Chủ đề 11
Tìm hiểu ipsec trong bộ giao thức ipv6
Thành viên nhóm 11:



I.

Nguyễn Nhật Linh
Lê Đức Tiệp

Tổng quan về Ipv6
Địa chỉ thế hệ mới của Internet – IPv6(IP adress version 6) được nhóm chuyên
trách về kĩ thuật IETF của Hiệp hội Internet (Internet Engineering Task Force)
Đề xuất thực hiện kế thằ trên cấu trúc và tổ chức của IPv4.
1. Sự giới hạn về kích thước địa chỉ




Do IPv4 chỉ dùng 32 bit để đánh địa chỉ nên không gian địa chỉ IPv4 chỉ có 2^32
địa chỉ. Với sự phát triển mạnh mẽ của Internet hiện nay, tài nguyên địa chỉ IPv4
đã gần cạn kiệt. Như vậy IPv4 ngày nay hầu như khơng cịn đáp ứng được nhu
cầu sử dụng của mạng Internet. Hai vấn đề lớn mà IPv4 đang phải đối mặt là việc
thiếu hụt các địa chỉ, đặc biệt là các không gian địa chỉ tầm trung (lớp B) và việc
phát triển về kích thước rất nguy hiểm của các bảng định tuyến trong Internet.

2. Cấu trúc định tuyến khơng hiệu quả


là q trình chọn lựa các đường đi trên một mạng máy tính để gửi dữ liệu qua đó)



Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa khơng phân cấp. Mỗi
router phải duy trì bảng thơng tin định tuyến lớn, địi hỏi router phải có dung
lượng bộ nhớ lớn. IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói
tin IPv4.

3. Hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối
 Trong cấu trúc thiết kế của địa chỉ IPv4 khơng có cách thức bảo mật nào
đi kèm. IPv4 khơng cung cấp phương tiện hỗ trợ mã hóa dữ liệu. Kết quả
là hiện nay, bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo
mật lưu lượng truyền tải giữa các host. Nếu áp dụng IPSec là một phương
thức bảo mật phổ biến tại tầng IP, mơ hình bảo mật chủ yếu là bảo mật lưu
lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối được sử
dụng rất hạn chế.


 Thiết bị đầu cuối là thiết bị mà cuối cùng nhận tín hiệu nhưng cũng là đầu tiên
phát đi.
 Ví dụ mạng điện thoại có: Tổng đài, các trạm trung chuyển... và cuối cùng là
máy điện thọại. Máy điện thoại là TB đầu cuối. Tương tự trong mạng internet
cũng vây. Máy PC của bạn có nối mạng là TB đầu cuối

II.

Tìm hiểu IPSec trong IPv6


IP Security (IPSec) là một giao thức được chuẩn hóa bởi IETF từ năm 1998 nhằm

mục đích nâng cấp các cơ chế mã hóa và xác thực thông tin cho chuỗi thông tin
truyền đi trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là tập hợp của
các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn
vẹn và chứng thực dữ liệu giữa các dữ liệu mạng.



IPSec cung cấp cơ chế bảo mật ở tầng 3 (Network layer) của mơ hình OSI.Giao
thức IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện
thống nhất trong cả 2 phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là
một tùy chọn, nhưng đối với IPv6,giao thức bảo mật này được triển khai bát buộc.

1, kiến trúc IPSec
-Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu
của IPSec
.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và
xác thực thông tin trong IPSec.
- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức
năng gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn
dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng
trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật tốn xác thực thơng tin sử
dụng trong AH và ESP.
- Quản lý khố (RFC 2408): Mơ tả các cơ chế quản lý và trao đổi khoá
trong IPSec.
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường
thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của
nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều

có nhiều chế độ hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết
để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi.


- Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với
IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hố
và xác thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm
hai thành phần:
-Giao thức đóng gói, gồm AH và ESP
-Giao thức trao đổi khoá IKE (Internet Key Exchange)
- ESP (Encapsulation Security Payload)
- AH (Authentication Header)
2,Bảo mật ISPec
 IPSec cung cấp bốn chức năng quan trọng sau:
- Bảo mật(mã hóa)- Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi
truyền chúng qua mạng. Bằng cách đó, khơng ai có thể nghe trộm trên đường
truyền. Nếu giao tiếp bị ngăn chặn, dữ liệu khơng thể đọc được.
-

Tồn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu được
truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn vẹn dữ liệu
bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm).

-

Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng
đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực
nguồn gốc của thông tin.
*Antireplay protection: xác nhận mỗi gói tin là duy nhất và khơng trùng lặp.
3,


III.

Cấu trúc Địa chỉ IPv6
1) Kiến trúc của IPv6
- IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa
chỉ là 232 = 4 294 967 296 địa chỉ. Cịn IPv6 có 128 bit địa chỉ dài hơn 4 lần so
với IPv4 nhưng khả năng lý thuyết có thể cung cấp một khơng gian địa chỉ là 2™
= 340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn
không gian địa chỉ của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy trịn số là 4.109
còn 2128 lấy tròn số là 340.10 36 ( khoảng 340 tỷ tỷ tỷ tỷ địa chỉ ). Số địa chỉ này
nếu rải đều trên bề mặt quả đất thì mỗi mét vng có khoảng 665 570 tỷ tỷ địa chỉ
(665 570 .10 18) vì diện tích bề mặt quả đất khoảng 511 263 tỷ mét vuông .Đây là
một không gian địa chỉ cực lớn với mục đích khơng chỉ cho Internet mà cịn cho
tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí
cho từng vật dụng trong gia đình. Người ta nói rằng từng chiếc điều hoà, tủ lạnh,
máy giặt hay nồi cơm điện v.v..của từng gia đình một cũng sẽ mang một điạ chỉ
IPv6 để chủ nhân của chúng có thể kết nối và ra lệnh từ xa . Nhu cầu hiện tại chỉ
cần 15% khơng gian địa chỉ IPv6 cịn 85% dự phòng cho tương lai


2) CẤU TRÚC CỦA ĐỊA CHỈ IPv6
 Địa chỉ IPv4 được chia ra 5 lớp A,B,C,D,E còn IPv6 lại được phân ra là 3 loại
chính sau :
1/ Unicast Address. Địa chỉ đơn hướng. cụ thể là một gói số liệu được
gửi tới một địa chỉ đơn hướng sẽ được chuyển tới Node mang địa chỉ đơn hướng
- Unicast đó.
3/ Multicast Address. Địa chỉ đa hướng. cụ thể là một gói số liệu được
gửi tới một địa chỉ " đa hướng" sẽ được chuyển tới tất cả các Node trong Tập hợp
Node mang địa chỉ Multicast đó .

2/ Anycast Address. Địa chỉ bất kỳ hướng nào, cụ thể là một gói số liệu
được gửi tới một địa chỉ "Bất cứ hướng nào" sẽ được chuyển tới một Node gần
nhất trong Tập hợp Node mang địa chỉ anycast đó .

Cách viết địa chỉ IPv6: các nhà thiết kế đã chọn cách viết 128 bit địa chỉ
thành 8 nhóm, mỗi nhóm chiếm 2 bytes, mỗi bytes biểu diễn bằng 2 số hệ
16; mỗi nhóm ngăn cách nhau bởi dấu hai chấm.
Tích hợp bảo mật IPsec trong địa chỉ IPv6


IV.

1,Các chế độ làm việc chính của giao thức IPSec, bao gồm: Transport mode và tunnel
mode.


Transport mode: chế độ hoạt động này bảo vệ giao thức tầng trên và các
ứng dụng. Trong đó, phần IPSec header được chèn vào giữa phần IP
header và phần header của giao thức tầng trên.Vì vậy, chỉ có tải (IP
payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn.
Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Hoạt động
của ESP trong chế độ này được sử dụng để bảo vệ thông tin giữa hai host
cố định và bảo vệ các giao thức lớp trên của IP datagram. Trong Transport
Mode, AH header được chèn vào trong IP datagram sau IP header và các
tuỳ chọn. Ở trong chế độ này, AH được xem như phần tải đầu cuối tới đầu
cuối (end-to-end payload), nên sẽ xuất hiện sau các phần header mở rộng
hop-to-hop, routing, và fragmentation. Cịn phần mào đầu đích
(Destination Options Header) có thể được đặt trước hoặc sau AH.





Tunnel mode: chế độ này bảo vệ tồn bộ gói dữ liệu. Tồn bộ gói dữ liệu
IP được đóng gói trong một gói dữ liệu IP khác. Và một IPSec header
được chèn vào giữa phần đầu nguyên bản (Original Header)và phần đầu
mới của IP. Trong chế độ Tunnel IP header ở đầu vào mang địa chỉ nguồn
và địa chỉ đích cuối cùng, còn IP header ở đầu ra mang địa chỉ để định
tuyến qua Internet. Trong chế độ này, AH bảo vệ tồn bộ gói tin IP bên
trong, bao gồm cả IP header đầu vào.


* Nguyên tắc hoạt động của AH:
- Authentication Header (AH) (tiêu đề xác thực):AH được sử dụng trong các kết nối
khơng có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay
attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets. AH
bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Các modes thực hiện:

*Ý nghĩa của từng phần:
Next header: Nhận dạng giao thức trong sử dụng truyền thơng tin.
Payload length: Độ lớn của gói tin AH.
RESERVED: Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0).
Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP,
và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.


Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng
replay attacks.
Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác
thực.
*Nguyên lý hoạt động của ESP:

- Encapsulating Security Payload (ESP) (gói gọn tải trọng bảo mật):Giao thức ESP cung

cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP cũng hỗ trợ tính năng cấu hình
sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã
hố mà khơng u cầu xác thực khơng đảm bảo tính bảo mật. Khơng như AH, header của gói tin
IP, bao gồm các option khác. ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50
và AH mang số hiệu 51.Các modes thực hiện:

*Ý nghĩa của các phần:
Security parameters index (SPI): Nhận ra các thơng số được tích hợp với địa chỉ IP.
Sequence number: Tự động tăng có tác dụng chống tấn cơng kiểu replay attacks.
Payload data: Cho dữ liệu truyền đi
Padding: Sử dụng vài block mã hoá
Pad length: Độ lớn của padding.
Next header: Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.
Authentication data: Bao gồm dữ liệu để xác thực cho gói tin.
*ưu điểm của IPSec:
-Khái niệm: bức tường lửa ( firewall) là rào chắn mà một số cá nhân, tổ chức, doanh
nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn từ
ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm trong mạng nội
bộ xuất ra ngồi internet mà khơng được cho phép
-TCP:TCP là viết tắt của Transmission Control Protocol tải>. Đó là giao thức phổ biến nhất được sử dụng trên Internet.
-UDP:UDP là viết tắt của User Datagram Protocol - một gói tương tự như một gói của
thơng tin. Giao thức UDP hoạt động tương tự như TCP, nhưng nó bao gồm tất cả những thứ đã
kiểm tra và có lỗi.


 Khi IPSec triển khai trên bức tường lửa  tính năng an tồn của IPSec có thể áp
dụng cho tồn bộ vào ra mạng riêng đó

 IPSec được thực hiện bên dưới lớp TCP  không cần phải thay đổi phần mềm
hay cấu hình lại các dịch vụ
 IPSec có thể được cấu hình để hoạt động đối với các ứng dụng đầu cuối  giúp
che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết
nối đến mạng nội bộ từ xa thông qua mạng Internet.
*nhược điểm của IPSec:
Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề
khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể
được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang
nghiên cứu và chưa được chuẩn hóa.
IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu
lượng khác.
Việc tính tốn nhiều giải thuật phức tạp trong IPSec vẫn cịn là một vấn đề khó đối với
các trạm làm việc và máy PC năng lực yếu.
Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính
phủ một số quốc gia
Địa chỉ IP (IP là viết tắt của từ tiếng Anh: Internet Protocol - giao thức Internet) làmột địa chỉ đơn nhất
mà những thiết bị điện tử hiện nay đang sử dụng để nhận diện và liên lạc với nhau trên mạng máy tính
bằng cách sử dụng giao thức Internet.