Tìm hiểu giao thức bảo mật ipsec trong ipv6 và ứng dụng

i DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt VPN Virtual Private Network Mạng riêng ảo ACL Access Control List Danh sách quản lí truy cập AH Authentication Head

i

BỘ GIÁO DỤC VÀ ĐÀO TẠO

VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN

TÌM HIỂU GIAO THỨC BẢO MẬT IPSec TRONG

ii

BỘ GIÁO DỤC VÀ ĐÀO TẠO

VIỆN ĐẠI HỌC MỞ HÀ NỘI

iii

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn tốt nghiệp này là công trình nghiên cứu thực sự của cá nhân tôi, được thực hiện dựa trên cơ sở nghiên cứu lí thuyết và khảo sát tình hình thực tiễn dưới sự hướng dẫn khoa học của PGS.TS Nguyễn Văn Tam

Các số liệu, kết quả nêu trong luận văn là hoàn toàn trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Hà Nội, tháng 10 năm 2015

Tác giả luận văn

Trần Vũ Việt Hà

iv

LỜI CẢM ƠN

Đầu tiên, tôi xin bày tỏ sự biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam –Viện Công nghệ thông tin đã tận tình hướng dẫn, chỉ bảo và tạo cho tôi những điều kiện tốt nhất từ khi bắt đầu cho tới khi hoàn thành luận văn của mình

Bên cạnh đó, tôi cũng muốn gửi lời cảm ơn trân trọng nhất tới các thầy cô trong Khoa Đào tạo Sau Đại học, Khoa Công nghệ thông tin – Viện Đại học Mở Hà Nội đã tận tình chỉ dạy, truyền đạt kiến thức, kinh nghiệm trong các khóa học vừa

qua và tận tình giúp đỡ tôi trong việc hoàn thành luận văn tốt nghiệp này

Cuối cùng xin chân thành cảm ơn tất cả những người thân yêu trong gia đình tôi, cảm ơn em Anh Tuấn, Hoàng Xuân – những người đã luôn giúp đỡ, động viên tôi trong công việc và trong cuộc sống

v

MỤC LỤC

LỜI CAM ĐOAN I LỜI CẢM ƠN IV MỤC LỤC V DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT I DANH SÁCH BẢNG BIỂU III DANH MỤC HÌNH VẼ IV

MỞ ĐẦU 1

CHƯƠNG 1 – TỔNG QUAN VỀ IPV6 4

1.1 Những hạn chế của giao thức IPv4 và sự ra đời của IPv6 4

1.2 Các đặc điểm của IPv6 9

1.3 Cấu trúc gói tin IPv6 11

1.4 Cấu trúc địa chỉ IPv6 15

CHƯƠNG 2: TÌM HIỂU GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 25

2.1 Một số vấn đề an ninh mạng 25

2.1.1 Những vấn đề an ninh chung của giao thức IPv4 và giao thức IPv6 25

2.1.2 Những vấn đề an ninh trong IPv6 26

2.2 Kiến trúc IPSec trong giao thức IPv6 29

2.2.1 Tổng quan giao thức IPSec 30

2.2.2 Các giao thức an toàn của IPSec 31

2.2.3 Các liên kết an toàn 35

2.2.4 Xử lí lưu lượng IP 39

2.2.5 Ưu, nhược điểm của IPSec 44

2.3 Một số thuật toán mã mật sử dụng trong IPSec 45

2.3.1 Thuật toán mã hóa khóa đối xứng 46

2.3.2 Thuật toán mã hóa khóa công khai 50

CHƯƠNG 3 ỨNG DỤNG IPSEC TRONG MẠNG RIÊNG ẢO (VPN) 55

3.1 Kiến trúc IPSec VPN 55

3.1.1 Khái niệm mạng riêng ảo VPN (Virtual Private Network) 55

3.1.2 Kiến trúc IPSec VPN 58

3.2 Mạng IPSec VPN thử nghiệm 62

3.2.1 Xây dựng mô hình thử nghiệm 64

3.2.2 Thực thi các kịch bản thử nghiệm IPSec 66

3.2.3 Đánh giá hiệu quả về an toàn bảo mật của IPSec trong IPv6 84

KẾT LUẬN 86

DANH MỤC TÀI LIỆU THAM KHẢO 87

PHỤ LỤC 88

i

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

Viết tắt Tiếng Anh Tiếng Việt

VPN Virtual Private Network Mạng riêng ảo

ACL Access Control List Danh sách quản lí truy cập

AH Authentication Header Giao thức tiêu đề xác thực

DES Data Encryption Standard Thuật toán mã DES

DH Diffie-Hellman Giao thức trao đổi khóa

Diffie-Hellman ESP Encapsulating Security Payload Giao thức đóng gói tải tin an toàn IKE Internet Key Exchange Trao đổi khóa qua Internet

IPv4 Internet Protocol Version 4 Giao thức Internet phiên bản 4 IPv6 Internet Protocol Version 6 Giao thức Internet phiên bản 6 IPSec IP Security Hệ thống các giao thức để bảo

mật quá trình truyền thông tin trên nền tảng IP

ISAKMP Internet Security Association and

Key Management Protocol

Giao thức liên kết an ninh và quản lí khóa qua Internet

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet MD5 Message Digest 5 Thuật toán giản lược bản tin

MD5 RSA Rivest-Shamir-Adleman Một loại giải thuật mật mã bằng

khóa công cộng

SA Security Association Liên kết an ninh

SAD Security Association Database Cơ sở dữ liệu liên kết an toàn SPD Security Policy Databases Cơ sở dữ liệu chính sách an toàn

ii

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

Viết tắt Tiếng Anh Tiếng Việt

SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1

SPI Security Parameter Index Chỉ số thông số an ninh

TCP Transmission Control Protocol Giao thức điều khiển truyền tải UDP User Data Protocol Giao thức dữ liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo

iii

DANH SÁCH BẢNG BIỂU

Bảng 2.2 Tóm tắt giải thuật RSA và độ phức tạp 52 Bảng 2.3 Các bước thực hiện để trao đổi khóa Diffie Hellman 53

iv

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình thực hiện NAT của địa chỉ IPv4 5

Hình 1.2 Lượng IPv4 APNIC đã phân bổ trong khu vực Châu Á – Thái

Hình 1.3 Lượng địa chỉ IPv4 được cấp phát trên toàn cầu 7

Hình 2.3 IP Packet được bảo vệ bởi AH trong Transport Mode 32 Hình 2.4 IP Packet được bảo vệ bởi AH trong Tunnel Mode 33 Hình 2.5 IP Packet được bảo vệ bởi ESP trong Transport Mode 33 Hình 2.6 IP Packet được bảo vệ bởi ESP trong Tunnel Mode 33

Hình 2.9 Cơ chế lặp lại đường hầm trường hợp 1 37 Hình 2.10 Cơ chế lặp lại đường hầm trường hợp 2 38 Hình 2.11 Cơ chế lặp lại đường hầm trường hợp 3 38

Hình 3.7 Mô hình IPSec VPN sử dụng Preshared Key 88 Hình 3.8 Kiểm tra cấu hình các interface trên Router ISP 89 Hình 3.9 Kiểm tra cấu hình các interface trên Router CAUGIAY 90 Hình 3.10 Kiểm tra cấu hình các interface trên Router DONGDA 91 Hình 3.11 Kiểm tra cấu hình Isakmp Policy trên Router CAUGIAY 92 Hình 3.12 Kiểm tra cấu hình Isakmp Policy trên Router DONGDA 93

Hình 3.15 Kiểm tra kết nối giữa 2 LAN ping từ nguồn 192.168.1.1 95 Hình 3.16 Kiểm tra kết nối giữa 2 LAN ping từ nguồn 192.168.2.1 96 Hình 3.17 Kiểm tra cấu hình Crypto map của Router CAUGIAY 96 Hình 3.18 Kiểm tra cấu hình Crypto map của Router DONGDA 97 Hình 3.19 Kiểm tra cấu hình Crypto Isakmp SA của Router CAUGIAY 97 Hình 3.20 Kiểm tra cấu hình Crypto Isakmp SA của Router DONGDA 98 Hình 3.21 Kiểm tra cấu hình Crypto IPSec SA của Router CAUGIAY 1/2 98 Hình 3.22 Kiểm tra cấu hình Crypto IPSec SA của Router CAUGIAY 2/2 99 Hình 3.23 Kiểm tra cấu hình Crypto IPSec SA của Router DONGDA 1/2 99 Hình 3.24 Kiểm tra cấu hình Crypto IPSec SA của Router DONGDA 2/2 100 Hình 3.25 Phần mềm Wireshark bắt gói tin khi ping từ địa chỉ Router 100

Hình 3.27 Mô hình IPSec VPN 2 sử dụng Preshared Key 67

Hình 3.32 Kiểm tra cấu hình Router CAUGIAY 1/2 71 Hình 3.33 Kiểm tra cấu hình Router CAUGIAY 2/2 71

Hình 3.35 Kiểm tra cấu hình Router DONGDA 1/2 73 Hình 3.36 Kiểm tra cấu hình Router DONGDA 2/2 73 Hình 3.37 Cấu hình bước 2,3,4,5,6 cho Router CAUGIAY 75 Hình 3.38 Cấu hình bước 2,3,4,5,6 cho Router DONGDA 77 Hình 3.39 Kiểm tra cấu hình Router CAUGIAY 1/5 78 Hình 3.40 Kiểm tra cấu hình Router CAUGIAY 2/5 78 Hình 3.41 Kiểm tra cấu hình Router CAUGIAY 3/5 79 Hình 3.42 Kiểm tra cấu hình Router CAUGIAY 4/5 79 Hình 3.43 Kiểm tra cấu hình Router CAUGIAY 5/5 80 Hình 3.44 Kiểm tra cấu hình Router DONGDA 1/5 81 Hình 3.45 Kiểm tra cấu hình Router DONGDA 2/5 81 Hình 3.46 Kiểm tra cấu hình Router DONGDA 3/5 82 Hình 3.47 Kiểm tra cấu hình Router DONGDA 4/5 82 Hình 3.48 Kiểm tra cấu hình Router DONGDA 5/5 83 Hình 3.49 Phần mềm Wireshark bắt gói tin khi chưa ping từ địa chỉ 83

và công nghệ thông tin Kết nối mạng đã trở nên nhanh hơn, mạnh hơn hàng ngàn lần thời kỳ ban đầu Trong bối cảnh phát triển của Internet, giao thức IPv4 với 32 bit là phiên bản chuẩn hóa đầu tiên của các giao thức Internet Giao thức này được công bố bởi IETF (Internet Engineering Task Force – Lực lượng chuyên trách về kỹ thuật mạng) trong phiên bản RFC 791 (tháng 09 năm 1981), thay thế cho phiên bản RFC 760 (công bố vào tháng 01 năm 1980) IPv4 vẫn đang là giao thức mạng thống trị hiện nay Cơ chế gán địa chỉ với 32 bit cho phép tạo ra 4,3 tỷ địa chỉ, vốn được cho là thừa cho sự phát triển của Internet Tuy nhiên, nguồn cung địa chỉ Internet IPv4 đã chính thức cạn kiệt vào ngày 03/02/2011, sau hơn 30 năm sử dụng Chính

sự bùng nổ của các loại thiết bị cầm tay có thể kết nối web, cùng với sự tăng trưởng mạnh mẽ của các trang web như Google hay Facebook trong cộng đồng xã hội đã khiến kho IP với hơn 4 tỷ địa chỉ bị tận dụng triệt để Và phiên bản mới IPv6 (Internet Protocol version 6) đã được ứng dụng nhằm cung cấp kho địa chỉ khổng lồ hơn nữa, để đáp ứng những nhu cầu ngày càng tăng cao hiện nay

Mặc dù đã có nhiều cải tiến về bảo mật so với IPv4, tuy nhiên IPv6 vẫn tồn tại nhiều nguy cơ về an ninh Ngoài một số nguy cơ giống như IPv4 (và đã có những giải pháp khắc phục hoàn chỉnh), còn một số những nguy cơ chỉ xuất hiện trên IPv6 và nguy cơ liên quan đến quá trình chuyển đổi giữa IPv4 và IPv6 IPv6 được thiết kế với hi vọng khắc phục những hạn chế vốn có của địa chỉ IPv4 Hiện IPv6 đã được chuẩn hóa từng bước và đưa vào sử dụng thực tế Với nhiều nhà quản

lí công nghệ thông tin, phiên bản giao thức Internet mới dường như vẫn là một vấn

2

đề còn xa Nhưng công nghệ này sẽ xuất hiện trong hạ tầng của các doanh nghiệp trước khi nhiều người kịp nhận ra, đồng thời đặt ra những thách thức bảo mật không

hề nhỏ hơn so với IPv4 Do đó, tôi chọn đề tài “Tìm hiểu giao thức bảo mật IPSec

trong IPv6 và ứng dụng” làm luận văn thạc sĩ của mình

Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu

• Một số vấn đề an ninh mạng có thể xảy ra trong IPv6

• Giao thức bảo mật IPSec

• Hiểu rõ đặc điểm và cấu trúc của IPv6

• Biết được các vấn đề an ninh mạng có thể xảy ra trong IPv6

• Nắm được tổng quan giao thức bảo mật IPSec trong IPv6

• Hiểu các giải pháp ứng dụng IPSec trong việc đảm bảo an toàn dữ liệu trong mạng IPv6

• Nắm được một số thuật toán mật mã sử dụng trong IPSec

• Triển khai thử nghiệm thành công IPSec trong IPv6

Phương pháp nghiên cứu

• Thu thập tài liệu liên quan tới đề tài, từ đó phân tích, đánh giá

• Kiểm chứng các kết quả nghiên cứu lí thuyết bằng thực nghiệm

3

Nội dung chính của luận văn

Luận văn gồm 03 chương chính, mở đầu, kết luận và các danh mục

Ch ương 1 – Tổng quan về Ipv6

Chương này trình bày ra đời, các tính chất đặc trưng, cấu trúc gói tin

và cơ chế đánh địa chỉ của IPv6

Ch ương 2 – Tìm hiểu giao thức bảo mật IPSec trong IPv6

Sau khi trình bày các nguy cơ an ninh đối với IPv6, chương 2 tìm hiểu chi tiết về kiến trúc IPSec bao gồm các giao thức xác thực AH, giao thức mã mật gói tin có hỗ trợ xác thực ESP và giao thức trao đổi khóa IKE Chương này cũng trình bày cơ bản về các thuật toán mã mật sử dụng trong IPSec như

mã hóa khóa đối xứng, mã hóa khóa công khai và hàm băm

Ch ương 3 – Ứng dụng IPSec trong mạng riêng ảo (VPN)

Ứng dụng quan trong nhất của IPSec là xây dựng mạng riêng ảo VPN Chương 3 xây dựng một mô hình mạng VPN thử nghiệm dựa trên IPSec sử dụng các thiết bị của hãng CISCO

