- Thông điệp Neighbor Discovery
8. Kiểm tra tính kết nối được của node lân cận (Neighbor Reachability Detection)
3.5.3 Hỗ trợ tốt hơn về bảo mật(Security) trong thế hệ địa chỉ IP
IPSecurity:
IPSec thực hiện chức năng xác thực nơi gửi và mã hóa đường kết nối, do vậy đảm bảo có kết nối bảo mật. Về cấu trúc, IPSec bao gồm:
+ Hai thủ tục bảo mật Authentication Header (AH) và Encapsulating Security Payload (ESP).
+ Hai phương thức làm việc: IPSec có hai phương thức làm việc: “tunnel mode” và “transport mode”. Tunnel mode áp dụng IPSec bằng cách thêm một header mới và lấy toàn bộ gói tin IP trước kia làm phần payload. Chế độ này thường được sử dụng trong VPN. Transport mode áp dụng IPSec cho truyền gói tin IP bởi host, được sử dụng cho kết nối end-to-end giữa các node.
+ CSDL Security Policy Database (SPD) để quản lý chính sách bảo mật và lựa chọn phù hợp với lưu lượng thực.
+ CSDL Security Association Database (SAD) chứa những tham số cần thiết để thiết lập kết nối IPSec và áp dụng IPSec.
+ Các thủ tục để trao đổi khóa: AH và ESP cần các khóa để thiết lập các thuật toán mã hóa và bảo mật. Khóa này có thể được thiết lập theo theo cách nào đó ví dụ thẻ nhớ hay phương thức khác. Tuy nhiên như vậy rất thủ công và khó thực hiện trong hệ thống lớn. Cần phải có hệ thống trao đổi khóa tự động. IPsec đưa ra một thủ tục tiêu chuẩn để thực hiện chức năng này, gọi là Internet Key Exchange (IKE).
Bản thân IPSec hỗ trợ cả địa chỉ IPv4 và IPv6. Tuy nhiên, trong IPv6, thực thi IPSec được định nghĩa như là một đặc tính bắt buộc. Trong IPv4, công nghệ NAT được sử dụng vô cùng rộng rãi. Thiết bị thực hiện NAT can thiệp và thay đổi header của gói tin, điều đó gây cản trở trong việc thực hiện IPSec. Thế hệ địa chỉ IPv6 với không gian địa chỉ vô cùng rộng lớn được mong chờ rằng IPSec sẽ được sử dụng rộng rãi trong các giao tiếp đầu cuối – đầu cuối.
Thực thi IPSec được định nghĩa như một đặc tính bắt buộc của địa chỉ IPv6 khi các thủ tục bảo mật của IPSec được đưa vào thành hai hai đặc tính là hai header mở rộng của địa chỉ IPv6. Đó là Authentication Header (AH) và Encapsulating Security Payload (ESP). Hai header này có thể được sử dụng cùng lúc, hoặc riêng rẽ để cung cấp các mức bảo mật khác nhau cho những người sử dụng khác nhau.
Authentication Header (AH) cung cấp dịch vụ chứng thực. Mở rộng này hỗ trợ nhiều công nghệ chứng thực khác nhau. Sử dụng AH loại bỏ được nhiều dạng tấn công mạng, bao gồm cả tấn công giả mạo host (host masquerading attack).
Encapsulating Security Payload (ESP) cung cấp dịch vụ bảo đảm tính toàn vẹn và tính tin cậy cho gói tin IPv6. Mặc dù đơn giản hơn một số thủ tục bảo mật tương tự, song ESP vẫn giữ được tính mềm dẻo và không phụ thuộc vào thuật toán.
IPSec phiên bản mới cũng cải tiến thủ tục trao đổi khóa IKE khi có những thay đổi về header và thông điệp trao đổi.
IPSec được coi là một trong những đặc tính cơ bản của địa chỉ IPv6. Chúng ta rất hay gặp những kết luận “IPv6 tăng cường độ bảo mât, IPsec là bắt buộc”. Tuy nhiên tại thời điểm hiện nay, dù nhiều hệ điều hành có hỗ trợ IPSec, việc sử dụng IPSec trong IPv6 cho kết nối end-to-end là chưa phổ biến. Một trong những nguyên nhân là do hiện nay, IPSec được dùng phổ biến để bảo mật kết nối giữa hai site (VPN), chưa được sử dụng cho kết nối Point-to-Point, vốn là một trong những ưu điểm của IPv6. Mô hình kết nối có firewall hiện nay và thói
quen sử dụng những thủ tục bảo mật tại tầng ứng dụng khiến cho việc áp dụng IPSec cho kết nối đầu cuối – đầu cuối chưa phổ biến. Nhóm làm việc của IETF vẫn đang thực hiện sửa đổi hoàn thiện các tiêu chuẩn hóa liên quan đến IPSec như về AH, ESP và nỗ lực tiến tới mục đích mọi IPv6 node đều có khả năng IPSec, đưa IPSec phổ dụng cùng với sự phổ biến ngày càng nhiều của địa chỉ IPv6.
Chương 4- THIỆT LẬP MẠNG THỬ NGHIỆM THUẦN IPv6, CUNG CẤP