An toàn giao thức mạng

• Định danh cho các giao diện mạng • Hỗ trợ định tuyến • Đã được sử dụng rộng rãi phổ biến trên toàn thế giới  Hạn chế • Cấu trúc định tuyến không hiệu quả • Không gian địa chỉ hạn chế

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO THẢO LUẬN

ĐỀ TÀI: TÌM HIỂU VỀ IPV4 VÀ IPV6

GVHD: TH.S TRẦN LÂM

DANH SÁCH NHÓM 3:

1 VŨ VĂN HOÀNG

2 TRẦN ĐÌNH NGUYÊN

3 TRƯƠNG MINH TRÍ

4 ĐỖ TIẾN DŨNG

5 TRỊNH VĂN THINH

6 ĐẶNG SƠN TÙNG

7 VŨ TRÍ GIANG

8 ĐẶNG THẾ ANH

THÁI NGUYÊN, THÁNG 8/2014

MỤC LỤC

CHƯƠNG 1: IPV4

1.1 Khái niệm IPv4

IPv4: (Internet Protocol version 4) là phiên bản thứ tư trong quá trình phát

triển của các giao thức Internet (IP) Đây là phiên bản đầu tiên của IP được

sử dụng rộng rãi IPv4 cùng với IPv6 là nòng cốt của giao tiếp internet Hiện tại, IPv4 vẫn là giao thức được triển khai rộng rãi nhất trong bộ giao thức của lớp internet

Giao thức này được công bố bởi IETF trong phiên bản RFC 791 (tháng 9 năm 1981), thay thế cho phiên bản RFC 760 (công bố vào tháng giêng năm 1980) Giao thức này cũng được chuẩn hóa bởi bộ quốc phòng Mỹ trong phiên bản MIL-STD-1777

IPv4 là giao thức hướng dữ liệu, được sử dụng cho hệ thống chuyển mạch gói (tương tự như chuẩn mạng Ethernet) Đây là giao thức truyền dữ liêu hoạt động dựa trên nguyên tắc tốt nhất có thể, trong đó, nó không quan tâm đến thứ tự truyền gói tin cũng như không đảm bảo gói tin sẽ đến đích hay việc gây ra tình trạng lặp gói tin ở đích đến Việc xử lý vấn đề này dành cho lớp trên của chồng giao thức TCP/IP Tuy nhiên, IPv4 có cơ chế đảm bảo tính toàn vẹn dữ liệu thông qua sử dụng những gói kiểm tra (checksum)

1.2 Cấu trúc địa chỉ IPv4

Địa chỉ IPv4 là một số nguyên 32 bit chia thành 4 octet, mỗi octet gồm 8 bit (1 byte) phân cách bởi dấu chấm (.) có thể được viết dưới dạng thập phân hoặc đổi sang dạng nhị phân (dạng mà máy tính có thể hiểu được vì máy tính không hiểu được dạng thập phân)

Cấu trúc của địa chỉ IPv4 gồm 2 thành phần chính: Địa chỉ mạng (Network address), địa chỉ máy chủ (Host address) Để dễ dàng trong việc phân chia các lớp mạng, người ta lấy một số bit đầu tiên của Network address để làm bit nhận dạng (class bit)

 Các lớp địa chỉ có trong IPv4

Địa chỉ Ipv4 chia ra 5 lớp A, B, C, D, E Hiện tại chúng ta đã sử dụng hết lớp

C, còn lớp D và E tổ chức internet đang để dành cho mục đích khác nên không được phân chia

Ta có bảng thông số các lớp địa chỉ Ipv4

1.3 Chức năng và hạn chế của IPv4

 Chức năng chính

• Định danh cho các giao diện mạng

• Hỗ trợ định tuyến

• Đã được sử dụng rộng rãi phổ biến trên toàn thế giới

 Hạn chế

• Cấu trúc định tuyến không hiệu quả

• Không gian địa chỉ hạn chế : không gian địa chỉ của Ipv4 có 32 bít tương đương với khoảng 4,3 tỉ địa chỉ có thể được cấp phát Con số này

là quá ít so với nhu cầu sử dụng internet trên toàn cầu Theo thông tin trên trang Blog của Microsoft Azure, ông Gamesh Srinivasan – Quản lý cấp cao của Microsoft cho biết dịch vụ đám mây Azure của Microsoft

