Tiêu chuẩn quốc gia TCVN 9802-6:2020 về Giao thức Internet phiên bản 6 (IPv6) - Phần 6: Giao thức tự động cấu hình địa chỉ không giữ trạng thái IPv6

Nếu tổng độ dài của tiền tố và định danh giao diện không bằng 128 thì tùy chọn thông tin tiền tố PHẢI được bỏ qua. Trong trường hợp này một thao tác CÓ THỂ thực hiện để ghi lỗi quản trị hệ thống. Độ dài của định danh giao diện được định nghĩa trong tài liệu chi tiết loại hình liên kết riêng rẽ và đồng nhất với cấu trúc địa chỉ [TCVN 9802-2:2015] (xem điều 3).

Trách nhiệm của quản trị hệ thống là đảm bảo độ dài tiền tố chứa trong bản tin Router Advertisement là đồng nhất với độ dài định danh giao diện đối với từng loại hình liên kết cụ thể. Tuy nhiên, lưu ý rằng điều đó không có nghĩa là độ dài tiền tố quảng bá là vô nghĩa. Thực tế độ dài quảng bá có ý nghĩa nhất định trên liên kết xác định trong [TCVN 9802-3:2015], nơi mà tổng độ dài tiền tố và định danh giao diện không bằng 128. Do vậy, để an toàn cần kiểm duyệt độ dài tiền tố quảng bá nhằm phát hiện và phòng ngừa lỗi cấu hình định ra độ dài tiền tố không hợp lệ trong bối cảnh tự động cấu hình địa chỉ.

Lưu ý rằng các sửa đổi về cấu trúc địa chỉ trong tương lai [TCVN 9802-2:2015] và tài liệu chi tiết loại hình liên kết trong tương lai vẫn phải có sự nhất quán giữa chúng với nhau nhằm cho phép độ dài định danh giao diện khác với giá trị được xác định trong tiêu chuẩn hiện tại. Như vậy việc thực hiện không nên giả định với một độ dài cụ thể. Thay vào đó, định danh giao diện được mong đợi có độ dài bất kỳ.

Nếu một địa chỉ được tạo thành công và địa chỉ đó vẫn chưa ghi vào danh sách thì nút mạng bổ sung nó vào danh sách địa chỉ đã gán cho giao diện, khởi tạo sự ưu tiên và thời gian sống của nó trong tùy chọn thông tin tiền tố. Lưu ý kiểm tra tiền tố được thực hiện tại thời điểm khởi đầu của bước này để đảm bảo không phát hiện bất kỳ sự xung đột địa chỉ nào với danh sách đã có. Có thể địa chỉ đã có sẵn trong danh sách do được cấu hình thủ công hoặc bởi DHCPv6, xuất hiện giống với địa chỉ được tạo mới, nhưng trường hợp như vậy là không điển hình.

e) Nếu tiền tố quảng bá bằng với tiền tố của địa chỉ được cấu hình bởi tự động cấu hình không giữ trạng thái có trong danh sách thì thời gian sống ưu tiên của địa chỉ được thiết lập lại về thời gian sống ưu tiên có trong quảng bá nhận được. Các hành động cụ thể xử lý thời gian sống hợp lệ của địa chỉ phụ thuộc vào thời gian sống hiệu lực trong quảng bá nhận được và thời gian còn lại theo hạn định cho thời gian sống hợp lệ của địa chỉ được tự động cấu hình trước đó. Thời gian còn lại nói trên được gọi là “Thời gian sống còn lại” (RemainingLifetime) như nêu dưới đây:

1. Nếu thời gian sống hợp lệ nhận được lớn hơn 2 giờ hoặc lớn hơn RemainingLifetime thì thiết lập thời gian sống hợp lệ cùa địa chỉ tương ứng bằng với thời gian sống hợp lệ được quảng bá.

2. Nếu RemainingLifetime nhỏ hơn hoặc bằng 2 giờ thì bỏ qua tùy chọn thông tin tiền tố về thời gian sống hợp lệ, trừ phi lựa chọn này có được từ bản tin Router Solicitation trước đó đã được xác thực (ví dụ như thông qua phát hiện lân cận an toàn [RFC 3971]). Nếu bản tin Router Solicitation được xác thực thì thời gian sống hiệu lực của địa chỉ tương ứng nên thiết lập theo thời gian sống hiệu lực có trong tùy chọn nhận được.

3. Các trường hợp khác, thiết lập lại thời gian sống hợp lệ của địa chỉ tương ứng là 2 giờ.

Quy định nêu trên nhằm đề cập đến một loại hình cụ thể về tấn công từ chối dịch vụ, trong đó các quảng bá giả mạo có thể chứa các tiền tố có thời gian sống hợp lệ rất nhỏ. Nếu không có quy định trên thì một quảng bá đơn lẻ không được xác thực chứa tùy chọn thông tin tiền tố giả mạo có thời gian sống hiệu lực ngắn sẽ gây ra việc toàn bộ địa chỉ của một nút mạng sẽ bị nhanh chóng quá hạn. Quy định trên cũng nhằm đảm bảo các quảng bá hợp lệ (được gửi theo chu kỳ) sẽ “xóa bỏ” các thời gian sống hợp lệ ngắn trước khi chúng gây ra những ảnh hưởng xấu.

...

...

...

6.5.4  Quá hạn thời gian sống của địa chỉ

Một địa chỉ ưu tiên trở thành địa chỉ không được ưu tiên khi thời gian sống ưu tiên của nó hết hạn. Một địa chỉ không được ưu tiên NÊN tiếp tục được sử dụng như một địa chỉ nguồn trong giao tiếp hiện có, nhưng KHÔNG NÊN sử dụng cho khởi tạo các giao tiếp mới nếu như địa chỉ (không phải địa chỉ không được ưu tiên) thay thế trong phạm vi phù hợp có thể dễ dàng để sử dụng thay thế.

Lưu ý rằng tính khả thi của việc khởi tạo một giao tiếp mới sử dụng địa chỉ không phải là địa chỉ không được ưu tiên có thể là quyết định của một ứng dụng cụ thể, khi mà chỉ có ứng dụng mới có thể hiểu rõ liệu (hiện tại) địa chỉ không được ưu tiên đã (hoặc vẫn đang) được sử dụng bởi ứng dụng. Ví dụ, nếu ứng dụng chỉ rõ ngăn giao thức nào đó sử dụng một địa chỉ không được ưu tiên làm địa chỉ nguồn thì ngăn giao thức đó phải chấp nhận điều này; ứng dụng có thể yêu cầu điều này bởi vì địa chỉ IP được sử dụng ở giao tiếp tầng cao hơn và ở đó có thể yêu cầu nhiều kết nối trong đó một nhóm kết nối có thể sử dụng cùng một cặp địa chỉ IP.

IP và các tầng cao hơn (ví dụ TCP, UDP) PHẢI tiếp tục chấp nhận và xử lý các khối dữ liệu kết cuối tới địa chỉ không được ưu tiên theo cách thông thường khi địa chỉ không được ưu tiên vẫn còn là địa chỉ hợp lệ của giao diện. Trong trường hợp TCP, các phân mảnh TCP SYN được gửi tới địa chỉ không được ưu tiên để đáp ứng việc sử dụng địa chỉ không được ưu tiên là địa chỉ nguồn trong SYN-ACK tương ứng (nếu kết nối có thể được cho phép theo cách khác).

Việc thực thi như trên CÓ THỂ ngăn ngừa bất kỳ giao tiếp mới nào sử dụng địa chỉ không được ưu tiên, nhưng quản trị hệ thống PHẢI có khả năng vô hiệu hóa tính năng này và tính năng này PHẢI thiết lập mặc định là bị vô hiệu.

Một trường hợp nhạy cảm khác cũng cần được lưu tâm khi lựa chọn địa chỉ. Ví dụ, những mô tả ở trên chưa làm rõ địa chỉ nào trong các địa chỉ không được ưu tiên, địa chỉ có phạm vi nhỏ hơn và địa chỉ không phải là địa chỉ không được ưu tiên, địa chỉ phạm vi phù hợp nên được sử dụng. Chi tiết về lựa chọn địa chỉ bao gồm cả trường hợp nói trên được mô tả trong [RFC 3484] và nằm ngoài phạm vi đề cập của tiêu chuẩn này.

Một địa chỉ (và sự liên quan của nó đến một giao diện) trở thành địa chỉ không hợp lệ khi thời gian sống hợp lệ của nó quá hạn. Địa chỉ không hợp lệ KHÔNG ĐƯỢC sử dụng là địa chỉ nguồn trong giao tiếp gửi đi và KHÔNG ĐƯỢC xem là địa chỉ đích trên giao diện nhận.

6.6  Tính nhất quán cấu hình

Host có thể nhận thông tin địa chỉ sử dụng bởi cả phương thức tự động cấu hình không giữ trạng thái và DHCPv6 khi mà cả hai phương thức này được cùng được kích hoạt. Các giá trị của các tham số cấu hình khác, chẳng hạn như kích cỡ MTU, giới hạn chặng có thể nhận được từ bản tin Router Advertisement và DHCPv6. Nếu như cùng một thông tin được cung cấp bởi nhiều nguồn khác nhau thì các giá trị có trong thông tin nên nhất quán. Tuy nhiên cũng không phải là lỗi trầm trọng nếu như thông tin nhận được từ nhiều nguồn là không nhất quán. Host chấp nhận sự kết hợp mọi thông tin nhận được từ giao thức khám phá lân cận và từ DHCPv6.

