HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

TRỊNH NGỌC TÂN

VẤN ĐỀ AN TOÀN MẠNG TRONG QUÁ TRÌNH CHUYỂN ĐỔI TỪ
IPV4 SANG IPV6
Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 60.52.02.08 TÓM TẮT LUẬN VĂN THẠC SĨ



MỞ ĐẦU
Như chúng ta đã biết, ngay từ khi ra đời, giao thức IP đã thể hiện được những ưu
điểm của nó nhằm đáp ứng được nhu cầu kết nối và truyền tải thông tin của người sử dụng.
Và điều này làm cho số lượng thiết bị sử dụng giao thức IP ngày càng gia tăng. Hiện tại,
giao thức IPv4 với không gian địa chỉ 32 bit đã không thể đáp ứng được với tốc độ ra đời
của các thiết bị mới, dẫn tới kho địa chỉ đang dần cạn kiệt. Giao thức IPv6 ra đời đã khắc
phục được tình trạng thiếu địa chỉ của giao thức IPv4. Tuy nhiên, vào thời điểm hiện tại,
giao thức IPv6 vẫn chưa được sử dụng rộng rãi và còn đang trong quá trình chuyển đổi từ
IPv4. Quá trình chuyển đổi này khá phức tạp và nảy sinh ra nhiều vấn đề cần phải giải
quyết. Một trong những vấn đề quan trọng đó là làm sao để đảm bảo độ an toàn và bảo mật
của mạng trong quá trình chuyển đổi. Nhận thấy đây là một vấn đề hay, mang nhiều yếu tố
cấp thiết nên cần phải nghiên cứu kịp thời để có thể ứng dụng vào quá trình chuyển đổi sang
IPv6 ở Việt Nam. Vì các lý do đó nên tôi đã chọn “Vấn đề an toàn mạng trong quá trình
chuyển đổi IPv4 sang IPv6” làm đề tài nghiên cứu trong luận văn.
Nội dung luận văn bao gồm:
Chương 1: Tổng quan về IPv4 và IPv6. Nội dung trình bày tổng quan về cấu trúc,
đặc điểm trong bảo mật của IPv4 và IPv6.
Chương 2: Quá trình chuyển đổi từ IPv4 sang IPv6. Trình bày một số phương pháp
chuyển đổi và quá trình chuyển đổi.
Chương 3: Một số vấn đề về an toàn mạng trong quá trình chuyển đổi từ IPv4 sang
IPv6. Phân tích vấn đề an toàn mạng trong quá trình chuyển đổi từ IPv4 sang IPv6 để thấy
được các vấn đề cần phải quan tâm trong quá trình chuyển đổi và tiếp đến là triển khai IPv6.
Trong quá trình làm luận văn, do gặp nhiều khó khăn và hạn chế về mặt kiến thức
nên không tránh khỏi thiếu sót. Tôi xin trân thành cảm ơn sự hướng dẫn tận tình của TS.
Trịnh Anh Tuấn - người đã giúp tôi hoàn thành luận văn này.
2

CHƯƠNG 1: TỔNG QUAN VỀ IPv4 VÀ IPv6
Tổng quan về IPv4
1.1.

anycast được giao. Để tạo điều kiện giao tiếp, tầng cơ sở định tuyến phải biết được các giao
3

diện được giao và “khoảng cách” về số liệu định tuyến. Hiện nay, các địa chỉ anycast được
sử dụng như địa chỉ đích và chỉ được giao cho các router.
Cấu trúc gói tin
1.2.3.
Cấu trúc gói tin IPv6 gồm 3 phần: IPv6 Header, Extension Headers và Upper Layer
Protocol Data Unit [8]

