Nghiên cứu triển khai bảo mật dữ liệu đối với MOBILE IPInternet và truyền thông di động và không dây đang phát triển một cách nhanh chóng. Trong đó, các thông tin và dịch vụ được triển khai thông qua giao thức IP chiếm ưu thế. Nhu cầu duy trì liên tục các kết nối IP của các thiết bị di động trở nên hết sức cần thiết. Giao thức Mobile IP đã ra đời và được đưa vào ứng dụng để đáp ứng nhu cầu này. Mục tiêu của Mobile IP là hỗ trợ khả năng kết nối IP khi các thiết bị di chuyển trong liên mạng với kết nối không dây nên vấn đề bảo mật dữ liệu là rất quan trọng. Đề tài sẽ đi vào nghiên cứu Mobilie IP như là sự hỗ trợ cho kết nối IP của các thiết bị không cố định và vấn đề bảo mật dữ liệu gắn liền với giao thức này.Mục tiêu đặt ra khi thực hiện đồ án là:1.Nghiên cứu tổng quan về Mobile IP;2.Nghiên cứu về vấn đề bảo mật trong Mobile IP;3.Cài đặt, thử nghiệm bảo vệ dữ liệu Mobile IP;CHƯƠNG 3. CÀI ĐẶT, THỬ NGHIỆM BẢO VỆ DỮ LIỆU MOBILE IP Trong chương này, đồ án trình bày việc triển khai, cài đặt giao thức AAA và công nghệ SitetoSite VPN trên nền IPSec để bảo mật dữ liệu trong mạng MobileIP.3.2.3.Cài đặt và cấu hình IPSEC VPNTrong chương này đồ án đã trình bày được mô hình VPN Site to Site và triển khai, cài đặt bảo mật dữ liệu đối với Mobile IP. Thấy được các dữ liệu truyền trong hệ thống chưa được bảo mật, từ đó triển khai được giải pháp bảo mật cho dữ liệu truyền trong hệ thống bằng bộ giao thức IPSEC.học viện kỹ thuật mật mãhoc vien ky thuat mat ma
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ LUẬN VĂN TỐT NGHIỆP NGHIÊN CỨU BẢO MẬT DỮ LIỆU ĐỐI VỚI MOBILE IP Sinh viên thực hiện: Nguyễn Văn Thái Hà Nội, 2022 MỤC LỤC LỜI CẢM ƠN Error! Bookmark not defined LỜI CAM ĐOAN Error! Bookmark not defined MỤC LỤC i DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT iii DANH MỤC HÌNH VẼ iv LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN MOBILE IP 1.1 Khái niệm 1.2 Giao thức Mobile IPv4 1.2.1 Phát agent 1.2.2 Quá trình đăng ký 1.2.3 Tạo đường hầm 10 1.3 Giao thức Mobile IPv6 11 1.3.1 Các tùy chọn Mobile IPv6 11 1.3.2 Cấu trúc liệu 12 1.4 Cơ chế định tuyến gói tin Mobile IP 12 1.4.1 Định tuyến gói tin MN 12 1.4.2 Định tuyến gói tin HA 13 1.4.3 Định tuyến gói tin FA 15 1.5 Đánh giá Mobile IPv4 Mobile IPv6 15 1.5.1 Mobile IPv4 15 1.5.2 Mobile IPv6 17 CHƯƠNG NGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG MOBILE IP 18 2.1 Những vấn đề an ninh cần đảm bảo Mobile IP 18 2.2 Các nguy an ninh Mobile IP 19 2.2.1 Tấn công từ chối dịch vụ 19 2.2.2 Tấn công phát lại 21 2.2.3 Tấn công chiếm phiên liên lạc 22 2.2.4 Nghe thụ động 23 2.3 Các giải pháp tăng cường an ninh cho Mobile IP 24 i 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 Giải pháp xác thực phân quyền với giao thức AAA 24 Bảo mật liệu Mobile IP với IPSec 26 Cơ chế chống lại định tuyến tối ưu 39 Tường lửa lọc gói tin 40 Chống công replay nhãn thời gian 41 CHƯƠNG CÀI ĐẶT, THỬ NGHIỆM BẢO VỆ DỮ LIỆU MOBILE IP 43 3.1 Giới thiệu Site-Site VPN với IPSec 43 3.2 Triển khai, cài đặt bảo mật liệu Mobile IP 44 3.2.1 Mô hình mạng Mobile IP 44 3.2.2 Cài đặt cấu hình Mobile IP node 45 3.2.3 Cài đặt cấu hình IPSEC VPN 52 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 62 ii DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT Ký hiệu Thuật ngữ tiếng anh Ý nghĩa tiếng việt CBC Cipher Block Chaining Chế độ mã khối xâu chuỗi CCM Cipher/Counter Mode Chế độ đếm mã hóa DB Data Block Khối liệu EM Encoded Message Thơng điệp mã hóa EME Encoding Method for Encryption Phương pháp mã hóa GCM Galois/Counter Mode Chế độ đếm trường Galois IETF Internet Engineering Task Force Tổ chức quản lý kỹ thuật MGF Mask Generation Function Hàm tạo mặt nạ PKCS Public-Key Cryptography Standard Chuẩn mật mã khóa cơng khai PS Padding String Chuỗi đệm RSAES RSA Encryption Scheme Lược đồ mã hóa RSA iii DANH MỤC HÌNH VẼ Hình 1.1 Cấu trúc tin Agent Advertisement Hình 1.2 Cấu trúc tin Agent Solicitation Hình 1.3 Mobile Node đăng ký gián tiếp Hình 1.4 Mobile Node đăng ký trực tiếp Hình 1.5 Cấu trúc tin Registration Request 10 Hình 1.6 Cấu trúc tin Registration Reply 10 Hình 1.7 Các cách để đặt HA mạng chủ 14 Hình 2.1 Kẻ cơng sử dụng DDoS 21 Hình 2.2 Replay Attack 22 Hình 2.3 Session hjacking 23 Hình 2.4 Cấu trúc IPSec 27 Hình 2.5 AH Transport Mode 28 Hình 2.6 AH Tunnel Mode 29 Hình 2.7 ESP Transport Mode 32 Hình 2.8 ESP Tunnel Mode 32 Hình 2.9 Hoạt động IPSec 36 Hình 2.10 Mơ hình triển khai HA - FA 38 Hình 2.11 Mơ hình triển khai MN - HA 38 Hình 2.12 Định tuyến tối ưu 39 Hình 2.13 Ví dụ tường lửa 40 Hình 3.1 Mơ hình mạng Site – Site VPN 43 Hình 3.2 Mơ hình triển khai Mobile IP 44 Hình 3.3 Hiển thị địa cấu hình IP R2 46 Hình 3.4 Hiển thị cấu hình định tuyến IP R2 46 Hình 3.5 Hiển thị cấu hình địa IP HA 47 Hình 3.6 Hiển thị cấu hình định tuyến IP HA 47 Hình 3.7 Hiển thị cấu hình Mobile IP HA 48 Hình 3.8 Hiển thị cấu hình IP FA 49 Hình 3.9 Hiển thị cấu hình định tuyến IP FA 49 Hình 3.10 Hiển thị cấu hình Mobile IP FA 49 Hình 3.11 Hiển thị cấu hình địa IP CN 50 Hình 3.12 Hiển thị cấu hình địa IP MN 51 iv Hình 3.13 Hiển thị cấu hình định tuyến IP MN 51 Hình 3.14 Hiển thị cấu hình Mobile IP MN 51 Hình 3.15 Thơng tin sách isakmp 52 Hình 3.16 Thông tin IP SEC 53 Hình 3.17 Hiện Crypto Map 53 Hình 3.18.Thơng tin sách isakmp 54 Hình 3.19 Hiện thông tin IP SEC 55 Hình 3.20 Hiện thông tin Crypto Map 55 Hình 3.21 Kiểm tra kết nối từ HA sang FA 56 Hình 3.22 Bắt gói tin ICMP từ HA, ping sang FA Wireshark 56 Hình 3.23 Hiện Isakmp SA 56 Hình 3.24 Thông tin IP SEC SA 57 Hình 3.25 Gửi gói tin ICMP từ HA đến FA 58 Hình 3.26 Show isakmp sa hiển thị 58 Hình 3.27 Thơng tin IP SEC SA hiển thị 59 Hình 3.28 Bắt gói tin đóng gói ESP IP SEC Wireshark 60 v LỜI NĨI ĐẦU Internet truyền thơng di động khơng dây phát triển cách nhanh chóng Trong đó, thơng tin dịch vụ triển