Tin tức Hướng dẫn kỹ thuật CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Email: sales@datech.vn
Danh mục sản phẩm
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Danh mục sản phẩm
Router 
Firewall 
Switch 
Wifi - Access Point 
Máy chủ ( Server ) 
Thiết bị lưu trữ NAS 
Networking Accessories 
Video Conference 
Vật tư mạng 
Tổng đài & điện thoại 
Bộ lưu điện UPS 
13/12/2021
13/12/2021
Danh sách nội dung [Ẩn]
Mối nguy hiểm tiềm ẩn trong mạng của bạn
Một mạng doanh nghiệp hiện đại là một hệ sinh thái phức tạp; với rất nhiều loại thiết bị khác nhau, từ máy chủ (server), máy trạm (workstation), cho đến các thiết bị IoT và thiết bị BYOD (Bring Your Own Device – thiết bị cá nhân được phép sử dụng trong doanh nghiệp), điều này tạo ra thách thức ngày càng lớn đối với các quản trị viên mạng. Việc duy trì cho mạng vừa hoạt động trơn tru vừa đảm bảo an toàn trong môi trường phức tạp như vậy đòi hỏi sự cảnh giác và nhận thức cao. Mặc dù các dịch vụ cốt lõi như DNS và DHCP là nền tảng thiết yếu của hệ thống mạng, nhưng các phiên bản IPv6 của chúng có thể tạo ra những lỗ hổng bảo mật đáng kể và thường bị bỏ qua — ngay cả khi bạn chưa chính thức triển khai IPv6.
Hành trình chuyển đổi từ IPv4 sang IPv6 đã kéo dài trong nhiều năm và cho đến nay vẫn còn rất xa mới có thể xem là “hoàn tất”. Được tiêu chuẩn hóa vào năm 1981, IPv4 đã phục vụ Internet trong nhiều thập kỷ, nhưng không gian địa chỉ giới hạn của nó đã trở thành một vấn đề lớn khi Internet phát triển theo cấp số nhân. IPv6 được giới thiệu dưới dạng bản dự thảo đầu tiên vào năm 1998, mang đến một giao thức mới không tương thích với IPv4 để đổi lấy không gian địa chỉ lớn hơn rất nhiều, cùng nhiều cải tiến khác. Tuy nhiên, vào thời điểm IPv6 ra đời, IPv4 đã có hàng chục triệu người dùng, khiến việc chuyển đổi hoàn toàn sang giao thức mới gần như không khả thi. Vì vậy, hai giao thức buộc phải cùng tồn tại.
Trong số nhiều giải pháp khác nhau, cơ chế phổ biến nhất đã trở thành “Dual Stack”. Thay vì đóng gói (tunneling) một giao thức bên trong giao thức còn lại, Dual-Stack cho phép thiết bị sử dụng đồng thời cả IPv4 và IPv6. Điều quan trọng là đây hiện là hành vi mặc định của gần như mọi hệ điều hành hiện đại (Windows, macOS, Linux) và các thiết bị hỗ trợ mạng. Dù bạn có chủ động sử dụng IPv6 hay không, các thiết bị của bạn rất có thể đã được cấu hình sẵn để giao tiếp bằng giao thức này.
Ngay cả trên những mạng được thiết kế chỉ dành riêng cho IPv4, các thiết bị chạy dual-stack cũng không đơn giản “im lặng” ở phía IPv6. Theo mặc định, chúng sẽ chủ động cố gắng tự cấu hình các thiết lập IPv6 của mình. Quá trình này thường bao gồm:
fe80::). Điều này cho phép chúng giao tiếp với các thiết bị hỗ trợ IPv6 khác trong cùng một phân đoạn mạng vật lý mà không cần router.Trong một mạng chỉ dùng IPv4 được cấu hình đúng cách và không tồn tại thiết bị giả mạo (rogue device), những yêu cầu IPv6 này (RS và DHCPv6) đơn giản sẽ không nhận được phản hồi nào. Khi đó, thiết bị thường chỉ tự gán địa chỉ link-local rồi dừng quá trình cấu hình IPv6 cho kết nối global, và điều này thường không gây ảnh hưởng gì. Tuy nhiên, chính hành vi dò tìm mặc định này lại tạo cơ hội cho các attacker đang hiện diện trong mạng nội bộ khai thác.