Hình 1.4: Cấu trúc gói tin IPv6
 IPv6 Header - Đây là thành phần luôn phải có trong 1 gói tin IPv6 và chiếm cố định
40 bytes.
 Extension Headers - Trường Header mở rộng có thể có hoặc không với độ dài không
cố định. Trường Next Header trong Header của 1 gói tin IPv6 sẽ chỉ ra phần Header
mở rộng tiếp theo.
 Upper Layer Protocol Data Unit (PDU) - Thường bao gồm header của giao thức tầng
cao và độ dài của nó.
 Payload của 1 gói tin IPv6 thường là sự kết hợp của các header mở rộng và PDU.
Thông thường nó có thể lên tới 65,535 byte. Với các gói tin nặng hơn 65,535 byte thì
có thể dùng tùy chọn Jumbo Payload để gửi thông qua phương thức Hop-by-Hop.
4

Cấu trúc header
1.2.4.
So sánh giữa IPv4 và IPv6
1.3.
So sánh về cấu trúc
1.3.1.
So sánh về an ninh

5

Qua nội dung của chương một, chúng ta đã có cái nhìn tổng quát về cấu trúc địa chỉ,
sự giống và khác nhau về cấu trúc, anh ninh trong mạng IPv4 và mạng IPv6. Từ đó thấy
được những ưu thế khi sử dụng IPv6.
Có rất nhiều giải pháp được đưa ra để thực hiện chuyển đổi từ IPv4 sang IPv6. Tuy
nhiên, quá trình chuyển đổi diễn ra rất phức tạp vì mạng Internet rất rộng lớn. Ta sẽ tìm hiểu
các phương thức chuyển đổi từ IPv4 sang IPv6 trong chương II của luận văn.
CHƯƠNG 2: QUÁ TRÌNH VÀ CÁC PHƯƠNG PHÁP CHUYỂN
ĐỔI TỪ IPv4 SANG IPv6
Hiện nay, đa số các thiết bị trên mạng Internet đều sử dụng IPv4. Các thiết bị tham
gia vào mạng Internet có các đặc điểm rất khác nhau. Vì đặc điểm rộng lớn và đa dạng đó
nên cũng hình thành các phương pháp chuyển đổi rất khác nhau. Tuy nhiên, khi triển khai
IPv6 ta không thể bỏ ngay các thiết bị cũ vẫn còn đang sử dụng được. Do đó, việc triển khai
IPv6 cần phải có tính tương thích ngược. Trong chương này, ta sẽ cùng tìm hiểu các vấn đề
và phương pháp chuyển đổi từ IPv4 sang IPv6.
Vấn đề khi chuyển sang IPv6
2.1.
Việc chuyển đổi toàn bộ sang IPv6 sẽ rất phức tạp. Ban đầu, sẽ phải hình thành một
cầu nối giữa 2 môi trường mạng là rất quan trọng bởi chưa thể thay đổi ngay trên diện rộng.
Các thiết bị đầu cuối cần phải chạy các node dual-stack hoặc chuyển đổi sang hệ thống
IPv6. Hiện tại, các giao thức mới ra đời hỗ trợ các IPv4 tương thích. Nó có dạng là một địa
chỉ IPv6 và sử dụng địa chỉ IPv4 nhúng. Tạo một đường hầm (tunnel) là bước quan trọng
trong quá trình thiết lập sao cho thỏa mãn các yêu cầu:
 Dịch vụ IPv4 hiện tại không bị gián đoạn gây ra nhiều bất lợi.
 Các dịch vụ trên nền IPv6 cũng phải thực hiện tương tự như các dịch vụ trên IPv4.
 Dịch vụ phải được quản lý và có thể theo dõi được.
 Phải đảm bảo an toàn mạng khi chuyển đổi.
 Phải có kế hoạch phân bổ địa chỉ IPv6 phù hợp.
Từ đó xây dựng một số liên kết mạng thông dụng như sau:


Chuyển đổi trực tiếp
2.3.2.
Giao thức chuyển đổi trạng thái/giao thức thông điệp điều khiển
2.3.2.1.
(SIIT)
Bump in the Stack (BIS)
2.3.2.2.

Hình 2.4: Kiến trúc BIS
Kết quả trao đổi dữ liệu cho các ứng dụng IPv4 trong máy chủ BIS giao tiếp với một
ứng dụng IPv6 được thể hiện như trong Hình 2.5:

Hình 2.5: Trạng thái xử lý trong BIS
Quá trình xử lý của các module theo trình tự như sau:
(1). Các ứng dụng IPv4 yêu cầu các địa chỉ IPv4 của máy chủ đích.
(2). Bộ phận phân giải tên chặn các yêu cầu của cả IPv4 và IPv6.
8

(3). DNS trả về địa chỉ IPv6 của đích đến.
(4). Các yêu cầu phân giải tên và nhận được một địa chỉ IPv4 từ một bộ đệm duy trì bởi
các ánh xạ địa chỉ.
(5). Phân giải tên trả về địa chỉ IPv4 cho các ứng dụng IPv4 để sử dụng cho quá trình
truyền tin tiếp theo.
(6). Bộ chuyển đổi nhận được gói tin IPv4 từ ứng dụng.
(7). Các yêu cầu chuyển đổi sang IPv6 gắn liền trong các gói tin IPv4 và thực hiện
chuyển đổi IPv4-to-IPv6.
(8). Các gói tin IPv6 được chuyển tiếp đến máy chủ phía đích.
Bump in the API (BIA)
2.3.2.3.

vào mạng IPv6 một cách tự động tạo đường hầm IPv6 thông qua IPv4 để đi sang IPv6
router (như địa chỉ next-hop) ISATAP kết nối các node IPv6 riêng biệt trong các trang web
IPv4 bằng cách tạo đường hầm tự động.
Teredo
2.4.6.
Teredo là một công nghệ chuyển tiếp IPv6, cung cấp việc cấp phát địa chỉ và host-to-
host từ đường hầm tự động cho lưu lượng IPv6 unicast khi các máy chủ IPv6/IPv4 được đặt
phía sau một hay nhiều địa chỉ chuyển đổi mạng IPv4 (NAT).
Kiến trúc
2.4.6.1.
Xử lý cấu hình địa chỉ và định địa chỉ Teredo
2.4.6.2.
Kết luận chương
2.5.
IPv6 tuy không còn là điều mới mẻ, nhưng do vấn đề liên quan tới quá trình lịch sử
nên phần lớn các thiết bị hiện nay vẫn còn đang sử dụng địa chỉ IPv4. Vấn đề cần giải quyết
đó là khi nâng cấp lên IPv6 thì sẽ xử lý các thiết bị và mạng lưới sẽ hoạt động ra sao?
chuyển đổi như thế nào ?
Thông qua các vấn đề đã tìm hiểu và trình bày ở trên ta đã phần nào nắm được các
phương pháp chuyển đổi chính, mỗi phương pháp đều có những đặc điểm khác nhau để phù
hợp với từng cấu trúc và đặc điểm mạng khác nhau. Có phương pháp thì phù hợp để kết nối
10

mạng đường trục, có phương pháp thì chỉ thích hợp để xử lý giao tiếp với các máy chủ dịch
vụ. Việc chọn lựa phương pháp nào sẽ phụ thuộc vào các yêu cầu được đặt ra. Tuy nhiên thì
vẫn phải đảm bảo các yêu cầu cơ bản như:
 IPv6 và IPv4 phải tương thích với nhau.
 Việc sử dụng các máy chủ IPv6 và bộ định tuyến phải được sử dụng rộng rãi trên
Internet sao cho thật đơn giản và tiên tiến, ít phụ thuộc lẫn nhau.
 Người quản trị mạng và người dùng đầu cuối không phải cấu hình một cách thủ

Bản thân IPsec là một cấu trúc giao thức cung cấp phương thức mã hóa trong các
mạng IP, nó bao gồm hai thành phần đó là mã hóa và công nghệ xác thực. Kỹ thuật này đã
được triển khai rộng rãi trên mạng IPv4 và được sử dụng để tăng cường bảo mật cho mạng
VPN trên Internet.
12

Cấu trúc IPsec
3.2.1.
3.2.1.1. Tiêu đề mở rộng

Hình 3.2: Kiến trúc IPsec
 AH được thiết kế để sao cho có thể cung cấp dữ liệu được toàn vẹn khi kết nối và
dịch vụ sẽ chứng thực được nguồn gốc dữ liệu cho các gói tin IP để bảo vệ chống lại
các cuộc tấn công nghe lén. AH cung cấp tính toàn vẹn nhưng không mang tính bảo
mật. AH có thể được sử dụng riêng hoặc kết hợp với giao thức IPsec ESP, hoặc là sử
dụng lồng nhau trong cùng một đường hầm. Dịch vụ bảo mật có thể được cung cấp
giữa 2 giao tiếp máy chủ, giao tiếp qua các port bảo mật hay giữa một máy chủ với
một gateway.
 ESP có thể cung cấp các dịch vụ bảo mật tương tự như AH hoặc cung cấp dịch vụ
bảo mật dữ liệu. ESP có khả năng cung cấp bảo mật và đảm bảo xác thực. Sự khác
nhau chính giữa ESP và AH là mức độ rủi ro. ESP không bảo vệ các phần của tiêu đề
IP trừ khi chúng được đóng gói bởi AH. ESP có thể cung cấp bảo mật (mã hóa), cung
cấp tính toàn vẹn kết nối, chứng thực nguồn gốc dữ liệu. Trong ESP có sử dụng thuật
toán mã hóa để mã hóa tải trọng gói nhằm cung cấp tính bảo mật và sử dụng HMAC
(hàm băm xác thực thông điệp) nhằm kiểm tra tính toàn vẹn của gói tin nhận được.
13

3.2.1.2. Hàm băm xác thực thông điệp
3.2.1.3. Trao đổi khóa (IKE)
3.2.2. Phương thức hoạt động

ẩn trong dual-stack có thể xuất hiện khi:
 Một thiết bị hay phần mềm bảo mật không hỗ trợ cho IPv6.
14

 Nếu thiết bị hay phần mềm đó hỗ trợ cho IPv6 nhưng không phải lúc nào cũng được
cấu hình IPv6 bởi người quản trị không biết phải làm thế nào để cấu hình nó hoặc
thậm chí còn không biết thiết bị hay sản phẩm có chức năng đó.
 Việc hỗ trợ cho IPv6 còn quá mới mẻ nên trong quá trình triển khai có thể sẽ có
những lỗi bảo mật tạo cơ hội cho kẻ tấn công
3.8.1.2. Biện pháp phòng chống
May mắn thay, có rất nhiều cách bảo vệ khi máy chủ chạy dual-stack, có thể thực
hiện một số biện pháp bảo mật sau:
 Sử dụng tường lửa IPv6
 Sử dụng Cisco Agent security (CSA) 6.0
 Sử dụng các chính sách an ninh của Microsoft (GPO)
 Chặn tất cả các luồng lưu lượng IPv6
 Triển khai IPv6 một cách nghiêm ngặt
Kỹ thuật tạo đường hầm tĩnh
3.8.2.
3.8.2.1. Nguy cơ an ninh
Tất cả các cơ chế tạo đường hầm (từ 6in4 cho tới Teredo) về cơ bản không tích hợp
tính năng an ninh như là không xác thực, không kiểm tra tính toàn vẹn và không bảo mật.
Điều này tạo nên nhiều nguy cơ bị tấn công trong đường hầm.
3.8.2.2. Biện pháp phòng chống
 Kiểm tra địa chỉ nguồn IPv4
 Sử dụng kỹ thuật chống nghe lén.
 Sử dụng IPsec
Kỹ thuật tạo đường hầm động
3.8.3.
3.8.3.1. Nguy cơ an ninh

 Vô hiệu hóa Teredo trừ khi tường lửa cá nhân được kích hoạt.
 Hạn chế việc sử dụng Teredo để kết nối tới một node IPv6.
 Vô hiệu hóa Teredo khi thiết bị mạng là một phần của miền thư mục hiện hành.
 Khi triển khai mạng IPv6
16

 Chặn tất cả các gói tin UDP tại biên của mạng (ngoại trừ một số UDP thông dụng
như giao thức đồng bộ giờ và DNS)
 Chỉ chặn các gói UDP Teredo
Kỹ thuật NAT-PT
3.8.6.
3.8.6.1. Nguy cơ an ninh
 Tấn công vào khu vực suy yếu
 Tấn công vào ALG CPU
3.8.6.2. Biện pháp phòng chống
Bởi vì tấn công nghiêm trọng dựa trên từ chối dịch vụ, nên cách để phòng chống và
giảm thiểu nguy cơ là giới hạn tốc độ thực thi trong các thiết bị NAT-PT. Các khu vực yếu
có thể ngăn ngừa bằng cách thực thi nghiêm ngặt việc anti-spoofing trong mạng tới cấp độ
địa chỉ cá nhân (cơ chế giống như việc bảo vệ IP nguồn).
Các nguy cơ tiềm ẩn từ IPv6 đối với mạng IPv4
3.8.7.
3.8.7.1. Nguy cơ an ninh
 Chuyển vùng đến một điểm truy cập không dây hỗ trợ IPv6
 Nhận bản tin giả mạo (RA)
 Sử dụng một địa chỉ định tuyến IPv4
 Sự tồn tại của một DNS trỏ tới isatap.example.org
 Đường hầm Teredo để kết nối tới node IPv6
3.8.7.2. Biện pháp phòng chống
 Nâng cao nhận thức vấn đề an ninh khi triển khai IPv6
 Cấu hình các máy chủ bảo mật cho IPv6

hợp cho từng phương pháp và mô hình mạng cụ thể thì phải kết hợp với IPsec sử dụng các
giao thức mã hóa đủ mạnh để tăng tính bảo mật cũng như xác thực được nguồn tin, đảm bảo
gói tin của người dùng được chuyển đến đúng đích mà không bị rò rỉ bởi những hành động
trái phép.
Trong quá trình tìm hiểu luận văn, bản thân người nghiên cứu nhận ra rằng an ninh
trong IPv6 sẽ không khá hơn IPv4 khi mà các công nghệ và kỹ thuật bảo mật, tường lửa,
phần mềm cũng như phần cứng chỉ là công cụ hỗ trợ cho việc tăng tính bảo mật, chống lại
các mối nguy cơ an ninh từ bên trong hay bên ngoài chứ không thể thay thế hoàn toàn chức
năng của người quản trị mạng hay nhân viên an ninh mạng. Do đó, người quản trị và nhân
viên an ninh phải thường xuyên cập nhật phần mềm và chú ý tới cấu hình hệ thống. Hi vọng
trong thời gian tới, quá trình chuyển đổi sẽ diễn ra hoàn tất và sẽ không cần phải sử dụng
các kỹ thuật chuyển đổi phức tạp nữa.
Từ luận văn này có thể phát triển hướng nghiên cứu sâu hơn, chi tiết hơn về vấn đề
an toàn mạng ở một phương pháp chuyển đổi nào đó và có thể áp dụng để xây dựng các
chương trình quét lỗ hổng bảo mật, xây dựng hệ thống tường lửa một cách tối ưu nhất.

19

Danh mục tài liệu tham khảo:
[1] Data communications, Computer Networks and Open System.
[2] Implementing IPv6 for Cisco IOS Software.
[3] Introduction to IP Version 6, Microsoft Corporation. Published: September 2003.
[4] Tomasz Bilski, Poznan. From IPv4 to IPv6 – Data Security in the Transition Phase.
ICNS 2011: The Seventh International Conference on Networking and Services.
[5] RFC 7123 (IETF). Security Implications of IPv6 on IPv4 Networks,
[6] Handbook of IPv4 to IPv6 transition: methodologies for institutional and corporate
networks / John J. Amoss, Dan Minoli, 2011.
[7] Scott Hogg and Eric Vyncke, Cisco Press IPv6 Security 2009.
[8] Joseph Davies, understanding IPv6, 2003.