Tuy nhiên, bên cạnh đó các mạng doanh nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có những tiềm tàng hoặc rủi do bị kẻ xấu lợi [r]
(1)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ 188(12/2): 85 - 91
THIẾT KẾ MẠNG TRÊN NỀN IPV6 AN TOÀN NHỜ PHÂN TÍCH,
ĐÁNH GIÁ ĐẶC ĐIỂM CỦA GIAO THỨC IPV6
Nguyễn Thị Dung, Lê Hoàng Hiệp*, Phạm Thị Liên, Trần Duy Minh Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên
TÓM TẮT
Nhu cầu thiết yếu với doanh nghiệp ln cần có hệ thống mạng hoạt động 24/24 liên tục với hiệu tốt phải đảm bảo độ an toàn cao Với mạng sử dụng giao thức IPv4 trước có xu chuyển dịch chuyển hẳn sang sử dụng giao thức IPv6 nhiều lợi ích Tuy nhiên, bên cạnh mạng doanh nghiệp vừa nhỏ Việt Nam thiết kế giao thức IPv6 ln có tiềm tàng rủi bị kẻ xấu lợi dụng số điểm yếu IPv6 để thực công hành động, mục đích khơng có lợi cho hệ thống mạng doanh nghiệp Do đó, bắt tay vào thiết kế dự án mạng nhà thiết kế cần hiểu rõ đánh giá đặc điểm giao thức IPv6 cách nghiêm túc
Từ khóa: IPv6,IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues GIỚI THIỆU*
Khi thiết kế hệ thống mạng an toàn, nhà thiết kế cần phải xem xét phân tích thực số yếu tố có ảnh hưởng liên đới sau sử dụng chẳng hạn phân tích cấu trúc sơ đồ mạng (topology) vị trí đặt host (máy chủ, Router, tường lửa,…) để đảm bảo hiệu người quản trị kiểm sốt hiểu rõ, thực thi tốt hệ thống mà quản lý
Hình Sơ đồ mạng an toàn bản Một số vấn đề, thách thức bảo mật thường thấy thiết kế mạng doanh nghiệp cỡ vừa nhỏ (số lượng node mạng <1000) điển hình như:
- Bảo vệ hệ thống khỏi mối đe dọa, công từ mạng Internet
- Bảo vệ cho máy chủ Web, DNS Mail mạng Internet
*
Tel: 0984 666500; Email: lhhiep@ictu.edu.vn
- Phòng ngừa thiệt hại, rủi cho hệ thống ngăn chặn công nội
- Đảm bảo tài nguyên nội quan trọng doanh nghiệp hồ sơ lưu trữ, liệu tài chính, sở liệu khách hàng, bí mật kinh doanh,…
- Xây dựng tảng (Framework) tốt cho kỹ sư quản trị hệ thống để quản lý hệ thống an toàn
- Cung cấp cho hệ thống khả lưu/ghi lại nhật ký xây dựng hệ thống phát xâm nhập
(2)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ 188(12/2): 85 - 91 bảo bảo mật có ảnh hưởng lớn đến an toàn
cho hệ thống mạng cổng thông tin điện tử Đây sở cho việc xây dựng hệ thống phòng thủ bảo vệ Ngồi ra, việc tổ chức mơ hình mạng hợp lý hạn chế cơng từ bên bên ngồi cách hiệu [1]
Đối với tổ chức, doanh nghiệp tất hệ thống máy móc, thiết bị mạng liên kết/kết nối với thông qua mạng nội mạng diện rộng Với tính chất liên kết đó, máy bị cơng ảnh hưởng đến hệ thống mạng công ty, nhiên hầu hết doanh nghiệp Việt Nam lơ chưa thực quan tâm đến vấn đề bảo mật hệ thống an ninh mạng công ty như: Yêu cầu sử dụng phần mềm quyền chưa tuân thủ nghiêm ngặt, chưa tiến hành rà quét, đánh giá an ninh định kì, chưa tăng cường biện pháp chủ động phòng ngừa nguy an ninh, biết điểm yếu an ninh chưa chủ động khắc phục khắc phục phần chưa triệt để….Đặc biệt hệ thống mạng doanh nghiệp thiết kế sử dụng hoàn toàn tảng IPv6 bên cạnh nhiều lợi ích to lớn ln có mối đe dọa an ninh lớn tồn song song Khi đó, vai trò then chốt quan trọng khâu thiết kế từ đầu có ảnh hưởng xuyên suốt tới q trình vận hành, sử dụng sau địi hỏi nhà thiết kế cần có phân tích kỹ thấu đáo yêu cầu/quy chuẩn thiết kế chuẩn mực, tránh điểm yếu tận dụng lợi giao thức IPv6 để hệ thống mạng hoạt động với hiệu cao [2]
NHẬN DIỆN ƯU ĐIỂM TRONG CÁC ĐẶC ĐIỂM CỦA CÔNG NGHỆ IPV6
Công nghệ IPv6 mang đến nhiều ưu điểm so với cơng nghệ tiền nhiệm (IPv4) Khả mở rộng địa IPv6 cho phép cung cấp khoảng 340 tỷ tỷ (trillion) địa nhất, IPv4 có khả cung cấp tối đa khoảng tỷ địa
Số lượng khơng gian địa mà IPv6 có khả cung cấp dự trù vơ lớn, đáp ứng thoải mái cho tất thiết bị kết nối vào mạng theo cấp số nhân IPv6 kết thúc sứ mệnh thiết bị có chức "dịch địa chỉ” (NAT), đầu tư chi phí vận hành cho thiết bị kiểu làm Tập giao thức an ninh IP dựng đưa ln vào kiến trúc IPv6, tạo phương thức triển khai chế an ninh từ bên dùng IPv6 Các chế đảm bảo an ninh an toàn đồng tất ứng dụng doanh nghiệp đơn giản hóa cơng tác quản trị an tồn an ninh Giao thức mạng với tính an tồn an ninh tốt mở đường cho việc triển khai ứng dụng truyền tin an tồn Cấu trúc mở rộng phần đầu IPv6 (header) cho phép cung cấp đặc tính IPv6 đảm bảo chất lượng tốt IPv4 phần đầu IPv6 chứa trường cho phép gói tin trạm hướng tới trạm khác cách cụ thể, để gói nhìn thấy xử lý cách nhanh chóng hiệu định tuyến Việc ứng dụng IPv6 mang lại lợi ích cho nhiều khu vực, quyền, quốc phịng, viễn thơng, điện lực, giao thơng, hậu cầu, trị chơi, bất động sản, chăm sóc sức khỏe giáo dục [2]
Có thể tóm tắt số lợi ích mạng IPv6 sau [1], [2],[3]:
- Không gian địa lớn dễ dàng quản lý không gian địa chỉ: Tăng từ 32bit lên 128bit
- Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối Internet loại bỏ hồn tồn cơng nghệ NAT
(3)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 - Cấu trúc định tuyến tốt hơn: Định tuyến
IPv6 thiết kế hồn tồn phân cấp - Tự động cấu hình khơng trạng thái (Plug and Play)
- Dễ dàng thực Multicast
- Khả bảo mật kết nối từ thiết bị gửi đến thiết bị nhận
- Hỗ trợ tốt cho di động: Thời điểm IPv4 thiết kế, chưa tồn khái niệm thiết bị IP di động Trong hệ mạng mới, dạng thiết bị ngày phát triển, đòi hỏi cấu trúc giao thức Internet có hỗ trợ tốt NHẬN DIỆN MỘT SỐ ĐIỂM YẾU, NGUY CƠ, LỖ HỔNG TẤN CƠNG TRONG MẠNG IPV6
Khơng có khơng gian địa lớn hơn, IPv6 cịn cải thiện tốt vấn đề bảo mật tồn giao thức IPv4 công từ chối dịch vụ (DOS), công chèn mã độc (Malicious Code), công Man-in-the-middle, công phân mảnh, công quét cổng cơng thăm dị, cơng chuyển hướng ICMP nhiễm độc ARP…Vì chuyển sang sử dụng địa IPv6 xem cách để an tồn mơi trường mạng [4]
Hơn nữa, ngồi nhiều lợi ích, tính bảo mật kế thừa, cải thiện phát huy giao thức IPv6 so với IPv4 như: Ngăn chặn số kiểu công nhờ không gian địa lớn; Bảo mật nhờ tính tự động cấu hình phát thiết bị hàng xóm; Hỗ trợ IPsec tất node mạng; Liên kết bảo mật (SA); Hỗ trợ hai giao thức bảo mật: Tiêu đề xác thực (AH) ESP (Encapsulating Security Payload); Tính xác thực Tính tồn vẹn liệu (Authentication and data integrity);…công nghệ IPv6 tồn điểm yếu, rủi do, lỗ hổng nguy công từ Hacker
Cụ thể số vùng IPv6 nơi mà bảo mật vấn đề cần quan tâm, nghiên cứu thực nghiệm để khắc phục bao gồm [4],[5]:
Các vấn đề liên quan đến Dual-stack: Vấn đề Dual-stack máy chủ IPv6 kích hoạt cách mặc định số hệ điều hành (Windows, Linux,…) Thế sách bảo mật an ninh khơng kích hoạt cách mặc định Nếu nhà quản trị khơng có nhiều kinh nghiệm khơng trọng cấu hình bảo mật tạo lỗ hổng bảo mật lớn Mối đe dọa tiềm ẩn kỹ thuật xuất thiết bị hay phần mềm bảo mật khơng hỗ trợ IPv6 có hỗ trợ khơng cấu hình IPv6 với tính an tồn
Hình Dual Stack IPv4/IPv6
Trong đó, số hình thức chuyển đổi dual-stack sử dụng Việc sử dụng ngăn xếp hai giao thức IPv6-IPv4 làm tăng khả bị công, hệ việc có hai sở hạ tầng với vấn đề bảo mật khác Tuy nhiên, hầu hết vấn đề kết trực tiếp lỗi thiết kế IPv6, mà kết khơng tương thích việc cấu hình sai Các vấn đề liên quan đến việc sử dụng
Header: Việc sử dụng tiêu đề mở rộng
(Extension Headers) IPSec ngăn chặn số nguồn cơng phổ biến Việc sử dụng thực bằng cách sử dụng tiêu đề IPv6 Tuy nhiên, thực tế Extension Headers phải xử lý tất thiết bị, nguồn gốc cơng, ví dụ chuỗi dài Extension Headers số gói có kích thước lớn đáng kể sử dụng để làm tràn ngập node mạng (ví dụ: tường lửa, thiết bị mạng,…) giả mạo công
Giả mạo (snoofing): tiếp tục nguy
(4)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ 188(12/2): 85 - 91 thể xảy cho node mạng
phân đoạn mạng
Hình Ví dụ cơng Spoofing DNS Để truy cập vào hệ thống mạng bạn, máy tính bên phải “giành” địa IP tin cậy hệ thống mạng Vì kẻ cơng phải sử dụng địa IP nằm phạm vi hệ thống mạng bạn Hoặc cách khác kẻ cơng sử dụng địa IP bên đáng tin cậy hệ thống mạng bạn Các địa IP hệ thống tin tưởng địa có đặc quyền đặc biệt nguồn tài nguyên quan trọng hệ thống mạng Các vấn đề về làm tràn đệm: Việc quét địa dịch vụ hợp lệ khó khăn mạng IPv6 Như đề cập trên, để quét hiệu phân đoạn IPv6 đến 580 tỷ năm, khơng gian địa sử dụng 128 bit Tuy nhiên, không gian địa lớn khơng có nghĩa IPv6 hoàn toàn bất khả xâm phạm kiểu công Cũng không thiếu địa quảng bá làm cho IPv6 an tồn Các đặc tính địa multicast làm cho IPv6 an tồn Kiểu cơng Smurf xảy lưu lượng multicast
Tấn công DDoS mạng IPv6:Tấn công
từ chối dịch vụ (DoS) trở thành ác mộng với khơng hệ thống mạng IPv4 Nó làm tê liệt hoạt động trang Web, máy chủ tài nguyên mạng Đối với IPv6, nguy cơng DoS có liên quan đến phần header mở rộng (Extension Headers)
Những trường (field) yêu cầu xử lý tất node đường gói tin trì header IPv6 Các trường cịn lại chứa thơng tin khơng liên quan đến gói tin IP chuyển đến phần header mở rộng IPv6 Và phần header mở rộng vừa điểm mạnh trở thành điểm yếu mà tin tặc lợi dụng cơng DoS
Hình Tấn cơng DoS
IPv6 không giới hạn header mở rộng (không vượt q kích thước gói tin IPv6) q trình thực xử lý hoàn toàn trường theo thứ tự chúng xuất header Vì vậy, tin tặc thực giả mạo header mở rộng để tiến hành cơng Chúng tạo gói tin IPv6 có số lượng header mở rộng tối đa cho phép liên kết với danh sách lớn Ví dụ gửi lặp tin hop-by-hop option header nhiều lần khiến cho việc xác định đường node mạng bị cản trở làm tắc nghẽn băng thông
THIẾT KẾ MẠNG IPV6 AN TOÀN NHỜ CHỌN LỰA PHƯƠNG PHÁP THIẾT KẾ PHÙ HỢP VÀ XÂY DỰNG TIÊU CHÍ THIẾT KẾ CHUẨN MỰC
Như phân tích, trình bày bên có nhiều tính bảo mật tăng cường, IPv6 giải tất tồn IPv4 Giao thức IPv6 ngăn công lớp lớp mạng (Network Layer) Các cơng [5]:
(5)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ 188(12/2): 85 - 91 - Tấn cơng Brute-force hay dị mật
trong mô-đun xác thực
- Thiết bị giả (Rogue Device) : thiết bị đưa vào mạng khơng phép Các thiết bị máy PC, thiết bị chuyển mạch (Switch), định tuyến (Router), Server DNS, DHCP hay thiết bị truy cập mạng không dây (Wireless Access Point),… - Tấn công từ chối dịch vụ: tiếp tục tồn IPv6
- Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID, Email Spamming, Phishing,…
Với mạng doanh nghiệp Việt Nam nay, nên học hỏi, kế thừa phát huy kinh nghiệm triển khai mạng IPv6 từ nước ứng dụng trước đó, thiết kế hệ thống mạng IPv6 nhà thiết kế nên nhận diện phương pháp thiết kế tiêu chí gợi ý có lợi bảo đảm an toàn mạng Cụ thể:
Lựa chọn phương pháp thiết kế
- Phương pháp thiết kế mạng điển hình PPDIOO (Prepare, Plan, Design, Implement, Operate, Optimize) Thiết kế mạng hợp lý, vận hành hiệu làm tăng tính sẵn sàng hệ thống Với phương pháp phù hợp với mạng IPv6 có quy mơ lớn, cần chuẩn bị thời gian xem xét yếu tố hiệu lớn
- Thiết kế mạng từ xuống (Top-Down) phương pháp thiết kế mạng bắt đầu lớp mơ hình tham chiếu OSI trước chuyển sang lớp thấp Phương pháp thiết kế từ xuống tập trung vào lớp: ứng dụng (Application), phiên (Session), vận chuyển (Transport) trước chọn lựa định tuyến, thiết bị chuyển mạch môi trường hoạt động lớp Trong phương pháp hạn chế vấn đề liên quan đến việc sử dụng Header; kiểm soát tốt cơng DDOS mạng IPv6, thiết kế theo tầng, nhà quản trị có lựa chọn kỹ thiết bị mạng đáp ứng vấn đề
- Thiết kế mạng theo mơ hình phân cấp sử dụng lớp để đơn giản nhiệm vụ kết nối mạng, lớp tập trung vào chức cụ thể, cho phép lựa chọn tính hệ thống thích hợp cho lớp Với phương pháp thiết kế mạng IPv6 hạn chế vấn đề liên quan tới Dual-stack vấn đề tràn đệm, kỹ thuật “chia để trị”, chia mạng lớn thành cấp độ khác để từ có thiết kế phù hợp
Kết luận: hệ thống hoạt động tốt, ổn định, an toàn cao, đặc biệt với mạng phức tạp chạy IPv6, việc chọn lựa phương pháp thiết kế hiệu đem tới nhiều lợi ích tốt, đồng thời kiểm sốt hạn chế yếu điểm mà mạng IPv6 tồn
Xác định xây dựng tiêu chí thiết kế:
Với phương pháp thiết kế mạng lựa chọn, nhà thiết kế cần xây dựng tiêu chí kỹ có phản biện cao Với mạng IPv6 cần có tiêu chí để tăng độ an toàn cho hệ thống [4],[5],[6]:
Nên đặt các máy chủ Web, máy chủ thư điện tử (Mail Server)… cung cấp dịch vụ
mạng Internet vùng mạng DMZ, nhằm
tránh công mạng nội gây ảnh hướng tới an toàn mạng nội máy chủ bị công chiếm quyền kiểm sốt Chú ý khơng đặt máy chủ Web, Mail Server máy chủ cung cấp dịch vụ cho nội vùng mạng
Các máy chủ không trực tiếp cung cấp dịch vụ mạng ngoài máy chủ ứng dụng, máy chủ sở liệu, máy chủ xác thực…
nên đặt vùng mạng Server Network để
(6)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ 188(12/2): 85 - 91 Nên thiết lập các hệ thống phòng thủ
tường lửa (Firewall) và thiết bị phát
hiện/phòng chống xâm nhập (IDS/IPS) để
bảo vệ hệ thống, chống công xâm nhập trái phép Khuyến cáo đặt Firewall IDS/IPS vị trí sau: đặt Firewall đường nối mạng Internet với vùng mạng khác nhằm hạn chế cơng từ mạng từ bên ngồi vào; đặt Firewall vùng mạng nội mạng DMZ nhằm hạn chế cơng vùng đó; đặt IDS/IPS vùng cần theo dõi bảo vệ Nên đặt Router ngoài (Router
biên) trước kết nối đến nhà cung cấp dịch
vụ internet (ISP) để lọc số lưu lượng không mong muốn chặn gói tin đến từ địa IP không hợp lệ
KẾT LUẬN
Trong rõ ràng IPv6 IPv4 tiếp tục tồn nhiều năm nữa, tiềm thực kinh tế số dịch vụ hệ nhận thức nhà cung cấp đặt kế hoạch cho việc chuyển đổi sang IPv6 Thêm nữa, chuyển đổi sang IPv6 tiến trình nhạt nhẽo phức tạp, IPv6 khơng tương thích ngược, nên cơng ty cần cẩn trọng lên kế hoạch chuyển đổi để bảo đảm việc sản xuất kinh doanh không bị gián đoạn Điều tối quan trọng cần quan tâm yếu tố phần cứng phần mềm phải đánh giá trước thực chuyển đổi, lệch lạc ảnh hưởng trực tiếp đến độ sẵn sàng dịch vụ trọng yếu [6], [7]
- Việc chuẩn bị nên để khâu thiết kế xây dựng không trở thành tốn
- Thiết kế, xây dựng chuyển đổi cần thực với độ ảnh hưởng tối thiểu
Để đạt điều đó, cơng ty nên có nhiều kinh nghiệm xây dựng quản trị mạng IP phức tạp mức độ tồn cầu Khi đó, dễ dàng vị cung cấp dịch vụ chuyển đổi IPv6 cho doanh nghiệp, nhà
cung cấp dịch vụ nhà sản xuất thuộc cỡ khác đâu giới Tốc độ phát triển thiết bị kết nối Internet làm cho việc chuyển đổi sang IPv6 cho nhà cung cấp dịch vụ doanh nghiệp đảo ngược Một thật rõ ràng IPv6 IPv4 tồn trình độ, làm cho việc trở nên phức tạp khó quản lý hơn, làm kéo dài trình chuyển sang IPv6 Tuy nhiên, thách thức lớn nhà cung cấp dịch vụ doanh nghiệp lớn vẽ lộ trình đắn, phù hợp để chuyển đổi sang IPv6, đương nhiên phải đảm bảo tính liên tục hoạt động sản xuất kinh doanh mục tiêu chiến lược Và vấn đề then chốt nhà thiết kế cần nghiên cứu, phân tích đánh giá, hiểu rõ ưu nhược điểm công nghệ IPv6 để từ đưa khuyến nghị tốt cho khách hàng thiết kế hệ thống mạng chạy hồn tồn cơng nghệ IPv6 kết hợp hai công nghệ IPv4 IPv6 song song
TÀI LIỆU THAM KHẢO https://www.vnnic.vn/ipv6/
2 Minoli, D Kouns, J, 2009, Security in an IPv6 Environment, CRC Press, USA
3 E Durdaugi and A Buldu, 2010, IPV4/IPV6 security and threat comparisons,
Procedia-Social and Behavioral Sciences, vol 2(2): pp 5285–5291
4 S Deering, Cisco, R Hinden, and Nokia, “RFC” 2460, 1998, Internet Protocol, Version (IPv6) Specification
5 Hogg, S Vyncke, E 2009, IPv6 Security, Cisco Press, USA
(7)Nguyễn Thị Dung Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ 188(12/2): 85 - 91
SUMMARY
NETWORK DESIGN OF IPV6 SAFETY BASED ON ANALYSIS, FEATURE ASSESSMENT OF IPV6 PROTOCOL
Nguyen Thi Dung, Le Hoang Hiep*, Pham Thi Lien, Tran Duy Minh
University of Information and Communication Technology - TNU
The focus of the paper is on design choices where there are differences between IPv4 and IPv6, either in the range of posible alternatives (e.g the extra possibilities introduced by link-local addresses in IPv6) or the recommended alternative The paper presents the alternatives and discusses the pros and cons in detail Where consensus currently exists around the best practice, this is documented; otherwise the paper simply summarizes the current state of the discussion Thus this paper serves to both to document the reasoning behind best current practices for IPv6, and to allow a designer to make an intelligent choice where no such consensus exists
Keywords: IPv6,IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues
Ngày nhận bài: 17/8/2018; Ngày phản biện: 09/10/2018; Ngày duyệt đăng: 12/10/2018
*