Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

v4 exhaustion

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    v4 exhaustion

    Mot trong nhung ly do cho IPv6: IPv4 exhaustion

    http://www.youtube.com/watch?v=VzoGT...eature=channel

    http://www.youtube.com/watch?v=-g-TOkMqufI&NR=1
    Tags: None
  • #2
    Tập trung vào Bảo mật IPv6

    Với IPv6, bạn có một số lợi thế liên quan đến bảo mật. Nếu một kẻ tấn công thực hiện quét ping trên mạng của bạn, họ khó có thể tìm thấy tất cả các thiết bị thông qua quét ping truyền thống đến mọi địa chỉ có thể, do đó việc do thám sẽ khó khăn hơn đối với kẻ tấn công sử dụng phương pháp này vì mỗi subnet có thể có hàng triệu địa chỉ—2^64 khả năng, tức là khoảng 18 triệu tỷ! Tuy nhiên, hãy lưu ý rằng đây là con dao hai lưỡi, vì mỗi thiết bị trên mạng IPv6 tham gia vào nhóm đa hướng FF02::1. Vì vậy, nếu kẻ tấn công có quyền truy cập cục bộ vào mạng đó, họ có thể ping nhóm đa hướng cục bộ này và nhận được phản hồi cho biết về từng thiết bị trên mạng. FF02::1 có phạm vi cục bộ, nên kẻ tấn công không thể sử dụng kỹ thuật này từ xa; họ phải ở trên mạng cục bộ.

    Các công cụ quét và sâu máy tính từng hoạt động trong IPv4 rất có thể vẫn sẽ hoạt động trong IPv6, nhưng chúng sẽ sử dụng một cơ chế khác để thực hiện. Khách hàng không biết rằng IPv6 đang chạy trên máy trạm của họ đại diện cho một rủi ro bảo mật khác. Họ có thể chủ yếu sử dụng IPv4 nhưng vẫn có ngăn xếp giao thức IPv6 đang hoạt động. Kẻ tấn công có thể khai thác lỗ hổng mới được phát hiện trong một khía cạnh nào đó của IPv6 và sử dụng lỗ hổng đó để truy cập vào máy tính của nạn nhân. Vô hiệu hóa ngăn xếp giao thức không sử dụng (trong trường hợp này là ngăn xếp IPv6 không sử dụng) sẽ là cách giảm thiểu rủi ro này một cách phù hợp.

    Các Rủi ro Tiềm năng Mới với IPv6

    Bất kỳ tính năng mới hoặc cách thức hoạt động mới nào cũng có thể mở ra một hình thức tấn công mới. Dưới đây là danh sách các tính năng được triển khai khác biệt hoặc có phương pháp hơi khác so với IPv4, và do đó, bất kỳ sự thao túng nào đối với cách hoạt động của các tính năng này có thể dẫn đến việc xâm phạm mạng:
    Giao thức Khám phá Mạng (NDP): Các máy khách sử dụng NDP để khám phá bộ định tuyến, và nếu có một bộ định tuyến giả mạo, nó có thể giả vờ là bộ định tuyến hợp pháp và gửi thông tin sai lệch đến các máy khách về mạng, cổng mặc định và các thông số khác. Điều này cũng có thể dẫn đến một cuộc tấn công người ở giữa, nơi bộ định tuyến giả mạo có cơ hội xem tất cả các gói tin từ các máy chủ được gửi đến các mạng từ xa.

    Cạn kiệt tài nguyên bộ nhớ đệm hàng xóm: Nếu một kẻ tấn công cố gắng giả mạo nhiều đích IPv6 trong thời gian ngắn, bộ định tuyến có thể bị quá tải khi cố gắng lưu trữ các mục bộ nhớ đệm tạm thời cho mỗi đích. Tính năng IPv6 Destination Guard chặn lưu lượng dữ liệu từ nguồn không xác định và lọc lưu lượng IPv6 dựa trên địa chỉ đích. Nó điền tất cả các đích hoạt động vào bảng liên kết bảo mật đầu tiên IPv6 và chặn lưu lượng dữ liệu khi đích không được xác định.

    DHCPv6: Một bộ định tuyến giả mạo đã đánh lừa máy khách rằng nó là bộ định tuyến cũng có thể thao túng máy khách sử dụng thông tin học được từ DHCP sai lệch. Điều này có thể gây ra một cuộc tấn công người ở giữa vì máy chủ có thể sử dụng địa chỉ của bộ định tuyến giả mạo làm cổng mặc định.

