Icmpv6 là gì

Bảo mật Ipv6



thông điệp sử dụng trong các quá trình này là thông điệp ICMPV6. Nếu node

ipv6 tham gia vào quá trình định tuyến multicast. thì việc quản lý quan hệ

thành viên nhóm multicast được đảm nhiệm bằng thủ tục MLD (Multicast

Listener Discovery). Thủ tục này cũng sử dụng các thông điệp ICMPV6.

Do vậy. thủ tục ICMPV6 và những thông điệp ICMPV6 đóng vai trò vô

cùng quan trọng trong hoạt động của thề hệ địa chỉ ipv6. Các quy trình giao

tiếp cốt yếu giữa host với host. giữa host với router ipv6 trên một đường kết

nối, vốn là nền tảng cho hoạt động của node ipv6. đều dựa trên việc trao đổi

các thông điệp ICMPV6.

2.4.1. Tổng quan ICMPv6

Gói tin ICMPv6 bắt đầu sau mào đầu cơ bản hoặc một mào đầu mở rộng

của ipv6 và được xác định bởi giá trị 58 cua trường Mào đầu tiếp theo (Nextheader) trong mào đầu cơ bản hoặc mào đầu mở rộng phía trước. Gói tin

ICMPV6 bao gồm phần mào đầu của ICMPV6 (ICMPV header) và phần

thông điệp (ICMPV6 message).

ICMPV6 header bao gồm ba trường: Dạng (Type) 8 bit, Mã (Co de) 8 và

Kiểm tra (Checksum) 16 bit. Hai trường Dạng và Mã trong mào đầu ICMPV6

được sử dụng để phân loại thông điệp ICMPV6.

Dạng (Type): Giá trị bộ đầu tiên của trường Dạng sẽ xác định đây là

thông điệp lỗi, hay thông điệp thông tin .

Mã (co de): 8 bit trường Mã sẽ phân dạng sâu hơn gói tin ICMPV6

định rõ đây là gói tin gì trong từng loại thông điệp ICMPV6

Kiềm tra (Checksum): cung cấp giá trị sử dụng để kiểm tra lỗi cho toàn

bộ gói tin ICMPV6.



Page 28



Bảo mật Ipv6



Hình 14: Cấu trúc gói tin ICMPV6

Cũng như ICMPV4, ICMPV6 được sử dụng để trao đổi các thông điệp

điều khiển, bao gồm những thông điệp đảm nhiệm báo cáo tình trạng hoạt

động của mạng. báo cáo lỗi, hỗ trợ chẩn đoán mạng. Tuy nhiên, nhằm phục

vụ thực hiện những quy trình hoạt động cơ bản của' địa chỉ ipv6, ICMPV6

còn bao gồm những dạng thông điệp mới. phục vụ cho các thủ tục và những

quy trình giao tiếp của các node ipv6. Các thông điệp ICMP được phân làm

hai loại: Thông điệp lỗi và Thông điệp thông tin.

2.4.2. Sự khác biệt giữa ICMP IPv6 và IPv4

Nhiều sự khác biệt tồn tại giữa các chi tiết kỹ thuật ICMP cho IPv4 và

IPv6. Chúng bao gồm sử dụng ND để thay thế ARP, phát hiện PMTU động,

và một số chức năng tự động quản lý duy nhất với IPv6. Đặc biệt, một số

những khác biệt này là:

Giá trị Next Header. IPv6 xác định tin nhắn ICMPv6 với giá trị NH là

58. Trong IPv4, giá trị tương ứng giao thức kế tiếp là 1.

Neighbor Discovery (ND) thay thế ARP. ND ICMPv6 phục vụ chức

năng để xác định vị trí các vị trí bên cạnh liên kết địa phương và chức

năng tương tự của ARP với IPv4. Tuy nhiên, IPv4 không có cách nào

để phát hiện xem máy bên cạnh có thể truy cập. Với IPv6, ND định

tuyến vị trí link-local, xác định địa chỉ trùng lặp IPv6, và loại bỏ lưu

lượng phát sóng link-local được tạo ra bởi ARP. Điều này cải thiện

đáng kể việc cung cấp gói dữ liệu trong trường hợp các thiết bị định

tuyến không thành công hoặc giao diện liên kết thay đổi địa chỉ linklayer của họ, và giải quyết vấn đề lỗi thời của cache ARP.

