HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG







TRỊNH NGỌC TÂN




VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ
IPV4 SANG IPV6



Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 60.52.02.08


TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2014



























































Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


Người hướng dẫn khoa học: TS. TRỊNH ANH TUẤN


Phản biện 1: TS. ĐẶNG HOÀI BẮC
Phản biện 2: PGS.TS. NGUYỄN TIẾN BAN




Luận văn được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ
Bưu chính Viễn thông
Vào lúc: 15 giờ 30 ngày 09 tháng 08 năm 2014.



Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

1


MỞ ĐẦU
Như chúng ta đã biết, ngay từ khi ra đời, giao thức IP đã thể hiện được những ưu
điểm của nó nhằm đáp ứng được nhu cầu kết nối và truyền tải thông tin của người sử dụng.
Và điều này làm cho số lượng thiết bị sử dụng giao thức IP ngày càng gia tăng. Hiện tại,
giao thức IPv4 với không gian địa chỉ 32 bit đã không thể đáp ứng được với tốc độ ra đời
của các thiết bị mới, dẫn tới kho địa chỉ đang dần cạn kiệt. Giao thức IPv6 ra đời đã khắc
phục được tình trạng thiếu địa chỉ của giao thức IPv4. Tuy nhiên, vào thời điểm hiện tại,
giao thức IPv6 vẫn chưa được sử dụng rộng rãi và còn đang trong quá trình chuyển đổi từ
IPv4. Quá trình chuyển đổi này khá phức tạp và nảy sinh ra nhiều vấn đề cần phải giải
quyết. Một trong những vấn đề quan trọng đó là làm sao để đảm bảo độ an toàn và bảo mật
của mạng trong quá trình chuyển đổi. Nhận thấy đây là một vấn đề hay, mang nhiều yếu tố
cấp thiết nên cần phải nghiên cứu kịp thời để có thể ứng dụng vào quá trình chuyển đổi sang
IPv6 ở Việt Nam. Vì các lý do đó nên tôi đã chọn “Vấn đề an toàn mạng trong quá trình
chuyển đổi IPv4 sang IPv6” làm đề tài nghiên cứu trong luận văn.
Nội dung luận văn bao gồm:
Chương 1: Tổng quan về IPv4 và IPv6. Nội dung trình bày tổng quan về cấu trúc,
đặc điểm trong bảo mật của IPv4 và IPv6.
Chương 2: Quá trình chuyển đổi từ IPv4 sang IPv6. Trình bày một số phương pháp
chuyển đổi và quá trình chuyển đổi.
Chương 3: Một số vấn đề về an toàn mạng trong quá trình chuyển đổi từ IPv4 sang
IPv6. Phân tích vấn đề an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6 để thấy
được các vấn đề cần phải quan tâm trong quá trình chuyển đổi và tiếp đến là triển khai IPv6.
Trong quá trình làm luận văn, do gặp nhiều khó khăn và hạn chế về mặt kiến thức
nên không tránh khỏi thiếu sót. Tôi xin trân thành cảm ơn sự hướng dẫn tận tình của TS.
Trịnh Anh Tuấn - người đã giúp tôi hoàn thành luận văn này.
2

CHƯƠNG 1: TỔNG QUAN VỀ IPv4 VÀ IPv6
Tổng quan về IPv4
1.1.

Là giao thức Internet phiên bản 4 (viết tắt IPv4, Internet Protocol version 4) là phiên
bản thứ tư trong quá trình phát triển của các giao thức Internet (IP). Đây là phiên bản đầu
tiên của IP được sử dụng rộng rãi. IPv4 cùng với IPv6 (giao thức Internet phiên bản 6) là
nền tảng cơ bản của giao tiếp Internet. Hiện tại, IPv4 vẫn là giao thức được triển khai rộng
rãi nhất trong bộ giao thức của lớp Internet.
IPv4 là giao thức hướng dữ liệu, được sử dụng cho hệ thống chuyển mạch gói (tương tự như
chuẩn mạng Ethernet). Đây là giao thức truyền dữ liệu hoạt động dựa trên nguyên tắc tốt
nhất có thể, trong đó, nó không quan tâm đến thứ tự truyền gói tin cũng như không đảm bảo
gói tin sẽ đến đích hay việc gây ra tình trạng lặp gói tin ở đích đến.
Cấu trúc địa chỉ IPv4
1.1.1.
Cấu trúc Header
1.1.2.
Tổng quan về IPv6
1.2.
Cấu trúc địa chỉ IPv6
1.2.1.
Các kiểu địa chỉ IPv6
1.2.2.
IPv6 phân ra làm 3 kiểu địa chỉ: unicast, multicast và địa chỉ anycast [8].
Địa chỉ Unicast
Một địa chỉ Unicast xác định một giao diện duy nhất trong phạm vi hoạt động của nó.
Có thể là VoIP, PC trong một mạng LAN.
Địa chỉ multicast
Trong IPv6, multicast hoạt động giống như trong IPv4. Tự đặt các node IPv6 có thể
lắng nghe lưu lượng multicast trên một địa chỉ multicast IPv6 tùy ý. Các node IPv6 có thể
nghe nhiều địa chỉ multicast cùng một lúc.
Địa chỉ Anycast
Một địa chỉ Anycast được giao cho nhiều giao diện. Các gói tin đến một địa chỉ
anycast được chuyển tiếp bởi tầng định tuyến cơ sở tới giao diện gần nhất mà các địa chỉ

anycast được giao. Để tạo điều kiện giao tiếp, tầng cơ sở định tuyến phải biết được các giao
3

diện được giao và “khoảng cách” về số liệu định tuyến. Hiện nay, các địa chỉ anycast được
sử dụng như địa chỉ đích và chỉ được giao cho các router.
Cấu trúc gói tin
1.2.3.
Cấu trúc gói tin IPv6 gồm 3 phần: IPv6 Header, Extension Headers và Upper Layer
Protocol Data Unit [8]

Hình 1.4: Cấu trúc gói tin IPv6
 IPv6 Header - Đây là thành phần luôn phải có trong 1 gói tin IPv6 và chiếm cố định
40 bytes.
 Extension Headers - Trường Header mở rộng có thể có hoặc không với độ dài không
cố định. Trường Next Header trong Header của 1 gói tin IPv6 sẽ chỉ ra phần Header
mở rộng tiếp theo.
 Upper Layer Protocol Data Unit (PDU) - Thường bao gồm header của giao thức tầng
cao và độ dài của nó.
 Payload của 1 gói tin IPv6 thường là sự kết hợp của các header mở rộng và PDU.
Thông thường nó có thể lên tới 65,535 byte. Với các gói tin nặng hơn 65,535 byte thì
có thể dùng tùy chọn Jumbo Payload để gửi thông qua phương thức Hop-by-Hop.
4

Cấu trúc header
1.2.4.
So sánh giữa IPv4 và IPv6
1.3.
So sánh về cấu trúc
1.3.1.
So sánh về an ninh

1.3.2.
Giống nhau
1.3.2.1.
Khác nhau
1.3.2.2.
Những thay đổi về mức độ an ninh
1.3.3.
Các vấn đề và giải pháp
1.4.
Những hạn chế của IPv4
1.4.1.
Thiếu địa chỉ IP
Quá nhiều các routing entry (bản ghi định tuyến)
Vấn đề an ninh mạng
Nhu cầu vấn đề đảm bảo chất lượng dịch vụ QoS
Các ưu thế khi sử dụng IPv6
1.4.2.
Sử dụng định dạng Header mới
Không gian địa chỉ lớn
Khả năng tự động cấu hình (Autoconfiguration)
Khả năng bảo mật tốt hơn
Khả năng quản lý định tuyến tốt hơn
Dễ dàng thực hiện multicast và hỗ trợ tốt hơn cho di động
Hỗ trợ cho quản lý chất lượng mạng QoS
Kết luận chương
1.5.
IPv4 ra đời từ rất sớm, đóng vai trò quan trọng trong việc hình thành và vận hành
Internet. Nhưng đến nay, với sự phát triển mạnh mẽ của các thiết bị mới ra đời. Đòi hỏi
nhiều không gian địa chỉ hơn, chất lượng dịch vụ cao hơn, độ bảo mật và an toàn thông tin
phải được đảm bảo.

