Tri thức chuyên ngành

Đào Trung Thành 

Giới thiệu

Giao thức mới IPv6 (Internet Protocol version 6) có những cải tiến đáng kể, giải quyết nhiều vấn đề tồn tại về mặt bảo mật trong giao thức IPv4 cũ. Việc tích hợp giao thức IPSec (IP security) là bắt buộc trong IPv6, điều này khiến cho giao thức IPv6 trở nên an toàn hơn giao thức IPv4 cũ.

Tuy nhiên, bên cạnh tính mềm dẻo, giao thức IPv6 cũng đặt ra một số vấn đề bảo mật mới. Giao thức IP di dộng (Mobile IP protocol) được xây dựng trên giao thức IPv6 nhưng giải pháp cho vấn đề bảo mật của giao thức này vẫn đang được phát triển. Hơn nữa, tính năng mềm dẻo trong việc cấu hình động (Stateless Address Auto-Configuration) cũng gây ra vấn đề bảo mật nghiêm trọng nếu như thiết lập  cấu hình không đúng. Mặc dù về mặt tổng quan, giao thức IPv6 đã tăng cường bảo mật cho toàn bộ hệ thống mạng dựa trên TCP/IP nhưng kẻ tấn công vẫn có khả năng khai thác các phần khác trong giao thức.

Bài viết này sẽ tập trung vào vài khía cạnh được nâng cao về mặt bảo mật của giao thức IPv6 so với IPv4 và các nguy cơ vẫn tồn tại đối với giao thức IPv6 mới này.

Ảnh minh họa: pcworld.com

Giao thức IP thịnh hành là IPv4 được phát triển từ thập kỷ 1970. Giao thức này có nhiều giới hạn về không gian địa chỉ cấp phát và thiếu tính năng bảo mật. Vì vậy IETF (Internet Engineering Task Force) đã phát triển một phiên bản mới để khắc phục các khuyết điểm của phiên bản cũ đồng thời nâng cao hiệu suất, tiện lợi trong việc cấu hình, quản trị. Các chỉ tiêu kỹ thuật cơ bản của giao thức mới được đề cập trong nhiều RFC (Request for Comment) như  RFC  2460 [1]  (IPv6  Protocol),  RFC  4861 [2] (IPv6  Neighbour  Discovery), RFC  4862 [3] (IPv6  Stateless Address  Auto-Configuration), RFC  4443 [4] (Internet  Control Message Protocol  for  IPv6  (ICMPv6)), RFC 4291 [5] (IPv6 Addressing Architecture), and RFC 4301[6] (Security Architecture  for  IP or IPsec). IPv6 được coi như giao thức IP thế hệ sau (next generation IP - IPng). Có sự khác nhau rõ rệt giữa các header của IPv6 (Hình 1) và IPv4 (Hình 2).

Hình 1: Header của IPv6

 Hình 2: Header của IPv4

 Một số tính năng cải tiến tiêu biểu so với IPv4 được giới thiệu trong IPv6 như sau:

- Định dạng header mới

- Không gian địa chỉ lớn hơn (128 bit so với 32 bit của IPv4)

- Việc đánh địa chỉ và sử dụng trong hệ thống định tuyến có cấu trúc và hữu hiệu hơn

- Tự động cấu hình địa chỉ

- IP security bắt buộc

-  Hỗ trợ QoS (Quality of Service) tốt hơn

- Có giao thức tương tác với node lân cận (neighbouring node interaction)

- Khả năng mở rộng

 Từ các tính năng tiêu biểu trên, IPv6 đã cải thiện, nâng cao bảo mật so với IPv4:

Không gian địa chỉ lớn

Điều này khiến cho kỹ thuật quét cổng (port scanning) dùng bởi kẻ tấn công như là một công cụ tìm hiểu, thu thập mạng trở nên tốn kém, mất nhiều thời gian hơn. Ước tính mất khoảng 10 giờ với băng thông đủ rộng có thể quét toàn bộ không gian địa chỉ IPv4 (32 bit) để tìm các địa chỉ đang trực tuyến hay đang được sử dụng.  Thời gian dùng để quét sẽ gia tăng đáng kể khi không gian địa chỉ đã mở rộng từ 32 bit sang 128 bit. Đó thực sự là một rào cản với kẻ tấn công muốn thu thập các địa chỉ trực tuyến bằng phương pháp quét cổng. Tuy nhiên, không có sự khác về mặt kỹ thuật quét cổng trong hai giao thức IPv6 và IPv4 ngoại trừ một không gian địa chỉ cần quét quá lớn trong IPv6. Cho nên, các biện pháp phòng chống port scanning trong IPv4 như lọc (filter) địa chỉ nội mạng (internal- use address) ở bộ định tuyến ngoại biên hay lọc các dịch vụ không dùng tại các tường lửa (firewall) vẫn tiếp tục sử dụng trong mạng IPv6.

Địa chỉ được tạo mã hóa (Cryptographically Generated Address)

Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi một địa chỉ IP. Địa chỉ này được gọi là  địa chỉ được tạo mã hóa CGA (Cryptographically Generated Address) [7]. Tính năng này gia tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router discovery mechanism) cho pháp người dùng cuối cung cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình. Tính năng này hoản toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau:

-  CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn hơn

-  Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử

- Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng

IP Security

IP Security [8] hay ngắn gọn IP Sec cung cấp các dịch vụ mã hóa chất lượng cao, tương thích với nhiều hệ thống và hoạt động ở lớp IP (IP layer). IP Sec là tùy chọn trong IPv4 nhưng là bắt buộc trong IPv6. IP sec tăng cường tính năng bảo mật cho lớp IP nguyên thủy bằng cách cung cấp tính năng xác thực (authenticity), tính nguyên vẹn (integrity), tính bí mật (confidentiality) và điều khiển truy nhập (access control) thông qua việc sử dụng hai giao thức AH (Authentication header) và ESP (Encapsulating Security Payload).

Thay thế ARP (Address Resolution Protocol) bằng ND (Neighbourhood Discovery)

Trong IPv4, địa chỉ lớp 2 (L2) không được rằng buộc trực tiếp với địa chỉ lớp 3. Kết nối giữa hai địa chỉ L2, L3 này phải thông qua một giao thức tên là ARP (address Resolution Protocol). Giao thức này có nhiệm vụ ánh xạ địa chỉ L3 thành các địa chỉ L2 cục bộ tương ứng. ARP có nhiều vấn đề bảo mật trong quá khứ, như giả  ARP (ARP spoofing) chẳng hạn. Trong IPv6, ARP không cần thiết nữa bởi vì phần xác định giao diện ID (Interface Identifier) của địa chỉ L3 của IPv6 được suy ra trực tiếp từ L2 của thiết bị (MAC address). Địa chỉ L3 cùng với phần ID đặc trưng của thiết bị được dùng ở phạm vi toàn cục (global level) trong mạng IPv6. Kết quả là các vấn đề bảo mật liên quan đến ARP đã được giải quyết trong IPv6. Giao thức ND được mô tả trong RFC 4861 [2] (Neighbourhood Discovery) thay thế ARP trong IPv6.

Các tấn công ở IPv4 vẫn tiếp tục xảy ra tại IPv6

Mặc dù có nhiều tính năng bảo mật được tăng cường, nhưng IPv6 không thể giải quyết tất cả các tồn tại trong IPv4. Giao thức IPv6 không thể ngăn được các cuộc tấn công ở lớp trên lớp mạng (network layer). Các cuộc tấn công có thể là:

 -  Tấn công ở lớp ứng dụng: các cuộc tấn công ở lớp 7 mô hình OSI như tràn bộ đệm (buffer overflow), virus, mã độc, tấn công ứng dụng web,…

-  Tấn công brute-force hay dò mật khẩu trong các mô-đun xác thực

-  Thiết bị giả (rogue device) : các thiết bị đưa vào mạng nhưng không được phép. Các thiết bị này có thể là một máy PC, một thiết bị chuyển mạch (switch), định tuyến (router), server DNS, DHCP hay một thiết bị truy cập mạng không dây (Wireless access point),…

- Tấn công từ chối dịch vụ: vẫn tiếp tục tồn tại trong IPv6

- Tấn công sử dụng quan hệ xã hội (Social Engineering): lừa lấy mật khẩu, ID,email spamming, phishing,…

Chuyển tiếp từ IPv4 sang IPv6

Có nhiều công cụ cho phép ứng dụng IPv4 chạy trên mạng cung cấp dịch vụ IPv6 và ngược lại, ứng dụng IPv6 chạy trên mạng cung cấp dịch vụ IPv4. Tuy nhiên, kẻ tấn công có thể thực hiện việc khai thác lỗ hổng này nếu vấn đề bảo mật không được chú trọng, xem xét kỹ lưỡng.

Nhiều kỹ thuật cho phép chuyển tiếp lưu lượng từ hai mạng IPv4, IPv6 sang nhau như 6to4 (định nghĩa trong RFC 3056 [9]), Simple  Internet Transition (SIT) [10], và  IPv6 over UDP  (như là Teredo [11]). Trong các mạng chuyển tiếp lưu lượng IPv6 trên IPv4, nhiều tường lửa cho phép lưu lượng UDP đi qua, cho phép lưu lượng IPv6 over UDP xuyên qua tường lửa mà người quản trị không hề hay biết. Kẻ tấn công có thể lợi dụng các đường hầm 6to4 (6to4 tunnel) để lẩn tránh, vượt qua hệ thống phát hiện truy nhập trái phép IDS (Intrusion Detection System). Vài hệ thống tường lửa cũ chỉ cho phép lọc các lưu lượng IPv4 mà không có khả năng lọc các lưu lượng IPv6 và đơn giản là cho qua tất cả các lưu lượng IPv6 này. Do đó kẻ tấn công cũng có thế tận dụng các nhược điểm nêu trên để tấn công hệ thống bằng việc dùng các gói tin IPv6.

Đối với việc bảo mật của các máy chủ (host security), cần phải nhận thức rằng các ứng dụng vẫn tiếp tục bị tấn công, dễ bị tổn thương trong mạng hỗn hợp IPv4-IPv6 (IPv4-IPv6 mixed networks). Vì vậy nếu lưu lượng cần thiết bị chặn thì lưu lượng này nhất thiết cần bị chặn trên cả hai hệ thống IPv4 và IPv6 và trên tất cả các thiết bị bảo mật như tường lửa, IDS, VPN, etc.

Tóm lại, phiên bản mới của giao thức IP đã cải tiến nhiều tính năng bảo mật. Tuy nhiên, IPv6 cũng đặt ra các vấn đề bảo mật mới và cần phải được tiếp tục nghiên cứu và hoàn thiện nhằm đáp ứng các áp lực gia tăng về an ninh, an toàn dữ liệu trong không gian điều khiển.

Tài liệu tham khảo

 [1]. http://tools.ietf.org/html/rfc2460

 [2]. http://tools.ietf.org/html/rfc4861

 [3]. http://tools.ietf.org/html/rfc4862

 [4]. http://tools.ietf.org/html/rfc4443

 [5] http://tools.ietf.org/html/rfc4291

 [6] http://tools.ietf.org/html/rfc4301

 [7] http://www.ietf.org/rfc/rfc3972.txt

 [8] http://tools.ietf.org/html/rfc4301

 [9] http://tools.ietf.org/html/rfc3056

 [10] http://playground.sun.com/ipv6/ipng-transition.html

 [11] http://www.microsoft.com/technet/network/ipv6/teredo.mspx

Ảnh: 

(ICTPress) - Internet mang lại rất nhiều tiện ích nhưng đồng thời cũng mang lại những hiểm họa, đặc biệt là từ những trang web có nội dung xấu. Làm thế nào để ngăn chặn việc truy cập những nội dung xấu trên Internet là vấn đề đang thu hút sự quan tâm của các nhà quản lý và của cả xã hội ở Việt Nam nói riêng và ở nhiều quốc gia trên thế giới nói chung.