Tăng PMTU. MTU yêu cầu các nút tối thiểu để xử lý theo IPv4 là 576

Page 29



Bảo mật Ipv6



byte. Trong IPv6, tất cả các liên kết phải xử lý một kích thước gói tin ít

nhất là 1280 byte, và đề nghị tối thiểu MTU là 1500 byte. Đây là một

gia tăng đáng kể tải trọng tối thiểu mỗi gói tin phải có khả năng để thực

hiện, và nó kết quả trong hiệu quả cao hơn do đầu ít hơn có thể cần

phải được xử lý cho một số tiền nhất định của dữ liệu.

Xóa bỏ phân mảnh gói tin trong đi vào thông qua việc sử dụng các

phát hiện PMTU. Trong IPv4, các gói tin có thể được phân mảnh tại

bất kỳ điểm nào: tại nguồn, quá cảnh bởi các router chuyển tiếp các gói

tin. Trong IPv6, chỉ có nguồn có thể gói mảnh. Kết quả của yêu cầu này

là các gói tin phải sử dụng ICMPv6 để xác định PMTU trước khi gửi

lưu lượng và thực hiện phân mảnh ở những nơi cần thiết. Node đích

thực hiện tái gộp các gói dữ liệu bị phân mảnh theo cả IPv4 và IPv6.

Multicast Listener Discovery (MLD). Đây là bộ ba tin nhắn ICMPv6

tương đương với phiên bản 2 của Internet Group Management Protocol

(IGMP) cho IPv4 được sử dụng để quản lý thành viên subnet multicast.

Thay vì sử dụng IGMP, IPv6 sử dụng tin nhắn ICMPv6 cho các chức

năng tương tự gọi là MLD. MLD là giao thức cho phép nghe multicast

để đăng ký cho các địa chỉ multicast họ muốn nhận được. Không giống

như IPv4, IPv6 không có địa chỉ phát sóng. Trong IPv6, multicast được

sử dụng với ICMPv6 cho các ứng dụng cơ sở hạ tầng như người hàng

xóm phát hiện và tự động cấu hình trên các liên kết địa phương. IPv6

địa chỉ multicast có khả năng mới như phạm vi, giới hạn lĩnh vực

mạng, trong đó một địa chỉ multicast được áp dụng, và nhúng vào tiền

tố unicast, giới hạn phạm vi của địa chỉ phần của mạng được giải quyết

bằng tiền tố đó.

ICMPv6 xác định một khuôn khổ cho các thông điệp điều khiển để cung

cấp IPv6 chức năng xử lý lỗi và thành lập tham số. Một số chức năng

ICMPv6 mới hoặc khác nhau từ ICMP dưới IPv4. Hơn nữa, ICMPv6 là một

thành phần cơ bản và cần thiết của bất kỳ thực hiện IPv6. Ví dụ, không ngăn

xếp IPv6 hoặc kép IPv4/IPv6 mạng có thể hoạt động mà không cần ICMPv6.

Các phần tiếp theo có chứa chi tiết thêm về ND, tự động, và hậu quả an ninh

của ICMPv6.

Page 30



Bảo mật Ipv6



2.4.3. Chức năng Neighbor Discovery

Neighbor Discovery - ND là một thủ tục được phát triển mới: trong phiên

bản ipv6. ND hoạt động trên nền những thông điệp ICMPV6 và phụ trách các

quy trình giao tiếp giữa các node ipv6 trên cùng một đường kết nối. Những

quy trình hoạt động giao tiếp này (giữa máy tính với máy tính, giữa máy tính

với router) là thiết yếu đối với hoạt động của thế hệ địa chỉ ipv6. ND sử dụng

thông điệp ICMPV6 để đảm nhiệm những chức năng phân giải địa chỉ, tìm

kiếm bộ định tuyến (router), lái (redirect), đồng thời cũng cung cấp nhiều

chức năng khác nữa.

Khi một node ipv6 khởi tạo, để có thế tiền hành giao tiếp, node cần biết

một số điểm:

Địa chỉ của node.

Thông tin về tiến tố mạng (prefix của chính nó để node biết được cách

thức gửi gói tin tới những node khác thuộc những prefix khác.

Biết được bộ định tuyến trên đường kết nối.

Quyết định được đích tiếp theo (next hope) trong đường dẫn tới một

đích.

