1. Trang chủ
  2. » Luận Văn - Báo Cáo

Chuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quan

87 63 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 87
Dung lượng 4,5 MB

Nội dung

Chuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quanChuyển đổi IPv4 – IPv6 trong mạng băng rộng VNPT và khía cạnh bảo mật có liên quan

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đức Khương CHUYỂN ĐỔI IPv4-IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - NĂM 2020 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - Nguyễn Đức Khương CHUYỂN ĐỔI IPv4-IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN Chuyên ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : GS.TS NGUYỄN BÌNH HÀ NỘI - NĂM 2020 LỜI CAM ĐOAN Em xin cam đoan đề tài: “Chuyển đổi Ipv4-Ipv6 mạng băng rộng VNPT khía cạnh bảo mật có liên quan” cơng trình nghiên cứu độc lập hướng dẫn GS - TS Nguyễn Bình Ngồi khơng có chép người khác Đề tài, nội dung luận văn sản phẩm mà em nỗ lực nghiên cứu trình học tập trường tìm hiểu qua tài hiệu, trang web vv… Các số liệu, kết trình bày báo cáo hoàn toàn trung thực, em xin chịu hoàn toàn trách nhiệm luận văn riêng em Người cam đoan Nguyễn Đức Khương LỜI CẢM ƠN Đầu tiên xin trân trọng gửi lời cảm ơn sâu sắc đến quý thầy cô Học viện Công nghệ Bưu Viễn thơng thời gian qua dìu dắt tận tình truyền đạt cho em kiến thức, kinh nghiệm vơ q báu để em có kết ngày hôm Xin trân trọng cảm ơn GS.TS Nguyễn Bình, người hướng dẫn khoa học luận văn, hướng dẫn tận tình giúp đỡ mặt để hoàn thành luận văn Xin trân trọng cảm ơn quý thầy cô Khoa Đào tạo sau đại học hướng dẫn giúp đỡ em trình thực luận văn Cuối biết ơn tới gia đình, bạn bè người thân động viên, giúp đỡ tác giả suốt trình học tập thực luận văn Hà Nội, tháng năm 2020 Học viên thực Nguyễn Đức Khương MỤC LỤC LỜI CẢM ƠN ii MỤC LỤC .iii DANH MỤC HÌNH VẼ vi DANH MỤC BẢNG BIỂU viii DANH MỤC TỪ VIẾT TẮT ix MỞ ĐẦU CHƯƠNG 1: tổng quan IPv4 IPv6 1.1 Tổng quan IPv4 .2 1.1.1 IPv4 1.1.2 Cấu trúc địa IPv4 1.1.3 Các lớp cảu địa IPv4 1.1.4 Một số lưu ý lớp IPv4 1.1.5 Hạn chế IPv4 1.2 Các tính IPv6 1.2.1 Dạng mào đầu gói tin 1.2.2 Không gian địa lớn hơn: .7 1.2.3 Tự động cấu hình địa chỉ: 1.2.4 An ninh thông tin: .7 1.2.5 Hỗ trợ qos tốt hơn: 1.2.6 Giao thức cho thông tin host liền kề: 1.3 Cấu trúc, phân bổ cách viết địa IPv6 1.3.1 Cấu trúc gói tin IPv6 mạng lan 1.3.2 Phân bổ địa IPv6 1.3.3 Cách viết địa IPv6 .12 1.4 Các loại địa IPv6 14 1.4.1 Địa unicast .14 1.4.1.1 Địa global unicast 15 1.4.1.2 Địa local unicast: .17 1.4.1.3 Địa unicast theo chuẩn ipx 20 1.4.2 Địa anycast 20 1.4.3 Địa multicast .22 1.4.3.1 Cấu trúc chung 22 1.4.3.2 Địa solicited-node 24 1.4.4 Các dạng địa IPv6 khác .25 1.4.4.1 Địa không xác định: 25 1.4.4.2 Địa loopback 25 1.4.4.3 Địa tương thích 26 1.4.5 Phương thức gán địa IPv6 27 1.5 Kết luận Chương 29 CHƯƠNG 2: CÁC GIẢI PHÁP CHUYỂN ĐỔI HẠ TẦNG TỪ IPV4 SANG IPV6 30 2.1 Mục đích chuyển đổi IPv4 – IPv6 30 2.2 Cơ chế dual stack .31 2.2.1 Cấu hình địa 32 2.2.2 Dịch vụ cung cấp tên miền (dns) 32 2.2.3 Ưu điểm dual stack 33 2.2.4 Nhược điểm dual stack .33 2.3 Đường hầm IPv6 qua IPv4 33 2.3.1 Cơ chế cấu hình tự động 6to4 35 2.3.2 Cơ chế cấu hình tự động isatap(intra-site automatic tunnel addressing protocol) 37 2.4 Cơ chế dịch địa (address translation) 41 2.5 Biên dịch NAT-PT (netwokr address translation - otocol translation) 45 2.5.1 Hoạt động NAT-PT 46 2.5.2 Sử dụng DNS cho việc gán địa chỉ: 47 2.5.3 Gán địa cho kết nối