4

CHƯƠNG 1 – TỔNG QUAN VỀ IPV6 1.1 Những hạn chế của giao thức IPv4 và sự ra đời của IPv6

Những hạn chế của giao thức IPv4

S ự cạn kiệt địa chỉ IPv4

Dù IPv4 vẫn đang là giao thức mạng thống trị hiện nay Cơ chế gán địa chỉ với 32 bit cho phép tạo ra 4,3 tỷ địa chỉ, vốn được cho là thừa cho sự phát triển của Internet Song, IPv4 ngày nay hầu như không còn đáp ứng được nhu cầu sử dụng của mạng Internet Chính sự bùng nổ của các loại thiết bị cầm tay có thể kết nối web, cùng với sự tăng trưởng mạnh mẽ của các trang web như Google hay Facebook trong cộng đồng xã hội đã khiến kho IP với hơn 4 tỷ địa chỉ bị tận dụng triệt để Tuy đã có những công nghệ góp phần giảm nhu cầu địa chỉ IP như NAT (Network Address Translation – biên dịch địa chỉ mạng), DHCP (Dynamic Host Configuration Protocol – giao thức cấu hình động máy chủ) cấp địa chỉ tạm thời được sử dụng rộng rãi Nhưng nguồn cung địa chỉ Internet IPv4 đã chính thức cạn kiệt vào ngày 03/02/2011, sau hơn 30 năm sử dụng

C ấu trúc định tuyến không hiệu quả

Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp Mỗi

bộ định tuyến (router) phải duy trì băng thông tin định tuyến lớn, đòi hỏi router phải

có dung lượng bộ nhớ lớn hơn IPv4 cũng yêu cầu router phải can thiệp xử lí nhiều đối với gói tin IPV4 Ví dụ: thực hiện phân mảnh, điều này tiêu tốn CPU (Central Processing Unit – Bộ vi xử lí trung tâm) của router và ảnh hưởng đến hiệu quả xử lí (gây trễ, hỏng gói tin) [2, tr 28]

Nh ững hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối

Không cung cấp phương tiện mã hóa dữ liệu, chủ yếu sử dụng bảo mật ở mức ứng dụng Nếu áp dụng IPSec (Internet Protocol Security) là một phương thức bảo mật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối được sử dụng rất hạn chế Mặt khác, để giảm nhu cầu sử dụng địa chỉ, hoạt động mạng IPv4 sử dụng phổ biến công nghệ biên dịch NAT (như đã nói ở trên) Trong đó, máy chủ biên dịch địa chỉ

5

can thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa chỉ riêng (private) có thể kết nối vào mạng Internet Nhưng công nghệ biên dịch NAT lại luôn tồn tại những nhược điểm như:

• Khó thực hiện được kết nối điểm – điểm và gây trễ: làm khó khăn và ảnh

hưởng tới nhiều dạng dịch vụ (mạng riêng ảo – VPN, dịch vụ thời gian thực) Đối với nhiều dạng dịch vụ cần xác thực cổng (port) nguồn/đích, sử dụng NAT là không thể được Trong khi đó, các ứng dụng mới hiện nay, đặc biệt

là các ứng dụng khách – chủ ngày càng đổi hỏi kết nối trực tiếp đầu cuối – đầu cuối

• Việc gói tin không được giữa nguyên tình trạng từ nguồn tới đích, có

những điểm trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồn tại những lỗ hổng về bảo mật [2, tr 28 – 29]

Hình 1.1: Mô hình thực hiện NAT của địa chỉ IPv4

V ấn đề quản lí địa chỉ IPv4

Bên cạnh những hạn chế đã nêu ở trên, mô hình này còn có một hạn chế nữa

đó là sự thất thoát địa chỉ nếu sử dụng các lớp địa chỉ không hiệu quả Mặc dù lượng địa chỉ IPv4 hiện này có thể đáp ứng nhu cầu sử dụng trên thế giới, nhưng cách thức phân bổ địa chỉ IPv4 không thực hiện được điều đó

6

Chẳng hạn, một tổ chức có nhu cầu triển khai mạng với số lượng Host khoảng 300 Để phân địa chỉ IPv4 cho tổ chức này, người ta dùng địa chỉ lớp B Tuy nhiên, địa chỉ lớp B có thể dùng để gán cho 65536 Host Dùng địa chỉ lớp B cho tổ chức này làm thừa hơn 65000 địa chỉ Các tổ chức khác sẽ không thể nào sử dụng khoảng địa chỉ này Đây là điều hết sức lãng phí [1], [3]

Sự ra đời của IPv6

Năm 1973, TCP/IP được giới thiệu và ứng dụng vào mạng ARPANET Vào thời điểm đó, mạng này chỉ có khoảng 250 site kết nối với nhau, với khoảng 750 máy tính Internet đã và đang phát triển với một tốc độ khủng khiếp Năm 2014, cả thế giới chỉ có 2,8 tỷ người dùng Internet, chiếm 39% dân số thế giới (ở mức 7,2 tỷ người) Tới năm 2019, sẽ có 3,9 tỷ người dùng Internet, chiếm 51% dân số - theo dự báo của thế giới là 7,6 tỷ người (theo nguồn: Phòng Dân số, Ban Kinh tế và Các vấn

đề Xã hội của Liên hợp quốc) Cũng theo dự báo Chỉ số tăng trưởng mạng (VNI – Visual Networking Index) hàng năm của Cisco lần thứ 10 vừa được công bố (vào tháng 5 năm 2015) cho thấy, lưu lượng IP hàng năm sẽ tăng gấp ba lần trong giai đoạn từ năm 2014 đến 2019, và sẽ đạt mức kỷ lục là 2 zettabytes Theo dự báo của Cisco, tới năm 2019, lưu lượng IP toàn cầu sẽ đạt mức 168 exabytes, từ mức 59,9 exabytes mỗi tháng vào năm 2014 Tới năm 2019, lượng lưu lượng đi qua các mạng

IP toàn cầu sẽ ngang bằng “toàn bộ lưu lượng Internet trước đây” – từ năm 1984 đến cuối năm 2013 Chính sự phát triển như vũ bão này đòi hỏi kèm theo sự mở rộng, nâng cấp không ngừng nghỉ của cơ sở hạ tầng mạng và công nghệ sử dụng

Hình 1.2: Lượng IPv4 APNIC đã phân bổ trong khu vực Châu Á – Thái Bình Dương

7

Hình 1.3: Lượng địa chỉ IPv4 được cấp phát trên toàn cầu

Như đã biết, IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất là việc không gian địa chỉ IPv4 đang cạn kiệt Điều này dẫn đến tất yếu phải ra đời một thế

hệ địa chỉ mới nhằm giải quyết những nhược điểm, hạn chế của IPv4 Đó chính là lí

do ra đời IPv6 – được biết đến như là một IPng (Internet Protocol Next Generation)

là một phiên bản mới của IP Nó được thiết kế để thay thế cho giao thức cũ IPv4 Quan điểm chính khi thiết kế IPv6 là từng bước thay thế IPv4 mà không tạo ra sự biến động lớn đối với hoạt động của mạng Internet nói chung và của từng dịch vụ trên Internet nói riêng, đảm bảo tính tương thích tuyệt đối với mạng Internet dùng IPv4 hiện tại Những chức năng đã được kiểm nghiệm thành công trong IPv4 được duy trì trong IPv6 Những chức năng không được sử dụng trong IPv4 sẽ bị loại bỏ

và đồng thời triển khai một số chức năng mới liên quan đến địa chỉ, bảo mật trong IPv6

So sánh IPv6 và IPv4

Sự khác nhau đáng kể nhất giữa IPv4 và IPv6 là chiều dài của địa chỉ IP Việc chuyển sang sử dụng IPv6 là do ngày càng thiếu về số địa chỉ IP Giao thức

8

IPv6 này có một không gian địa chỉ lớn hơn so với giao thức IPv4 IPv6 có thể dễ dàng được mở rộng cho các tính năng mới bằng cách thêm vào các tiêu đề mở rộng vào sau tiêu đề của IPv6 Không giống như các lựa chọn của tiêu đề IPv4 chỉ có thể

hỗ trợ 40 byte option, kích thước của tiêu đề mở rộng của IPv6 khống chế bởi kích thước của gói IPv6 Địa chỉ IPv6 có chiều dài gấp bốn lần chiều dài địa chỉ IPv4, gồm 128 bits IPv6 là phiên bản kế thừa của IPv4, thường được biểu diễn ở dạng hexadecimal Tuy nhiên, IPv6 và IPv4 có nhiều điểm khác biệt với nhau được thể hiện trong bảng sau: [4], [6], [9]

Bảng 1.1: So sánh IPv6 và IPv4

Địa chỉ dài 32 bit Địa chỉ dài 128 bit

Không định dạng được luồng dữ liệu

Định dạng được luồng dữ liệu nên hỗ trợ gửi QoS (Quality of Service – Quản lý chất lượng dịch vụ) tốt hơn

Sự phân mảnh được thực hiện tại các

Host gửi và tại router, nên khả năng thực

thi của router chậm

Sự phân mảnh chỉ xảy ra tại Host gửi

Không đòi hỏi kích thước gói lớp liên

kết và phải được tái hợp gói 576 byte

Lớp liên kết hỗ trợ gói 1.280 byte và tái hợp gói 1.500 byte

Header có phần tùy chọn Tất cả dữ liệu tùy chọn được chuyển vào

phần header mở rộn ARP (Address Resolution Protocol –

Giao thức phân giải địa chỉ) sử dụng

frame ARP Request để phân giải địa chỉ

IPv4 thành địa chỉ lớp liên kết

Frame ARP Request được thay thế bởi message Neighbor Solicitation

9

IGMP (Internet Group Management

Protocol – Giao thức quản lý nhóm)

được dùng để quản lí các thành viên của

mạng con cục bộ

IGMP được thay thế bởi message MLD (Multicast Listener Discovery)

ICMP (Internet Control Message Protol

– Giao thức điều khiển thông điệp

Internet) Router Discovery được dùng

để xác định địa chỉ của gateway mặc

định tốt nhất và là tùy chọn

ICMPv4 Router Discovery được thay thế bởi message ICMPv6 Router Discovery và Router Advertisement

Địa chỉ broadcast để gửi lưu lượng đến

tất cả các node

IPv6 không có địa chỉ broadcast, mà địa chỉ multicast đến tất cả các node

Phải cấu hình bằng tay hoặc thông qua

giao thức DHCP cho IPv4

Cấu hình tự động, không đòi hỏi DHCP cho IPv6

Sử dụng các mẫu tin chứa tài nguyên địa

chỉ host trong DNS để ánh xạ tên host

thành địa chỉ IPv4

Sử dụng các mẫu tin AAAA trong DNS

để ánh xạ tên host thành địa chỉ của IPv6

1.2 Các đặc điểm của IPv6

Trong IPv6 giao thức Internet được cải tiến một cách rộng lớn để thích nghi với sự phát triển không biết trước của Internet Định dạng và độ dài của những địa chỉ IP cũng được thay đổi với những gói định dạng Những giao thức liên quan như ICMP cũng được cải tiến Những giao thức khác trong tầng mạng như ARP, RARP (Reverse Address Resolution Protocol – Giao thức phân giải ngược lại địa chỉ), IGMP đã hoặc bị xóa có trong giao thức ICMPv6 Những giao thức tìm đường như RIP, OSPF cũng được cải tiến khả năng thích nghi với những thay đổi này Những chuyên gia truyền thông dự đoán là IPv6 và những giao thức liên quan với nó sẽ nhanh chóng thay thế phiên bản IP hiện thời Thế hệ mới của IP – IPv6 có những ưu điểm như sau:

• Không gian địa chỉ lớn: IPv6 có địa chỉ nguồn và đích dài 128 bit Mặc dù

128 bit có thể tạo hơn 3,4*1038 tổ hợp, không gian địa chỉ của IPv6 được

10

thiết kế dự phòng đủ lớn cho phép phân bổ địa chỉ và mạng con từ trục xương sống Internet đến từng mạng con trong một tổ chức Các địa chỉ hiện đang phân bổ để sử dụng chỉ chiếm một lượng nhỏ mà vẫn còn thừa rất nhiều địa chỉ sẵn sàng cho sử dụng trong tương lai Với không gian địa chỉ lớn này, các kỹ thuật bảo tồn địa chỉ như NAT sẽ không còn cần thiết nữa

• Địa chỉ hóa phân cấp, hạ tầng định tuyến hiệu quả: Các địa chỉ toàn cục

của IPv6 được thiết kế để tạo ra một hạ tầng định tuyến hiệu quả, phân cấp

và có thể tổng quát hóa dựa trên sự phân cấp thường thấy của các nhà cung cấp dịch vụ Internet (ISP) trên thực tế Trên mạng Internet dựa trên IPv6, các router mạng xương sống (backbone) có số mục trong bảng định tuyến nhỏ hơn rất nhiều

• Khuôn dạng header đơn giản hóa: Header của IPv6 được thiết kể để giảm

chi phí đến mức tối thiểu Điều này đạt được bằng cách chuyển các trường không quan trọng và các trường lựa chọn sang các header mở rộng được đặt phía sau của IPv6 header Khuôn dạng header mới của IPv6 tạo ra sự xử lí hiểu quả hơn tại các router

• Tự cấu hình địa chỉ: Để đơn giản cho việc cấu hình các trạm, IPv6 hỗ trợ cả

việc tự cấu hình địa chỉ stateful như khả năng cấu hình với server DHCP (Dynamic Host Configuration Protocol – Giao thức cấu hình Host động DHCP được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng) và tự cấu hình địa chỉ stateless (không có server DHCP) Với tự cấu hình địa chỉ dạng stateless, các trạm trong liên kết tự động cấu hình chúng với địa chỉ IPv6 của liên kết (địa chỉ cục bộ liên kết) và địa chỉ rút ra từ tiền tố được quảng bá bởi router cục bộ Thậm chí nếu không có router, các trạm trên cùng một liên kết có thể tự cấu hình chúng với các địa chỉ cục bộ liên kết và giao tiếp với nhau mà không phải thiết lập cấu hình bằng tay

• Khả năng xác thức, bảo mật an ninh: Tích hợp sẵn trong thiết kế IPv6

giúp triển khai dễ dàng, đảm bảo sự tương tác lẫn nhau giữa các nút mạng

11

Các cơ chế bảo mật được tăng cường, có phần tiêu đề dành cho bảo mật tương ứng với hai kỹ thuật bảo mật trong IPSec là AH và ESP Giao thức IPv6 hỗ trợ toàn bộ các tính năng của IPSec và cho phép sử dụng các thuật toán mã hóa, chứng thực và tính toàn vẹn dữ liệu Đây là một tiêu chuẩn cho

an ninh mạng đồng thời mở rộng khả năng làm việc được với nhau của các loại sản phẩm

• Hỗ trợ tốt hơn về chất lượng dịch vụ QoS: Lưu thông trên mạng được

phân thành các luồng cho phép xử lí mức ưu tiên khác nhau tại các router Phần header của IPv6 được đưa thêm một số trường mới Trường Flow Label trong IPv6 header được dùng để nhận dạng luồng dữ liệu Từ đó, router có thể có những chính sách khác nhau với các gói tin có luồng dữ liệu khác nhau Do trường Flow Label nằm trong IPv6 header nên QoS vẫn được đảm bảo khi phần tải trọng có mã hóa bởi IPSec

• Hỗ trợ tốt hơn tính năng di động: Khả năng di động MobileIP tận dụng

được các ưu điểm của IPv6 so với IPv4

• Giao thức mới cho thông tin giữa các host liền kề: Giao thức khám phá

node liền kề (Neighbor Discovery) của IPv6 bao gồm hàng loạt các message điều khiển dạng ICMPv6 nhằm điều khiển sự tương tác giữa các node trong cùng một mạng kết nối Giao thức này thay thế cho các bản tin phát quảng bá phân giải địa chỉ ARP, bản tin tìm kiếm ICMP Router Discovery, ICMP Redirect của IPv4 bằng các bản tin unicast và multicast Neighbor Discovery

• Khả năng mở rộng: Thiết kế của IPv6 có dự phòng cho sự phát triển trong

tương lai đồng thời dễ dàng mở rộng khi có nhu cầu IPv6 có khả năng mở rộng tốt bằng việc sử dụng phần header mở rộng ngay sau phần IPv6 header Không giống như IPv4, phần lựa chọ chỉ có 40 byte đối với IPv6 thì phần header mở rộng chỉ bị hạn chế bởi kích thước gói tin IPv6 [1], [2], [5], [6]

1.3 Cấu trúc gói tin IPv6

Cấu trúc gói tin IPv6 gồm 3 phần: IPv6 Header, Extension Headers và Upper Layer Protocol Data Unit

12

Hình 1.4: Cấu trúc gói tin IPv6

Mào đầu cơ bản IPv6 Header - Đây là thành phần luôn phải có trong 1 gói tin

IPv6 và chiếm cố định 40 bytes

Các mào đầu mở rộng Extension Headers - Trường Header mở rộng có thể có

hoặc không với độ dài không cố định Trường Next Header trong Header của 1 gói tin IPv6 sẽ chỉ ra phần Header mở rộng tiếp theo

Upper Layer Protocol Data Unit (PDU) - Thường bao gồm header của giao thức

tầng cao và độ dài của nó

Payload hay còn gọi là tải dữ liệu của 1 gói tin IPv6 thường là sự kết hợp của các

header mở rộng và PDU Thông thường nó có thể lên tới 65.535 byte Với các gói tin nặng hơn 65.535 byte thì có thể dùng tùy chọn Jumbo Payload để gửi thông qua phương thức Hop-by-Hop

Các trường cơ bản trong IPv6 Header:

• Version: Trường chứa 4 bit 0110 ứng với số 6 chỉ phiên bản của IP

• Traffic Class: Trường 8 bit tương ứng với trường Type of Service (ToS)

trong IPv4 Trường này được sử dụng để biểu diễn mức ưu tiên của gói tin,

ví dụ có nên được truyền với tốc độ nhanh hay thông thường, cho phép thiết

bị có thể xử lí gói một cách tương ứng

• Flow Label: Trường hoàn toàn mới trong IPv6, có 20 bit chiều dài Trường

này biểu diễn luồng cho gói tin và được sử dụng trong các kỹ thuật chuyển mạch đa lớp (multilayer switching), nhờ đó các gói tin được chuyển mạch nhanh hơn trước Bằng cách sử dụng trường này, nơi gửi gói tin hoặc thiết bị hiện thời có thể xác định một chuỗi các gói tin thành 1 dòng, và yêu cầu dịch

vụ cụ thể cho dòng đó Ngay cả trong IPv4, một số các thiết bị giao tiếp cũng

13

được trang bị khả năng nhận dạng dòng lưu lượng và gắn mức ưu tiên nhất định cho mỗi dòng Tuy nhiên, những thiết bị này không những kiểm tra thông tin tầng IP ví dụ địa chỉ nơi gửi và nơi nhận, mà còn phải kiểm tra cả

số port là thông tin thuộc về tầng cao hơn Trường Flow Label trong IPv6 cố gắng đặt tất cả những thông tin cần thiết vào cùng nhau và cung cấp chúng tại tầng IP

• Payload Length: Trường 16 bit Tương tự trường Toal Length trong IPv4,

xác định tổng kích thước của gói tin IPv6 (không chứa header)

• Next Header: Trường 8 bit Trường này sẽ xác định xem extension header

có tồn tại hay không, nếu không được sử dụng, header cơ bản chứa mọi thông tin tầng IP Nó sẽ được theo sau bởi header của tầng cao hơn, tức là header của TCP hay UDP, và trường Next Header chỉ ra loại header nào sẽ theo sau

• Hop Limit: Trường 8 bit, trường này tương tự trường Time to live của IPv4

Nó có tác dụng chỉ ra số hop tối đa mà gói tin IP được đi qua Qua mỗi hop hay router, giá trị của trường sẽ giảm đi 1

• Source Address: Trường này gồm 16 octet (hay 128 bit), định danh địa chỉ

nguồn của gói tin

• Destination Address: Trường này gồm 16 octet (hay 128 bit), định danh địa

chỉ đích của gói tin

Hình 1.5: Cấu trúc các trường của IPv6 Header

14

Ngoài ra IPv6 Header còn có thêm Extension Headers, là phần Header mở rộng IPv6 ứng dụng một hệ thống tách biệt các dịch vụ gia tăng khỏi các dịch vụ cơ bản và đặt chúng trong header mở rộng (extension header), có thể phân loại các header mở rộng theo chức năng của chúng Làm như vậy thì sẽ giảm tải nhiều cho router, và thiết lập nên được một hệ thống cho phép bổ sung một cách linh động các chức năng

Extension Headers bao gồm 6 loại, khi sử dụng cùng lúc nhiều extension header, thường có một khuyến nghị là đặt chúng theo thứ tự sau: Hop-by-Hop Options, Destination Options, Routing, Fragment, Authentication and Encapsulating Security Payload, Upper-layer

• Hop-by-Hop options header: Header này xác định một chu trình mà cần

được thực hiện mỗi lần gói tin đi qua một router

• Destination Options header: Header này được sử dụng nếu có Routing

Header Để xác định chu trình cần thiết phải xử lí bởi node đích Có thể xác định tại đây bất cứ chu trình nào Thông thường chỉ có những node đích xử lí header mở rộng của IPv6 Như vậy thì các header mở rộng khác ví dụ Fragment header có thể cũng được gọi là Destination Option header Tuy nhiên, Destination Option header khác với các header khác ở chỗ nó có thể xác định nhiều dạng xử lí khác nhau Mobile IP thường sử dụng Header này

• Routing header: Routing header được sử dụng để xác định đường dẫn định

tuyến Ví dụ, có thể xác định nhà cung cấp dịch vụ nào sẽ được sử dụng, và

sự thi hành bảo mật cho những mục đích cụ thể Node nguồn sử dụng Routing header để liệt kê địa chỉ của các router mà gói tin phải đi qua Các địa chỉ trong liệt kê này được sử dụng như địa chỉ đích của gói tin IPv6 theo thứ tự được liệt kê và gói tin sẽ được gửi từ router này đến router khác tương ứng

• Fragment header: Fragment header được sử dụng khi nguồn gửi gói tin

IPv6 gửi đi gói tin lớn hơn Path MTU, để chỉ xem làm thế nào khôi phục lại được gói tin từ các phân mảnh của nó MTU (Maximum Transmission Unit)

15

là kích thước của gói tin lớn nhất có thể gửi qua một đường dẫn cụ thể nào

đó Trong môi trường mạng như Internet, băng thông hẹp giữa nguồn và đích gây ra vấn đề nghiêm trọng Nếu cố gắng gửi một gói tin lớn qua một đường dẫn hẹp sẽ làm quá tải Trong địa chỉ IPv4, mỗi router trên đường dẫn có thể tiến hành phân mảnh (chia) gói tin theo giá trị của MTU đặt cho mỗi interface Tuy nhiên, chu trình này áp đặt một gánh nặng lên router Bởi vậy trong địa chỉ IPv6, router không thực hiện phân mảnh gói tin (các trường liên quan đến phân mảnh trong header IPv4 đều được bỏ đi)

• Authentication and Encapsulating Security Payload header:

Authentication header và ESP header được sử dụng trong IPSec để xác thực, đảm bảo tính toàn vẹn và tính bảo mật của 1 gói tin, được sử dụng để xác định những thông tin liên quan đến mã hoá dữ liệu

• Upper-layer header: Trường này được xem là header quy định trường ở

trên tầng IP, xác định cách thức dịch chuyển gói tin Có 2 giao thức dịch chuyển chính là TCP (giá trị = 6) và UDP (giá trị = 17)

1.4 Cấu trúc địa chỉ IPv6

Không gian địa chỉ

• Địa chỉ IPv6 với 128 bit được chia thành các miền phân cấp theo trật tự trên Internet Nó tạo ra nhiều mức phân cấp và linh hoạt trong địa chỉ hóa và định tuyến hiện không có trong IPv4

• Không gian địa chỉ IPv6 được chia trên cơ sở các bit đầu trong địa chỉ Trường có độ dài thay đổi bao gồm các bit đầu tiên trong địa chỉ gọi là Tiền

tố định dạng FP (Format Prefix)

• Ban đầu mới chỉ có 15% lượng địa chỉ được sử dụng, 85% còn lại để dùng trong tương lai Cơ chế phân bổ địa chỉ như sau:

Dự phòng cho địa chỉ NSAP 0000 001 1/128

Dự phòng cho địa chỉ IPX 0000 010 1/128

17

Cú pháp của địa chỉ

Địa chỉ IPv6 dài 128 bit chia thành 16 octet Khi viết, mỗi nhóm 4 octet (16 bit) được biểu diễn thành một số nguyên không dấu, mỗi số được viết dạng hệ 16 và phân tách bởi dấu hai chấm (::)

Ví dụ FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

Với sự phức tạp của địa chỉ IPv6, người dùng sẽ khó khăn trong việc viết và nhớ chúng Do vậy, việc sử dụng tên miền sẽ được đẩy mạnh và các địa chỉ sẽ chỉ được sử dụng trong các giao thức mạng và định tuyến

Trên thực tế, các địa chỉ IPv6 thường có nhiều chữ số 0 trong một địa chỉ, ví

dụ 1080:0000:0000:0000:0008:0800:200C:417A Do đó, cơ chế nén địa chỉ được dùng để biểu diễn dễ dàng hơn các loại địa chỉ dạng này Ta không cần viết các số 0

ở đầu mỗi nhóm, ví dụ 0 thay cho 0000, 20 thay cho 0020 Địa chỉ trong ví dụ trên

sẽ trở thành 1080:0:0:0:8:800:200C:417A

Hơn nữa, ta có thể sử dụng ký hiệu :: để chỉ một chuỗi số 0 Địa chỉ trên sẽ trở thành 1080::8:800:200C:417A Tuy nhiên ký hiệu trên chỉ được sử dụng một lần trong một địa chỉ Do địa chỉ IPv6 có độ dài cố định, ta có thể tính được số các bit 0

mà ký hiệu đó biểu diễn Ta có thể áp dụng ở đầu, ở giữa hay ở cuối địa chỉ

Cách viết này đặc biệt có lợi khi biểu diễn các địa chỉ multicast, loopback hay các địa chỉ chưa chỉ định

Tiền tố địa chỉ IPv6 được biểu diễn theo ký pháp CIDR (Classless Domain Routing – Lược đồ địa chỉ) như IPv4 như sau: IPv6-address/prefix length

Inter-18

trong đó, IPv6-address là bất kỳ kiểu biểu diễn địa chỉ nào còn prefix length là độ dài tiền tố theo bit

Ví dụ: biểu diễn mạng con có tiền tố 80 bit: 1080:0:0:0:8::/80

• Địa chỉ nút mạng và tiền tố của nó, ví dụ:

• node address: 12AB:0:0:CD30:123:4567:89AB:CDEF

• prefix: 12AB:0:0:CD30::/60

• có thể viết tắt thành 12AB:0:0:CD30:123:4567:89AB:CDEF/60

Các loại địa chỉ IPv6

Các địa chỉ IPv6 được gán cho các giao diện hoặc một tập các giao diện mạng Có 3 loại địa chỉ:

• Unicast: Địa chỉ cho một giao diện đơn Một gói tin có địa chỉ đích

loại này sẽ chỉ được chuyển đến giao diện định danh bởi địa chỉ đó

• Anycast: Địa chỉ cho một tập các giao diện thường thuộc về các nút

mạng khác nhau Một gói tin chuyển tiếp tới một địa chỉ loại này sẽ chỉ được chuyển đến một giao diện thuộc tập đó (gần nhất so với nút nguồn theo độ đo của giao thức định tuyến)

• Multicast: Địa chỉ một tập các giao diện thường thuộc về các nút

mạng khác nhau Một gói tin chuyển tiếp đến một địa chỉ loại này sẽ được chuyển đến tất cả các giao diện thuộc tập đó

Trong IPv6, xuất hiện loại địa chỉ anycast và không có loại địa chỉ broadcast Các chức năng liên quan đến loại địa chỉ broadcast được thực hiện một cách hiệu quả với loại địa chỉ multicast

Mô hình địa chỉ

Các địa chỉ được gán cho các giao diện chứ không phải các nút mạng Một nút mạng có thể được định danh bởi bất kỳ địa chỉ unicast của giao diện nào thuộc

nó Một địa chỉ IPv6 unicast tương ứng với một giao diện đơn Một giao diện đơn

có thể có nhiều địa chỉ cùng loại hoặc khác loại Mô hình này có 2 ngoại lệ:

Một địa chỉ IPv6 có thể được gán cho một nhóm giao diện thuộc về một nút mạng nếu IPv6 coi cả nhóm này như một giao diện đơn khi chuyển gói tin xuống

IPv6 giả thiết một mạng con đi kèm với một liên kết (hay một kênh truyền thông) Nhiều mạng con có thể gắn vào cùng một liên kết song một mạng con không thể gắn với nhiều liên kết

Hiện nay, IANA đã uỷ nhiệm cho 5 tổ chức đại diện vùng cấp phát địa chỉ:

• RIPE-NCC: tại Châu Âu;

• INTERNIC: tại Bắc Mỹ;

• APNIC: tại Châu Á Thái Bình Dương;

• LACNIC: tại Châu Mĩ La Tinh và vùng Caribe;

• AFRINIC: tại Châu Phi

20

Địa chỉ unicast

Các địa chỉ unicast là các địa chỉ liên tục, có thể áp mặt nạ tương tự các địa chỉ IPv4 với khả năng định tuyến liên miền không theo lớp (CIDR) Có nhiều loại địa chỉ unicast khác nhau:

Địa chỉ unicast toàn cục có thể tích hợp:

• Địa chỉ dựa trên vị trí địa lí;

• Địa chỉ quay vòng loopback;

Các nút mạng IPv6 có thể có rất ít hiểu biết về cấu trúc bên trong của địa chỉ IPv6 Đơn giản nhất, nút mạng coi địa chỉ là một chuỗi 128 bit Một nút mạng phức tạp hơn có thể chia địa chỉ thành 2 phần với tiền tố xác định mạng con Các router hiểu rõ về địa chỉ hơn và các đường biên khác Sự phức tạp của router phụ thuộc vào vị trí của nó trong phân cấp định tuyến

Ví dụ về địa chỉ unicast trên mạng LAN cho phép định danh một nút trên mạng con dựa trên địa chỉ MAC 48 bit của nó Hiện nay, địa chỉ MAC vẫn có độ dài 48 bit song chuẩn EUI-64 đã chuẩn bị cho việc sử dụng địa chỉ MAC 64 bit trong tương lai

Subscriber ID xác định tập các địa chỉ được cấp cho một tổ chức nhất định Subnet ID dùng để chia tập địa chỉ này thành các mạng con (tiền tố 64 bit) Địa chỉ MAC 48 bit được mở rộng thành 64 bit sử dụng quy tắc EUI-64 và được dùng để xác định giao diện cụ thể trong mạng con đó Việc sử dụng địa chỉ MAC cho phép

tự cấu hình đơn giản: Giao diện có thể nhận được 64 bit đầu từ các router trong mạng và tự cấu hình địa chỉ bằng 64 bit rút ra từ địa chỉ MAC Trong trường hợp giao diện không có địa chỉ MAC, các hình thức địa chỉ khác tại tầng Liên kết dữ

Khi một nút mạng chuyển một gói dữ liệu, nó phải kiểm tra xem địa chỉ đích

có đến được qua các giao diện hay nút đích có kết nối đến một trong các liên kết của nó Khi đó, việc xác định tiền tố mạng con là rất quan trọng và được xác định theo công thức:

n = 128-length(interface address) Các địa chỉ unicast toàn cục có thể tích hợp

Loại địa chỉ này có tiền tố định dạng FP=001 Khuôn dạng địa chỉ như sau:

Hình 1.6: Địa chỉ Unicast

Trong đó:

• TLA ID (Top-Level Aggregation Identifier): Trường Định danh

tích hợp mức đỉnh được cấp cho các tổ chức cấp phát địa chỉ chung Hiện nay, IANA đã cấp cho 5 tổ chức như đã trình bày ở trên;

• Res: Dự phòng để mở rộng hai trường bên cạnh trong tương lai;

• NLA ID (Next-Level Aggregation Identifier): Trường định danh

tích hợp mức tiếp theo được cấp phát bởi các tổ chức có TLA ID cho các ISP (Internet Service Provider - Nhà cung cấp dịch vụ Internet)

để tạo ra cơ chế địa chỉ phân cấp;

• SLA ID (Site-Level Aggregation Identifier): Trường định danh tích

hợp mức site được cấp cho các khách hàng thường bao gồm định danh mạng con;

Sự phân cấp trong cấp phát địa chỉ unicast thể hiện như sau:

cả các router kết nối vào mạng con hoặc tất cả các router biên giới với các miền khác

Có 2 chú ý khi sử dụng địa chỉ anycast:

• Các địa chỉ anycast không được dùng làm địa chỉ nguồn cho các gói tin IPv6;

• Các địa chỉ anycast không được gán cho các trạm mà chỉ dùng để định danh các router;

Cho đến nay, địa chỉ anycast duy nhất được định nghĩa là địa chỉ anycast của router mạng con Nó được dùng để định danh một tập các router kết nối vào một liên kết Một gói tin chuyển tiếp đến địa chỉ anycast này sẽ được xử lí bởi một trong các router trong liên kết đó

Hình 1.8: Địa chỉ Anycast

23

Các router phải nhận các gói tin chuyển đến địa chỉ anycast này trên tất cả các mạng con mà nó có giao diện Địa chỉ này có ích khi giải quyết các vấn đề gặp trong IPv4 như thiết lập cửa gateway mặc định cho tất cả các trạm và khi một trạm

di động muốn giao tiếp với một trong các router trên mạng gốc của nó

• Trường Flags: Chỉ ra các cờ hiệu của địa chỉ Truờng này có kích

thước 4 bit trong đó chỉ có bit thấp nhất đã được định nghĩa (bit T);

• T=0: Địa chỉ được gán vĩnh viễn bởi tổ chức IANA;

• T=1: Địa chỉ tạm thời;

• Trường Scope: Chỉ ra phạm vi của gói tin trong liên mạng IPv6

Trường này có kích thước 4 bit;

Các giá trị đã được định nghĩa:

Bảng 1.3: Ý nghĩa các bit trường Scope

cả các nút trong phạm vi nút mạng cục bộ liên kết, các địa chỉ sau được sử dụng:

• FF01::1: Địa chỉ multicast các nút phạm vi nút mạng;

• FF02::1: Địa chỉ multicast các nút phạm vi cục bộ liên kết

Để định danh tất cả các router cho phạm vi nút mạng, cục bộ liên kết và cục

bộ site, các địa chỉ sau được sử dụng:

• FF01::2: Địa chỉ multicast các router phạm vi nút mạng;

• FF02::2: Địa chỉ multicast các router phạm vi cục bộ liên kết;

• FF05::2: Địa chỉ multicast các router phạm vi cục bộ site;

Với 112 bit, có thể tạo ra 2112 Group ID Tuy nhiên, do cách ánh xạ các địa chỉ multicast IPv6 sang địa chỉ multicast MAC, các giá trị Group ID được khuyến nghị tạo ra từ 32 bit thấp và đặt các bit còn lại trong trường này bằng 0 Bằng cách này, mỗi địa chỉ multicast sẽ được ánh xạ thành một địa chỉ multicast MAC duy nhất [5], [6]

Tóm tắt chương

Chương 1 đã trình bày một số vấn đề cơ bản về IPv6 như đặc điểm, các trường trong gói tin IPv6, đăc biệt là cơ chế đánh địa chỉ cho các loại địa chỉ unicast, anycast và multicast IPv6 ra đời đã khắc phục được một số nhược điểm của IPv4, nhưng vấn đề an ninh mạng IPv6 vẫn còn nhiều thách thức cần giải quyết Chương tiếp theo sẽ trình bày về giải pháp IPSec, một trong các giải pháp đang được ứng dụng rộng rãi để bảo vệ thông tin truyền thông trong mạng IPv6

25

CHƯƠNG 2: TÌM HIỂU GIAO THỨC BẢO MẬT IPSEC

TRONG IPV6 2.1 Một số vấn đề an ninh mạng

Mạng Internet – mạng toàn cầu kết nối các máy tính cung cấp các dịch vụ như www, email, tìm kiếm thông tin, … là nền tảng cho dịch vụ điện tử đang ngày càng phát triển nhanh chóng hiện nay Internet đã và đang trở thành một phần không thể thiếu được trong cuộc sống hằng ngày Và cùng với nó là những nguy cơ

mà mạng Internet mang lại

Theo thống kê của CERT®/CC (Computer Emegency Response Team/ Coordination Center) thì số vụ tấn công an ninh mạng và thăm dò ngày một tăng