...

...

...

Trong mọi trường hợp, nếu thông tin nhận được từ các nguồn không có sự khác nhau về mức độ bảo mật thì phần lớn giá trị nhận được hiện tại NÊN ưu tiên chọn từ nguồn thông tin đến sớm nhất.

6.7  Duy trì tính ổn định của cấu hình địa chỉ

Là việc thực hiện dùng bộ nhớ ổn định để lưu các địa chỉ đã nhận được từ tự động cấu hình địa chỉ không giữ trạng thái. Giả thiết thời gian sống được sử dụng là phù hợp, kỹ thuật này ngầm định rằng việc ngừng hoạt động tạm thời (nhỏ hơn thời gian sống hợp lệ) của bộ định tuyến sẽ không làm mất địa chỉ toàn cầu của nút mạng ngay cả khi nút mạng đã được khởi động lại. Khi kỹ thuật này được sử dụng thì cần lưu ý thời gian quá hạn của thời gian sống của địa chỉ hợp lệ và địa chỉ ưu tiên phải được duy trì để ngăn việc sử dụng địa chỉ sau khi nó trở thành không được ưu tiên hoặc hết hiệu lực.

Chi tiết của dạng mở rộng nói trên không đề cập trong tiêu chuẩn này.

7  Các quan tâm về an toàn bảo mật

Tự động cấu hình địa chỉ không giữ trạng thái cho phép host kết nối với mạng, cấu hình địa chỉ và khởi tạo giao tiếp với các nút mạng khác mà không phải đăng ký hoặc tự xác thực với mạng nội bộ. Điều này cho phép người sử dụng trái phép kết nối và sử dụng mạng, do vậy mối đe dọa vốn dĩ có mặt trong kiến trúc mạng Internet. Bất kỳ nút mạng nào có kết nối vật lý với mạng đều có thể tạo ra một địa chỉ (sử dụng đa dạng các kỹ thuật mạng tùy biến) để cung cấp kết nối.

Sử dụng tự động cấu hình không giữ trạng thái và phát hiện địa chỉ trùng lặp mở ra khả năng xuất hiện một vài loại hình tấn công từ chối dịch vụ. Ví dụ, nút mạng có thể đáp ứng bản tin Neighbor Solicitation về địa chỉ dự kiến, có thể làm các nút mạng khác loại bỏ địa chỉ này vì coi như bị trùng lặp. Tài liệu [RFC 3756] thảo luận chi tiết về các loại hình tấn công như vậy được đề cập trong “Giao thức khám phá lân cận an toàn” [RFC 3971], Nên lưu ý [RFC 3756] chỉ ra rằng sử dụng bảo mật IP không phải luôn phù hợp mà phụ thuộc vào các môi trường mạng.

Phụ lục A

...

...

...

Chặn lặp vòng và phát hiện địa chỉ trùng lặp

Phát hiện khi nào một thăm dò multicast nhận được bị lặp vòng về nơi gửi hoặc đến từ một nút mạng khác là một tác vụ phụ thuộc. Các trường hợp khó giải quyết xuất hiện khi hai giao diện gắn với vào cùng một liên kết có cùng định danh và địa chỉ tầng liên kết; cả hai gửi các gói tin có nội dung giống nhau tại cùng một thời điểm (ví dụ như bản tin Neighbor Solicitation về địa chỉ dự kiến như một phần của các bản tin phát hiện địa chỉ trùng lặp). Mặc dù phía thu nhận cả hai dạng gói tin nói trên, nhưng dựa vào nội dung của gói tin thì nó không xác địch được gói tin nào là lặp vòng và gói tin nào đến từ một nút mạng khác (vì nội dung các gói tin là giống nhau). Trường hợp này không nhất thiết phải phân biệt chính xác gói tin nào là lặp vòng và gói tin nào đến từ nút mạng khác. Nếu như số lượng thăm dò nhận được nhiều hơn số lượng đã gửi đi thì địa chỉ dự kiến bị trùng lặp. Tuy nhiên trường hợp này không phải lúc nào cũng đúng.

Đặc tính multicast IPv4 [RFC 1112] khuyến nghị giao diện dịch vụ cung cấp cách thức để một giao thức tầng trên ngăn chặn việc phân phát trong nội bộ các gói tin gửi tới nhóm địa chỉ multicast mà các host gửi gói tin là thành viên. Một số các ứng dụng có thể nhận biết rằng sẽ không có thành viên khác nào của nhóm trên cùng một host đó và sẽ chặn lặp vòng đó nhằm tránh việc phải nhận (và loại bỏ) các gói tin do chính chúng gửi đi. Cách thức đơn giản để thực hiện tiện ích này là vô hiệu hóa lặp vòng tại phần cứng (nếu như phần cứng hỗ trợ) và với các gói tin lặp vòng (nếu được yêu cầu) bằng phần mềm. Trên các giao diện mà phần cứng của nó tự chúng có thể chặn lặp vòng, nút mạng thực hiện phát hiện địa chỉ trùng lặp đơn giản bằng cách đếm số lượng Neighbor Solicitation chứa địa cho chỉ dự kiến nhận được và so sánh chúng với giá trị mong muốn. Nếu có sự sai khác thì địa chỉ dự kiến bị trùng lặp.

Đối với các trường hợp mà phần cứng không có khả năng chặn lặp vòng, thì phần mềm có thể lọc các gói tin lặp vòng không mong muốn và loại bỏ bất kỳ gói tin nhận được nào có địa chỉ nguồn tầng liên kết trùng với địa chỉ của giao diện nhận. Đặc tính tầng liên kết yêu cầu những gói tin này bị loại bỏ [IEEE 802.11]. Đáng tiếc là việc sử dụng tiêu chuẩn nói trên cũng gây ra sự loại bỏ tất cả các gói tin gửi từ nút mạng khác sử dụng cùng một địa chỉ tầng liên kết. Phát hiện địa chỉ trùng lặp sẽ không thành công trên giao diện nếu lọc các gói tin nhận được theo cách thức dưới đây:

- Nếu nút mạng thực hiện phát hiện địa chỉ trùng lặp loại bỏ các gói tin nhận được có địa chỉ tầng liên kết trùng với địa chỉ giao diện nhận thì nó cũng loại bỏ các gói tin đến từ các nút mạng khác có cùng địa chỉ tầng liên kết, các bản tin Neighbor Advertisement và bản tin Neighbor Solicitation cũng được yêu cầu cho việc phát hiện địa chỉ trùng lặp một cách chính xác. Trường hợp cụ thể này có thể giải quyết bằng cách vô hiệu tạm thời phần mềm chặn lặp vòng trong khi nút mạng đang thực hiện phát hiện địa chỉ trùng lặp nếu như có thể thực hiện được.

- Nếu như nút mạng đang sử dụng một địa chỉ IP và thực hiện loại bỏ các gói tin nhận được có cùng địa chỉ tầng liên kết với giao diện thì nó cũng loại bỏ các bản tin Neighbor Solicitation liên quan tới phát hiện địa chỉ trùng lặp gửi đến từ nút mạng khác có cùng địa chỉ tầng liên kết. Hậu quả là phát hiện trùng lặp địa chỉ không thành công và nút mạng khác đó sẽ cấu hình là địa chỉ không duy nhất. Khi đã không chắc chắn biết khi nào nút mạng khác thực hiện phát hiện địa chỉ trùng lặp thì kịch bản này tránh xảy ra chỉ khi phần mềm chặn lặp vòng được vô hiệu hóa vĩnh viễn.

Như vậy, để thực hiện phát hiện địa chỉ trùng lặp chính xác trong trường hợp có hai giao diện sử dụng cùng một địa chỉ tầng liên kết thì việc thực hiện phải hiểu rõ ý nghĩa lặp vòng multicast của giao diện, và giao diện không thể loại bỏ các gói tin nhận được một cách đơn giản chỉ vì địa chỉ tầng liên kết nguồn trùng với địa chỉ của giao diện. Cũng nên lưu ý rằng đặc tính tầng liên kết có thể xung đột với điều kiện cần thiết để thực thi phát hiện địa chỉ trùng lặp.

Thư mục tài liệu tham khảo

...

...

...

Mục lục

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4  Mục tiêu thiết kế

5  Tổng quan về giao thức

5.1  Đánh số lại

6  Đặc tả giao thức

...

...

...

6.2  Cấu trúc tự động cấu hình địa chỉ có liên quan

6.3  Tạo địa chỉ liên kết cục bộ

6.4. Phát hiện địa chỉ trùng lặp

6.4.1  Sự hợp lệ của bản tin

6.4.2  Gửi bản tin Neighbor Solicitation

6.4.3  Nhận bản tin Neighbor Solicitation

6.4.4  Nhận các bản tin Neighbor Advertisement

6.4.5  Khi phát hiện địa chỉ trùng lặp không thực hiện thành công

6.5  Tạo địa chỉ toàn cầu

...

...

...

6.5.2  Không nhận được bản tin Router Advertisement

6.5.3  Xử lý Router Advertisement

6.5.4  Quá hạn thời gian sống của địa chỉ

6.6  Tính nhất quán cấu hình

6.7  Duy trì tính ổn định của cấu hình địa chỉ

7  Các quan tâm về an toàn bảo mật

Phụ lục A (tham khảo): Chặn lặp vòng và phát hiện địa chỉ trùng lặp

Thư mục tài liệu tham khảo