Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)

Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (LV thạc sĩ)

LỜI CAM ĐOAN

Học viên xin chân thành cảm ơn các thầy cô trong Khoa Quốc tế và Đào tạo Sau Đại học và Khoa Kỹ thuật Viễn thông, Học viện Công nghệ Bưu chính Viễn thông đã tạo điều kiện thuận lợi cho học viên trong quá trình học tập và nghiên cứu Học viên xin chân thành cảm ơn, TS.Nguyễn Chiến Trinh là người đã trực tiếp tận tình hướng dẫn học viên hoàn thành luận văn này

Học viên xin chân thành cảm ơn các bạn bè đã sát cánh giúp học viên có được những kết quả như ngày hôm nay

Đề tài nghiên cứu của luận văn có nội dung bao phủ rộng Tuy nhiên, thời gian nghiên cứu còn hạn hẹp Vì vậy, luận văn có thể có những thiếu sót Học viên rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn

Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng tôi dưới sự hướng dẫn của TS.Nguyễn Chiến Trinh các số liệu, kết quả nêu trong luận văn do tôi tự tìm hiểu nghiên cứu một cách trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Xin chân thành cảm ơn!

Tác giả luận văn

CHANTHASENG THANYPHONE

MỤC LỤC

LỜI CAM ĐOAN I MỤC LỤC II DANH MỤC TỪ VIẾT TẮT IV DANH MỤC HÌNH VẼ VII DANH MỤC BẢNG X

MỞ ĐẦU 1

CHƯƠNG I- TỔNG QUAN VỀ CÔNG NGHỆ IPV6 3

1.1 Nguyên nhân phát triển IPv6 và sự khác biệt của IPv6 so với IPv4 .3

1.1.1 Nguyên nhân phát triển IPv6 .3

1.1.2 Sự khác biệt của IPv6 so với IPv4 .8

1.2 Mục tiêu trong thiết kế IPv6 10

1.3 Cấu trúc địa chỉ IPv6 13

1.1.3 Không gian địa chỉ IPv6 13

1.1.4 Biểu diễn địa chỉ IPv6 14

1.1.5 Định dạng gói tin trong IPv6 15

1.4 Phân loại địa chỉ IPv6 17

1.5 Một số quy trình hoạt động cơ bản của IPv6 18

1.5.1 Quy trình phân giải địa chỉ lớp hai (link layer) từ địa chỉ IPv6 lớp ba (network layer) 18

1.5.2 Kiểm tra trùng lặp địa chỉ trên một đường kết nối (Duplicate Address Detection - DAD) 20

1.5.3 Kiểm tra tính có thể kết nối tới được của node lân cận (Neighbor Unreachability Detection) 21

1.5.4 Tìm kiếm router trên đường kết nối (Router Discovery) 22

1.5.5 Đánh số lại thiết bị IPv6 24

1.6 Các giao thức liên quan đến IPv6 25

1.7 Kết luận chương 26

CHƯƠNG II-TỔNG QUAN VÀ CƠ CHẾ HOẠT ĐỘNG AN TOÀN MẠNG THÔNG TIN TRÊN IPV6 27

2.1 Tổng quan về giao thức bảo mật IPSec [4] 27

2.1.1 Các tính năng bảo mật của IPSec 29

2.2 Các giao thức chính sử dụng trong IPSec [4] 31

2.2.1 IP Security Protocol (IPSec) 31

2.2.2 Cấu trúc IPSec: 31

2.2.3 Ưu điểm của IPSec 33

2.3 Sự khác biệt an toàn trên IPv4 và IPv6 [6] 33

2.4 Mô hình cuối tới cuối [8] 35

2.5 IPv6 Security 36

2.5.1 ICMPv6 36

2.6 Phân tán tường lửa 41

2.6.1 Lọc tường lửa 43

2.7 Kết luận chương 46

CHƯƠNG III-MÔ HÌNH THỬ NGHIỆM VÀ ĐÁNH GIÁ GIẢI PHÁP AN TOÀN MẠNG THÔNG TIN TRÊN IPV6 CHO LTC 48

3.1 Giai đoạn lịch sử của công ty LTC [13] 48

3.2 Hướng dẫn thực hành tốt nhất để triển khai an toàn thông tin trên IPv6 48

3.3 Kế hoạch triển khai an toàn mạng thông tin tại LTC [13] 50

3.3.1 Mục tiêu yêu cầu 51

3.3.2 Nhiệm vụ công tác trọng tâm 51

3.3.3 Tổ chức thực hiện 52

3.4 Giải pháp an toàn hệ thống mạng IPv6 tại LTC 53

3.4.1 Giải pháp an toàn IPv6 tại LTC 53

3.4.2 Giải pháp tường lửa cho LTC 54

3.4.3 Để xuất mô hình triển khai an toàn mạng tại LTC 56

3.5 Thử nghiệm giải pháp an toàn tại LTC 57

3.5.1 Thử nghiệm IPSec IPv6 trên GNS3 57

3.5.2 Thử nghiệm tường lửa trên phần mềm PFSense 62

3.6 Đánh giá an toàn mạng 73

3.7 Kết luận chương 74

KẾT LUẬN 76

TÀI LIỆU THAM KHẢO 77

DANH MỤC TỪ VIẾT TẮT

AH Authentication Header

Header trong Ipv6 nhằm bảo đảm tính chân thực và toàn vẹn của gói tin trong quá trình truyền

APNIC Asia Pacific Network

Information Center

Tổ chức quản lý mạng khu vực châu Á–Thái Bình Dương

ARP Address Resolution

Protocol Giao thức phân giải địa chỉ BGP Border Gateway Protocol Giao thức tìm đường nòng cốt

CIDR Classless Interdomain

DHCP Dynamic Host Control

Protocol Giao thức điều khiển host động

DMZ Dimiliterised Marginal

Zone

Chứa các thông tin cho phép người dùng

DNS Domain Name System Hệ thống tên miền

DSTM Dual Stack Transition

Mechanism

Một cơ chế chuyển đổi giữa hai mạng Ipv4 và IPv6 tách biệt với nhau

ESP Encapsulationg Security

Payload

Một kiểu header trong IPv6 nhằm cung cấp khả năng bảo mật cho gói tin IPv6

ICMP Internet Control Message Giao thức truyền tin điều khiển trên

Protocol mạng

FQDN Fully Qualified Domain

IPSec Internet Protocol Security Một kiểu bảo mật trong IPv6 với hai

trường AH và ESP

IGMP Internet Group

Management Protocol Giao thức quản lí nhóm

IPng Internet Protocol Next

Generation Giao thức IP thế hệ tiếp theo IPv4 Internet Protocol Version 4 Giao thức IP version4

IPv6 Internet Protocol Version 6 Giao thức IP version4

ISATAP

Intra-Site Automatic Tunnel Addressing Protocol

ISATAP là một cơ chế chuyển đôi đường hầm IPv6 over IPv4 với các điểm đầu cuối có thể là Host hoặc Router

IKE Internet Key Exchange Giao thức thực hiện quá trình trao

đổi khóa LAN Local Area Network Mạng máy tính nội bộ

MAC Media Address Controller Địa chỉ vật lý

NTP Network Time Protocol Giao thức để đồng bộ đồng hồ của

các hệ thống máy tính

RA Router Advertisement Quảng cáo bộ định tuyến

SLA Site Level Aggregation Giá trị định danh site

Management Protocol

Giao thức được sử dụng rất phổ biến

để giám sát

TCP Transmission Control

TTL Time To Live Thời gian tồn tại của gói tin

UDP User Datagram Protocol Giao thức cốt lõi

VPN Virtual Private Network Gạng riêng ảo

WAN Wide Area Network Mạng dữ liệu được thiết kế để kết nối

giữa các mạng

DANH MỤC HÌNH VẼ

Hình 1.1: Sự biến đổi của Internet 4

Hình 1.2: Mô hình thực hiện NAT của địa chỉ IPv4 6

Hình 1.3: K iến trúc IPv6 (IPv6 Architecture) 13

Hình 1.4 Định dạng gói tin IPv6 (IPv6 Packet Fomat) 15

Hình 1.5: Định dạng phần Header của gói tin IPV6 16

Hình 1.6: Q uy trình phân giải địa chỉ 20

Hình 2.1: Cấu trúc của IPSec 31

Hình 2.3: End-to-End Security [4] 35

Hình 2.4: Đóng gói ICMP 36

Hình 2.5: Tấn công địa phương [3] 38

Hình 2.6: Cầu hình tự động IPv6 [3] 42

Hình 2.7: Phân loại tường lửa 42

Hình 2.8: Kết nối mạng tường lửa 43

Hình 3.1: Mẫu kiến trúc IPv6 [4] 49

Hình 3.2: Hệ thông tường lửa mạng 54

Hình 3.3: Tăng cường tường lửa 55

Hình 3.4: Quy hoạch mạng firewall tại LTC 56

Hình 3.5: Mô hình triển khai an toàn mạng Tại LTC 58

Hình 3.6: Lab cấu hình IPsec VPN 59

Hình 3.7: Kết nối từ nút A đến B 60

Hình 3.8: Kiểm tra trạng thái isakmp 60

Hình 3.9: kiểm tra trạng thái IPSes 61

Hình 3.10: Kiểm tra trạng thái Peer 61

Hình 3.11: Lab mô hình t ấn công Host 62

Hinh 3.12: IOS BT5r3 63

Hình 3.13: Ping6 đến máy cần tấn công 63

Hình 3.14: Trước khi tấn công 64

Hình 3.15: Sâu khi tấn công 64

Hình 3.16: Packet của LAN tấn công trên IPv6 65

Hình 3.17: Hệ thống mạng tường lửa 65

Hình 3.18: PFSense trên Web Browser 67

Hình 3.19: Hiện thị trên Log IP 67

Hình 3.20: Log Firewall 68

Hình 3.21: Cài đặt Snort trên PFSense 69

Hình 3.22: Cấu hình giao diện trên Snort 70

Hình 3.23: Tạo giao diện trên Snort 71

Hình 3.24: Cấu hình các chức năng ngăn chặn cho Snort 71

Hình 3.25: System Log 72

Hình 3.26: System Log trên NTP 73

Hình 3.27: Gói tin bị chặn tấn công trên BT5r3 73

DANH MỤC BẢNG

Bảng 1-1: So sánh IPv6 và IPv4 9

Bảng 1-2: Bảng giá trị trường Next Header 17

Bảng 2-1: Sự làm việc của AH với ESP 32

Bảng 2-2: giải mã giá trị 37

Bảng 2-3: xác định thông tin ICMPv6 cho NDP 40

Bảng 2-4: Thông tin ICMPv6 sử dụng cơ chế NDP 40

MỞ ĐẦU

Một trong những vấn đề quan trọng mà công nghệ mạng trên thế giới đang phải nghiên cứu giải quyết là sự phát triển với tốc độ quá nhanh của mạng lưới Internet toàn cầu Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng với nhau, như mạng di động với mạng Internet đã đặt ra vấn đề thiếu tài nguyên dùng chung Việc sử dụng hệ thống địa chỉ hiện tại cho mạng Internet là IPv4 sẽ không thể đáp ứng nổi sự phát triển của mạng lưới Internet toàn cầu trong thời gian sắp tới

Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thống tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống mạng an toàn trên IPv6, cùng với sự phát triển của tổ chức công ty doanh nghiệp, công ty LTC là những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin trên mạng của mình cho nhiều đối tượng khác nhau thông qua mạng Việc bảo mật,

rò rỉ thông tin có thể ảnh hưởng nghiệm trọng đến tài nguyên thông tin tài chính, danh tiếng tổ chức, cá nhân

Các phương thức tấn công thông qua mạng IP ngày càng tinh vi, phức tạp có thể đẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống an toàn mạng thông tin của LTC Vì vậy an toàn mạng thông tin là nhiệm vụ quan trọng, năng nề và khó đoán đối với hệ thống thông tin

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một

số dịch vụ Ngồi trước máy tính của mình có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất

kỳ lúc nào mà bạn không hề được biết trước Do vậy việc bảo vệ hệ thống thông tin

là một vấn đề cần phải đảm bảo an toàn thông tin và trên công ty LTC đang triển khai mạng IPv6 cũng bắt buộc phải có IPsec và tường lửa để bảo vệ hệ thống mạng thông tin

Nhận thức rõ tầm quan trọng của vấn đề, em quyết định lựa chọn và nghiên

cứu đề tài “Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC”

Bài luận văn gồm ba chương chính với các nội dung chủ yếu như sau:

Chương 1 Tổng quan về công nghệ IPv6

Trong phần này, học viên trình bày các lý do ra đời không gian địa chỉ mới IPv6 thay thế không gian địa chỉ hiện tại IPv4 cũng như các vấn đề liên quan đến cấu trúc địa chỉ IPv6, các dạng địa chỉ IPv6, qua đó thấy được sự khác biệt và thay đổi trong địa chỉ IPv6 Đây là phiên bản được thiết kế nhằm khắc phục những hạn chế của IPv4 và bổ sung những tính năng mới cần thiết trong hoạt động và dịch vụ mạng thế hệ sau

Chương 2 Tổng quan và cơ chế hoạt động an toàn mạng thông tin trên IPv6

Trong chương 2 học viên đề cập đến các cơ chế bảo mật hoạt động của IPSec trên IPv6, mô hình tấn công ICMPv6, hệ thống mạng tường lửa trên IPv6 và mô

CHƯƠNG I- TỔNG QUAN VỀ CÔNG NGHỆ IPV6

Trong phần này, học viên trình bày các lý do ra đời không gian địa chỉ mới IPv6 thay thế không gian địa chỉ hiện tại IPv4 cũng như các vấn đề liên quan đến cấu trúc địa chi IPv6, các dạng địa chi IPv6, qua đó thấy được sự khác biệt và thay đổi trong địa chỉ IPv6 Đây là phiên bản được thiết kế nhằm khắc phục những hạn chế của IPv4 và bổ sung những tính năng mới cần thiết trong hoạt động và dịch vụ mạng thế hệ sau

1.1 Nguyên nhân phát triển IPv6 và sự khác biệt của IPv6 so với IPv4

1.1.1 Nguyên nhân phát triển IPv6

1.1.1.1 Sự cạn kiệt không gian địa chỉ IPv4

Kể từ năm 2003, khi tốc độ tiêu thụ địa chỉ IPv4 bắt đầu tăng vọt do Internet phát triển tại những khu vực dân cư đông đảo như Trung Quốc, Ấn Độ kết hợp với

sự phát triển của các loại hình dịch vụ và phương thức kết nối mạng tiêu tốn địa chỉ (những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cố định và tỉ lệ sử dụng địa chỉ khách hàng là 1:1 với kết nối dạng đầu cuối - đầu cuối như: dịch vụ xDSL, dịch

vụ Internet qua đường cáp truyền hình, ), khả năng cạn kiệt nguồn IPv4 toàn cầu

đã trở thành chủ đề nóng được bàn thảo nhiều trên các diễn đàn, thông tin về hoạt động của mạng Internet [1]

Những năm tiếp theo, vùng địa chỉ IPv4 dự trữ cho hoạt động Internet toàn cầu được quản lý bởi IANA ngày càng vơi đi nhanh, việc IPv4 sẽ hết trở nên rõ ràng và tất yếu Năm 2007, toàn bộ 5 tổ chức quản lý tài nguyên địa chỉ cấp vùng (RIR) đã đồng loạt ban hành nghị quyết thông báo địa chỉ IPv4 sẽ cạn kiệt trong khoảng 2 đến 4 năm sau đó[1]