Theo báo cáo khảo sát an ninh mạng năm 2014 trên 257 doanh nghiệp lớn của ZDNet ở Mỹ, thì các doanh nghiệp này phải đương đầu với 429 vụ tấn công mạng, trung bình mỗi tuần, tỉ lệ tấn công thành công của hacker vào một công ty khoảng 1,7 vụ Mỗi năm, thiệt hại trung bình của 257 doanh nghiệp tham gia khảo sát là 7,6 triệu USD, mức thiệt hại của mỗi doanh nghiệp dao động từ 500.000 USD đến 61 triệu USD, tăng 10% so với số liệu của thống kê năm trước

Tại Việt Nam, vào tháng 10 và 11 năm 2014, hàng loạt website các trang tin

và báo điện tử gồm Dantri.com.vn, Giadinh.net.vn, VCCorp.vn, GameK.vn Theo điều tra của các chuyên gia an ninh mạng cùng C50 – Bộ Công an, vụ tấn công vào VCCorp, mã độc tấn công trong vụ việc này được viết ra bởi những nhóm hacker rất chuyên nghiệp và nguy hiểm

Các cuộc tấn công mạng hiện nay đều có chủ đích và gây ra những thiệt hại

vô cùng to lớn Chính vì vậy, an ninh mạng đang là vấn đề nóng và cấp thiết

2.1.1 Những vấn đề an ninh chung của giao thức IPv4 và giao thức IPv6

Trong cấu trúc thiết kế của địa chỉ IPv4 không có giao thức bảo mật nào đi kèm Giao thức IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu Kết quả là hiện nay, bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền tải giữa các host Nếu áp dụng IPSec là một phương thức bảo mật phổ

do cơ chế chuyển tiếp

2.1.2 Những vấn đề an ninh trong IPv6

Tấn công do thám

Việc tăng số bit địa chỉ từ 32 bit của IPv4 lên 128 bit của IPv6 không chỉ góp phần bài toán địa chỉ IPv4 đã được sử dụng hết mà còn là một giải pháp an ninh Như ta đã biết quét cổng (Port Scanning) là một trong những phương pháp rà quét được biết đến rộng rãi nhất hiện nay Thông thường những lỗ hổng bảo mật đã biết

có liên quan đến các ports hoặc dịch vụ và quét cổng cho ta biết port nào đang mở

và dịch vụ nào đang chạy Với độ dài Subnet mặc định trong IPv6 là 64 bits tương đương 264 địa chỉ thì việc quét đầy đủ tất cả địa chỉ trong một dải là không khả thi Giả sử nếu tốc độ quét là 1.000.000 địa chỉ/giây thì phải mất hơn 500.000 năm để quét Đó thực sự là điều không tưởng đối với kẻ tấn công muốn thu thập thông tin nếu sử dụng phương pháp quét cổng Ngoài ra, công cụ quét cổng thường được sử dụng là Nmap (một công cụ bảo mật được phát triển bởi Floydor) hiện tại vẫn chưa

hỗ trợ việc quét mạng IPv6 Tuy nhiên, không có sự khác biệt về mặt kỹ thuật quét cổng trong hai giao thức IPv4 và IPv6, ngoại trừ một không gian địa chỉ cần quét quá lớn trong IPv6; cho nên các biện pháp phòng chống quét cổng trong IPv4 như

sử dụng ACL (Access Control List – Danh sách điều khiển truy cập) trên Router biên hay tắt các dịch vụ không cần thiết trên Firewall vẫn được khuyến nghị áp dụng đối với IPv6

• Hỗ trợ đọc IPv6 header

• Hỗ trợ việc chuyển đổi giữa IPv4 và IPv6

• Không phá vỡ tính bảo mật của IPv4

Phương thức này giúp vấn đề bảo mật mạnh mẽ hơn – chính sách định tuyến

và bảo mật tại cùng một vị trí – rất phổ biến trong các router SOHO (Small Office/Home Office) Hệ thống này sẽ xử lí các chức năng của cả router và firewall

Nguy cơ phân mảnh và xử lý Header (Fragmentation and header handling)

Một kẻ tấn công có thể thực hiện giả mạo header trên header mở rộng để tiến hành tấn công Hắn có thể tạo ra một gói tin IPv6 có số lượng header mở rộng không giới hạn liên kết với nhau trong một danh sách lớn Việc kết nối hàng loạt header mở rộng với nhau giúp kẻ tấn công có thể tránh được Firewall và IPS (Instrution Prevention Systems – Hệ thống chống xâm nhập)

Trong IPv6, việc phân mảnh không bao giờ được thực hiện bởi các router trung gian mà chỉ các thiết bị đầu cuối mới có thể tạo và tập hợp các phân mảnh lại Quá trình này có thể bị kẻ tấn công lợi dụng để che giấu cuộc tấn công của chúng hoặc để tấn công một node mạng bất kỳ Bằng việc chia cuộc tấn công vào nhiều bản tin phân mảnh nhỏ, kẻ tấn công có thể vượt qua được các bộ lọc hay các bộ phát hiện xâm nhập Một số công cụ điển hình mà các hacker hay sử dụng là: Whisker, Fragrouter, Teardrop và Bonk

Khuếch đại bản tin Ampli

28

Trong IPv6 không có địa chỉ broadcast vì vậy sẽ ngăn chặn được kiểu tấn công khuếch đại Smurf attack khi kẻ tấn công gửi gói tin ICMP đến địa chỉ broadcast của thiết bị Người ta định nghĩa các địa chỉ multicast dành cho một nhóm các thiết bị cụ thể như link-local address, site-local address, all site-local router, … tương ứng với việc tạo ra giao thức ICMPv6 để phản hồi các gói tin multicast đó

Việc định nghĩa các bản tin multicast chỉ làm giảm bớt thiệt hại của vụ tấn công bởi vì kiểu tấn công giả mạo địa chỉ nguồn thành multicast vẫn gây lên hậu quả nghiêm trọng

Vấn đề an ninh do cơ chế chuyển tiếp

Quá trình chuyển đổi hoàn toàn IPv4 sang IPv6 được dự báo là cần trong khoảng thời gian dài Trong khoảng thời gian giao thời đó đỏi hỏi các công nghệ chuyển đổi từ IPv4 sang IPv6 và ngược lại, tiêu biểu là đường hầm (tunneling) hoặc chạy đồng thời (dual-stack) Vì vậy đối với người thiết kế và quản trị mạng, việc hiểu các tác động an ninh của các cơ chế chuyển đổi để áp dụng vào các thiết bị bảo mật như Firewall và IDS (Intrustion Detection System – Hệ thống phát hiện xâm nhập) là vô cùng quan trọng Dual-stack chạy đồng thời cả IPv4 và IPv6, vì vậy kẻ tấn công có thể sử dụng cả IPv4 và IPv6 để tấn công do đó Firewall và IDS phải hỗ trợ cả IPv4 lẫn IPv6 và phải có các quy tắc lọc và phát hiện đối với cả hai giao thức Đối với tunneling, gói tin IPv6 được đóng gói trong IPv4 và truyền đi Công nghệ tunneling cũng làm phát sinh những nguy cơ mới, kẻ xâm nhập có thể tránh các bước kiểm tra của hệ thống firewall vì firewall không thể kiểm tra hai giao thức trong cùng một thời điểm Có hai phương pháp tunneling được kể đến là 6to4 tunneling và Teredo tunneling Nếu phương pháp tunneling được sử dụng thì tất cả các thiết bị nhận phải được phép mở gói tin (decapsulation) Do đó, địa chỉ IPv4 hoặc IPv6 có thể bị giả mạo, tiềm ẩn nguy cơ bị tấn công DoS (Denial of Service)

mà đối tượng là IPv6 node, IPv4 node hoặc cả hai

Giao thức IPv6 cũng không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer):