ipv6 보안


  Share  
|


보안에 ipv6 네트워크가되지 크게 다르다 보안에 ipv4 네트워크입니다. 대부분의 기존 잘 - 알려진 ipv4 테러 공격을 수행할 수있습니다와 ipv6, 그래서 우리의 뜻을 보호하기위한 데이터와 비슷합니다. 마찬에 ipv4 세계, 거기는 항상 해커의 비윤리적인 사람을 찾을 수있는 새로운 방법을 무단으로 우리의 네트워크입니다. 의 디자이너의 보안 개념 및 전체 컴퓨터 보안 커뮤니티를 갖는다를 유지 경보 및 유지를 찾는 메커니즘을 유지 페이스와 함께 자신의 네트워크를 보호하는 방법을 찾을 해커와 새로운 테러 공격으로부터합니다.

두 경우 모두에서 사용되는 프로토콜 (ipv4와 ipv6)는 네트워크에, 각 프로토콜을 요구 자체 보안 개념을 규정하고있는 조율된해야합니다. ipv6 - 능력의 방화벽이 필터 규칙에 대한 ipv4와 별도의 필터 규칙에 대한 ipv6.

또 다른 지점을 관찰하는 ipv6는 대부분의 운영 체제에 포함하고는 일반적으로 오히려 간단한을 구성합니다. 때로는 터널 메커니즘은 기본적으로 활성화됩니다. 이 사실이 사용하는 ipv6 해커를 침범으로 ipv4 네트워크입니다.

귀하의 네트워크를 찾을 ipv6 트래픽을 필터링하여 귀하의 추적 파일에 대한 0x86dd의 mac 표제 또는를위한 프로토콜 41의 ipv4 프로토콜 유형 필드입니다. 깜짝 수를 찾을 수있습니다 이웃 디스커버리 messagesa 좋은 지표했는지 활성 ipv6 노드에 네트워크입니다.

ipsec 반면되고있는 좋은 보안 메커니즘,가 아니라는 엔드 - 전체, 수 - 모두에 대한 보안을합니다. 대부분의 보안 전문 동의가 없다 "은빛 총알"을 확보하는 네트워크의 내부 또는 외부 공격을합니다. 조합의 모범 사례 및 사용자 교육 수있습니다 위험을 최소화합니다. 배포할 경우 ipv6 향후에는 일부 보안 우려가되어야을 해결합니다. 는 충고는이되지 않습니다 전체 목록으로 전체 볼륨의 정보가 될 서면의 제목입니다.

네이티브 ipv6

연결할 때 ipv6 네이티브, 일부 보안 문제가있습니다 간주되어야는 다음 섹션에서 논의되고있습니다.

공개 키 인프라 (pki)

반면 요구 사항에 rfc 4301을 지정합니다 ipsec에서 ipv6 프로토콜, 커버하지 않습니다을 교환하는 방법에 키가된다. 미리 keying을 수동으로 설정할 수 있지만,이 대규모 기업소,이 작업을 진입 총격전과 시간 - 소모합니다. 그러한 환경에서 인증서를 사용하는 중앙 서버가 이상적입니다. 와 ipv6, 없었 최근까지이 같은 중앙 집중 인증 서버입니다. 이것이 변경되었습니다과 함께 서버를 기반으로하는 ikev2 프로토콜로 지정된에 rfc 4306. 이점은 ikev2은 그 유용성에 모두 ipv4와 ipv6와 그 간단한 구현합니다. 그것은 첫 번째 버전과 호환되지 않습니다 ike하지만 두 버전 '헤더 형식이 유사한 정도를 실행하려면 그들을 모두 unambiguously 이상이 동일한 udp 포트입니다.