Hai chuyên gia nổi tiếng của Liên bang Nga trong lĩnh vực an ninh thông tin là tiến sĩ Igor Ashmanov và bà Natalya Kaspersky đã có một số hội thảo về chủ đề này tại Hà Nội. Bài viết giới thiệu một số nội dung đã được trình bày và bàn luận tại các hội thảo đó.

Kỷ nguyên kỹ thuật số

Trong kỷ nguyên mới của truyền thông kỹ thuật số, công cụ sử dụng để xây dựng các nội dung số có công năng ngày càng mạnh và có giá thành ngày càng rẻ. Internet cùng với các công nghệ mới, các phương tiện thông tin và truyền thông di động, đang tạo ra một hệ thống thông tin toàn cầu có khả năng tạo lập, chia sẻ và tham gia vào những gì đang diễn ra của cuộc sống, cho phép con người đưa tin tức, suy nghĩ, ý tưởng, hình ảnh đi bất cứ đâu, vào bất kỳ thời điểm nào. Hệ thống thông tin Internet bao gồm rất nhiều mạng máy tính của các doanh nghiệp, viện nghiên cứu, trường đại học, chính phủ và người dùng cá nhân trên toàn cầu. Hệ thống này cung cấp một khối lượng thông tin và dịch vụ khổng lồ. Những người dùng Internet bình thường có thể công bố trực tuyến những tác phẩm của mình dưới nhiều hình thức, có cả âm thanh và hình ảnh, đó là một trong những lý do thúc đẩy sự ra đời và phát triển nhanh chóng của các trang web cá nhân, các mạng xã hội...

Tờ báo tường đa quốc gia

Internet ngày càng trở nên gắn bó mật thiết với đời sống hằng ngày của tất cả chúng ta. Nhờ có Internet, mỗi cá nhân có thể trình diễn những tác phẩm của mình cho các độc giả trên khắp thế giới. Có thể hình dung Internet như một tờ báo tường khổng lồ, đa quốc gia; nơi mà bất cứ cá nhân hay tổ chức nào đều có thể tự do viết tin bài.

Đặc điểm của tờ báo tường đa quốc gia này là:

Số lượng người viết và nội dung cá nhân. Số lượng người viết đã lên tới hàng trăm triệu và con số này vẫn không ngừng tăng lên. Một số lượng rất lớn nội dung trên Internet được hình thành bởi những cá nhân cụ thể. Đó là nhật ký (blog), phương tiện truyền thông tư nhân, các trang web cá nhân trong các mạng xã hội v.v... Trong khá nhiều trường hợp, người viết trên Internet giấu danh tính thật của mình khi tham gia viết trên Internet.

Sự công khai nội dung và dễ dàng sao chép. Bất kỳ ý kiến, tác phẩm, văn bản, hình ảnh, video nào trên Internet đều có thể được truy cập dễ dàng và không hạn chế về đối tượng. Việc sao chép nội dung cũng rất dễ dàng với vài thao tác đơn giản như nhấp chuột hay bàn phím.

Dung lượng thông tin khổng lồ và  không có ranh giới địa lý. Hiện nay, theo các ước tính khác nhau dung lượng Internet toàn cầu là từ 50 đến 100 tỷ trang.

Trách nhiệm với xã hội

Cũng chính sự phát triển mạnh mẽ và rộng rãi của Internet, giờ đây tất cả những người sử dụng Internet đều biết rằng Internet mang lại rất nhiều tiện ích nhưng đồng thời cũng mang lại những hiểm họa, đặc biệt là từ những trang web có nội dung xấu. Ai sẽ chịu trách nhiệm về vấn đề này - đó là câu hỏi đang được đặt ra ở nhiều quốc gia.

