IPsec Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Cung cấp các chức năng bảo mật cho IPv6. Điều này tạo ra tính mềm dẻo cho IPsec hơn các giao thức bảo mật hoạt động ở tầng trên
IPsec cung cấp 3 phương thức bảo mật sau các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền phương thức xác thực thiết lập các thông số mã hoá nhằm đạt được các mục đích bảo mật .
Authentication : xác định được nguồn gốc của dữ liệu
Integrity : đảm bảo dữ liệu ko bị thay đổi trong quá trình truyền
Confidentiality : đảm bảo dữ liệu ko bị đọc hạơc sử dụng bởi người khác trong quá trình truyền
IPsec được thiết kế cho cả IPv4 và IPv6. Nó ko được sử dụng trong IPv4 do 1 số lý do đã nêu ở trên(IPv4 sử dụng NAT, …) tuy nhiên lại tích hợp hoản hảo với IPv6 do sử dụng các extension header.
IPsec cung cấp các dịch vụ bảo mật Mã hoá quá trình truyền thông tin. Đảm bảo tính nguyên vẹn của dữ liệu. Phải được xác thực giữa các giao tiếp.
Nhóm 6 Page 30
4.1.Các mode hoạt động
IPsec có 2 mode hoạt động đó là
Transport mode: Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin
được mã hoá và/hoặc xác thực. Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm). Transport và application layers thường được bảo mật bởi hàm băm (hash), và chúng không thể chỉnh sửa (ví dụ như port number). Transport mode sử dụng trong tình huống giao tiếp host-to- host.
Tunnel mode : Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ
được mã hoá và xác thực. Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router. Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host- to-host trên internet.
4.2.Hoạt động
IPsec cung cấp tính bảo mật cho 2 phiên bản IP nhờ sử sụng 2 header :
IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực.
IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.
4.2.1. Authentication Header (AH)
AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là mô hình của AH header.
Nhóm 6 Page 31
Hình : Cấu trúc AH
4.2.2. Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật. Không như AH, header của gói tin IP, bao gồm các option khác. ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51.
Nhóm 6 Page 32
5.Mô hình mạng IPv6 Quốc gia
Mạng IPv6 quốc gia chính thức khai trương từ ngày 6/5/2013, được hình thành trên cơ sở kết nối song song IPv4/IPv6 hệ thống mạng DNS quốc gia, trạm trung chuyển Internet quốc gia VNIX, mạng Internet của các ISP.
Mạng DNS quốc gia IPv4/IPv6: là hệ thống DNS Quốc gia, cung cấp dịch vụ DNS
song song trên nền địa chỉ IPv4/IPv6.
Mạng VNIX IPv4/IPv6: là trạm trung chuyển Internet trong nước kết nối mạng
Internet IPv4/IPv6 của các ISP. Mạng VNIX IPv4/IPv6 đặt tại các điểm Hà Nội, Đà nẵng và TP.HCM.
Nhóm 6 Page 33
Ngoài ra VNNIC tiếp tục duy trì mạng Promote IPv6 cung cấp cho cộng đồng và các thành viên kết nối các dịch vụ cơ bản trên nền IPv6 nhằm khuyến khích, thúc đẩy việc ứng dụng địa chỉ IPv6 tại Việt Nam: DNS, Web, Email, VOIP, Tunnel ...
Mạng IPv6 Quốc gia đã được triển khai đưa vào hoạt động, sẵn sàng cung cấp dịch vụ cho các ISP kết nối tới.