khai thông qua giao thức IP chiếm ưu Nhu cầu trì liên tục kết nối IP thiết bị di động trở nên cần thiết Giao thức Mobile IP đời đưa vào ứng dụng để đáp ứng nhu cầu Mục tiêu Mobile IP hỗ trợ khả kết nối IP thiết bị di chuyển liên mạng với kết nối không dây nên vấn đề bảo mật liệu quan trọng Đề tài vào nghiên cứu Mobilie IP hỗ trợ cho kết nối IP thiết bị không cố định vấn đề bảo mật liệu gắn liền với giao thức Mục tiêu đặt thực đồ án là: Nghiên cứu tổng quan Mobile IP; Nghiên cứu vấn đề bảo mật Mobile IP; Cài đặt, thử nghiệm bảo vệ liệu Mobile IP; CHƯƠNG TỔNG QUAN MOBILE IP Khái niệm Mobile IP giao thức IEF giúp người dùng với thiết bị di động di chuyển từ mạng sang mạng khác mà trì kết nối diễn Mobile Ip trở thành giao thức thiếu giới di động, công nghệ tương lai (cơng nghệ 4G) Mobile Ip có nhiều mở rộng phát triển khác Mobile Ipv4, Mobile Ipv6, Fast Mobile Ip, Multiple CoA Mobile Ip, … Mobile IP cho phép node tiếp tục nhận liệu mà khơng quan tâm đến vị trí kết nối node vào mạng Internet Mobile IP cung cấp tin điều khiển cho phép thành phần mạng cập nhật bảng định tuyến cách tin cậy Mobile IP triển khai mà khơng cần có yêu cầu với tầng vật lý liên kết liệu, Mobile IP độc lập với công nghệ truy cập không dây Một số khái niệm Mobile Ip: - Mobile Node (MN) nút di động: để host rounter thay đổi điểm kết nối từ mạng sang mạng khác - Home Agent (HA), MN di chuyển khỏi mạng thường trú (home network) MN cần đại diện thay mặt, đại diện HA, vai trò HA tạo đường hầm để chuyển tiếp gói tin đến MN MN rời khỏi mạng thường trú lưu trữ thơng tin ví trí MN - Foreign Agent (FA), MN di chuyển khỏi mạng thường trú MN phải có địa tạm trú gọi CoA (Care of Address) địa IP sử dụng để truyền gói liệu đến đích tương ứng với địa theo giao thức tìm đường IP MN thông báo địa CoA cho HA để biết địa điểm MN, MN có địa từ FA - Correspondent Node (CN) node mạng có nhu cầu truyền thơng với MN, CN khơng phải thành phần Mobile IP đưa vào để mô tả hoạt động giao thức Nguyên tắc hoạt động Mobile Ip: - Khi MN khỏi mạng thường trú (home network), làm để MN biết MN khỏi mạng tìm đại diện mạng khách (foreign network) HA FA thường xuyên gửi gói tin quảng bá để thơng báo khả theo chu kỳ, MN phát MN mạng khác tiến hành trình tìm kiếm đại diện tạm trú MN 1.1 - Sau nhận thông tin FA, MN bắt đầu liên lạc với FA MN gửi yêu cầu đăng ký thông tin đến HA (ở địa CoA, tùy theo phương thức kết nối mạng mà MN gửi đăng ký trực tiếp đến HA thông qua FA) để lưu thông thời gian, yêu cầu cho phép từ chối - Nếu HA cho phép HA làm việc người ủy nhiệm MN Khi mạng gốc MN nhận gói tín hiệu có địa đến MN, HA nhận gói tin đóng gọi lại (Có phương thức đóng gói sử dụng là: IP-inIP, MHE, GRE) tiếp tục gửi tới địa FA mà MN đăng ký FA mở gói tin gửi tới MN FA biết MN cách xác HA dùng phương pháp đóng gói để chuyển thơng tin cho MN cách dùng thêm phần mào đầu gói chuyển theo đường hầm đến MN - Quá trình