Nâng cao tính năng bảo mật các thiết bị mạng trong xu thế chuyển tiếp IPv6 và IPv4

Trong xu thế chuyển tiếp giữa IPv6 và IPv4, các nút trong hệ thống mạng vẫn còn dùng IPv4. Việc cấu hình không tương thích giữa hai hình thức này và các hạn chế của IPv4 sẽ là điểm yếu để kể xấu lợi dụng tấn công vào các hệ thống mạng. Do đó, giải pháp cần thực hiện để có được một hệ thống mạng an toàn là nâng cao tính bảo mật cho từng nút mạng bằng cách cấu hình tương thích giữa chúng, khai thác tốt các tính năng của router, phát huy tính năng bảo mật của IPv6 và hạn chế yếu điểm của IPv4.
Nội dung trích xuất từ tài liệu:
Nâng cao tính năng bảo mật các thiết bị mạng trong xu thế chuyển tiếp IPv6 và IPv4NÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ CHUYỂN TIẾP IPV4 VÀ IPV6 Võ Thanh Thủy1 Tóm tắt: Các hình thức tấn công mạng phổ biến thường dựa vào những đặc trưngcủa IP. Đó là những hạn chế của IPv4 đã được đánh giá qua quá trình sử dụng. Trongxu thế chuyển tiếp giữa IPv6 và IPv4, các nút trong hệ thống mạng vẫn còn dùng IPv4.Việc cấu hình không tương thích giữa hai hình thức này và các hạn chế của IPv4 sẽ làđiểm yếu để kể xấu lợi dụng tấn công vào các hệ thống mạng. Do đó, giải pháp cần thựchiện để có được một hệ thống mạng an toàn là nâng cao tính bảo mật cho từng nút mạngbằng cách cấu hình tương thích giữa chúng, khai thác tốt các tính năng của router, pháthuy tính năng bảo mật của IPv6 và hạn chế yếu điểm của IPv4. Từ khóa: bảo mật, chuyển tiếp IPv4 và IPv6, cấu hình router. 1. Mở đầu Giao thức IPv6 khắc phục các hạn chế của IPv4 và nâng cao được khả năng bảomật của hệ thống mạng. Hiện nay, một số thiết bị mạng trong hệ thống vẫn còn vận hànhIPv4 hoặc song song hai giao thức IPv4 và IPv6 theo cơ chế Dual stack. Điều này gây rahệ quả là có hai cơ sở hạ tầng với các vấn đề bảo mật khác nhau. Tuy nhiên, hầu hết cácvấn đề này không phải là kết quả trực tiếp của lỗi trong thiết kế IPv6 hay IPv4 mà là kếtquả của sự không tương thích và việc cấu hình chưa tối ưu. Trong khi các nút mạng chưachuyển đổi hoàn toàn sang IPv6 để được bảo mật hơn thì sự tồn tại các nút mạng IPv4 làcơ hội để những kẻ xấu tấn công vào các yếu điểm của mạng vẫn còn diễn ra. Kẻ xấu dựa vào những đặc trưng của IP để thực hiện các kiểu tấn công như từ chốidịch vụ dạng smurf, quét cổng, giả mạo DNS,…Để có được hệ thống mạng an toàn,chúng ta cần thực hiện cấu hình hợp lí các dịch vụ và các giao tiếp liên quan đến giaothức IP trên router và tắt các tính năng không dùng đến. 2. Nội dung 2.1. Một số tồn tại trong IPv4 Trong hệ thống mạng vận hành bằng IPv4 thường bị tấn công như tấn công từ chốidịch vụ, tấn công chèn mã độc, tấn công Man-in-the-middle, tấn công phân mảnh, tấncông quét cổng, thăm dò, nhiễm độc ARP…Tấn công từ chối dịch vụ là hình thức tấncông làm cho máy chủ cạn kiệt nguồn tài nguyên dự trữ có thể là bộ nhớ, khả năng kếtnối... như kiểu tấn công SYN Flood, nó tạo các kết nối ở máy chủ với các IP đơn lẻ, giảmạo. Tấn công kiểu smurf thì kể tấn công gửi các gói ICMP (Internet Control Message1. Thạc sĩ, Trường Đại học Quảng NamNÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ...Protocol) giả mạo chứa đầy phần mềm độc hại như một yêu cầu ping - đó là một yêu cầucần phản hồi từ các nút mạng. Gói ICMP giả mạo này gửi yêu cầu đến các máy chủ trongmạng, các máy chủ gửi phản hồi liên tục đến địa chỉ IP mục tiêu và làm quá tải hệ thống.Đối với kiểu Man-in-the-middle là kiểu tấn công xảy ra ở giữa hai máy tính, đó là máytrạm và máy chủ. Kẻ tấn công có khả năng nghe lén, thậm chí chặn liên lạc giữa hai máyvà đánh cắp thông tin nhạy cảm để thực hiện mục tiêu xấu. Tấn công từ chối dịch vụ DoS (Denial of Service) IP hay ICMP Fragmentation làmột dạngtấn công phổ biến. Đối với kiểu tấn công này, cơ chế phân mảnh datagram đượcsử dụng để áp đảo mạng. Các gói tin IP được phân mảnh thành những gói nhỏ đến giớihạn kích thước mà mỗi mạng có thể xử lí, sau đó được truyền qua mạng và cuối cùngđược tập hợp lại thành datagram như ban đầu, như một phần của quá trình giao tiếp thôngthường. Khi một gói tin quá lớn, nó phải được chia thành các fragment nhỏ hơn để đượctruyền đi thành công. Bao gồm một gói fragment chứa tất cả thông tin về gói, các cổngnguồn/đích, độ dài... và các fragment còn lại chỉ bao gồm một IP header và phần dữ liệu,những fragment này không chứa thông tin về giao thức, dung lượng hoặc các cổng. Dođó, kẻ tấn công có thể sử dụng phân mảnh IP để nhắm mục tiêu các hệ thống giao tiếp,cũng như những thành phần bảo mật để gửi các fragment giả đến máy mục tiêu. Điềunày lại khiến các fragment được đặt trong bộ nhớ tạm thời, chiếm dụng bộ nhớ và làmcạn kiệt tài nguyên bộ nhớ có sẵn của máy mục tiêu. Kẻ tấn công quét mạng để xác địnhđịa chỉ IPcủa ít nhất hai thiết bị và sử dụngmột công cụ giả mạo, chẳng hạn như ARPspoof hoặc Driftnet, để gửi phản hồi ARP giảmạo. Từ đây, các phản hồi giả mạo thông báo rằng địa chỉ MAC chính xác cho cả hai địachỉ IP của hai thiết bị là địa chỉ MAC của kẻ tấn công. Điều này đánh lừa cả 2 thiết bị vàkết nối với máy của kẻ tấn công, thay vì kết nối với nhau, kẻ tấn công bí mật đang đứnggiữa 2 liên lạc để thực hiện ý đồ của mình. Đa phần trong hình thức tấn công giả mạo là bằng cách đoán, quét IP… nhưng nếuchuyển sang sử dụng địa chỉ IPv6 thì việc đó hoàn toàn không thể, nhờ không gian địachỉ lớn. Đây được xem như là một cách để tính năng bảo mật của mỗi nút mạng đượcnâng cao, giúp hệ thống mạng được an toàn hơn. 2.2. ...