Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24 giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Tuy[r]
Trang 1THIẾT KẾ MẠNG TRÊN NỀN IPV6 AN TOÀN NHỜ PHÂN TÍCH,
ĐÁNH GIÁ ĐẶC ĐIỂM CỦA GIAO THỨC IPV6
Nguyễn Thị Dung, Lê Hoàng Hiệp * , Phạm Thị Liên, Trần Duy Minh
Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên
TÓM TẮT
Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24 giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể Với các mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang
sử dụng giao thức IPv6 vì nhiều lợi ích của nó Tuy nhiên, bên cạnh đó các mạng doanh nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay Do
đó, khi bắt tay vào thiết kế một dự án mạng mới nhà thiết kế cần hiểu rõ và đánh giá đặc điểm của giao thức IPv6 một cách nghiêm túc nhất
Từ khóa: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues
GIỚI THIỆU*
Khi thiết kế một hệ thống mạng an toàn, nhà
thiết kế cần phải xem xét và phân tích thực
hiện một số yếu tố có ảnh hưởng liên đới sau
này khi sử dụng chẳng hạn như phân tích
cấu trúc sơ đồ mạng (topology) hoặc vị trí đặt
các host (máy chủ, Router, tường lửa,…) như
thế nào để đảm bảo hiệu năng nhưng người
quản trị vẫn có thể kiểm soát và hiểu rõ, thực
thi tốt nhất hệ thống mà mình đang quản lý
Hình 1 Sơ đồ mạng an toàn cơ bản
Một số vấn đề, thách thức bảo mật thường
thấy trong khi thiết kế mạng doanh nghiệp
cỡ vừa và nhỏ (số lượng node mạng <1000)
điển hình như:
- Bảo vệ hệ thống khỏi các mối đe dọa, tấn
công từ mạng Internet
- Bảo vệ cho các máy chủ Web, DNS và Mail
trên mạng Internet
*
Tel: 0984 666500; Email: lhhiep@ictu.edu.vn
- Phòng ngừa thiệt hại, rủi do cho các hệ thống và ngăn chặn tấn công nội bộ
- Đảm bảo tài nguyên nội bộ quan trọng trong các doanh nghiệp như hồ sơ lưu trữ,
dữ liệu tài chính, cơ sở dữ liệu khách hàng,
bí mật kinh doanh,…
- Xây dựng một nền tảng (Framework) tốt cho kỹ sư quản trị hệ thống để quản lý hệ thống được an toàn
- Cung cấp cho các hệ thống khả năng lưu/ghi lại nhật ký cũng như xây dựng hệ thống phát hiện xâm nhập
Hơn nữa nhà thiết kế cần tập trung nghiên cứu/phân tích một mô hình mạng hợp lý, phù hợp cho đối tượng doanh nghiệp mà mình sẽ thiết kế như việc phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế Chẳng hạn phân biệt vùng mạng nội bộ (là nơi đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị); vùng mạng máy chủ Server (hay Server Farm là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server,…) và vùng mạng Internet (còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu) Việc tổ chức mô hình mạng hợp lý đảm
Trang 2bảo bảo mật có ảnh hưởng lớn đến sự an toàn
cho các hệ thống mạng và các cổng thông tin
điện tử Đây là cơ sở đầu tiên cho việc xây
dựng các hệ thống phòng thủ và bảo vệ
Ngoài ra, việc tổ chức mô hình mạng hợp lý
có thể hạn chế được các tấn công từ bên trong
và bên ngoài một cách hiệu quả [1]
Đối với mỗi tổ chức, doanh nghiệp tất cả hệ
