IPv6 và định tuyến an toàn trong mạng IPv6

BẢO MẬT

Bởi vì nếu một người cố gắng thực hiện các cuộc tấn công từ chối dịch vụ thì việc tìm kiếm dấu vết sẽ dễ dàng hơn nhiều do các thông tin xác thực có trong mào đầu của gói tin Ipv6. Bên cạnh khả năng xác thực các gói tin, Ipv6 cung cấp khả năng đảm bảo tính bí mật của dữ liệu bằng việc sử dụng các thuật toán mã hóa mạnh như 3DES qua cơ chế an toàn đóng gói dữ liệu (ESP). Các khóa dùng cho việc xác thực, mã hóa của các cơ chế AH và ESP được trao đổi thông qua giao thức trao đổi khóa Internet (Internet Key Exchange – IKE) nên có được mức độ an toàn rất cao.

Lý do mà việc cướp đường không xảy ra trong mạng Ipv6 là nếu dữ liệu cần được định tuyến lại tới một địa chỉ IP khác trong một phiên làm việc thic cần phải xác thực lại địa chỉ IP mới với cùng mào đầu xác thực (giống như tạo mới) được sử dụng để tạo ra kết nối ban đầu. Cả hai headermào đầu AH và ESP đều khai thác nội dung của sự kết hợp bảo mật Security Asociation (SA) để đồng ý giữa hai (hoặc nhiều) node về các thuật toán bảo mật va các tham số liên quan được sử dụng trong quá trình chuyển đổi gói tin giữa bên gửi và bên nhận. - Phần biến đổi của headermào đầu AH được tạo bởi số lượng biến đổi các block 32 bit, nó chứa đựng dữ liệu nhận thực thực tế (giá trị kiểm tra tính toàn vẹn của gói tin (Intergrity Check Value – ICV).

Mạng riêng ảo (Virtual Private Network) thường được hiểu là một mạng dữ liệu riêng trên cơ sở hạ tầng viễn thông công cộng, nó đảm bảo tính bí mật của dữ liệu thông qua việc sử dụng các đường hầm an toàn trên mạng công cộng để truyền dữ liệu. VPN trên Ipv4 hiện nay đang sử dụng rộng rãi và đem lại nhiều hiệu quả cho các doanh nghiệp trong việc nâng cao chất lượng điều hành sản xuất, kinh doanh, cung cấp hạ tầng thông tin an toàn, tiện lợi, thời gian thực cho các doanh nghiệp. Tuy nhiên, kiến trúc Ipsec sử dụng trong Ipv4 chỉ là một giải pháp mang tính bổ sung (Ipsec được xác định và sử dụng trong Ipv4 khi vấn đề an toàn trên mạng đã trở nên nghiêm trọng) nên nó có những bất cập nhất định.

Về cơ bản, kiến trúc cơ sở trong Ipv4 là giống kiến trúc sử dụng trong Ipv6, nhưng Ipv4 không cho phép gói tin có nhiều mào đầu nên đường hầm phải thực hiện thoe cách đúng gúi IP trong IP. Hơn nữa là kỹ thuật VPN trong Ipv6 có thể được sử dụng giữa một firewall và một trạm làm việc, điều này rất cần thiết để đảm bảo an toàn cho một trạm làm việc di động ngoài phạm vi bảo vệ của mạng. Việc sử dụng các chức năng an toàn tại tàng IP (IPsec) giúp cho các ứng dụng mạng không cần phải tự xác định những cơ chế ang toàn không cần thiết mà chỉ cần tập trung vào việc xử lý nghiệp vụ chính.

IPsec có thể đảm bảo an toàn cho các dịch vụ phổ biến nhất hiện nay trên mạng Internet như: dịch vụ truyền tệp (FTP), thư điện tử (email), dịch vụ web (HTTP), … Với khả năng đảm bảo được tính toàn vẹn, tính bí mật của các dữ liệu được truyền trên mạng, IPsec làm cho mạng an toàn hơn và giảm nguy cơ tắc nghẽn mạng do nó sử dụng các thuật toán hiện đại và việc thực hiện mã hóa, giải mã, tạo và kiểm tra các giá trị toàn vẹn có thể thực hiện trên các thiết bị chuyên dụng để tăng tốc độ xử lý. Có thể thấy rằng, IPsec là một giải pháp an toàn mạnh ở mức mạng, tuy nhiên nó chưa phải là giải pháp an toàn đầy đủ cho các hệ thống ứng dụng vì nó chỉ giải quyết được một phần của việc bảo vệ. Do đó, kiến trúc an toàn của Ipv6 không thể loại trừ sự cần thiết của các cơ chế an toàn khác, nó cần phải được kết hợp với các cơ chế an toàn khác tại tầng ứng dụng để cung câp dịch vụ an toàn cho các hệ thống đặc thù đòi hỏi tính an toàn cao hướng người dùng như trong các giao dịch thương mại điện tử….

TỰ CẤU HÌNH ĐỊA CHỈ

Ngoài ra, tốc độ xử lý các gói tin cũng được tăng cao hơn khi mạng sử dụng Ipv6 do việc loại bỏ các xử lý không cần thiết đối với các mào đầu của gói IP. Cơ chế AH chỉ cung cấp việc xác thực trạm trong khi đó nhiều ứng dụng thường xuyên yêu cầu xác thực hướng người dùng. Sau khi máy tính nhận dữ liệu, chúng không còn thực hiện bảo vệ gì nữa.