5

Qua nội dung của chương một, chúng ta đã có cái nhìn tổng quát về cấu trúc địa chỉ,
sự giống và khác nhau về cấu trúc, anh ninh trong mạng IPv4 và mạng IPv6. Từ đó thấy
được những ưu thế khi sử dụng IPv6.
Có rất nhiều giải pháp được đưa ra để thực hiện chuyển đổi từ IPv4 sang IPv6. Tuy
nhiên, quá trình chuyển đổi diễn ra rất phức tạp vì mạng Internet rất rộng lớn. Ta sẽ tìm hiểu
các phương thức chuyển đổi từ IPv4 sang IPv6 trong chương II của luận văn.
CHƯƠNG 2: QUÁ TRÌNH VÀ CÁC PHƯƠNG PHÁP CHUYỂN
ĐỔI TỪ IPv4 SANG IPv6
Hiện nay, đa số các thiết bị trên mạng Internet đều sử dụng IPv4. Các thiết bị tham
gia vào mạng Internet có các đặc điểm rất khác nhau. Vì đặc điểm rộng lớn và đa dạng đó
nên cũng hình thành các phương pháp chuyển đổi rất khác nhau. Tuy nhiên, khi triển khai
IPv6 ta không thể bỏ ngay các thiết bị cũ vẫn còn đang sử dụng được. Do đó, việc triển khai
IPv6 cần phải có tính tương thích ngược. Trong chương này, ta sẽ cùng tìm hiểu các vấn đề
và phương pháp chuyển đổi từ IPv4 sang IPv6.
Vấn đề khi chuyển sang IPv6
2.1.
Việc chuyển đổi toàn bộ sang IPv6 sẽ rất phức tạp. Ban đầu, sẽ phải hình thành một
cầu nối giữa 2 môi trường mạng là rất quan trọng bởi chưa thể thay đổi ngay trên diện rộng.
Các thiết bị đầu cuối cần phải chạy các node dual-stack hoặc chuyển đổi sang hệ thống
IPv6. Hiện tại, các giao thức mới ra đời hỗ trợ các IPv4 tương thích. Nó có dạng là một địa
chỉ IPv6 và sử dụng địa chỉ IPv4 nhúng. Tạo một đường hầm (tunnel) là bước quan trọng
trong quá trình thiết lập sao cho thỏa mãn các yêu cầu:
 Dịch vụ IPv4 hiện tại không bị gián đoạn gây ra nhiều bất lợi.
 Các dịch vụ trên nền IPv6 cũng phải thực hiện tương tự như các dịch vụ trên IPv4.
 Dịch vụ phải được quản lý và có thể theo dõi được.
 Phải đảm bảo an toàn mạng khi chuyển đổi.
 Phải có kế hoạch phân bổ địa chỉ IPv6 phù hợp.
Từ đó xây dựng một số liên kết mạng thông dụng như sau:

 Lớp IP kép (hay còn gọi là dual stack): một kỹ thuật cho việc cung cấp hỗ trợ cho cả
2 giao thức IP trên Internet là IPv4 và IPv6.
6

 Liên kết đường hầm thủ công: là liên kết điểm-điểm, đường hầm được thực hiện bởi
dạng đói gói tin IPv6 trong phần tiêu đề của IPv4 để thực hiện truyền trên cơ sở hạ
tầng của mạng IPv4.
 Liên kết đường hầm tự động: là một kỹ thuật sử dụng địa chỉ IPv4 tương thích để tạo
liên kết đường hầm tự động truyền gói tin IPv6 trên mạng IPv4.
Giai đoạn chuyển đổi và các phương pháp chuyển đổi
2.2.
Mặc dù hầu hết các vấn đề và khía cạnh của IPv6 đã được xác định rõ ràng trong một
khoảng thời gian nhưng việc triển khai IPv6 đang được diễn ra dần dần vì cấu trúc mạng
Internet rất phức tạp và rộng lớn. Ban đầu, IPv6 sẽ được triển khai trong một khu vực cô lập
với các khu vực khác [6].
IETF (Internet Engineering Task Force) đã xác định một số lượng cụ thể các kỹ thuật
để hỗ trợ chuyển đổi sang IPv6. Các kỹ thuật này được phân loại như sau:
 Dual stack
 Chuyển đổi trực tiếp
 Kết nối đường hầm (hay nói cách khác là đóng gói)
Lưu ý rằng có thể sử dụng nhiều hơn một phương pháp trong quá trình truyền. Ví dụ
như một hệ thống thiết bị đầu cuối hoặc một router có thể tạo ra một “đường hầm” IPv6-in-
IPv4, bao gồm cả kỹ thuật dual-stack và kỹ thuật đường hầm.
Các phương pháp chuyển đổi
2.3.
IPv6/IPv4 dual-stack
2.3.1.

Hình 2.1: Hệ thống đầu cuối sử dụng kỹ thuật chuyển đổi dual-stack
7


Chuyển đổi trực tiếp
2.3.2.
Giao thức chuyển đổi trạng thái/giao thức thông điệp điều khiển
2.3.2.1.
(SIIT)
Bump in the Stack (BIS)
2.3.2.2.

Hình 2.4: Kiến trúc BIS
Kết quả trao đổi dữ liệu cho các ứng dụng IPv4 trong máy chủ BIS giao tiếp với một
ứng dụng IPv6 được thể hiện như trong Hình 2.5:

Hình 2.5: Trạng thái xử lý trong BIS
Quá trình xử lý của các module theo trình tự như sau:
(1). Các ứng dụng IPv4 yêu cầu các địa chỉ IPv4 của máy chủ đích.
(2). Bộ phận phân giải tên chặn các yêu cầu của cả IPv4 và IPv6.
8

(3). DNS trả về địa chỉ IPv6 của đích đến.
(4). Các yêu cầu phân giải tên và nhận được một địa chỉ IPv4 từ một bộ đệm duy trì bởi
các ánh xạ địa chỉ.
(5). Phân giải tên trả về địa chỉ IPv4 cho các ứng dụng IPv4 để sử dụng cho quá trình
truyền tin tiếp theo.
(6). Bộ chuyển đổi nhận được gói tin IPv4 từ ứng dụng.
(7). Các yêu cầu chuyển đổi sang IPv6 gắn liền trong các gói tin IPv4 và thực hiện
chuyển đổi IPv4-to-IPv6.
(8). Các gói tin IPv6 được chuyển tiếp đến máy chủ phía đích.
Bump in the API (BIA)
2.3.2.3.


Hình 2.6: Kiến trúc của BIA
Giao thức chuyển đổi địa chỉ mạng
2.3.2.4.
Các giao thức địa chỉ mạng NAT-PT (network address translation – protocol
translation) sử dụng một tiêu đề IPv4/IPv6 để chuyển đổi trạng thái tại biên của mạng phần
tiếp giáp của IPv4 với IPv6. Cơ chế hoạt động tương tự như IPv4 NAT. IPv4 NAT sẽ
chuyển đổi IPv4 cần xử lý vào một bộ đệm. NAT-PT sử dụng bộ đệm đó giao cho các node
IPv6 trên cơ sở như các proxy cho IPv6. Một trong những lợi ích của NAT-PT là không làm
thay đổi yêu cầu đến máy chủ hiện tại vì tất cả các NAT-PT được thực hiện ngay tại thiết bị
NAT-PT [6].
9

Tạo đường hầm (Tunneling)
2.4.
Tạo đường hầm là một kỹ thuật thường được sử dụng trong quá trình đóng gói trên
đường truyền. Cho phép truyền tải đơn vị dữ liệu sau khi được đóng gói trên các giao thức
của mạng truyền tải chung.
Tạo đường hầm tĩnh
2.4.1.
Tạo đường hầm tự động
2.4.2.
Chuyển đổi 6over4
2.4.3.
Chuyển đổi 6to4
2.4.4.
Giao thức định địa chỉ đường hầm tự động (ISATAP)
2.4.5.
ISATAP (Intrasite Automatic Tunnel Addressing Protocol), chức năng chính của
ISATAP là để cho phép máy chủ chứa nhiều IPv4 đi ra khỏi một router IPv6 và tham gia

vào mạng IPv6 một cách tự động tạo đường hầm IPv6 thông qua IPv4 để đi sang IPv6
router (như địa chỉ next-hop) ISATAP kết nối các node IPv6 riêng biệt trong các trang web
IPv4 bằng cách tạo đường hầm tự động.
Teredo
2.4.6.
Teredo là một công nghệ chuyển tiếp IPv6, cung cấp việc cấp phát địa chỉ và host-to-
host từ đường hầm tự động cho lưu lượng IPv6 unicast khi các máy chủ IPv6/IPv4 được đặt
phía sau một hay nhiều địa chỉ chuyển đổi mạng IPv4 (NAT).
Kiến trúc
2.4.6.1.
Xử lý cấu hình địa chỉ và định địa chỉ Teredo
2.4.6.2.
Kết luận chương
2.5.
IPv6 tuy không còn là điều mới mẻ, nhưng do vấn đề liên quan tới quá trình lịch sử
nên phần lớn các thiết bị hiện nay vẫn còn đang sử dụng địa chỉ IPv4. Vấn đề cần giải quyết
đó là khi nâng cấp lên IPv6 thì sẽ xử lý các thiết bị và mạng lưới sẽ hoạt động ra sao?
chuyển đổi như thế nào ?
Thông qua các vấn đề đã tìm hiểu và trình bày ở trên ta đã phần nào nắm được các
phương pháp chuyển đổi chính, mỗi phương pháp đều có những đặc điểm khác nhau để phù
hợp với từng cấu trúc và đặc điểm mạng khác nhau. Có phương pháp thì phù hợp để kết nối
10

mạng đường trục, có phương pháp thì chỉ thích hợp để xử lý giao tiếp với các máy chủ dịch
vụ. Việc chọn lựa phương pháp nào sẽ phụ thuộc vào các yêu cầu được đặt ra. Tuy nhiên thì
vẫn phải đảm bảo các yêu cầu cơ bản như:
 IPv6 và IPv4 phải tương thích với nhau.
 Việc sử dụng các máy chủ IPv6 và bộ định tuyến phải được sử dụng rộng rãi trên
Internet sao cho thật đơn giản và tiên tiến, ít phụ thuộc lẫn nhau.
 Người quản trị mạng và người dùng đầu cuối không phải cấu hình một cách thủ

công, mọi việc đều được tối đa hóa tự động.
Một vấn đề nữa đó là làm sao để đảm bảo an ninh trong mạng khi chuyển đổi, vấn đề này sẽ
được tìm hiểu tiếp theo trong chương 3 của luận văn.
11

CHƯƠNG 3: MỘT SỐ VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ
TRÌNH CHUYỂN ĐỔI TỪ IPV4 SANG IPv6
Trong chương này, chúng ta sẽ xem xét cơ chế bảo mật có thể được sử dụng trong
mạng IPv6 và một số vấn đề về an toàn mạng trong quá trình chuyển đổi, từ đó nghiên cứu
một số giải pháp chung cũng như những giải pháp riêng cho kỹ thuật chuyển đổi khác nhau.
Tính bảo mật và toàn vẹn thông tin trong quá trình chuyển đổi
3.1.
Hình 3.1b minh họa cho khả năng bảo mật và tính toàn vẹn thông tin trong quá trình
chuyển đổi. Quá trình mã hóa hoạt động trong các ngăn xếp giao thức tại một số node. Mặc
dù các ứng dụng yêu cầu tính bảo mật cao, thường xuyên sử dụng liên kết mã hóa ở cấp vật
lý (cụ thể trong các kênh), thì các ứng dụng thương mại lại có xu hướng sử dụng mã hóa
theo kiểu đường hầm sử dụng mạng truyền tải sẵn có (IPsec) hoặc tại lớp truyền tải (qua
Transport layer security – TLS hoặc Secure sockets layer – SSL) [6].
Sức mạnh mã hóa
3.2.
IPsec được định nghĩa trong RFC2401 là một nhân tố cơ bản trong vấn đề an ninh
mạng IPv6 trong bối cảnh yêu cầu toàn vẹn thông tin hiện nay. Các mẫu thiết kế ban đầu
của IP không có phương tiện nào để bảo vệ tính riêng tư cho các gói tin truyền đi trên mạng.
Do đó, tổ chức IETF đã xây dựng một thành phần bổ sung vào giao thức và được tùy chọn
chèn vào gói tin IP nhằm cung cấp tính bảo mật và toàn vẹn thông tin. IPsec không phải là
một giao thức duy nhất mà là một khung tham chiếu bao gồm nhiều tùy chọn khác nhau để
mã hóa và chứng thực cho gói tin IP. IPsec cũng không trực tiếp thực hiện bất kỳ một thuật
toán mã hóa cụ thể nào, nó được để mở để sao cho có thể thêm các thuật toán mã hóa mới
vào mà không cần phải thay thế toàn bộ giao thức. Kiến trúc của IPsec ban đầu được tạo ra
vào cuối năm 1998 và sau đó cập nhật vào cuối năm 2005 [4].

Bản thân IPsec là một cấu trúc giao thức cung cấp phương thức mã hóa trong các
mạng IP, nó bao gồm hai thành phần đó là mã hóa và công nghệ xác thực. Kỹ thuật này đã
được triển khai rộng rãi trên mạng IPv4 và được sử dụng để tăng cường bảo mật cho mạng
VPN trên Internet.
12

Cấu trúc IPsec
3.2.1.
3.2.1.1. Tiêu đề mở rộng

Hình 3.2: Kiến trúc IPsec
 AH được thiết kế để sao cho có thể cung cấp dữ liệu được toàn vẹn khi kết nối và
dịch vụ sẽ chứng thực được nguồn gốc dữ liệu cho các gói tin IP để bảo vệ chống lại
các cuộc tấn công nghe lén. AH cung cấp tính toàn vẹn nhưng không mang tính bảo
mật. AH có thể được sử dụng riêng hoặc kết hợp với giao thức IPsec ESP, hoặc là sử
dụng lồng nhau trong cùng một đường hầm. Dịch vụ bảo mật có thể được cung cấp
giữa 2 giao tiếp máy chủ, giao tiếp qua các port bảo mật hay giữa một máy chủ với
một gateway.
 ESP có thể cung cấp các dịch vụ bảo mật tương tự như AH hoặc cung cấp dịch vụ
bảo mật dữ liệu. ESP có khả năng cung cấp bảo mật và đảm bảo xác thực. Sự khác
nhau chính giữa ESP và AH là mức độ rủi ro. ESP không bảo vệ các phần của tiêu đề
IP trừ khi chúng được đóng gói bởi AH. ESP có thể cung cấp bảo mật (mã hóa), cung
cấp tính toàn vẹn kết nối, chứng thực nguồn gốc dữ liệu. Trong ESP có sử dụng thuật
toán mã hóa để mã hóa tải trọng gói nhằm cung cấp tính bảo mật và sử dụng HMAC
(hàm băm xác thực thông điệp) nhằm kiểm tra tính toàn vẹn của gói tin nhận được.
13

3.2.1.2. Hàm băm xác thực thông điệp
3.2.1.3. Trao đổi khóa (IKE)
3.2.2. Phương thức hoạt động

IPsec có thể được triển khai trên nhiều loại liên kết. Cả ESP và AH có thể được sử
dụng cho yêu cầu bảo mật từ đầu đến cuối hay chỉ trong một đoạn trong quá trình truyền dữ
liệu qua đường hầm. Dưới đây là ba phương thức hoạt động của IPsec [7]:
 Host-to-host (chế độ truyền tải).
 Gateway-to-gateway (chế độ đường hầm).
 Host-to-gateway (truy cập từ xa qua VPN và là một trường hợp đặc biệt trong chế độ
đường hầm).
Mô hình bảo mật end-to-end
3.3.
Vấn đề ICMPv6
3.4.
Máy chủ xác thực và người dùng ẩn danh
3.5.
Lỗi phần mềm trong triển khai IPv6
3.6.
Mobile IP
3.7.
Vấn đề về an ninh và biện pháp phòng chống khi sử dụng các kỹ thuật
3.8.
chuyển đổi
Kỹ thuật dual-stack
3.8.1.
3.8.1.1. Nguy cơ an ninh
Vấn đề chính của dual-stack trên các máy chủ là IPv6 được kích hoạt một cách mặc
định trên một số hệ điều hành (trên cả Windows, Mac OS X và các hệ điều hành Linux).
Thế nhưng, các chính sách bảo mật và an ninh không được kích hoạt một cách mặc định,
nếu nhà quản trị không có kinh nghiệm hoặc lơ đễnh trong việc cấu hình bảo mật thì sẽ tạo
nên một lỗ hổng về bảo mật rất lớn [7].
Vấn đề thứ hai nguy hiểm hơn, đó là ngay cả khi một mạng không dây chạy trên nền
IPv6 thì dual-stack trên host được mở tự do cho các cuộc tấn công cục bộ. Mối đe dọa tiềm

ẩn trong dual-stack có thể xuất hiện khi:
 Một thiết bị hay phần mềm bảo mật không hỗ trợ cho IPv6.
14

 Nếu thiết bị hay phần mềm đó hỗ trợ cho IPv6 nhưng không phải lúc nào cũng được
cấu hình IPv6 bởi người quản trị không biết phải làm thế nào để cấu hình nó hoặc
thậm chí còn không biết thiết bị hay sản phẩm có chức năng đó.
 Việc hỗ trợ cho IPv6 còn quá mới mẻ nên trong quá trình triển khai có thể sẽ có
những lỗi bảo mật tạo cơ hội cho kẻ tấn công
3.8.1.2. Biện pháp phòng chống
May mắn thay, có rất nhiều cách bảo vệ khi máy chủ chạy dual-stack, có thể thực
hiện một số biện pháp bảo mật sau:
 Sử dụng tường lửa IPv6
 Sử dụng Cisco Agent security (CSA) 6.0
 Sử dụng các chính sách an ninh của Microsoft (GPO)
 Chặn tất cả các luồng lưu lượng IPv6
 Triển khai IPv6 một cách nghiêm ngặt
Kỹ thuật tạo đường hầm tĩnh
3.8.2.
3.8.2.1. Nguy cơ an ninh
Tất cả các cơ chế tạo đường hầm (từ 6in4 cho tới Teredo) về cơ bản không tích hợp
tính năng an ninh như là không xác thực, không kiểm tra tính toàn vẹn và không bảo mật.
Điều này tạo nên nhiều nguy cơ bị tấn công trong đường hầm.
3.8.2.2. Biện pháp phòng chống
 Kiểm tra địa chỉ nguồn IPv4
 Sử dụng kỹ thuật chống nghe lén.
 Sử dụng IPsec
Kỹ thuật tạo đường hầm động
3.8.3.
3.8.3.1. Nguy cơ an ninh

Để inject được các gói tin vào một đường hầm được cấu hình, kẻ tấn công phải có
hiểu biết về các địa chỉ IPv4 của thiết bị đầu cuối đường hầm và các địa chỉ IPv6. Với
đường hầm động, các thiết bị đầu cuối đường hầm phải chấp nhận lưu lượng truy cập từ bất
15

cứ nơi nào tiến hành việc đóng gói trong môi trường IPv4. Vì vậy, bên cạnh việc sử dụng
IPsec, một số ít có thể vượt qua và thực hiện việc tấn công chuyển tiếp IPv4-IPv6 [7].
3.8.3.2. Biện pháp phòng chống
 Thông báo địa chỉ anycast chỉ với một phần các thiết bị mạng được ủy quyền
 Sử dụng ACL tại chuyển tiếp 6to4 để chặn tất cả các giao thức 41,
ISATAP
3.8.4.
3.8.4.1. Nguy cơ an ninh
Đường hầm sử dụng ISATAP tương tự như đường hầm 6to4 vì nó cũng là một loại
đường hầm động. Do đó nó cũng dễ bị tổn thương trước các cuộc tấn công mạng.
3.8.4.2. Biện pháp phòng chống
Tuy rằng kịch bản tấn công này khó diễn ra và ảnh hưởng của nó cũng không phải là
nghiệm trọng, nếu hacker có thể trỏ đến bộ nhớ cache của một máy chủ DNS thì cũng có thể
làm với hàng chục các máy chủ khác. Như vậy cuộc tấn công có thể diễn ra trên một quy
mô rộng lớn hơn. Tuy nhiên, ta cũng có thể khắc phục những mối đe dọa tiềm ẩn này bằng
cách chặn các lưu lượng truy cập ISATAP.
Teredo
3.8.5.
3.8.5.1. Nguy cơ an ninh
Đường hầm Teredo cũng dễ bị tấn công theo kiểu inject và sử dụng vào mục đích trái
phép. Các giao thức của Teredo gần như không thể đảm bảo Teredo chống lại được những
mỗi đe dọa với IPsec vì IPsec chuyển tiếp được thực hiện một cách tự động và được lựa
chọn bởi các máy chủ IPv6. Vấn đề lớn nhất của Teredo lại là mối đe dọa tiềm ẩn đến từ
IPv6, đặc biệt là trên các hệ điều hành windows
3.8.5.2. Biện pháp phòng chống

 Vô hiệu hóa Teredo trừ khi tường lửa cá nhân được kích hoạt.
 Hạn chế việc sử dụng Teredo để kết nối tới một node IPv6.
 Vô hiệu hóa Teredo khi thiết bị mạng là một phần của miền thư mục hiện hành.
 Khi triển khai mạng IPv6
16

 Chặn tất cả các gói tin UDP tại biên của mạng (ngoại trừ một số UDP thông dụng
như giao thức đồng bộ giờ và DNS)
 Chỉ chặn các gói UDP Teredo
Kỹ thuật NAT-PT
3.8.6.
3.8.6.1. Nguy cơ an ninh
 Tấn công vào khu vực suy yếu
 Tấn công vào ALG CPU
3.8.6.2. Biện pháp phòng chống
Bởi vì tấn công nghiêm trọng dựa trên từ chối dịch vụ, nên cách để phòng chống và
giảm thiểu nguy cơ là giới hạn tốc độ thực thi trong các thiết bị NAT-PT. Các khu vực yếu
có thể ngăn ngừa bằng cách thực thi nghiêm ngặt việc anti-spoofing trong mạng tới cấp độ
địa chỉ cá nhân (cơ chế giống như việc bảo vệ IP nguồn).
Các nguy cơ tiềm ẩn từ IPv6 đối với mạng IPv4
3.8.7.
3.8.7.1. Nguy cơ an ninh
 Chuyển vùng đến một điểm truy cập không dây hỗ trợ IPv6
 Nhận bản tin giả mạo (RA)
 Sử dụng một địa chỉ định tuyến IPv4
 Sự tồn tại của một DNS trỏ tới isatap.example.org
 Đường hầm Teredo để kết nối tới node IPv6
3.8.7.2. Biện pháp phòng chống
 Nâng cao nhận thức vấn đề an ninh khi triển khai IPv6
 Cấu hình các máy chủ bảo mật cho IPv6

 Thay thế các thiết bị hay phần mềm bảo mật không hỗ trợ IPv6.
 Thực hiện một triển khai IPv6 nghiêm túc
 Vô hiệu hóa giao thức ngăn xếp IPv6 trong máy chủ (hoặc ít nhất là trên giao diện
của thiết bị).
17

Kết luận chương
3.9.
Chương ba đã tập trung phân tích các nguy cơ và biện pháp phòng chống về vấn đề
an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6. Vấn đề này có thể được chia
thành hai nhóm: một là nhóm liên quan tới tính năng và triển khai thực hiện IPv6 (các công
cụ mã hóa, mô hình bảo mật, mobile IP, lỗi phần mềm…) và nhóm thứ hai là liên quan đến
các phương pháp chuyển đổi. Việc thực hiện chuyển sang IPv6 không thể thực hiện trong
một sớm một chiều, và IPv4/IPv6 sẽ cùng tồn tại trong nhiều năm trước khi IPv4 được loại
bỏ hoàn toàn. Do đó việc triển khai IPv6 sẽ phải tiến hành đồng thời và quan tâm đúng mức
tới các vấn đề bảo mật. Các sản phẩm cần phải được nâng cấp hoặc cấu hình sao cho phù
hợp, hỗ trợ bởi IPv6 nhằm tăng cường các tính năng bảo mật.

18

KẾT LUẬN
Qua ba chương của luận văn, chúng ta đã hiểu lần lượt các nội dung xoay quanh vấn
đề an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6. Hiện nay, thế giới đã cạn
kiệt không gian địa chỉ IPv4, do đó việc chuyển sang sử dụng IPv6 là điều phải thực hiện
ngay. Tuy nhiên, trong quá trình thực hiện chuyển đổi đã có rất nhiều phương pháp được
đưa ra để bàn luận trong đó có ba phương pháp được chú vì có tính khả thi nhất là chuyển
đổi địa chỉ, sử dụng dual-stack và tạo đường hầm kết nối. Mỗi phương pháp đều có ưu và
nhược điểm riêng, việc lựa chọn phương pháp nào sẽ phụ thuộc vào mục đích và mô hình
mạng cụ thể. Trong quá trình chuyển đổi, xuất hiện nhiều lỗ hổng về bảo mật mà phần lớn
các lỗ hổng đó đến từ chính IPv6, bên cạnh việc thực hiện các biện pháp phòng chống phù

hợp cho từng phương pháp và mô hình mạng cụ thể thì phải kết hợp với IPsec sử dụng các
giao thức mã hóa đủ mạnh để tăng tính bảo mật cũng như xác thực được nguồn tin, đảm bảo
gói tin của người dùng được chuyển đến đúng đích mà không bị rò rỉ bởi những hành động
trái phép.
Trong quá trình tìm hiểu luận văn, bản thân người nghiên cứu nhận ra rằng an ninh
trong IPv6 sẽ không khá hơn IPv4 khi mà các công nghệ và kỹ thuật bảo mật, tường lửa,
phần mềm cũng như phần cứng chỉ là công cụ hỗ trợ cho việc tăng tính bảo mật, chống lại
các mối nguy cơ an ninh từ bên trong hay bên ngoài chứ không thể thay thế hoàn toàn chức
năng của người quản trị mạng hay nhân viên an ninh mạng. Do đó, người quản trị và nhân
viên an ninh phải thường xuyên cập nhật phần mềm và chú ý tới cấu hình hệ thống. Hi vọng
trong thời gian tới, quá trình chuyển đổi sẽ diễn ra hoàn tất và sẽ không cần phải sử dụng
các kỹ thuật chuyển đổi phức tạp nữa.
Từ luận văn này có thể phát triển hướng nghiên cứu sâu hơn, chi tiết hơn về vấn đề
an toàn mạng ở một phương pháp chuyển đổi nào đó và có thể áp dụng để xây dựng các
chương trình quét lỗ hổng bảo mật, xây dựng hệ thống tường lửa một cách tối ưu nhất.

19

Danh mục tài liệu tham khảo:
[1] Data communications, Computer Networks and Open System.
[2] Implementing IPv6 for Cisco IOS Software.
[3] Introduction to IP Version 6, Microsoft Corporation. Published: September 2003.
[4] Tomasz Bilski, Poznan. From IPv4 to IPv6 – Data Security in the Transition Phase.
ICNS 2011: The Seventh International Conference on Networking and Services.
[5] RFC 7123 (IETF). Security Implications of IPv6 on IPv4 Networks,
[6] Handbook of IPv4 to IPv6 transition: methodologies for institutional and corporate
networks / John J. Amoss, Dan Minoli, 2011.
[7] Scott Hogg and Eric Vyncke, Cisco Press IPv6 Security 2009.
[8] Joseph Davies, understanding IPv6, 2003.