Đồ án thực hiện nghiên cứu về công nghệ mạng mới là MobileIP của Cisco. Giải pháp Mobile IPv6 và giải pháp Mobile IPv4 và so sánh hai giải pháp này. Đưa ra các giải pháp bảo mật và triển khai trên GNS3.
Tổng quan mobile ip
Khái niệm cơ bản
Mobile IP là giao thức do IETF phát triển, cho phép người dùng di chuyển giữa các mạng mà vẫn duy trì kết nối Giao thức này ngày càng trở nên quan trọng trong thế giới di động và công nghệ 4G Mobile IP có nhiều phiên bản và mở rộng khác nhau như Mobile IPv4, Mobile IPv6, Fast Mobile IP và Multiple CoA Mobile IP, đáp ứng nhu cầu kết nối liên tục của người dùng di động.
Mobile IP cho phép các node duy trì khả năng nhận dữ liệu mà không cần lo lắng về vị trí kết nối vào mạng Internet Nó cung cấp các bản tin điều khiển để cập nhật bảng định tuyến một cách tin cậy Đặc biệt, Mobile IP có thể được triển khai mà không yêu cầu thay đổi ở các tầng vật lý và liên kết dữ liệu, do đó nó hoàn toàn độc lập với các công nghệ truy cập không dây.
Một số khái niệm cơ bản trong Mobile IP:
- Mobile Node (MN) nút di động: để chỉ một host hoặc một rounter thay đổi điểm kết nối từ mạng này sang mạng khác
Khi một thiết bị di động (MN) di chuyển ra khỏi mạng thường trú, nó cần một đại diện để thực hiện vai trò này, đó chính là Home Agent (HA) HA có nhiệm vụ tạo ra một đường hầm để chuyển tiếp các gói tin đến MN khi nó rời khỏi mạng thường trú, đồng thời lưu trữ thông tin về vị trí hiện tại của MN.
Khi một Foreign Agent (FA) di chuyển khỏi mạng thường trú, nó cần có một địa chỉ tạm trú gọi là CoA (Care of Address) Địa chỉ CoA là địa chỉ IP dùng để truyền các gói dữ liệu đến đích tương ứng Để đảm bảo quá trình này diễn ra suôn sẻ, MN phải thông báo địa chỉ CoA cho HA nhằm xác định vị trí hiện tại của nó.
MN, MN có địa chỉ này từ FA
Correspondent Node (CN) là một node trong mạng có nhu cầu truyền thông với Mobile Node (MN) Mặc dù CN không phải là một thành phần chính của Mobile IP, nhưng nó được đưa vào để mô tả hoạt động của giao thức này.
Nguyên tắc hoạt động của Mobile IP:
Khi một Mobile Node (MN) rời khỏi mạng thường trú (home network), nó cần xác định rằng mình đã ra khỏi mạng và tìm kiếm đại diện mới khi ở mạng khách (foreign network) Các Home Agent (HA) và Foreign Agent (FA) thường xuyên gửi gói tin quảng bá để thông báo khả năng của mình theo chu kỳ, giúp MN nhận biết rằng nó đang ở một mạng khác và bắt đầu quá trình tìm kiếm đại diện tạm trú.
- Sau khi đã nhận được thông tin về FA, MN có thể bắt đầu liên lạc với FA
MN gửi yêu cầu đăng ký thông tin đến HA, có thể là địa chỉ CoA, tùy thuộc vào phương thức kết nối mạng Yêu cầu này có thể được gửi trực tiếp đến HA hoặc thông qua FA và sẽ được xem xét để cho phép hoặc từ chối lưu thông trong một khoảng thời gian nhất định.
Nếu HA được phép, nó sẽ hoạt động như người đại diện cho MN Khi mạng gốc của MN nhận các gói tín hiệu gửi đến MN, HA sẽ thu thập những gói tin này và chuyển tiếp chúng đến địa chỉ của FA mà MN đã đăng ký.
FA sẽ mở các gói tin và gửi đến MN với độ chính xác cao HA áp dụng phương pháp đóng gói để truyền thông tin cho MN, sử dụng phần mào đầu của gói và chuyển qua đường hầm.
Quá trình đăng ký của MN sẽ tiếp diễn cho đến khi hết hạn hoặc khi MN chuyển sang mạng mới Khi hết hạn, MN cần đăng ký lại với HA thông qua FA Nếu MN chuyển đến mạng khác, nó sẽ gửi yêu cầu đăng ký mới qua FA mới, và trong trường hợp này, HA sẽ cập nhật địa chỉ nhờ chuyển CoA của MN, đồng thời tiếp tục gửi các gói tin đã đóng gói tới địa chỉ nhờ chuyển CoA.
Khi một mạng nội bộ (MN) trở về trạng thái mạng thường trú, nó sẽ gửi yêu cầu đăng ký lại đến hệ thống quản lý (HA) để thông báo rằng nó đã trở lại mạng thường trú Điều này giúp ngăn chặn việc thực hiện đường hầm và dọn bỏ các địa chỉ đã được gửi trước đó.
Như vậy có thể phân chia thành 3 chức năng tương đối cách biệt như sau:
Phát hiện agent (agent discovery) cho phép các Host Agent (HA) và Function Agent (FA) quảng bá khả năng phục vụ của mình qua từng liên kết dịch vụ Khi một mạng mới được kết nối, nó có thể gửi yêu cầu thông tin để xác định các agent có khả năng đáp ứng nhu cầu phục vụ.
Đăng ký (registration) là chức năng cho phép Mobile Node (MN) thực hiện việc đăng ký Certificate of Authentication (CoA) với Home Agent (HA) khi hoạt động ngoài mạng thường trú Tùy thuộc vào phương thức kết nối của mạng khách, MN có thể gửi trực tiếp yêu cầu đăng ký đến HA hoặc thông qua một trung gian chuyển tiếp, được gọi là Foreign Agent (FA).
Để chuyển tiếp dữ liệu đến Mobile Node (MN) khi rời khỏi mạng thường trú, Home Agent (HA) sẽ tạo một đường hầm (tunnelling) và gửi dữ liệu đến địa chỉ CoA (Care-of Address) của MN.
Nguyên tắc hoạt động của Mobile IP đơn giản nhưng mang lại giải pháp hiệu quả cho sự di động trong mạng 4G tương lai Để hiểu rõ hơn về cách thức hoạt động của Mobile IP, chúng ta cần tìm hiểu về Mobile IPv4.
Giao thức Mobile IPv4
Mobile IP utilizes messages defined by the standard ICMP Router Discovery protocol to function effectively Two key messages in Mobile IP are derived from this protocol, facilitating seamless communication and connectivity.
2 bản tin của ICMP có thêm phần mở rộng
The Agent Advertisement message, transmitted by service stations, promotes their services over a connection Mobile Nodes (MN) utilize these advertisement messages to identify their current Internet connection point The Agent Advertisement is essentially an extended version of the ICMP Router Advertisement, which includes a mandatory Mobility Agent Advertisement Extension Additionally, it may feature optional components such as the Prefix-Lengths Extension and One-byte Padding Extension, as well as other future-defined extensions.
Cấu trúc bản tin Agent Advertisement được định nghĩa như hình vẽ sau:
Hình 1.1: Cấu trúc bản tin Agent Advertisement
In the IP header, the Time to Live (TTL) is always set to 1, as this message is intended to operate only within the local network managed by the service station The Destination Address for a Multicast Agent Advertisement message must be either the multicast address "all systems on this link" (224.0.0.1) or the limited broadcast address (255.255.255.255).
Mã (Code): Trường mã của bản tin quảng cáo địa lý có các giá trị
Đại lý di động chỉ đóng vai trò như các bộ định tuyến cho các gói tin IP, không có liên quan gì tới các trạm di động
Đại lý di động có thể không thực hiện việc định tuyến lưu lượng IP thông thường, nhưng các đại lý ngoại vẫn phải chuyển tiếp mọi gói tin nhận được từ trạm di động đã đăng ký, có thể đến một bộ định tuyến mặc định.
ICMP Checksum: là số bù 1 của toàn bộ bản tin ICMP, bắt đầu từ trường kiểu Để tính checksum, giá trị của trường này cần phải được thiết lập 0
Thời gian tồn tại (Lifetime) là khoảng thời gian tối đa mà một bản tin quảng cáo được coi là hợp lệ trước khi có các bản tin quảng cáo mới xuất hiện.
Số lượng địa chỉ (Num Addrs) thể hiện số lượng địa chỉ của các bộ định tuyến được quảng bá trong bản tin này, và trường này có thể có giá trị là 0.
Kích thước của mỗi địa chỉ (Addr Entry Size): Có giá trị là 32 để chỉ trường địa chỉ bộ định tuyến là 32 bit
Mỗi bộ định tuyến trong bản tin này đều có địa chỉ đi kèm với một giá trị ưu tiên, thể hiện khả năng cung cấp dịch vụ cho các trạm mới Thông thường, bộ định tuyến có mức ưu tiên cao sẽ được lựa chọn.
Với các trường trong phần mở rộng quảng cáo đại lý di động (Mobile Agent
Độ dài (Length): Có giá trị là (6+4*N) bytes, trong đó N là số lượng địa chỉ care - of được quảng cáo
Số thứ tự (Sequence number): Số hệu của bản tin quảng cáo đại lý được gửi đi kể từ khi đại lý được khởi tạo
Thời gian tồn tại của đăng ký là khoảng thời gian tối đa (tính bằng giây) mà đại lý chấp nhận các yêu cầu đăng ký Nếu tất cả các bit trong trường này đều là 1, điều đó có nghĩa là thời gian tồn tại của đăng ký là vô tận.
Yêu cầu đăng ký là một chỉ thị quan trọng, yêu cầu trạm di động thực hiện đăng ký với đại lý ngoại hoặc một đại lý ngoại khác trên cùng tuyến, thay vì sử dụng địa chỉ colocated care-of.
B: Bận Nếu bit này được thiết lập, đại lý ngoại sẽ không chấp nhận việc đăng ký thêm bất kỳ một trạm di động nào nữa
H: Đại lý gốc Đại lý này sẽ thực hiện chức năng của một đại lý gốc trên tuyến mà ở đó bản tin quảng cáo được gửi đi
F: Đại lý ngoại Đại lý này sẽ thực hiện chức năng của một đại lý ngoại trên tuyến mà ở đó bản tin quảng cáo được gửi đi
M: Đóng gói tối thiểu Đại lý này sẽ nhận các gói tin được gửi đi (tunnel) theo phương pháp đóng gói tối thiểu
G: Đóng gói GRE Đại lý này sẽ nhận các gói tin được gửi đi (tunnel) theo phương pháp đóng gói GRE
V: Nén tiêu đề Van Jacobson Đại lý này hỗ trợ việc sử dụng nén tiêu đề của Van Jacobson trên cùng tuyến với trạm di động đã đăng ký
Dự trữ (Reserved): Trường này được thiết lập 0 khi gửi và được bỏ qua khi nhận
Các địa chỉ care-of có thể bao gồm một hoặc nhiều địa chỉ mà đại lý ngoại cung cấp Nếu bit F được thiết lập, bản tin quảng cáo của đại lý ngoại phải chứa ít nhất một địa chỉ care-of, và điều này được xác định dựa trên độ dài của quyết định đó.
Với phần mở rộng độ dài tiền tố (Prefix – Length):
Độ dài (Length) được xác định bởi giá trị của trường số lượng địa chỉ (Num Addrs) trong quảng cáo bộ định tuyến của bản tin quảng cáo đại lý.
Độ dài tiền tố đề cập đến số lượng bit trong phần định danh của địa chỉ mà các bộ định tuyến sử dụng trong quảng cáo bộ định tuyến của bản tin quảng cáo đại lý.
Với phần Byte đệm mở rộng (One – Byte Padding Extension):
Nếu độ dài ICMP của bản tin quảng cáo đại lý là lẻ, cần thêm một byte đệm để làm cho độ dài này chẵn Một quảng cáo đại lý chỉ được phép có tối đa một byte đệm, và nếu có, byte đệm này phải là phần mở rộng cuối cùng trong bản tin.
Lưu ý rằng byte đệm trong IPv4 khác với các mở rộng khác, vì nó không có trường độ dài hay trường dữ liệu, mà chỉ chứa trường kiểu với tất cả các bit có giá trị 0.
Bản tin tìm kiếm đại lý (Agent Solicitation) tương tự như bản tin tìm kiếm bộ định tuyến ICMP (ICMP Router Solicitation), nhưng có thêm yêu cầu rằng trường TTL trong tiêu đề gói tin IP phải được thiết lập là 1, và địa chỉ IP đích phải là địa chỉ multicast 224.0.0.2 hoặc địa chỉ broadcast 255.255.255.255 Khi nhận được bản tin này, bất kỳ bộ định tuyến nào sẽ phản hồi bằng một bản tin quảng cáo đại lý gửi trực tiếp đến địa chỉ unicast của trạm yêu cầu Trạm di động xử lý bản tin này giống như các bản tin quảng cáo khác được gửi qua địa chỉ multicast hoặc broadcast.
Cấu trúc bản tin agent solicitation như sau:
Hình 1.2: Cấu trúc bản tin Agent Solicitation
Giao thức Mobile IPv6
Giao thức Mobile IPv6 là một sự mở rộng quan trọng của giao thức IPv6, mang lại tiềm năng cách mạng hóa lĩnh vực mạng và truyền thông Một trong những tính năng nổi bật của IPv6 là khả năng mở rộng cấu trúc địa chỉ, cho phép tăng chiều dài địa chỉ từ 32 bit lên 128 bit Điều này đồng nghĩa với việc không gian địa chỉ được mở rộng một cách đáng kể, khắc phục những hạn chế về số lượng địa chỉ mà giao thức IPv4 gặp phải.
Mobile IPv6 yêu cầu trao đổi thông tin bổ sung so với Mobile IPv4 Mọi thông điệp mới trong Mobile IPv6 được xác định dưới dạng các tùy chọn đích IPv6, được sử dụng để mang các thông tin cần thiết cho việc kiểm tra bởi node đích của gói tin.
1.3.1 Các tùy chọn trong Mobile IPv6
Tất cả các bản tin dùng trong Mobile IPv6 đều được định nghĩa dưới dạng các tuỳ chọn đích của giao thức IPv6.
Có 4 tùy chọn đích được định nghĩa trong Mobile IPv6:
1 Cập nhật liên kết (Binding Update): tùy chọn “Cập nhật liên kết” được sử dụng bởi MN để thông báo cho HA hoặc các CN biết về CoA hiện tại của nó Bất kỳ gói tin nào chứa tùy chọn cập nhật liên kết phải chứa các header
AH (Authentication Header) và ESP (Encapsulating Security Payload)
2 Sự báo nhận liên kết (Binding Acknowledgement): tùy chọn “Sự báo nhận liên kết” được sử dụng để yêu cầu đưa ra báo nhận khi nhận được cập nhật liên kết Bất kỳ một gói tin nào chứa lựa chọn sự báo nhận liên kết cũng đều phải chứa header AH và ESP
3 Yêu cầu liên kết (Binding Request): được sử dụng bất kỳ node nào muốn yêu cầu một MN gửi cập nhật liên kết với CoA
4 Địa chỉ gốc (Home Address): được sử dụng khi một gói tin được gửi bởi một MN để thông báo cho bên nhận gói tin này về địa chỉ Haddr của MN đó Nếu một gói tin với lựa chọn địa chỉ nhà được xác thực thì lựa chọn địa chỉ nhà cũng phải được kiểm tra bởi xác thực này
1.3.2 Cấu trúc dữ liệu Đặc tả Mobile IPv6 mô tả giao thức theo 3 cấu trúc dữ liệu sau:
Bộ nhớ đệm liên kết (Binding Cache - BC) là một thành phần quan trọng trong mỗi node IPv6, giúp lưu trữ thông tin về các liên kết với các node khác Khi nhận được cập nhật liên kết, node sẽ thêm thông tin đó vào BC Mỗi khi gửi gói tin, node sẽ tra cứu trong BC để xác định địa chỉ đích cần gửi đến.
Danh sách cập nhật liên kết (Binding Update List - BUL) là một danh sách quan trọng mà mỗi Mobile Node (MN) sử dụng để lưu trữ thông tin về các cập nhật liên kết được gửi đi BUL sẽ hoạt động khi Lifetime của các cập nhật liên kết chưa hết hạn và bao gồm tất cả các cập nhật liên kết được gửi đến các Correspondent Nodes (CN), cả di động lẫn cố định, cùng với Home Agent (HA) của MN.
Danh sách HA (Home Agent List) là một thành phần quan trọng trong mạng thường trú, nơi mỗi HA lưu trữ thông tin về các HA khác Thông tin này được thu thập từ các bản tin quảng cáo router mà các HA gửi đi, trong đó yêu cầu các HA phải được thiết lập để đảm bảo hoạt động hiệu quả của mạng.
