Vấn đề an toàn mạng trong quá trình chuyển đổi từ ipv4 sang ipv6 (tt) Vấn đề an toàn mạng trong quá trình chuyển đổi từ ipv4 sang ipv6 (tt) Vấn đề an toàn mạng trong quá trình chuyển đổi từ ipv4 sang ipv6 (tt) Vấn đề an toàn mạng trong quá trình chuyển đổi từ ipv4 sang ipv6 (tt) Vấn đề an toàn mạng trong quá trình chuyển đổi từ ipv4 sang ipv6 (tt) Vấn đề an toàn mạng trong quá trình chuyển đổi từ ipv4 sang ipv6 (tt)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - TRỊNH NGỌC TÂN VẤN ĐỀ AN TỒN MẠNG TRONG Q TRÌNH CHUYỂN ĐỔI TỪ IPV4 SANG IPV6 Chuyên ngành: Kỹ thuật Viễn thơng Mã số: 60.52.02.08 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2014 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS TRỊNH ANH TUẤN Phản biện 1: TS ĐẶNG HOÀI BẮC Phản biện 2: PGS.TS NGUYỄN TIẾN BAN Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 15 30 ngày 09 tháng 08 năm 2014 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Như biết, từ đời, giao thức IP thể ưu điểm nhằm đáp ứng nhu cầu kết nối truyền tải thông tin người sử dụng Và điều làm cho số lượng thiết bị sử dụng giao thức IP ngày gia tăng Hiện tại, giao thức IPv4 với không gian địa 32 bit đáp ứng với tốc độ đời thiết bị mới, dẫn tới kho địa dần cạn kiệt Giao thức IPv6 đời khắc phục tình trạng thiếu địa giao thức IPv4 Tuy nhiên, vào thời điểm tại, giao thức IPv6 chưa sử dụng rộng rãi trình chuyển đổi từ IPv4 Quá trình chuyển đổi phức tạp nảy sinh nhiều vấn đề cần phải giải Một vấn đề quan trọng để đảm bảo độ an tồn bảo mật mạng q trình chuyển đổi Nhận thấy vấn đề hay, mang nhiều yếu tố cấp thiết nên cần phải nghiên cứu kịp thời để ứng dụng vào q trình chuyển đổi sang IPv6 Việt Nam Vì lý nên tơi chọn “Vấn đề an tồn mạng trình chuyển đổi IPv4 sang IPv6” làm đề tài nghiên cứu luận văn Nội dung luận văn bao gồm: Chương 1: Tổng quan IPv4 IPv6 Nội dung trình bày tổng quan cấu trúc, đặc điểm bảo mật IPv4 IPv6 Chương 2: Quá trình chuyển đổi từ IPv4 sang IPv6 Trình bày số phương pháp chuyển đổi trình chuyển đổi Chương 3: Một số vấn đề an tồn mạng q trình chuyển đổi từ IPv4 sang IPv6 Phân tích vấn đề an tồn mạng q trình chuyển đổi từ IPv4 sang IPv6 để thấy vấn đề cần phải quan tâm trình chuyển đổi tiếp đến triển khai IPv6 Trong q trình làm luận văn, gặp nhiều khó khăn hạn chế mặt kiến thức nên không tránh khỏi thiếu sót Tơi xin trân thành cảm ơn hướng dẫn tận tình TS Trịnh Anh Tuấn - người giúp tơi hồn thành luận văn 2 CHƯƠNG 1: TỔNG QUAN VỀ IPv4 VÀ IPv6 1.1 Tổng quan IPv4 Là giao thức Internet phiên (viết tắt IPv4, Internet Protocol version 4) phiên thứ tư trình phát triển giao thức Internet (IP) Đây phiên IP sử dụng rộng rãi IPv4 với IPv6 (giao thức Internet