방화벽 및 침입 탐지 / 방지 시스템

반면 끝 -가 - 끝 ipsec는 하나의 주요 장점은 ipv6, 또한 새로운 문제로 출시하고 기존의 방화벽 및 id / ipses 경우 esp와 함께 사용할 암호화가 켜져있습니다. 경우에 패킷이 암호화된 주소 끝에 최종, 어떻게합니까 테두리 장치를 검사하여 패킷을 해독하지 않고 있습니까? 저장 모두에 암호화 키에있는 중앙 위치 잎이 모두의 중앙 지점에서 실패와 중앙 위치에 대한 blackhat 해커가 무단으로 사용 및 도용을 모두 암호화 키를위한 네트워크를합니다. 하나의 아이디어가되었습니다에게 제공하는 커뮤니티는 클라이언트 서버 모델에 대한 id / ip (현재의 엔터 프라이즈 - 레벨 안티 바이러스 보호 기능과 유사합니다). 중앙 서버 또는 서버를 계속해서 데이터베이스의 공격 서명 또는 네트워크 변칙 분석합니다. 이 클라이언트를 다운로드합니다 서명을 로컬 및 클라이언트 컴퓨터를 스캔하여 패킷 자체를 알려주는 중앙 서버가 발견되면 서명이 일치합니다. 문제의 현재 ipv4 id / ip 체제로는 부족을 탐지의 터널링 ipv6 프로토콜과를 일반적인 부족을 공격 서명에 대한 ipv6 - 기반 공격, 비록로 ipv6 확산에 더 많은 네트워크, 이러한 문제를 궁극적으로 해결을해야한다.

방화벽이 지원 ipv6는 대부분의 주요 운영 체제에 포함되어 있지만, 방화벽의 상태를 유지하는 연결 (상태 방화벽)은 나이가 구현의 리눅스에서 사용할 수없습니다이나 창에서 xp/2003. 시스코, 검문소, 그리고 netscreen (juniper), 중 다른 사람,이 상태 사찰의 ipv6 패킷에 최신 버전의 소프트웨어가있습니다.

구현 문제

공급 업체 ipsec 구현을 스스로 보안 문제를 일으킬 수도있습니다. 예를 들어, 여러 개의 전류 ipv6 ipsec 구현, 전용 인증 및 무결성 서비스를 사용할 수있습니다 esp와 함께 널 암호화하거나 아를 사용합니다. 모든 esp 구현을 지원하지 않습니다 기밀 작품 될 수있는 잘못된 성모 승천의 보안 서비스를 사용할 수있는 자극에 배포할 이행하지 않은 경우 공급 업체에 확인하십시오.

많은 ipv6 구현은 비교적 새로운합니다. 이 리드를 두 개의 다른능한 보안 문제가있습니다. 첫 번째 문제는가 부족 ipv6 평 도구입니다. 이것은 일반적인 관행에서 정보 보안 분야를 감사를 자신의 네트워크를 사용하여 잘 - 알려진 보안 감사 도구를 차례로 발견된 결점을 보호하는 도구입니다. 대부분의 이러한 인기가 도구를받지 않은 포팅을 감사 ipv6 네트워크입니다. 두 번째 문제는 테스트를 거치지 코드에 ipv6 구현 (이 또한 유대 관계를하지 않아도의 도구를 테스트하려면 구현). 코드가있는가되지 않았습니다 "배치를 통해 wringer"는 아마도 이동에 더 많은 보안적인 결함보다는 제작 환경에서 사용하는 코드가되었습니다.

이웃 디스커버리 이슈

다른 보안 우려 사항으로 알고있다 남용의 이웃 디스커버리 프로토콜 (ndp), 중복 주소 탐지, 및 라우터 광고를합니다. a 인용구에서 rfc 2462 (ipv6 상태 자동 설정) 상태 :

"경우에 노드를 결정하는 그 미정 링크 - 로컬 주소가 고유하지 않습니다, 자동 중지하고 수동 구성의 인터페이스가 필요합니다."