Cần phân giải để nhận được địa chỉ lớp 2 (link-layer) từ một địa chỉ lớp

3 (network-layer) đã biết. 0

Cần biết nó có thể gửi gói tin có độ lớn bao nhiêu.

Biết được về những node lân cận trên cùng đường kết nối:

Có khả năng dò kiểm tra được tình trạng node lân cận không còn kết

nối tới được để nó không gửi gói tin tới node đó nữa.

Biết được địa chi nó đang định dùng liệu có bị một node khác sử dụng

rồi hay không.

Có khả năng lái (redirect) gói tin tới một node chuyển tiếp khác tốt hơn

(nếu có).

Tất cả những điều trên sẽ thực hiện được bằng những quy trình hoạt động mà

thủ tục Neighbor Discovery phụ trách. Nhờ những quy trình giao tiếp giữa

Page 31



Bảo mật Ipv6



máy tính với máy tính, máy tính với bộ định tuyến trên cùng đường kết nối,

node ipv6 có khả năng tự động cấu hình địa chỉ và những tham số hoạt động

khác mà không cần có mặt của máy chủ DHCP.

2.4.4. Cấu hình địa chỉ IPv6 tự động

Thiết bị ipv4 khi kết nối vào mạng phải được cấu hình bằng tay các thông

số địa chỉ, mặt nạ mạng, bộ định tuyến mặc định, máy chủ tên miền. Để giảm

cấu hình thủ công, máy chủ DHCP được sử dụng để có thể cấp phát địa chỉ ip

và thông số cho thiết bị ipv4 khi nó kết nối vào mạng. Địa chỉ ipv6 tiến thêm

một bước xa hơn khi cho phép một node ipv6 có thể tự động cấu hình địa chỉ

và các tham số hoạt động mà không cần sự hỗ trợ của máy chủ DHCPV6. Do

vậy, địa chỉ ipv6 có hai phương thức tự động cấu hình địa chỉ:

Sử dụng máy chủ DHCPV6 để cung cấp địa chỉ và thông số cho các thiết

bị ipv6. Cách thức này tương tự như việc sử dụng DHCP của địa chỉ ipv4.

Tuy nhiên, việc hướng dẫn thiết bị ipv6 nhận địa chỉ và thông số từ máy chủ

DHCPV6 do router trên đường kết nối quảng bá thông tin. không phải thực

hiện cấu hình xác định bằng tay như ipv4. Phương thức tự động cấu hình này

được gọi là "tự động cấu hình có trạng thái - stateful autoconfiguration".

Thiết bị ipv6 tự động cấu hình địa chỉ cho mình mà không cần sự hỗ trợ

của máy chủ DHCPV6. Thiết bị thực hiện cấu hình ip bắt đầu từ trạng thái

chưa có thông tin hỗ trợ cấu hình, do vậy phương thức cấu hình này được gọi

là "tư động cấu hình không trạng thái stateless autoconrguration"

Giảm tối thiểu cấu hình thủ công là một trong những đặc điểm hoàn toàn

mới và là một ưu điểm nổi bật của địa chỉ ipv6. Khả năng tự động cấu hình

không trạng thái của thiết bị ipv6 dựa trên một số đặc tính mời của địa chỉ

ipv6, bao gồm: khả năng tự tạo 64 bit định danh giao diện từ địa chỉ lớp 2. từ

đó tự động tạo địa chỉ Link-local, khả năng trao đổi của thiết bị với bộ định

tuyến trên một đường kết nối nhờ thủ tục ND (Neighbor Discovery) để nhận

các thông tin về tiền tố địa chỉ mạng của đường kết nối và các tham số hoạt

động khác.



Page 32



Bảo mật Ipv6



Hình 17: Tự động cấu hình địa chi của thiết bị ipv6



2.4.5 Khám phá MTU lớn nhất

Mạng quy mô lớn hay nhỏ, bao gồm các đường kết nối vật lý khác nhau.

Mỗi đường kết nối có một giá trị giới hạn về kích thước cực đại của gói tin

mà máy tính có thể gửi trên đường kết nối, được gọi là MTU (Maximum

Transmition Unit). Trong hoạt động của thế hệ địa chi ipv4. trong quá trình

chuyển tiếp gói tin, nếu router ipv4 nhận được gói tin lớn hơn giá trị MTU

của đường kết nối, router sẽ thực hiện phân mảnh gói tin (fragment) thành

những gói tin nhỏ hơn. Sau quá trình truyền tải gói tin được xây dựng lại nhờ

những thông tin trong mào đầu.

