Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6

TÓM TẮT

Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24

giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Với các

mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang

sử dụng giao thức IPv6 vì nhiều lợi ích của nó. Tuy nhiên, bên cạnh đó các mạng doanh

nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có

những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công

hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay. Do

đó, khi bắt tay vào thiết kế một dự án mạng mới nhà thiết kế cần hiểu rõ và đánh giá đặc điểm

của giao thức IPv6 một cách nghiêm túc nhất.

pdf 8 trang phuongnguyen 4600
Bạn đang xem tài liệu "Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6

Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
85 
THIẾT KẾ MẠNG TRÊN NỀN IPV6 AN TOÀN NHỜ PHÂN TÍCH, 
ĐÁNH GIÁ ĐẶC ĐIỂM CỦA GIAO THỨC IPV6 
Nguyễn Thị Dung, Lê Hoàng Hiệp*, Phạm Thị Liên, Trần Duy Minh 
Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên 
TÓM TẮT 
Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24 
giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Với các 
mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang 
sử dụng giao thức IPv6 vì nhiều lợi ích của nó. Tuy nhiên, bên cạnh đó các mạng doanh 
nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có 
những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công 
hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay. Do 
đó, khi bắt tay vào thiết kế một dự án mạng mới nhà thiết kế cần hiểu rõ và đánh giá đặc điểm 
của giao thức IPv6 một cách nghiêm túc nhất. 
Từ khóa: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues 
GIỚI THIỆU* 
Khi thiết kế một hệ thống mạng an toàn, nhà 
thiết kế cần phải xem xét và phân tích thực 
hiện một số yếu tố có ảnh hưởng liên đới sau 
này khi sử dụng chẳng hạn như phân tích 
cấu trúc sơ đồ mạng (topology) hoặc vị trí đặt 
các host (máy chủ, Router, tường lửa,) như 
thế nào để đảm bảo hiệu năng nhưng người 
quản trị vẫn có thể kiểm soát và hiểu rõ, thực 
thi tốt nhất hệ thống mà mình đang quản lý. 
Hình 1. Sơ đồ mạng an toàn cơ bản 
Một số vấn đề, thách thức bảo mật thường 
thấy trong khi thiết kế mạng doanh nghiệp 
cỡ vừa và nhỏ (số lượng node mạng <1000) 
điển hình như: 
- Bảo vệ hệ thống khỏi các mối đe dọa, tấn 
công từ mạng Internet. 
- Bảo vệ cho các máy chủ Web, DNS và Mail 
trên mạng Internet. 
*
 Tel: 0984 666500; Email: lhhiep@ictu.edu.vn 
- Phòng ngừa thiệt hại, rủi do cho các hệ 
thống và ngăn chặn tấn công nội bộ. 
- Đảm bảo tài nguyên nội bộ quan trọng 
trong các doanh nghiệp như hồ sơ lưu trữ, 
dữ liệu tài chính, cơ sở dữ liệu khách hàng, 
bí mật kinh doanh, 
- Xây dựng một nền tảng (Framework) tốt 
cho kỹ sư quản trị hệ thống để quản lý hệ 
thống được an toàn. 
- Cung cấp cho các hệ thống khả năng 
lưu/ghi lại nhật ký cũng như xây dựng hệ 
thống phát hiện xâm nhập. 
Hơn nữa nhà thiết kế cần tập trung nghiên 
cứu/phân tích một mô hình mạng hợp lý, phù 
hợp cho đối tượng doanh nghiệp mà mình sẽ 
thiết kế như việc phân biệt rõ ràng giữa các 
vùng mạng theo chức năng và thiết lập các 
chính sách an toàn thông tin riêng cho từng 
vùng mạng theo yêu cầu thực tế. Chẳng hạn 
phân biệt vùng mạng nội bộ (là nơi đặt các 
thiết bị mạng, máy trạm và máy chủ thuộc 
mạng nội bộ của đơn vị); vùng mạng máy chủ 
Server (hay Server Farm là nơi đặt các máy 
chủ không trực tiếp cung cấp dịch vụ cho 
mạng Internet. Các máy chủ triển khai ở vùng 
mạng này thường là Database Server, LDAP 
Server,) và vùng mạng Internet (còn gọi là 
mạng ngoài, kết nối với mạng Internet toàn 
cầu). Việc tổ chức mô hình mạng hợp lý đảm 
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
86 
bảo bảo mật có ảnh hưởng lớn đến sự an toàn 
cho các hệ thống mạng và các cổng thông tin 
điện tử. Đây là cơ sở đầu tiên cho việc xây 
dựng các hệ thống phòng thủ và bảo vệ. 
Ngoài ra, việc tổ chức mô hình mạng hợp lý 
có thể hạn chế được các tấn công từ bên trong 
và bên ngoài một cách hiệu quả [1]. 
Đối với mỗi tổ chức, doanh nghiệp tất cả hệ 
thống máy móc, thiết bị mạng đều được liên 
kết/kết nối với nhau thông qua mạng nội bộ 
hoặc mạng diện rộng. Với tính chất liên kết 
đó, mỗi khi một máy bị tấn công sẽ ảnh 
hưởng đến cả hệ thống mạng của công ty, tuy 
nhiên hầu hết các doanh nghiệp Việt Nam đều 
đang lơ là và chưa thực sự quan tâm đến vấn 
đề bảo mật hệ thống an ninh mạng của công 
ty mình như: Yêu cầu sử dụng phần mềm bản 
quyền chưa được tuân thủ nghiêm ngặt, chưa 
tiến hành rà quét, đánh giá an ninh định kì, 
chưa được tăng cường các biện pháp chủ 
động phòng ngừa các nguy cơ an ninh, biết 
điểm yếu an ninh nhưng chưa chủ động khắc 
phục hoặc khắc phục một phần chưa triệt 
để.Đặc biệt nếu hệ thống mạng của doanh 
nghiệp hiện nay được thiết kế sử dụng hoàn 
toàn nền tảng IPv6 thì bên cạnh nhiều lợi ích 
to lớn sẽ luôn có các mối đe dọa an ninh là 
rất lớn tồn tại song song. Khi đó, vai trò then 
chốt và quan trọng ở khâu thiết kế ngay từ 
đầu sẽ có ảnh hưởng xuyên suốt tới quá trình 
vận hành, sử dụng sau này đòi hỏi nhà thiết 
kế cần có những phân tích kỹ càng và thấu 
đáo các yêu cầu/quy chuẩn thiết kế đúng 
chuẩn mực, tránh các điểm yếu và tận dụng 
lợi thế của giao thức IPv6 để hệ thống mạng 
hoạt động với hiệu năng cao nhất [2]. 
NHẬN DIỆN ƯU ĐIỂM TRONG CÁC ĐẶC 
ĐIỂM CỦA CÔNG NGHỆ IPV6 
Công nghệ IPv6 mang đến rất nhiều ưu điểm 
so với công nghệ tiền nhiệm của nó (IPv4). 
Khả năng mở rộng địa chỉ của IPv6 cho phép 
cung cấp khoảng 340 tỷ tỷ (trillion) địa chỉ 
duy nhất, trong khi IPv4 chỉ có khả năng cung 
cấp tối đa khoảng 4 tỷ địa chỉ. 
Số lượng không gian địa chỉ mà IPv6 có khả 
năng cung cấp được dự trù là vô cùng lớn, có 
thể đáp ứng được thoải mái cho tất cả các 
thiết bị đã và đang được kết nối vào mạng 
theo cấp số nhân như hiện nay. IPv6 sẽ kết 
thúc sứ mệnh của các thiết bị có chức năng 
"dịch địa chỉ” (NAT), và chúng ta không phải 
đầu tư cũng như mất chi phí vận hành cho 
những thiết bị kiểu như vậy như hiện nay 
đang làm. Tập giao thức an ninh IP đã được 
dựng và đưa luôn vào kiến trúc của IPv6, do 
đó tạo ra phương thức triển khai cơ chế an 
ninh ngay từ bên trong khi dùng IPv6. Các cơ 
chế đảm bảo an ninh an toàn đồng nhất trong 
tất cả các ứng dụng của doanh nghiệp sẽ đơn 
giản hóa công tác quản trị an toàn an ninh. 
Giao thức mạng với tính năng an toàn an ninh 
tốt hơn sẽ mở đường cho việc triển khai các 
ứng dụng truyền tin an toàn. Cấu trúc có thể 
mở rộng của phần đầu IPv6 (header) còn cho 
phép cung cấp các đặc tính mới. IPv6 đảm 
bảo chất lượng tốt hơn IPv4 do phần đầu của 
IPv6 chứa một trường trong đó cho phép các 
gói tin được bắt đầu từ một trạm và hướng tới 
một trạm khác một cách cụ thể, để các gói 
được nhìn thấy và được xử lý một cách nhanh 
chóng và hiệu quả bởi các bộ định tuyến. 
Việc ứng dụng IPv6 sẽ mang lại lợi ích cho 
rất nhiều khu vực, như chính quyền, quốc 
phòng, viễn thông, điện lực, giao thông, hậu 
cầu, trò chơi, bất động sản, chăm sóc sức 
khỏe và giáo dục [2]. 
Có thể tóm tắt một số lợi ích của mạng IPv6 
như sau [1], [2],[3]: 
- Không gian địa chỉ lớn hơn và dễ dàng quản 
lý không gian địa chỉ: Tăng từ 32bit lên 
128bit. 
- Khôi phục lại nguyên lý kết nối đầu cuối-
đầu cuối của Internet và loại bỏ hoàn toàn 
công nghệ NAT 
- Quản trị TCP/IP dễ dàng hơn: IPv6 được 
thiết kế với khả năng tự động cấu hình mà 
không cần sử dụng máy chủ DHCP, hỗ trợ 
hơn nữa trong việc giảm cấu hình thủ công. 
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
87 
- Cấu trúc định tuyến tốt hơn: Định tuyến 
IPv6 được thiết kế hoàn toàn phân cấp. 
- Tự động cấu hình không trạng thái (Plug 
and Play). 
- Dễ dàng thực hiện Multicast. 
- Khả năng bảo mật kết nối từ thiết bị gửi đến 
thiết bị nhận. 
 - Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 
được thiết kế, chưa tồn tại khái niệm về thiết 
bị IP di động. Trong thế hệ mạng mới, dạng 
thiết bị này ngày càng phát triển, đòi hỏi cấu 
trúc giao thức Internet có sự hỗ trợ tốt hơn. 
NHẬN DIỆN MỘT SỐ ĐIỂM YẾU, NGUY 
CƠ, LỖ HỔNG TẤN CÔNG TRONG 
MẠNG IPV6 
Không chỉ có không gian địa chỉ lớn hơn, 
IPv6 còn cải thiện tốt hơn những vấn đề bảo 
mật tồn tại trong giao thức IPv4 như tấn công 
từ chối dịch vụ (DOS), tấn công chèn mã độc 
(Malicious Code), tấn công Man-in-the-
middle, tấn công phân mảnh, các tấn công 
quét cổng và tấn công thăm dò, tấn công 
chuyển hướng ICMP và nhiễm độc ARPVì 
thế chuyển sang sử dụng địa chỉ IPv6 được 
xem như là một cách để an toàn hơn trong 
môi trường mạng [4]. 
Hơn nữa, ngoài rất nhiều lợi ích, tính năng 
bảo mật được kế thừa, cải thiện và phát huy 
của bộ giao thức IPv6 so với IPv4 như: Ngăn 
chặn được một số kiểu tấn công nhờ không 
gian địa chỉ lớn; Bảo mật hơn nhờ tính năng 
tự động cấu hình và phát hiện thiết bị hàng 
xóm; Hỗ trợ IPsec trong tất cả các node 
mạng; Liên kết bảo mật (SA); Hỗ trợ hai giao 
thức bảo mật: Tiêu đề xác thực (AH) và ESP 
(Encapsulating Security Payload); Tính xác 
thực và Tính toàn vẹn dữ liệu (Authentication 
and data integrity);công nghệ IPv6 vẫn 
luôn tồn tại những điểm yếu, rủi do, lỗ hổng 
và nguy cơ tấn công từ Hacker. 
Cụ thể một số vùng của IPv6 nơi mà bảo mật 
vẫn là một vấn đề cần quan tâm, nghiên cứu 
thực nghiệm để khắc phục bao gồm [4],[5]: 
Các vấn đề liên quan đến Dual-stack: Vấn 
đề chính của Dual-stack trên các máy chủ 
IPv6 được kích hoạt một cách mặc định trên 
một số hệ điều hành (Windows, Linux,). 
Thế nhưng các chính sách bảo mật và an ninh 
không được kích hoạt một cách mặc định. 
Nếu nhà quản trị không có nhiều kinh nghiệm 
hoặc không chú trọng cấu hình bảo mật thì sẽ 
tạo ra một lỗ hổng bảo mật lớn. Mối đe dọa 
tiềm ẩn của kỹ thuật này có thể xuất hiện khi 
một thiết bị hay phần mềm bảo mật không hỗ 
trợ IPv6 hoặc có hỗ trợ nhưng không được cấu 
hình IPv6 với tính năng an toàn. 
Hình 2. Dual Stack IPv4/IPv6 
Trong khi đó, một số hình thức chuyển đổi 
dual-stack sẽ được sử dụng. Việc sử dụng 
ngăn xếp hai giao thức IPv6-IPv4 sẽ làm tăng 
khả năng bị tấn công, đây là một hệ quả của 
việc có hai cơ sở hạ tầng với các vấn đề bảo 
mật khác nhau. Tuy nhiên, hầu hết các vấn đề 
này không phải là kết quả trực tiếp của lỗi 
trong thiết kế IPv6, mà là kết quả của sự 
không tương thích và của việc cấu hình sai. 
Các vấn đề liên quan đến việc sử dụng 
Header: Việc sử dụng các tiêu đề mở rộng 
(Extension Headers) và IPSec có thể ngăn 
chặn một số nguồn tấn công phổ biến. Việc sử 
dụng này được thực hiện bằng cách sử dụng 
tiêu đề IPv6. Tuy nhiên, thực tế là Extension 
Headers phải được xử lý bởi tất cả các thiết bị, 
đây có thể là một nguồn gốc của các tấn công, 
ví dụ một chuỗi dài Extension Headers hoặc 
một số các gói có kích thước lớn đáng kể có 
thể được sử dụng để làm tràn ngập các node 
mạng nào đó (ví dụ: các bức tường lửa, thiết bị 
mạng,) hoặc giả mạo một cuộc tấn công. 
Giả mạo (snoofing): tiếp tục là một nguy cơ 
trong mạng IPv6. Tuy nhiên, snoofing chỉ có 
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
88 
thể xảy ra cho các node mạng trên cùng một 
phân đoạn mạng. 
Hình 3. Ví dụ về tấn công Spoofing DNS 
Để truy cập vào hệ thống mạng của bạn, máy 
tính bên ngoài phải “giành” được một địa chỉ 
IP tin cậy trên hệ thống mạng. Vì vậy kẻ tấn 
công phải sử dụng một địa chỉ IP nằm trong 
phạm vi hệ thống mạng của bạn. Hoặc cách 
khác là kẻ tấn công có thể sử dụng một địa 
chỉ IP bên ngoài nhưng đáng tin cậy trên hệ 
thống mạng của bạn. Các địa chỉ IP có thể 
được hệ thống tin tưởng là bởi vì các địa chỉ 
này có các đặc quyền đặc biệt trên các nguồn 
tài nguyên quan trọng trên hệ thống mạng. 
Các vấn đề về làm tràn bộ đệm: Việc quét 
các địa chỉ và các dịch vụ hợp lệ là khó khăn 
hơn trong các mạng IPv6. Như đã đề cập ở 
trên, để có thể quét hiệu quả một phân đoạn 
IPv6 có thể mất đến 580 tỷ năm, vì không 
gian địa chỉ sử dụng 128 bit. Tuy nhiên, 
không gian địa chỉ lớn hơn không có nghĩa là 
IPv6 là hoàn toàn bất khả xâm phạm trong 
các kiểu tấn công này. Cũng không thiếu các 
địa chỉ quảng bá làm cho IPv6 an toàn hơn. 
Các đặc tính mới như các địa chỉ multicast 
cũng làm cho IPv6 mất an toàn. Kiểu tấn công 
Smurf vẫn có thể xảy ra đối với lưu lượng 
multicast. 
Tấn công DDoS trong mạng IPv6: Tấn công 
từ chối dịch vụ (DoS) đã trở thành cơn ác 
mộng với không ít hệ thống mạng IPv4. Nó 
có thể làm tê liệt hoạt động của một trang 
Web, máy chủ hoặc tài nguyên mạng. Đối với 
IPv6, nguy cơ tấn công DoS có liên quan đến 
phần header mở rộng (Extension Headers). 
Những trường (field) được yêu cầu xử lý bởi 
tất cả các node trên đường đi của gói tin mới 
được duy trì trong header IPv6 . Các trường 
còn lại chứa thông tin có thể hoặc không liên 
quan đến gói tin IP được chuyển đến phần 
header mở rộng IPv6. Và chính phần header 
mở rộng này vừa là điểm mạnh nhưng cũng 
đang trở thành điểm yếu mà tin tặc có thể lợi 
dụng trong các cuộc tấn công DoS. 
Hình 4. Tấn công DoS 
IPv6 không giới hạn các header mở rộng 
(không vượt quá kích thước gói tin IPv6) và 
quá trình thực hiện là xử lý hoàn toàn các 
trường theo thứ tự chúng xuất hiện trong 
header. Vì vậy, tin tặc có thể thực hiện giả 
mạo header mở rộng để tiến hành tấn công. 
Chúng có thể tạo ra một gói tin IPv6 có số 
lượng header mở rộng tối đa cho phép và liên 
kết với nhau trong một danh sách lớn. Ví dụ 
như gửi lặp bản tin hop-by-hop option header 
nhiều lần khiến cho việc xác định đường đi 
của các node trong mạng bị cản trở hoặc làm 
tắc nghẽn băng thông. 
THIẾT KẾ MẠNG IPV6 AN TOÀN NHỜ 
CHỌN LỰA PHƯƠNG PHÁP THIẾT KẾ 
PHÙ HỢP VÀ XÂY DỰNG TIÊU CHÍ 
THIẾT KẾ CHUẨN MỰC 
Như đã phân tích, trình bày bên trên mặc dù 
có nhiều tính năng bảo mật được tăng cường, 
nhưng IPv6 không thể giải quyết tất cả các 
tồn tại trong IPv4. Giao thức IPv6 không thể 
ngăn được các cuộc tấn công ở lớp trên lớp 
mạng (Network Layer). Các cuộc tấn công có 
thể là [5]: 
 - Tấn công ở lớp ứng dụng: các cuộc tấn 
công ở lớp 7 thuộc mô hình OSI như tràn bộ 
đệm (Buffer Overflow), Virus, mã độc, tấn 
công ứng dụng Web, 
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
89 
- Tấn công Brute-force hay dò mật khẩu 
trong các mô-đun xác thực 
- Thiết bị giả (Rogue Device) : các thiết bị 
đưa vào mạng nhưng không được phép. Các 
thiết bị này có thể là một máy PC, một thiết bị 
chuyển mạch (Switch), định tuyến (Router), 
Server DNS, DHCP hay một thiết bị truy cập 
mạng không dây (Wireless Access Point), 
- Tấn công từ chối dịch vụ: vẫn tiếp tục tồn 
tại trong IPv6 
- Tấn công sử dụng quan hệ xã hội (Social 
Engineering): lừa lấy mật khẩu, ID, Email 
Spamming, Phishing, 
Với các mạng doanh nghiệp tại Việt Nam 
hiện nay, nên học hỏi, kế thừa và phát huy các 
kinh nghiệm triển khai mạng IPv6 từ các 
nước đã ứng dụng trước đó, khi thiết kế hệ 
thống mạng IPv6 nhà thiết kế nên nhận diện 
các phương pháp thiết kế và bộ tiêu chí gợi ý 
có lợi và bảo đảm an toàn mạng. Cụ thể: 
Lựa chọn phương pháp thiết kế 
- Phương pháp thiết kế mạng điển hình là 
PPDIOO (Prepare, Plan, Design, Implement, 
Operate, Optimize). Thiết kế mạng hợp lý, 
vận hành hiệu quả cũng làm tăng tính sẵn 
sàng của hệ thống. Với phương pháp này phù 
hợp với các mạng IPv6 có quy mô lớn, cần 
chuẩn bị thời gian và xem xét yếu tố hiệu 
năng lớn. 
- Thiết kế mạng từ trên xuống (Top-Down) là 
một phương pháp thiết kế mạng bắt đầu ở các 
lớp trên của mô hình tham chiếu OSI trước 
khi chuyển sang các lớp thấp hơn. Phương 
pháp thiết kế từ trên xuống tập trung vào các 
lớp: ứng dụng (Application), phiên (Session), 
và vận chuyển (Transport) trước khi chọn lựa 
các bộ định tuyến, các thiết bị chuyển mạch 
và môi trường hoạt động ở các lớp dưới. 
Trong phương pháp này sẽ hạn chế được các 
vấn đề liên quan đến việc sử dụng Header; kiểm 
soát tốt hơn các cuộc tấn công DDOS trong 
mạng IPv6, vì khi thiết kế theo từng tầng, nhà 
quản trị đã có sự lựa chọn kỹ càng các thiết bị 
mạng đáp ứng được các vấn đề này. 
- Thiết kế mạng theo mô hình phân cấp sử 
dụng các lớp để đơn giản nhiệm vụ kết nối 
mạng, mỗi lớp có thể chỉ tập trung vào một 
chức năng cụ thể, cho phép chúng ta lựa chọn 
các tính năng và các hệ thống thích hợp cho 
mỗi lớp. Với phương pháp này khi thiết kế 
mạng IPv6 sẽ hạn chế được các vấn đề liên 
quan tới Dual-stack và vấn đề tràn bộ đệm, 
bởi kỹ thuật này “chia để trị”, chia mạng lớn 
thành các cấp độ khác nhau để từ đó có thiết 
kế phù hợp. 
Kết luận: trong một hệ thống hoạt động tốt, 
ổn định, an toàn cao, đặc biệt là với các mạng 
phức tạp chạy trên nền IPv6, việc chọn lựa 
được một phương pháp thiết kế hiệu quả sẽ 
đem tới nhiều lợi ích tốt, đồng thời kiểm soát 
và hạn chế được các yếu điểm mà mạng IPv6 
đang tồn tại. 
Xác định và xây dựng bộ tiêu chí thiết kế: 
Với bất kỳ phương pháp thiết kế mạng nào đã 
được lựa chọn, nhà thiết kế vẫn rất cần xây 
dựng bộ tiêu chí kỹ càng và có sự phản biện 
cao. Với mạng IPv6 cần có các tiêu chí dưới 
đây để tăng độ an toàn cho hệ thống 
[4],[5],[6]: 
Nên đặt các máy chủ Web, máy chủ thư điện 
tử (Mail Server) cung cấp dịch vụ ra 
mạng Internet trong vùng mạng DMZ, nhằm 
tránh các tấn công mạng nội bộ hoặc gây ảnh 
hướng tới an toàn mạng nội bộ nếu các máy 
chủ này bị tấn công và chiếm quyền kiểm 
soát. Chú ý không đặt máy chủ Web, Mail 
Server hoặc các máy chủ chỉ cung cấp dịch vụ 
cho nội bộ trong vùng mạng này. 
Các máy chủ không trực tiếp cung cấp dịch 
vụ ra mạng ngoài như máy chủ ứng dụng, 
máy chủ cơ sở dữ liệu, máy chủ xác thực 
nên đặt trong vùng mạng Server Network để 
tránh các tấn công trực diện từ Internet và từ 
mạng nội bộ. Đối với các hệ thống thông tin 
yêu cầu có mức bảo mật cao, hoặc có nhiều 
cụm máy chủ khác nhau có thể chia vùng 
Server Network thành các vùng nhỏ hơn độc 
lập để nâng cao tính bảo mật. 
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
90 
Nên thiết lập các hệ thống phòng thủ như 
tường lửa (Firewall) và thiết bị phát 
hiện/phòng chống xâm nhập (IDS/IPS) để 
bảo vệ hệ thống, chống tấn công và xâm nhập 
trái phép. Khuyến cáo đặt Firewall và 
IDS/IPS ở các vị trí như sau: đặt Firewall 
giữa đường nối mạng Internet với các vùng 
mạng khác nhằm hạn chế các tấn công từ 
mạng từ bên ngoài vào; đặt Firewall giữa các 
vùng mạng nội bộ và mạng DMZ nhằm hạn 
chế các tấn công giữa các vùng đó; đặt 
IDS/IPS tại vùng cần theo dõi và bảo vệ. 
Nên đặt một Router ngoài cùng (Router 
biên) trước khi kết nối đến nhà cung cấp dịch 
vụ internet (ISP) để lọc một số lưu lượng 
không mong muốn và chặn những gói tin đến 
từ những địa chỉ IP không hợp lệ. 
KẾT LUẬN 
Trong khi rõ ràng là IPv6 và IPv4 sẽ tiếp tục 
cùng tồn tại nhiều năm nữa, tiềm năng thực 
sự của nền kinh tế số và các dịch vụ thế hệ 
mới chỉ có thể được nhận thức một khi các 
nhà cung cấp đặt kế hoạch cho việc chuyển 
đổi sang IPv6. Thêm nữa, chuyển đổi sang 
IPv6 là tiến trình nhạt nhẽo và phức tạp, và vì 
IPv6 không tương thích ngược, nên các công 
ty cần rất cẩn trọng khi lên kế hoạch chuyển 
đổi để bảo đảm việc sản xuất kinh doanh 
không bị gián đoạn. Điều tối quan trọng cần 
quan tâm là các yếu tố về phần cứng và phần 
mềm đều phải được đánh giá trước khi thực 
sự chuyển đổi, do bất cứ sự lệch lạc nào cũng 
có thể ảnh hưởng trực tiếp đến độ sẵn sàng 
của các dịch vụ trọng yếu [6], [7]. 
- Việc chuẩn bị nên làm sao để khâu thiết kế 
và xây dựng không trở thành tốn kém 
- Thiết kế, xây dựng và chuyển đổi cần được 
thực hiện với độ ảnh hưởng tối thiểu. 
Để đạt được điều đó, một công ty nên có 
nhiều kinh nghiệm trong xây dựng và quản trị 
các mạng IP phức tạp ở mức độ toàn cầu. Khi 
đó, sẽ dễ dàng ở vị thế có thể cung cấp dịch vụ 
chuyển đổi IPv6 cho các doanh nghiệp, nhà 
cung cấp dịch vụ và các nhà sản xuất thuộc các 
cỡ khác nhau ở bất cứ đâu trên thế giới. 
Tốc độ phát triển của các thiết bị kết nối và 
Internet đã làm cho việc chuyển đổi sang IPv6 
cho các nhà cung cấp dịch vụ và các doanh 
nghiệp là không thể đảo ngược. Một sự thật rõ 
ràng là IPv6 và IPv4 sẽ cùng tồn tại trong quá 
trình quá độ, làm cho mọi việc trở nên phức 
tạp và khó quản lý hơn, và làm kéo dài quá 
trình chuyển sang IPv6. Tuy nhiên, thách thức 
lớn hơn của các nhà cung cấp dịch vụ và các 
doanh nghiệp lớn là làm sao vẽ được lộ trình 
đúng đắn, phù hợp để chuyển đổi sang IPv6, 
trong khi đương nhiên vẫn phải đảm bảo tính 
liên tục của hoạt động sản xuất kinh doanh 
cũng như các mục tiêu chiến lược. Và vấn đề 
then chốt đó là nhà thiết kế cần nghiên cứu, 
phân tích đánh giá, hiểu rõ nhất ưu nhược 
điểm của công nghệ IPv6 để từ đó đưa ra các 
khuyến nghị tốt nhất cho khách hàng khi thiết 
kế một hệ thống mạng chạy hoàn toàn trên 
nền công nghệ IPv6 hoặc kết hợp cả hai công 
nghệ IPv4 và IPv6 song song như hiện nay. 
TÀI LIỆU THAM KHẢO 
1. https://www.vnnic.vn/ipv6/ 
2. Minoli, D. Kouns, J, 2009, Security in an IPv6 
Environment, CRC Press, USA. 
3. E. Durdaugi and A. Buldu, 2010, IPV4/IPV6 
security and threat comparisons, 
Procedia-Social and Behavioral Sciences, vol. 
2(2): pp. 5285–5291. 
4. S. Deering, Cisco, R. Hinden, and Nokia, 
“RFC” 2460, 1998, Internet Protocol, Version 6 
(IPv6) Specification. 
5. Hogg, S. Vyncke, E. 2009, IPv6 Security, Cisco 
Press, USA. 
6. R.K.Murugesan, and S.Ramadass, 2012, 
Review on IPv6 Security Vulnerability Issue and 
Mitigation Methods, International Journal of 
Network Security & Its Applications, 4 (6). 
7. J. Ullrich, K. Krombholz, H. Hobel, A. 
Dabrowski, and E. Weippl, 2014, IPv6 security: 
Attacks and Countermeasures in a Nutshell, in 
Proceedings of the 8th USENIX conference on 
Offensive Technologies, pp. 5–5. 
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91 
91 
SUMMARY 
NETWORK DESIGN OF IPV6 SAFETY BASED ON ANALYSIS, FEATURE 
ASSESSMENT OF IPV6 PROTOCOL 
Nguyen Thi Dung, Le Hoang Hiep
*
, Pham Thi Lien, Tran Duy Minh 
 University of Information and Communication Technology - TNU 
The focus of the paper is on design choices where there are differences between IPv4 and IPv6, 
either in the range of posible alternatives (e.g. the extra possibilities introduced by link-local 
addresses in IPv6) or the recommended alternative. The paper presents the alternatives and 
discusses the pros and cons in detail. Where consensus currently exists around the best practice, 
this is documented; otherwise the paper simply summarizes the current state of the discussion. 
Thus this paper serves to both to document the reasoning behind best current practices for IPv6, 
and to allow a designer to make an intelligent choice where no such consensus exists. 
Keywords: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues 
Ngày nhận bài: 17/8/2018; Ngày phản biện: 09/10/2018; Ngày duyệt đăng: 12/10/2018
*
 Tel: 0984 666500; Email: lhhiep@ictu.edu.vn 
92 

File đính kèm:

  • pdfthiet_ke_mang_tren_nen_ipv6_an_toan_nho_phan_tich_danh_gia_d.pdf