Tại thời điểm cuối năm 2007, căn cứ trên tốc độ tiêu thụ IPv4 toàn cầu, các

tổ chức quốc tế đã dự báo thời điểm cạn kiệt IPv4 là giữa năm 2012 Tuy nhiên các năm sau đó, tốc độ xin cấp địa chỉ IPv4 tăng lên rất nhanh, tốc độ cấp phát địa chỉ IPv4 của các tổ chức quản lý địa chỉ cấp vùng ngày càng tăng cao Đến giữa năm

2008, thời điểm hệ thống quản lý địa chỉ toàn cầu hết IPv4 được dự báo rơi vàokhoảng tháng 11/2011 [1]

Hình 1.1: Sự biến đổi của Internet [1]

Trên thực tế, thời điểm cạn kiệt IPv4 toàn cầu diễn ra nhanh hơn dự báo Ngày 3 tháng 2 năm 2011, IANA đã chính thức công bố cạn kiệt kho địa chỉ dự trữ cấp phát cho các RIR Toàn bộ yêu cầu xin cấp IPv4 cho các hoạt động Internet toàn cầu chỉ sử dụng các vùng địa chỉ dữ trữ của các tổ chức cấp vùng (RIR) Việc cạn kiệt hoàn toàn địa chỉ IPv4 tại từng khu vực tùy thuộc theo tốc độ tiêu thụ tại khu vực

Theo mô hình quản lý toàn cầu, không gian địa chỉ IP các loại và số hiệu mạng được quản lý thống nhất bởi tổ chức IANA IANA sau đó cấp các không gian địa chỉ lớn cho các tổ chức quản lý tài nguyên cấp khu vực RIR (regional Internet registry) Trên thế giới có tổng cộng 5 RIR bao gồm APNIC phụ trách khu vực Châu Á Thái Bình Dương, RIPE NCC phụ trách khu vực Châu Âu và Trung Đông, ARIN phụ trách khu vực Bắc Mỹ, LACNIC phụ trách khu vực Châu Mỹ La tin và AFRINIC phụ trách khu vực Châu Phi Các RIR sau khi nhận tài nguyên từ IANA

sẽ chịu trách nhiệm quản lý, phân bổ các tài nguyên đó trong phạm vi khu vực

Với tốc độ tiêu thụ tài nguyên IPv4 lớn nhất trên toàn cầu, Châu Á - Thái Bình Dương là khu vực đầu tiên chính thức bước vào giai đoạn cạn kiệt IPv4 kể từ ngày 15/4/2011 khi toàn bộ khối lượng địa chỉ IPv4 dự trữ của APNIC được tiêu thụ, chỉ còn lại duy nhất một khối /8 để phục vụ cho việc chuyển đổi sang sử dụng địa chỉ IPv6

Tiếp theo đó, ngày 14/9/2012, RIPE NCC, tổ chức quản lý địa chỉ khu vực Châu Âu và Trung Đông thông báo đã chính thức hết IPv4 để cấp theo chính sách thông thường và chuyển sang chính sách cấp phát hạn chế IPv4 từ khối /8 cuối cùng Muộn hơn một chút, các khu vực khác là Châu Mỹ La tin (LACNIC) và Bắc

Mỹ (ARIN) đều hết IPv4 vào đầu năm 2014

Ở thời điểm hiện tại chỉ còn duy nhất khu vực Châu Phi (do AFRINIC quản lý) chưa rơi vào tình trạng cạn kiệt địa chỉ IPv4

1.1.1.2 Hạn chế về công nghệ và nhược điểm của IPv4

Cấu trúc định tuyến không hiệu quả [1]:

Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp Mỗi router phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng

bộ nhớ lớn IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4, ví dụ thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin)

Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối [1]:

Trong cấu trúc thiết kế của địa chỉ IPv4 không có cách thức bảo mật nào đi kèm IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu Kết quả là hiện nay, bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền tải giữa các host Nếu áp dụng IPSec là một phương thức bảo mật phổ biến tại tầng

IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối - đầu cuối được sử dụng rất hạn chế

Để giảm nhu cầu tiêu dùng địa chỉ, hoạt động mạng IPv4 sử dụng phổ biến công nghệ biên dịch NAT Trong đó, máy chủ biên dịch địa chỉ can thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa chỉ riêng (private)

có thể kết nối vào mạng Internet

Mô hình sử dụng NAT của địa chỉ IPv4 có nhiều nhược điểm:

- Khó thực hiện được kết nối điểm - điểm và gây trễ: Làm khó khăn và ảnh hưởng tới nhiều dạng dịch vụ (VPN, dịch vụ thời gian thực)

- Đối với nhiều dạng dịch vụ cần xác thực port nguồn/ đích, sử dụng NAT là không thể được Trong khi đó, các ứng dụng mới hiện nay, đặc biệt các ứng dụng client-server ngày càng đòi hỏi kết nối trực tiếp đầu cuối - đầu cuối

- Việc gói tin không được giữ nguyên tình trạng từ nguồn tới đích, có những điểm trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồn tại những lỗ hổng về bảo mật

Hình 1.2: Mô hình thực hiện NAT của địa chỉ IPv4 [1]

Không gian địa chỉ hạn chế [11]:

Không gian địa chỉ có độ dài lớn hơn IPv4(128 bít so với 32 bít) do đó cung cấp không gian địa chỉ lớn hơn rất nhiều Trong khi không gian địa chỉ 32 bít của IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có thể có khoảng 6.5*1023 địa chỉ trên mỗi mét vuông bề mặt trái đất Địa chỉ IPv6 128 bít được chia thành các miền phân cấp theo trật tự trên Internet Nó tạo ra nhiều mức phân cấp và linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong IPv4

Không hỗ trợ mobile IP [1]:

Không hỗ trợ cho các dịch vụ truyền tải thông tin đa phương tiện: Vẫn là mạng truyền số liệu Dịch vụ viễn thông: thoại cố định, di động, dịch vụ quảng bá, dịch vụ internet… Cần tích hợp hội tụ lại nhưng IPv4 không hỗ trợ do tốc độ chậm, dùng TCP/IP qua nhiều thủ tục

1.1.1.3 Giải pháp thay thế

Nguy cơ thiếu hụt không gian địa chỉ, cùng những hạn chế của IPv4 thúc đẩy

sự đầu tư nghiên cứu một giao thức internet mới, khắc phục những hạn chế của giao thức IPv4 và đem lại những đặc tính mới cần thiết cho dịch vụ và cho hoạt động mạng thế hệ tiếp theo Giao thức Internet mà IETF đã đưa ra, quyết định thúc đẩy thay thế cho IPv4 là IPv6 (Internet Protocol Version 6), giao thức Internet phiên bản

6, còn được gọi là giao thức IP thế hệ mới (IP Next Generation - IPng) Địa chỉ Internet phiên bản 6 có chiều dài gấp 4 lần chiều dài địa chỉ IPv4, gồm 128 bít

IPv6 được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:

- Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet

- Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4, qua đó đưa các công nghệ mới vào Internet

Phát triển địa chỉ IPv6 là xu thế chung về công nghệ bởi vì IPv6 có các thế mạnh và ưu điểm so với địa chỉ IPv4 IPv6 không chỉ được xúc tiến triển khai tại những khu vực có khả năng thiếu thốn về địa chỉ IPv4 như châu Á, mà còn được triển khai rất mạnh mẽ tại Mỹ, châu Âu, vốn là những quổc gia phát triển Internet sớm và hiện đang sở hữu rất nhiều địa chỉ IPv4

Mỹ là quốc gia đầu tiên phát triển mạng Internet và hiện đang sở hữu đến hơn một nửa số lượng địa chỉ IPv4 toàn cầu, thậm chí Bộ Quốc phòng Mỹ đă trả lại IANA hai khối /8 địa chỉIPv4 (mỗi khối /8 bao gòm 16.777.216 địa chỉ) do không

có nhu cầu sử dụng Tuy nhiên, ngay từ năm 2003, Bộ Quốc phòng Mỹ đã công bố

sẽ áp dụng IPv6 cho mạng quốc phòng và đặt kế hoạch sử dụng thực tiễn vào năm

2008 Hiện tại kế hoạch này đã được hoàn tất

Rõ ràng, việc triển khai địa chỉ IPv6 tại Mỹ hoàn toàn không phải vì thiếu địa chỉ IPv4 Mỹ triển khai địa chỉ IPv6 vì quốc gia này nhận thấy ứng dụng IPv6 là xu hưởng phát triển của công nghệ mạng Với tính năng bảo mật kết nối từ thiết bị gửi đến thiết bị nhận (đầu cuối - đầu cuối), khả năng tự động cấu hình, địa chỉ IPv6 có thể sử dụng để triển khai nhiều ứng dụng mà IPv4 không làm đuợc do không hỗ trợ những tính năng này

Tại Nhật Bản, truyền hình qua Internet (IPTV) trên nền giao thức IPv6 là một trong những dịch vụ IPv6 thương mại hóa Không những triển khai rộng rãi dịch vụ IPTV, Nhật Bản còn đặt kế hoạch tiến tới xóa bỏ hoàn toàn truyền hình tương tự (analog) để chuyển tiếp sang hệ thống truyền hình số

1.1.2 Sự khác biệt của IPv6 so với IPv4

Địa chỉ IPv6 có chiều dài gấp 4 lần chiều dài địa chỉ IPv4, gồm 128 bít Trong việc đánh số thiết bị bằng địa chỉ IPv6, so với địa chỉ IPv4 có hai điểm khác biệt cơ bản sau:

- Địa chỉ IPv6 có nhiều loại:

Không gian địa chỉ IPv6 phân thành nhiều loại địa chỉ khác nhau Mỗi loại địa chỉ có chức năng nhất định trong phục vụ giao tiếp Có loại chỉ sử dụng trong giao tiếp nội bộ trên một đường kết nối Có loại sử dụng trong giao tiếp toàn cầu tương đương như địa chỉ IPv4 hiện nay Có loại khi host sử dụng chỉ giao tiếp với một host khác duy nhất Có loại khi host sử dụng sẽ giao tiếp đồng thời với nhiều host khác

Thế hệ địa chỉ IPv6 có những thay đổi cơ bản về mô hình địa chỉ Địa chỉ IPv6 được gắn cho các giao diện, không phải gắn cho các node, bởi vì một giao diện

có thể gắn đồng thời nhiều địa chỉ, cùng loại hoặc khác loại Mỗi địa chỉ khi được gắn cho một giao diện sẽ có thời gian sống hợp lệ tương ứng Node IPv6 dù chỉ có một card mạng cũng sẽ có nhiều giao diện Đây có thể là giao diện vật lý, hoặc là các giao diện ảo dành cho công nghệ đường hầm (tunnel)

Bảng 1-1: So sánh IPv6 và IPv4

Không định dạng được luồng dữ liệu Định dạng được luồng dữ liệu nên

hỗtrợ QoS tốt hơn

Sự phân mảnh được thực hiện tại các

host gửi và tại router, nên khả năngthực

thi của router chậm

Sự phân mảnh chỉ xảy ra tại host gửi

Không đòi hỏi kích thước gói lớp lien

kết và phải được tái hợp gói 576 byte

Lớp liên kết hỗ trợ gói 1.280 byte vàtái hợp gói 1.500 byte

Header có phần tùy chọn Tất cả dữ liệu tùy chọn được

chuyểnvào phần header mở rộng

ARP sử dụng frame ARP Request

đểphân giải địa chỉ IPv4 thành địa chỉ

đểxác định địa chỉ của gateway mặc

địnhtốt nhất và là tùy chọn

thaythế bởi message ICMPv6 RouterDiscovery và Router Advertisement

Địa chỉ broadcast để gửi lưu lượng

đếntất cả các node

IPv6 không có địa chỉ broadcast, màđịa chỉ multicast đến tất cả các node(phạm vi Link-Local)

Phải cấu hình bằng tay hoặc thông

quagiao thức DHCP cho IPv4

Cấu hình tự động, không đòi hỏiDHCP cho IPv6

Sử dụng các mẫu tin chứa tài nguyênđịa

chỉ host trong DNS để ánh xạ tênhost

thành địa chỉ IPv4

Sử dụng các mẫu tin AAAA trongDNS để ánh xạ tên host thành địa chỉIPv6

1.2 Mục tiêu trong thiết kế IPv6

Như đã biết, IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất là việc không gian địa chỉ IPv4 đang cạn kiệt Điều này dẫn đến tất yếu phải ra đời một thế

hệ địa chỉ mới giải quyết được những nhược điểm của IPv4, đó là IPv6

- Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ

Không gian địa chỉ có độ dài lớn hơn IPv4( 128 bít so với 32 bít) do đó cung cấp không gian địa chỉ lớn hơn rất nhiều Trong khi không gian địa chỉ 32 bít của IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có thể có khoảng 6.5*1023 địa chỉ trên mỗi mét vuông bề mặt trái đất Địa chỉ IPv6 128 bít được chia thành các miền phân cấp theo trật tự trên Internet Nó tạo ra nhiều mức phân cấp và linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong IPv4

Thế hệ địa chỉ IPv6 không những giải quyết được những vấn đề của IPv4 mà còn cung cấp thêm một số ưu điểm

Hỗ trợ tốt hơn truyền thông nhóm (truyền thông nhóm là một tùy chọn của địa chỉ IPv4, tuy nhiên khả năng hỗ trợ và tính khả dụng chưa cao)

Hỗ trợ end to end dễ dàng hơn và loại bỏ hoàn toàn công nghệ NAT

Không cần phải phân mảnh, không cần trường kiểm tra phần đầu

- Hỗ trợ tốt hơn cho di động:

Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết bị IP di động Trong IPv4, mobile IP là tính năng mới cần phải thêm vào nếu cần sử dụng Ngược lại với IPv6, tính di động được tích hợp sẵn, có nghĩa là node IPv6 nào cũng có thể

sử dụng khi cần thiết

- Tự động cấu hình:

Đơn giản hơn trong việc cấu hình địa chỉ IP cho các thiết bị bằng việc sử dụng địa chỉ IPv6 IPv6 có khả năng tự động cấu hình mà không cần máy chủ DHCP như trong mạng sử dụng địa chỉ IPv4

- Hỗ trợ tốt về dịch vụ đa phương tiện:

Header của IPv6 đơn giản và hợp lý hơn so với IPv4 IPv6 chỉ có 6 trường và

2 địa chỉ trong khi IPv4 có 10 trường và 2 địa chỉ Do vậy các gói tin IPv6 di chuyển nhanh hơn trên mạng Hạn chế message tin di chuyển trên mạng Dẫn đến tốc độ mạng được cải thiện

- Hỗ trợ bảo mật tốt hơn:

IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ nhau kết nối với nhau Do vậy bảo mật chưa phải là một vấn đề được quan tâm Song hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu

Cấu trúc địa chỉ IPv4 hoàn toàn khác so với IPv6 Địa chỉ IPv6 128 bit được biểu diễn bằng cách phân chúng ra thành 8 đoạn 16-bit Mỗi đoạn được viết trong

hệ thập lục phân giữ 0x000 và 0xFFF cách nhau bằng 2 dấu chấm Các chữ số thập lục A, B,C,D,E và F đại diện trong IPv6