thống máy móc, thiết bị mạng đều được liên
kết/kết nối với nhau thông qua mạng nội bộ
hoặc mạng diện rộng Với tính chất liên kết
đó, mỗi khi một máy bị tấn công sẽ ảnh
hưởng đến cả hệ thống mạng của công ty, tuy
nhiên hầu hết các doanh nghiệp Việt Nam đều
đang lơ là và chưa thực sự quan tâm đến vấn
đề bảo mật hệ thống an ninh mạng của công
ty mình như: Yêu cầu sử dụng phần mềm bản
quyền chưa được tuân thủ nghiêm ngặt, chưa
tiến hành rà quét, đánh giá an ninh định kì,
chưa được tăng cường các biện pháp chủ
động phòng ngừa các nguy cơ an ninh, biết
điểm yếu an ninh nhưng chưa chủ động khắc
phục hoặc khắc phục một phần chưa triệt
để….Đặc biệt nếu hệ thống mạng của doanh
nghiệp hiện nay được thiết kế sử dụng hoàn
toàn nền tảng IPv6 thì bên cạnh nhiều lợi ích
to lớn sẽ luôn có các mối đe dọa an ninh là
rất lớn tồn tại song song Khi đó, vai trò then
chốt và quan trọng ở khâu thiết kế ngay từ
đầu sẽ có ảnh hưởng xuyên suốt tới quá trình
vận hành, sử dụng sau này đòi hỏi nhà thiết
kế cần có những phân tích kỹ càng và thấu
đáo các yêu cầu/quy chuẩn thiết kế đúng
chuẩn mực, tránh các điểm yếu và tận dụng
lợi thế của giao thức IPv6 để hệ thống mạng
hoạt động với hiệu năng cao nhất [2]
NHẬN DIỆN ƯU ĐIỂM TRONG CÁC ĐẶC
ĐIỂM CỦA CÔNG NGHỆ IPV6
Công nghệ IPv6 mang đến rất nhiều ưu điểm
so với công nghệ tiền nhiệm của nó (IPv4)
Khả năng mở rộng địa chỉ của IPv6 cho phép
cung cấp khoảng 340 tỷ tỷ (trillion) địa chỉ
duy nhất, trong khi IPv4 chỉ có khả năng cung
cấp tối đa khoảng 4 tỷ địa chỉ
Số lượng không gian địa chỉ mà IPv6 có khả năng cung cấp được dự trù là vô cùng lớn, có thể đáp ứng được thoải mái cho tất cả các thiết bị đã và đang được kết nối vào mạng theo cấp số nhân như hiện nay IPv6 sẽ kết thúc sứ mệnh của các thiết bị có chức năng
"dịch địa chỉ” (NAT), và chúng ta không phải đầu tư cũng như mất chi phí vận hành cho những thiết bị kiểu như vậy như hiện nay đang làm Tập giao thức an ninh IP đã được dựng và đưa luôn vào kiến trúc của IPv6, do
đó tạo ra phương thức triển khai cơ chế an ninh ngay từ bên trong khi dùng IPv6 Các cơ chế đảm bảo an ninh an toàn đồng nhất trong tất cả các ứng dụng của doanh nghiệp sẽ đơn giản hóa công tác quản trị an toàn an ninh Giao thức mạng với tính năng an toàn an ninh tốt hơn sẽ mở đường cho việc triển khai các ứng dụng truyền tin an toàn Cấu trúc có thể
mở rộng của phần đầu IPv6 (header) còn cho phép cung cấp các đặc tính mới IPv6 đảm bảo chất lượng tốt hơn IPv4 do phần đầu của IPv6 chứa một trường trong đó cho phép các gói tin được bắt đầu từ một trạm và hướng tới một trạm khác một cách cụ thể, để các gói được nhìn thấy và được xử lý một cách nhanh chóng và hiệu quả bởi các bộ định tuyến Việc ứng dụng IPv6 sẽ mang lại lợi ích cho rất nhiều khu vực, như chính quyền, quốc phòng, viễn thông, điện lực, giao thông, hậu cầu, trò chơi, bất động sản, chăm sóc sức khỏe và giáo dục [2]
Có thể tóm tắt một số lợi ích của mạng IPv6 như sau [1], [2],[3]:
- Không gian địa chỉ lớn hơn và dễ dàng quản
lý không gian địa chỉ: Tăng từ 32bit lên 128bit
- Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT
- Quản trị TCP/IP dễ dàng hơn: IPv6 được thiết kế với khả năng tự động cấu hình mà không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công
Trang 3- Cấu trúc định tuyến tốt hơn: Định tuyến
IPv6 được thiết kế hoàn toàn phân cấp
- Tự động cấu hình không trạng thái (Plug
and Play)
- Dễ dàng thực hiện Multicast
- Khả năng bảo mật kết nối từ thiết bị gửi đến
thiết bị nhận
- Hỗ trợ tốt hơn cho di động: Thời điểm IPv4
được thiết kế, chưa tồn tại khái niệm về thiết
bị IP di động Trong thế hệ mạng mới, dạng
thiết bị này ngày càng phát triển, đòi hỏi cấu
trúc giao thức Internet có sự hỗ trợ tốt hơn
NHẬN DIỆN MỘT SỐ ĐIỂM YẾU, NGUY
CƠ, LỖ HỔNG TẤN CÔNG TRONG
MẠNG IPV6
Không chỉ có không gian địa chỉ lớn hơn,
IPv6 còn cải thiện tốt hơn những vấn đề bảo
mật tồn tại trong giao thức IPv4 như tấn công
từ chối dịch vụ (DOS), tấn công chèn mã độc
(Malicious Code), tấn công
Man-in-the-middle, tấn công phân mảnh, các tấn công
quét cổng và tấn công thăm dò, tấn công
chuyển hướng ICMP và nhiễm độc ARP…Vì
thế chuyển sang sử dụng địa chỉ IPv6 được
xem như là một cách để an toàn hơn trong
môi trường mạng [4]
Hơn nữa, ngoài rất nhiều lợi ích, tính năng
bảo mật được kế thừa, cải thiện và phát huy
của bộ giao thức IPv6 so với IPv4 như: Ngăn
chặn được một số kiểu tấn công nhờ không
gian địa chỉ lớn; Bảo mật hơn nhờ tính năng
tự động cấu hình và phát hiện thiết bị hàng
xóm; Hỗ trợ IPsec trong tất cả các node
mạng; Liên kết bảo mật (SA); Hỗ trợ hai giao
thức bảo mật: Tiêu đề xác thực (AH) và ESP
(Encapsulating Security Payload); Tính xác
thực và Tính toàn vẹn dữ liệu (Authentication
and data integrity);…công nghệ IPv6 vẫn
luôn tồn tại những điểm yếu, rủi do, lỗ hổng
và nguy cơ tấn công từ Hacker
Cụ thể một số vùng của IPv6 nơi mà bảo mật
vẫn là một vấn đề cần quan tâm, nghiên cứu
thực nghiệm để khắc phục bao gồm [4],[5]:
Các vấn đề liên quan đến Dual-stack: Vấn
đề chính của Dual-stack trên các máy chủ IPv6 được kích hoạt một cách mặc định trên một số hệ điều hành (Windows, Linux,…) Thế nhưng các chính sách bảo mật và an ninh không được kích hoạt một cách mặc định Nếu nhà quản trị không có nhiều kinh nghiệm hoặc không chú trọng cấu hình bảo mật thì sẽ tạo ra một lỗ hổng bảo mật lớn Mối đe dọa tiềm ẩn của kỹ thuật này có thể xuất hiện khi một thiết bị hay phần mềm bảo mật không hỗ trợ IPv6 hoặc có hỗ trợ nhưng không được cấu hình IPv6 với tính năng an toàn
Hình 2 Dual Stack IPv4/IPv6
Trong khi đó, một số hình thức chuyển đổi dual-stack sẽ được sử dụng Việc sử dụng ngăn xếp hai giao thức IPv6-IPv4 sẽ làm tăng khả năng bị tấn công, đây là một hệ quả của việc có hai cơ sở hạ tầng với các vấn đề bảo mật khác nhau Tuy nhiên, hầu hết các vấn đề này không phải là kết quả trực tiếp của lỗi trong thiết kế IPv6, mà là kết quả của sự không tương thích và của việc cấu hình sai
Các vấn đề liên quan đến việc sử dụng Header: Việc sử dụng các tiêu đề mở rộng
(Extension Headers) và IPSec có thể ngăn chặn một số nguồn tấn công phổ biến Việc sử dụng này được thực hiện bằng cách sử dụng tiêu đề IPv6 Tuy nhiên, thực tế là Extension Headers phải được xử lý bởi tất cả các thiết bị, đây có thể là một nguồn gốc của các tấn công,
ví dụ một chuỗi dài Extension Headers hoặc một số các gói có kích thước lớn đáng kể có thể được sử dụng để làm tràn ngập các node mạng nào đó (ví dụ: các bức tường lửa, thiết bị mạng,…) hoặc giả mạo một cuộc tấn công
Giả mạo (snoofing): tiếp tục là một nguy cơ
trong mạng IPv6 Tuy nhiên, snoofing chỉ có
Trang 4thể xảy ra cho các node mạng trên cùng một
phân đoạn mạng
Hình 3 Ví dụ về tấn công Spoofing DNS
Để truy cập vào hệ thống mạng của bạn, máy
tính bên ngoài phải “giành” được một địa chỉ
IP tin cậy trên hệ thống mạng Vì vậy kẻ tấn
công phải sử dụng một địa chỉ IP nằm trong
phạm vi hệ thống mạng của bạn Hoặc cách
khác là kẻ tấn công có thể sử dụng một địa
chỉ IP bên ngoài nhưng đáng tin cậy trên hệ
thống mạng của bạn Các địa chỉ IP có thể
được hệ thống tin tưởng là bởi vì các địa chỉ
này có các đặc quyền đặc biệt trên các nguồn
tài nguyên quan trọng trên hệ thống mạng
Các vấn đề về làm tràn bộ đệm: Việc quét
các địa chỉ và các dịch vụ hợp lệ là khó khăn
hơn trong các mạng IPv6 Như đã đề cập ở
trên, để có thể quét hiệu quả một phân đoạn
IPv6 có thể mất đến 580 tỷ năm, vì không
gian địa chỉ sử dụng 128 bit Tuy nhiên,
không gian địa chỉ lớn hơn không có nghĩa là
IPv6 là hoàn toàn bất khả xâm phạm trong
các kiểu tấn công này Cũng không thiếu các
địa chỉ quảng bá làm cho IPv6 an toàn hơn
Các đặc tính mới như các địa chỉ multicast
cũng làm cho IPv6 mất an toàn Kiểu tấn công
Smurf vẫn có thể xảy ra đối với lưu lượng
multicast
từ chối dịch vụ (DoS) đã trở thành cơn ác
mộng với không ít hệ thống mạng IPv4 Nó
có thể làm tê liệt hoạt động của một trang
Web, máy chủ hoặc tài nguyên mạng Đối với
IPv6, nguy cơ tấn công DoS có liên quan đến
phần header mở rộng (Extension Headers)
Những trường (field) được yêu cầu xử lý bởi tất cả các node trên đường đi của gói tin mới được duy trì trong header IPv6 Các trường còn lại chứa thông tin có thể hoặc không liên quan đến gói tin IP được chuyển đến phần header mở rộng IPv6 Và chính phần header
mở rộng này vừa là điểm mạnh nhưng cũng đang trở thành điểm yếu mà tin tặc có thể lợi dụng trong các cuộc tấn công DoS
Hình 4 Tấn công DoS
IPv6 không giới hạn các header mở rộng (không vượt quá kích thước gói tin IPv6) và quá trình thực hiện là xử lý hoàn toàn các trường theo thứ tự chúng xuất hiện trong header Vì vậy, tin tặc có thể thực hiện giả mạo header mở rộng để tiến hành tấn công Chúng có thể tạo ra một gói tin IPv6 có số lượng header mở rộng tối đa cho phép và liên kết với nhau trong một danh sách lớn Ví dụ như gửi lặp bản tin hop-by-hop option header nhiều lần khiến cho việc xác định đường đi của các node trong mạng bị cản trở hoặc làm tắc nghẽn băng thông
THIẾT KẾ MẠNG IPV6 AN TOÀN NHỜ CHỌN LỰA PHƯƠNG PHÁP THIẾT KẾ PHÙ HỢP VÀ XÂY DỰNG TIÊU CHÍ THIẾT KẾ CHUẨN MỰC
Như đã phân tích, trình bày bên trên mặc dù
có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không thể giải quyết tất cả các tồn tại trong IPv4 Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (Network Layer) Các cuộc tấn công có thể là [5]:
- Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 thuộc mô hình OSI như tràn bộ đệm (Buffer Overflow), Virus, mã độc, tấn công ứng dụng Web,…
Trang 5- Tấn công Brute-force hay dò mật khẩu
trong các mô-đun xác thực
- Thiết bị giả (Rogue Device) : các thiết bị
đưa vào mạng nhưng không được phép Các
thiết bị này có thể là một máy PC, một thiết bị
chuyển mạch (Switch), định tuyến (Router),
Server DNS, DHCP hay một thiết bị truy cập
mạng không dây (Wireless Access Point),…
- Tấn công từ chối dịch vụ: vẫn tiếp tục tồn
tại trong IPv6
- Tấn công sử dụng quan hệ xã hội (Social
Engineering): lừa lấy mật khẩu, ID, Email
Spamming, Phishing,…
Với các mạng doanh nghiệp tại Việt Nam
hiện nay, nên học hỏi, kế thừa và phát huy các
kinh nghiệm triển khai mạng IPv6 từ các
nước đã ứng dụng trước đó, khi thiết kế hệ
thống mạng IPv6 nhà thiết kế nên nhận diện
các phương pháp thiết kế và bộ tiêu chí gợi ý
có lợi và bảo đảm an toàn mạng Cụ thể:
Lựa chọn phương pháp thiết kế
- Phương pháp thiết kế mạng điển hình là
PPDIOO (Prepare, Plan, Design, Implement,
Operate, Optimize) Thiết kế mạng hợp lý,
vận hành hiệu quả cũng làm tăng tính sẵn
sàng của hệ thống Với phương pháp này phù
hợp với các mạng IPv6 có quy mô lớn, cần
chuẩn bị thời gian và xem xét yếu tố hiệu
năng lớn
- Thiết kế mạng từ trên xuống (Top-Down) là
một phương pháp thiết kế mạng bắt đầu ở các
lớp trên của mô hình tham chiếu OSI trước
khi chuyển sang các lớp thấp hơn Phương
pháp thiết kế từ trên xuống tập trung vào các
lớp: ứng dụng (Application), phiên (Session),
và vận chuyển (Transport) trước khi chọn lựa
các bộ định tuyến, các thiết bị chuyển mạch
và môi trường hoạt động ở các lớp dưới
Trong phương pháp này sẽ hạn chế được các
vấn đề liên quan đến việc sử dụng Header; kiểm
soát tốt hơn các cuộc tấn công DDOS trong
mạng IPv6, vì khi thiết kế theo từng tầng, nhà
quản trị đã có sự lựa chọn kỹ càng các thiết bị
mạng đáp ứng được các vấn đề này
- Thiết kế mạng theo mô hình phân cấp sử dụng các lớp để đơn giản nhiệm vụ kết nối mạng, mỗi lớp có thể chỉ tập trung vào một chức năng cụ thể, cho phép chúng ta lựa chọn các tính năng và các hệ thống thích hợp cho mỗi lớp Với phương pháp này khi thiết kế mạng IPv6 sẽ hạn chế được các vấn đề liên quan tới Dual-stack và vấn đề tràn bộ đệm, bởi kỹ thuật này “chia để trị”, chia mạng lớn thành các cấp độ khác nhau để từ đó có thiết
kế phù hợp
Kết luận: trong một hệ thống hoạt động tốt,
ổn định, an toàn cao, đặc biệt là với các mạng phức tạp chạy trên nền IPv6, việc chọn lựa được một phương pháp thiết kế hiệu quả sẽ đem tới nhiều lợi ích tốt, đồng thời kiểm soát
và hạn chế được các yếu điểm mà mạng IPv6 đang tồn tại
Xác định và xây dựng bộ tiêu chí thiết kế:
Với bất kỳ phương pháp thiết kế mạng nào đã được lựa chọn, nhà thiết kế vẫn rất cần xây dựng bộ tiêu chí kỹ càng và có sự phản biện cao Với mạng IPv6 cần có các tiêu chí dưới đây để tăng độ an toàn cho hệ thống [4],[5],[6]:
Nên đặt các máy chủ Web, máy chủ thư điện tử (Mail Server)… cung cấp dịch vụ ra mạng Internet trong vùng mạng DMZ, nhằm
tránh các tấn công mạng nội bộ hoặc gây ảnh hướng tới an toàn mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền kiểm soát Chú ý không đặt máy chủ Web, Mail Server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ trong vùng mạng này
Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… nên đặt trong vùng mạng Server Network để
tránh các tấn công trực diện từ Internet và từ mạng nội bộ Đối với các hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng Server Network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật
Trang 6Nên thiết lập các hệ thống phòng thủ như
tường lửa (Firewall) và thiết bị phát
hiện/phòng chống xâm nhập (IDS/IPS) để
bảo vệ hệ thống, chống tấn công và xâm nhập
trái phép Khuyến cáo đặt Firewall và
IDS/IPS ở các vị trí như sau: đặt Firewall
giữa đường nối mạng Internet với các vùng
mạng khác nhằm hạn chế các tấn công từ
mạng từ bên ngoài vào; đặt Firewall giữa các
vùng mạng nội bộ và mạng DMZ nhằm hạn
chế các tấn công giữa các vùng đó; đặt
IDS/IPS tại vùng cần theo dõi và bảo vệ
Nên đặt một Router ngoài cùng (Router
biên) trước khi kết nối đến nhà cung cấp dịch
vụ internet (ISP) để lọc một số lưu lượng
không mong muốn và chặn những gói tin đến
từ những địa chỉ IP không hợp lệ
KẾT LUẬN
Trong khi rõ ràng là IPv6 và IPv4 sẽ tiếp tục
cùng tồn tại nhiều năm nữa, tiềm năng thực
sự của nền kinh tế số và các dịch vụ thế hệ
mới chỉ có thể được nhận thức một khi các
nhà cung cấp đặt kế hoạch cho việc chuyển
đổi sang IPv6 Thêm nữa, chuyển đổi sang
IPv6 là tiến trình nhạt nhẽo và phức tạp, và vì
IPv6 không tương thích ngược, nên các công
ty cần rất cẩn trọng khi lên kế hoạch chuyển
đổi để bảo đảm việc sản xuất kinh doanh
không bị gián đoạn Điều tối quan trọng cần
quan tâm là các yếu tố về phần cứng và phần
mềm đều phải được đánh giá trước khi thực
sự chuyển đổi, do bất cứ sự lệch lạc nào cũng
có thể ảnh hưởng trực tiếp đến độ sẵn sàng
của các dịch vụ trọng yếu [6], [7]
- Việc chuẩn bị nên làm sao để khâu thiết kế
và xây dựng không trở thành tốn kém
- Thiết kế, xây dựng và chuyển đổi cần được
thực hiện với độ ảnh hưởng tối thiểu
Để đạt được điều đó, một công ty nên có
nhiều kinh nghiệm trong xây dựng và quản trị
các mạng IP phức tạp ở mức độ toàn cầu Khi
đó, sẽ dễ dàng ở vị thế có thể cung cấp dịch vụ
chuyển đổi IPv6 cho các doanh nghiệp, nhà
cung cấp dịch vụ và các nhà sản xuất thuộc các
cỡ khác nhau ở bất cứ đâu trên thế giới Tốc độ phát triển của các thiết bị kết nối và Internet đã làm cho việc chuyển đổi sang IPv6 cho các nhà cung cấp dịch vụ và các doanh nghiệp là không thể đảo ngược Một sự thật rõ ràng là IPv6 và IPv4 sẽ cùng tồn tại trong quá trình quá độ, làm cho mọi việc trở nên phức tạp và khó quản lý hơn, và làm kéo dài quá trình chuyển sang IPv6 Tuy nhiên, thách thức lớn hơn của các nhà cung cấp dịch vụ và các doanh nghiệp lớn là làm sao vẽ được lộ trình đúng đắn, phù hợp để chuyển đổi sang IPv6, trong khi đương nhiên vẫn phải đảm bảo tính liên tục của hoạt động sản xuất kinh doanh cũng như các mục tiêu chiến lược Và vấn đề then chốt đó là nhà thiết kế cần nghiên cứu, phân tích đánh giá, hiểu rõ nhất ưu nhược điểm của công nghệ IPv6 để từ đó đưa ra các khuyến nghị tốt nhất cho khách hàng khi thiết
kế một hệ thống mạng chạy hoàn toàn trên nền công nghệ IPv6 hoặc kết hợp cả hai công nghệ IPv4 và IPv6 song song như hiện nay
TÀI LIỆU THAM KHẢO
1 https://www.vnnic.vn/ipv6/
2 Minoli, D Kouns, J, 2009, Security in an IPv6 Environment, CRC Press, USA
3 E Durdaugi and A Buldu, 2010, IPV4/IPV6 security and threat comparisons,
Procedia-Social and Behavioral Sciences, vol 2(2): pp 5285–5291
4 S Deering, Cisco, R Hinden, and Nokia,
“RFC” 2460, 1998, Internet Protocol, Version 6 (IPv6) Specification
5 Hogg, S Vyncke, E 2009, IPv6 Security, Cisco
Press, USA
6 R.K.Murugesan, and S.Ramadass, 2012,
Review on IPv6 Security Vulnerability Issue and Mitigation Methods, International Journal of
Network Security & Its Applications, 4 (6)
7 J Ullrich, K Krombholz, H Hobel, A
Dabrowski, and E Weippl, 2014, IPv6 security: Attacks and Countermeasures in a Nutshell, in
Proceedings of the 8th USENIX conference on Offensive Technologies, pp 5–5
Trang 7SUMMARY
NETWORK DESIGN OF IPV6 SAFETY BASED ON ANALYSIS, FEATURE
ASSESSMENT OF IPV6 PROTOCOL
Nguyen Thi Dung, Le Hoang Hiep * , Pham Thi Lien, Tran Duy Minh
University of Information and Communication Technology - TNU
The focus of the paper is on design choices where there are differences between IPv4 and IPv6, either in the range of posible alternatives (e.g the extra possibilities introduced by link-local addresses in IPv6) or the recommended alternative The paper presents the alternatives and discusses the pros and cons in detail Where consensus currently exists around the best practice, this is documented; otherwise the paper simply summarizes the current state of the discussion Thus this paper serves to both to document the reasoning behind best current practices for IPv6, and to allow a designer to make an intelligent choice where no such consensus exists
Keywords: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues
Ngày nhận bài: 17/8/2018; Ngày phản biện: 09/10/2018; Ngày duyệt đăng: 12/10/2018
*
Tel: 0984 666500; Email: lhhiep@ictu.edu.vn