Địa chỉ ipv6 áp dụng một mô hình khác để phân mảnh gói tin. Mọi bộ định

tuyến lFv6 (router ipv6) không tiến hành phân mảnh gói tin, nhờ đó tăng hiệu

quả, giảm thời gian xừ lý gói tin. Việc phân mảnh gói tin được thực hiện tại

máy tính nguồn, nơi gửi gói tin. Do vậy, trong mào đầu cơ bản ipv6, các

trường hỗ trợ cho việc phân mảnh vả kết cấu lại gói tin (tương ứng mào đầu

ipv4) đã được bỏ đi. Những thông tin trợ giúp cho việc phân mảnh và tái tạo

gói tin ipv6 được để trong một mào đầu mở rộng của gói tin ipv6 gọi là Mào

đầu Phân mảnh (Fragment Header).

Giá trị MTU tối thiểu mặc định trên đường kết nối ipv6 là 1280 byte. Tuy

nhiên, để đến được đích, gói tin sẽ đi qua nhiều đường kết nối có giá trị MTU

khác nhau việc phân mảnh gói tin được thực hiện tại máy tính nguồn, không

thực hiện bởi các router trên đường truyền tài. Do vậy, máy tính nguồn cần



Page 33



Bảo mật Ipv6



biết được giá trị MTU nhỏ nhất trên toàn bộ đường truyền từ nguồn tới đích

để điều chỉnh kích thước gói tin phù hợp.

Có hai khái niệm về giá trị MTU trong ipv6, đó là:

LinkMTU: Là giá trị MTU trên đường kết nối trực tiếp của máy tính

PathMTU: Là giá trị MTU nhỏ nhất trên toàn bộ một đường truyền từ

nguồn tới đích.

Máy tính nguồn sẽ sử dụng quy trình có tên gọi tìm kiếm PathMTU để tìm

ra giá trị MTU nhỏ nhất trên đường dẫn từ nguồn đến đích. Khi tìm được nó

sẽ lưu giữ giá trị này để sử dụng trong giao tiếp.

Quy trình tìm kiếm PathMTU được thực hiện nhờ thông điệp Gói tin quá

lớn (Packet Tạo Bia) phản hồi từ router.

Để tìm PathMTU, máy tính nguồn gửi gói tin sử dụng giá trị MTU mặc

định trên đường kết nối trực tiếp của minh. Nếu trên đường truyền, kích thước

gói tin vượt quá giá trị MTU của một đường kết nối nào đó, router của đường

kết nối phải hủy bỏ gói tin và gửi thông điệp gói tin quá lớn thông báo trong

gói tin có chừa giá trị MTU của đường kết nối mà router phụ trách. Khi nhận

được thông tin này, máy tính sẽ sử dụng giá trị MTU này để gửi lại gói tin.

Cứ như vậy cho đến khi gói tin tới được đích vả máy tính sẽ lưu giữ lại thông

tin về giá trị MTU nhỏ nhất đã dùng (PathMTU) để thực hiện gửi lần sau.



Page 34



Bảo mật Ipv6



Hình 18: Quy trình thực hiện tìm kiếm PathMTU

2.5. Định tuyến trên địa chỉ IPv6

Một trong những nguyên lý thiết kế của IPv6 là các trạm phải hoạt động

chính xác ngay cả khi nó biết rất ít thông tin về mạng. Trên thực tế các trạm

không giống router, không lưu trữ bảng định tuyến và thường không có cấu

hình cố định. Điều đó có nghĩa là khi khởi động, Máy trạm phải tự cấu hình,

biết được thông tin về các đích mà nó trao đổi các gói tin. Các thông tin này

được lưu trữ trong bộ nhớ bằng cache. Thông tin trên cache có khoảng thời

gian tồn tại giới hạn và các thông tin hết thời gian tồn tại sẽ được loại bỏ định

kỳ để giới hạn kích thước của cache.

2.5.1. Tổng quan đặc điểm kỹ thuật

Để quyết định sẽ sử dụng entry nào trong bảng định tuyến để truyền gói tin

thì IPv6 sử dụng các quá trình sau:

Với mỗi entry trong một bảng định tuyến, Router sẽ so sánh các bit

trong tiền tố mạng của gói tin đích với danh sách các tiền tố trong bảng



Page 35



Bảo mật Ipv6



định tuyến theo thứ tự entry từ trên xuống dưới. Nó sẽ chọn ra các

tuyến đường nào có tiền tố mạng phù hợp(match) để xử lý tiếp.

Danh sách các tuyến đường được match sẽ được xử lý lại. Tuyến có

chiều dài tiền tố lớn nhất sẽ được chọn (theo quy tắc longest prefix

match). Longest match route sẽ là tuyến đường tốt nhất cho đích. Nếu

nhiều entry cùng thoả mãn (tiền tố) thì Router sẽ chọn tuyến nào có

metric nhỏ nhất (theo quy tắc lowest metric). Nếu cả hai thông số trên

đều trùng thì Router sẽ chọn 1 để sử dụng.

Nếu không tìm thấy tuyến nào match với địa chỉ đích nó sẽ gửi gói tin

đến route mặc định nếu trong bảng định tuyến có default Rroute, nếu

không có router sẽ hủy gói tin đó đi và gửi một thông báo lỗi ICMP

Destination Unreachable-No Route to Destination về nguồn gửi.

Với một đích bất kỳ cho trước, thì quá trình trên là kết quả của việc tìm

đường theo thứ tự sau:

Một host route match toàn bộ địa chỉ đích.

Một network route với prefix lớn nhất match địa chỉ đích.

Default Route

Kết quả của công việc này là một tuyến đường sẽ được chọn ra từ bảng

định tuyến. Tuyến đường này sẽ có interface và địa chỉ của Next Hop.

Interface của Next-Hop sẽ được chỉ ra trong route mà router đã chọn. Đối với

các router ở xa thì địa chỉ Next-Hop được lưu trong trường Next-Hop

Address. Còn với trường hợp đích là router nối trực tiếp với nó thì địa chỉ

Next-Hop là địa chỉ của router đích này và địa chỉ này không được lưu trong

trường Destination Address của packet.

3.5.2. Bảo mật cho các giao thức định tuyến

Giao thức định tuyến có thể là mối đe dọa như cập nhật trái phép cho một

trong hai tuyến đường IPv4 hoặc IPv6. Khả năng bảo mật đã được thiết kế

cho các giao thức định tuyến để giảm thiểu các mối đe dọa cập nhật trái phép.

Một số giao thức định tuyến IPv6 dựa trên cơ chế tương tự với những người

trong IPv4 để bảo vệ, trong khi những người khác đã kết hợp IPsec để bảo vệ.

Các cơ chế bảo mật này không cung cấp bảo mật end-to-end để giao thức định

Page 36



Bảo mật Ipv6



tuyến qua các bước nhảy nhiều, bởi vì trong khi họ cung cấp đảm bảo tính

toàn vẹn cho thông điệp giao thức định tuyến giữa các nút, không xác minh

tính toàn vẹn của tin nhắn nhận được từ các nút khác mà không phải là một

phần của một an ninh hiệp hội. Đây là mối quan tâm an ninh lớn đối với

EGPs và ít hơn cho IGPs.

RIPng

RIP cho IPv4 sử dụng một cơ chế toàn vẹn dựa trên MD5, điều này đã

được gỡ bỏ từ RIPng. RIPng không cung cấp tính năng bảo đảm tính toàn

vẹn. Per RFC 2080, RIPng thúc đẩy IPsec để bảo mật. Cần lưu ý rằng các nhà

cung cấp phần cứng đã không được tích hợp tính năng IPsec như là một tùy

chọn cấu hình, thay vì dựa vào hỗ trợ IPsec IPv6 từ các nền tảng hoạt động để

bảo vệ. RIPng là chỉ thích hợp cho nhỏ, mạng lưới tư nhân nơi mà các mối đe

dọa của các cuộc tấn công định tuyến được giảm thiểu đáng kể.

OSPFv3

Bảo mật OSPFv2 trong một môi trường dual stack sẽ bảo vệ không phải

giao thức OSPFv3 cũng không phải là bảng định tuyến OSPFv3. OSPFv2 cho

phép xác thực null, dựa trên mật khẩu hoặc mã hóa bằng cách sử dụng MD5

dựa trên tính toàn vẹn cho định tuyến cập nhật. Các trường xác được tìm thấy

trong OSPFv2 đã được gỡ bỏ từ các gói tin OSPFv3 cho IPv6, vì vậy MD5

không phải là một lựa chọn xác thực. OSPFv3 cung cấp không có đảm bảo

tính toàn vẹn tính năng và dựa trên IPsec AH hoặc ESP để xác thực, tính toàn

vẹn, bảo mật và. Lưu ý rằng OSPFv3 sử dụng unicast và multicast, và IKE

không làm việc với multicast, vì vậy phương pháp mặc định là sử dụng

keying hướng dẫn sử dụng. Kể từ khi bảo vệ replay không có thể được cung

cấp bằng cách sử dụng keying hướng dẫn sử dụng, OSPFv3 thông điệp dễ bị

tấn công phát lại, có thể dẫn đến các cuộc tấn công DoS, đơn vị xử lý trung

tâm (CPU) quá tải, và các vòng lặp định tuyến nội địa hóa. IPsec cho OSPFv3

được nêu chi tiết trong RFC 4552.

Với giao thức định tuyến, định tuyến toàn vẹn thường là một mối quan tâm

lớn hơn bảo mật. Tham số ESP NULL cho thấy không có mã hóa thường

được coi là một lựa chọn chấp nhận được đối với an ninh OSPF.

Page 37



Bảo mật Ipv6



IS-IS và EIGRP

Cả hai IS-IS và EIGRP hỗ trợ tính toàn vẹn dựa trên MD5 đơn giản để bảo

vệ các thông tin cập nhật định tuyến IPv6, tương tự như bảo vệ cập nhật định

tuyến cho IS-IS và EIGRP cho IPv4.

BGP

Việc sử dụng BGP là một giao thức định tuyến liên AS có nghĩa là nó có

thể là mối đe dọa nghiêm trọng. Ba cơ chế tồn tại để giảm thiểu mối đe dọa

đối với BGP. Đầu tiên là việc sử dụng các tính toàn vẹn dựa trên MD5-để bảo

vệ các cập nhật định tuyến. Cơ chế thứ hai để giảm thiểu các mối đe dọa để

BGP là GTSM (RFC 5082). GTSM là một cơ chế bảo mật đơn giản cho việc

loại bỏ các tin nhắn giả mạo BGP dựa trên IP TTL hoặc Limit Hop.

BGP gửi bộ định tuyến luôn luôn sử dụng một TTL = 255, và kiểm tra

router nhận BGP TTL có giá trị dự kiến của 255. Bất kỳ gói dữ liệu từ một kẻ

tấn công từ xa có để đi du lịch thông qua can thiệp router, sẽ có một TTL nhỏ

hơn tối đa, và sẽ được giảm trên hóa đơn. Lưu ý rằng hoạt động router như

các thiết bị đầu cuối của một giao thức đường hầm không thể giảm các hop

count khi nhận được gói tin thông qua đường hầm, do đó những hình dung có

thể đến từ bất cứ nơi nào với TTL = 255. Cơ chế thứ ba để giảm thiểu các mối

đe dọa để BGP là IPsec. IPsec quản lý chủ chốt có thể sử dụng bí mật được

chia sẻ hoặc giấy chứng nhận khóa công khai, cho phép IPsec để cung cấp

khả năng mở rộng. GTSM có chi phí thấp nhất trong ba cơ chế, và là dễ nhất

để cấu hình. Nó cũng cung cấp bảo vệ kém hiệu quả nhất. Cơ chế chữ ký

MD5 cung cấp bảo vệ phía trên thấp và hiệu quả, nhưng nó buộc các quản trị

viên để làm gián đoạn phiên BGP của họ tại mỗi lần cập nhật quan trọng, và

nó cũng không quy mô. IPsec cung cấp bảo vệ hiệu quả, sự gián đoạn ít nhất,

và khả năng mở rộng tốt nhất. Nó cũng áp đặt chi phí cao nhất (mặc dù chi

phí vẫn còn nhỏ), và nó là cơ chế phức tạp nhất để cấu hình. Tóm lại, bằng

cách sử dụng một tổng kiểm tra MD5 là chắc chắn tốt hơn là không có gì,

nhưng MD5 chính nó có thể bị tấn công thành công, và hầu hết những phương

pháp này không có cách dễ dàng để thay đổi các chức năng băm hoặc thậm

chí thay đổi các phím. IPsec là thích hợp hơn cho các giao thức định tuyến hỗ

Page 38