Các nước Tây Âu và Mỹ: Các nhà cung cấp dịch vụ Internet chịu trách nhiệm cho việc truy cập hoặc cung cấp chỗ lưu trữ nội dung, và sẽ chấm dứt việc lưu trữ nội dung theo yêu cầu của tòa án hoặc cơ quan quản lý, các hoster được miễn trách nhiệm truy tố vì nội dung xấu.

Trung Quốc: Các ISP và các web-hoster chịu trách nhiệm về nội dung xấu trong các kênh truyền thông hoặc trên các máy chủ của mình. Điều này có nghĩa là các đối tượng này phải có nghĩa vụ thực hiện các hoạt động tìm kiếm những nội dung xấu này. Các nhà cung cấp dịch vụ hosting chịu trách nhiệm về nội dung cùng với các chủ sở hữu trang web và phải tự giám sát các nội dung được đăng tải trên hệ thống của mình. Tuy nhiên, chính phủ giúp giảm nhẹ gánh nặng giám sát nội dung của các hoster bằng cách cung cấp và thường xuyên cập nhật danh sách các “từ xấu” không được phép đăng tải trên các phương tiện truyền thông đại chúng và cả các trang web. Danh sách này có thể được tải về từ website của chính phủ và người ta có thể sử dụng một phần mềm đơn giản để kiểm tra sự có mặt hay không của các “từ xấu” trên các trang web.

Một số nước Ả Rập: Các ISP đang bị buộc phải lắp đặt các bộ lọc mạng (tường lửa) cho phép ngăn chặn truy cập vào "website xấu".

Một số phương pháp ngăn chặn truy cập nội dung xấu trên Internet

Làm thế nào để ngăn chặn việc truy cập tới những nội dung xấu trên Internet đã và đang trở thành vấn đề được quan tâm không chỉ của các nhà quản lý, các chính trị gia, các doanh nhân mà là vấn đề của xã hội. Sau đây là nguyên lý, cơ chế hoạt động của các bộ lọc trang tin điện tử (web-filter) và một số phương án triển khai:

Ảnh minh họa: english.aljazeera.net

Nguyên lý và cơ chế hoạt động

Các bộ lọc trang tin điện tử được dùng để ngăn chặn người sử dụng Internet truy cập tới những nội dung xấu. Đứng từ góc độ người sử dụng, bộ lọc này giống như một web-proxy mà tất cả lưu lượng web phải đi qua. Bộ lọc phân tích và rút ra từ nội dung trang web những tổ hợp từ quan trọng, tính toán hệ số phù hợp và chủ đề của nó. Mỗi trang web đều được gắn với một hoặc nhiều chủ đề khác nhau. Bộ lọc thực hiện việc tự động phân loại các trang web, có nghĩa là nó nhận biết được nội dung của từng trang web.

Mỗi trang web được yêu cầu đều được kiểm tra sự xuất hiện của những nội dung không mong muốn. Sau đó hệ thống sẽ xem xét để ra quyết định – cho phép, ngăn chặn hiển thị trang web hay thực hiện những hành động khác (cảnh báo, chuyển hướng). Khi trang web được yêu cầu lại, bộ lọc không truy cập Internet nữa. Điều này giúp tiết kiệm băng thông cũng như đẩy nhanh tốc độ truy cập. Đối với mỗi người sử dụng hoặc nhóm người sử dụng, dịch vụ cho phép xây dựng các ”chính sách lọc”.

Tiêu chí lọc

Sau đây là một số tiêu chí trong việc lọc:  

- Trang web thuộc một chủ đề xác định

- Trang web thuộc một phân loại lĩnh vực xác định

- Trang web có chứa đường dẫn tới những địa chỉ xấu

- Trang web có chứa trích dẫn tới những nội dung xấu

- Trang web có quảng cáo ép buộc hoặc spam

- Trang web có chứa virus hoặc mã độc

Căn cứ trên các tiêu chí này, việc lọc sẽ được tiến hành theo một số quy tắc như: Chủ đề bị cấm, các website bị cấm, các loại giao thức bị cấm (video, torrents)... Cụ thể, một số biện pháp sẽ được thực hiện như: Cấm vô điều kiện, cho phép hiển thị trang web, cảnh báo người sử dụng, ngăn chặn/thay đổi một số thành phần trang web, hạn chế theo thời gian...

Các phương án triển khai:

Có 3 phương án triển khai việc lọc các trang tin điện tử, đó là: Bộ lọc web trung tâm; Bộ lọc cho doanh nghiệp (gateway, appliance) và Bộ lọc cho máy tính cá nhân.

Phương án 1: Bộ lọc web trung tâm

Cluster gồm hàng trăm/nghìn máy chủ, dùng để lọc nội dung của hàng triệu người sử dụng, bao gồm:

- Người dùng cá nhân,

- Người dùng là tổ chức (trường học, cơ quan nhà nước, các công ty);

- Các dịch vụ truy cập Internet đại chúng (ISP, Internet Café, quán Internet).

Với phương án này, nhìn từ góc độ người dùng, bộ lọc web giống như một web proxy duy nhất.

Một số thông số kỹ thuật được đưa ra để tham khảo cho phương án này:

- Hiệu suất cho một Node của cluster:  50Mbit/giây.

- Cấu hình: Cluster có cấu hình phân tán, các node của cluster độc lập với nhau.

- Cập nhật dữ liệu và phần mềm: tự động và độc lập, không ảnh hưởng tới hệ thống. Việc cập nhật nhiều lần trong một giờ.

- Dung lượng: Để lọc cho một triệu người dùng (10Gbit/sec) cần khoảng từ 150-200 server và các thiết bị mạng.

Phương án 2: Bộ lọc quy mô doanh nghiệp

Bộ lọc nội dung sử dụng cho mạng nội bộ của bất cứ một tổ chức nào.

- Thành phần: Máy chủ đặt tại cửa ra vào của mạng nội bộ của một tổ chức, hoạt động giống như proxy cho tất cả người sử dụng mạng doanh nghiệp; được quản lý bởi quản trị viên hệ thống.

- Hình thức cung cấp: Một máy chủ được cài đặt và cấu hình với đầy đủ các phần mềm cần thiết. Để hoạt động chỉ cần thực hiện việc cấu hình rất đơn giản và lựa chọn các chính sách lọc nội dung.

- Cập nhật phần mềm và dữ liệu tự động theo một lịch trình định trước.

- Dịch vụ có thể được thực hiện theo hình thức trả phí thuê bao hàng tháng (bao gồm giá thuê thiết bị và chi phí cập nhật phần mềm, dữ liệu).

Phương án 3: Bộ lọc cho PC

- Thành phần: Phần mềm dành cho các cá nhân, CSDL lọc được cập nhật từ hệ thống máy chủ trung tâm.

- Phần mềm được cài đặt cùng với máy tính mới khi xuất xưởng, hoặc phần mềm được bán với giá thành thấp để các đại lý bán hàng và người sử dụng cài đặt trước khi sử dụng.

- Việc phát triển và hỗ trợ cho một sản phẩm phần mềm riêng biệt như vậy cho các loại hệ điều hành khác nhau là một công việc khá phức tạp. Có thể thay thế bằng cách sử dụng dịch vụ bộ lọc web trung tâm với việc cấu hình lại proxy trên trình duyệt.

Kinh nghiệm thực tế

Kinh nghiệm thực tế triển khai tại Liên bang Nga và các quốc gia khác cho thấy mỗi nhóm người sử dụng có thể lựa chọn phương án triển khai và sử dụng những tính năng kỹ thuật của dịch vụ web-filter một cách phù hợp nhất theo nhu cầu của mình. Thời gian tới, phiên bản tiếng Việt của bộ lọc web sẽ có mặt tại Việt Nam, với các thiết kế được chỉnh sửa để phù hợp với cácđiều kiện Việt Nam. Điều đó sẽ góp phần thúc đẩy sự phát triển và làm lành mạnh môi trường Internet.

 Nguyễn Minh

Ảnh: