Báo cáo Thực tập tốt nghiệp - Nội dung: Ipsec trong ipv6

IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN. Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của nó không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này.

doc51 trang | Chia sẻ: lvcdongnoi | Lượt xem: 3081 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Báo cáo Thực tập tốt nghiệp - Nội dung: Ipsec trong ipv6, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
nghệ thông tin và truyền thông, Phòng NCPT Dịch vụ Bưu chính Viễn thông, Thầy Đỗ Đức Huy đã tận tâm chỉ bảo, hướng dẫn em hoàn đề tài này. Trong quá trình thực tập, cũng như trong quá trình làm báo cáo khó tránh khỏi sai sót. Em rất mong được sự tha thứ của thầy Đỗ Đức Huy! Một lần nữa em xin chân thành cảm ơn! HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CDIT Độc lập - Tự do - Hạnh phúc KẾ HOẠCH ĐĂNG KÝ THỰC TẬP TỐT NGHIỆP Họ và tên sinh viên: Đặng Tuấn Linh Lớp: CN107A3 – Mã sv: 107202231 Địa chỉ liên hệ: Đình Cả - Nội Duệ - Tiên Du – Bắc Ninh Điện thoại: 0975454268 email: dangtuanlinhbn@gmail.com Đơn vị thực tập tốt nghiệp: Phòng NCPT Dịch vụ Bưu Chính Viễn Thông, CDiT. Người hướng dẫn trực tiếp: Đỗ Đức Huy Đề tài: IPsec trong IPv6 TT Nội dung thực tập Thời gian Mục tiêu 1 Tìm hiểu tổng quan về IPv6 2 tuần Từ ngày 2/4 đến ngày 15/4 …….. 1.1  Khái quát chung địa chỉ IPv6 Từ ngày 2/4 đến ngày 6/4  Hiểu về cấu trúc tiêu đề IPv6 1.2  Cấu trúc địa chỉ Ipv6 Từ ngày 7/4 đến ngày 11/4 Không gian địa chỉ IPv4 và IPv6  1.3  Các cách viết địa chỉ Ipv6  Từ ngày 12/4 đến ngày 15/4 Chỉ ra giao thức địa chỉ sử dụng trong IPv4, IPv6 2  Tìm hiểu về IPsec trong IPv6 2 tuần  Từ ngày 16/4 đến ngày 29/4 2.1  Tổng quan, kiến trúc Ipsec, cấu trúc bảo mật, hiện trạng  Từ ngày 16/4 đến ngày 22/4 Tìm hiểu tổng quan về Ipsec, cấu trúc bảo mật, hiện trạng 2.2  Chi tiết, thực hiện, ưu khuyết điểm của IPsec  Từ ngày 23/4 đến ngày 29/4  Tìm hiểu hoạt động của IPsec trong Ipv6 Chỉ ra những ưu, nhược điểm  3  Thử nghiệm IPv6 và IPsec trên IPv6 trên mạng nội bộ đơn vị 3 tuần Từ ngày 30/4 đến ngày 20/5 3.1 Xây dựng mô hình thử nghiệm IPv6 Từ ngày 1/5 đến ngày 6/5 Xây dựng hệ thống mạng nội bộ 2 máy Sử dụng HDH Win Server, 2K 3.2 Không gian địa chỉ thử nghiệm Từ ngày7./5 đến ngày 13./5 Thiết lập địa chỉ IP cho các Windows Server 2008 client: win 2k8, ipv6 3.3 Thử nghiệm trao đổi thông tin qua IPsec Ipv6 và báo cáo kết quả. Từ ngày 14/5 đến ngày 20/5 Trao đổi thông tin qua IPsec Ipv6 Xem kết quả CÁN BỘ HƯỚNG DẪN Hà Nội, ngày 30 tháng 3 năm 2012 Đặng Tuấn Linh SINH VIÊN MỤC LỤC Nội dung Trang Lời cảm ơn 1 Bản đăng ký kế hoạch thực tập tốt nghiệp 2 Mục lục 3 Phần A : Giới thiệu đơn vị thực tập 4 Phần B : Nội dung thực tập 6 I. Phần giới thiệu chung 6 II. Phần trình bày 8 A. Tìm hiểu tổng quan về Ipv6 9 I/ Khái quát chung 9 II / Cấu trúc địa chỉ IPv6 9 1/ Unicast Address 10 2/ Anycast Address 12 3/ Multicast Address 14 4/ Các cách viết địa chỉ IPv6 16 B. Tìm hiểu về IPsec trong IPv6 10 1. Tổng quan 19 2. Kiến trúc IPSec: 20 3. Cấu trúc bảo mật 21 4. Hiện trạng 22 5. Technical details – chi tiết kỹ thuật 24 6. Implementations - thực hiện 27 7. Ưu khuyết điểm của IPSec 29 C. Thử nghiệm IPv6 và IPsec trên IPv6 qua mạng nội bộ đơn đơn vị 31 I/ Xây dựng mô hình thử nghiệm 31 1. Cấu hình thử nghiệm 31 2. Không gian mô hình 31 3. Dải địa chỉ IP thử nghiệm 32 II/ Cấu hình TCP/IPv6 32 III/ Cấu hình IP Sec 34 III. Phần kết luận 45 IV. Các thông tin nguyện vọng 49 Tài liệu tham khảo 50 Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP I. Chức năng Viện Công nghệ Thông tin và truyền thông CDIT có nhiệm vụ: nghiên cứu, phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Công nghệ Thông tin phục vụ Ngành Bưu chính Viễn thông và xã hội. II. Tổ chức Được thành lập năm 1999 trong xu thế cạnh tranh và hội nhập toàn cầu, Viện Công nghệ Thông tin và truyền thông CDIT, với vai trò là đơn vị nghiên cứu phát triển hàng đầu trong lĩnh vực công nghệ thông tin, xác định: việc lĩnh hội, đúc kết và phát huy tiềm năng, nội lực, làm chủ công nghệ là mục tiêu chiến lược nhằm thực hiện thành công định hướng gắn kết Nghiên cứu - Đào tạo - Sản xuất Kinh doanh. CDIT đã duy trì, phát triển và chiếm lĩnh thị trường trong nước với các sản phẩm đáp ứng tiêu chí: Tiên tiến - Tương thích - Toàn cầu, thay thế sản phẩm nhập khẩu, nỗ lực đóng góp cho sự phát triển của mạng lưới bưu chính viễn thông và công nghệ thông tin Việt Nam, vươn mình hòa nhập với cộng đồng CNTT trong khu vực và trên thế giới. Viện Công nghệ Thông tin và truyền thông CDIT được Tổng giám đốc Tổng Công ty Bưu chính Viễn thông Việt Nam ký quyết định thành lập số 636/QĐ.TCCB-LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành viên của các đơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông :  1.    Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện;  2.    Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1 (cũ).  III. Các lĩnh vực hoạt động Viện Công nghệ Thông tin và truyền thông CDIT hoạt động trên năm lĩnh vực chính: 1.    Nghiên cứu khoa học công nghệ; 2.    Phát triển, triển khai công nghệ và sản phẩm; 3.    Sản xuất phần mềm và thiết bị; 4.    Tiếp nhận và chuyển giao công nghệ; 5.    Đào tạo và bồi dưỡng nhân lực. Sản phẩm tiêu biểu 1.    Nhóm các sản phẩm phục vụ khai thác mạng viễn thông và điều hành SXKD -       Hệ thống tính cước và chăm sóc khách hàng BCSS -       Hệ thống quản lý mạng ngoại vi CABMAN/GIS -       Hệ thống khai thác và bảo dưỡng mạng OMC -       Hệ thống cắt mở dịch vụ tự động -       Hệ thống quản lý bảo dưỡng báo hỏng tự động 119 -       Hệ thống phần mềm bảo mật ứng dụng công nghệ nhận dạng vân tay -       Hệ thống báo cáo số liệu VRS 2.    Nhóm các sản phẩm cho mạng Viễn thông -       Hệ thống tổng đài VINEX 1000 (1024 số) -       Hệ thống máy chủ Thông tin đa phương tiện MUCOS -       Hệ thống Nhắn tin 1570 và nhắn tin ngắn qua mạng thông tin di động SMSC -       Hệ thống nhắn tin đa phương tiện MMSC -       Hệ thống Thông tin giáo dục -       Hệ thống Tổng đài Thế hệ sau đa dịch vụ chuyển mạch mềm 3.    Nhóm các sản phẩm phục vụ bưu chính -       Giải pháp tổng thể ứng dụng CNTT cho Bưu chính -       Hệ thống mạng và phần mềm phục vụ chuyển tiền CT2003 4.     Nhóm sản phẩm  trên nền Internet -       Giải pháp mạng Intranet COSA/ISP -       Hệ thống thanh toán qua ngân hàng INFOGATE  Thị trường chính -       Công ty mẹ - Tập đoàn Bưu chính Viễn thông Việt Nam -       Các công ty con, công ty liên kết của Tập đoàn Bưu chính Viễn thông Việt Nam -       Tập đoàn Điện lực Việt Nam -       Các ngân hàng:VCB, TechComBank -       Các công ty viễn thông: VietTel, HanoiTelecom Phần B : NỘI DUNG THỰC TẬP I. Phần giới thiệu chung Địa chỉ IPv4 được thiết kế có chiều dài 32 bit và có thể cung cấp khoảng 4 tỉ địa chỉ cho hoạt động mạng toàn cầu. Địa chỉ IPv4 đã đồng hành với việc phát triển như vũ bão của hoạt động Internet trong hơn hai thập kỷ vừa qua. Song nguồn tài nguyên IPv4 sắp cạn kiệt trước tốc độ tiêu thụ quá nhanh của toàn cầu trước nhu cầu phát triển không ngừng các dịch vụ mới đòi hỏi kết nối băng thông rộng với địa chỉ IP cố định (tỉ lệ sử dụng địa chỉ/khách hàng là 1:1), cũng như đòi hỏi tham gia kết nối mạng của đa dạng thiết bị (thiết bị số dùng cho cá nhân PDA, điện thoại di động, đồ dùng điện tử, ô tô, tàu thủy, xe lửa, máy bay...). Bên cạnh nguy cơ cạn kiệt nguồn IPv4, xu hướng hội nhập mạng viễn thông và Internet với khái niệm mạng thế hệ mới “Next Generation Network” đã khiến IPv4 bộc lộ một số hạn chế trong cấu trúc thiết kế , khiến những nhà nghiên cứu, những tổ chức tiêu chuẩn hóa chịu trách nhiệm về hoạt động mạng toàn cầu nhận thấy cần có sự phát triển lên một tầm cao hơn của giao thức Internet. IPv6 (Internet protocol version 6) là phiên bản địa chỉ Internet mới, được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:     - Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet.         - Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4. IPv6 được thiết kế với những tham vọng và mục tiêu như sau:     - Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ.     - Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT     - Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu hình thủ công TCP/IP cho host. IPv6 được thiết kế với khả năng tự động cấu hình mà không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công.     - Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp.     - Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khả năng hỗ trợ và tính phổ dụng chưa cao.     - Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ nhau kết nối với nhau. Do vậy bảo mật chưa phải là một vấn đề được quan tâm. Song hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu.     - Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết bị IP di động. Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu trúc giao thức Internet có sự hỗ trợ tốt hơn. -Tên chủ đề thực tập IPsec trong IPv6 -Mục tiêu - Chỉ ra được tổng quan về địa chỉ IPv6 - Chỉ ra được tính bảo mật trong IPv6 - Tạo được mô hình thử nghiệm Ipsec trong Ipv6 -Nội dung 1. Tìm hiểu tổng quan về IPv6 Cấu trúc địa chỉ IPv6 Các cách viết địa chỉ IPv6 2. Tìm hiểu về IPsec trong IPv6 Tổng quan Kiến trúc IPSec Cấu trúc bảo mật Hiện trạng Chi tiết kỹ thuật Thực hiện Ưu khuyết điểm của IPSec 3. Thử nghiệm IPv6 và IPsec trên IPv6 trên mạng nội bộ đơn vị Xây dựng mô hình thử nghiệm IPv6 Không gian địa chỉ thử nghiệm Thử nghiệm trao đổi thông tin qua IPsec Ipv6 và báo cáo kết quả - Kết quả cần đạt: Hiểu về tổng quan của Ipv6 Hiểu về Ipsec trong Ipv6 Sử dụng và bắt được bản tin trong Ipv6 II. Phần trình bày MỞ BÀI Sự phát triển của khoa học kĩ thuật trên thế giới đã đạt được những thành tựu to lớn trên nhiều lĩnh vực khác nhau. Trong đó phải kể đến là sự phát triển nhanh chóng của công nghệ chế tạo điện tử và vi điện tử đã tạo ra được những thiết bị mạng, máy tính với khả năng xử lý ngày càng cao. Sự phát triển rất nhanh của mạng Internet toàn cầu. Mạng Internet đã tạo ra một môi trường hoạt động toàn cầu cho tất cả mọi người tham gia, gần như xóa đi biên giới giữa các quốc gia, thu ngắn lại khoảng cách địa lý Một trong những vấn đề quan trọng mà kĩ thuật mạng trên thế giới đang phải nghiên cứu giải quyết là đối mặt với sự phát triển với tốc độ quá nhanh của mạng lưới Internet toàn cầu. Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng với nhau, như mạng di động với mạng Internet đã đặt ra nhiều vấn đề trong đó việc bảo mật tài nguyên luôn luôn được nghiên cứu và phát triển nhằm tránh rủi ro do khách quan hoặc chủ quan. Nhằm giải quyết vấn đề này, IPv6 được ra đời với mục đích thay thế hoàn toàn và khắc phục các nhược điểm của IPv4. Sự ra đời của IPv6 đánh dấu một bước ngoặt lớn về hệ thống thông tin mạng toàn cầu. Do đó em lựa chọn đề tài “ IPsec trong Ipv6”.   Và để hiểu rõ hơn về tính bảo mật trong IPv6,  em xin trình bày kết quả tìm kiếm, học hỏi của mình với sự hướng dẫn tận tình của thầy Đỗ Đức Huy, Viện công nghệ thông tin và truyền thông CDIT. THÂN BÀI A. TÌM HIỂU TỔNG QUAN VỀ IPv6 I/ KHÁI QUÁT CHUNG . Địa chỉ thế hệ mới của Internet - IPv6 (IP address version 6) được Nhóm chuyên trách về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội Internet đề xuất thực hiện kế thừa trên cấu trúc và tổ chức của IPv4 . IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa chỉ là 232 = 4 294 967 296 địa chỉ. Còn IPv6 có 128 bit địa chỉ dài hơn 4 lần so với IPv4 nhưng khả năng lý thuyết có thể cung cấp một không gian địa chỉ là 2™ = 340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian địa chỉ của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.109 còn 2128 lấy tròn số là 340.10 36 ( khoảng 340 tỷ tỷ tỷ tỷ địa chỉ ). Số địa chỉ này nếu rải đều trên bề mặt quả đất thì mỗi mét vuông có khoảng 665 570 tỷ tỷ địa chỉ (665 570 .10 18) vì diện tích bề mặt quả đất khoảng 511 263 tỷ mét vuông . Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet màcòn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí cho từng vật dụng trong gia đình. Người ta nói rằng từng chiếc điều hoà, tủ lạnh, máy giặt hay nồi cơm điện v.v..của từng gia đình một cũng sẽ mang một điạ chỉ IPv6 để chủ nhân của chúng có thể kết nối và ra lệnh từ xa . Nhu cầu hiện tại chỉ cần 15% không gian địa chỉ IPv6 còn 85% dự phòng cho tương lai . II / CẤU TRÚC ĐỊA CHỈ IPV6 . Địa chỉ IPv4 được chia ra 5 lớp A,B,C,D,E còn IPv6 lại được phân ra là 3 loại chính sau . 1/ Unicast Address. Địa chỉ đơn hướng. Là địa chỉ dùng để nhận dạng từng Node một ( Node - Điểm Nút là tập hợp các thiết bị chuyển mạch nằm ở trung tâm như Router chẳng hạn ), cụ thể là một gói số liệu được gửi tới một địa chỉ đơn hướng sẽ được chuyển tới Node mang địa chỉ đơn hướng - Unicast đó. 2/ Anycast Address. Địa chỉ bất kỳ hướng nào. Là địa chỉ dùng để nhận dạng một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số liệu được gửi tới một địa chỉ "Bất cứ hướng nào" sẽ được chuyển tới một Node gần nhất trong Tập hợp Node mang địa chỉ anycast đó . 3/ Multicast Address. Địa chỉ đa hướng. Là địa chỉ dùng để nhận dạng một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số liệu được gửi tới một địa chỉ " đa hướng" sẽ được chuyển tới tất cả các Node trong Tập hợp Node mang địa chỉ Multicast đó . 1. Unicast Address . Trong loại địa chỉ này lại có rất nhiều kiểu, chúng ta hay xem một số kiểu chính sau đây . a / Local - use unicast address. Địa chỉ đơn hướng dùng nội bô, được sử dụng cho một Tổ chức có mạng máy tính riêng ( dùng nội bô ) chưa nối với mạng Internet toàn cầu hiện tại nhưng sẵn sàng nối được khi cần . Địa chỉ này chia thành hai kiểu Link Local - nhận dạng đường kết nối nội bộ và Site Local - nhận dạng trong phạm vi nội bộ có thể có nhiều nhóm Node - Subnet). */- Mẫu địa chỉ cho Link Local . 128 bit 10 Bit 54 Bit 64 Bit 1111111010 00000 . . . . . 0000 Interface ID Hình vẽ 1. Cấu trúc địa chỉ của Link Local . */- Mẫu địa chỉ cho Site Local 10 Bit 38 Bit 16 Bit 64 Bit 1111111011 00000 . .0 Subnet ID Interface ID Hình vẽ 2: Cấu trúc địa chỉ của Site Local . Các bit đầu tiên (trường hợp này là 10 bit) tương tự như các bit nhận dạng lớp địa chỉ (Class Bit) của IPv4 nhưng ở IPv6 được gọi là Prefix dùng để phân biệt các loại, các kiểu địa chỉ khác nhau trong IPv6 . Trong cả hai trường hợp nêu trên trường Interface ID để nhận dạng thiết bị như Node hay Router nhưng đều sử dụng cùng tên Miền . b / IPX Address: Internework Packet eXchange, trao đổi các gói số liệu giữa các mạng - giao thức cơ bản trong hệ điều hành Novell Netware. Địa chỉ IPX được chuyển sang IPv6 theo dạng sau. Hình vẽ 3: Cấu trúc địa chỉ IPX . c/ IPv6 Address with embedded IPv4. Địa chỉ IPv6 gắn kèm IPv4 . Đây là một cấu trúc quan trọng trong bước chuyển tiếp đổi từ địa chỉ cũ sang địa chỉ mới trên Internet. Có hai kiểu sau . */- Kiểu địa chỉ "IPv4 tương thích với IPv6" . Những Node mang địa chỉ IPv6 sử dụng kiểu địa chỉ này để tải địa chỉ IPv4 ở 32 bit sau như vậy mới kết nối được với các Node mang địa chỉ IPv4 . Hình vẽ 4: Cấu trúc địa chỉ IPv4 tương thích với IPv6 */- Kiểu địa chỉ "IPv4 giả làm IPv6 ". Những Node mang địa chỉ IPv4 sử dụng kiểu địa chỉ này để tương thích với IPv6 có vậy mới kết nối được với các Node mang địa chỉ IPv6 . Hình vẽ 5: Cấu trúc địa chỉ IPv4 giả làm IPv6 Sự khác nhau của hai kiểu địa chỉ này là 16 bit của kiểu thứ nhất giá trị tất cả các bit đều = 0, còn kiểu thứ hai giá trị tất cả các bit đều = 1 (Mã Hexal là FFFF) . d/ Aggregate Global Unicast Address . Địa chỉ đơn hướng trên mạng toàn cầu. Kiểu địa chỉ này được thiết kế để cho cả ISP hiện tại và tương lai, ISP trong tương lai có quy mô lớn hơn, như là các Internet Carrier.Trường hợp này được gọi là các Trung tâm chuyển đổi (Exchanges )trên Internet, cung cấp khả năng truy nhập và dịch vụ Internet cho cả khách hàng (end user) lẫn ISP, hiện tại một số công ty lớn của Mỹ đã có quy mô này . 3 Bit 13 Bit 32Bit 16 Bit 64 Bit FP TLA ID NLA ID SLA ID Interface ID Hình vẽ 6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu. FP: Format Prefix. Nhận dạng kiểu địa chỉ . Interface ID. Nhận dạng Node . SLA ID - Site Level Aggregate. Nhận dạng cấp vùng . NLA ID - Next Level Aggregate. Nhận dạng cấp tiếp theo. TLA ID - Top Level Aggregate. Nhận dạng cấp cao nhất. 2. Anycast Address. Kiểu địa chỉ này cũng tương tự như Unicast, nếu địa chỉ phân cho một Node thì đó là Unicast, cùng địa chỉ đó phân cho nhiều Node thì đó lại là Anycast. Vì địa chỉ Anycast để phân cho một Nhóm Node bao gồm nhiều Node hợp thành (một Subnet). Một gói số liệu gửi tới một địa chỉ Anycast sẽ được chuyển tới một Node (Router) gần nhất trong Subnet mang địa chỉ đó. Hình 7: Cấu trúc địa chỉ Anycast. Địa chỉ đa hướng của IPv6 để nhận dạng một Tập hợp Node nói cách khác một nhóm Node. Từng Node một trong nhóm đều có cùng địa chỉ như nhau. Hình 8 . 8 Bit 4 Bit 4 Bit 112 Bit 11111111 Flgs Scop Group ID Hình 8: Cấu trúc địa chỉ đa hướng 8 bít Prefix đầu tiên để nhận dạng kiểu địa chỉ đa hướng, 4 bit tiếp (Flgs) cho 4 cờ với giá trị . 0 0 T ba bit đầu còn chưa dùng đến nên = 0, còn bit thứ 4 có giá trị T. Nếu T =0 có nghĩa địa chỉ này đã được NIC phân cố định. Nếu T = 1 có nghĩa đây chỉ là địa chỉ tạm thời. Bốn bit tiếp (Scop) có giá trị thập phân từ 0 đến 15, tính theo Hexal là từ 0 đến F Nếu giá trị của Scop = 1 . Cho Node Local . = 2 . Cho Link Local . = 5 . Cho Site Local . = 8 . Organizition Local . = E . Global scop - Điạ chỉ Internet toàn cầu . Còn lại đều đang dự phòng . Ví dụ: Các mạng LAN đang dùng theo chuẩn IEEE 802 MAC (Media Access Control) khi dùng IPv6 kiểu đa hướng sẽ sử dụng 32 bit cuối trong tổng số 112 bit dành cho nhận dạng nhóm Node (Group ID) để tạo ra địa chỉ MAC, 80 bit còn lại chưa dùng tới phải đặt = 0. Hình 9: Cấu trúc địa chỉ MAC của LAN 3. Multicast Address. Địa chỉ Multicast Ipv6 được thiết kế để thực hiện cả các chức năng broadcast và multicast. Do vậy có nhiều dạng địa chỉ multicast Ipv6. Có những dạng địa chỉ multicast mà bất kỳ Node Ipv6 nào cũng phải nhận lưu lượng. Những địa chỉ multicast này phục vụ cho những quy trình hoạt động thiết yếu của Ipv6. Những dạng địa chỉ multicast IPv6 khác sử dụng trong công nghệ truyền gói tin tới nhiều đích cùng lúc, như công nghệ multicast của Ipv4 Mỗi dạng địa chỉ multicast IPv6 đều có phạm vi hoạt động nhất định. Lưu lượng của địa chỉ multicast Ipv6 sẽ được chuyển tới toàn bộ các node trong một phạm vị nào đó hay chỉ chuyển tới nhóm các node trong phạm vi là tùy thuộc vào dạng địa chỉ multicast. Hình 10: Cấu trúc địa chỉ IPv6 multicast Bảng 1: Địa chỉ multicast mọi node Hình 11: Multicast trong phạm vi một đường kết nối Địachỉ IPv6 multicast Têngọi Giátrị Scope Giátrị Group ID Chú thích FF01::2 Địa chỉ multicast mọi router phạm vi node 1 (Xác định phạm vi trong một thiết bị) 2 (Xác định nhóm multicast mọi router) FF02::2 Địa chỉ multicast mọi router phạm vi link 2 (Xác định phạm vi một đường kết nối) 2 (Xác định nhóm multicast mọi router) Xác định mọi router IPv6 trong phạm vi một đường kết nối FF05::2 Địa chỉ multicast mọi router phạm vi site 5 (Xác định phạm vi một mạng) 2 (Xác định nhóm multicast mọi router) Xác định mọi router IPv6 trong phạm vi một mạng Bảng 2: Multicast tới mọi router 4. Các cách viết địa chỉ IPv6 Địa chỉ IPv6 có chiều dài 128 bit, nên vấn đề nhớ địa chỉ là hết sức khó khăn. Nếu viết theo dạng thông thường của địa chỉ IPv4 thì một địa chỉ IPv6 có 16 nhóm số hê cơ số 10. Do vậy, các nhà thiết kế đã chọn cách viết 128 bit địa chỉ thành 8 nhóm, mỗi nhóm chiếm 2 bytes, mỗi bytes biểu diễn bằng 2 số hê 16; mỗi nhóm ngăn cách nhau bởi dấu hai chấm. Ví dụ: FEDL:BA98:7 654:FEDC:BA98:7 654:3210:ABCD Ký hiêu hexa có lợi là gọn gàng và nhìn đẹp hơn. Tuy nhiên cách viết này cũng gây những phức tạp nhất định cho người quản lý hê thống mạng. Nhìn chung, mọi người thường sử dụng theo tên các host thay bằng các địa chỉ (điều này được áp dụng từ IPv4 khi mà địa chỉ còn đơn giản hơn rất nhiều). Một cách để làm cho đơn giản hơn là các qui tắc cho phép viết tắt. Vì khởi điểm ban đầu chúng ta sẽ không sử dụng tất cả 128bit chiều dài địa chỉ do đó sẽ có rất nhiều số 0 (không) ở các bits đầu. Một cải tiến đầu tiên là được phép bỏ qua những số không đứng trước mỗi thành phần hê 16, viết 0 thay vì viết đầy đủ 0000, ví dụ viết 8 thay vì 0008, viết 800 thay vì 0800. Qua cách viết này cho chúng ta những địa chỉ ngắn gọn hơn. Ví dụ: 1080:0:0:0:8:800:200C: 417A. Ngoài ra, xuất hiên một qui tắc rút gọn khác đó là quy ước về viết hai dấu hai chấm (double-colon). Trong một địa chỉ, một nhóm liên tiếp các số 0 có thể được thay thế bởi hai hai dấu chấm. Ví dụ, ta có thể thay thế 3 nhóm số 0 liên tiếp trong ví dụ trước và được một mẫu ngắn hơn. 1080::8:800:200C:417A Từ địa chỉ viết tắt này, ta có thể viết lại địa chỉ chính xác ban đầu nhờ qui tắc sau: Căn trái các số bên trái của dấu 2 chấm kép trong địa chỉ. Sau đó căn phải tất cả các số bên phải dấu 2 chấm và điền đầy bằng các số 0. Ví dụ : FEDC:BA98::7654:3210 có địa chỉ đầy đủ là: FEDC:BA98:0:0:0:0:7654:3210 FEDC:BA98:7654:3210: : có địa chỉ đầy đủ là : FEDC:BA98:7654:3210:0:0:0:0 ::FEDC:BA98:7654:3210 có địa chỉ đầy đủ là: 0:0:0:0:FEDC:BA98:7654:32l0 Quy ước hai dấu chấm kép chỉ có thể được sử dụng một lần với một địa chỉ. Ví dụ 0:0:0:BA98:7654:0:0:0 có thể được viết tắt thành ::BA98:7654:0:0:0 hoặc 0:0:0:0:BA98:7654:: nhưng không thể viết là ::BA98:7654:: vì như thế sẽ gây nhầm lẫn khi dịch ra địa chỉ đầy đủ. Có một số địa chỉ IPv6 có được hình thành bằng cách gắn 96 bit 0 vào địa chỉ IPv4. (Điều này dễ dàng nhận biết được vì không gian địa chỉ IPv4 chỉ là một tập con của tập địa chỉ IPv6). Để giảm nhỏ nguy cơ nhầm lẫn trong chuyển đổi giữa ký hiêu chấm thập phân của IPv4 và hai dấu chấm thập phân của ký hiêu IPv6, các nhà thiết kế IPv6 cũng đã đưa ra một khuôn mẫu đặc biêt cho cách viết những địa chỉ loại này như sau: Thay vì viết theo cách của địa chỉ IPv6 là: 0:0:0:0:0:0:A00:1 ta có thể vẫn để 32 bit cuối theo mẫu chấm thập phân. ::10.0.0.1 Ngoài ra, còn có thể viết địa chỉ mạng theo các tiền tố, là các bit cao của địa chỉ IPv6; Điều này có lợi trong viêc định tuyến: một địa chỉ IPv6 theo sau bởi một dấu chéo và một số hệ 10 mô tả chiều dài các bit tiền tố. Ví dụ ký hiệu: FEDC:BA98:7600::/40 mô tả một tiền tố dài 40 bit giá trị nhị phân tương ứng là: 1111111011100101110101001100001110110 Phương thức gán đia chỉ IPv6 Theo đặc tả của giao thức IPv6, tất cả các loại địa chỉ IPv6 được gán cho các giao diện, không gán cho các nodes (khác với IPv4). Một địa chỉ IPv6 loại Unicast (gọi tắt là địa chỉ Unicast) được gán cho một giao diện đơn. Vì mỗi giao diện thuộc về một node đơn do vậy, mỗi địa chỉ Unicast định danh một giao diện sẽ định danh một node. Một giao diện đơn có thể được gán nhiều loại địa chỉ IPv6 (cho phép cả 3 dạng địa chỉ đồng thời Unicast, anycast, multicast). Nhưng nhất thiết một giao diện phải được gán một địa chỉ IPv6 dạng Unicast link-local. Các nhóm địa chỉ của dạng địa chỉ Unicast sẽ được trình bày ở phần sau. Để thực hiện các kết nối Point - to - point giữa các giao diện người ta thường gán các địa chỉ dạng Unicast link-local cho các giao diện thực hiện kết nối. Đồng thời, IPv6 còn cho phép một địa chỉ unicast hoặc một nhóm địa chỉ unicast sử dụng để định danh một nhóm các giao diện. Với phương thức gán địa chỉ này, một nhóm giao diện đó được hiểu như là một giao diện trong tầng IP. Theo thiết kế của IPv6, một host có thể định danh bởi các địa chỉ sau: Một địa chỉ link-local cho mỗi giao diện gắn với host đó Một địa chỉ Unicast được cung cấp bởi các nhà cung cấp dịch vụ Một địa chỉ loopback Một địa chỉ Multicast, mà host đó là thành viên trong nhóm có địa chỉ Multicast đó. Một router nếu hỗ trợ IPv6 sẽ nhận biết được tất cả các loại địa chỉ mà host chấp nhận kể trên, ngoài ra nó còn có thể được gán các loại địa chỉ như sau: Tất cả các địa chỉ Multicast được gán trên Router Tất cả các địa chỉ Anycast được cấu hình trên Router Tất cả các địa chỉ Multicast của về các nhóm thuộc về router quản lý. B. TÌM HIỂU VỀ IPSec TRONG IPv6 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực. Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. 1. Tổng quan Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn. 2. Kiến trúc IPSec: IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau như mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trên các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu riêng tương ứng: - Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec. - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thực thông tin trong IPSec. - Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng. - Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng. - Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong AH và ESP. - Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec. - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH và ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 3. Cấu trúc bảo mật IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá. Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP. Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB. Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liêu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân. 4. Hiện trạng IPsec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4. Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec. Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis. IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN. IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong giao tiếp. Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode này. Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của no không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này. IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật: 1. Mã hoá quá trình truyền thông tin 2. Đảm bảo tính nguyên ven của dữ liệu 3. Phải được xác thực giữa các giao tiếp 4. Chống quá trình replay trong các phiên bảo mật. 5. Modes – Các mode Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode. Transport Mode (chế độ vận chuyển) - Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP). Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói. - Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway. - Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec 5. Technical details - chi tiết kỹ thuật Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6: IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện trong RFC 4305. a. Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là mô hình của AH header. Các modes thực hiện 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Next header Payload length RESERVED Security parameters index (SPI) Sequence number Authentication data (variable) Ý nghĩa của từng phần: Next header Nhận dạng giao thức trong sử dụng truyền thông tin. Payload length Độ lớn của gói tin AH.      RESERVED Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0).         Security parameters index (SPI) Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.         Sequence number Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks.         Authentication data Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực. b. Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật. Không như AH, header của gói tin IP, bao gồm các option khác. ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51. 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Security parameters index (SPI) Sequence number Payload data (variable) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable) Ý nghĩa của các phần: Security parameters index (SPI) Nhận ra các thông số được tích hợp với địa chỉ IP. Sequence number Tự động tăng có tác dụng chống tấn công kiểu replay attacks.         Payload data Cho dữ liệu truyền đi         Padding Sử dụng vài block mã hoá         Pad length Độ lớn của padding.         Next header Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.         Authentication data Bao gồm dữ liệu để xác thực cho gói tin. 6. Implementations - thực hiện IPsec được thực hiện trong nhân với các trình quản lý các key và quá trình thương lượng bảo mật ISAKMP/IKE từ người dùng. Tuy nhiên một chuẩn giao diện cho quản lý key, nó có thể được điều khiển bởi nhân của IPsec. Bởi vì được cung cấp cho người dùng cuối, IPsec có thể được triển khai trên nhân của Linux. Dự án FreeS/WAN là dự án đầu tiên hoàn thành việc thực hiện IPsec trong mã nguồn mở cụ thể là Linux. Nó bao gồm một nhấn IPsec stack (KLIPS), kết hợp với trình quản lý key là deamon và rất nhiều shell scripts. Dự án FreeS/WAN được bắt đầu vào tháng 3 năm 2004. Openswan và strongSwan đã tiếp tục dự án FreeS/WAN. Dự án KAME cũng hoàn thành việc triển khai sử dụng IPsec cho NetBSB, FreeBSB. Trình quản lý các khoá được gọi là racoon. OpenBSB được tạo ra ISAKMP/IKE, với tên đơn giản là isakmpd (nó cũng được triển khai trên nhiều hệ thống, bao gồm cả hệ thống Linux). Tổng quan về cách thức làm việc của Public Key Infrastructure (PKI). Nếu sử dụng Active Directory của công nghệ Windows NT thì mỗi user khi được tạo ra cũng đi liền với nó có một cặp Key: Public key và Private key. Ngoài ra còn có nhiều ứng dụng để tạo ra cặp khoá này. Cặp key được tạo ra ngẫu nhiên với nhiều chữ số hiển thị. Khi các keys được tạo ra từ nhiều chữ số ngẫu nhiên, sẽ không thể giải mã nếu ra private key nếu biết public key. Nhưng có một số thuật toán có thể tạo ra public key từ private key. Nhưng chỉ có Public key mới được published cho toàn bộ mọi người. Hầu hết các cặp key được tạo ra từ nhiều số và bằng một thuật toán mã hoá nào đó. Một thông tin được mã hoá với public key thì chỉ có thể giải mã bởi private key. Nếu chỉ có public key bạn sẽ không thể giải mã được gói tin. Điều này có nghĩa khi một người gửi thông tin được mã hoá tới một người khác thì chỉ có người nhận mới mở được thông tin đó mà thôi. Những người khác có bắt được toàn bộ thông tin thì cũng không thể giải mã được nếu chỉ có Public key. Một thông tin được mã hoá với private key có thể giải mã với public key. Khi public key đã được public cho toàn bộ mọi người thì ai cũng có thể đọc được thông tin nếu có public key. Để đảm bảo an toàn hơn trong quá trình truyền thông tin: Alice kết hợp Private key của cô ấy với Public key của Bob để tạo ra và chia sẻ bảo mật (share secret). Cũng tương tự như vậy Bob cũng kết hợp Private key của mình với Public key của Alice để tạo ra mọt shared secret. Rồi hai người truyền thông tin cho nhau. Khi Alice truyền thông tin cho Bob bằng Shared Secret được tạo ra, khi Bob nhận được gói tin mã hoá bởi shared secret đó dùng Public key của Alice kết hợp với Private key của mình để mở thông tin. Điều này cũng tương tự khi Bob truyền thông tin và cách Alice giải mã để lấy thông tin. 7. Ưu khuyết điểm của IPSec: a. Ưu điểm: - Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật. - IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai. - IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet. b. Hạn chế: - Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa. - IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác. - Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu. - Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia. C. THỬ NGHIỆM IPV6 VÀ IPSEC TRÊN IPV6 TRÊN MẠNG NỘI BỘ ĐƠN VỊ I. Xây dựng mô hình thử nghiệm Do điều kiện khách quan cơ sở vật chất của đơn vị không đủ điều kiện sử dụng được hệ điều hành Win server ,Win 7… vì thế em xây dựng mô hình thử nghiệm qua hệ thống máy ảo với sự trợ giúp của các phần mềm để tạo được các bài LAP. https://www.virtualbox.org/wiki/Downloads 1. Cấu hình thử nghiệm Chuẩn bị: -1 Server: Windows Server 2008 (domain thuchanhipsec.local),ipv6 -1 client: win 2k8 ,ipv6 -Cài wireshark, Network monitor trên máy Server 2. Không gian mô hình 3. Dải địa chỉ IP thử nghiệm -1 Server: IPv6 address: fc00:192:168:5::25 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 -1 client: IPv6 address: fc00:192:168:5::27 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 II. Cấu hình TCP/IPv6 1. Tại máy Server, vào Run=>ncpa.cpl Hộp thoại Local Area Connection Properties, bỏ dấu chọn Internet Protocol Version 4 (TCP/IPv4), chọn Internet Protocol Version 6 (TCP/IPv6), chọn Properties Trong cửa sổ Internet Protocol Version 6 (TCP/IPv6) Properties, nhập thông số như hình : IPv6 address: fc00:192:168:5::25 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 - Tương tự ta cũng cấu hình địa chỉ IPv6 của client   IPv6 address: fc00:192:168:5::27 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 2. Khi chưa triển khai IPSec Bây giờ từ Client ping thử tới Server  fc00:192:168:5::25 2 máy chưa triển khai IPSec. Trên network monitor của Server. Menu Capture. Nhấn Pause để thấy kết quả khi capture gói tin ICMP (Destination Mac. Source Mac. IP) từ máy nào đến máy nào Tương tự nếu ta gửi gói tin ICMP từ Server qua máy client. Thì khi client capture gói tin dữ liệu cũng không bị mã hóa. (Dữ liệu cũng là 32 bit từ a dến w và a đến i đổi từ con số hexa của gói tin) III. Cấu hình IP Sec + Chúng ta lần lượt cấu hình IP Sec trên máy Server và máy client -Server: Vào Run=> Gõ secpol.msc để vào Local Security Policy + Trong Local Security Policy. Right click vào IP Security Policices on Local Computer chọn Create IP Security Policy . . . + Màn hình Welcome nhấn Next + Hộp thoại IP Security Policy Name. Điền 1 tên bất kỳ. Nhấn Next + Hộp thoại Requests for Secure Communication. Gỡ dấu check Active the default response rule. Nhấn Next + Bỏ dấu check Edit Properties. Nhấn Finish để hoàn tất + Right click vào policy mới tạo. Chọn Assign + Tiếp tục right click vào policy. Chọn Properties + Hộp thoại Properties của policy xuất hiện. Nhấn Add để tạo ra 1 rule mới + Hộp thoại Welcome. Nhấn Next + Hộp thoại Tunnel Endpoint. Để mặc định. This rule does not specify a tunnel. Nhấn Next + Hộp thoại Network Type. Chọn Local area network (Lan). Nhấn Next a + Hộp thoại IP Filter List. chúng ta có thể chọn All IP Traffic (mặc định của IPsec). Chọn Add. Tại đây chúng ta có thể tùy chọn danh sách lọc IP đích,nguồn … Click add,nhấn Next để chọn source address Next để chọn destination address Next để chọn 1 loại giao thức Nhấn Next,ấn finish .Ra bảng IP filter,chọn IP filter list mà ta vừa cấu hình Nhấn Next ra bảng Filter Click chọn Filter Action,nhấn Edit để chỉnh sửa kiểu Security methods,chọn Negotiate security ,sau đó nhấn Edit để chỉnh sửa Chọn Custom,click setting ,tại đây ta có thể chọn các kiểu mã hóa dữ liệu như MD5,SHA1.. Sau đó ta chọn OK 2 lần Tiếp theo làm như hình vẽ, tùy chọn các ô Tạm dịch Accept unsecured communication,but always respond using ipsec(Chấp nhận không có bảo đảm thông tin liên lạc, nhưng luôn luôn đáp ứng bằng cách sử dụng ipsec) Allow fallback to unsecured communication if a secure connection can not be established (Cho phép dự phòng để giao tiếp không có bảo đảm nếu một kết nối an toàn không thể được thiết lập) Use session key perfect forward secrecy (PFS) (Sử dụng khóa an toàn chuyển tiếp cho phiên làm việc) ,Apply,Nhấn Next làm như hình vẽ,Next tiếp Ấn Finish để kết thúc Chọn Apply,OK để kết thúc quá trình cài đặt ,cấu hình Ipsec ** Trên máy Client ta cũng làm tương tự như vậy. Bây giờ ta kiểm tra xem gói tin ICMP gửi đi đã được mã hóa hay chưa ? ---Trường hợp 1: Server cấu hình IPsec, Client không cấu hình IPSec - Trên máy Client thực hiện lệnh ping –t tới Server. Báo không thấy đích đến,do ta đã cấu hình IPsec trên Server Block, negotiate security tất cả traffic từ bên ngoài vào,tắt IPsec trên Client Trên Network monitor Giao thức IKE xuất hiện,IKE xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa. Bật wireshark trên Server ta thấy: ISAKMP(internet secury associaction and key management protocol) việc trao đổi xác thực khóa 2 bên, nếu Client không có khóa sẽ nhận được kết quả như trên ---Trường hợp 2: Server, Client đều cấu hình IPsec Khi đã bật Ipsec trên Client ta thấy kết quả Ping –t tới Server trên Network moniter trên Server ICMPv6 Echo Reply, Echo Request đã được thay thế bằng ESP Nếu ta chọn Block tất cả traffic trong IPSEc thì kết quả như sau: KẾT LUẬN Trong phần trình bày em đã tìm hiểu và tiếp thu được các vấn đề sau: Phần thứ nhất: Về tổng quan Ipv6 Địa chỉ thế hệ mới của Internet - IPv6 (IP address version 6) được Nhóm chuyên trách về kỹ thuật IETF của Hiệp hôi Internet đề xuất thực hiện kế thừa trên cấu trúc và tổ chức của IPv4 . Địa chỉ IPv4 được chia ra 5 lớp A,B,C,D,E còn IPv6 lại được phân ra là 3 loại chính sau . 1/ Unicast Address. Địa chỉ đơn hướng. Là địa chỉ dùng để nhận dạng từng Node một. 2/ Anycast Address. Địa chỉ bất kỳ hướng nào. Là địa chỉ dùng để nhận dạng một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành 3/ Multicast Address. Địa chỉ đa hướng. Là địa chỉ dùng để nhận dạng một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành. 4/ Cách sử dụng địa chỉ IPv6 Phần thứ hai: Tìm hiểu về IPsec trong IPv6 IPsec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4. Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec. IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN. Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của nó không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này. IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật: 1. Mã hoá quá trình truyền thông tin 2. Đảm bảo tính nguyên ven của dữ liệu 3. Phải được xác thực giữa các giao tiếp 4. Chống quá trình replay trong các phiên bảo mật. 5. Modes – Các mode Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6: IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin. Phần thứ ba: Thử nghiệm IPv6 và IPsec trên IPv6 qua mạng mội bộ đơn đơn vị 1. Cấu hình thử nghiệm -1 Server: Windows Server 2008, ipv6 -1 client: win 2k8, ipv6 -Cài wireshark, Network monitor trên máy Server 2. Dải địa chỉ IP thử nghiệm -1 Server: IPv6 address: fc00:192:168:5::25 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 -1 client: IPv6 address: fc00:192:168:5::27 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 Kiểm tra địa chỉ Ipv6 sau khi cấu hình địa chỉ tĩnh Ipv6 cho 2 máy Kiểm tra Ipsec trong khi chưa cấu hình Ipsec Nếu ta gửi gói tin ICMP từ Server qua máy client. Thì khi client capture gói tin dữ liệu cũng không bị mã hóa (ICMPv6 Echo Reply, Echo Request) Cấu hình IPsec Cấu hình IPsec cho cả server và client Trường hợp 1. Cấu hình cho IPsec cho server Khi ping đến địa chỉ của máy client (khi máy client chưa cấu hình Ipsec) Trường hợp 2. Cấu hình cho IPsec cho server và máy client Khi ping đến địa chỉ của máy client Khi đã bật Ipsec trên Client ta thấy kết quả Ping –t tới Server trên Network monitor trên Server ICMPv6 Echo Reply, Echo Request đã được thay thế bằng ESP Nếu ta chọn Block tất cả traffic trong IPSEc thì kết quả như sau: III. Các thông tin, nguyện vọng 1. Các thông tin rút ra được từ thời gian thực tập Được nghiên cứu và tìm hiểu thế hệ địa chỉ Ipv6, Ipsec trong Ipv6, em thấy đây là một đề tài mới thực sự thiết thực trong cuộc sống. Em chân thành cảm ơn thầy giáo hướng dẫn đã có một đề tài nghiên cứu thật sâu sắc về ý nghĩa và tính thực tiễn của đề tài. 2. Nguyện vọng Nếu có đủ điều kiện được làm đồ án tốt nghiệp em muốn tiếp tục nghiên cứu và ứng dụng rộng rãi địa chỉ Ipv6 về vấn đề triển khai địa chỉ Ipv6 trên nền địa chỉ Ipv4, để được nghiên cứu sâu hơn, ứng dụng trong thực tế nhiều hơn. Em xin cảm ơn các thầy, cô, Ban giám đốc Học viện bưu chính viễn thông, Ban giám đốc Viện CNTT và truyền thông CdiT, Phòng NCPT Dịch vụ Bưu chính Viễn thông, Thầy hướng dẫn thực tập Đỗ Đức Huy đã giúp đỡ em hoàn thành khóa thực tập tốt nghiệp./. TÀI LIỆU THAM KHẢO I. Sách tham khảo 1. Giới thiệu về thế hệ địa chỉ Internet mới Ipv6 Nhà xuất bản: Bưu điện Tác giả: Nguyễn Thị Thu Thủy Hoàng Minh Cường Xuất bản: Năm 2006 II. Link 1. 2. 3. 4. 5. 6. https://www.virtualbox.org/wiki/ 7. 8.

Các file đính kèm theo tài liệu này:

  • docipsec_trong_ip_v6_dangtuanlinh__0127.doc