    Tiêu đề mở rộng hop-by-hop: Với IPv4, có các tùy chọn IP có thể được bao gồm trong tiêu đề IP. Việc sử dụng độc hại các tiêu đề này có thể gây ra sử dụng CPU quá mức trên các bộ định tuyến nhận hoặc chuyển tiếp các gói tin này, ngoài việc chỉ định đường đi mà gói tin nên đi qua mạng. Trong IPv6, không có tùy chọn IP; thay vào đó, có các phần mở rộng IPv6, cũng có thể bị lạm dụng. Một trong các tiêu đề mở rộng IPv6 là Tiêu đề Định tuyến, loại 0 (còn gọi là RH0). RH0 có thể được sử dụng để xác định danh sách một hoặc nhiều nút trung gian cần được bao gồm trên đường đi đến đích cuối cùng (tương tự như định tuyến nguồn IP). Điều này có thể cho phép kẻ tấn công chỉ định đường đi mà gói tin có thể đi qua mạng. Theo mặc định, các bộ định tuyến và công tắc Cisco vô hiệu hóa xử lý tiêu đề RH loại 0 trên hầu hết các phiên bản hiện tại của Cisco IOS, Cisco IOS-XE, Cisco NX-OS và Cisco IOS-XR. Bạn có thể tìm thêm thông tin về việc sử dụng các tiêu đề mở rộng IPv6 trong tài liệu Cisco.com “Đánh giá và Xem xét Tiêu đề Mở rộng IPv6” (http://tinyurl.com/ipv6ext-headers). Như được ghi chú trong tài liệu này, luôn có khả năng lưu lượng IPv6 với số lượng lớn (hoặc rất dài) tiêu đề mở rộng được gửi vào mạng một cách độc hại để cố gắng làm quá tải tài nguyên phần cứng của bộ định tuyến. Bất kể thiết kế phần cứng nền tảng, điều này cung cấp một vectơ tấn công từ chối dịch vụ phân tán (DDoS), và các cơ chế bảo mật nên được áp dụng để giảm rủi ro của một cuộc tấn công DDoS. Để bảo vệ CPU khỏi bị quá tải bởi lưu lượng loại này với tốc độ cao, các bộ định tuyến Cisco triển khai giới hạn tốc độ của các gói tin được chuyển từ phần cứng sang phần mềm. Giới hạn tốc độ này giảm nguy cơ tài nguyên CPU của bộ định tuyến bị cạn kiệt khi cố gắng xử lý tổ hợp các tiêu đề mở rộng.

    Tấn công khuếch đại gói tin: Việc sử dụng địa chỉ đa hướng thay vì địa chỉ phát sóng IPv4 có thể cho phép kẻ tấn công lừa cả mạng phản hồi một yêu cầu. Một ví dụ là gửi yêu cầu khám phá hàng xóm (là một phần của NDP) đến địa chỉ đa hướng tất cả máy chủ FF02::1, khiến tất cả các thiết bị phản hồi. Một ví dụ khác là nếu một gói tin được gửi với các tiêu đề mở rộng được thiết lập sao cho gói tin chỉ lặp vòng quanh mạng cho đến khi cơ chế Thời gian Sống (TTL) hết hạn, và có thể chèn hàng nghìn gói tin như vậy để tiêu tốn băng thông và tài nguyên trên các thiết bị mạng chuyển tiếp chúng.

    ICMPv6: Giao thức này được sử dụng rộng rãi bởi IPv6 như là NDP của nó. Việc thao túng giao thức này bởi kẻ tấn công có thể gây ra nhiều thiệt hại tiềm tàng.

    Tùy chọn đường hầm: Việc truyền IPv6 qua các phần mạng IPv4 có thể có nghĩa là các chi tiết bên trong gói tin IPv6 có thể không được kiểm tra hoặc lọc bởi mạng IPv4. Việc lọc cần được thực hiện ở các đầu của đường hầm để đảm bảo rằng chỉ các gói tin IPv6 được ủy quyền mới được gửi thành công từ đầu này đến đầu kia.

    Tự động cấu hình: Vì một máy chủ IPv6 có thể tự động cấu hình địa chỉ IP cho chính nó, bất kỳ sự lừa dối nào từ một bộ định tuyến giả mạo cũng có thể khiến việc tự động cấu hình của máy chủ bị thực hiện sai, dẫn đến lỗi trên mạng hoặc một cuộc tấn công người ở giữa khi máy khách cố gắng định tuyến tất cả lưu lượng qua bộ định tuyến giả mạo.

    Ngăn xếp kép: Nếu một thiết bị chạy cả IPv4 và IPv6 cùng lúc, nhưng chỉ nhận biết hoặc chủ yếu sử dụng một trong hai, ngăn xếp giao thức kia, nếu không được bảo mật, cung cấp một vectơ tiềm năng cho kẻ tấn công truy cập từ xa vào thiết bị. Một khi quyền truy cập được thực hiện theo cách này, kẻ tấn công có thể thay đổi cài đặt IP hoặc các tùy chọn cấu hình khác dựa trên mục tiêu cuối cùng mà kẻ tấn công đang cố gắng đạt được.

    Lỗi trong mã: Bất kỳ phần mềm nào cũng có khả năng có lỗi, bao gồm cả phần mềm hỗ trợ các tính năng IPv6 trong mạng hoặc các thiết bị đầu cuối.

    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment

    Previous template Next
    Working...
    X