Tài liệu là đồ án tốt nghiệp của bạn Lê Thị Hải Anh trường đại học Công nghệ Giao thông vận tải, khoa công nghệ thông tin.Với sự phát triền nhanh chóng của các công nghệ ngày nay, đặc biệt là trong thời điểm công nghệ 4.0 đang lan tỏa khắp toàn cầu. Công nghệ mạng cùng là một trong số đó, thời điểm mà IPv4 đã dần cạn kiệt thay vào đó là sự xuất hiện của IPv6 với dải địa chỉ dài hơn và nhiều hơn. Công nghệ thông tin và truyền thông góp phần làm thay đổi suy nghĩ, lối tư duy của mỗi con người, nó giúp con người năng động hơn, kết nối nhanh hơn ở mọi nơi, mọi lúc và luôn luôn sẵn sàng tiếp cận công nghệ mới làm tăng hiệu quả, năng suất làm việc và mức độ tin cậy của công việc.Với đề tài “ Nghiên cứu các giải pháp bảo mật trong Mobile IPv6 ” em muốn tìm hiểu và nghiên cứu sâu hơn về nguyên lí hoạt động, những thành phần, các giải pháp được sử dụng đến trong Mobile IPv6. Từ đó áp dụng vào thực tế với các doanh nghiệp có nhu cầu cũng như là đang hướng đến sự phát triển của Mobile IPv6.
TĨM TẮT Với phát triền nhanh chóng công nghệ ngày nay, đặc biệt thời điểm cơng nghệ 4.0 lan tỏa khắp tồn cầu Cơng nghệ mạng số đó, thời điểm mà IPv4 dần cạn kiệt thay vào xuất IPv6 với dải địa dài nhiều Công nghệ thông tin truyền thơng góp phần làm thay đổi suy nghĩ, lối tư người, giúp người động hơn, kết nối nhanh nơi, lúc luôn sẵn sàng tiếp cận công nghệ làm tăng hiệu quả, suất làm việc mức độ tin cậy công việc Với đề tài “ Nghiên cứu giải pháp bảo mật Mobile IPv6 ” em muốn tìm hiểu nghiên cứu sâu nguyên lí hoạt động, thành phần, giải pháp sử dụng đến Mobile IPv6 Từ áp dụng vào thực tế với doanh nghiệp có nhu cầu cũng hướng đến phát triển Mobile IPv6 XÁC NHẬN CỦA GIÁO VIÊN HƯỚNG DẪN: Hà Nội, ngày tháng năm 2019 Giáo viên hướng dẫn LỜI CAM ĐOAN Em xin cam đoan đồ án thân thực không chép cơng trình nghiên cứu người khác để làm sản phảm riêng Các thơng tin sử dụng đồ án có nguồn gốc trích dẫn rõ ràng Em hồn tồn chịu trách nhiệm tính xác thực nguyên đồ án Sinh viên thực Lê Thị Hải Anh LỜI CẢM ƠN Lời em xin gửi lời tri ân biết ơn sâu sắc đến PGS.TS Nguyễn Tiến Ban, người hướng dẫn đồ án tốt nghiệp tận tình bảo, động viên, khích lệ em suốt trình nghiên cứu thực đề tài Em xin cảm ơn thầy cô Khoa Công nghệ thông tin, trường Đại học Công nghệ Giao Thông Vận Tải, đặc biệt thầy cô môn Điện tử viễn thơng nhiệt tình giảng dạy tạo điều kiện giúp đỡ em trình học tập nghiên cứu Cuối em xin trân thành cám ơn người thân gia đình em tồn thể bạn bè giúp đỡ động viên em lúc gặp phải khó khăn q trình làm đồ án Em xin chân thành cảm ơn ! MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ IP VÀ MOBILE IP 1.1 Tổng quan công nghệ IP 1.1.1 Giới thiệu IP 1.1.2 Giao thức TCP/IP .3 1.1.3 Định tuyến mạng IP 1.2 Tổng quan công nghệ Mobile IP 1.2.1 Giới thiệu công nghệ Mobile IP 1.2.2 Các khái niệm sử dụng giao thức 1.2.3 Yêu cầu mục tiêu Mobile IP 11 1.2.4 Các thành phần Mobile IP 11 1.2.5 Các đặc tính Mobile IP 12 1.3 Kết luận 14 CHƯƠNG 2: CÔNG NGHỆ IPV6 