Những cải thiện về bảo mật trong IPv6

Những tính năng nổi bật của IPv6

Là bộ giao thức mới độc lập với bộ giao thức IPv4, IPv6 có các tính năng nổi bật sau:

- Với địa chỉ sử dụng 128 bít, gấp 4 lần chiều dài bít của địa chỉ IPv4 nên đã mở rộng không gian địa chỉ từ khoảng hơn 4 tỷ địa chỉ (4 x 10⁹) lên tới một con số khổng lồ là 2¹²⁸  = 3,4 x 10³⁸ địa chỉ.

- Trong IPv6 có ba loại địa chỉ chính: unicast, multicast, các địa chỉ anycast. Địa chỉ unicast được gán cho một nút IPv6 duy nhất. Địa chỉ multicast được gán cho nhiều nút trong một nhóm multicast. Các gói tin được gửi đến địa chỉ multicast phải được gửi đến tất cả các thành viên của cùng nhóm multicast. Mặt khác, mặc dù các địa chỉ anycast cũng được gán cho  nhóm các nút nào đó, nhưng gói tin không cần phải được gửi đến tất cả các thành viên của nhóm đó, mà chỉ cần một nút nhận gói tin là đủ. Thêm vào đó, IPv6 định nghĩa một cơ sở hạ tầng định tuyến mới, định tuyến  phân cấp, cho phép các bảng định tuyến hiệu quả hơn và nhỏ hơn.

- Tương tự như IPv4, IPv6 cũng cung cấp khả năng cấu hình địa chỉ tự động bởi DHCP, ngoài ra còn đưa thêm khả năng tự động cấu hình địa chỉ khi không có DHCP Server. Trong một mạng, các host có thể tự động cấu hình địa chỉ của nó bằng cách sử dụng IPv6 Prefix nhận được từ router (gọi là địa chỉ link-local). Hơn nữa trong một mạng mà không có router thì host cũng có thể tự động cấu hình địa chỉ link-local để liên lạc với các host khác.

- Phần header của IPv6 được đưa thêm một số trường mới. Trường nhãn luồng (Flow Label) ở IPv6 header được dùng để đánh nhãn cho các luồng dữ liệu. Từ đó các router có thể có những xử lý khác nhau với các gói tin thuộc các luồng dữ liệu khác nhau. Do trường Flow Label nằm trong IPv6 header nên QoS vẫn được đảm bảo khi phần tải trọng được mã hóa bởi IPSec. Phần Header của IPv6 được giảm xuống tới mức tối thiểu bằng việc chuyển tất cả các trường phụ thuộc hoặc không cần thiết xuống phần header mở rộng nằm ngay sau phần header của IPv6 Việc tổ chức hợp lý phần header này làm tăng hiệu quả xử lý tại các router trung gian.

- IPv6 có kiến trúc bảo mật bên trong: Các công nghệ IPSec, đảm bảo tính riêng tư, xác thực và  toàn vẹn dữ liệu tất cả đều được hợp nhất trong IPv6. Trước đó do mang theo các nguy cơ tiềm ẩn như malware, gói tin IPv4 ICMP  thường bị chặn bởi chương trình tường lửa, nhưng với gói tin ICMPv6 sẽ được tường lửa chấp nhận vì công nghệ IPSec được đưa vào bên trong các gói tin ICMPv6.

- IPv6 có khả năng mở rộng bằng việc sử dụng phần header mở rộng ngay sau phần IPv6 header. Điều này cho phép thêm vào các chức năng mạng mới. Không giống như IPv4, phần lựa chọn chỉ có 40 byte thì với IPv6, phần mở rộng chỉ bị hạn chế bởi kích thước của gói tin IPv6.

Những cải thiện bảo mật trong giao thức IPv6

Với các đặc điểm nổi bật, IPv6 cho phép cải thiện được vấn đề bảo mật tốt hơn, bao gồm:

- Ngăn chặn được một số kiểu tấn công nhờ không gian địa chỉ lớn: Kiểu tấn công quét cổng (port scanning) là một trong những kỹ thuật thăm dò nổi tiếng nhất được sử dụng ngày nay. Kiểu tấn công này cho phép kẻ tấn công lắng nghe các dịch vụ cụ thể (cổng). Trong các mạng IPv4, quét cổng là một công việc tương đối đơn giản. Hầu hết các phân đoạn IPv4 sử dụng địa chỉ lớp C, với 8 bit dành cho địa chỉ host. Tuy nhiên trong mạng IPv6, mạng con IPv6 sử dụng 64 bit để phân bổ các địa chỉ máy chủ. Do đó, việc quét một không gian địa chỉ lớn như vậy là khó có thể thực hiện được.

- Bảo mật hơn nhờ tính năng tự động cấu hình và phát hiện hàng xóm của IPv6: phát hiện hàng xóm (ND) là cơ chế chịu trách nhiệm về bộ định tuyến và phát hiện tiền tố, địa chỉ lặp và phát hiện khả năng không vào được mạng, phát hiện tham số, và độ phân giải địa chỉ lớp liên kết. Giao thức này là hoàn toàn dựa trên lớp mạng. ND hoạt động song song với cấu hình tự động, đó là cơ chế được sử dụng bởi các nút IPv6 để yêu cầu thông tin cấu hình có trạng thái hoặc thông tin cấu hình không trạng thái. Ở chế độ không trạng thái, tất cả các nút nhận được những gì chúng cần cho việc truyền thông toàn cầu, bao gồm cả những thông tin không đúng. Trong chế độ trạng thái, thông tin cấu hình có thể được cung cấp có chọn lọc, làm giảm khả năng bị đánh lừa. Cả ND và cấu hình địa chỉ tự động góp phần làm cho IPv6 an toàn hơn so với IPv4.  Ngoài ra, trường TTL của IPv6 có giá trị lên đến 255, do đó nó ngăn chặn chống lại các tấn công bên ngoài của các gói ND hoặc địa chỉ  trùng lặp.

- Hỗ trợ IPsec trong tất cả các node: IPsec bao gồm một tập các giao thức mã hóa để cung cấp bảo mật cho dữ liệu. IPsec là một khung các tiêu chuẩn mở để đảm bảo truyền thông riêng tư và xác thực trên các mạng công cộng. Nó đã trở thành giao thức bảo mật lớp mạng phổ biến nhất, thường được sử dụng trong IPv4 để tạo ra các mạng riêng ảo (VPN) hoặc để cung cấp truy cập từ xa an toàn đến một mạng riêng. IPsec là một bộ hoàn chỉnh các dịch vụ bảo mật giao thức tại tầng IP. Nó có thể cung cấp chứng thực thực thể, bảo mật, xác thực nguồn gốc dữ liệu, phát hiện lặp, và bảo vệ tính toàn vẹn dữ liệu. IPsec bao gồm các thành phần dưới đây:

- Liên kết bảo mật (SA). Mỗi trường hợp của IPsec có một cơ sở dữ liệu liên kết bảo mật (SAD) của các kết nối IPsec, được gọi là liên kết bảo mật. SA mô tả các điểm đầu cuối của kết nối bảo mật, chính xác loại bảo vệ được cung cấp, các tham số bảo mật và các khóa, thời gian hết hạn, và nhãn (chỉ số tham số bảo mật hay SPI) để xác định các gói dữ liệu được bảo vệ với mỗi SA.

- Hai giao thức bảo mật: Tiêu đề xác thực (AH) và ESP (Encapsulating Security Payload). AH có thể cung cấp bảo vệ tính toàn vẹn và bảo vệ việc lặp lại cho dữ liệu và tiêu đề gói tin, nhưng nó không thể mã hóa chúng. ESP có thể cung cấp bảo vệ mã hóa, tính toàn vẹn, bảo vệ việc lặp lại cho các gói tin, nhưng nó không thể bảo vệ IP header ngoài cùng, trong khi AH có thể. Bảo vệ này là không cần thiết trong nhiều trường hợp. Theo đó, ESP được sử dụng thường xuyên hơn AH vì khả năng mã hóa của nó, cũng như các ưu điểm hoạt động khác.

- Giao thức trao đổi khóa Internet (IKEv1 hoặc IKEv2). IPsec sử dụng các giao thức IKEv1 hoặc IKEv2 để xác thực các điểm đầu cuối với nhau, định nghĩa các tham số bảo mật của các kết nối IPsec được bảo vệ; đàm phán và thiết lập các liên kết bảo mật IPsec; đàm phán khóa bảo mật; và quản lý, cập nhật, và xóa các liên kết bảo mật IPsec.

- Điều khiển truy nhập. Thành phần cần thiết của IPsec để xác định và thực thi bảo vệ thích hợp. Vì vậy, việc triển khai IPsec bao gồm một cơ sở dữ liệu chính sách bảo mật (SPD) và bộ lọc gói tin để bảo vệ, cho qua, hoặc giảm lưu lượng truy cập như quy định trong chính sách bảo mật.

- Giao thức nén tải tin IP (IPComp). Một cách tùy chọn, IPsec có thể nén tải tin gói dữ liệu trước khi mã hóa chúng.

Cụ thể, bộ IPSec đưa ra ba khả năng chính bao gồm :

Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and data integrity). IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.

Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén.

Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu.

Các vấn đề bảo mật còn tồn tại trong IPv6

Từ quan điểm về bảo mật, ngăn xếp giao thức IPv6 là một bước tiến đáng kể so với chồng giao thức IPv4 cũ. Tuy nhiên, mặc dù có nhiều ưu điểm, IPv6 vẫn còn tồn tại một số vấn đề bảo mật. Cụ thể  một số vùng của IPv6 nơi mà bảo mật vẫn là một vấn đề cần quan tâm, bao gồm:

- Các vấn đề liên quan đến Dual-stack: Hiện nay, Internet tiếp tục chủ yếu dựa trên IPv4. Tuy nhiên, hy vọng rằng kịch bản này sẽ thay đổi ngay sau khi rất nhiều mạng được chuyển đổi sang ngăn xếp giao thức mới. Hàng triệu mạng chuyển đổi sẽ mất một thời gian khá dài. Trong khi đó, một số hình thức chuyển đổi dual-stack sẽ được sử dụng. Việc sử dụng ngăn xếp hai giao thức IPv6-IPv4 sẽ làm tăng khả năng bị tấn công, đây là một hệ quả của việc có hai cơ sở hạ tầng với các vấn đề bảo mật khác nhau. Tuy nhiên, hầu hết các vấn đề này không phải là kết quả trực tiếp của lỗi trong thiết kế IPv6, mà là kết quả của sự không tương thích và của việc cấu hình sai.

- Các vấn đề liên quan đến việc sử dụng header: Việc sử dụng các tiêu đề mở rộng (EH) và IPSec có thể ngăn chặn một số nguồn tấn công phổ biến. Việc sử dụng này được thực hiện bằng cách sử dụng tiêu đề IPv6. Tuy nhiên, thực tế là EH phải được xử lý bởi tất cả các thiết bị, đây có thể là một nguồn gốc của các tấn công, ví dụ một chuỗi dài EH hoặc một số các gói có kích thước lớn đáng kể có thể được sử dụng để làm tràn ngập các nút nào đó (ví dụ, các bức tường lửa) hoặc giả mạo một cuộc tấn công.

- Giả mạo (snoofing) tiếp tục là một nguy cơ trong mạng IPv6. Tuy nhiên, do ND, snoofing chỉ có thể xảy ra cho các nút trên cùng một phân đoạn mạng.

- Các vấn đề về làm tràn: Việc quét các địa chỉ và các dịch vụ hợp lệ là khó khăn hơn trong các mạng IPv6. Như đã đề cập ở trên, để có thể quét hiệu quả một phân đoạn IPv6 có thể mất đến 580 tỷ năm, vì không gian địa chỉ sử dụng 128 bit. Tuy nhiên, không gian địa chỉ lớn hơn không có nghĩa là IPv6 là hoàn toàn bất khả xâm phạm trong các kiểu tấn công này. Cũng không thiếu các địa chỉ quảng bá làm cho IPv6 an toàn hơn. Các đặc tính mới như các địa chỉ multicast cũng làm cho IPv6 mất an toàn. Kiểu tấn công Smurf vẫn có thể xảy ra đối với lưu lượng multicast.