Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6
TÓM TẮT
Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24
giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Với các
mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang
sử dụng giao thức IPv6 vì nhiều lợi ích của nó. Tuy nhiên, bên cạnh đó các mạng doanh
nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có
những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công
hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay. Do
đó, khi bắt tay vào thiết kế một dự án mạng mới nhà thiết kế cần hiểu rõ và đánh giá đặc điểm
của giao thức IPv6 một cách nghiêm túc nhất.
Tóm tắt nội dung tài liệu: Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 85 THIẾT KẾ MẠNG TRÊN NỀN IPV6 AN TOÀN NHỜ PHÂN TÍCH, ĐÁNH GIÁ ĐẶC ĐIỂM CỦA GIAO THỨC IPV6 Nguyễn Thị Dung, Lê Hoàng Hiệp*, Phạm Thị Liên, Trần Duy Minh Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên TÓM TẮT Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24 giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Với các mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang sử dụng giao thức IPv6 vì nhiều lợi ích của nó. Tuy nhiên, bên cạnh đó các mạng doanh nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay. Do đó, khi bắt tay vào thiết kế một dự án mạng mới nhà thiết kế cần hiểu rõ và đánh giá đặc điểm của giao thức IPv6 một cách nghiêm túc nhất. Từ khóa: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues GIỚI THIỆU* Khi thiết kế một hệ thống mạng an toàn, nhà thiết kế cần phải xem xét và phân tích thực hiện một số yếu tố có ảnh hưởng liên đới sau này khi sử dụng chẳng hạn như phân tích cấu trúc sơ đồ mạng (topology) hoặc vị trí đặt các host (máy chủ, Router, tường lửa,) như thế nào để đảm bảo hiệu năng nhưng người quản trị vẫn có thể kiểm soát và hiểu rõ, thực thi tốt nhất hệ thống mà mình đang quản lý. Hình 1. Sơ đồ mạng an toàn cơ bản Một số vấn đề, thách thức bảo mật thường thấy trong khi thiết kế mạng doanh nghiệp cỡ vừa và nhỏ (số lượng node mạng <1000) điển hình như: - Bảo vệ hệ thống khỏi các mối đe dọa, tấn công từ mạng Internet. - Bảo vệ cho các máy chủ Web, DNS và Mail trên mạng Internet. * Tel: 0984 666500; Email: lhhiep@ictu.edu.vn - Phòng ngừa thiệt hại, rủi do cho các hệ thống và ngăn chặn tấn công nội bộ. - Đảm bảo tài nguyên nội bộ quan trọng trong các doanh nghiệp như hồ sơ lưu trữ, dữ liệu tài chính, cơ sở dữ liệu khách hàng, bí mật kinh doanh, - Xây dựng một nền tảng (Framework) tốt cho kỹ sư quản trị hệ thống để quản lý hệ thống được an toàn. - Cung cấp cho các hệ thống khả năng lưu/ghi lại nhật ký cũng như xây dựng hệ thống phát hiện xâm nhập. Hơn nữa nhà thiết kế cần tập trung nghiên cứu/phân tích một mô hình mạng hợp lý, phù hợp cho đối tượng doanh nghiệp mà mình sẽ thiết kế như việc phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế. Chẳng hạn phân biệt vùng mạng nội bộ (là nơi đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị); vùng mạng máy chủ Server (hay Server Farm là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server,) và vùng mạng Internet (còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu). Việc tổ chức mô hình mạng hợp lý đảm Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 86 bảo bảo mật có ảnh hưởng lớn đến sự an toàn cho các hệ thống mạng và các cổng thông tin điện tử. Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ. Ngoài ra, việc tổ chức mô hình mạng hợp lý có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả [1]. Đối với mỗi tổ chức, doanh nghiệp tất cả hệ thống máy móc, thiết bị mạng đều được liên kết/kết nối với nhau thông qua mạng nội bộ hoặc mạng diện rộng. Với tính chất liên kết đó, mỗi khi một máy bị tấn công sẽ ảnh hưởng đến cả hệ thống mạng của công ty, tuy nhiên hầu hết các doanh nghiệp Việt Nam đều đang lơ là và chưa thực sự quan tâm đến vấn đề bảo mật hệ thống an ninh mạng của công ty mình như: Yêu cầu sử dụng phần mềm bản quyền chưa được tuân thủ nghiêm ngặt, chưa tiến hành rà quét, đánh giá an ninh định kì, chưa được tăng cường các biện pháp chủ động phòng ngừa các nguy cơ an ninh, biết điểm yếu an ninh nhưng chưa chủ động khắc phục hoặc khắc phục một phần chưa triệt để.Đặc biệt nếu hệ thống mạng của doanh nghiệp hiện nay được thiết kế sử dụng hoàn toàn nền tảng IPv6 thì bên cạnh nhiều lợi ích to lớn sẽ luôn có các mối đe dọa an ninh là rất lớn tồn tại song song. Khi đó, vai trò then chốt và quan trọng ở khâu thiết kế ngay từ đầu sẽ có ảnh hưởng xuyên suốt tới quá trình vận hành, sử dụng sau này đòi hỏi nhà thiết kế cần có những phân tích kỹ càng và thấu đáo các yêu cầu/quy chuẩn thiết kế đúng chuẩn mực, tránh các điểm yếu và tận dụng lợi thế của giao thức IPv6 để hệ thống mạng hoạt động với hiệu năng cao nhất [2]. NHẬN DIỆN ƯU ĐIỂM TRONG CÁC ĐẶC ĐIỂM CỦA CÔNG NGHỆ IPV6 Công nghệ IPv6 mang đến rất nhiều ưu điểm so với công nghệ tiền nhiệm của nó (IPv4). Khả năng mở rộng địa chỉ của IPv6 cho phép cung cấp khoảng 340 tỷ tỷ (trillion) địa chỉ duy nhất, trong khi IPv4 chỉ có khả năng cung cấp tối đa khoảng 4 tỷ địa chỉ. Số lượng không gian địa chỉ mà IPv6 có khả năng cung cấp được dự trù là vô cùng lớn, có thể đáp ứng được thoải mái cho tất cả các thiết bị đã và đang được kết nối vào mạng theo cấp số nhân như hiện nay. IPv6 sẽ kết thúc sứ mệnh của các thiết bị có chức năng "dịch địa chỉ” (NAT), và chúng ta không phải đầu tư cũng như mất chi phí vận hành cho những thiết bị kiểu như vậy như hiện nay đang làm. Tập giao thức an ninh IP đã được dựng và đưa luôn vào kiến trúc của IPv6, do đó tạo ra phương thức triển khai cơ chế an ninh ngay từ bên trong khi dùng IPv6. Các cơ chế đảm bảo an ninh an toàn đồng nhất trong tất cả các ứng dụng của doanh nghiệp sẽ đơn giản hóa công tác quản trị an toàn an ninh. Giao thức mạng với tính năng an toàn an ninh tốt hơn sẽ mở đường cho việc triển khai các ứng dụng truyền tin an toàn. Cấu trúc có thể mở rộng của phần đầu IPv6 (header) còn cho phép cung cấp các đặc tính mới. IPv6 đảm bảo chất lượng tốt hơn IPv4 do phần đầu của IPv6 chứa một trường trong đó cho phép các gói tin được bắt đầu từ một trạm và hướng tới một trạm khác một cách cụ thể, để các gói được nhìn thấy và được xử lý một cách nhanh chóng và hiệu quả bởi các bộ định tuyến. Việc ứng dụng IPv6 sẽ mang lại lợi ích cho rất nhiều khu vực, như chính quyền, quốc phòng, viễn thông, điện lực, giao thông, hậu cầu, trò chơi, bất động sản, chăm sóc sức khỏe và giáo dục [2]. Có thể tóm tắt một số lợi ích của mạng IPv6 như sau [1], [2],[3]: - Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ: Tăng từ 32bit lên 128bit. - Khôi phục lại nguyên lý kết nối đầu cuối- đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT - Quản trị TCP/IP dễ dàng hơn: IPv6 được thiết kế với khả năng tự động cấu hình mà không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công. Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 87 - Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp. - Tự động cấu hình không trạng thái (Plug and Play). - Dễ dàng thực hiện Multicast. - Khả năng bảo mật kết nối từ thiết bị gửi đến thiết bị nhận. - Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết bị IP di động. Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu trúc giao thức Internet có sự hỗ trợ tốt hơn. NHẬN DIỆN MỘT SỐ ĐIỂM YẾU, NGUY CƠ, LỖ HỔNG TẤN CÔNG TRONG MẠNG IPV6 Không chỉ có không gian địa chỉ lớn hơn, IPv6 còn cải thiện tốt hơn những vấn đề bảo mật tồn tại trong giao thức IPv4 như tấn công từ chối dịch vụ (DOS), tấn công chèn mã độc (Malicious Code), tấn công Man-in-the- middle, tấn công phân mảnh, các tấn công quét cổng và tấn công thăm dò, tấn công chuyển hướng ICMP và nhiễm độc ARPVì thế chuyển sang sử dụng địa chỉ IPv6 được xem như là một cách để an toàn hơn trong môi trường mạng [4]. Hơn nữa, ngoài rất nhiều lợi ích, tính năng bảo mật được kế thừa, cải thiện và phát huy của bộ giao thức IPv6 so với IPv4 như: Ngăn chặn được một số kiểu tấn công nhờ không gian địa chỉ lớn; Bảo mật hơn nhờ tính năng tự động cấu hình và phát hiện thiết bị hàng xóm; Hỗ trợ IPsec trong tất cả các node mạng; Liên kết bảo mật (SA); Hỗ trợ hai giao thức bảo mật: Tiêu đề xác thực (AH) và ESP (Encapsulating Security Payload); Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and data integrity);công nghệ IPv6 vẫn luôn tồn tại những điểm yếu, rủi do, lỗ hổng và nguy cơ tấn công từ Hacker. Cụ thể một số vùng của IPv6 nơi mà bảo mật vẫn là một vấn đề cần quan tâm, nghiên cứu thực nghiệm để khắc phục bao gồm [4],[5]: Các vấn đề liên quan đến Dual-stack: Vấn đề chính của Dual-stack trên các máy chủ IPv6 được kích hoạt một cách mặc định trên một số hệ điều hành (Windows, Linux,). Thế nhưng các chính sách bảo mật và an ninh không được kích hoạt một cách mặc định. Nếu nhà quản trị không có nhiều kinh nghiệm hoặc không chú trọng cấu hình bảo mật thì sẽ tạo ra một lỗ hổng bảo mật lớn. Mối đe dọa tiềm ẩn của kỹ thuật này có thể xuất hiện khi một thiết bị hay phần mềm bảo mật không hỗ trợ IPv6 hoặc có hỗ trợ nhưng không được cấu hình IPv6 với tính năng an toàn. Hình 2. Dual Stack IPv4/IPv6 Trong khi đó, một số hình thức chuyển đổi dual-stack sẽ được sử dụng. Việc sử dụng ngăn xếp hai giao thức IPv6-IPv4 sẽ làm tăng khả năng bị tấn công, đây là một hệ quả của việc có hai cơ sở hạ tầng với các vấn đề bảo mật khác nhau. Tuy nhiên, hầu hết các vấn đề này không phải là kết quả trực tiếp của lỗi trong thiết kế IPv6, mà là kết quả của sự không tương thích và của việc cấu hình sai. Các vấn đề liên quan đến việc sử dụng Header: Việc sử dụng các tiêu đề mở rộng (Extension Headers) và IPSec có thể ngăn chặn một số nguồn tấn công phổ biến. Việc sử dụng này được thực hiện bằng cách sử dụng tiêu đề IPv6. Tuy nhiên, thực tế là Extension Headers phải được xử lý bởi tất cả các thiết bị, đây có thể là một nguồn gốc của các tấn công, ví dụ một chuỗi dài Extension Headers hoặc một số các gói có kích thước lớn đáng kể có thể được sử dụng để làm tràn ngập các node mạng nào đó (ví dụ: các bức tường lửa, thiết bị mạng,) hoặc giả mạo một cuộc tấn công. Giả mạo (snoofing): tiếp tục là một nguy cơ trong mạng IPv6. Tuy nhiên, snoofing chỉ có Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 88 thể xảy ra cho các node mạng trên cùng một phân đoạn mạng. Hình 3. Ví dụ về tấn công Spoofing DNS Để truy cập vào hệ thống mạng của bạn, máy tính bên ngoài phải “giành” được một địa chỉ IP tin cậy trên hệ thống mạng. Vì vậy kẻ tấn công phải sử dụng một địa chỉ IP nằm trong phạm vi hệ thống mạng của bạn. Hoặc cách khác là kẻ tấn công có thể sử dụng một địa chỉ IP bên ngoài nhưng đáng tin cậy trên hệ thống mạng của bạn. Các địa chỉ IP có thể được hệ thống tin tưởng là bởi vì các địa chỉ này có các đặc quyền đặc biệt trên các nguồn tài nguyên quan trọng trên hệ thống mạng. Các vấn đề về làm tràn bộ đệm: Việc quét các địa chỉ và các dịch vụ hợp lệ là khó khăn hơn trong các mạng IPv6. Như đã đề cập ở trên, để có thể quét hiệu quả một phân đoạn IPv6 có thể mất đến 580 tỷ năm, vì không gian địa chỉ sử dụng 128 bit. Tuy nhiên, không gian địa chỉ lớn hơn không có nghĩa là IPv6 là hoàn toàn bất khả xâm phạm trong các kiểu tấn công này. Cũng không thiếu các địa chỉ quảng bá làm cho IPv6 an toàn hơn. Các đặc tính mới như các địa chỉ multicast cũng làm cho IPv6 mất an toàn. Kiểu tấn công Smurf vẫn có thể xảy ra đối với lưu lượng multicast. Tấn công DDoS trong mạng IPv6: Tấn công từ chối dịch vụ (DoS) đã trở thành cơn ác mộng với không ít hệ thống mạng IPv4. Nó có thể làm tê liệt hoạt động của một trang Web, máy chủ hoặc tài nguyên mạng. Đối với IPv6, nguy cơ tấn công DoS có liên quan đến phần header mở rộng (Extension Headers). Những trường (field) được yêu cầu xử lý bởi tất cả các node trên đường đi của gói tin mới được duy trì trong header IPv6 . Các trường còn lại chứa thông tin có thể hoặc không liên quan đến gói tin IP được chuyển đến phần header mở rộng IPv6. Và chính phần header mở rộng này vừa là điểm mạnh nhưng cũng đang trở thành điểm yếu mà tin tặc có thể lợi dụng trong các cuộc tấn công DoS. Hình 4. Tấn công DoS IPv6 không giới hạn các header mở rộng (không vượt quá kích thước gói tin IPv6) và quá trình thực hiện là xử lý hoàn toàn các trường theo thứ tự chúng xuất hiện trong header. Vì vậy, tin tặc có thể thực hiện giả mạo header mở rộng để tiến hành tấn công. Chúng có thể tạo ra một gói tin IPv6 có số lượng header mở rộng tối đa cho phép và liên kết với nhau trong một danh sách lớn. Ví dụ như gửi lặp bản tin hop-by-hop option header nhiều lần khiến cho việc xác định đường đi của các node trong mạng bị cản trở hoặc làm tắc nghẽn băng thông. THIẾT KẾ MẠNG IPV6 AN TOÀN NHỜ CHỌN LỰA PHƯƠNG PHÁP THIẾT KẾ PHÙ HỢP VÀ XÂY DỰNG TIÊU CHÍ THIẾT KẾ CHUẨN MỰC Như đã phân tích, trình bày bên trên mặc dù có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không thể giải quyết tất cả các tồn tại trong IPv4. Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (Network Layer). Các cuộc tấn công có thể là [5]: - Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 thuộc mô hình OSI như tràn bộ đệm (Buffer Overflow), Virus, mã độc, tấn công ứng dụng Web, Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 89 - Tấn công Brute-force hay dò mật khẩu trong các mô-đun xác thực - Thiết bị giả (Rogue Device) : các thiết bị đưa vào mạng nhưng không được phép. Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (Switch), định tuyến (Router), Server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless Access Point), - Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6 - Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID, Email Spamming, Phishing, Với các mạng doanh nghiệp tại Việt Nam hiện nay, nên học hỏi, kế thừa và phát huy các kinh nghiệm triển khai mạng IPv6 từ các nước đã ứng dụng trước đó, khi thiết kế hệ thống mạng IPv6 nhà thiết kế nên nhận diện các phương pháp thiết kế và bộ tiêu chí gợi ý có lợi và bảo đảm an toàn mạng. Cụ thể: Lựa chọn phương pháp thiết kế - Phương pháp thiết kế mạng điển hình là PPDIOO (Prepare, Plan, Design, Implement, Operate, Optimize). Thiết kế mạng hợp lý, vận hành hiệu quả cũng làm tăng tính sẵn sàng của hệ thống. Với phương pháp này phù hợp với các mạng IPv6 có quy mô lớn, cần chuẩn bị thời gian và xem xét yếu tố hiệu năng lớn. - Thiết kế mạng từ trên xuống (Top-Down) là một phương pháp thiết kế mạng bắt đầu ở các lớp trên của mô hình tham chiếu OSI trước khi chuyển sang các lớp thấp hơn. Phương pháp thiết kế từ trên xuống tập trung vào các lớp: ứng dụng (Application), phiên (Session), và vận chuyển (Transport) trước khi chọn lựa các bộ định tuyến, các thiết bị chuyển mạch và môi trường hoạt động ở các lớp dưới. Trong phương pháp này sẽ hạn chế được các vấn đề liên quan đến việc sử dụng Header; kiểm soát tốt hơn các cuộc tấn công DDOS trong mạng IPv6, vì khi thiết kế theo từng tầng, nhà quản trị đã có sự lựa chọn kỹ càng các thiết bị mạng đáp ứng được các vấn đề này. - Thiết kế mạng theo mô hình phân cấp sử dụng các lớp để đơn giản nhiệm vụ kết nối mạng, mỗi lớp có thể chỉ tập trung vào một chức năng cụ thể, cho phép chúng ta lựa chọn các tính năng và các hệ thống thích hợp cho mỗi lớp. Với phương pháp này khi thiết kế mạng IPv6 sẽ hạn chế được các vấn đề liên quan tới Dual-stack và vấn đề tràn bộ đệm, bởi kỹ thuật này “chia để trị”, chia mạng lớn thành các cấp độ khác nhau để từ đó có thiết kế phù hợp. Kết luận: trong một hệ thống hoạt động tốt, ổn định, an toàn cao, đặc biệt là với các mạng phức tạp chạy trên nền IPv6, việc chọn lựa được một phương pháp thiết kế hiệu quả sẽ đem tới nhiều lợi ích tốt, đồng thời kiểm soát và hạn chế được các yếu điểm mà mạng IPv6 đang tồn tại. Xác định và xây dựng bộ tiêu chí thiết kế: Với bất kỳ phương pháp thiết kế mạng nào đã được lựa chọn, nhà thiết kế vẫn rất cần xây dựng bộ tiêu chí kỹ càng và có sự phản biện cao. Với mạng IPv6 cần có các tiêu chí dưới đây để tăng độ an toàn cho hệ thống [4],[5],[6]: Nên đặt các máy chủ Web, máy chủ thư điện tử (Mail Server) cung cấp dịch vụ ra mạng Internet trong vùng mạng DMZ, nhằm tránh các tấn công mạng nội bộ hoặc gây ảnh hướng tới an toàn mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền kiểm soát. Chú ý không đặt máy chủ Web, Mail Server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ trong vùng mạng này. Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực nên đặt trong vùng mạng Server Network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ. Đối với các hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng Server Network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật. Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 90 Nên thiết lập các hệ thống phòng thủ như tường lửa (Firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép. Khuyến cáo đặt Firewall và IDS/IPS ở các vị trí như sau: đặt Firewall giữa đường nối mạng Internet với các vùng mạng khác nhằm hạn chế các tấn công từ mạng từ bên ngoài vào; đặt Firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ. Nên đặt một Router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc một số lưu lượng không mong muốn và chặn những gói tin đến từ những địa chỉ IP không hợp lệ. KẾT LUẬN Trong khi rõ ràng là IPv6 và IPv4 sẽ tiếp tục cùng tồn tại nhiều năm nữa, tiềm năng thực sự của nền kinh tế số và các dịch vụ thế hệ mới chỉ có thể được nhận thức một khi các nhà cung cấp đặt kế hoạch cho việc chuyển đổi sang IPv6. Thêm nữa, chuyển đổi sang IPv6 là tiến trình nhạt nhẽo và phức tạp, và vì IPv6 không tương thích ngược, nên các công ty cần rất cẩn trọng khi lên kế hoạch chuyển đổi để bảo đảm việc sản xuất kinh doanh không bị gián đoạn. Điều tối quan trọng cần quan tâm là các yếu tố về phần cứng và phần mềm đều phải được đánh giá trước khi thực sự chuyển đổi, do bất cứ sự lệch lạc nào cũng có thể ảnh hưởng trực tiếp đến độ sẵn sàng của các dịch vụ trọng yếu [6], [7]. - Việc chuẩn bị nên làm sao để khâu thiết kế và xây dựng không trở thành tốn kém - Thiết kế, xây dựng và chuyển đổi cần được thực hiện với độ ảnh hưởng tối thiểu. Để đạt được điều đó, một công ty nên có nhiều kinh nghiệm trong xây dựng và quản trị các mạng IP phức tạp ở mức độ toàn cầu. Khi đó, sẽ dễ dàng ở vị thế có thể cung cấp dịch vụ chuyển đổi IPv6 cho các doanh nghiệp, nhà cung cấp dịch vụ và các nhà sản xuất thuộc các cỡ khác nhau ở bất cứ đâu trên thế giới. Tốc độ phát triển của các thiết bị kết nối và Internet đã làm cho việc chuyển đổi sang IPv6 cho các nhà cung cấp dịch vụ và các doanh nghiệp là không thể đảo ngược. Một sự thật rõ ràng là IPv6 và IPv4 sẽ cùng tồn tại trong quá trình quá độ, làm cho mọi việc trở nên phức tạp và khó quản lý hơn, và làm kéo dài quá trình chuyển sang IPv6. Tuy nhiên, thách thức lớn hơn của các nhà cung cấp dịch vụ và các doanh nghiệp lớn là làm sao vẽ được lộ trình đúng đắn, phù hợp để chuyển đổi sang IPv6, trong khi đương nhiên vẫn phải đảm bảo tính liên tục của hoạt động sản xuất kinh doanh cũng như các mục tiêu chiến lược. Và vấn đề then chốt đó là nhà thiết kế cần nghiên cứu, phân tích đánh giá, hiểu rõ nhất ưu nhược điểm của công nghệ IPv6 để từ đó đưa ra các khuyến nghị tốt nhất cho khách hàng khi thiết kế một hệ thống mạng chạy hoàn toàn trên nền công nghệ IPv6 hoặc kết hợp cả hai công nghệ IPv4 và IPv6 song song như hiện nay. TÀI LIỆU THAM KHẢO 1. https://www.vnnic.vn/ipv6/ 2. Minoli, D. Kouns, J, 2009, Security in an IPv6 Environment, CRC Press, USA. 3. E. Durdaugi and A. Buldu, 2010, IPV4/IPV6 security and threat comparisons, Procedia-Social and Behavioral Sciences, vol. 2(2): pp. 5285–5291. 4. S. Deering, Cisco, R. Hinden, and Nokia, “RFC” 2460, 1998, Internet Protocol, Version 6 (IPv6) Specification. 5. Hogg, S. Vyncke, E. 2009, IPv6 Security, Cisco Press, USA. 6. R.K.Murugesan, and S.Ramadass, 2012, Review on IPv6 Security Vulnerability Issue and Mitigation Methods, International Journal of Network Security & Its Applications, 4 (6). 7. J. Ullrich, K. Krombholz, H. Hobel, A. Dabrowski, and E. Weippl, 2014, IPv6 security: Attacks and Countermeasures in a Nutshell, in Proceedings of the 8th USENIX conference on Offensive Technologies, pp. 5–5. Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 91 SUMMARY NETWORK DESIGN OF IPV6 SAFETY BASED ON ANALYSIS, FEATURE ASSESSMENT OF IPV6 PROTOCOL Nguyen Thi Dung, Le Hoang Hiep * , Pham Thi Lien, Tran Duy Minh University of Information and Communication Technology - TNU The focus of the paper is on design choices where there are differences between IPv4 and IPv6, either in the range of posible alternatives (e.g. the extra possibilities introduced by link-local addresses in IPv6) or the recommended alternative. The paper presents the alternatives and discusses the pros and cons in detail. Where consensus currently exists around the best practice, this is documented; otherwise the paper simply summarizes the current state of the discussion. Thus this paper serves to both to document the reasoning behind best current practices for IPv6, and to allow a designer to make an intelligent choice where no such consensus exists. Keywords: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues Ngày nhận bài: 17/8/2018; Ngày phản biện: 09/10/2018; Ngày duyệt đăng: 12/10/2018 * Tel: 0984 666500; Email: lhhiep@ictu.edu.vn 92
File đính kèm:
- thiet_ke_mang_tren_nen_ipv6_an_toan_nho_phan_tich_danh_gia_d.pdf