3. Các tính năng nâng cao của địa chỉ UPv6
3.4.3. Đảm bảo an toàn cho DHCP IPv6
Để nâng cao trách nhiệm, nhiều tổ chức có thể thích sử dụng DHCPv6 và vô hiệu hóa tự động cấu hình để buộc xác thực trước khi để đạt được một địa chỉ IPv6. Này cũng hỗ trợ với pháp lý nếu có các bản ghi kiểm chứng mà người sử dụng đã được cho thuê địa chỉ IPv6 tại một thời gian nhất định. Những bản ghi này sẽ cung cấp bằng chứng corroborating trong một trường hợp pháp y. Một sự cải tiến bảo mật liên quan đến DHCPv6 sử dụng là DHCPv6 linh hoạt hơn để tấn công tiêu thụ hồ bơi. Bởi vì các hồ bơi DHCPv6 thường bao gồm toàn bộ một subnet / 64 có rất nhiều địa chỉ trong hồ bơi. Vì vậy, không chắc rằng một kẻ tấn công sẽ có thể yêu cầu bồi thường tất cả các địa chỉ IPv6 trong hồ bơi gây ra yêu cầu hợp pháp của người sử dụng tiếp theo bị từ chối bởi vì tất cả các địa chỉ đã được cho thuê. Mặt khác, một mạng lưới dựa vào DHCPv6 chuyển nhượng địa chỉ tùy thuộc vào hệ điều hành DOS nếu DHCPv6 dịch vụ bị gián đoạn. Ngoài ra, nếu các thông tin thu được từ DHCP là không đáng tin cậy hoặc không chính xác, mạng lưới có thể làm suy thoái hay không. Thậm chí không có khả năng để đạt được một máy chủ DNS làm cho Internet về cơ bản không sử dụng được. Cuối cùng, một cuộc tấn công chống lại DHCPv6 có thể gây ra các gói tin được misrouted, sau đó cho phép kẻ tấn công để thỏa hiệp sự bảo mật hoặc tính toàn vẹn của nội dung của họ. Một cuộc tấn công DHCPv4 có liên quan đến các thông báo thu hút. Một kẻ tấn công có thể khởi động một cuộc tấn công DoS với nhiều Cố gắng lấy được thông điệp. Tuy nhiên, những tin nhắn này có thể thu hút được tỷ lệ giới hạn cho một số lượng băng thông thấp. Tương tự như vậy, nếu một kẻ tấn công đã gửi rất nhiều RENEW thông báo, hầu hết các máy chủ DHCPv6 chỉ đơn giản là sẽ trả lời những yêu cầu của bộ nhớ cache để giảm thiểu tác động trên máy chủ DHCPv6.
Rogue phản hồi từ máy chủ không được phép phân phối thông tin sai sự thật, địa chỉ, hoặc bằng cách khác
• Có số lượng lớn các yêu cầu của khách hàng gây ra từ chối dịch vụ. • Các kiệt sức tiềm năng của bộ nhớ máy chủ nội bộ số lượng lớn các
yêu cầu (mặc dù địa chỉ kiệt sức không phải là một khả năng, ví dụ, một / 64).
• Truy cập vào một mạng riêng hoặc hành vi trộm cắp của dịch vụ trên một mạng công cộng bằng các thiết bị trái phép.
Một vấn đề có thể xảy ra là có máy chủ không đúng cấu hình phân phối thông tin không chính xác. Nhiều người trong số những vấn đề này có thể được giảm nhẹ bằng cách:
• Chặn DHCPv6 tại bức tường lửa (dễ dàng nhận biết các số cổng)
• Sử dụng tùy chọn xác thực giữa khách hàng và máy chủ DHCPv6. Điều này được định nghĩa trong RFC 3118 và triển khai thực hiện như là một tính toán HMAC-MD5 chia sẻ bí mật dựa trên phát hiện replay. Hạn chế này, tất nhiên, là nó đòi hỏi các thông số bảo mật được cấu hình sẵn và thông tin xác thực.
• Đảm bảo các kết nối giữa các đại lý và máy chủ chuyển tiếp, ví dụ, với ESP trong chế độ vận tải.
• Rà soát các bản ghi của DHCPv6 hoạt động cho sự kiện bất ngờ.