HA được sử dụng bởi cơ chế phát hiện HA động.
Cơ chế định tuyến gói tin trong Mobile IP
1.4.1 Định tuyến gói tin bởi MN
Khi kết nối với hệ thống HA, MN hoạt động độc lập mà không cần dịch vụ di động, tương tự như một host hoặc router cố định MN có thể sử dụng DHCP để xác định router mặc định khi kết nối với HA hoặc khi rời khỏi mạng chủ, đồng thời sử dụng địa chỉ CCOA.
Khi được đăng ký trên mạng khách, MN chọn một router mặc định sử dụng các quy luật sau:
Nếu MN đăng ký sử dụng FA COA, địa chỉ nguồn IP của thông báo agent sẽ được coi là một lựa chọn thay thế cho địa chỉ IP của router mặc định Trong những trường hợp này, địa chỉ nguồn IP được đánh giá là lựa chọn không ưu tiên nhất cho router mặc định.
Nếu một mạng (MN) được đăng ký trực tiếp với địa chỉ nhà cung cấp dịch vụ (HA) của nó thông qua CCOA, thì mạng đó nên chọn router mặc định từ thông điệp ICMP Router Advertisement mà nó nhận được, dựa trên địa chỉ CCOA và địa chỉ router phù hợp với prefix mạng.
MN phù hợp với địa chỉ nguồn IP của thông báo agent theo prefix mạng và có thể coi địa chỉ nguồn IP như một lựa chọn thay thế cho địa chỉ IP của router mặc định Địa chỉ nguồn IP này được xem là lựa chọn không thích hợp nhất cho router mặc định, với ưu tiên thấp nhất Prefix mạng có thể được nhận từ phần mở rộng prefix-length trong Router Advertisement, nếu có, và cũng có thể thu được thông qua các cơ chế khác như các giao thức độc quyền.
Ngoài các quy luật đã nêu, việc lựa chọn router mặc định thực sự được thực hiện thông qua phương pháp chọn lựa trong ICMP router discovery Trong một số trường hợp, Mobile Node (MN) đã đăng ký theo cách Foreign Agent (FA) có thể chọn FA của mình làm router mặc định.
MN có thể sử dụng ARP quảng bá để xác định địa chỉ lớp 2 của FA hoặc router mặc định khác Tuy nhiên, việc sử dụng các router khác được thông báo trong ICMP router advertisement vẫn chưa được đảm bảo cho đến khi có các cơ chế mới được thiết lập cho Mobile IP.
1.4.2 Định tuyến gói tin bởi HA
HA được yêu cầu để có thể chặn các gói tin trên mạng chủ đề địa chỉ gửi đến
MN trong khi MN được đăng ký rời khỏi mạng thường trú Proxy và gratuitous ARP có thể được sử dụng để có thể thực hiện công việc này
Để xác định xem địa chỉ IP đích của các gói tin đến có phải là địa chỉ nhà của một mobile node đã đăng ký rời khỏi mạng chủ hay không, cần phải so sánh địa chỉ này với địa chỉ của mobile node đó Nếu trùng khớp, điều này cho thấy mobile node đã rời khỏi mạng chủ.
HA truyền gói tin đến COA hoặc các địa chỉ đã đăng ký, và nếu hỗ trợ nhiều danh sách di động đồng thời, nó sẽ gửi bản sao đến từng COA trong danh sách đó Nếu MN không có binding di động hiện tại, HA không được phép chặn gói tin gửi đến MN, dẫn đến việc HA sẽ không nhận các gói tin Tuy nhiên, nếu HA cũng là một router xử lý lưu lượng IP chung, nó có thể nhận gói tin để gửi đến mạng chủ Trong trường hợp này, HA cần thừa nhận rằng MN đang ở nhà và gửi gói tin trực tiếp đến mạng chủ.
Hình 1.7: Các cách để đặt HA trên mạng chủ
Khi HA nhận gói tin, nếu một trong những MN đã đăng ký rời khỏi nhà, HA sẽ kiểm tra xem gói tin đã được đóng gói hay chưa Nếu gói tin đã hoàn tất, hai quy tắc đặc biệt sẽ được áp dụng để gửi gói tin đến MN.
Nếu địa chỉ đích bên trong (đã đóng gói) giống với địa chỉ đích bên ngoài (địa chỉ nhà của Mobile Node - MN), thì Home Agent (HA) cần kiểm tra địa chỉ nguồn bên ngoài của gói tin đã đóng gói Nếu địa chỉ nguồn bên ngoài giống với Current Care-of Address (COA) hiện tại của MN, HA sẽ bỏ gói tin để ngăn chặn vòng lặp định tuyến Ngược lại, nếu địa chỉ nguồn bên ngoài không giống với COA hiện tại, HA sẽ gửi gói tin đến MN Trong trường hợp này, HA có thể đơn giản thay đổi địa chỉ đích bên ngoài thành COA thay vì phải đóng gói lại gói tin.
- Nếu inner destination address không giống như outer destination address,
HA cần thực hiện việc đóng gói lại gói tin (đóng gói đệ quy) bằng cách sử dụng địa chỉ đích bên ngoài mới, được xác định bởi COA của MN Điều này có nghĩa là HA gửi toàn bộ gói tin đến MN, tương tự như cách mà các gói tin khác được gửi đi, bất kể chúng có được đóng gói hay không.
1.4.3 Định tuyến gói tin bởi FA
Khi gói tin được gửi đến COA, một FA sẽ so sánh địa chỉ đích bên trong với danh sách tạm trú hiện có Nếu địa chỉ đích trùng khớp với một địa chỉ trong danh sách tạm trú, quá trình sẽ tiếp tục theo quy định.
FA chỉ có thể gửi gói tin đã được mở gói đến MN, và không thể gửi gói tin mà không có sửa đổi nào đến header IP nguyên thủy, điều này có thể dẫn đến vòng lặp định tuyến Nếu FA áp dụng các kỹ thuật tối ưu định tuyến, kết quả có thể khả thi, nhưng nếu không, gói tin sẽ bị loại bỏ Ngoài ra, bản tin ICMP destination unreachable không được phép gửi khi FA không thể truyền gói tin qua đường hầm.
FA không được phép thông báo sự hiện diện của bất kỳ MN hoặc router nào đến các router khác trong cùng một miền định tuyến, cũng như không được thông báo đến các MN khác.
FA có trách nhiệm định tuyến các gói tin từ các MN đã đăng ký Để thực hiện điều này, FA cần xác nhận checksum của tiêu đề IP, giảm giá trị TTL của IP, tính toán lại checksum của tiêu đề IP và chuyển gói tin đến một router mặc định.
Đánh giá về Mobile IPv4 và Mobile IPv6
Mobile IPv4 đề xuất một phương pháp hỗ trợ di động tương đối hiệu quả cho giao thức nền tảng IPv4
Triển khai Mobile IPv4 không yêu cầu thiết bị mạng đặc biệt; các tác tử có thể được tích hợp vào router hoặc bất kỳ node nào trong mạng.
Triển khai Mobile IPv4 không ảnh hưởng đến lưu thông trên mạng, cho phép các node hỗ trợ di động và không hỗ trợ di động tiếp tục trao đổi dữ liệu một cách bình thường.
Các chức năng của các tầng trên không bị ảnh hưởng
Trong quá trình triển khai giao thức Mobile IP có những vấn đề làm giảm hiệu năng hệ thống, đó có thể coi là nhược điểm của giao thức
Hiện tượng "Triangular Routing" trong Mobile IPv4 xảy ra khi mọi gói tin từ CN gửi đến MN phải đi qua HA, thay vì đến trực tiếp MN, dẫn đến giảm hiệu năng hệ thống Để khắc phục vấn đề này, giao thức đề xuất giải pháp tối ưu hóa đường đi (Route Optimization), cho phép HA cung cấp thông tin về MN cho CN, giúp CN có thể liên lạc trực tiếp với MN Tuy nhiên, giải pháp này gặp khó khăn trong việc cập nhật địa chỉ cho CN.
Khi triển khai Mobile IPv4, hiện tượng cần thiết lập đường hầm ngược xảy ra do sự tồn tại của các firewall Các thiết bị di động (MN) sử dụng địa chỉ Haddr của mình làm địa chỉ nguồn cho các gói tin gửi đi, nhưng firewall không cho phép các gói tin có địa chỉ mạng khác với địa chỉ mà nó bảo vệ Điều này có thể dẫn đến việc gói tin của MN không được phép qua firewall Để khắc phục vấn đề này, cơ chế thiết lập đường hầm ngược được sử dụng, với hai đầu đường hầm là vị trí tương ứng với CoA và HA Tuy nhiên, giải pháp này vô hình chung làm giảm hiệu năng của hệ thống.
NAT (Network Address Translators) được sử dụng trong mạng để cấp phát địa chỉ IP công cộng cho các máy trạm khi truy cập Internet, trong khi số lượng địa chỉ này có hạn, dẫn đến việc nhiều trạm chia sẻ một địa chỉ IP và cần phân biệt qua số hiệu cổng Khi triển khai Mobile IPv4, vấn đề phát sinh khi HA hoặc CN gửi gói tin IP-in-IP đến CoA của MN, nhưng do giới hạn số lượng CoA, nhiều MN chia sẻ một CoA Khi gói tin đến NAT trong mạng khách, việc gửi đến đúng MN gặp khó khăn vì thiếu số hiệu cổng Giải pháp cho vấn đề này là bao gói IP trong UDP, giúp UDP header cung cấp số hiệu cổng cần thiết cho việc triển khai.
Vấn đề thiếu địa chỉ: trong Mobile IPv4 dù đã sử dụng địa chỉ CoA, nhưng
MN cần sử dụng Haddr, điều này dẫn đến việc không đủ địa chỉ IP cho MN trong mạng thường trú Giải pháp hiệu quả là áp dụng cơ chế cấp phát địa chỉ IP động thông qua giao thức DHCP.
Việc cài đặt FA trong mạng khách là một thách thức lớn đối với triển khai Mobile IPv4, vì nó yêu cầu một thành phần mạng chuyên biệt, khiến các nhà quản lý mạng phải cân nhắc kỹ lưỡng Nếu MN di chuyển đến mạng không có FA, kết nối sẽ bị mất Hơn nữa, vấn đề an toàn bảo mật trở nên phức tạp hơn do HA cần xác minh độ tin cậy của FA Cuối cùng, việc triển khai FA vi phạm nguyên tắc thiết kế end-to-end của mạng, bởi vì nó tạo ra một trạm trung gian can thiệp vào thông tin trong gói tin.
Mobile IPv6, dựa trên giao thức IPv6, đã cải thiện khả năng quản lý di động và khắc phục nhiều nhược điểm của Mobile IPv4.
Chỉ có duy nhất địa chỉ CCoA được sử dụng, vì số lượng địa chỉ IP mà IPv6 cung cấp là tương đối lớn với 128 bit địa chỉ
In Mobile IPv6, the presence of a Foreign Agent (FA) is unnecessary due to the advanced features of IPv6, such as Neighbor Discovery and Address Auto-configuration Any router can send router advertisement messages, enhancing the overall mobility support in the network.
Tối ưu hóa đường đi (router optimization) được coi như thành phần cơ bản trong Mobile IPv6
Không cần cơ chế tạo đường hầm ngược, địa chỉ của Mobile Node (MN) được lưu trong gói tin qua lựa chọn đích Home Address Điều này cho phép MN sử dụng địa chỉ CoA của nó làm địa chỉ nguồn trong IP Header của gói tin gửi đi, giúp gói tin không gặp trở ngại với firewall.
Các gói tin không cần bao gói riêng biệt, vì CoA của MN được lưu trữ trong Routing Header của gói tin gốc Việc phân biệt các gói tin điều khiển không cần thiết, do tùy chọn đích cho phép các thông điệp điều khiển được tích hợp vào các tùy chọn của gói tin.
Kết luận chương 1
Trong chương này, đồ án đã trình bày một cách tổng quan các vấn đề sau của
Các khái niệm cơ bản, mô hình mạng triển khai giao thức Mobile IP
Đặc tả giao thức Mobile IPv4 và Mobile IPv6
So sánh ưu nhược điểm của 2 giao thức Mobile IPv4 và Mobile IPv6 Từ đó đưa ra kịch bản sử dụng 2 giao thức này 1 cách hợp lý.
Nghiên cứu vấn đề bảo mật trong MOBILE IP
Các yêu cầu bảo mật thông tin trên mạng
Các mục tiêu chính của bảo mật thông tin trên mạng gồm:
Bí mật dữ liệu (Data confidentiality): chỉ cho phép những người có quyền mới được truy cập thông tin
Toàn vẹn dữ liệu (Data integrity): những người không dược phép thì không được quyền thay đổi dữ liệu
Xác thực (Authentication): đảm bảo định danh của đích cũng như xuất xứ của thông tin
Nhất quán (Non-repudiation): một thực thể không thể tùy ý phủ nhận việc gửi đi một gói tin hợp lệ do thực thể đó gửi đi
Kiểm soát truy cập (Access control): những người không có quyền không thể truy cập các tài nguyên
Tình sẵn sàng và hoạt động của dịch vụ là yếu tố quan trọng, đảm bảo rằng thông tin luôn sẵn có cho những người dùng hợp lệ khi họ cần truy cập.
Các nguy cơ mất an ninh trong Mobile IP
Trong mạng MobileIP, thông tin liên lạc qua các kết nối không dây (mạng WLAN) dễ bị tổn thương trước các mối đe dọa như nghe lén thụ động, tấn công phát lại chủ động và nhiều hình thức tấn công chủ động khác, bao gồm tấn công từ chối dịch vụ và tấn công chiếm phiên liên lạc Bài viết này sẽ trình bày chi tiết về những loại tấn công này.
2.2.1 Tấn công từ chối dịch vụ
Một cuộc tấn công từ chối dịch vụ (DoS) xảy ra khi những kẻ tấn công ngăn cản người dùng được ủy quyền thực hiện công việc của họ Tấn công này thường bao gồm nhiều bước để gây ra sự gián đoạn trong dịch vụ.
Bước 1: Gửi một lượng lớn yêu cầu qua internet để làm cho thiết bị mục tiêu hoạt động chậm lại, dẫn đến tình trạng thiết bị không khả dụng.
Bước 2: Một phương pháp khác là ngăn chặn trực tiếp liên lạc giữa hai thiết bị trên mạng Chẳng hạn, kẻ tấn công có thể áp dụng các kỹ thuật chuyển hướng để ngăn dữ liệu đến tay người dùng được ủy quyền.
Cuộc tấn công từ chối dịch vụ trên IP di động xảy ra khi kẻ tấn công thao túng việc đăng ký chăm sóc địa chỉ cho thiết bị di động, dẫn đến hai vấn đề chính: thiết bị di động không còn kết nối và kẻ tấn công nhận được toàn bộ lưu lượng truy cập hướng đến thiết bị di động ban đầu.
Hình 2.1: Kẻ tấn công sử dụng DDos
Trong kiểu tấn công này, kẻ tấn công cần đứng giữa hai máy chủ để cắt đứt lưu lượng của chúng Với mạng IP di động, kẻ tấn công có thể tấn công từ bất cứ đâu, đặc biệt khi thiết bị di động kết nối trên mạng nước ngoài Khi đó, thiết bị phải sử dụng phương thức đăng ký để thông báo cho HA về địa chỉ chăm sóc hiện tại Kẻ tấn công có thể chặn lưu lượng truy cập đến địa chỉ nhà của thiết bị di động và gửi thông báo yêu cầu đăng ký với địa chỉ IP của chính mình, khiến tất cả lưu lượng được chuyển đến kẻ tấn công Để bảo vệ mạng di động khỏi các cuộc tấn công này, cần thực hiện xác thực mạnh mẽ trong tất cả các trao đổi lưu lượng đăng ký giữa thiết bị di động và đại lý IP.
Cơ chế xác thực trong Mobile IP đảm bảo rằng lưu lượng truy cập chỉ đến thiết bị di động đã được xác thực Mobile IP cho phép thiết bị di động và Home Agent (HA) đồng ý sử dụng các thuật toán xác thực khác nhau Tuy nhiên, tất cả các triển khai IP di động đều hỗ trợ thuật toán MD5 mặc định, cung cấp mức độ xác thực mạnh mẽ cần thiết cho việc bảo mật.
Tấn công phát lại (Replay Attack) là một phương thức tấn công mạng, trong đó dữ liệu truyền tải bị các ứng dụng độc hại chặn lại, xử lý và lặp lại liên tục các thông tin hợp lệ trong hệ thống Nhờ vào tính chính xác của dữ liệu gốc, thường đến từ người dùng được cấp quyền, hệ thống xử lý các thông tin này như bình thường mà không nhận ra rằng dữ liệu đã bị can thiệp một cách có chủ đích.
Để ngăn chặn tấn công Replay, thiết bị di động cần tạo giá trị duy nhất cho trường nhận dạng mỗi lần đăng ký thành công, giúp thông báo yêu cầu đăng ký của kẻ tấn công bị xác định là hết hạn từ HA tương ứng Mobile IP đề xuất hai phương pháp để thiết lập trường nhận dạng: phương pháp đầu tiên sử dụng dấu thời gian với ngày và giờ ước tính, trong khi phương pháp thứ hai dựa trên số ngẫu nhiên, trong đó thiết bị di động và HA cùng khai báo giá trị tương ứng Nếu trường nhận dạng không khớp với giá trị mong đợi, tin nhắn sẽ bị từ chối và bị bỏ qua trong trường hợp thiết bị di động.
2.2.3 Tấn công chiếm phiên liên lạc
Sau mỗi lần người dùng đăng nhập thành công, một session ID mới sẽ được tạo ra, và nếu kẻ tấn công chiếm được session ID này, họ có thể truy cập vào ứng dụng như một người dùng bình thường Có nhiều phương thức mà kẻ tấn công có thể sử dụng để lấy session ID, chẳng hạn như tấn công man-in-the-middle để nghe lén và cướp session ID, hoặc khai thác lỗ hổng XSS trong lập trình để lấy thông tin này từ người dùng.
Hình 2.3: Session hjacking 2.2.4 Nghe lén thụ động
Nghe lén thụ động là hành vi trộm cắp thông tin, xảy ra khi kẻ tấn công theo dõi lưu lượng dữ liệu giữa thiết bị di động và HA trong mạng Mobile IP.
Kẻ tấn công trong việc nghe lén thụ động cần truy cập vào giao thông mạng, có thể thông qua việc kết nối máy chủ với mạng hoặc bằng cách nhận các gói tín hiệu wifi gần Router Để ngăn chặn việc nghe lén, cần áp dụng phương thức mã hóa cho toàn bộ thông tin lưu lượng Việc mã hóa phải được thực hiện trên kênh truyền ra mạng ngoài, nhằm ngăn chặn kẻ tấn công giải mã và hiểu nội dung Giải pháp tối ưu là sử dụng mã hóa "end to end" cho tất cả lưu lượng, giúp loại bỏ khả năng xảy ra các cuộc tấn công nghe lén.
Các giải pháp tăng cường an ninh cho Mobile IP
2.3.1 Giải pháp xác thực và phân quyền với giao thức AAA
Ngày nay, việc áp dụng giao thức chứng thực và phân quyền (AAA) là rất quan trọng trong việc bảo mật và kiểm soát truy cập dữ liệu cho cả mạng có dây và mạng không dây.
Giao thức AAA đảm bảo xác thực người dùng chính xác, bao gồm việc nhận diện họ tên và phòng ban Sau khi xác thực, quản trị viên có thể giới hạn quyền truy cập của người dùng vào hệ thống và giám sát hoạt động của họ trên mạng Giao thức này bao gồm ba thành phần chính: xác thực (authentication), phân quyền (authorization) và tính cước (accounting), mỗi thành phần đóng vai trò quan trọng trong việc quản lý và bảo mật hệ thống.
Xác thực là quá trình quan trọng để định danh và nhận diện người dùng Trong quá trình này, tài khoản và mật khẩu của người dùng sẽ được kiểm tra và đối chiếu với cơ sở dữ liệu trên máy chủ AAA hoặc cơ sở dữ liệu bên ngoài Kết quả của quá trình xác thực sẽ xác định danh tính của người dùng.
Người dùng cần có tài khoản và mật khẩu hợp lệ để được xác thực thành công trong hệ thống Khi quá trình xác thực hoàn tất, người dùng sẽ có quyền truy cập vào mạng.
Quyền hạn (Authorization) cho phép quản trị viên kiểm soát việc cấp quyền trong một khoảng thời gian cụ thể, trên từng thiết bị, nhóm hoặc người dùng nhất định, cũng như theo từng giao thức Hệ thống AAA giúp quản trị viên thiết lập các thuộc tính mô tả chức năng mà người dùng được phép thực hiện Do đó, việc xác thực người dùng là điều cần thiết trước khi cấp quyền truy cập cho họ.
Ủy quyền làm việc là tập hợp các thuộc tính mô tả quyền hạn của người dùng đã được xác thực Chẳng hạn, một nhân viên phòng nhân sự khi truy cập vào hệ thống sẽ được phân quyền theo chức năng của phòng mình, trong khi khách hàng sẽ chỉ có quyền truy cập tối thiểu vào internet mà không thể truy cập vào tài nguyên hệ thống Các thuộc tính này sẽ được so sánh với thông tin trong cơ sở dữ liệu của người dùng để xác định quyền truy cập.
AAA xác định khả năng và giới hạn thực tế của người dùng, yêu cầu cơ sở dữ liệu liên tục giao tiếp với máy chủ AAA trong suốt quá trình kết nối tới thiết bị truy cập từ xa.
Accounting cho phép nhà quản trị thu thập và lưu trữ thông tin quan trọng như thời gian bắt đầu và kết thúc truy cập của người dùng, các câu lệnh đã thực thi, thống kê lưu lượng và việc sử dụng tài nguyên Điều này giúp giám sát hiệu quả dịch vụ và tài nguyên mà người dùng sử dụng trong hệ thống cơ sở dữ liệu quan hệ.
Thống kê cho thấy số lần người dùng truy cập vào máy chủ Web và thời gian truy cập là rất quan trọng Chức năng chính của Accounting là giúp quản trị viên giám sát và dự đoán dịch vụ cũng như việc sử dụng tài nguyên Thông tin này có thể được sử dụng để theo dõi thời gian truy cập của khách hàng, quản lý mạng và thực hiện kiểm toán theo các chính sách bảo mật của công ty.
Giao thức AAA đóng vai trò quan trọng trong mạng MobileIP, giúp đảm bảo xác thực và phân quyền người dùng hiệu quả Việc triển khai giao thức AAA trong mạng MobileIP có thể thực hiện theo hai kịch bản khác nhau.
- Triển khai giao thức AAA tại HA để xác thực và phân quyền người dùng từ mạng bên ngoài HA muốn truy cập vào mạng phía trong HA
- Triển khai giao thức AAA tại FA để xác thực và phân quyền người dùng từ mạng bên ngoài FA muốn truy cập vào mạng phía trong FA
2.3.2 Bảo mật dữ liệu Mobile IP với IPSec
IPSec không phải là một công nghệ độc lập, mà là sự kết hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, mỗi loại đều có nhiều chế độ hoạt động Việc xác định các chế độ cần thiết để triển khai IPSec trong từng tình huống cụ thể thuộc về chức năng của miền thực thi.
Hình 2.4: Cấu trúc trong IPSec
IPSec là một giao thức hoạt động song song với IP, cung cấp hai chức năng cơ bản là mã hóa và xác thực gói dữ liệu, điều mà IP nguyên thủy chưa có IPSec có thể được xem là một tổ hợp gồm hai thành phần chính.
Giao thức đóng gói [AH + ESP]: bảo vệ truyền thông IP, dựa vào SA (khóa, địa chỉ, các thuật toán mật mã)
Giao thức trao đổi khoá IKE (Internet Key Exchange): để thiết lập các SA (SA – Security Association) cho AH hoặc ESP, và duy trì/quản lí các kết nối
- SA quản lý các chính sách sau theo IPSec [10]:
Chế độ của thuật toán xác thực được sử dụng trong AH và các khóa thuật toán xác thực
Cách bảo mật thông tin liên lạc (thuật toán và các khóa)
Bao nhiêu lần các khóa được thay đổi
Kích thước đồng bộ hóa mật mã được sử dụng trong thuật toán mã hóa
Chế độ thuật toán mã hóa và các khóa của ESP
Thời gian sống của các khóa
Thuật toán xác thực và chế độ và biến đổi để sử dụng trong ESP và khóa được sử dụng bởi thuật toán
- IPSec cung cấp bảo mật, tính xác thực và tính toàn vẹn bằng cách sử dụng kết hợp các công nghệ bảo mật khác nhau [10]:
Trao đổi khóa Diffie-Hellman để tạo tài liệu chính giữa hai phía
Các thuật toán được sử dụng để mã hóa như DES, IDEA và RC4
Các thuật toán hàm băm có khóa như HMAC kết hợp với các thuật toán hàm băm một chiều truyền thống như SHA và MD5
Mật mã khóa công khai để ký kết trao đổi Diffie-Hellman
Chứng thư số a) Cấu trúc gói AH
AH có hai kiểu hoạt động chính: kiểu Transport và kiểu Tunnel Kiểu Transport được sử dụng để kết nối trực tiếp giữa các host hoặc thiết bị hoạt động như host, trong khi kiểu Tunnel phục vụ cho các ứng dụng khác Trong kiểu Transport, AH bảo vệ các giao thức lớp trên và một số trường trong IP header, được chèn vào sau IP header và trước giao thức lớp trên như TCP, UDP, ICMP, cũng như trước các IPSec header Đối với IPv4, AH nằm sau IP header và trước giao thức lớp trên, trong khi đối với IPv6, AH xuất hiện sau các header mở rộng như hop-to-hop, routing và fragmentation, với các lựa chọn đích có thể đặt trước hoặc sau AH.
Hình 2.5: AH trong Transport Mode
Trong kiểu Tunnel, header IP bên trong chứa địa chỉ nguồn và đích cuối cùng, trong khi header IP bên ngoài chứa địa chỉ để định tuyến qua Internet Ở kiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả header IP bên trong, khác với AH Transport chỉ bảo vệ một số trường của header IP Vị trí của AH trong kiểu Tunnel tương tự như trong kiểu Transport so với header IP bên ngoài.
Hình 2.6: AH trong Tunnel Mode
- Các thuật toán xác thực:
Thuật toán xác thực sử dụng để tính ICV được xác định bởi kết hợp an ninh
SA (Hiệp hội Bảo mật) là yếu tố quan trọng trong truyền thông điểm tới điểm, nơi các thuật toán xác thực như MD5 và SHA-1 đóng vai trò thiết yếu Những thuật toán này là yêu cầu bắt buộc mà bất kỳ ứng dụng AH nào cũng phải hỗ trợ để đảm bảo an toàn cho dữ liệu.
- Xử lý gói đầu ra:
Kết luận chương
Trong chương này, đồ án đã nêu rõ những vấn đề an ninh quan trọng mà mạng MobileIP cần đảm bảo Bên cạnh đó, đồ án cũng chỉ ra các nguy cơ và các loại tấn công chính thường gặp đối với mạng MobileIP.
Kiểu tấn công phát lại đã chỉ ra rằng cơ chế xác thực hiện có trong Mobile IP không đủ mạnh để bảo vệ dữ liệu truyền thông trong mạng Do đó, cần thiết phải triển khai các giải pháp xác thực và mã hóa dữ liệu nhằm tăng cường an ninh cho mạng Mobile IP.
Cuối chương, chúng ta đề cập đến các giải pháp tăng cường bảo mật cho mạng MobileIP, bao gồm việc áp dụng giao thức AAA và IPSec Những giải pháp này giúp mạng MobileIP cung cấp đầy đủ các dịch vụ an toàn thông tin, bao gồm bảo mật bí mật, xác thực, toàn vẹn dữ liệu và chống giả mạo.