Bộ định tuyến cơ sở dữ liệu IPv6 phân cấp, hiệu quả và có khả năng tổng hợp lại dựa trên nhiều mức của nhà cung cấp dịch vụ

Địa chỉ được tạo mã hóa (Cryptographically Generated Address) Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi một địa chỉ IP Địa chỉ này được gọi là địa chỉ được tạo mã hóa CGA (Cryptographically Generated Address) Tính năng này gia tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router discovery mechanism) cho pháp người dùng cuối cung cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình Tính năng này hòan toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau:

 CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn hơn

 Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử

 Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng

1.3 Cấu trúc địa chỉ IPv6

1.1.3 Không gian địa chỉ IPv6

Kích thước địa chỉ IPv6 là 128 bit, dài gấp 4 lần địa chỉ của IPv4, không gian địa chỉ 32 bit cho phép đánh 232 hay 4.294.967.296 địa chỉ [1] Không gian địa chỉ

128 bit cho phép đánh 2128 địa chỉ hay (3.4x1038) địa chỉ tương đương

340.282.366.920.938.463.463.374.607.431.768.211.456

Vào những năm cuối thập niên 70 của thế kỷ trước khi mà không gian địa chỉ IPv4 được thiết kế thì người ta chưa tưởng tượng được rằng nó sẽ cạn kiệt trong tương lai Tuy nhiên do sự phát triển mạnh mẽ của Internet và các thiết bị mạng, địa chỉ IPv4 đã được tổ chức quản lý IPv4 toàn cầu thông báo cấp phát hết vào tháng 3 năm 2012 Việc ra đời một không gian địa chỉ mới thay thế là tất yếu

Với IPv6 thật khó có thể tưởng tượng được rằng nó sẽ được phân phát hết bởi vì theo ước tính không gian địa chỉ IPv6 sẽ cung cấp cho mỗi m2 bề mặt trái đất

là 655.570.793.348.866.943.898.599 (6.5x1023) địa chỉ Kích thước tương đối lớn của địa chỉ IPv6 được thiết kế để chia nhỏ thành các miền định tuyến phân cấp phản ánh topo của Internet hiện nay Việc sử dụng 128 bit cho phép nhiều mức độ phân cấp và tính linh động trong việc thiết kế định tuyến và đánh địa chỉ phân cấp

Hình 1.3: Kiến trúc IPv6 (IPv6 Architecture) [2]

1.1.4 Biểu diễn địa chỉ IPv6

1.1.4.1 Biểu diễn của địa chỉ

Địa chỉ IPv6 dài 128 bit, được chia làm 8 nhóm, mỗi nhóm gồm 16 bit, được ngăn cách với nhau bằng dấu hai chấm “:” Mỗi nhóm được biểu diễn bằng 4 số hexa

Ví dụ: FEDC:BA98:768A:0C98:FEBA:CB87:7678:1111

1080:0000:0000:0070:0000:0989:CB45:345F Những địa chỉ này lớn, khả năng cung cấp địa chỉ cho nhiều node và cung cấp cấu trúc phân cấp linh hoạt, nhưng nó không dễ để viết ra Vì vậy cần có 1 số nguyên tắc để nhằm rút ngắn lại cách biểu diễn địa chỉ IPv6 Sau đây là các quy tắc

để rút gọn IPv6:

- Cho phép bỏ các số 0 nằm trước mỗi nhóm (octet)

- Thay bằng số 0 cho nhóm có toàn số 0

- Thay bằng dấu “::” cho các nhóm liên tiếp nhau có toàn số 0

Ví dụ về nén địa chỉ IPv6:

Cho một địa chỉ: 1080:0000:0000:0070:0000:0989:CB45:345F

Dựa theo các quy tắc đã nêu trên, có thể nén địa chỉ IP trên như sau: 1080::70:0:989:CB45:345F hoặc 1080:0:0:70::989:CB45:345F

Chú ý: Dấu “::” chỉ sử dụng được 1 lần trong toàn bộ địa chỉ IPv6 (nhiều

dấu “::” có thể gây ra sự nhầm lẫn hoặc không thể biết đúng vị trí của các octet trong địa chỉ IPv6)

1.1.4.2 Biểu diễn của Address Prefixes

Prefix của địa chỉ IPv6 được biểu diễn tương tự với kí hiệu IPv4 CIDR IPv6

prefix được biểu diễn như sau: IPv6-address/ prefix-length

Trong đó:IPv6-address là bất kì địa chỉ có giá trị, Prefix-length là số bit liền

kề nhau được bao gồm trong prefix

Ví dụ: Sau đây là quy tắc biểu diễn cho 56 bit prefix 200F00000000AB:

 200F::AB00:0:0:0:0/56

 200F:0:0:AB00::/56

Chú ý với địa chỉ IPv6, kí hiệu “::” được sử dụng 1 lần duy nhất trong mỗi sựbiểu diễn.Theo sau là các cách biểu diễn sai của 56 bit prefix:

Thay vì 200F:0000:0000:AB00:0000:0000:0000:0000 nó sẽ giãn thành

200F:0000:0000:0000:0000:0000:0000:00AB, tương ứng

1.1.5 Định dạng gói tin trong IPv6

Hình 1.4: Định dạng gói tin IPv6 (IPv6 Packet Fomat) [1]

Gói tin trong IPv6 được thấy như trong hình, bao gồm một vùng header nền tảng bắt buộc dài 40 byte, tiếp sau là khối Payload

Payload gồm 2 phần: Vùng Header mở rộng tùy chọn và dữ liệu từ tầng cao hơn và có thể dài đến 65535 byte

Vùng Base Header: 40 bytes gồm 8 trường cố định, cụ thể như sau:

Hình 1.5: Định dạng phần Header của gói tin IPV6 [1]

 Version: Dài 04 bít, định nghĩa số phiên bản của IPv6 với giá trị là 6

 Traffic Class: Dài 04 bít, phân loại kiểu dữ liệu từ đó làm cơ sở xác định độ

ưu tiên luồng dữ liệu

 Flow Lable: Nhãn lưu lượng là một trường dài 20 bit được thiết kế để điều khiển những lưu lượng dữ liệu đặc biệt

 Payload Length: Dài 16 bít, xác định độ dài tổng cộng của đơn vị dữ liệu IP trừ vùng Header nền tảng

 Hop Limit: Xác định giá trị số lượng Hop Count tối đa gói tin có thể đi qua trước khi bị loại bỏ

 Source Address: Xác định địa chỉ nguồn của gói tin IPv6 dài 16 byte

 Destination Address: Xác định địa chỉ đích của gói tin IPv6, dài 16 byte

 Next Header: Trường này xác định Header mở rộng đầu tiên, ngay sau Header của gói tin IPv6 Mỗi Header chính có thể có một hoặc nhiều header

mở rộng, mỗi Header mở rộng có một trường Next Header Ở Header mở rộng cuối cùng xếp theo thứ tự trường này có giá trị trỏ đến giao thức đóng gói lớp cao hơn Phần đầu của giao thức lớp cao hơn kế tiếp được chứa trong trường dữ liệu của gói tin IP

Bảng 1-2: Bảng giá trị trường Next Header

1.4 Phân loại địa chỉ IPv6

Một trong những đặc điểm nổi bật nhất của IPv6 là mở rộng cấu trúc địa chỉ Với thiết kế mới, IPv6 cho phép tăng chiều dài một địa chỉ IP từ 32 bits lên 128 bits Với kiến trúc địa chỉ mới này, không gian địa chỉ tăng lên một con số vô cùng lớn

Do vậy, khắc phục hạn chế số lượng địa chỉ của IPv4 Tuy nhiên số lượng địa chỉ và cấu trúc địa chỉ lớn cũng làm cho cơ chế phân bố và quản lý địa chỉ trở nên phức tạp

hơn so với IPv4 Các đặc tả về kiến trúc địa chỉ IPv6 được mô tả trong tài liệu RFC1933 Theo kiến trúc địa chỉ của IPv6, có 3 loại như sau[1] :