đã sử dụng hết các vùng địa chỉ IPv4 ở Hoa Kỳ và đang phải tận dụng những không gian địa chỉ từ các quốc gia khác, đặc biệt từ khu vực Mỹ Latin Điều này dẫn đến việc những người dùng Azure ở Mỹ khi tìm kiếm trên web có thể sẽ nhận được kết quả quốc tế, thay vì những nội dung đã được lọc riêng cho thị trường Mỹ Lý do là các vùng tài

nguyên IPv4 phân bổ cho Hoa Kỳ đã được đưa vào sử dụng hoàn toàn

và không còn bất kỳ một vùng nào trống Vì vậy, Microsoft buộc phải

sử dụng các không gian địa chỉ bên ngoài Hòa Kỳ để triển khai các dịch

vụ mới một cách tạm thời Những vùng địa chỉ IPv4 cấp cho các vùng khác ngoài Mỹ sẽ không thể định vị lại vì thông tin cấp phát đã được xác lập và quản ý bởi tổ chức Internet Assigned Numbers Authority (IANA)

• Hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối

IPv4 không hỗ trợ sẵn tính năng bảo mật trong giao thức, vì vậy rất khó thực hiện bảo mật kết nối từ thiết bị gửi đến thiết bị nhận Hình thức bảo mật phổ biến trên mạng IPv4 là bảo mật kết nối giữa hai mạng

Do sự phát triển như vũ bão của mạng và dịch vụ Internet, nguồn IPv4 dần cạn kiệt, đồng thời bộc lộ các hạn chế đối với việc phát triển các loại hình dịch vụ hiện đại trên Internet Phiên bản địa chỉ Internet mới IPv6 được thiết

kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:

• Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet

• Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4

CHƯƠNG 2: Tìm hiểu IPV6

2.1 Khái niệm IPv6

IPV6 (Internet Protocol version 6) là "Giao thức liên mạng thế hệ 6", một

phiên bản của giao thức liên mạng (IP) nhằm mục đích nâng cấp giao

thức liên mạng phiên bản 4 (IPv4) hiện đang truyền dẫn cho hầu hếtlưu lượng truy cập Internet nhưng đã hết địa chỉ

2.2 Cấu trúc địa chỉ

Địa chỉ IPv6 thì rất khác so với địa chỉ IPv4 Không chỉ khác nhau về kích thước (dài hơn gấp 4 lần) mà sự khác nhau còn trong dạng biểu hiện ở dạng thập lục phân so với dạng thập phân Các dấu ‘:’ sẽ tách các số dạng thập lục phân là các thành phần của địa chỉ 128-bit

Một ví dụ của địa chỉ Ipv6 là như sau:

4021:0000:240E:0000:0000:0AC0:3428:121C

2.3 Ưu điểm của IPv6

• Không gian địa chỉ lớn

IPv6 có chiều dài bít (128 bít) gấp 4 lần IPv4 nên đã mở rộng không gian địa chỉ từ khoảng hơn 4 tỷ (4.3 * 109) lên tới một con số khổng lồ (2128 = 3.3*1038) Một số nhà phân tích cho rằng, chúng ta không thể dùng hết địa chỉ IPv6

• Khả năng tự động cấu hình

IPv6 cho phép thiết bị IPv6 tự động cấu hình các thông số phục vụ cho việc nối mạng như địa chỉ IP, địa chỉ gateway, địa chỉ máy chủ tên miền khi kết nối vào mạng Do vậy đã giảm thiểu việc phải cấu hình nhân công cho thiết

bị so với công việc phải thực hiện với IPv4 Các thao tác cấu hình này có thể không phức tạp đối với máy tính song với nhu cầu gắn địa chỉ cho một số lượng lớn các thiết bị như camera, sensor, thiết bị gia dụng… sẽ phải tiêu tốn nhiều nhân công và khó khăn trong quản lý

• Cấu hình định tuyến tốt hơn

IPv6 được thiết kế có cấu trúc đánh địa chỉ và phân cấp định tuyến thống nhất, dựa trên một số mức cơ bản đối với các nhà cung cấp dịch vụ Cấu trúc phân cấp này giúp tránh khỏi nguy cơ quá tải bảng thông tin định tuyến toàn cầu khi chiều dài địa chỉ IPv6 lên tới 128 bít Trong khi đó, sự gia tăng của các mạng trên Internet, số lượng IPv4 sử dụng, và việc IPv4 không được thiết kế phân cấp định tuyến ngay từ đầu đã khiến cho kích thước bảng định tuyến toàn cầu ngày càng gia tăng, gây quá tải, vượt quá khả năng xử lý của các thiết bị định tuyến

• Hỗ trợ tốt hơn cho di động

Hỗ trợ cho quản lý chất lượng mạng: Những cải tiến trong thiết kế của IPv6 như: không phân mảnh, định tuyến phân cấp, gói tin IPv6 được thiết kế với mục đích xử lý thật hiệu quả tại thiết bị định tuyến tạo ra khả năng hỗ trợ tốt hơn cho chất lượng dịch vụ QoS

• Khả năng tương thích ngược: Có khả năng hoạt động trên cả Ipv4 và Ipv6

• Hiệu suất hoạt động tốt hơn

• Khả năng bảo mật kết nối từ thiết bị gửi đến thiết bị nhận (đầu cuối – đầu cuối)

Địa chỉ IPv6 được thiết kế để tích hợp sẵn tính năng bảo mật trong giao thức nên có thể dễ dàng thực hiện bảo mật từ thiết bị gửi đến thiết bị nhận (đầu cuối – đầu cuối)

Bảo mật kết nối từ thiết bị gửi đến thiết bị nhận trong IPv6

• Dễ dàng thực hiện Multicast

Nhằm tăng hiệu năng của mạng, tiết kiệm băng thông, giảm tải cho máy chủ, công nghệ multicast được thiết kế để một máy tính nguồn có thể kết nối đồng thời đến nhiều đích Từ đó thông tin không bị lặp lại, băng thông của mạng sẽ giảm đáng kể, đặc biệt với các ứng dụng truyền tải thông tin rất lớn như truyền hình (IPTV), truyền hình hội nghị (video conference), ứng dụng

đa phương tiện (multimedia)

Kết nối Multicast

Trên thực tế, cấu hình và triển khai multicast với IPv4 rất khó khăn, phức tạp trong khi đối với IPv6 thì việc này dễ dàng hơn nhiều

• Dễ dàng quản lý không gian địa chỉ

• Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT

2.4 So sánh Ipv4 và Ipv6

2.5 Các công nghệ chuyển đổi sang IPv6

IPv6 phát triển khi IPv4 đã được sử dụng rộng rãi, mạng lưới IPv4 Internet hoàn thiện, hoạt động tốt Trong quá trình triển khai thế hệ địa chỉ IPv6 trên mạng Internet, không thể có một thời điểm nhất định mà tại đó, địa chỉ IPv4 được hủy bỏ, thay thế hoàn toàn bởi thế hệ địa chỉ mới IPv6 Hai thế hệ mạng IPv4, IPv6 sẽ cùng tồn tại trong một thời gian rất dài Trong quá trình phát triển, các kết nối IPv6 sẽ tận dụng cơ sở hạ tầng sẵn có của IPv4

Do vậy cần có những công nghệ phục vụ cho việc chuyển đổi từ địa chỉ IPv4 sang địa chỉ IPv6 và đảm bảo không phá vỡ cấu trúc Internet cũng như làm

gián đoạn hoạt động của mạng Internet Những công nghệ chuyển đổi này,

cơ bản có thể phân thành ba loại như sau:

2.5.1 Dual-stack: Cho phép IPv4 và IPv6 cùng tồn tại trong

cùng một thiết bị mạng

Dual-stack là cách thức thực thi đồng thời cả hai giao thức IPv4 và IPv6 Thiết bị hỗ trợ cả 2 giao thức IPv4 và IPv6, cho phép hệ điều hành hay ứng dụng lựa chọn một trong hai giao thức cho từng phiên liên lạc (Theo tiêu chuẩn mặc định là ưu tiên cho IPv6 ở nơi có thể sử dụng IPv6)

2.5.2 Công nghệ biên dịch NAT- PT:

Thực chất là một dạng thức công nghệ NAT, cho phép thiết bị chỉ hỗ trợ IPv6 có thể giao tiếp với thiết bị chỉ hỗ trợ IPv4

Để một thiết bị chỉ hỗ trợ IPv6 có thể giao tiếp với một thiết bị chỉ hỗ trợ IPv4 chúng ta sử dụng công nghệ biên dịch

Công nghệ biên dịch thực chất là một dạng công nghệ NAT, thực hiện biên dịch địa chỉ và dạng thức của mào đầu gói tin, cho phép thiết bị chỉ

hỗ trợ IPv6 có thể nói chuyện với thiết bị chỉ hỗ trợ IPv4 Công nghệ phổ biến được sử dụng là NAT-PT Thiết bị cung cấp dịch vụ NAT-PT sẽ biên dịch lại mào đầu và địa chỉ cho phép mạng IPv6 nói chuyện với mạng IPv4

2.5.3 Công nghệ đường hầm (Tunnel)

Công nghệ sử dụng cơ sở hạ tầng mạng IPv4 để truyền tải gói tin IPv6, phục

Địa chỉ IPv6 phát triển khi Internet IPv4 đã sử dụng rộng rãi và có một mạng lưới toàn cầu Trong thời điểm rất dài ban đầu, các mạng IPv6 sẽ chỉ là những ốc đảo, thậm chí là những host riêng biệt trên cả một mạng lưới IPv4 rộng lớn Làm thế nào để những mạng IPv6, hay thậm chí những host IPv6 riêng biệt này có thể kết nối với nhau, hoặc kết nối với mạng Internet IPv6

khi chúng chỉ có đường kết nối IPv4 Sử dụng chính cơ sở hạ tầng mạng IPv4 để kết nối IPv6 là mục tiêu của công nghệ đường hầm Công nghệ đường hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có của mạng IPv4 để thực hiện các kết nối IPv6 bằng cách sử dụng các thiết bị mạng có khả năng hoạt động dual-stack tại hai điểm đầu và cuối nhất định Các thiết bị này “bọc” gói tin IPv6 trong gói tin IPv4 và truyền tải đi trong mạng IPv4 tại điểm đầu và gỡ bỏ gói tin IPv4, nhận lại gói tin IPv6 ban đầu

Nói chung, công nghệ đường hầm đã “gói” gói tin IPv6 trong gói tin IPv4 để truyền đi được trên cơ sở hạ tầng mạng IPv4 Tức thiết lập một đường kết nối ảo (một đường hầm) của IPv6 trên cơ sở hạ tầng mạng IPv4

Công nghệ đường hầm

2.6 Nhược điểm của IPV6

Bên cạnh tính mềm dẻo, giao thức IPv6 cũng đặt ra một số vấn đề bảo mật mới Giao thức IP di dộng (Mobile IP protocol) được xây dựng trên

giao thức IPv6 nhưng giải pháp cho vấn đề bảo mật của giao thức này vẫn đang được phát triển Hơn nữa, tính năng mềm dẻo trong việc cấu hình động (Stateless Address Auto-Configuration) cũng gây ra vấn đề bảo mật nghiêm trọng nếu như thiết lập cấu hình không đúng Mặc dù về mặt tổng quan, giao thức IPv6 đã tăng cường bảo mật cho toàn bộ hệ thống mạng dựa trên TCP/IP nhưng kẻ tấn công vẫn có khả năng khai thác các phần khác trong giao thức

• Các tấn công ở IPv4 vẫn tiếp tục xảy ra tại IPv6

Mặc dù có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không thể giải quyết tất cả các tồn tại trong IPv4 Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer) Các cuộc tấn công có thể là:

• Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI như tràn bộ đệm (buffer overflow), virus, mã độc, tấn công ứng dụng web,

…

• Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực

• Thiết bị giả (rogue device) : các thiết bị đưa vào mạng nhưng không được phép Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định tuyến (router), server DNS, DHCP hay một thiết

bị truy cập mạng không dây (Wireless access point),…

• Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6

• Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID,email spamming, phishing,…