MỘT SỐ KHUYẾN CÁO BẢO MẬT TRONG CHUYỂN ĐỔI SANG IPv6
Giao thức IPv6 được phát triển dựa trên nền tảng của IPv4 nên những cơ chế bảo mật cho IPv4 cũng được áp dụng cho IPv6. Song do cấu trúc địa chỉ khác biệt, nhiều tính năng và giao thức mới được bổ sung nên việc bảo mật cho IPv6 có những đặc điểm riêng, cần xem xét và đánh giá kỹ trong quá trình xây dựng giải pháp và triển khai chuyển đổi sang giao thức này.
1. Tổng quan
Tỉ lệ người dùng IPv6 trên thế giới đã vượt qua cột mốc 40% trong năm 2022 và tại Việt Nam đến nay đã hơn 52%. Như vậy số lượng người dùng IPv6 tại Việt Nam đã vượt quá số người dùng chỉ IPv4. Xu thế chuyển đổi sang IPv6 ngày càng diễn ra mạnh mẽ, nhất là trong giai đoạn từ nay cho đến năm 2025. Trước xu thế này, một vấn đề rất quan trọng cần được xem xét chặt chẽ đó là cách thức bảo mật trong công tác chuyển đổi hệ thống sang IPv6.
Giao thức IPv6 được phát triển từ nền tảng của IPv4 với độ dài địa chỉ tăng gấp bốn lần, lên đến 128 bit. Cấu trúc địa chỉ IPv6 gồm hai phần cố định 64 bit.
Hình 1: Cấu trúc và thành phần của địa chỉ IPv6
Với cấu trúc địa chỉ này, một số giao thức và kỹ thuật mới đã được phát triển nhằm hỗ trợ cho IPv6 như SLAAC, Solicited-Multicast, NDP, … Các dịch vụ trước đây như DHCP, DNS … cũng được điều chỉnh để phù hợp với IPv6. Như vậy ngoài những chính sách bảo mật giống như IPv4 thì phải có cơ chế bảo mật phù hợp với đặc tính mới của IPv6 cũng như cho cả các giao thức hỗ trợ cho IPv6. Trước vấn đề này, tổ chức IETF đã đưa ra nhiều khuyến cáo kỹ thuật về bảo mật cho IPv6 như: RFC-4942, RFC-6980, RFC-7123, RFC-7721, RFC-9099 … Những khuyến cáo này phần lớn phân tích sâu cơ chế hoạt động và tính năng kỹ thuật của các các giao thức. Đối với công tác triển khai chuyển đổi IPv6 thì các chuyên viên hay những nhà quản lý cần những khuyến cáo bảo mật mang tính hệ thống và thực tế hơn.
Nội dung sau sẽ trình bày những vấn đề bảo mật cần chú ý nhất trong quá trình trình triển khai thực tế giao thức IPv6.
2. Quy hoạch địa chỉ IP
Mặc định, cấu trúc địa chỉ IPv6 gồm hai phần bằng nhau 64 bit hay nói cách khác địa chỉ IPv6 có Prefix length là /64. Qua quá trình triển khai thực tế, RFC-3177 khuyến cáo với mỗi kết nối trực tiếp điểm-điểm (Point-to-Point) vẫn quy hoạch /64 nhưng chỉ khai báo /126 hoặc /127 trên các thiết bị.
Hình 2: Khuyến cáo quy hoạch địa chỉ IPv6 theo RFC-3177
Điều này là do trường hợp khai báo /64, nếu kẻ xấu cố tình quét (Scan) hay gửi gói tin đến những địa chỉ cùng dãy nhưng không tồn tại thì các Router sẽ lưu (Cache) lại các địa chỉ này với trạng thái INCOMPLETE, dẫn đến làm tràn bộ nhớ đệm và treo cổng kết nối. Vì thế /126 hoặc /127 sẽ giúp hạn chế tình trạng này vì chỉ lưu thông tin của 2 hoặc 4 địa chỉ. Một khuyến cáo khác là quy hoạch /128 cho cổng Loopback, điều này không ảnh hưởng bảo mật nhưng tối ưu cho việc quy hoạch. Tất cả các cổng Loopback đều dùng chung một /64 nhưng khai báo chỉ /128. Cách bảo vệ tốt nhất kiểu tấn công này là kiểm soát quyền truy cập đến các cổng của thiết bị thông qua Access Control List (ACL).
3. Phương án chuyển đổi Dual-Stack
Vì cấu trúc địa chỉ IPv4 và IPv6 không tương thích nhau nên không thể chuyển đổi ngay lập tức toàn bộ hệ thống từ IPv4 sang IPv6. Có nhiều phương án hỗ trợ cho việc chuyển đổi này bao gồm: chạy song song cả 2 giao thức (Dual-Stack), sử dụng cơ chế đường hầm để truyền tải dữ liệu IPv6 qua môi trường IPv4 (Tunneling) và kỹ thuật chuyển đổi địa chỉ giữa hai giao thức (NAT – Network Address Translantion). Trong thực tế phương án Dual-Stack được sử dụng phổ biến nhất, không chỉ cho mạng cố định mà cả mạng di động. Dual-Stack không yêu cầu thay đổi cấu trúc mạng hiện tại, không gây ảnh hưởng các dịch vụ IPv4 đang hoạt động, có thể triển khai theo từng giai đoạn và dễ dàng chuyển đổi sang mạng thuần IPv6 (IPv6 Only).
Hình 3: Phương án triển khai Dual-Stack
Với Dual-Stack các chính sách bảo mật (Policy) cần khai báo cho cả hai giao thức. Chính sách cho IPv6 gần như tương đương với chính sách hiện có của IPv4, chỉ khác địa chỉ đích. Các ACL kiểm soát truy cập trên các thiết bị cũng được nhân đôi. Việc thiếu sót khai báo bảo mật cho IPv6 sẽ gây ra lỗ hổng rất lớn cho hệ thống. Các chính sách bảo mật cho IPv6 cần phải được khai báo trước khi khai báo địa chỉ IPv6 trên các thiết bị. Và một điều nữa, nếu đã sử dụng cơ chế chuyển đổi Dual-Stack thì không nên áp dụng thêm các cơ chế khác vì khó kiểm soát những vấn đề phát sinh và làm phức tạp thêm quá trình chuyển đổi.
4. Phương án chuyển đổi Tunneling
Có một câu nói trong quá trình chuyển đổi IPv6 đó là “Dual stack where you can; tunnel where you must”. Kỹ thuật đường hầm Tunneling không được đánh giá cao so với Dual-Stack vì vẫn sử dụng hạ tầng của mạng IPv4. Ngoài hạn chế này Tunneling cũng tồn tại những vấn đề liên quan đến bảo mật. Một số kỹ thuật như 6to4, 6RD, ISATAP, Teredo … đóng gói dữ liệu IPv6 trong các bản tin IPv4 dẫn đến bản tin IPv6 sẽ không được kiểm soát (Bypass). Các thiết bị bảo mật không thể kiểm tra đồng thời cả hai giao thức. Do đó hệ thống IPv6 bên trong có thể bị tấn công thông qua môi trường IPv4. RFC-3964 đã mô tả rất chi tiết những cách tấn công thông qua 6to4 Tunnel, còn 6RD kế thừa những đặc điểm như của 6to4 nên có chung vấn đề.
Hình 4: Cơ chế tạo Tunnel tự động 6to4
Vì thế nên hạn chế sử dụng cơ chế Tunneling. Nếu cần sử dụng thì chỉ áp dụng ở phạm vi cần thiết và có chính sách bảo mật kỹ lưỡng cho các thiết bị sử dụng IPv6 bên trong.
Trong thực tế kỹ thuật Tunneling được áp dụng nhiều nhất cho mạng chuyển mạch nhãn MPLS (Multiprotocol Label Switching), công nghệ này được áp dụng trong các nhà mạng hay hệ thống mạng MAN tại một số địa phương, tổ chức.
Hình 5: Tunnel và IPv6 trong mạng MPLS
Trong hệ thống mạng MPLS đã sẵn có các Tunnel được thiết lập trên nền IPv4 giữa các Router PE (Provider Edge) nên chỉ cần khai báo Dual-Stack cho các PE này thì dữ liệu IPv6 có thể được truyền tải qua các Tunnel này. Mạng MPLS thường dùng để truyền tải dữ liệu bên trong hơn là phục vụ kết nối ra bên ngoài nên vấn đề bảo mật IPv6 qua các MPLS Tunnel này hoàn toàn phụ thuộc khai báo bảo mật cho IPv4 MPLS VPN, được mô tả trong RFC-4381.
5. Sử dụng mô hình Split DNS
Dịch vụ phân giải tên miền DNS (Domain Name Service) bổ sung thêm một trường mới có tên là AAAA để ánh xạ tên miền sang địa chỉ IPv6. Trong trường hợp một đơn vị có tên miền riêng và có DNS Server chủ quản (Authorize DNS) thì Server này sẽ phục vụ phân giải cho toàn bộ người dùng Internet bên trong và bên ngoài.
Hình 6: Mô hình Split DNS
Nếu đơn vị đó có một số thiết bị chỉ phục vụ cho người dùng bên trong như Email, Active Directory Server, đầu ghi Camera … và muốn truy cập qua tên miền nội bộ thì các tên miền này cũng sẽ được khai báo trên Authorize DNS. Như vậy người dùng bên ngoài có thể nắm được thông tin các hệ thống và dịch vụ bên trong. Những thông tin này có thể phục vụ cho mục đích tấn công bảo mật. Giải pháp Split DNS giúp hạn chế nguy cơ này bằng cách bổ sung thêm một Local DNS bên trong phục vụ cho người dùng nội bộ. Thông tin tên miền của những Server phục vụ nội bộ chỉ được khai báo trên Local DNS mà không khai trên Authorize DNS nên sẽ không bị lộ ra bên ngoài. Mô hình Split DNS này được khuyến cáo áp dụng cho cả hệ thống chạy IPv4 và IPv6.
6. Đào tạo về IPv6
Trên đây là những khuyến cáo chung về bảo mật liên quan phương án triển khai chuyển đổi IPv6. Vấn đề bảo mật cho IPv6 còn liên quan đến từng giao thức, từng loại thiết bị hoặc ứng dụng triển khai trong hệ thống. Chính vì thế cần tìm hiểu thêm những kiến thức này nhằm hạn chế việc khai báo bảo vệ không đầy đủ. Khuyến cáo quan trọng nhất cho công tác chuyển đổi và bảo mật hệ thống IPv6 đó chính là đào tạo trang bị kiến thức về IPv6. Địa chỉ hỗ trợ tốt cho việc này đó là thư viện học liệu mở Internet Academy của Trung tâm Internet Việt Nam (VNNIC) tại https://academy.vnnic.vn/.