이 포즈를가능한 서비스 거부 공격으로 여러 개의 ipv6 주소를 할당할 수있습니다를 단일 인터페이스입니다. a 악의 워크 스테이션 수 할당된 몇 천 주소 및 거부를 다른 워크 스테이션을 수있는 능력을 확보하는 링크 - 로컬 주소입니다. 심지어 훨씬 간단, 소프트웨어 응답 만들 어질 수있다는 항상 반응과 함께 "주소를 사용하고있습니다."

또 다른 지점이 해당 링크 - 로컬 주소를 미리 설정하지 않고 취득하실 수있습니다. 공격자는 링크에 대한 액세스를 얻을 수있습니다없이 기술에 대한 더 이상의 네트워크입니다. 이 기능을 통해 악의적인 노드의 기회를 탑재 공격에 대한 어떤 다른 노드를 첨부하여이 링크가있습니다. 능한 방안을 보호하기 위해이에이 중 하나를 링크 - 레이어 인증 또는 암호 생성된 주소를 사용합니다.

라우터 광고를 스푸핑이 또 하나의 보안을 우려합니다. 단일 인터페이스에서 여러 개의 주소를 사용할 수 있으므로, 여러 경로를 사용할 수도있습니다. a 부팅 노드를 전송하는 라우터를 청탁을 모든 - 라우터 멀티 캐스트 주소 (ff02 : : 2). 각 라우터에있는 링크를 답장으로 라우터 광고가 클라이언트에 대한 구성 정보가 들어있습니다. 이 제안을 통해 라우터를 통해 트래픽을 보내는가 능성이있는 것이 아닙니다 벌이기로 보내진 (수 있도록 트래픽 스니핑에있는 악의 라우터). 물론 이러한 유형의 공격이 발생의 ipv4 세계도; 그것에 차이가 전용의 메커니즘을 사용합니다. 를 사용하여 ipsec의 아 구성 요소 또는 보안 이웃 디스커버리는 이러한 위험을 완화하는 좋은 방법 중 다른 사람입니다.

ndp의 사양에 ipsec을 보호하기 위해 사용하는 것을 권장합니다로부터 공격을하지 않고이 방법에 대한 자세한 정보를 제공합니다. 대부분의 경우, 특히 공공 및 무선 네트워크를 키 관리와 함께 사용 ipsec가 너무 복잡하고 실용적입니다.

새로운 사양이 게시되었습니다은 rfc 3971을 확보 ndp ipsec을 사용하지 않고있습니다. 그것은 안전한 이웃 디스커버리 (보내)입니다. 이 접근법에는 새로운 ndp 옵션의 사용을 들고가 공개 키 - 기반 서명합니다. 0 - 구성 메커니즘이 사용에 대한 개별 노드에 대한 소유권을 보여주 소; 라우터가 공인하는 신뢰 앵커입니다.


arp에 ipv4으로 대체되었습니다 icmp 메시지에 ipv6. ipsec 아하거나 전송을 사용하지 않고, 그러나, ndp는 대부분의 보안 문제에 대한 arp 제시에 ipv4과 같은 리디렉션 공격 (악의적인 노드가 재전송 패킷을 벗어나 합법적인 수신기), 서비스 거부 () 공격, 그리고 홍수 공격 (리디렉션 다른 호스트 '트래픽을 피해자 노드를 작성하는 홍수의 bogus 트래픽)입니다.

포트 스캔

포트 스캔이 된 훨씬 더 복잡한, 그렇지 않은 실용적입니다. 의 인터페이스 식별자가 ipv6는 64 비트입니다. 초안 - ietf - v6ops - nap - 02.txt 상태가 "공격자는 단순히 비현실적인 번호를 보내 밖으로 ping을지도가 네트워크, 바이러스 / 웜 전파된다이 과정에서 기독교인입니다. 시 전체 율 40gbps (400 회 전형적인 100mbps 랜, 13,000 회의 일반적인 dsl / 케이블 액세스 링크)이 소요 5000 명이 넘는 년 검사 단일 64 비트 공간입니다. " 바둑 그림입니다. 자동으로 개인 정보 보호 옵션없이 사용할 경우, 몇몇 부분의 주소 (e.g., 공급 업체 id) 추측할 수 있지만이 아직은 광대한 공간입니다. 간단하고 잘 보호가를 피하기 쉬운 -을 - 짐작 주소 제도와 같은 단어를 사용하지 않을 쇠고기, f00d, 카페, 1234, abcd 일환의 ipv6 주소, 그리고 순차적으로 번호가 매겨진이나 쉬운 -을 사용하지 않을 - 추측 주소 가 키 인프라 장치 (예 : x : : 1을위한 라우터)를합니다.