tiếp tục hết hạn đăng ký MN chuyển đến mạng Khi xảy tượng hết hạn, MN phải đăng ký lại với HA MN thông qua FA; MN chuyển đến mạng khác, MN gửi yêu cầu đăng ký qua FA mới, trường hợp HA thay đổi địa nhờ chuyển CoA MN gửi tiếp gói tin đóng gói tới địa nhờ chuyển CoA - Khi MN trở mạng thường trú, MN gửi yêu cầu đăng ký lại đến HA thông báo MN mạng thường trú để không thực đường hầm dọn bỏ địa nhờ gửi trước Như phân chia thành chức tương đối cách biệt sau: - Phát agent (agent discovery): qua chức HA FA quảng bá khả liên kết mà HA FA cung cấp dịch vụ MN đến mạng gửi u cầu nhận thơng tin để qua xác định agent có khả phục vụ - Đăng ký (registration): chức cung cấp cho MN hoạt động mạng thường trú, MN đăng ký CoA MN với HA Tùy thuộc vào phương thức kết nối mạng mạng khách mà MN gửi trực tiếp đăng ký đến HA thông qua trung gian chuyển tiếp FA - Tạo đường hầm (tunnelling): để chuyển tiếp liệu đến MN rời khỏi mạng thường trú, HA tạo đường hầm gửi liệu đến CoA MN Nguyên tắc hoạt động Mobile Ip đơn giản giải pháp hiệu để đảm bảo di động hệ mạng tương lai, mạng 4G Để hiểu rõ nguyên lý hoạt động Mobile Ip ta xem xét Mobile Ipv4 1.2 Giao thức Mobile IPv4 Mobile Ipv4 thực đầy đủ chức năng: phát agent, đăng ký tạo đường hầm Các chức cụ thể thực sau 1.2.1 Phát agent Mobile IP sử dụng tin để thực hiện, tin định nghĩa dựa giao thức tiêu chuẩn ICMP Router Discovery (Internet Control Message Protocol Router Discovery) Hai tin Mobile Ip hình thành dựa tin ICMP có thêm phần mở rộng - Bản tin agent advertisement (bản tin quảng cáo trạm): truyền trạm phục vụ để quảng cáo dịch vụ tin liên kết MN dùng tin quảng cáo để xác định điểm kết nối MN vào Internet Bản tin agent advertisement tin ICMP Router Advertisment mở rộng thêm phần bắt buộc Mobility Agent Advertisement Extension, có phần tùy chọn phần Prefix-Lengths Extension, One-byte Padding Extension, phần mở rộng khác định nghĩa tương lai Cấu trúc tin Agent Advertisement định nghĩa hình vẽ 1.1 phía Với phần IP header: Time to Live: thiết lập 1, tin có tác dụng vùng mạng mà trạm phục vụ quản lý Destination Address: với tin multicast agent advertisement phải địa multicast “all systems on this link” (224.0.0.1) địa broadcast giới hạn (255.255.255.255) Với trường ICMP: - Kiểu (Type): - Mã (Code): Trường mã tin quảng cáo đại lý có giá trị Đại lý di động đóng vai trị định tuyến cho gói tin IP, khơng có liên quan tới trạm di động 16 Đại lý di động khơng thực việc định tuyến lưu lượng IP thông thường Tuy vậy, đại lý ngoại phải chuyển tiếp (có thể tới định tuyến mặc định) gói tin mà nhận từ trạm di động đăng ký - ICMP Checksum: số bù toàn tin ICMP, trường kiểu Để tính checksum, giá trị trường cần phải thiết lập - Thời gian tồn (Lifetime) khoảng thời gian tối đa mà tin quảng cáo xem hợp lệ, chưa xuất tin quảng cáo Hình 3.8 Hiển thị cấu hình IP FA Hình 3.9 Hiển thị cấu hình định tuyến IP FA Hình 3.10 Hiển thị cấu hình Mobile IP FA Cấu hình Correspondent Node Correspondent Node điểm đến cho lưu lượng truy cập từ Mobile Node Việc sử dụng CN cho thấy định tuyến sở hạ tầng mạng thường 49 sở hạ tầng mạng Mobile IP tương tác chúng CN cần cấu hình với địa IP interface Các câu lệnh cấu hình: CN(config)# interface Ethernet0/0 CN(config-if)# ip address 192.168.2.2 255.255.255.0 ! CN(config)# interface Ethernet1/0 CN(config-if)# ip address 192.168.5.1 255.255.255.0 ! end Kết cấu hình: Hình 3.11 Hiển thị cấu hình địa IP CN Cấu hình Mobile Node Thông thường, MN router di động có hỗ trợ kết nối mạng WLAN Trong đồ án này, Mobile Node chi router đơn giản chạy IOS Mỗi Mobile Node phải định cấu hình với định danh, trỏ tới địa IP Home Agent SA (Thoả thuận an toàn) chia sẻ với Home Agent Các câu lệnh cấu hình : MN(config)# interface Loopback0 MN(config-if)# ip address 192.168.100.10 255.255.255.255 ! MN(config)# interface Ethernet0/0 MN(config-if)# ip address 169.254.255.1 255.255.255.0 MN(config-if)# ip mobile router-service roam ! MN(config)# router mobile ! MN(config)# ip mobile secure home-agent 192.168.1.2 spi 100 key hex 1234567890abcdef1234567890abcdef algorithm hmac-md5 ! MN(config)# ip mobile router MN(mobile-router)# address 192.168.100.10 255.255.255.0 50 MN(mobile-router)# home-agent 192.168.1.2 Kết cấu hình: Hình 3.12 Hiển thị cấu hình địa IP MN Hình 3.13 Hiển thị cấu hình định tuyến IP MN Hình 3.14 Hiển thị cấu hình Mobile IP MN 51 3.2.3 Cài đặt cấu hình IPSEC VPN Ở phần này, thực cấu hình IPSEC router quan trọng HA FA Router R2 sở hạ tầng trung gian nên cấu phần trước Cấu hình HA - Cấu hình IP: HA(config-if)# ip address 192.168.1.2 - Định tuyến OSPF: HA(config)# router ospf 101 HA(config-router)# network 192.168.1.0 0.0.0.255 area - Cấu hình Site-Site: - Mở IKE policy HA(config)# crypto isakmp enable HA(config)# crypto isakmp policy 10 - Cấu hình IKE phase 1: HA(config)# crypto HA(config-isakmp)# HA(config-isakmp)# HA(config-isakmp)# HA(config-isakmp)# HA(config-isakmp)# HA(config-isakmp)# isakmp policy 10 hash sha authentication pre-share group lifetime 86400 encryption aes 256 end - Kiểm tra trình cấu hình: HA# show crypto isakmp policy Hình 3.15 Thơng tin sách isakmp - Cấu hình Pre-shared key: HA(config)# crypto isakmp key nguyentuananh address 192.168.3.2 - Cấu hình đóng gói IP Sec TTL: HA(config)# crypto ipsec transform-set 50 esp-aes 256 esp-shahmac 52 HA(config)# crypto ipsec security-association lifetime seconds 1800 - Cấu hình access-list: HA(config)# access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 - Tạo dùng Cryptomap: HA(config)# crypto map VPN 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured HA(config-crypto-map)# match address 101 HA(config-crypto-map)# set peer 192.168.3.2 HA(config-crypto-map)# set pfs group1 HA(config-crypto-map)# set transform-set 50 HA(config-crypto-map)# set security-association lifetime seconds 900 HA(config-crypto-map)# exit HA(config)# interface SE0/0 HA(config-if)# crypto map VPN HA(config)# end - Kiểm tra cấu hình: HA# show crypto ipsec transform-set Hình 3.16 Thơng tin IP SEC HA# show crypto map Hình 3.17 Hiện Crypto Map 53 Cấu hình FA - Cấu hình IP: FA(config-if)# ip address 192.168.3.2 - Định tuyến OSPF: FA(config)# router ospf 101 FA(config-router)# network 192.168.100.0 0.0.0.255 area FA(config-router)# network 192.168.1.0 0.0.0.255 area - Cấu hình Site-Site: - Mở IKE policy FA(config)# crypto isakmp enable FA(config)# crypto isakmp policy 10 - Cấu hình IKE phase: FA(config)# crypto FA(config-isakmp)# FA(config-isakmp)# FA(config-isakmp)# FA(config-isakmp)# FA(config-isakmp)# FA(config-isakmp)# isakmp policy 10 hash sha authentication pre-share group lifetime 3600 encryption aes 256 end - Kiểm tra trình cấu hình: FA# show crypto isakmp policy Hình 3.18.Thơng tin sách isakmp - Cấu hình Pre-shared key: FA(config)# crypto isakmp key nguyentuananh address 192.168.1.2 - Cấu hình đóng gói IP Sec TTL: FA(config)# crypto ipsec transform-set 50 esp-aes 256 esp-shahmac FA(config)# crypto ipsec security-association lifetime seconds 1800 54 - Cấu hình access-list: FA(config)# access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 - Tạo dùng Cryptomap FA(config)# crypto map VPN 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured FA(config-crypto-map)# match address 101 FA(config-crypto-map)# set peer 192.168.1.2 FA(config-crypto-map)# set pfs group1 FA(config-crypto-map)# set transform-set 50 FA(config-crypto-map)# set security-association lifetime seconds 900 FA(config-crypto-map)# exit FA(config)# interface SE0/0 FA(config-if)# crypto map VPN FA(config)# end - Kiểm tra cấu hình: FA# show crypto ipsec transform-set Hình 3.19 Hiện thơng tin IP SEC FA# show crypto map Hình 3.20 Hiện thơng tin Crypto Map Cấu hình Router R2 - Cấu hình định tuyến bản: 55 R2(config)# router ospf 101 R2(config-router)# network 192.168.1.0 0.0.0.255 area R2(config-router)# network 192.168.3.0 0.0.0.3 area Kiểm tra kết cấu hình - Bước 1: Kiểm tra thơng mạng: Từ HA, ping sang FA Hình 3.21 Kiểm tra kết nối từ HA sang FA Hình 3.22 Bắt gói tin ICMP từ HA, ping sang FA Wireshark - Bước 2: Hiện ISAKMP security association HA# show crypto isakmp sa Hình 3.23 Hiện Isakmp SA Như hình kết trên, chưa thu chưa thực gửi gói tin đóng gói IPSec Vậy nên show SA chưa thu 56 - Bước 3: Hiện IPSEC security association HA# show crypto ipsec sa Hình 3.24 Thơng tin IP SEC SA Ở kết trên, thấy thơng số packet cấu hình xong, chưa gửi gói tin nên thơng số gửi nhận gói tin Tiếp theo thực việc gửi nhận gói tin ICMP để kiểm tra việc cấu hình IPSec hay chưa - Bước 4: Gửi gói tin ICMP Bước thực gửi gói tin ICMP (Lệnh Ping) từ HA đến FA để kiểm tra 57 Hình 3.25 Gửi gói tin ICMP từ HA đến FA Như hình, thực gửi gói tin ICMP thành công với tỷ lệ 4/5 - Bước 5: Hiện ISAKMP SA HA# show crypto isakmp sa Hình 3.26 Show isakmp sa hiển thị Trong phần trước, dùng lệnh show khơng thu thơng tin rõ ràng Tại bước vừa gửi gói tin đóng gói IPSEC (gói tin ICMP) xong nên SA ISAKMP Cũng vào hình 3.25, dễ dàng thấy điểm đầu cuối tunnel (dst-destination src-source) State (Trạng thái) Idle (chờ) tình trạng (Status) Active (đang hoạt động) - Bước 6: Hiện IP SEC SA HA# show crypto ipsec sa 58 Hình 3.27 Thơng tin IP SEC SA hiển thị Cũng đến bây giờ, thấy thông số dùng lệnh IP SEC SA Ở đoạn 1, dễ dàng thấy IP SEC đóng gói gói tin (tương ứng với gói tin ICMP gửi thành cơng lúc trên, gói tin đầu khơng gửi bước đầu phải đàm phán thuật toán sau đủ thơng số gói tin sau thành cơng) Ở đoạn tiếp theo, thấy hệ mật dùng lệnh cấu hình thơng số quan trọng IPSEC số SPI thể - Bước 7: Bắt gói tin với Wireshark 59 Hình 3.28 Bắt gói tin đóng gói ESP IP SEC Wireshark Để xác nhận chắn cấu hình thành cơng IP SEC Mobile IP, thực việc bắt gói tin với Wireshark Như hình trên, dễ dàng thấy gói tin đóng gói ESP cấu hình Kết luận chương Trong chương đồ án trình bày mơ hình VPN Site - to - Site triển khai, cài đặt bảo mật liệu Mobile IP Thấy liệu truyền hệ thống chưa bảo mật, từ triển khai giải pháp bảo mật cho liệu truyền hệ thống giao thức IPSEC 60 KẾT LUẬN - Giao thức Mobile IP, tìm hiểu loại ghi giao thức, cách giao tiếp sử dụng loại ghi để thực chức giao thức, tìm hiểu thơng qua phiên Mobile IPv4, IPv6 đánh giá ưu nhược điểm Mobile IPv4 Mobile IPv6 - Nghiên cứu vấn đề bảo mật Mobile IP, vấn đề an ninh nguy an toàn Mobile IP để khắc phục đưa giải pháp tăng cường an nình - Triển khai thành cơng mơ hình mạng Mobile Ipv4, thực hai giải pháp đảm bảo an toàn cho hệ thống mạng giao thức IPSec giao thức AAA Tuy nhiên chương đồ án triển khai bảo mật hệ thống mạng Mobile IPv4 Trên thực tế, giao thức Mobile IPv6 mang nhiều lợi ích nhiều mặt so với Mobile IPv4 Việc triển khai mơ hình bảo mật hệ thống mạng Mobile IPv6 biện pháp bảo mật mơ hình mạng cơng việc giải thời gian tới 61 TÀI LIỆU THAM KHẢO [1] Đường Tất Toàn, Luận văn thạc sĩ Nghiên cứu giao thức Mobile IP giải pháp bảo mật, ĐH Quốc gia Hà Nội, 2006 [3] Charles E Perkins, “Mobile IP Joins Forces with AAA,” IEEE Personal Communications, Aug 2000 [4] Charles E Perkins, P Calhoun (2005), RFC3957: Authentication, Authorization, and Accounting (AAA) for Mobile IPv4, IETF [5] Shakeel Ahmad, Security Issues and Solutions in MIPv4 and MIPV6 February 2013 [6] Wiliam Stalling, “Cryptography and Network Security Principles and Pratice” [7] Luuk Hendriks, “Measuring IPv6 Resilience and Security” [8] Cisco, “IP Company”, 2019 https://www.cisco.com/c/en/us/td/docs/iosxml/ios/mob_ntwks/configuration/15-mt/mob_ntwks-15-mt-book/imo mbl-ntwks.html [9] Mobile IP Technology and Applications, https://www.ciscopress.com/articles/index.asp?st=42074 [10] C Perkins, Ed IP Mobility Support for IPv4, Revised, November 2010 62