Khi các nhà nghiên cứu đưa ra chuẩn IPv4 cho những chiếc máy tính to bằng cả gian nhà, việc sử dụng 32 bits cho việc gán địa chỉ cho các thiết bị mạng là quá đủ cho cả thế giới. Nhưng hiện nay việc sử dụng địa chỉ IP có trên hầu hết các thiết bị, Mobi, Computer, ôtô, thiết bị giải trí ra đình....Các nhà cung cấp dịch vụ đang dần cạn địa chỉ. Việc chuyển sang sử dụng IPv6 là điều buộc phải thực hiện trong tương lai gần. Nhưng ngoài các tính năng ưu việt IPv6 còn có những nhược điểm bảo mật.
Một lỗi xảy ra có thể sẽ bị thổi phồng lên là có thể bị tấn công DoS vào hệ thống mạng và những kỹ sư đã vội vàng loại trừ các khả năng bảo mật.
Vào tuần này, các chuyên gia đã gửi hai bản phác thảo tới tổ chức IETF -- tổ chức về các chuẩn công nghệ -- về các vấn đề liên quan tới Internet -- Và đưa ra những cách khác nhau để vá một lỗi trong chuẩn Internet Protocol version 6 (IPv6) cho phép dữ liệu định tuyến của hệ thống mạng bị khai thác một cách dễ dàng. Bản phác thảo này khuyến cáo trong các thành phần của IPv6 có thể loại tính năng đó hoặc với mặc định là disable.
Và cụ thể vấn đề đó được biết như Type 0 Routing Header (RH0), cho phép các máy tính hỏi truy lấy được một phần bảng định tuyến trên các Routers IPv6. Đầu tiên bạn cứ hình dung như một con đường để người dùng luôn phải di chuyển sẽ luôn giữ một địa chỉ IP cố định cho thiết bị của họ, với tính năng này rất có ý nghĩa. Trong quá trình diễn thuyết tại CanSecWest vào ngày 18 tháng 4, các nhà nghiên cứu Philipppe Biondi và Arnaud Ebalard đã giới thiệu việc RH0 sẽ hỗ trợ kẻ tấn công có khả năng cao trong việc tấn công DoS trên hệ thống sử dụng IPv6.
"Trong điều khoản phác thảo, nó tạo ra tất cả mọi thứ làm cho hệ thống lỗi, và mất nhiều thời gian để lo lắng" Paul Vixie, chủ tịch của Internet Systems Consortium, nói trong một email được phỏng vấn bởi SecurityFocus. "Tôi có thể khai thác thông thông tin từ những đứa trẻ con 13 tuổi khi chúng sử dụng một máy tính Linux".
Việc đưa ra những kết quả bảo mật sẽ thúc đẩy các tổ chức chuyển dần địa giải địa chỉ IPv4 truyền thống sang IPv6. Tổ chức chính phủ Mỹ và nhiều tập đoàn lớn đã nghĩ đến việc phải sử dụng chuẩn địa chỉ mới từ cách đây cả thập kỷ rồi. Văn phòng chính phủ Mỹ và văn phòng quản lý của Nhà Trắng đã thực hiện văn bản yêu cầu các dịch vụ quân sự và các chi nhánh tại các bang thay thế đường truyền backbone sang sử dụng địa chỉ IPv6 từ 30 tháng 6 năm 2008.
Tuy nhiên, chuẩn mới này đã được hỗ trợ rộng lớn từ các thiết bị phần cứng như các Routers và các hệ điều hành. Apple's Mac OS X, Linux và hệ điều hành thế hệ tiếp theo của Microsoft như Vista, Longhorn đã sử dụng chuẩn này như một giao thức mặc định trong hệ thống mạng. Microsoft hỗ trợ việc chuyển gói tin IPv6 bằng cách bao bọc gói tin IPv6 bằng gói tin IPv4, và đây như một đường hầm 6to4, bởi hệ thống mạng sử dụng IPv6 có thể giao tiếp với Internet, nhưng các kẻ tấn công có thể sử dụng công nghệ này để gửi các thông điệp khác nhằm tóm các gói tin được truyền trên mạng.
Việc đưa ra phương pháp bảo mật của RH0 là một vấn đề gốc cho việc triển khai thay thế giao thức cho mạng Internet hiện nay. Cụ thể với IPv4 cho phép người gửi có thể gửi qua một hay nhiều Routers mà gói tin cần phải đi. Con đường mà gói tin đi có thể được hiểu như dữ liệu định tuyến (source routing), công nghệ này cho phép 9 địa chỉ khác nhau trong một Header của gói IPv4's mở rộng, yêu cầu gói tin định tuyến từ các địa chỉ khác nhau. Trong khi dữ liệu định tuyến có thể sử dụng để phân tích, nó cũng có thể sử dụng để tấn công DoS bởi nó sử dụng từ 10 địa chỉ khác nhau, khi thực hiện ping giữa hai máy tính.
Trong khi dữ liệu định tuyến có thể đồng ý là một vấn đề nguy hại với bảo mật của hầu hết các công ty và hầu hết các routers đều cấu hình disable tính năng này một cách mặc định, tổ chức IETF đã không có tính năng disable chức năng này trong phiên bản IPv6. Và điều này đã gây ra khả năng hackers có thể phân tích các dữ liệu định tuyến phân tích cấu trúc của hệ thống mạng các tổ chức, việc tấn công lúc đó sẽ không còn quá khó với tấn công DoS nữa. "IPv6 rất rõ ràng dành mạch về mặt công nghệ, nhưng tôi nghĩ chúng ta còn phải đợi lâu cho việc áp dụng bởi sẽ còn nhiều cái mới cần phải cải tiến nữa" điều này được đưa ra bởi Jose Nazario, một nhà nghiên cứu bảo tại Arbor Networks. "Nó sẽ có một sự cải tổ trong hai năm nữa".
Với IPv6, cho phép người dùng có thể sử dụng vài địa chỉ cho dữ liệu mà họ muốn gửi, đó chính là lỗ hổng của dữ liệu định tuyến bị hổng. Bởi vì sẽ có nhiều địa chỉ có thể chứa bên trong header của gói tin, và có thể khuyếch đại để tấn công khi sử dụng 10 địa chỉ, Biondi và Ebalard tính toán và có thể khuyếch đại tấn công ở con số 88. Thêm vào nữa là RH0 cũng có thể cho phép một kẻ tấn công thành một nhà cung cấp công nghệ, được biết đến như là AnyCast, với việc bảo vệ 13 máy chủ DNS gốc của thế giới từ các kẻ tấn công có thể sử dụng một blacklog để ghi lại các vụ tấn công địa chỉ IPv6 có thể cung cấp cho toàn bộ các máy tính trên toàn thế giới trong hiện tại và tương lai nên việc ghi lại log và đưa ra những biện pháp phòng chống có thể thực hiện để ngăn chặn tấn công.
"Đó là một điều chính xác: khi nới lỏng các dữ liệu định tuyến của IPv4 chính là cơ chế tấn công khi sử dụng lỗ hổng trong IPv6". điều này được phát biểu bởi một kỹ sư hệ thống.
Tổ chức IETF có thể sẽ phải xem sét lại toàn bộ các thiết lập của việc chuẩn hoá này. Với các kỹ sư công nghệ kết hợp với những nhà sản xuất sẽ đưa ra những yêu cầu cụ thể và tổ chức IETF sẽ không thể hoàn tất trong một thời gian ngắn được.
Ngay tại thời điểm này các nhà nghiên cứu đã đưa ra biện pháp để disable tính năng này trên các thiết bị định tuyến được cập nhật mới nhất giúp các thiết bị định tuyến không truyền các dữ liệu định tuyến cho các đối tượng không cần thiết, và việc khai thác dữ liệu định tuyến sẽ trở nên khó khăn hơn rất nhiều.
Nhiều công ty và các tập đoàn cũng như các tổ chức chính phủ đang gấp rút chuẩn bị cho việc sử dụng IPv6 và việc disable tính năng RH0 trên các thiết bị định tuyến là cần thiết.
"Các nhà sản xuất thiết bị định tuyến không hạn chế RH0 header, nhưng hiện nay họ sẽ huỷ gói tin nếu mang header đó" được phát biểu bởi Theo de Raadt, trưởng dự án của OpenBSD (BSD được hiểu như hệ điều hành bên trong các thiết bị định tuyến).
Hai hãng phần cứng chuyên dụng là Cisco và Juniper cũng cung cấp những bản hướng dẫn để disable tính năng này trên các thiết bị của họ.
Bởi IPv6 hiện nay chưa được triển khai trên toàn bộ các hệ thống mạng, nó sẽ mất khoảng 2 hoặc 3 năm để cho các nhà cung cấp dịch vụ khắc phục được một số vấn đề liên quan tới bảo mật của IPv6.
Thời gian 2 hoặc 3 năm nữa quả thực không lâu cho việc thay thế một công nghệ đã sử dụng trên toàn thế giới từ rất lâu.
Theo SecurityFocus
