chủ yếu có cả trong môi trường IPv4
và IPv6 nhưng tính năng IPsec là bắt buộc trong IPv6 Điều này có nghĩa mọiđiểm kết nối IPv6 đều phải kích hoạt IPsec và phải luôn sử dụng tính năng này,
do đó mạng Internet IPv6 được bảo mật tốt hơn mạng Internet IPv4 cũ
Giao thức IPsec được làm việc tại tầng Network Layer – Layer 3 của môhình OSI Các giao thức bảo mật khác trên Internet như SSL, TLS và SSH đượcthực hiện tại tầng Transport Layer trở lên (từ tầng 4 đến tầng 7 của mô hìnhOSI) Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từtầng 4 của TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có mộttính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trêncủa mô hình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi,nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên cáctầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn
Trang 151 Mào đầu gói tin IPv6
Header của IPv6 đơn giản và hợp lý hơn IPv4 IPv6 chỉ có 6 trường và 2địa chỉ, trong khi IPv4 chứa 10 trường và 2 địa chỉ, IPv6 header có kích thước
cố định Trong khi IPv4 header có kích thước thay đổi Với kích thước cố địnhthì một router có thể xử lý gói tin một cách hiệu quả
1.1 Chiều dài phần mào đầu
Mào đầu IPv4 có một trường chiều dài không cố định đó là Tùy chọn(Option) Trường này được sử dụng để thêm các thông tin về các dịch vụ tùychọn khác nhau trong IPv4 (Ví dụ như thông tin liên quan đến mã hóa) Do đó,chiều dài của mào đầu IPv4 thay đổi tùy theo tình trạng Vì sự thay đổi đó, các
bộ định tuyến điều khiển giao tiếp dựa trên những thông tin trong phần mào đầukhông thể biết trước chiều dài của mào đầu Điều này cản trở việc tăng tốc xử lýgói tin Gói tin IPv6 có hai dạng mào đầu: mào đầu cơ bản và mào đầu mở rộng.Phần mào đầu cơ bản có chiều dài cố định 40 byte, chứa những thông tin cơ bảntrong xử lý gói tin IPv6 Những thông tin liên quan đến dịch vụ mở rộng kèmtheo được chuyển hẳn tới một phân đoạn khác gọi là mào đầu mở rộng Cấu trúcgói tin IPv6:
Hình 2.2 Cấu trúc gói tin IPv6
1.2 Định dạng các trường mào đầu
Cấu trúc mào đầu của IPv6 header gồm:
- Phiên bản (Version): Gồm 4 bít được sử dụng để xác định phiên bản củagiao thức IP đang được sử dụng và nó có giá trị là 6 với IPv6
- Phân dạng lưu lượng (Traffic Class): Gồm 8 bít thực hiện chức năngtương tự trường Dạng dịch vụ (Type of Service) của IPv4 Trường này được sửdụng để biểu diễn mức độ ưu tiên của gói tin, mỗi điểm kết nối IPv6 có thể đánhdấu gói tin với từng loại dữ liệu, ví dụ gói tin nên được truyền với tốc độ nhanhhay thông thường
Trang 16yêu cầu chất lượng cụ thể cho dòng đó Khi một router xác định dòng lưu lượnglần đầu, nó sẽ nhớ dòng lưu lượng đó, cũng như các xử lý đặc biệt ứng với lưulượng này, và khi các lưu lượng khác thuộc dòng này đến, nó sẽ xử lý nhanh hơn
là xử lý từng packet
- Chiều dài tải dữ liệu (Payload Length): Gồm 16 bít, tương tự như trườngtotal length của IPv4, xác định tổng kích thước của gói tin IPv6 bao gồm cảphần mào đầu mở rộng (không chứa header)
- Next header: Gồm 8 bít, thay thế trường Thủ tục (Protocol) Trường nàychỉ định đến mào đầu mở rộng đầu tiên của gói tin IPv6, đặt sau mào đầu cơ bảnhoặc chỉ định tới thủ tục lớp trên như TCP, UDP, ICMPv6 khi trong gói tin IPv6không có mào đầu mở rộng
- Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet điqua, được sử dụng để tránh cho packet được định tuyến vòng vòng trong mạng.Trường này giống như trường TTL (Time-To-Live) của IPv4
- Soure Address: Gồm 128 bít, xác định địa chỉ nguồn của gói tin
- Destination Address: Gồm 128 bít, xác định địa chỉ đích của gói tin
Hình 2.3 Cấu trúc mào đầu của IPv6 Header
1.3 Các trường mào đầu mở rộng
Mào đầu mở rộng (extension header) là đặc tính mới của thế hệ địa chỉIPv6
Những thông tin liên quan đến dịch vụ kèm theo được chuyển hẳn tới mộtphân đoạn khác gọi là header mở rộng, mỗi header mở rộng được nhận dạng bởitrường Next Header Các header mở rộng được đặt giữa IPv6 header và headercủa các giao thức lớp trên, được sử dụng để mang các thông tin tuỳ chọn ở lớpmạng (Network layer) trong gói tin Một gói tin IPv6 có thể chứa một hay nhiềuheader mở rộng, được đặt sau mào đầu cơ bản Các mào đầu mở rộng được đặtnối tiếp nhau theo thứ tự quy định, mỗi dạng có cấu trúc trường riêng Thôngthường, các mào đầu mở rộng được xử lý tại đích Tuy nhiên cũng có dạng màođầu mở rộng được xử lý tại mọi bộ định tuyến mà gói tin đó đi qua, đó là dạng
