CÁC VẤN ĐỀ BẢO MẬT CÒN TỒN TẠI TRONG IPv6
Từ quan điểm về bảo mật, ngăn xếp giao thức IPv6 là một bước tiến đáng kể so với chồng giao thức IPv4 cũ. Tuy nhiên, mặc dù có nhiều ưu điểm, IPv6 vẫn còn tồn tại một số vấn đề bảo mật. Trong phần này chúng ta sẽ xem xét một số vùng của IPv6 nơi mà bảo mật vẫn là một vấn đề cần quan tâm.
-Các vấn đề liên quan đến Dual-stack: Hiện nay, Internet tiếp tục chủ yếu dựa trên IPv4. Tuy nhiên, hy vọng rằng kịch bản này sẽ thay đổi ngay sau khi rất nhiều mạng được chuyển đổi sang ngăn xếp giao thức mới. Hàng triệu mạng chuyển đổi sẽ mất một thời gian khá dài. Trong khi đó, một số hình thức chuyển đổi dual-stack sẽ được sử dụng. Việc sử dụng ngăn xếp hai giao thức IPv6-IPv4 sẽ làm tăng khả năng bị tấn công, đây là một hệ quả của việc có hai cơ sở hạ tầng với các vấn đề bảo mật khác nhau. Tuy nhiên, hầu hết các vấn đề này không phải là kết quả trực tiếp của lỗi trong thiết kế IPv6, mà là kết quả của sự không tương thích và của việc cấu hình sai.
-Các vấn đề liên quan đến việc sử dụng header: Việc sử dụng các tiêu đề mở rộng (EH) và IPSec có thể ngăn chặn một số nguồn tấn công phổ biến. Việc sử dụng này được thực hiện bằng cách sử dụng tiêu đề IPv6. Tuy nhiên, thực tế là EH phải được xử lý bởi tất cả các thiết bị. Đây có thể là một nguồn gốc của các tấn công, ví dụ một chuỗi dài EH hoặc một số các gói có kích thước lớn đáng kể có thể được sử dụng để làm tràn ngập các nút nào đó (ví dụ, các bức tường lửa) hoặc giả mạo một cuộc tấn công.
Giả mạo (snoofing) tiếp tục là một nguy cơ trong mạng IPv6. Tuy nhiên, do ND, snoofing chỉ có thể xảy ra cho các nút trên cùng một phân đoạn mạng.
-Các vấn đề về làm tràn: Việc quét các địa chỉ và các dịch vụ hợp lệ là khó khăn hơn trong các mạng IPv6. Như đã đề cập ở trên, để có thể quét hiệu quả một phân đoạn IPv6 có thể mất đến 580 tỷ năm, vì không gian địa chỉ sử dụng 128 bit. Tuy nhiên, không gian địa chỉ lớn hơn không có nghĩa là IPv6 là hoàn toàn bất khả xâm phạm trong các kiểu tấn công này. Cũng không thiếu các địa chỉ quảng bá làm cho IPv6 mất an toàn hơn. Các đặc tính mới như các địa chỉ multicast cũng làm cho IPv6 mất an toàn. Kiểu tấn công Smurf vẫn có thể xảy ra đối với lưu lượng multicast.
-Khả năng di động: đây là một tính năng hoàn toàn mới của IPv6 mà không có sẵn trong IPv4. Khả năng di động là một chức năng rất phức tạp và nó cũng làm tăng lên rất nhiều các vấn đề về bảo mật. Tính di động sử dụng hai loại địa chỉ, địa chỉ thực và địa chỉ di động. Địa chỉ thực là một địa chỉ IPv6 điển hình chứa trong một header mở rộng. Địa chỉ di động là một địa chỉ tạm thời chứa trong tiêu đề IP. Do đặc điểm của mạng này, các thành phần tạm thời của một địa chỉ nút di động có thể bị tấn công giả mạo trên các trạm thường trú. Tính di động đòi hỏi các biện pháp an ninh đặc biệt và các nhà quản trị mạng phải có đầy đủ nhận thức về chúng.
KẾT LUẬN
Với nhu cầu về địa chỉ và bảo mật, IPv6 ra đời. IPv6 với các tính năng mới nổi trội đã hạn chế được rất nhiều các vấn đề bảo mật trong IPv4. Tuy nhiên, vẫn còn tồn tại một số vấn đề bảo mật trong IPv6. Bài báo đã phân tích các cải thiện bảo mật trong IPv6 và các vấn đề bảo mật còn tồn tại trong giao thức IPv6 để các nhà triển khai IPv6 tham khảo nhằm hạn chế các lỗ hổng bảo mật còn tồn tại trong giao thức IPv6.
Tài liệu tham khảo
[1]. SAMUEL SOTILLO, IPv6 Security Issues, East Carolina University, 2006.
[2].DAVIES, J., Understanding IPv6, Microsoft Press, Redmond, WA, 2003.
[3].JOSEPH DAVIES, Understanding IPv6, Microsoft Press, 2008.
[4].KENT, S. and R. ATKINSON, “Security Architecture for the Internet Protocol”, RFC 2401, November 1998.
[5].LAWRENCE E. HUGHES, The Second Internet, InfoWeapons 7/1/2010.
[6].SHANNON McFARLAND, MUNINDER SAMBI, NIKHIL SHARMA, and SANJAY HOODA, IPv6 for Enterprise Networks, Cisco Press, 2011.
[7].SZIGETI, S.; RISZTICS, P., “Will IPv6 bring better security?,” Proceedings 30th Euromicro Conference, 2004, vol., 532- 537, 31 Aug.-3 Sept. 2004.
[8]. W. TREESE, “The State of Security on the Internet”, Communications of the ACM, September 2004.
ThS. Phạm Anh Thư
(TCTTTT Kỳ 2/2/2014)
