Nguy cơ về bảo mật khi chuyển sang địa chỉ IPv6

Cập nhật ngày: 01/12/2011 - 10:49

Nếu chiến lược triển khai IPv6 của bạn hoặc doanh nghiệp đang hoãn thì bạn vẫn nên quan tâm tới bảo mật địa chỉ IPv6 (địa chỉ IP phiên bản 6) từ bấy giờ.Vấn đề bảo mật lớn nhất "lờ mờ" chính là trong các mạng doanh nghiệp đã có hàng nghìn thiết bị đã kích hoạt IPv6. Hầu hết các thiết bị chạy hệ điều hành Windows Vista, Windows 7, Mac OS/X, tất cả thiết bị Linux và BSD.

Không giống như "bậc tiến bối", DHCP (dịch vụ cấp IP tự động) cho IPv4, IPv6 không yêu cầu cấu hình bằng tay. "Tính  năng tự động cấu hình có nghĩa rằng các thiết bị đã kích hoạt IPv6 chỉ cần đợi một router để nhận dạng chúng trong mạng" - Eric Vyncke, Kỹ sư nhận định những hệ thống tại Cisco và là đồng tác giả của ấn bản "IPv6 Security."

Eric cảnh báo rằng "Những routers và switch chỉ hỗ trợ IPv4 sẽ không nhận ra hoặc phản hồi các thông báo tới thiết bị IPv6 nhưng router IPv6 có thể gửi và dịch các luồng gói tin này". Chức năng tự động cấu hình cho phép bất kỳ thiết bị kích hoạt IPv6 nào giao tiếp với các thiết bị mạng và dịch vụ IPv6 khác trong cùng mạng LAN. Để làm điều này, thiết bị "quảng bá" sự có mặt của nó qua IPv6 Neighbor Discovery Protocol (NDP, giao thức tìm các "thiết bị hàng xóm").

Eric cho rằng nguy cơ này là thực sự, "Chúng tôi có quan sát các đối tượng trên toàn cầu, các máy tính ma cũng tăng cường sử dụng IPv6 như là một kênh chuyển đổi để giao tiếp với máy chủ (botmaster)".SEND (SEcure Neighbor Discovery) là giải pháp tới Layer-2 của IPv6 như đánh lừa sử dụng RA and NDP để làm cân bằng các luồng IPv4 để đánh lừa DHCP và ARP. Một vài nhà cung cấp hệ điều hành hỗ trợ SEND trong khi các số khác thì không, kể cả Microsoft và Apple.

Eric chú thích rằng một vài rủi ro về bảo mật IPv6 có thể bắt nguồn từ cầu hình thiết bị cho người dùng cuối, việc cấu hình chính xác sẽ giúp giảm thiểu rất nhiều lỗi bảo mật.

Theo XHTT