한국정보과학회논문지:정보통신 (Journal of KIISE:Information Networking)

한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지

IPv4/IPv6 터널링 환경에 적합한 패킷 필터링 기능 설계 및 구현

Design and Implementation of Packet Filtering System for IPv4/IPv6 Tunneling Environment

  • 허석렬 (부산대학교 바이오시스템공학부) ;
  • 이완직 (부산대학교 바이오시스템공학부) ;
  • 김경준 (호남대학교 전파이동통신공학과) ;
  • 정상진 (한국전자통신연구원 표준연구센터) ;
  • 신명기 (한국전자통신연구원 표준연구센터) ;
  • 김형준 (한국전자통신연구원 표준연구센터) ;
  • 한기준 (경북대학교 컴퓨터공학과)
  • 발행 : 2006.12.15
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

현재의 모든 IPv4망을 향후 단기간 내에 IPv6망으로 대체하는 것은 높은 비용과 기술적인 제약이 예상되며 이런 점 때문에 상당한 기간 동안 IPv4와 IPv6가 공존하게 될 것이다. IPv4와 IPv6가 상호 공존하는 환경에서는 각각의 프로토콜을 기반으로 하는 보안에 문제가 없더라도 연동에 따른 보안 문제가 새롭게 발생한다. 따라서 IPv6로의 효과적인 이전과 정착을 위해서는 IPv4/IPv6 연동과정에서 발생하는 다양한 보안 위협에 대한 분석과 이에 대한 해결 방안이 반드시 필요하다. 본 논문에서는 IPv4/IPv6 연동 환경에서 발생할 수 있는 보안 위험요소를 막기 위해 터널링 연동환경에 적합한 패킷 필터링 규칙을 제시하였다. 또한, 제시된 패킷 필터링 규칙을 기반으로 리눅스 시스템의 넷필터(netfilter)와 ip6tables 형태로 터널링 환경에 적합한 패킷 필터링 기능을 설계 구현하였다. 그리고 시험용 테스트베드 터널링 연동 환경에서 정상적으로 동작하는 것을 확인하였다.

As substituting IPv6 network for all IPv4 network in a short time seems unattainable due to high cost and technical limitation, IPv4 and IPv6 are expected to coexist for a certain period of time. Under the co]existing environment of IPv4 and IPv6, interworking brings a number of extra security considerations even if it may have no security problem for each protocol respectively. Thus, the analysis and solutions for those various attacks toward IPv4/IPv6 interworking-related security are inevitably required for the sake of effective transition and settlement to IPv6. In this paper we carried out a proper rule of packet filtering for IPv6-in-IPv4 tunneling interworking environment to protect the IPv4/IPv6 interworking-related security attacks. Design and implementation of the packet filtering system suitable for IPv4/IPv6 tunneling environment in the form of Linux netfilter and ip6tables are also shown. Thru this study, the packet filtering system was found operating correctly ill the tunneling mechanism.

키워드

참고문헌

  1. E. Davies et al., 'IPv6 Transition/Co-existence Security Considerations,' draft-ietf-v6ops-security-overview-04.txt(work in progress), March 6, 2006
  2. P. Savola, 'Firewalling Considerations for IPv6,' draft-savola-v6ops-firewalling-01.txt(work in progress), March 2003
  3. M-K Shin, 'Security Implication of IPv6 and IPv6 Transition,' ETRI, May 2005
  4. R. Gilligan and E. Nordmark, 'Transition Mechanisms for IPv6 Hosts and Routers,' RFC 2893, August 2000
  5. B. Carpenter and K. Moore, 'Connection of IPv6 Domains via IPv4 Clouds,' RFC 3056, February 2001
  6. F. Templin et al., 'Intra-Site Automatic Tunnel Addressing Protocol (ISATAP),' draft-ietf-ngtrans-isatap-24.txt(work in progress), January 2005
  7. 정상진, 'IPv6 방화벽 요구사항 분석서,' ETRI, Aug. 2005
  8. P. Savola, 'Security of IPv6 Routing Header and Home Address Options,' draft-savola-ipv6-rh-ha- security-03.txt(work in progress), December 2002
  9. E. Davies et al., 'Best Current Practice for Filtering ICMPv6 Messages in Firewalls,' draft-davies-v6ops-icmpv6-filtering-bcp-00.txt(work in progress), July 2005
  10. P. Savola, 'Security Considerations for 6to4,' RFC 3964, December 2004
  11. Satomi Okazaki and Anand Desai, 'NAT-PT Security Considerations,' draft-okazaki-v6ops-natpt-security-00.txt(work in progress), June 2003
  12. R. Graveman et al., 'Using IPsec to Secure IPv6-in-IPv4 Tunnels,' draft-ietf-v6ops-ipsec-tunnels-02.txt (work in progress), March 2006
  13. FreeBSD Hypertext Mar. Pages, 'IPFW-IP firewall and traffic shaper control program,' www.freebsd.org
  14. 정상진, 'IPv6 방화벽 구현 설계서,' ETRI, Aug. 2005
  15. IANA, 'Special-Use IPv4 Addresses,' RFC 3330, September 2002
  16. Rusty Russell, 'Linux 2.4 Packet Filtering HOWTO,' www.netfilter.org.
  17. Rusty Russell, 'Linux Netfilter Hacking HOWTO,' www.netfilter.org.
  18. Fabrice MARIE, 'Netfilter Extensions HOWTO,' www.netfilter.org.