VÀ MOBILE IPV6 15 2.1 Tổng quan công nghệ IPv6 .15 2.1.1 Phân loại địa IPv6 16 2.1.2 Tiêu đề gói tin IPv6 17 2.2 Tổng quan công nghệ Mobile IPv6 20 2.2.1 Các thành phần Mobile IPv6 20 2.2.2 Các đặc tính Mobile IPv6 21 2.2.3 Các tin điều khiển .22 2.2.4 Cấu trúc liệu Mobile IPv6 23 2.2.5 Nguyên lí hoạt động Mobile IPv6 .24 2.3 Kết luận 30 CHƯƠNG 3: NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MOBILE IPV6 VÀ MÔ PHỎNG TRÊN PHẦN MỀM CISCO PACKET TRACER 31 3.1 Giao thức IPSec (IP Security) .31 3.1.1 Giới thiệu IPSec 31 3.1.2 Chức cách thức hoạt động IPSec 33 3.2 Authentication Header (AH) 39 3.2.1 Giới thiệu Authentication Header .39 3.2.2 Cách thức hoạt động AH 42 3.3 Encapsulating Security Payload (ESP) 43 3.3.1 Giới thiệu ESP 43 3.3.2 Cách thức hoạt động ESP 46 3.4 Mô bảo mật mobile IPv6 mạng doanh nghiệp Cisco Packet Tracer 46 3.4.1 Giới thiệu phần mềm Cisco Packet Tracer 47 3.4.2 Xây dựng toán giả lập phần mềm Cisco Packet Tracer .47 3.4.3 Sơ đồ tổng quan 48 3.4.4 Sơ đồ tổ chức hệ thống mạng tại công ty 48 3.4.5 Sơ đồ hệ thống mạng Internet 49 3.4.6 Cấu hình chi tiết thiết bị mạng 50 3.5 Kết luận 59 CHƯƠNG 4: KẾT LUẬN .60 TÀI LIỆU THAM KHẢO .61 THUẬT NGỮ VIẾT TẮT Viết tắt Viết đầy đủ Nghĩa tiếng Việt ACK Acknowledge Báo nhận AH Authentication Header Tiêu đề xác thực ARP Address Resolution Giao thức phân giải địa BA Binding Acknowledgment Côn nhận ràng buộc BCE Binding Cache Entry Bộ nhớ đệm ban đầu ràng buộc BSA Binding security Association Liên kết an ninh ràng buộc BU Binding Update Cập nhật ràng buộc CIDR Classless Interdomain Routing CN Corresspondent Node Nút đối tác DNS Corresspondent Node Address Địa nút đối tác HA Home Agent Tác nhân nhà HAA Home Agent Address Địa tác nhân nhà HoA Home Address Địa nhà IANA Internet Assigned Number Authority Định tuyến liên miền không phân lớp Tổ chức cấp phát địa số Internet Giao thức tin điều khiển ICMP Internet Control Message Protocol ICV Integrity Check Value Giá trị kiểm tra tính tồn vẹn ID Identifier Interface Bộ nhận dạng IETF Internet Engineering Task Force Nhóm đặc trách kĩ thuật Internet IGMP Internet Group Management Protocol Internet Giao thức quản lý nhóm Internet IKE Internet Key Exchage Sự trao đổi khóa Internet IP Internet Protocol Giao thực Internet IPsec Internet Protocol Security An ninh IP IPv4 Internet Protocol version Giao thức Internet phiên IPv6 Internet Protocol version Giao thức Internet phiên ISP Internet Service Provider Nhà cung cấp dịch vụ Internet LAN Local Area Network Mạng cục MAC Media Access Control Điều khiển truy nhập môi trường MLD Multicast Listener Discovery Phát nghe multicast MN Mobile Node Nút di động MTU Maximum Transmission Unit Khối truyền dẫn tối đa NAT Network Address Tranlation Biên dịch địa mạng ND Neighbor Discovery Phát lân cận OSI Open Systems interconnection Mô hình kết nối hệ thống mở OSPF Open Short Path First Giao thực tìm đường ngắn PDU Protocol Data Unit Khối liệu dao thức PPP Point To Point Protocol Giao thức điểm – điểm PKI Public Key Intrastructure Hạ tầng khóa cơng khai QoS Quality of Service Chất lượng dịch vụ RARP Reverse Address Resolution Protocol Giao thức phân giải địa ngược RFC Request For Comment Yêu cầu bình luận RSVP Resource Reservation Protocol Giao thức dành sẵn tài nguyên SA Security Association Liên kết an ninh SPKI Simple Public Key Intrastructure Hạ tầng khóa cơng khai đơn TCP Transmision Control Protocol Giao thức điều khiển truyền dẫn THA Temporary Home Agent Tác nhân nhà tam thời UDP User Datagram Protocol Giao thức gói liệu người dùng VLSM Vairiable Length Subnet Mask Mặt nạ mạng độ dài thay đổi VoIP Voice over IP Thoại qua IP WAN Wire Area Network Mạng diện rộng DANH MỤC HÌNH Hình 1.1 Mơ hình lớp OSI .4 Hình 1.2 Giao thức TCP/IP so sánh với mơ hình OSI Hình 1.3 Quá trình chuyển giao địa động Hình 1.4 Một trạm di chuyển không thay đổi địa IP Hình 1.5 Các thành phần Mobile IP mối quan hệ chúng 12 Hình 1.6 Tính suốt Mobile IP 13 Y Hình 2.1 Địa IPv4 IPv6 .17 Hình 2.2 Cấu trúc gói tin IPv6 18 Hình 2.3 Tiêu đề gói tin IPv6 18 Hình 2.4 Các tiêu đề mở rộng IPv6 19 Hình 2.5 Đăng ký với đại lý gốc Mobile IPv6 25 Hình 2.6 Định tuyến tam giác 26 Hình 2.7 Phát địa đại lý gốc động 28 Hình 2.8 Hoạt động Mobile IPv6 .29 Hình 3.1 IPSec chế độ Tunnel mode 33 Hình 3.2 Cấu trúc gói tin IPv6 34 Hình 3.3 Định dạng gói tin IPv6 .35 Hình 3.4 Các giá trị trường Next Header 36 Hình 3.5 Mào đầu mở rộng địa IPv6 37 Hình 3.6 Định dạng Extension Header .38 Hình 3.7 IPSec chế độ Transport .39 Hình 3.8 IPSec chế độ Tunnel 39 Hình 3.9 Định dạng mào đầu IPsec AH 40 Hình 3.10 Hai chế độ xác thực AH .41 Hình 3.11 Mào đầu xác thực chế độ IPv6 AH Transport( Phần màu nâu đậm phần liệu xác thực) 42 Hình 3.12 Mào đầu xác thực chế độ IPv6 AH Tunnel( Phần màu nâu đậm phần liệu xác thực) 42 Hình 3.13 Mơ tả AH xác thực đảm bảo tính tồn vẹn liệu 43 Hình 3.14 Định dạng mào đầu IPsec ESP 44 Hình 3.15 Mào đầu mã hóa chế độ IPv6 ESP Transport( Phần màu nâu đậm phần liệu mã hóa) .45 Hình 3.16 Mào đầu mã hóa chế độ IPv6 ESP Tunnel( Phần màu nâu sậm phần liệu mã hóa) 46 Hình 3.17 Nguyên tắc hoạt động ESP Header 46 Hình 3.18 Giao diện phần mềm Packet tracer 47 Hình 3.19 Sơ đồ tổng quan .48 Hình 3.20 Sơ đồ hệ thống mạng công ty 49 Hình 3.21 Hệ thống mạng internet 49 Hình 3.22 Thiết lập mật cho router, ipv6 dhcp, ipv6 access-list .50 Hình 3.23 Show port-security switch 51 Hình 3.24 Mail nội .52 Hình 3.25 Cấu hình mail thiết bị đầu cuối 52 Hình 3.26 DNS nội 53 Hình 3.27 IP động cho thiết bị đầu cuối 53 Hình 3.28 IP server 54 Hình 3.29 Bảng định tuyến router tổng công ty 55 Hình 3.30 Kiểm tra kết nối .59 IPv6 Header Hop-by-Hop Options Header Destination Options Header: Được xử lý trạm đích IPv6 Header trạm lại Routing Header Routing Header Fragment Header Authentication Header Encapsulating Security Payload Header Mobility header Destination Options Header: Chỉ xử lý đích đến cuối gói tin Upper-layer Header Định dạng Extension Header thể hình 3.6: Hình 3.6 Định dạng Extension Header Tích hợp bảo mật IPsec địa IPv6: Cấu trúc địa IPv6 sử dụng IPSec để đảm bảo tính tồn vẹn, bảo mật xác thực nguồn gốc liệu sử dụng hai mào đầu mở rộng tùy chọn: mào đầu Xác thực(AH -Authentication Header) mào đầu Mã hóa (ESP - Encrypted Security Payload) 40 Hai Header sử dụng chung hay riêng để hỗ trợ nhiều chức bảo mật Các chế độ làm việc giao thức IPSec, bao gồm: Transport mode: Chế độ hoạt động bảo vệ giao thức tầng ứng dụng Trong đó, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên.Vì vậy, có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Hoạt động ESP chế độ sử dụng để bảo vệ thông tin hai host cố định bảo vệ giao thức lớp IP datagram Trong Transport Mode, AH header chèn vào IP datagram sau IP header tuỳ chọn Ở chế độ này, AH xem phần tải đầu cuối tới đầu cuối (end-to-end payload), nên xuất sau phần header mở rộng hop-to-hop, routing, fragmentation Còn phần mào đầu đích (Destination Options Header) đặt trước sau AH IPSec chế độ Transport hình 3.7: Hình 3.7 IPSec chế độ Transport Tunnel mode: chế độ bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác Và IPSec header chèn vào phần đầu nguyên (Original Header)và phần đầu IP Trong chế độ Tunnel IP header đầu vào mang địa nguồn địa đích cuối cùng, IP header đầu mang địa để định tuyến qua Internet Trong chế độ này, AH bảo vệ tồn gói tin IP bên trong, bao gồm IP header đầu vào 41 Hình 3.8 IPSec chế độ Tunnel 3.2 Authentication Header (AH) 3.2.1 Giới thiệu Authentication Header AH mô tả RFC 4302, IPSec header cung cấp xác thực gói tin kiểm tra tính tồn vẹn AH cho phép xác thực kiểm tra tính tồn vẹn liệu gói tin IP truyền hệ thống Nó phương tiện để kiểm tra xem liệu có bị thay đổi truyền hay không Tuy nhiên liệu truyền dạng Plaintext AH khơng cung cấp khả mã hóa liệu Hình 3.9 Định dạng mào đầu IPsec AH Định dạng AH: 42 Next Header: Trường có độ dài bits để xác định mào đầu sau AH Giá trị trường lựa chọn từ tập giá trị IP Protocol Numbers định nghĩa IANA- Internet Assigned Numbers Authority Payload Length: Trường có độ dài bits để xác định độ dài AH khơng có tải Reserved: Trường có độ dài 16 bits dành để dự trữ cho việc sử dụng tương lai Giá trị trường thiết lập bên gửi loại bỏ bên nhận SPI (Security Parameters index): Đây số 32 bits bất kì, với địa đích giao thức an ninh ESP cho phép nhận dạng sách liên kết bảo mật SA (xác định giao thức IPSec thuật toán dùng để áp dụng cho gói tin) cho gói liệu Các giá trị SPI 1-255 dành riêng để sử dụng tương lai SPI thường lựa chọn phía thu thiết lập SA Sequence Number: Trường có độ dài 32 bits, chứa giá trị đếm tăng dần (SN), trường không bắt buộc cho dù phía thu khơng thực dịch vụ chống trùng lặp cho SA cụ thể Việc thực SN tùy thuộc phía thu, nghĩa phía phát ln phải truyền trường này, phía thu khơng cần phải xử lí Bộ đếm phía phát phía thu khởi tạo SA thiết lập (Gói truyền với SA có SN=1) Authentication Data: Trường có độ dài biến đổi chứa giá trị kiểm tra tính tồn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài số nguyên lần 32 bits Trường chứa thêm phần liệu đệm để đảm bảo độ dài AH header số nguyên lần 32 bít (đối với IPV4) 64 bít (đối với IPV6) Chế độ xác thực: Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): trường hợp xác thực trực tiếp hai hệ thống đầu cuối (giữa máy chủ với trạm làm việc hai trạm làm việc), việc xác thực diễn mạng nội hai mạng khác nhau, cần hai đầu cuối biết khố bí mật Trường hợp sử dụng chế độ vận chuyển (Transport Mode) AH Xác thực từ đầu cuối đến trung gian (End-to-Intermediate Authentication): trường hợp xác thực hệ thống đầu cuối với thiết bị trung gian (router firewall) Trường hợp sử dụng chế độ đường hầm (Tunnel Mode) AH 43 Hình 3.10 Hai chế độ xác thực AH Gói tin IPv6 AH chế độ Transport: Hình 3.11 Mào đầu xác thực chế độ IPv6 AH Transport( Phần màu nâu đậm phần liệu xác thực) Gói tin IPv6 AH chế độ Tunnel: 44 Hình 3.12 Mào đầu xác thực chế độ IPv6 AH Tunnel( Phần màu nâu đậm phần liệu xác thực) 3.2.2 Cách thức hoạt động AH B1: AH đem gói liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy qua giải thuật Hash chiều cho chuỗi số chuỗi số gán vào AH Header B2: AH Header chèn vào Payload IP Header chuyển sang phía bên B3: Router đích sau nhận gói tin bao gồm : IP Header + AH Header + Payload cho qua giải thuật Hash lần chuỗi số B4: so sánh chuỗi số vừa tạo chuỗi số giống chấp nhận gói tin 45 Hình 3.13 Mơ tả AH xác thực đảm bảo tính tồn vẹn liệu 3.3 Encapsulating Security Payload (ESP) 3.3.1 Giới thiệu ESP ESP Header mô tả RFC 4303, cung cấp mã hóa bảo mật toàn vẹn liệu điểm kết nối IPv6 ESP giao thức an toàn cho phép mật mã liệu, xác thực nguồn gốc liệu, kiểm tra tính tồn vẹn liệu Khác với AH, ESP cung cấp khả bí mật thơng tin thơng qua việc mã hóa gói tin lớp IP, tất lưu lượng ESP mã hóa hệ thống, xu hướng sử dụng ESP nhiều AH tương lai để làm tăng tính an tồn cho liệu Sau đóng gói xong ESP, thơng tin mã hố giải mã nằm ESP Header Các thuật toán mã hoá sử dụng giao thức : DES, 3DES, AES Định dạng ESP Header sau: 46 Hình 3.14 Định dạng mào đầu IPsec ESP Định dạng ESP: ESP thêm header Trailer vào xung quanh nội dung gói tin - SPI (Security Parameters Index): Trường tương tự bên AH - SN (Sequence Number): Trường tương tự bên AH - Payload Data: Trường có độ dài biến đổi chứa liệu mô tả bên Next Header Đây trường bắt buộc có độ dài số nguyên lần bytes - Padding: Trường thêm vào thuật toán mật mã sử dụng yêu cầu rõ (plaintext) padding sử dụng để điền vào plaintext (bao gồm trường Payload Data, Pad Length, Next Header Padding) để có kích thước theo u cầu - IVC: Giá trị kiểm tra tính tồn vẹn, trường có độ dài thay đổi tính trường ESP trailer, Payload, ESP header Thực chất trường ESP trailer bao gồm kiểm tra tính tồn vẹn (IVC) Gói tin IPv6 ESP chế độ Transport: 47 Hình 3.15 Mào đầu mã hóa chế độ IPv6 ESP Transport( Phần màu nâu đậm phần liệu mã hóa) Gói tin IPv6 ESP chế độ Tunnel: 48 Hình 3.16 Mào đầu mã hóa chế độ IPv6 ESP Tunnel( Phần màu nâu sậm phần liệu mã hóa) 3.3.2 Cách thức hoạt động ESP Về nguyên tắc hoạt động ESP sử dụng mật mã đối xứng để cung cấp mật hố liệu cho gói tin IPSec Cho nên, để kết nối hai đầu cuối bảo vệ mã hoá ESP hai bên phải sử dụng key giống mã hố giải mã gói tin Khi đầu cuối mã hố liệu, chia liệu thành khối (block) nhỏ, sau thực thao tác mã hoá nhiều lần sử dụng block liệu khóa (key) Khi đầu cuối khác nhận liệu mã hố, thực giải mã sử dụng key giống trình thực tương tự, bước ngược với thao tác mã hoá - Nguyên tắc hoạt động ESP hình 3.17: Hình 3.17 Nguyên tắc hoạt động ESP Header 49 3.4 Mô bảo mật mobile IPv6 mạng doanh nghiệp Cisco Packet Tracer 3.4.1 Cài đặt cấu hình GNS3 GNS3 (Graphical network simmulator) phần mềm mô mạng dùng hệ điều hành mạng thật dựa chương trình nhân dynamips Tuy nhiên với GNS3, kéo thả thiết bị mạng để tạo hình trạng mạng trực quan, thiết kế tay, tạo file.net dùng dynamips GNS3 phần mềm dùng để giả lập thiết bị Cisco Juniper, Cristophe Fillot viết ra, tương tự VMWare Tuy nhiên GNS3 sử dụng Cisco IOS, Juniper JunOS thực để giả lập router Hình 4.1 Giao diện chương trình GNS3 Các tính GNS3 : Thiết kế mơ hình mạng từ đơn giản đến phức tạp với yêu cầu thực tế Mô nhiều tảng IOS router Cisco, IPS, tường lửa PIX, tường lửa ASA JunOS router Juniper 50 Mô thiết bị chuyển mạch Ethernet, ATM, Frame Relay switch Kết nối mạng mô mạng thật Có thể dùng Wireshark để bắt gói tin 51 CHƯƠNG 4: KẾT LUẬN Với phát triển vô mạnh mẽ công nghệ thông tin nay, ngày có nhiều thiết bị sử dụng tảng kết nối IP để giúp sống thuận tiện Sự cạn kiệt địa IPv4 IPv6 xuất điều tất yếu Và với hệ IPv6 tài nguyên IP vô lớn hứa hẹn công nghệ có tảng vững để tiếp tục phát triển Đi với phát triển nhanh chóng bảo mật thơng tin cá nhân ln vấn đề quan tâm hay lớn bảo mật thông tin doanh nghiệp, quan quản lý từ nhỏ đến lớn Trên thực tế Việt Nam nay, có nhiều doanh nghiệp quan sử dụng tảng IPv6, phải sử dụng song song với tảng IPv4 để tương thích ngược với người sử dụng mà IPv6 chưa thực sử dụng rộng rãi nước ta Nhưng chắn điều IPv6 thay hồn tồn cho IPv4 tính bảo mật tiện lợi vượt trội Và có phương thức bảo mật phát minh ra, tất chung mục đích: Giúp người sử dụng, doanh nghiệp, quan bảo mật liệu cách tốt khó bị xâm phạm Đồ án tốt nghiệp: “ NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MOBILE IPV6 ” cung cấp nhìn tổng quan Mobile IPv6 số phương thức bảo mật cho doanh nghiệp vừa nhỏ để tránh nguy bị xâm phạm phá hoại 52 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Công nghệ Mobile IP với thương mại điện tử TS.Nguyễn Hoàng Phúc Tiếng Anh [1] Mobile IP Overview – Sulaimn A1 – A1Abbas [2] TCP/IP – Sidnie Feit McGraw – Hill 53 [3] RFC 3344 Mobility Surpport for IPv6 [4] Mobility Support in IPv6 – C.perkins [5] Oreilly.IPv6.Essentials.2nd.Edition.May.2006 [6] Mobile Network Through Mobile IP- Charles E.Perkins Sun Mircosystems [7] Cisco CCNA Certification knowledge to pass the exam [8] Introduction to IP Version 54