phiên 6) tảng giao tiếp Internet Hiện tại, IPv4 giao thức triển khai rộng rãi giao thức lớp Internet IPv4 giao thức hướng liệu, sử dụng cho hệ thống chuyển mạch gói (tương tự chuẩn mạng Ethernet) Đây giao thức truyền liệu hoạt động dựa nguyên tắc tốt có thể, đó, khơng quan tâm đến thứ tự truyền gói tin khơng đảm bảo gói tin đến đích hay việc gây tình trạng lặp gói tin đích đến 1.1.1 Cấu trúc địa IPv4 1.1.2 Cấu trúc Header 1.2 Tổng quan IPv6 1.2.1 Cấu trúc địa IPv6 1.2.2 Các kiểu địa IPv6 IPv6 phân làm kiểu địa chỉ: unicast, multicast địa anycast [8] Địa Unicast Một địa Unicast xác định giao diện phạm vi hoạt động Có thể VoIP, PC mạng LAN Địa multicast Trong IPv6, multicast hoạt động giống IPv4 Tự đặt node IPv6 lắng nghe lưu lượng multicast địa multicast IPv6 tùy ý Các node IPv6 nghe nhiều địa multicast lúc Địa Anycast Một địa Anycast giao cho nhiều giao diện Các gói tin đến địa anycast chuyển tiếp tầng định tuyến sở tới giao diện gần mà địa anycast giao Để tạo điều kiện giao tiếp, tầng sở định tuyến phải biết giao diện giao “khoảng cách” số liệu định tuyến Hiện nay, địa anycast sử dụng địa đích giao cho router 1.2.3 Cấu trúc gói tin Cấu trúc gói tin IPv6 gồm phần: IPv6 Header, Extension Headers Upper Layer Protocol Data Unit [8] Hình 1.4: Cấu trúc gói tin IPv6 IPv6 Header - Đây thành phần ln phải có gói tin IPv6 chiếm cố định 40 bytes Extension Headers - Trường Header mở rộng có không với độ dài không cố định Trường Next Header Header gói tin IPv6 phần Header mở rộng Upper Layer Protocol Data Unit (PDU) - Thường bao gồm header giao thức tầng cao độ dài Payload gói tin IPv6 thường kết hợp header mở rộng PDU Thơng thường lên tới 65,535 byte Với gói tin nặng 65,535 byte dùng tùy chọn Jumbo Payload để gửi thông qua phương thức Hop-by-Hop 4 1.2.4 Cấu trúc header 1.3 So sánh IPv4 IPv6 1.3.1 So sánh cấu trúc 1.3.2 So sánh an ninh 1.3.2.1 Giống 1.3.2.2 Khác 1.3.3 Những thay đổi mức độ an ninh 1.4 Các vấn đề giải pháp 1.4.1 Những hạn chế IPv4 Thiếu địa IP Quá nhiều routing entry (bản ghi định tuyến) Vấn đề an ninh mạng Nhu cầu vấn đề đảm bảo chất lượng dịch vụ QoS 1.4.2 Các ưu sử dụng IPv6 Sử dụng định dạng Header Không gian địa lớn Khả tự động cấu hình (Autoconfiguration) Khả bảo mật tốt Khả quản lý định tuyến tốt Dễ dàng thực multicast hỗ trợ tốt cho di động Hỗ trợ cho quản lý chất lượng mạng QoS 1.5 Kết luận chương IPv4 đời từ sớm, đóng vai trị quan trọng việc hình thành vận hành Internet Nhưng đến nay, với phát triển mạnh mẽ thiết bị đời Địi hỏi nhiều khơng gian địa hơn, chất lượng dịch vụ cao hơn, độ bảo mật an tồn thơng tin phải đảm bảo 5 Qua nội dung chương một, có nhìn tổng quát cấu trúc địa chỉ, giống khác cấu trúc, anh ninh mạng IPv4 mạng IPv6 Từ thấy ưu sử dụng IPv6 Có nhiều giải pháp đưa để thực chuyển đổi từ IPv4 sang IPv6 Tuy nhiên, trình chuyển đổi diễn phức tạp mạng Internet rộng lớn Ta tìm hiểu phương thức chuyển đổi từ IPv4 sang IPv6 chương II luận văn CHƯƠNG 2: QUÁ TRÌNH VÀ CÁC PHƯƠNG PHÁP CHUYỂN ĐỔI TỪ IPv4 SANG IPv6 Hiện nay, đa số thiết bị mạng Internet sử dụng IPv4 Các thiết bị tham gia vào mạng Internet có đặc điểm khác Vì đặc điểm rộng lớn đa dạng nên hình thành phương pháp chuyển đổi khác Tuy nhiên, triển khai IPv6 ta bỏ thiết bị cũ sử dụng Do đó, việc triển khai IPv6 cần phải có tính tương thích ngược Trong chương này, ta tìm hiểu vấn đề phương pháp chuyển đổi từ IPv4 sang IPv6 2.1 Vấn đề chuyển sang IPv6 Việc chuyển đổi toàn sang IPv6 phức tạp Ban đầu, phải hình thành cầu nối môi trường mạng quan trọng chưa thể thay đổi diện rộng Các thiết bị đầu cuối cần phải chạy node dual-stack chuyển đổi sang hệ thống IPv6 Hiện tại, giao thức đời hỗ trợ IPv4 tương thích Nó có dạng địa IPv6 sử dụng địa IPv4 nhúng Tạo đường hầm (tunnel) bước quan trọng trình thiết lập cho thỏa mãn yêu cầu: Dịch vụ IPv4 không bị gián đoạn gây nhiều bất lợi Các dịch vụ IPv6 phải thực tương tự dịch vụ IPv4 Dịch vụ phải quản lý theo dõi Phải đảm bảo an tồn mạng chuyển đổi Phải có kế hoạch phân bổ địa IPv6 phù hợp Từ xây dựng số liên kết mạng thông dụng sau: Lớp IP kép (hay gọi dual stack): kỹ thuật cho việc cung cấp hỗ trợ cho giao thức IP Internet IPv4 IPv6 6 Liên kết đường hầm thủ công: liên kết điểm-điểm, đường hầm thực dạng đói gói tin IPv6 phần tiêu đề IPv4 để thực truyền sở hạ tầng mạng IPv4 Liên kết đường hầm tự động: kỹ thuật sử dụng địa IPv4 tương thích để tạo liên kết đường hầm tự động truyền gói tin IPv6 mạng IPv4 2.2 Giai đoạn chuyển đổi phương pháp chuyển đổi Mặc dù hầu hết vấn đề khía cạnh IPv6 xác định rõ ràng khoảng thời gian việc triển khai IPv6 diễn cấu trúc mạng Internet phức tạp rộng lớn Ban đầu, IPv6 triển khai khu vực cô lập với khu vực khác [6] IETF (Internet Engineering Task Force) xác định số lượng cụ thể kỹ thuật để hỗ trợ chuyển đổi sang IPv6 Các kỹ thuật phân loại sau: Dual stack Chuyển đổi trực tiếp Kết nối đường hầm (hay nói cách khác đóng gói) Lưu ý sử dụng nhiều phương pháp q trình truyền Ví dụ hệ thống thiết bị đầu cuối router tạo “đường hầm” IPv6-inIPv4, bao gồm kỹ thuật dual-stack kỹ thuật đường hầm 2.3 Các phương pháp chuyển đổi 2.3.1 IPv6/IPv4 dual-stack Hình 2.1: Hệ thống đầu cuối sử dụng kỹ thuật chuyển đổi dual-stack 2.3.2 Chuyển đổi trực tiếp 2.3.2.1 Giao thức chuyển đổi trạng thái/giao thức thông điệp điều khiển (SIIT) 2.3.2.2 Bump in the Stack (BIS) Hình 2.4: Kiến trúc BIS Kết trao đổi liệu cho ứng dụng IPv4 máy chủ BIS giao tiếp với ứng dụng IPv6 thể Hình 2.5: Hình 2.5: Trạng thái xử lý BIS Quá trình xử lý module theo trình tự sau: (1) Các ứng dụng IPv4 yêu cầu địa IPv4 máy chủ đích (2) Bộ phận phân giải tên chặn yêu cầu IPv4 IPv6 8 (3) DNS trả địa IPv6 đích đến (4) Các yêu cầu phân giải tên nhận địa IPv4 từ đệm trì ánh xạ địa (5) Phân giải tên trả địa IPv4 cho ứng dụng IPv4 để sử dụng cho trình truyền tin (6) Bộ chuyển đổi nhận gói tin IPv4 từ ứng dụng (7) Các yêu cầu chuyển đổi sang IPv6 gắn liền gói tin IPv4 thực chuyển đổi IPv4-to-IPv6 (8) Các gói tin IPv6 chuyển tiếp đến máy chủ phía đích 2.3.2.3 Bump in the API (BIA) Hình 2.6: Kiến trúc BIA 2.3.2.4 Giao thức chuyển đổi địa mạng Các giao thức địa mạng NAT-PT (network address translation – protocol translation) sử dụng tiêu đề IPv4/IPv6 để chuyển đổi trạng thái biên mạng phần tiếp giáp IPv4 với IPv6 Cơ chế hoạt động tương tự IPv4 NAT IPv4 NAT chuyển đổi IPv4 cần xử lý vào đệm NAT-PT sử dụng đệm giao cho node IPv6 sở proxy cho IPv6 Một lợi ích NAT-PT không làm thay đổi yêu cầu đến máy chủ tất NAT-PT thực thiết bị NAT-PT [6] 9 2.4 Tạo đường hầm (Tunneling) Tạo đường hầm kỹ thuật thường sử dụng q trình đóng gói đường truyền Cho phép truyền tải đơn vị liệu sau đóng gói giao thức mạng truyền tải chung 2.4.1 Tạo đường hầm tĩnh 2.4.2 Tạo đường hầm tự động 2.4.3 Chuyển đổi 6over4 2.4.4 Chuyển đổi 6to4 2.4.5 Giao thức định địa đường hầm tự động (ISATAP) ISATAP (Intrasite Automatic Tunnel Addressing Protocol), chức ISATAP phép máy chủ chứa nhiều IPv4 khỏi router IPv6 tham gia vào mạng IPv6 cách tự động tạo đường hầm IPv6 thông qua IPv4 để sang IPv6 router (như địa next-hop) ISATAP kết nối node IPv6 riêng biệt trang web IPv4 cách tạo đường hầm tự động 2.4.6 Teredo Teredo công nghệ chuyển tiếp IPv6, cung cấp việc cấp phát địa host-tohost từ đường hầm tự động cho lưu lượng IPv6 unicast máy chủ IPv6/IPv4 đặt phía sau hay nhiều địa chuyển đổi mạng IPv4 (NAT) 2.4.6.1 Kiến trúc 2.4.6.2 Xử lý cấu hình địa định địa Teredo 2.5 Kết luận chương IPv6 khơng cịn điều mẻ, vấn đề liên quan tới trình lịch sử nên phần lớn thiết bị sử dụng địa IPv4 Vấn đề cần giải nâng cấp lên IPv6 xử lý thiết bị mạng lưới hoạt động sao? chuyển đổi ? Thơng qua vấn đề tìm hiểu trình bày ta phần nắm phương pháp chuyển đổi chính, phương pháp có đặc điểm khác để phù hợp với cấu trúc đặc điểm mạng khác Có phương pháp phù hợp để kết nối 10 mạng đường trục, có phương pháp thích hợp để xử lý giao tiếp với máy chủ dịch vụ Việc chọn lựa phương pháp phụ thuộc vào yêu cầu đặt Tuy nhiên phải đảm bảo yêu cầu như: IPv6 IPv4 phải tương thích với Việc sử dụng máy chủ IPv6 định tuyến phải sử dụng rộng rãi Internet cho thật đơn giản tiên tiến, phụ thuộc lẫn Người quản trị mạng người dùng đầu cuối khơng phải cấu hình cách thủ cơng, việc tối đa hóa tự động Một vấn đề để đảm bảo an ninh mạng chuyển đổi, vấn đề tìm hiểu chương luận văn 11 CHƯƠNG 3: MỘT SỐ VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ IPV4 SANG IPv6 Trong chương này, xem xét chế bảo mật sử dụng mạng IPv6 số vấn đề an toàn mạng q trình chuyển đổi, từ nghiên cứu số giải pháp chung giải pháp riêng cho kỹ thuật chuyển đổi khác 3.1 Tính bảo mật tồn vẹn thơng tin q trình chuyển đổi Hình 3.1b minh họa cho khả bảo mật tính tồn vẹn thơng tin q trình chuyển đổi Q trình mã hóa hoạt động ngăn xếp giao thức số node Mặc dù ứng dụng yêu cầu tính bảo mật cao, thường xuyên sử dụng liên kết mã hóa cấp vật lý (cụ thể kênh), ứng dụng thương mại lại có xu hướng sử dụng mã hóa theo kiểu đường hầm sử dụng mạng truyền tải sẵn có (IPsec) lớp truyền tải (qua Transport layer security – TLS Secure sockets layer – SSL) [6] 3.2 Sức mạnh mã hóa IPsec định nghĩa RFC2401 nhân tố vấn đề an ninh mạng IPv6 bối cảnh u cầu tồn vẹn thơng tin Các mẫu thiết kế ban đầu IP khơng có phương tiện để bảo vệ tính riêng tư cho gói tin truyền mạng Do đó, tổ chức IETF xây dựng thành phần bổ sung vào giao thức tùy chọn chèn vào gói tin IP nhằm cung cấp tính bảo mật tồn vẹn thơng tin IPsec khơng phải giao thức mà khung tham chiếu bao gồm nhiều tùy chọn khác để mã hóa chứng thực cho gói tin IP IPsec khơng trực tiếp thực thuật tốn mã hóa cụ thể nào, để mở để cho thêm thuật tốn mã hóa vào mà khơng cần phải thay tồn giao thức Kiến trúc IPsec ban đầu tạo vào cuối năm 1998 sau cập nhật vào cuối năm 2005 [4] Bản thân IPsec cấu trúc giao thức cung cấp phương thức mã hóa mạng IP, bao gồm hai thành phần mã hóa cơng nghệ xác thực Kỹ thuật triển khai rộng rãi mạng IPv4 sử dụng để tăng cường bảo mật cho mạng VPN Internet 12 3.2.1 Cấu trúc IPsec 3.2.1.1 Tiêu đề mở rộng Hình 3.2: Kiến trúc IPsec AH thiết kế để cho cung cấp liệu toàn vẹn kết nối dịch vụ chứng thực nguồn gốc liệu cho gói tin IP để bảo vệ chống lại công nghe AH cung cấp tính tồn vẹn khơng mang tính bảo mật AH sử dụng riêng kết hợp với giao thức IPsec ESP, sử dụng lồng đường hầm Dịch vụ bảo mật cung cấp giao tiếp máy chủ, giao tiếp qua port bảo mật hay máy chủ với gateway ESP cung cấp dịch vụ bảo mật tương tự AH cung cấp dịch vụ bảo mật liệu ESP có khả cung cấp bảo mật đảm bảo xác thực Sự khác ESP AH mức độ rủi ro ESP không bảo vệ phần tiêu đề IP trừ chúng đóng gói AH ESP cung cấp bảo mật (mã hóa), cung cấp tính tồn vẹn kết nối, chứng thực nguồn gốc liệu Trong ESP có sử dụng thuật tốn mã hóa để mã hóa tải trọng gói nhằm cung cấp tính bảo mật sử dụng HMAC (hàm băm xác thực thơng điệp) nhằm kiểm tra tính tồn vẹn gói tin nhận 13 3.2.1.2 Hàm băm xác thực thơng điệp 3.2.1.3 Trao đổi khóa (IKE) 3.2.2 Phương thức hoạt động IPsec triển khai nhiều loại liên kết Cả ESP AH sử dụng cho yêu cầu bảo mật từ đầu đến cuối hay đoạn trình truyền liệu qua đường hầm Dưới ba phương thức hoạt động IPsec [7]: Host-to-host (chế độ truyền tải) Gateway-to-gateway (chế độ đường hầm) Host-to-gateway (truy cập từ xa qua VPN trường hợp đặc biệt chế độ đường hầm) 3.3 Mơ hình bảo mật end-to-end 3.4 Vấn đề ICMPv6 3.5 Máy chủ xác thực người dùng ẩn danh 3.6 Lỗi phần mềm triển khai IPv6 3.7 Mobile IP 3.8 Vấn đề an ninh biện pháp phòng chống sử dụng kỹ thuật chuyển đổi 3.8.1 Kỹ thuật dual-stack 3.8.1.1 Nguy an ninh Vấn đề dual-stack máy chủ IPv6 kích hoạt cách mặc định số hệ điều hành (trên Windows, Mac OS X hệ điều hành Linux) Thế nhưng, sách bảo mật an ninh khơng kích hoạt cách mặc định, nhà quản trị khơng có kinh nghiệm lơ đễnh việc cấu hình bảo mật tạo nên lỗ hổng bảo mật lớn [7] Vấn đề thứ hai nguy hiểm hơn, mạng khơng dây chạy IPv6 dual-stack host mở tự cho công cục Mối đe dọa tiềm ẩn dual-stack xuất khi: Một thiết bị hay phần mềm bảo mật không hỗ trợ cho IPv6 14 Nếu thiết bị hay phần mềm hỗ trợ cho IPv6 khơng phải lúc cấu hình IPv6 người quản trị phải làm để cấu hình chí cịn khơng biết thiết bị hay sản phẩm có chức Việc hỗ trợ cho IPv6 mẻ nên trình triển khai có lỗi bảo mật tạo hội cho kẻ công 3.8.1.2 Biện pháp phịng chống May mắn thay, có nhiều cách bảo vệ máy chủ chạy dual-stack, thực số biện pháp bảo mật sau: Sử dụng tường lửa IPv6 Sử dụng Cisco Agent security (CSA) 6.0 Sử dụng sách an ninh Microsoft (GPO) Chặn tất luồng lưu lượng IPv6 Triển khai IPv6 cách nghiêm ngặt 3.8.2 Kỹ thuật tạo đường hầm tĩnh 3.8.2.1 Nguy an ninh Tất chế tạo đường hầm (từ 6in4 Teredo) khơng tích hợp tính an ninh khơng xác thực, khơng kiểm tra tính tồn vẹn khơng bảo mật Điều tạo nên nhiều nguy bị công đường hầm 3.8.2.2 Biện pháp phòng chống Kiểm tra địa nguồn IPv4 Sử dụng kỹ thuật chống nghe Sử dụng IPsec 3.8.3 Kỹ thuật tạo đường hầm động 3.8.3.1 Nguy an ninh Để inject gói tin vào đường hầm cấu hình, kẻ cơng phải có hiểu biết địa IPv4 thiết bị đầu cuối đường hầm địa IPv6 Với đường hầm động, thiết bị đầu cuối đường hầm phải chấp nhận lưu lượng truy cập từ bất 15 nơi tiến hành việc đóng gói mơi trường IPv4 Vì vậy, bên cạnh việc sử dụng IPsec, số vượt qua thực việc cơng chuyển tiếp IPv4-IPv6 [7] 3.8.3.2 Biện pháp phòng chống Thông báo địa anycast với phần thiết bị mạng ủy quyền Sử dụng ACL chuyển tiếp 6to4 để chặn tất giao thức 41, 3.8.4 ISATAP 3.8.4.1 Nguy an ninh Đường hầm sử dụng ISATAP tương tự đường hầm 6to4 loại đường hầm động Do dễ bị tổn thương trước cơng mạng 3.8.4.2 Biện pháp phịng chống Tuy kịch cơng khó diễn ảnh hưởng khơng phải nghiệm trọng, hacker trỏ đến nhớ cache máy chủ DNS làm với hàng chục máy chủ khác Như công diễn quy mơ rộng lớn Tuy nhiên, ta khắc phục mối đe dọa tiềm ẩn cách chặn lưu lượng truy cập ISATAP 3.8.5 Teredo 3.8.5.1 Nguy an ninh Đường hầm Teredo dễ bị công theo kiểu inject sử dụng vào mục đích trái phép Các giao thức Teredo gần đảm bảo Teredo chống lại đe dọa với IPsec IPsec chuyển tiếp thực cách tự động lựa chọn máy chủ IPv6 Vấn đề lớn Teredo lại mối đe dọa tiềm ẩn đến từ IPv6, đặc biệt hệ điều hành windows 3.8.5.2 Biện pháp phịng chống Vơ hiệu hóa Teredo trừ tường lửa cá nhân kích hoạt Hạn chế việc sử dụng Teredo để kết nối tới node IPv6 Vơ hiệu hóa Teredo thiết bị mạng phần miền thư mục hành Khi triển khai mạng IPv6 16 Chặn tất gói tin UDP biên mạng (ngoại trừ số UDP thông dụng giao thức đồng DNS) Chỉ chặn gói UDP Teredo 3.8.6 Kỹ thuật NAT-PT 3.8.6.1 Nguy an ninh Tấn công vào khu vực suy yếu Tấn công vào ALG CPU 3.8.6.2 Biện pháp phịng chống Bởi công nghiêm trọng dựa từ chối dịch vụ, nên cách để phòng chống giảm thiểu nguy giới hạn tốc độ thực thi thiết bị NAT-PT Các khu vực yếu ngăn ngừa cách thực thi nghiêm ngặt việc anti-spoofing mạng tới cấp độ địa cá nhân (cơ chế giống việc bảo vệ IP nguồn) 3.8.7 Các nguy tiềm ẩn từ IPv6 mạng IPv4 3.8.7.1 Nguy an ninh Chuyển vùng đến điểm truy cập không dây hỗ trợ IPv6 Nhận tin giả mạo (RA) Sử dụng địa định tuyến IPv4 Sự tồn DNS trỏ tới isatap.example.org Đường hầm Teredo để kết nối tới node IPv6 3.8.7.2 Biện pháp phòng chống Nâng cao nhận thức vấn đề an ninh triển khai IPv6 Cấu hình máy chủ bảo mật cho IPv6 Thay thiết bị hay phần mềm bảo mật không hỗ trợ IPv6 Thực triển khai IPv6 nghiêm túc Vơ hiệu hóa giao thức ngăn xếp IPv6 máy chủ (hoặc giao diện thiết bị) 17 3.9 Kết luận chương Chương ba tập trung phân tích nguy biện pháp phịng chống vấn đề an tồn mạng trình chuyển đổi từ IPv4 sang IPv6 Vấn đề chia thành hai nhóm: nhóm liên quan tới tính triển khai thực IPv6 (các cơng cụ mã hóa, mơ hình bảo mật, mobile IP, lỗi phần mềm…) nhóm thứ hai liên quan đến phương pháp chuyển đổi Việc thực chuyển sang IPv6 thực sớm chiều, IPv4/IPv6 tồn nhiều năm trước IPv4 loại bỏ hồn tồn Do việc triển khai IPv6 phải tiến hành đồng thời quan tâm mức tới vấn đề bảo mật Các sản phẩm cần phải nâng cấp cấu hình cho phù hợp, hỗ trợ IPv6 nhằm tăng cường tính bảo mật 18 KẾT LUẬN Qua ba chương luận văn, hiểu nội dung xoay quanh vấn đề an toàn mạng trình chuyển đổi từ IPv4 sang IPv6 Hiện nay, giới cạn kiệt không gian địa IPv4, việc chuyển sang sử dụng IPv6 điều phải thực Tuy nhiên, trình thực chuyển đổi có nhiều phương pháp đưa để bàn luận có ba phương pháp có tính khả thi chuyển đổi địa chỉ, sử dụng dual-stack tạo đường hầm kết nối Mỗi phương pháp có ưu nhược điểm riêng, việc lựa chọn phương pháp phụ thuộc vào mục đích mơ hình mạng cụ thể Trong trình chuyển đổi, xuất nhiều lỗ hổng bảo mật mà phần lớn lỗ hổng đến từ IPv6, bên cạnh việc thực biện pháp phòng chống phù hợp cho phương pháp mơ hình mạng cụ thể phải kết hợp với IPsec sử dụng giao thức mã hóa đủ mạnh để tăng tính bảo mật xác thực nguồn tin, đảm bảo gói tin người dùng chuyển đến đích mà khơng bị rị rỉ hành động trái phép Trong trình tìm hiểu luận văn, thân người nghiên cứu nhận an ninh IPv6 không IPv4 mà công nghệ kỹ thuật bảo mật, tường lửa, phần mềm phần cứng cơng cụ hỗ trợ cho việc tăng tính bảo mật, chống lại mối nguy an ninh từ bên hay bên ngồi khơng thể thay hồn toàn chức người quản trị mạng hay nhân viên an ninh mạng Do đó, người quản trị nhân viên an ninh phải thường xuyên cập nhật phần mềm ý tới cấu hình hệ thống Hi vọng thời gian tới, trình chuyển đổi diễn hồn tất khơng cần phải sử dụng kỹ thuật chuyển đổi phức tạp Từ luận văn phát triển hướng nghiên cứu sâu hơn, chi tiết vấn đề an toàn mạng phương pháp chuyển đổi áp dụng để xây dựng chương trình quét lỗ hổng bảo mật, xây dựng hệ thống tường lửa cách tối ưu 19 Danh mục tài liệu tham khảo: [1] Data communications, Computer Networks and Open System [2] Implementing IPv6 for Cisco IOS Software [3] Introduction to IP Version 6, Microsoft Corporation Published: September 2003 [4] Tomasz Bilski, Poznan From IPv4 to IPv6 – Data Security in the Transition Phase ICNS 2011: The Seventh International Conference on Networking and Services [5] RFC 7123 (IETF) Security Implications of IPv6 on IPv4 Networks, [6] Handbook of IPv4 to IPv6 transition: methodologies for institutional and corporate networks / John J Amoss, Dan Minoli, 2011 [7] Scott Hogg and Eric Vyncke, Cisco Press IPv6 Security 2009 [8] Joseph Davies, understanding IPv6, 2003 ... vấn đề an toàn mạng trình chuyển đổi từ IPv4 sang IPv6 Phân tích vấn đề an tồn mạng q trình chuyển đổi từ IPv4 sang IPv6 để thấy vấn đề cần phải quan tâm trình chuyển đổi tiếp đến triển khai IPv6. .. q trình chuyển đổi từ IPv4 Quá trình chuyển đổi phức tạp nảy sinh nhiều vấn đề cần phải giải Một vấn đề quan trọng để đảm bảo độ an toàn bảo mật mạng trình chuyển đổi Nhận thấy vấn đề hay, mang... phương pháp chuyển đổi từ IPv4 sang IPv6 2.1 Vấn đề chuyển sang IPv6 Việc chuyển đổi toàn sang IPv6 phức tạp Ban đầu, phải hình thành cầu nối môi trường mạng quan trọng chưa thể thay đổi diện rộng