37 IPv6 환경의 보안 위협 및 공격 분석 An Analysis of Security Threat and Network Attack in IPv6 정보흥 (B.H. Jung) 임재덕 (J.D. Lim) 김영호 (Y.H. Kim) 김기영 (K.Y. Kim) 차세대 인터넷 표준인 IPv6 가 제정되고 보급되기 시작하면서 IPv6 에서의 보안이 중요 한 이슈로 등장하고 있다 . IPv6 는 기존의 IPv4 와 달리 IPsec 을 기본적으로 지원하여 보안성이 강화될 것으로 예상하고 있으나 IPv6 환경으로의 전환 , IPv6 프로토콜 스펙 의 변경 등의 요인으로 인하여 보안에 대한 필요성이 증대되고 있다 . 본 고에서는 IPv6 환경의 보안위협 및 공격들을 분석하고 침입탐지 / 차단 기술의 관점에서 이러한 보안 문제를 해결하기 위한 방법을 기술한다 . 보안운영체제연구팀 선임연구원 보안운영체제연구팀 선임연구원 보안운영체제연구팀 연구원 보안운영체제연구팀 팀장 전자통신동향분석 제 22권 제 1호 2007년 2월 목 차 Ⅰ. 서론 Ⅱ. IPv6로 전환시 보안 위협 Ⅲ. IPv6 침입탐지 및 차단을 위한 보안 고려사항 Ⅳ. IPv6 네트워크 공격기술 및 공격 툴 Ⅴ. IPv6 네트워크 공격 및 침해 요소에 대한 대응 방안 Ⅵ. 맺음말 u-IT839의 정보보호 이슈 특집
reflection ,
IPv6 ser-
vice theft .
3. IPv6
IPv6
IPv4
.
IPv6 IP
IPv4
.
IP flow label
, (auto-configuration)
, NS/NA
. IP flow label
, IPv6 IP flow
label flow
, flow
[10].
, IPv6
RA
IP
,
. , NIC
IP
,
. ,
DAD
,
. IP
.
NS/NA , NS/NA
[11]. ,
NS source link-layer
address NA
target link-layer address
.
. THC IPv6
THC[12] IPv6
. IPv6 .
/ IPv6
47
. A B
B MAC
(ff02::1) ICMPv6 ND( :
NS) , B NA
A .
NA MAC
A B
.
MAC
. MAC
ICMP
IPv6
.
, IP
.
IPv6
ND( : NS)
(ff02::1) .
NA
. thc-ipv6 dos-new-ipv6 DAD
DAD
NA
.
.
(ff02::1)
RA ICMPv6
. RA
. ICMPv6 thc-
ipv6 fake_router6 RA
.
. IPv4
ICMP echo request 3
1. ND 2. NS
Multicast Address query = Who-has IP B?
parasite6 : Answer to every NS, claim to be every system on the
LAN
2. NA: ICMP Type = 136 Src = B Dst = A Data = Link Layer
Address
inet6 addr: 2001:220:804:20::3/64 Scope:Global
A B
1. ND
Multicast Address query = Who-has IP A?
dos-new-ipv6 : Answer to every NS, claim to be every system on the
LAN
2. No reply if nobody owns the
IP Address
A
1. RS 2. RA
1. RS: ICMP Type = 133 Src = :: Dst = FF02::2 query = please send
RA
fake_router6 : Sets any IP as default router
2. RA: ICMP Type = 134 Src = Router Link- local Address Dst =
FF02::1 Data = options, prefix, lifetime, autoconfig flag
( 4) THC : fake_router6
A
48
. ICMP echo re-
quest victim
[15]. 2003 Thomas
Graf http://trash.net/
~reeler/j6p.tar.bz2 .
DO option type 2
00
. 01 .
, 00
.
IPv6-over-IPv4
. SIT, 6to4,
Teredo[16] .
, 6to4
.
, 6to4 2002::/16
, 41
. ,
UDP Teredo
.
.
ESP
,
IPsec
,
(distributed firewall or personal
firewall) IPsec
. RFC3041[17]
1. ND 2. NS
1. ER: ICMP type = 128 (Echo Request) Src = B Dst = A (or All-Node
Multicast
Address)
2. ER: ICMP type = 129 (Echo Reply) Src = A Dst = B
( 5) THC : smurf6
A B
49
IP , DAD
ACL Access Control List
BcN Broadband convergence Network
50
[2] Cisco NetFlow, http://www.cisco.com/warp/public/
ress Autoconfiguration,” RFC2462, Dec. 1998.
[4] P. Nikander, J. Kempf, and E. Nordmark, “RFC3756:
IPv6 Neighbor Discovery (ND) Trust Models and
Threats,” IETF, May 2004.
bor Discovery for IP Version 6 (IPv6),” RFC2461,
Dec. 1998.
sion 6 (IPv6) Specification,” RFC2460, Dec. 1998.
[7] D. Johnson, C. Perkins, and J. Arkko, “Mobility Sup-
port in IPv6,” RFC3775, June 2004.
[8] R. Gilligan and E. Nordmark, “RFC2893: Transition
Mechanisms for IPv6 Hosts and Routers,” IETF,
Aug. 2000.
Internet Security Systems, 2003.
[10] J. Rajahalme, A. Conta, B. Carpenter, and S. Deer-
ing, “RFC3697: IPv6 Flow Label Specification,”
IETF, Mar. 2004.
Neighbor Discovery for IP Version 6,” IETF, Dec.
1998.
fault.net/
Steve J. Chapin, “Covert Channels in IPv6,” Work-
shop on Privacy Enhancing Technologies, 2005.
[14] D. Llamas, C. Allison, and A. Miller, “Covert Chan-
nels in Internet Protocols: A Survey,” Workshop on
Privacy Enhancing Technologies, 2005.
The Swiss Unix User Group, Switzerland, http://
gray-world.net/papers/messip6.txt, 2003.
through NATs,” RFC4380, Feb. 2006.
[17] T. Narten and R. Draves, “Privacy Extensions for
Stateless Address Autoconfiguration in IPv6,” RFC
3041, Jan. 2001.
, 21 5, 2006, pp.163-170.
I.
III. IPv6
IV. IPv6
V. IPv6
VI.