IPv6 전환 기술의 보안 위협 분석 및 보안 설계에 대한 연구

A Study on Security Analysis and Security Design for IPv6 Transition Mechanisms

  • 최인석 (숭실대학교 정보통신전자공학부) ;
  • 김영한 (숭실대학교 정보통신전자공학부) ;
  • 정수환 (숭실대학교 정보통신전자공학부)
  • 발행 : 2005.11.01

초록

IPv4로부터 IPv4/IPv6로의 전환 및 상호공존을 위한 처리 과정에서의 보안적인 고려는 상당히 중요한 문제이다. IPv4 네트워크와 IPv6 네트워크 사이의 이질적인 문제로 인해 기존의 IPv4 네트워크에서는 일어나지 않았던 다양한 위협이 존재한다. 본 논문에서는 지금까지 제안된 IPv4/IPv6 전환 기술에 대해 살펴보고, 전환 기술에서 나타날 수 있는 다양한 보안적인 위협에 대해서 분석을 하고, 그에 대한 대응방안에 대해 제시하였다. 6to4 전환기술에서는 DoS 및 DRDoS 공격 위협을 분석하고, 주소 무결성 검사방법을 해결책으로 제시하였다. 또, DSTM과 NAT-PT 전환 기술에서는 IPv4 주소를 할당하는 IPv4 주소 pool을 가진 서버에 대한 IPv4 주소 고갈 위협을 분석하였고, IPv4 주소 고갈 위협 문제를 해결하기 위해서 DSTM 전환 기술에서는 challenge-response 메커니즘 방안을 제시하였다.

The IETF has created the v6ops Working Group to assist IPv6 transition and propose technical solutions to achieve it. But it's quite problem which security consideration for a stage of IPv4/IPv6 transition and co-existence. There are new security problem threat that it caused by the characteristics of heterogeneity. In this paper, we describe IPv6 transition mechanisms and analyze security problem for IPv6 transition mechanism. also we propose security consideration and new security mechanism. We analyzed DoS and DRDoS in 6to4 environment and presented a address sanity check as a solution. We also showed an attack of address exhaustion in address allocation server. To solve this problem, we proposed challenge-response mechanism in DSTM.

키워드

참고문헌

  1. 차세대 인터넷 프로토콜 : IPv6, IPv6 포럼코리아, 3월 2002
  2. J. Wiljakka (ed.), 'Analysis on IPv6 Transi­tion in 3GPP Networks,' Internet Draft, draft-ietf-v6ops-3gpp-analysis-09.txt, March 2004
  3. E. Nordmark and R. E. Gilligan, 'Basic Transition Mechanisms for IPv6 Hosts and Routers,' Internet Draft, draft-ietf-v6ops­mech-v2-02.txt, January 30, 2004
  4. William R. Cheswick and Steven M. Bellovin, Firewalls and Internet Security: Repelling the Wily Hacker, ISBN 0-201-­63357-4, 1994
  5. B. Carpenter and K. Moore, 'Connection of IPv6 Domains via IPv4 Clouds,' RFC 3056, February 2001
  6. F. Templin, T. Gleeson, M. Talwar, and D. Thaler, 'Intra-Site Automatic Tunnel Addre­ssing Protocol (ISATAP),' Internet Draft, draft-ietf-ngtrans-isatap-21.txt, April 2004
  7. C. Huitema, 'Tunneling IPv6 over UDP through NATs,' Internet Draft, draft- huite­ma-v6ops-teredo-03.txt, November 2004
  8. J. William Atwood, Kedar C. Das, and Xing (Scott) Jiang, 'IPv4/IPv6 Translation: Allowing IPv4 hosts to communicate with IPv6 hosts without modifying the software on the IPv4 or IPv6 hosts
  9. Jim Bound, 'Dual Stack Transition Mechani­sm,' Internet Draft, draft-bound-dstm-exp-­01.txt, April 2004
  10. G. Tsirtsis and P. Srisuresh, 'Network Add­ress Translation-Protocol Translation (NAT­PT),' RFC 2766, February 2000
  11. E. Nordmark, 'Stateless IP/ICMP Translation Algorithm (SIIT),' RFC 2765, February 2000
  12. K. Tsuchiya, H. Higuchi, and Y. Atarashi, 'Dual Stack Hosts using the Bump-In-the­-Stack Technique (BIS),' RFC 2767, Fe­bruary 2000
  13. S. Lee, M-K. Shin, Y-J. Kim, E. Nordmark, and A. Durand, 'Dual Stack Hosts Using 'Bump-in-the-API' (BIA),' RFC 3338, October 2002
  14. P. SavoIa and C. Patel, 'Security Consider­ations for 6to4,' Internet Draft, draft-ietf-­v6ops-6to4-security-02.txt, March 2004
  15. P. Ferguson and D. Senie, 'Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,' RFC 2267, January 1998
  16. Steve Gibson, 'DRDoS (Distributed reflec­tion Denial of Service),' Gibson Research Cor- poration, February 2002
  17. P. Srisuresh, G. Tsirtsis, P. Akkira ju, and A. Heffernan, 'DNS extensions to Network Address Translators (DNS_ALG),' RFC 2694, September 1999