Lỗ hổng xuất hiện khi một attacker nằm cùng phân đoạn mạng nội bộ (có dây hoặc không dây) phát hiện các gói IPv6 Router Solicitation được gửi tự động từ các thiết bị dual-stack. Kẻ tấn công sau đó có thể gửi các phản hồi Router Advertisement (RA) giả mạo.
Dưới đây là cách cuộc tấn công — thường được tự động hóa bằng các công cụ như mitm6 — diễn ra:
[T1040][T1557.003][T1557.001]Tham Chiếu Theo MITRE ATT&CK Framework
| Vector Tấn Công | Kỹ Thuật MITRE ATT&CK |
|---|---|
| Phát hiện các gói Router Solicitation | T1040: Network Sniffing |
| Gửi Router Advertisement và DHCPv6 lease giả mạo | T1557.003: Adversary-in-the-Middle – DHCP Spoofing |
| Thực hiện tấn công NTLM Relay, sử dụng T1557.003 để kích hoạt quá trình xác thực | T1557.001: Adversary-in-the-Middle – LLMNR/NBT-NS Poisoning và SMB Relay |
Phương pháp tấn công này mang lại nhiều lợi thế đáng kể cho attacker so với các kỹ thuật như ARP poisoning:
Tính ẩn mình (Stealth): Cuộc tấn công tận dụng chính các cơ chế IPv6 tiêu chuẩn (RA, DHCPv6, DNS). Nếu trong mạng không tồn tại IPv6 router hợp lệ, attacker thậm chí không cần “tranh chấp” phản hồi RA với thiết bị hợp pháp nào. Việc thao túng DNS cũng diễn ra khá tinh vi và khó bị chú ý.
Ít gây gián đoạn (Low Disruption): Bằng cách chuyển tiếp phần lớn lưu lượng DNS và chỉ chiếm quyền điều hướng đối với các mục tiêu cụ thể, cuộc tấn công ít có khả năng gây ra sự cố mạng rõ rệt — điều vốn có thể khiến quản trị viên phát hiện.
Tác động có mục tiêu (Targeted Impact): Kỹ thuật này cho phép attacker nhắm chính xác vào các dịch vụ cụ thể nhằm đánh cắp thông tin xác thực hoặc thực hiện các cuộc tấn công relay.
Do chế độ dual-stack được bật mặc định trên gần như mọi hệ điều hành hiện đại, bất kỳ phân đoạn mạng nào không được quản lý chặt chẽ hoặc bảo mật không đầy đủ đều có khả năng tồn tại lỗ hổng này. Ngay cả những mạng đang chủ động sử dụng IPv6 cũng có thể bị ảnh hưởng nếu không triển khai các cơ chế bảo vệ Router Advertisement (RA), cho phép attacker chèn các RA giả mạo với độ ưu tiên cao hơn hoặc nhắm vào các host cụ thể.
Có nhiều chiến lược khác nhau để giảm thiểu lỗ hổng này, từ việc vô hiệu hóa hoàn toàn IPv6 cho đến áp dụng các cơ chế kiểm soát ở cấp độ mạng.
Đối với các tổ chức hoàn toàn không có nhu cầu hiện tại hoặc tương lai với IPv6, việc tắt hoàn toàn IPv6 có thể trông giống như giải pháp đơn giản nhất.
Ở cấp thiết bị đầu cuối (Host-Level): IPv6 thường có thể được vô hiệu hóa trực tiếp trên endpoint thông qua cài đặt hệ điều hành, Group Policy Object (GPO) trong môi trường Windows, hoặc chính sách Mobile Device Management (MDM).
Ví dụ (Windows Registry – yêu cầu khởi động lại):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name DisabledComponents -Value 0xFFFFFFFF -Type DWord -ForceViệc vô hiệu hóa IPv6 chỉ nên được xem xét khi tổ chức chắc chắn rằng sẽ không cần sử dụng IPv6 và có khả năng đảm bảo việc tắt IPv6 được áp dụng đầy đủ, liên tục trên toàn bộ thiết bị trong mạng. Đối với phần lớn quản trị viên hệ thống, các biện pháp kiểm soát ở cấp độ mạng thường là lựa chọn phù hợp hơn.
Một phương pháp mạnh mẽ và dễ mở rộng hơn là kiểm soát lưu lượng IPv6 Neighbor Discovery (ND) ngay tại hạ tầng mạng, thường là trên switch và wireless controller.
RA Guard: Trong các môi trường sử dụng IPv6, RA Guard là cơ chế cực kỳ quan trọng. Nó cho phép quản trị viên xác định các cổng hoặc nguồn nào được xem là đáng tin cậy để gửi các gói Router Advertisement (RA) hợp lệ. Các gói RA nhận từ những cổng không đáng tin cậy sẽ bị loại bỏ, ngăn attacker chèn các RA giả mạo.
ND Snooping / RA Drop: Đối với các mạng không chủ đích sử dụng IPv6, một biện pháp đơn giản nhưng rất hiệu quả là chặn toàn bộ gói RA. Cơ chế này sẽ phát hiện và loại bỏ các gói RA đi vào switch trên các VLAN được cấu hình, từ đó vô hiệu hóa hoàn toàn vector tấn công đã đề cập trước đó.
Các switch HPE Aruba Networking chạy AOS-CX cung cấp tính năng nd-snooping, bao gồm cả ra-guard và ra-drop.
Ví dụ (Cấu hình AOS-CX Wired – Chặn RA trên VLAN 100)
switch(config)# nd-snooping enable vlan 100
switch(config-vlan-100)# nd-snooping ra-drop
switch(config-vlan-100)# exit
switch(config)#Các nguyên lý của RA Guard và RA Drop cũng được áp dụng tương tự trên mạng không dây. Attacker hoàn toàn có thể thực hiện kiểu tấn công này qua Wi-Fi dễ dàng như trên mạng có dây. May mắn là hệ thống cũng cung cấp nhiều biện pháp giảm thiểu ở cấp độ mạng:
Áp dụng kiểm soát thông qua Policy: Trong môi trường wireless của HPE Aruba Networking (được quản lý bởi Aruba Central, Gateway hoặc Mobility Controller), các biện pháp này thường được áp dụng thông qua user role và policy gắn với từng WLAN (SSID) hoặc Virtual AP (VAP). Quản trị viên có thể cấu hình policy để bật ND Snooping và chỉ định sử dụng RA Guard (xác định nguồn đáng tin cậy — thường là gateway) hoặc RA Drop cho các role tương ứng (ví dụ: guest user role hoặc corporate user role trên SSID chỉ dùng IPv4).
Client Isolation: Mặc dù không phải biện pháp trực tiếp chống lại các rogue RA đến từ bên ngoài nhóm client, việc bật Client Isolation trên mạng wireless (đặc biệt là guest network) vẫn là một lớp bảo mật bổ sung rất hữu ích. Tính năng này ngăn các wireless client giao tiếp trực tiếp với nhau, từ đó hạn chế khả năng một client đã bị compromise tấn công các client khác trong cùng WLAN thông qua kiểu tấn công này hoặc các cuộc tấn công layer 2/layer 3 khác.
Việc triển khai RA Drop hoặc RA Guard thông qua các network policy áp dụng cho wireless role là biện pháp giảm thiểu hiệu quả và trực tiếp nhất đối với mối đe dọa này trên môi trường Wi-Fi.
Hành vi dual-stack mặc định trên các thiết bị hiện đại — dù được tạo ra nhằm hỗ trợ quá trình chuyển đổi sang IPv6 — lại vô tình tạo nên một bề mặt tấn công tiềm ẩn trong nhiều mạng doanh nghiệp. Attacker có thể lợi dụng các yêu cầu cấu hình IPv6 tự động để chiếm quyền DNS và triển khai các cuộc tấn công tiếp theo như NTLM relay, thường với rất ít dấu hiệu bất thường hoặc gián đoạn hệ thống.
Mặc dù việc vô hiệu hóa hoàn toàn IPv6 có thể phù hợp trong một số trường hợp đặc biệt, giải pháp này đi kèm nhiều hạn chế đáng kể. Những phương án hiệu quả và dễ mở rộng hơn thường là các biện pháp kiểm soát ở cấp độ mạng. Việc triển khai RA Guard trong các môi trường IPv6 được quản lý, hoặc sử dụng RA Drop (nd-snooping ra-drop) trên các phân đoạn mạng chỉ dùng IPv4 thông qua switch và wireless network policy, sẽ cung cấp khả năng bảo vệ mạnh mẽ trước các cuộc tấn công Router Advertisement giả mạo. Bằng cách chủ động quản lý lưu lượng IPv6 Neighbor Discovery, các tổ chức có thể đóng lại lỗ hổng bảo mật thường bị bỏ quên này và giảm đáng kể mức độ rủi ro đối với hệ thống mạng của mình.
Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Điện thoại: 0243 201 2368
Hotline: 098 115 6699
Email: info@datech.vn
Website: https://datech.vn