- Địa chỉ Unicast: Địa chỉ này được gán vào mỗi giao diện đơn Một gói tin có địa chỉ này sẽ được chuyển đến một giao diện cụ thể

- Địa chỉ Anycast: Địa chỉ này đuợc gán cho một nhóm các giao diện (thông thường là những nodes khác nhau) và những gói tin có địa chỉ này sẽ được chuyển đổi giao diện gần nhất có địa chỉ này Khái niệm gần nhất ở đây dựa vào khoảng cách gần nhất xác định qua giao thức định tuyến sử dụng

- Địa chỉ Multicast: Địa chỉ này được gán cho một nhóm các giao diện (thông thường là những nodes khác nhau) Một gói tin có địa chỉ multicast sẽ được chuyển tới tất cả các giao diện có gán địa chỉ multicast này

Loại địa chỉ “anycast “ cũng sử dụng để định dạng một nhóm các host hoặc các giao diện trên mạng Sự khác nhau giữa “anycast” và “multicast” là quá trình chuyển gói dữ liệu Thay vì chuyển tới tất cả các thành viên trong nhóm, các gói được gửi từ một địa chỉ “anycast” chỉ được phát cho một điểm là thành viên gần nhất của nhóm Khái niệm gần nhất ở đây được xác định thông qua giao thức định tuyến sử dụng

Không có loại địa chỉ boardcast như trong IPv4 ; vì chức năng của loại địa chỉ này đã bao gồm trong nhóm địa chỉ multicast

Ngoài các dạng địa chỉ IPv6 đã mô tả, còn có một số dạng địa chỉ IPv6 khác như sau

 Địa chỉ không xác định

 Địa chỉ Loopback

 Địa chỉ IPv4 trong không gian địa chỉIPv6

1.5 Một số quy trình hoạt động cơ bản của IPv6

1.5.1 Quy trình phân giải địa chỉ lớp hai (link layer) từ địa chỉ IPv6 lớp ba

(network layer)

Trong hoạt động của địa chỉ IPv6, đây là một trong số những quy trình do thủ tục Neighbor Discovery đảm nhiệm Để phục vụ cho việc phân giải tương ứng

địa chỉ lớp mạng và địa chỉ vật lý, các node IPv6 duy trì một bảng cache thông tin

về các node lân cận, gọi là "neighbor cache"

Để thực hiện quy trình phân giải địa chỉ, hai node IPv6 trao đổi thông điệp

Neighbor Solicitation và Neighbor Advertisement

Khi một node cần phân giải địa chỉ, nó gửi đi trên đường kết nối thông điệp Neighbor Solicitation:

 Địa chỉ nguồn: Địa chỉ IPv6 của giao diện gửi gói tin

 Địa chỉ đích: Địa chỉ IPv6 Multicast Solicited Node tương ứng địa chỉ unicast cần phân giải địa chỉ

 Thông tin chứa trong phần dữ liệu có chứa địa chỉ lớp link-layer của nơi gửi (nằm trong Option Source Link-Layer Address của gói tin ND)

Trên đường link, node đang nghe lưu lượng tại địa chỉ Multicast Solicited Node trùng với địa chỉ đích của gói tin sẽ nhận được thông tin Nó thực hiện những hành động sau:

 Cập nhật địa chỉ lớp link-layer của nơi gửi vào bảng neighbor cache

 Gửi thông điệp Neighbor Advertisement đáp trả tới địa chỉ đích là địa chỉ nguồn đã gửi gói tin, thông tin trong phần dữ liệu có địa chỉ lớp link-layer của

nó (chứa trong Option Target Link- Layer Address của gói tin ND)

Khi nhận được thông điệp Neighbor Advertisement, node cần phân giải địa chỉ sẽ cập nhật thông tin vào bảng neighbor cache của mình và sử dụng thông tin trong đó để thực hiện liên lạc

Hình 1.6: Quy trình phân giải địa chỉ [2]

1.5.2 Kiểm tra trùng lặp địa chỉ trên một đường kết nối (Duplicate Address

Detection - DAD)

Mọi node IPv6 thực hiện thuật toán kiểm tra sự trùng lặp về địa chỉ trên một đường kết nối trước khi chính thức gán địa chỉ unicast cho một giao diện, nhằm ngăn ngừa việc xung đột về địa chỉ Quy trình này được áp dụng dù địa chỉ được gắn bằng tay hoặc bằng hình thức cấu hình tự động nào Chừng nào host vẫn còn đang thực hiện DAD và chưa quyết định được là địa chỉ không có sự trùng lặp, thì địa chỉ được coi là địa chỉ “thăm dò”

DAD sử dụng hai thông điệp ICMPv6 Neighbor SolicitationvàNeighbor

Advertisement.Tuy nhiên một số thông tin của gói tin này khác với gói tin sử dụng

trong quá trình phân giải địa chỉ

Khi một node cần kiểm tra trùng lặp địa chỉ, nó gửi gói tin truy vấn node lân cận Neighbor Solicitation

- Địa chỉ IPv6 nguồn: Là địa chỉ đặc biệt "::"

- Địa chỉ đích: là địa chỉ Multicast Solicited Node tương ứng địa chỉ đang kiểm tra trùng lặp

- Gói tin Neighbor Solicitation sẽ chứa địa chỉ IPv6 đang được kiểm tra trùng lặp

Sau khi gửi NS, node sẽ đợi.Nếu không có phản hồi, có nghĩa địa chỉ này chưa được sử dụng Nếu địa chỉ này đã được một node nào đó sử dụng rồi, node này

sẽ nhận được thông điệp NS và gửi thông điệp quảng bá Neighbor Advertisement đáp trả:

Nếu node đang kiểm tra địa chỉ trùng lặp nhận được thông điệp RA phản hồi lại RS mình đã gửi, nó sẽ hủy bỏ việc sử dụng địa chỉ này

1.5.3 Kiểm tra tính có thể kết nối tới được của node lân cận (Neighbor

Unreachability Detection)

Thông điệp Neighbor Solicitation và Neighbor Advertisement được sử dụng trong quá trình phân giải địa chỉ, kiểm tra trùng lặp địa chỉ, cũng được sử dụng cho những mục đích khác, như quá trình kiểm tra tính có thể kết nối tới được của một node lân cận Các IPv6 node duy trì bảng thông tin về các node lân cận của mình trong bảng neighbor cache, và sẽ cập nhật bảng này khi có sự thay đổi tình trạng mạng.Bảng này lưu thông tin đối với cả router và host

Biết được node lân cận có thể kết nối tới được hay không rất quan trọng đối với một node vì nó sẽ điều chỉnh cách thức cư xử của mình Ví dụ khi biết một node lân cận không kết nối tới được, host sẽ ngừng gửi gói tin, biết một router đang không thể kết nối tới được, host có thể thực hiện quy trình tìm kiếm một router khác

Nếu một host muốn kiểm tra tình trạng có thể nhận gói tin của node lân cận,

nó gửi thông điệp Neighbor Solicitation, nếu nhận được Neighbor Advertisement phúc đáp, nó biết tình trạng của node lân cận là có thể kết nối được và sẽ cập nhật thông tin này vào bảng neighbor cache của mình Tất nhiên tình trạng này chỉ được coi là tạm thời và có một khoảng thời gian dành cho nó, trước khi node cần thực hiện kiểm tra lại trạng thái node lân cận.Khoảng thời gian quy định này, cũng như một số các tham số hoạt động khác host sẽ nhận được từ thông tin quảng bá Router Advertisement của router trên đường kết nối

1.5.4 Tìm kiếm router trên đường kết nối (Router Discovery)

Đối với hoạt động của địa chỉ IPv6, sự trao đổi giữa các host với nhau, giữa host với routertrên cùng một đường kết nối là rất quan trọng Trong mạng, router là thiết bị đảm nhiệm việc chuyển tiếp lưu lượng của các host từ mạng này sang mạng khác Một host phải nhờ vào routerđể có thể gửi thông tin tới những node nằm ngoài đường kết nối của mình Do vậy, trước khi một host có thể thực hiện các hoạt động giao tiếp với mạng bên ngoài, nó cần tìm một router và học được những thông tin quan trọng về router, cũng như về mạng Trong thế hệ địa chỉ IPv6, để có thể cấu hình địa chỉ, cũng như có những thông số cho hoạt động, IPv6 host cần tìm thấy router và nhận được những thông tin từ router trên đường kết nối Router IPv6 ngoài việc đảm trách chuyển tiếp gói tin cho host còn đảm nhiệm một hoạt động không thể thiếu là quảng bá sự hiện diện của mình và cung cấp các tham số trợ giúp host trên đường kết nối cấu hình địa chỉ và các tham số hoạt động Thực hiện những hoạt động trao đổi thông tin giữa host và router là một nhiệm vụ rất quan trọng của thủ tục Neighbor Discovery

Quá trình tìm kiếm, trao đổi giữa host và routerthực hiện dựa trên hai dạng thông điệp sau:

– Router Solicitation

được gửi bởi host tới các router trên đường link Do vậy, gói tin được gửi tới địa chỉ đích multicast mọi router phạm vi link (FF02::2) Host gửi thông điệp này để yêu cầu routerquảng bá ngay các thông tin nó cần cho hoạt động ví dụ khi host chưa được gắn địa chỉ, chưa có các tham số mặc định cần thiết để xử lý gói tin

chỉ được gửi bởi các router để quảng bá sự hiện diện của router và các tham

số cần thiết khác cho hoạt động của các host Router gửi định kỳ thông điệp này trên đường kết nối và gửi thông điệp này bất cứ khi nào nhận được Router Solicitation từ các host trong đường kết nối

Router Discoverylà quá trình trao đổi giữa routervà host trên một đường link, nhờ quá trình trao đổi này, những thông tin sau liên quan đến đường kết nối được thiết lập:

– Router

mặc định cho các host trên đường kết nối Trong thông điệp RA có trường Router Lifetime, giá trị của nó xác định thời gian router gửi RA có thể được coi là router mặc định Tuy nhiên, nếu còn thời gian hợp lệ mà host nhận thấy router không liên lạc được (qua quy trình kiểm tra tính có thể kết nối tới của node lân cận),

nó sẽ không sử dụng router làm router mặc định nữa

– Host

có thông tin để quyết định mình cần sử dụng cách thức cấu hình IP nhờ máy chủ DHCPv6 hay tự cấu hình địa chỉ Trong quảng bá của router có thông tin chỉ dẫn cho host phương thức nhận thông tin cấu hình địa chỉ

1.1.5.1 Mô hình địa chỉ không Tự động cấu trạng thái (Stateless

Autoconfiguration) của thiết bị IPv6

Thiết bị IPv4 khi kết nối vào mạng phải được cấu hình bằng tay các thông số địa chỉ, mặt nạ mạng, router mặc định, máy chủ tên miền Để giảm cấu hình thủ công, máy chủ DHCP được sử dụng để có thể cấp phát địa chỉ IP và thông số cho IPv4 host khi nó kết nối vào mạng Địa chỉ IPv6 tiến thêm một bước xa hơn khi cho phép một IPv6 node có thể tự động cấu hình địa chỉ và các tham số hoạt động mà không cần sự hỗ trợ của máy chủ DHCPv6 Do vậy, địa chỉ IPv6 có hai phương thức tự động cấu hình địa chỉ:

Sử dụng máy chủ DHCPv6 để cung cấp địa chỉ và thông số cho các host IPv6 Cách thức này tương tự như việc sử dụng DHCP của địa chỉ IPv4 Tuy nhiên, việc hướng dẫn IPv6 host nhận địa chỉ và thông số từ máy chủ DHCPv6 do router trên đường kết nối quảng bá thông tin, không phải thực hiện cấu hình xác định bằng

tay như IPv4 host Phương thức tự động cấu hình này được gọi là “tự động cấu hình

có trạng thái - stateful autoconfiguration” Hiện nay, các tài liệu tiêu chuẩn hoá cho

DHCPv6 đã được hoàn thiện đầy đủ

IPv6 host tự động cấu hình địa chỉ cho mình mà không cần sự hỗ trợ của máy chủ DHCPv6 Host thực hiện cấu hình IP bắt đầu từ trạng thái chưa có thông tin hỗ trợ cấu hình, do vậy phương thức cấu hình này được gọi là “tự động cấu hình không trạng thái - stateless autoconfiguration”

1.5.5 Đánh số lại thiết bị IPv6

Đánh số lại mạng IPv4 là điều những nhà quản trị rất ngại Nó ảnh hưởng tới hoạt động mạng lưới và tiêu tốn nhân lực cấu hình lại thông tin cho host, node trên mạng

Địa chỉ IPv6 được thiết kế có một cách thức đánh số lại mạng một cách dễ dàng hơn Một địa chỉ IPv6 gắn cho node sẽ có hai trạng thái, đó là “còn được sử dụng - preferred” và “loại bỏ - deprecated” tuỳ theo thời gian sống của địa chỉ đó Host luôn cố gắng sử dụng các địa chỉ có trạng thái “còn được sử dụng” Thời gian sống của địa chỉ được thiết lập từ thông tin quảng bá của router Do vậy, các host trên mạng IPv6 có thể được đánh số lại nhờ thông báo của router đặt thời gian hết thời hạn có thể sử dụng cho một tiền tố mạng (network prefix) Sau đó, router thông báo prefix mới để các host tạo lại địa chỉ IP Trên thực tế, các host có thể duy trì sử dụng địa chỉ cũ trong một khoảng thời gian nhất định trước khi xóa bỏ hoàn toàn

1.1.5.2 Quy trình tìm kiếm giá trị PathMTU phục vụ cho việc phân mảnh gói

tin IPv6

Trong hoạt động của thế hệ địa chỉ IPv4, trong quá trình chuyển tiếp gói tin, nếu IPv4 router nhận được gói tin lớn hơn giá trị MTU của đường kết nối, router sẽ thực hiện phân mảnh gói tin (fragment) thành những gói tin nhỏ hơn Sau quá trình truyền tải, gói tin được xây dựng lại nhờ những thông tin trong header.Địa chỉ IPv6

áp dụng một mô hình khác để phân mảnh gói tin Mọi IPv6 router không tiến hành phân mảnh gói tin, nhờ đó tăng hiệu quả, giảm thời gian xử lý gói tin Việc phân mảnh gói tin được thực hiện tại host nguồn, nơi gửi gói tin Do vậy, trong header cơ bản IPv6, các trường hỗ trợ cho việc phân mảnh và kết cấu lại gói tin (tương ứng

IPv4 header) đã được bỏ đi Những thông tin trợ giúp cho việc phân mảnh và tái tạo gói tin IPv6 được để trong một header mở rộng của gói tin IPv6 (gọi là Fragment Header)

1.6 Các giao thức liên quan đến IPv6

Thủ tục lớp mạng (Internet Protocol -IP) cung cấp phương thức để kết nối những mạng nội bộ riêng rẽ thành một mạng lớn hơn, được gọi là liên mạng (internetwork) Những thủ tục lớp cao coi liên mạng như một mạng nội bộ phạm vi rộng lớn, bởi vì những lớp thấp hơn đã giấu đi những chi tiết “liên kết” những mạng nhỏ riêng biệt thành liên mạng Trên phương diện các thủ tục lớp cao và các ứng dụng, các thiết bị coi nhau như những đối tượng ngang hàng Tuy nhiên trên phương diện các lớp thấp hơn, có một sự khác biệt rất quan trọng giữa thiết bị thuộc mạng nội bộ và những thiết bị bên ngoài Thiết bị thuộc mạng nội bộ sẽ có những giao tiếp đặc biệt với nhau