đầu (IPv6 sang IPv4) .49 2.5.4 Ưu điểm nat-pt 49 2.5.5 Nhược điểm NAT-PT 49 2.5.6 Phạm vi ứng dụng 50 2.6 Kết luận Chương .50 CHƯƠNG 3: CHUYỂN ĐỐI IPv4 – IPv6 TRONG MẠNG KHÁCH HÀNG VNPT HẢI DƯƠNG 51 3.1 Chuyển đổi IPv4 – IPv6 mạng băng rộng vnpt 51 3.1.1 Mơ hình cung cấp dịch vụ internet vnpt hải dương .51 3.1.2 Phương án cung cấp IPv6 – IPv4 dual – stack đến khách hàng .52 3.2 Cấu hình định tuyến IPv4 – IPv6 dual-stack mơi trường giả lập .57 3.2.1 Cấu hình địa IPv6: 57 3.2.2 Cấu hình định tuyến ospfv3 61 3.2.3 Cấu hình IPv4 ospfv2 63 3.2.4 Kiểm tra định tuyến IPv4 IPv6, kiểm tra IPv4 - IPv6 dual – stack 64 3.4 Bảo mật IPv6 .66 3.4.1 Ip sec (ip security) 66 3.4.2 Kiến trúc ipsec: .67 3.4.3 Hiện trạng .68 3.4.4 Technical details - chi tiết kỹ thuật 71 Kết Luận 75 Tài liệu tham khảo 76 DANH MỤC HÌNH VẼ Hình 1: IPv4 viết dạng nhị phân Hình 2: Cấu trúc địa IPv4 Hình 3: Lớp A địa IPv4 Hình 4: Lớp B địa IPv4 Hình Lớp C đại IPv4 Hình Hạn chế IPv4 .6 Hình Cấu trúc khung IPv6 lớp mạng LAN .8 Hình 8: Cấu trúc khung truyền dẫn IPv6 mạng Ethernet II Hình Cấu trúc địa IPv6 dang Global Unicast 11 Hình 10: Cấu trúc dạng địa Unicast .15 Hình 11: Ba phần chia Unicast 16 Hình 12 Cấu trúc địa Link-local sau .18 Hình 13: Hai máy trạm kết nối dùng địa Link Local 18 Hình 14: Cấu trúc địa Site-local 19 Hình 15: Các loại địa cần gán Site vào mạng IPv6 20 Hình 16 Cấu trúc địa IPX theo IPv6 20 Hình 17: Cấu trúc địa anycast 22 Hình 18: Cấu trúc địa Multicast 23 Hình 1: Chồng hai giao thức 32 Hình 2: Triển khai đường hầm IPv6 thông qua IPv4 34 Hình 3: Quy trình chuyển gói tin qua đường hầm .35 Hình 4: Cơ chế 6to4 36 Hình 5: Khn dạng địa 6to4 .36 Hình 6: Cơ chế hoạt động 6to4 37 Hình 7: Đường hầm ISATAP .39 Hình 8: Dạng địa ISATAP 39 Hình 9: ISATAP Router .40 Hình 2.10: Mơ hình hoạt động DSTM 42 Hình 11: A yêu cầu DNS cho tham số B, DNS trả lời với địa IPv4 B (155.54.1.10) .43 Hình 12: Bản ghi DNS IPv4 khởi động yêu cầu DHCP 44 Hình 13: Gói tin IPv4 gửi thơng qua 4over6 phía TEP .44 Hình 14: TEP tách gói tin gửi bình thường .44 Hình 15: Lúc TEP lưu giữ việc ánh xạ việc định tuyến ngược lại dễ dàng 45 Hình 16: NAT-PT .46 Hình 17: Truyền tin IPv6 đến IPv4 48 Hình 1: Mơ hình cung cấp dịch vụ Internet VNPT hải Dương 52 Hình 2: Mơ hình cung cấp IPv6-IPv4 Dual Stack VNPT Hải Dương 53 Hình 3: Cấu hình thiết bị đầu cuối để triển khai IPv6- IPv4 Dual – Stack 54 Hình 4: Các địa IP cấp cho ONU chạy IPv6- IPv4 Dual – Stack 54 Hình 5: IPv6- IPv4 Dual – Stack PC khách hàng .54 Hình 6: Kiểm tra kết nối IPv6 IPv4 đến điểm test ngồi nước 55 Hình 7: Host đầu xa sử dụng IPv6- IPv4 Dual – Stack .56 Hình 8: Kiểm tra routing đến host đầu xa dùng IPv6- IPv4 Dual – Stack 56 Hình 9: Mơ hình giả lập .57 Hình 10: Cấu hình Bộ định tuyến R1, R2 R3 để chia sẻ thông tin định tuyến sử dụng OSPFv3 61 Hình 11: Kiến trúc mơ hình OSI 66 Hình 12: Kiến trúc IPsec 67 Hình 13 Một đại diện chung mơ hình vận chuyển IPsec 70 Hình 14: Một đại diện chung mơ hình đường hầm IPsec 71 Hình 15: Mơ hình tiêu đề AH 72 Hình 16: Mơ hình giao thức ESP cung cấp xác thực 73 DANH MỤC BẢNG BIỂU Bảng 1: Bảng phân bổ loại địa IPv6 Bảng 2: Các giá trị trường phạm vi .23 Bảng 3: Cấu trúc địa Multicast phân bố lại 24 Bảng So sánh địa IPv4 IPv6 28 sử dụng để cấu hình ID định tuyến OSPF Lệnh id định tuyến OSPF phải cấu hình tất định tuyến cấu trúc liên kết chưa cấu địa IPv4 giao diện Do đó, định tuyến khơng thể tự động chọn ID định tuyến ID định tuyến phải theo cách cấu hình thủ cơng R1(config)# IPv6 unicast-routing R1(config)# IPv6 router ospf R1(config-rtr)# router-id 10.1.1.1 R1(config-rtr)# exit R1(config)# interface fastethernet 0/0 R1(config-if)# IPv6 ospf area R1(config-if)# exit R1(config)# interface serial 0/0/0 R1(config-if)# IPv6 ospf area R1(config-if)# exit R1(config)# interface serial 0/0/1 R1(config-if)# IPv6 ospf area R1(config-if)# end R1# Cấu hình tương tự với R2 R3: R2(config)# IPv6 unicast-routing R2(config)# IPv6 router ospf R2(config-rtr)# router-id 10.2.2.2 R2(config-rtr)# exit R2(config)# interface fastethernet 0/0 R2(config-if)# IPv6 ospf area R2(config-if)# exit R2(config)# interface serial 0/0/0 R2(config-if)# IPv6 ospf area R2(config-if)# exit 62 R2(config)# interface serial 0/0/1 R2(config-if)# IPv6 ospf area R2(config-if)# end R2# Để hồn tất cấu hình OSPFv3, cấu hình quản bá tuyến mặc định R3 đến định tuyến khác Tên miền OSPF Lệnh khởi tạo thơng tin cấu hình định tuyến cấu hình trênR3: R3(config-rtr)# default-information originate R3(config-rtr)# end R3# 3.2.3 Cấu hình IPv4 ospfv2 Bắt đầu với Bộ định tuyến R1, cấu hình địa IPv4 giao diện Fast Ethernet hai giao diện nối tiếp Sau giao diện cấu hình, cấu hình định tuyến OSPFv2 Các giao diện R1, cho IPv4 bật OSPFv2 ba giao diện Đây cấu hình ln sử dụng với IPv4 Như thể IPv6 không tồn mạng R1(config)# interface FastEthernet0/0 R1(config-if)# ip address 10.1.0.1 255.255.0.0 R1(config-if)# exit R1(config)# interface Serial0/0/0 R1(config-if)# ip address 10.10.10.1 255.255.255.252 R1(config-if)# exit R1(config)# interface Serial0/0/1 R1(config-if)# ip address 10.10.10.9 255.255.255.252 R1(config-if)# exit R1(config)# router ospf R1(config-rtr)# network 10.1.0.0 0.0.255.255 area R1(config-rtr)# network 10.10.10.0 0.0.0.3 area R1(config-rtr)# network 10.10.10.8 0.0.0.3 area 63 Kiểm tra cấu hình chạy R1, không giống OSPFv2, OSPFv3 không sử dụng lệnh mạng để kích hoạt OSPF giao diện Với OSPFv3, lệnh IPv6 opsf sử dụng để kích hoạt OSPF trực tiếp giao diện.Bộ định tuyến R1 định tuyến xếp chồng kép, đội mũ hai chiếc, cho IPv4 cho IPv6 Cấu hình tương tự cho Router R2 R3: R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.2.0.1 255.255.255.0 ! Replaces the OSPFv2 network command: R2(config-if)# ip ospf area R2(config-if)# exit R2(config)# interface serial 0/0/0 R2(config-if)# ip address 10.10.10.2 255.255.255.252 ! Replaces the OSPFv2 network command: R2(config-if)# ip ospf area R2(config-if)# exit R2(config)# interface serial 0/0/1 R2(config-if)# ip address 10.10.10.5 255.255.255.252 ! Replaces the OSPFv2 network command: R2(config-if)# ip ospf area R2(config-if)# Cấu hình định tuyến tĩnh R3 ISP, sau cấu hình quản bá tuyến default route OSPFv2 R3(config)# ip route 0.0.0.0 0.0.0.0 serial 0/1/0 R3(config)# router ospf R3(config-rtr)# default-information originate 3.2.4 Kiểm tra định tuyến IPv4 IPv6, kiểm tra IPv4 - IPv6 dual – stack Lệnh show ip route sử dụng để hiển thị tất tuyến IPv4 kết nối trực tiếp, tĩnh học động, lệnh show IPv6 route sử dụng để làm tương tự cho mạng IPv6 Kiểm tra tuyến học qua OSPFv2, OSPFv3 64 R1# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - ISIS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.10.10.10 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, subnets, masks 10.10.10.8/30 is directly connected, Serial0/0/1 10.2.0.0/16 [110/65] via 10.10.10.2, 01:20:14, Serial0/0/0 10.3.0.0/16 [110/65] via 10.10.10.10, 01:20:14, Serial0/0/1 