멀티 캐스트 문제

ipv6를 지원 멀티 캐스트 주소를 사용하여 사이트를 범위, 잠재적으로 침입자를 식별할 수있는가 사이트에서 특정 중요한 자원 악용하면됩니다. 특정 사례는 모든 라우터 (ff05 : : 2) 및 모든 dhcp 서버 (ff05 : : 1:3) 주소입니다. 공격자는 이러한 주소 수가 침투하는 메시지 향하는 방면 사이트는 잠재적으로 돌아 정보를 식별 키가 리소스를받을 사이트에있습니다. 그런 다음이 정보는 사용에 대한 지시 공격에 이르기까지 단순 홍수가 좀 더 구체적인 메커니즘 설계를 끌어들인다는 장치입니다. 위험 수를 최소화하여 보장되는 모든 방화벽 및 사이트 경계 라우터가 패킷과 함께 사이트를 범위를 대상 주소로 구성되어있습니다. 또한, 노드는 안 조인 멀티 캐스트 그룹에 대해서는 합법적인 사용에 사이트가없습니다 및 사이트 라우터를 구성해야 이러한 사용하지 않는 주소로 패킷 이동합니다.

영상 및 터널링 메커니즘

ipv4되지 않은 것으로 보인다 곧 사라 언제든지합니다. 그것은 매우가 능성이있을 수 ipv4 노드에 대한 네트워크를 수년간가 오지입니다. ipv4 호스트와 통신할 수없습니다 ipv6 호스트를하지 않고 일종의 전환이나 터널링 메커니즘을 용납할 수 추가 복잡하여 기존의 네트워크 토폴로지와 기본 코드는 네트워크 스택입니다. 전환 및 터널링 메커니즘로도 사용할 수있습니다 backdoors로 정상적 ipv4 - 전용 네트워크입니다.

사용 ipv6로 뒷문으로 ipv4 네트워크되었습니다 알려진 연습 2002 년 이후입니다. 12 월 17 일, 하나의 honeynet 프로젝트의 (http://www.honeynet.org) solaris 8 서버는 손상됩니다. 간의 차이점은이 공격과 이전 게시물 이전하는 방법이 공격자가 설정하는 ipv6 터널을 다른 나라와 터널링 밖의 데이터를 도용하려고 시도했다. 이 무시 많은 침입 탐지 시스템의 시간을, 그리고 것이라고 그렇게 오늘입니다. 이 연습되었습니다과 함께보다 쉽게 강림절의 udp - 기반 터널링 메커니즘 설계를 허용 ipv6 뒤에서 nat (연습이 거의 불 앞에 이러한 메커니즘들이 사용할 수있습니다). teredo 및 터널 설정 프로토콜 (작은술)은 두가 이런 메커니즘입니다.