Thế hệ địa chỉ IPv4, để hỗ trợ những giao tiếp này và những yêu cầu hoạt động khác, bên cạnh thủ tục Internet Protocol (version 4), có nhiều thủ tục hỗ trợ khác như ARP cho phép thiết bị phân giải địa chỉ lớp hai từ địa chỉ lớp ba; thủ tục ICMP cung cấp các thông điệp điều khiển, hỗ trợ giao tiếp Những thủ tục và quy trình hoạt động này hiện đang phục vụ tốt cho hoạt động mạng với phiên bản IPv4, tuy nhiên, cũng tồn tại nhiều hạn chế

Thủ tục IP phiên bản 6 có những thay đổi lớn, thực hiện tiêu chuẩn hoá và tổ hợp nhiều chức năng, quy trình riêng biệt của giao tiếp giữa những thiết bị nội bộ Đối với hoạt động của một mạng máy tính được gắn địa chỉ IPv6, giao tiếp giữa các node trên một đường kết nối là vô cùng quan trọng Do vậy, IPv6 phát triển một thủ tục mới đảm nhiệm giao tiếp giữa những node thuộc một đường kết nối (được khái niệm hoá là những node lân cận), có tên gọi IPv6 Neighbor Discovery - ND Địa chỉ IPv6 cũng thực hiện đồng nhất hoá các thông điệp sử dụng trong quá trình giao tiếp nội bộ Toàn bộ những quy trình giao tiếp này sử dụng các thông điệp ICMPv6 Ba thủ tục ICMPv6, ND (Neighbor Discovery), MLD (Multicast Listener Discovery) là

những thủ tục thiết yếu cho hoạt động của IPv6.Trong đó MLD và ND hoạt động trên nền các thông điệp ICMPv6

1.7 Kết luận chương

Trong phần này, học viên trình bày các lý do ra đời không gian địa chỉ mới IPv6 thay thế không gian địa chỉ hiện tại IPv4 cũng như các vấn đề liên quan đến cấu trúc địa chỉ IPv6, các dạng địa chỉ IPv6 Bên cạnh các kiến thức tổng quan, học viên đi sâu phân tích, so sánh các ưu điểm của thế hệ địa chỉ IPv6 so với IPv4

Với vai trò vô cùng quan trọng của hệ thống Internet, trong khi không gian địa chỉ IPv4 đã bước vào giai đoạn cạn kiệt, việc phát triển, ứng dụng không gian địa chỉ IPv6 thay thế nhưng đảm bảo không gián đoạn mạng Internet toàn cầu là vô cùng cấp bách Trong chương 2 học viên đề cập đến các công nghệ hỗ trợ chuyển đổi hệ thống mạng cho một tổ chức, doanh nghiệp từ hạ tầng IPv4 sang hạ tầng IPv6

CHƯƠNG II-TỔNG QUAN VÀ CƠ CHẾ HOẠT ĐỘNG AN

TOÀN MẠNG THÔNG TIN TRÊN IPV6

Chương này học viên đề cập đến tổng quan, so sánh an toàn giữa IPv4 và IPv6, các giao thức và bảo mật IPSec trong IPv6, cơ chế hoạt động và hệ thống tường lửa trên mạng IPv6

2.1 Tổng quan về giao thức bảo mật IPSec [4]

a) Mục đích của IPSec

IPSec là một bộ các giao thức và thuật toán mã hóa cung cấp khả năng bảo mật tại lớp Internet (Internet Layre) mà không cần phải quan tâm đến các ứng dụng gửi hay nhận dữ liệu

Sử dụng IPSec, chỉ cần một chuẩn bảo mật được áp dụng và việc thay đổi ứng dụng không cần thiết

b) IPSec có 2 mục đích chính

– Bảo vệ nội dung của các gói IP Cung cấp việc bảo vệ chống lại các cuộc tấn công mạng thông qua lọc gói tin và việc bắt buộc sử dụng các kết nối tin cậy – Cả hai mục tiêu trên đều có thể đạt được thông qua việc sử dụng các dịch vụ phòng chống dựa trên cơ chế mã hóa, các giao thức bảo mật và việc quản lý các khóa động Với các nền tảng như vậy, IPSec cung cấp cả hai tính năng mạnh vả uyển chuyển trong việc bảo vệ các cuộc liên lạc giữa các máy tính trong mạng riêng, miền, site (bao gồm cả các site truy cập từ xa), các mạng Intranet, các máy khách truy cập qua đường điện thoại Thậm chí nó còn được sử dụng để khóa việc nhận hay gửi của một loại lưu thông chuyên biệt nào đó

c) Chống lại các cuộc tấn công bảo mật

Là bảo vệ các gói tin làm cho chúng trở thành quá khó, nếu không nói là không thể đối với các kẻ xâm nhập để có thể dịch được các dữ liệu mà họ thu giữ được IPSec có một số các tính năng mà có thể làm giảm đáng kể hay ngăn ngừa được các loại tấn công sau

d) Do thám gói dữ liệu (Packet Sniffing)

Packet Sniffer là một ứng dụng thiết bị có thể theo dõi và đọc các gói dữ liệu Nếu gói dữ liệu không được mã hóa, các Packet Sniffer có thể trình bày đầy đủ các nội dung bên trong các gói dữ liệu

e) Thay đổi dữ liệu

Kẻ tấn công có thể thay đổi các thông điệp đang được vận chuyển và gửi đi các dữ liệu giả mạo, nó có thể ngăn cản người nhận nhận được các dữ liệu chính xác, hay có thể cho phép kẻ tấn công lấy được thêm các thông tin bảo mật IPSec sử dụng các khóa mã hóa, chỉ được chia sẻ giữa người gửi và người nhận, để tạo ra các

số kiểm soát được mã hóa cho mỗi gói IP Mỗi thay đổi đối với gói dữ liệu đều dẫn đến việc thay đổi số kiểm soát và sẽ chỉ ra cho người nhận biết rằng gói dữ liệu đã

bị thay đổi trên đường truyền

f) Nhận dạng giả mạo

Kẻ tấn công có thể làm giả các mã nhận dạng (Identity Spoofing) bằng cách

sử dụng một chương trình đặc biệt để xây dựng các gói IP mà xuất hiện như các gói

dữ liệu gốc từ các địa chỉ hợp lệ bên trong mạng được tin cậy IPSec cho phép trao đổi và xác nhận lại các mã nhận dạng mà không phơi chúng ra cho các kẻ tấn công dịch Sự xác nhận lẫn nhau (xác thực) được sử dụng để thiết lập tin cậy giữa các hệ thống cũng tham gia liên lạc với các hệ thống khác Sau khi các mã nhận dạng được thiết lập, IPSec sử dụng các khóa mã hóa, được chia sẻ chỉ giữa người gửi và người nhận, để tạo các số kiểm soát được mã hóa cho mỗi gói IP Các số kiểm soát được

mã hóa đảm bảo rằng chỉ các máy tính đã biết rõ về các khóa là có thể gửi được từng gói dữ liệu

g) Tấn công ngang đường (man-in-the-middle attack)

Trong dạng tấn công này, một người nào đó, đứng giữa hai máy tính đang liên lạc với nhau, sẽ tiến hành theo dõi, thu nhập và điều khiển các dữ liệu một cách trong suốt IPSec kết hợp việc xác thực lẫn nhau và các mã hóa để được chống lại dạng tấn công này