10.10.10.0/30 is directly connected, Serial0/0/0 10.1.0.0/16 is directly connected, FastEthernet0/0 10.10.10.4/30 [110/128] via 10.10.10.2, 01:20:14, Serial0/0/0 O*E2 0.0.0.0/0 [110/1] via 10.10.10.10, 01:15:51, Serial0/0/1 R1# R1# show IPv6 route IPv6 Routing Table - 12 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 OSPF ext ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext D - EIGRP, EX - EIGRP external 65 OE ::/0 [110/1], tag via FE80::3, Serial0/0/1 C 2001:DB8:CAFE:1::/64 [0/0] via ::, FastEthernet0/0 3.4 Bảo mật IPv6 3.4.1 Ip sec (ip security) Giao thức IPsec làm việc tầng Network Layer – layer mô hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPsec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn Hình 11: Kiến trúc mơ hình OSI 3.4.2 Kiến trúc ipsec: IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây 66 dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ứng: Hình 12: Kiến trúc IPsec - Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng 67 - Thuật toán xác thực: Định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP - Quản lý khố (RFC 2408): Mơ tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP ngun thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 3.4.3 Hiện trạng IPsec phần bắt buộc IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 Các giao thức IPsec định nghĩa từ RFCs 1825 – 1829, phổ biến năm 1995 Năm 1998, nâng cấp với phiên RFC 2401 – 2412, khơng tương thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 hệ cung cấp chuẩn IKE second Trong hệ IP security viết tắt lại IPsec Sự khác quy định viết tắt hệ quy chuẩn RFC 1825 – 1829 ESP phiên ESPbis IPsec cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN 68 IPsec sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode Giao tiếp end-to-end bảo mật mạng Internet phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thơng no khơng cao, hay không thiết thực, Public Key Infrastructure (PKI) sử dụng phương thức IPsec giới thiệu cung cấp dịch vụ bảo mật: Mã hố q trình truyền thơng tin Đảm bảo tính nguyên vẹn liệu Phải xác thực giao tiếp Chống trình replay phiên bảo Modes – Các mode Có hai mode thực IPsec là: Transport mode tunnel mode Transport Mode (chế độ vận chuyển) - Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mơ tả bên dưới, AH ESP đặt sau IP header nguyên thủy Vì có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói 69 Hình 13 Một đại diện chung mơ hình vận chuyển IPsec - Khơng giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway - Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec 70 Hình 14: Một đại diện chung mơ hình đường hầm IPsec 3.4.4 Technical details - chi tiết kỹ thuật Có hai giao thức phát triển cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6: IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu Thuật tốn mã hố sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật toán TripleDES-CBC AESCBC cho mã mã hoá đảm bảo độ an tồn gói tin Tồn thuật tốn thể RFC 4305 a Authentication Header (AH) AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, 71 Fragment Offset, TTL, Header Checksum AH thực trực tiếp phần gói tin IP mơ hình AH header Các modes thực Hình 15: Mơ hình tiêu đề AH Ý nghĩa phần: Next header Nhận dạng giao thức sử dụng truyền thông tin Payload length Độ lớn gói tin AH RESERVED Sử dụng tương lai (cho tới thời điểm biểu diễn số 0) Security parameters index (SPI) Nhận thông số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin Sequence number Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks Authentication data 72 Bao gồm thông số Integrity check value (ICV) cần thiết gói tin xác thực b Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng tính cần bảo mã hố cần cho authentication, sử dụng mã hoá mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Khơng AH, header gói tin IP, bao gồm option khác ESP thực top IP sử dụng giao thức IP mang số hiệu 50 AH mang số hiệu 51 Hình 16: Mơ hình giao thức ESP cung cấp xác thực Ý nghĩa phần: 73 Security parameters index (SPI) Nhận thơng số tích hợp với địa IP Sequence number Tự động tăng có tác dụng chống công kiểu replay attacks Payload data Cho liệu truyền Padding Sử dụng vài block mã hoá Pad length Độ lớn padding Next header Nhận giao thức sử dụng q trình truyền thơng tin Authentication data Bao gồm liệu để xác thực cho gói tin 74 KẾT LUẬN Việc chuyển đổi địa IPv4 sang IPv6 xu hướng tất yếu tất nhà cung cấp dịch vụ giới Việt Nam Tập đồn Bưu Chính viễn thơng Việt nam nói chung, VNPT – Hải Dương nói riêng cần chuẩn bị sẵn phương án để chuyển đổi từ IPv4 – IPv6 đảm bảo tính bình thường hệ thống thuê bao, VNPT Hải Dương cung cấp dịch vụ internet cho 140.000 thuê bao loại; để chuẩn bị chuyển đổi từ giao thức cũ IPv4 sang IPv6 vào năm 2021 phương pháp dual stack cho lượng khách hàng đồng với hệ thống vấn đề lớn hạ tầng mạng mà thiết bị cung cấp cho người dùng cuối (CPEs chưa hỗ trợ IPv6 Ngay hệ thống mạng 3G, 4G VNPT Hải Dương chưa hỗ trợ giao thức này) - Sau thời gian nghiên cứu, luận văn em sâu vào phương án chuyển đổi IPv4 – IPv6 phương pháp dual stack mạng khách hàng VNPT Hải Dương - Kết trình nghiên cứu: em thực mơ cấu hình chuyển đổi từ IPv4 sang IPv6 phương pháp dual stack môi trường giả lập thực nghiệm thiết bị đầu cuối khách hàng, kết thu lại kết khả quan qua test, nội dung mô tài liệu tham khảo để triển khai chuyển đổi thực tế giai đoạn chuyển đổi đầu cuối khách hàng vào năm sau - Nắm bắt chế bảo mật IPv6 - Vì thời gian nghin cứu có hạn luận văn em không tránh thiếu sót, em kính mong thầy tham gia đóng góp để em hồn thiện 75 TÀI LIỆU THAM KHẢO + TiếngViệt [1] Nguyễn Thị Thu Thủy, Giới thiệu hệ địa Internet IPv6, NXB Bưu Điện 2006 + Tiếng Anh [2] Arafat, Muhammad Yeasir, Feroz Ahmed, and M AbdusSobhan ”On the Migration of a Large Scale Network from IPv4 to IPv6 Environment.” International Journal of Computer Networks & Communications (IJCNC) 6.2 (2014): 111-126 [3] IPv6 Country Statistics, http://6lab.cisco.com/stats/search.php , (last accessed at 13-10-2016) [4] Shannon McFarland, MuninderSambi, Nikhil Sharma, and Sanjay Hooda IPv6 for Enterprise Networks, Copyright © 2011 Cisco Systems, Inc + Trang web [5] Website: https://www.vnnic.vn/ cập nhật ngày 25/04/2020 76 ... chế bảo mật; đề tài em nghin cứu ? ?Chuyển đổi IPv4- IPv6 mạng băng rộng VNPT khía cạnh bảo mật liên quan? ?? ; đề tài em nghi cứu sâu phương pháp chuyển đổi IPv4- IPv6 phương pháp Dual Stack; dual... Em xin cam đoan đề tài: ? ?Chuyển đổi Ipv4- Ipv6 mạng băng rộng VNPT khía cạnh bảo mật có liên quan? ?? cơng trình nghiên cứu độc lập hướng dẫn GS - TS Nguyễn Bình Ngồi khơng có chép người khác Đề tài,... BƯU CHÍNH VIỄN THƠNG - Nguyễn Đức Khương CHUYỂN ĐỔI IPv4- IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN Chun ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN

Ngày đăng: 31/12/2020, 08:57

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w