일반적으로 터널링 중 하나가 있는지 확인합니다 입력되는 패킷이 네트워크를 통해 들어오는 패킷 필터 터널을 건너 뛸 수없습니다. 인터넷에서 공격자 수있다, 예를 들어, 보내 ipv4 패킷을 터널 종점 (이 항목 지점을 우리의 네트워크)가 들어있는 ipv6 패킷으로 ipv6 소스 주소를 밖으로 범위의 우리의 내부 네트워크입니다. 터널 종점 decapsulates는 패킷을 전달 ipv6 패킷을 내부 네트워크입니다. 수신기하다고 생각하는 방법이 패킷은 호스트의 내부 네트워크에서 유래합니다. 하나의 사례가에 의존하는 일부 ipv6 보안 메커니즘을 확인하는 홉 한도는 255과 그의 링크 - 로컬 대상 주소가 사용됩니다. 이 같은 패킷을 수있는 ipv6 네트워크를 통해 도입 터널입니다. 자동 터널은 더 많은 위험이 존중하기 때문에 패킷에서 모든 소스를 수락해야합니다. 그래서 부분적인 보호 기능을 구성하는 터널 종점을 받아들일 수있습니다에만 패킷을 구성 터널 시작 지점 또는 수동으로 구성된만이 터널을 사용합니다. 그러나 여전히 스푸핑이 주소는 공격자 수있습니다. 추 필터 메커니즘 터널 종점에서 구현해야 할 수있습니다. 초안 - ietf - v6ops - ipsec - 터널 - 02.txt, "를 사용하여 ipsec을 확보 ipv6 -에 - ipv4 터널,"이동에 대한 자세한 정보를 제공에 대한 지침을 확보 수동으로 구성된 ipv6 -에 - ipv4 터널 ipsec을 사용합니다.

에서 6to4 시나리오에는 특별한 고려에서 논의된 rfc 3964, "보안 고려 사항에 대한 6to4입니다." 여기에 문제가있다는 :) 모든 6to4 라우터 및 decapsulate ipv4 패킷을 허용해야합니다에서 다른 모든 6to4 라우터 및 주소 6to4 릴레이를, 그리고 2) 모든 6to4 릴레이 라우터의 트래픽에서 모든 네이티브 ipv6 노드를 수용해야합니다. 라우팅 시나리오가 분석한는 다음과 같습니다 :

  • 에서 6to4를 6to4

  • 주소 네이티브 ipv6를 6to4

  • 에서 6to4을 기본 ipv6

을 참조하시기 바랍니다 rfc에 대한 자세한 토론의 시나리오 및 우수 사례를 보호하기 위해 귀하의 네트워크입니다.

6 to4 터널링은 잘 - 알려진 전이 메커니즘에 대한 네트워크가 필요하지 않은 현재 네이티브 ipv6 연결합니다. 그것은 라우터를 사용하는 듀얼 - 쌓아 국경을 라우팅할 ipv4 주소입니다. 가 6to4 라우터에 사용될 수있습니다 분산 서비스 거부 (스팸)를 공격을 사용하는 도구라고 불리는 4to6ddos. 4 to6ddos되지 않아도 ipv6 스택을 설치할 중 하나를 공격하거나 피해자 호스트입니다. 그것을 보냅니다 ipv6에 ipv4 캡슐화된 패킷을 직접 대 4로 대 4. 라우터에 사용 6to4 터널링 수도있습니다 dos 공격을 라우터에 연결하기만하면 몇 시간을 함께하는 개인 ipv4 주소입니다. 이러한 라우터와 decapsulate ipv4 패킷을 허용해야합니다 위조된 경우에도합니다. 그들도 수용해야합니다 트래픽에서 모든 네이티브 ipv6 노드입니다. 6 to4도 보증하지 않습니다 대칭 라우팅을 의미하는 트래픽이 걸릴 수있습니다 하나의 라우팅 경로를 이동하여 그 목적을 타고 완전히 다른 경로를 즉시 반환합니다. 이 상황에서 최적의 보안 관점되지 않을 수도있습니다.

매핑된 ipv4 주소 지정 보안 문제를 일으킬 수도있습니다. 예를 들어, 공격자는 전송 an ipv6 패킷과 함께 원본 주소는 : : ffff : 127.0.0.1 또는 : : ffff : 10.1.1.1에 ipv6 원본 주소 필드, 그것이가능한를 우회 접근 제어 목록 ()의 테두리 라우터 또는 방화벽입니다.

이것은 문서가 추가 아메드 rivkin

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions