بخشی از مقاله
بررسی چالش های امنیتی IPv6 در مقایسه با IPv4 وارائه راهکار برای آن
خلاصه
امنیت یک موضوع گسترده و پیچیده است، موضوعی است که آزمایش و تجربه کردن آن به راحتی امکان پذیر نمی باشد. برخی از حمله هایی که به شبکه های IPv4 می شود، در زمان مهاجرت به قوت خود باقی می مانند، برخی دیگر از حمله ها فقط درIPv4 کار می کنند ودر زمان مهاجرت به IPv6 ماهیت خود را ازدست می دهند. به تبع آن برخی از پروتکل های امنیتی درIPv4 وIPv6 کار خواهند کرد ولی برخی دیگر ممکن است در IPv6 کار نکنند. تجهیزاتی نظیر فایروال، IDS و...که درIPv4 بعنوان تجهیزات امنیتی کار می کنند ممکن است در زمان مهاجرت با مشکلاتی روبرو شوند.
کلمات کلیدی:IPv6 ، امنیت، تهدیدات، آسیب پذیری.
.1 مقدمه
امنیت IPv6 در بسیاری از موارد همانند امنیت IPv4 است. مکانیزم اصلی که عبور دادن بسته ها در طول شبکه اینترنت است تغییر نمی یابد و پروتکل های لایه های بالایی که داده های کاربردی عملی را منتقل می کنند، بصورت چشمگیری بدون تاثیر باقی می مانند. البته به علت اینکه IPv6 وجود پروتکل امنیت در لایه IP را اجباری کرده است، لذا امنیت IPv6 به مراتب از امنیت IPv4 بالاتر است. همچنین ممکن است این مورد در محیط ایده آل و در برنامه های کاربردی که به خوبی کد شده اند، درست باشد، اما درحقیقت زیر بنای با هویت قوی ومدیریت کلید موثر همان مسائلی هستندکه گسترش IPSec درIPv4 وIPv6 را سخت نموده است. بنابر این IPv6معمولاً بدون هیچگونه حفاظت رمزنگاری گسترش داده می شود. بعلاوه، به علت اینکه بسیاری از نقص های امنیتی در سطح برنامه کاربردی اتفاق می افتد، حتی اعمال موفق IPSec درIPv6 هم هیچگونه امنیت اضافی را برای حمله هایی که در خارج از مقدار توانایی تشخیص منبع حمله اتفاق می افتد، ضمانت نمی کند.[2]
.2 معرفی پروتکل اینترنت نسخه 6
در اوایل دهه 0991، پذیرش خیلی زیاد اینترنت به عنوان پرشورترین رسانه ی ارتباطی در سراسر جهان منجر به اشباع شدن ثبت اینترنت از طریق تقاضای فضای آدرس IP از سوی سازمان های سراسر جهان شد. انگیزه ابتدایی و اصلی برای طراحی و استقرار IPv6، گسترش فضای آدرس های کنونی در اینترنت بود که به کمک آن بتوان میلیون ها وسیله ای که در دنیا عرضه شده بود (مانند تلفن های همراه، تبلت ها و کامپیوتر های جیبی و ...)، کشورهایی که درخواست بیشتری برای کاربران خود داشتند (مانند چین و هند)، تکنولوژی های نرم افزاری جدید که نیاز به پهنای باند گسترده و همیشگی اینترنت دارند و هزاران مثال دیگر را در دنیای شبکه و اینترنت وارد نمایند.
پشتیبانی از نرم افزار دنیای واقعی اضافه شده به مجموعه پروتکل IPv4 در طی سال ها از همان ابتدا برای IPv6 طراحی شد. این مورد همچنین پشتیبانی برای امنیت، چند پخشی، پویایی، و پیکربندی خودکار را در بر می گیرد. تفاوت برجسته ی تکامل از IPv4 به IPv6 توسعه ی چشمگیری در اندازه ی فیلد آدرس IP داشته است. در حالی که IPv4 از یک فیلد آدرس 22 بیتی استفاده می کند، IPv6 از 021 بیت استفاده می کند. یک فیلد آدرس 22 بیتی حداکثر 222 آدرس یا 2.2 میلیارد آدرس را فراهم می کند. یک فیلد آدرس 021 بیتی 2021 آدرس یا 221 تریلیون تریلیون تریلیون آدرس یا (2.2× 0121) آدرس را فراهم می کند.[0]
.3 تحلیل چالش های امنیتی
در این بخش به ارزیابی و مقایسه تهدیداتIPv4 وIPv6 پرداخته خواهدشد. این بخش به دو قسمت اصلی تقسیم می شود، قسمت اول به تشریح حملاتی می پردازد که به خاطراستفاده ازIPv6 به طور قابل توجهی تغییرمی کنند و قسمت دوم خلاصه ای ازحملاتی است که دچارتغییرات اساسی نمی شوند. در زیر نه نوع حمله ای که نام آنها آمده است، پس ازانتقال به دنیای IPv6، تغییر قابل توجهی داشته اند. در برخی موارد این حملات ساده تر، در برخی موارد سخت ترشده اند، و در برخی دیگر فقط روش ها تغییرکرده است.[2]
.0 شناسایی.
.2 دسترسی های غیرمجاز.
.2 دستکاری سرآیند و خرد(فرگمنت)کردن.
.2 جعل درلایه 2 و لایه .2
.5 حملات پروتکل تفکیک پذیری آدرس (ARP) و پروتکل پویای تنظیمات میزبان(. (DHCP .6 حملات تقویت پخش .(Smurf)
.7 حملات مسیریابی.
.1 ویروس ها و کرم ها.
.9 مکانیسم های انتقال، ترجمه و تونل زنی.
باتوجه به گستردگی حملات فوق تنها به دو مورد این حملات در این مقاله پرداخته خواهد شد وبقیه حملات در مقالات دیگری منتشر خواهد شد.
.3.1 حملات مسیریابی
حملات مسیریابی بر اخلال و یا هدایت دلخواه جریان ترافیک در یک شبکه تمرکز دارد و این کاربه راه های مختلفی، اعم از حملات سیل آسا، اعلام سریع و حذف مسیر، و اعلام مسیرهای ساختگی صورت می پذیرد. بسته به نوع پروتکل مورداستفاده قرارگرفته است، نوع حملات متفاوت است.[01]
.3.1.1 ملاحظات در IPv4
درشبکه های IPv4، پروتکل های مسیریابی به طور معمول با استفاده از محافظ احراز هویت مخفی و کد گذاری شده و به منظورحفظ امنیت اطلاعیه های مسیریابی که بین پایانه های همکار رد وبدل می شوند، محافظت می شوند. شایع ترین روش اجرا شده، استفاده از الگوریتم دریافت پیام (MD5) 5 همراه با احراز هویت با یک کلید(رمز) ازپیش تعیین شده بین پایانه های همکار درمسیریابی می باشد.
.3.1.2 ملاحظات در IPv6
دراین بخش به تشریح تفاوت در مکانیزم های امنیتی اساسی چندپروتکل مسیریابی دردوره انتقال به IPv6 پرداخته خواهدشد. در قسمت اول این بخش به تفاوت موجود درتکنولوژی ها بدون در نظر گرفتن فناوری های موجودپرداخته خواهدشد ودرقسمت دوم به تشریح قابلیتهای فعلی دشمن و مدافع دراین زمینه پرداخته خواهدشد.
❖ تفاوت های موجود درتهدیدات فناوری
چندین پروتکل، مکانیزم های امنیتی خود را در هنگام انتقال ازIPv4 بهIPv6 تغییر نداده اند و چند پروتکل دروازه مرزی((BGP به منظور برعهده گرفتن اطلاعات مسیریابی در حوزه داخلیIPv6 در RFC2545، بوجود آمد. به این ترتیب، نیز برای احراز هویت همچنانTCP به MD5 وابسته است. در پیش نویس مشخصات پروتکل " " IS-IS ٌ ، از آن به عنوان محافظ شبکه IPv6 نام برده شده است، اما درعمل درقالب احراز هویت اساسی((IS-IS تغییری نکرده است در اصل، IS-IS برای احراز هویت بسته ها در وضعیت اتصال((LSP ٍ و از طریق گنجاندن اطلاعات احراز هویت به عنوان بخشی ازLSP طراحی شده است. امارمز عبور ساده تأیید هویت، گویا رمزگذاری نشده است. RFC 3567 احرازهویت رمزگذاری شده را به IS-IS می افزاید ودر شبکه های IPv6 نیز برای محافظت از ترافیک IS-IS، همچنان همین روش احرازهویت مورد استفاده قرار خواهد گرفت. در نسخه 2 پروتکل (OSPFv3)َ،زمینه های احرازهویت سرآیند OSPF حذف شده اند. درنسل جدید پروتکل(4(RIPng نیز احرازهویت از مشخصات پروتکل حذف شده است. این پروتکل ها ( یعنی OSPF و ( RIPng به منظور حفظ تمامیت، احرازهویت، محرمانه بودن و ضد پخش بودن کلیه ارتباطاتی که در آنها اطلاعات مسیریابی تبادل می شود، به سرآیند احراز هویتِIPSec وسرآیندهای کپسوله کردن امنیت ظرفیت ترابری محموله((ESP تکیه می کنند. کارهای دیگری نیز برای تأمین امنیت هر دو پروتکلIPv4 وIPv6 ، از جمله" مکانیزم امنیتی تعمیم یافته ی "TTL در حال انجام است. اگر در سرآیند IPv6 برای محافظت از یک توده ی پروتکل از نرم افزار محدود کننده هاپ استفاده شود آنگاه این مکانیزم (مکانیزم امنیتی تعمیم یافته ی (TTL درپروتکلهای خاصIPv6 نیز قابل اجرا است.
❖ قابلیت های فناوری کنونی
ارائه دهندگان خدمات اینترنت ازمکانیزم های امنیتی که قرار است امنیت پروتکل های تغییریافته با IPv6، OSPFv3 و RIPng را تأمین کنند بطور منظم، مداوم ویکسان استفاده نمی کنند.
.3.1.3 بهترین راهکارهای پیشنهادی
بهترین راهکارهای پیشنهادی به شرح ذیل می باشند:
• درشبکه های BGP و IS-IS، از مکانیسم های احرازهویت سنتی استفاده شود.
• برای ایمن سازی پروتکل هایی مانند OSPFv3 و RIPng از IPSec استفاده شود. البته این بستگی دارد به آنچه در مرکز ارائه دهنده خدمات اجرا و پیاده شده است.
• برای محافظت از دستگاه های شبکه از محدودیت های هاپ IPv6 استفاده شود. برای حفاظت ازتوده پروتکل دربرابرحمله، محدودیت های هاپ IPv6 اجرا شده در مرکز ارائه دهنده خدمات را باید بررسی کرد. به عنوان مثال، یک تکنیک اساسی این است که مقدارعددی زمان ارتباط مستقیم (TTL) با یک دستگاه همکار معتبر در هنگام شروع باید 255 باشد واطمینان حاصل شود که در ادامه عدد این TTL پذیرفته شده توسط مسیریاب به اندازه کافی بالا هست تا مانع پذیرش بسته های جعلی ای شود که از بخش های مختلف زیرساخت آمده اند.
.2.3 مکانیزم های ترجمه، انتقال و تونل زنی
تلاش های بسیاری برای ارزیابی پیامدهای امنیتی تکنیک های دوره انتقال ازIPv4 بهIPv6 صورت گرفته است. این تکنیک هارا می توان دردسته های زیرقرارداد:
•پشته دوگانه • تونل زنی • ترجمه وجود فناوری های زیاد انتقال، موقعیتی را ایجاد می کند که در آن طراحان شبکه باید پیامدهای امنیتی فناوری های انتقال را درک کنند
وتکنولوژی انتقال مناسب رابرای شبکه ی خود انتخاب کنند. دربخش های قبلی اینطور فرض کردیم که پایانه های میزبان و زیرساخت های شبکه، هنگام بحث در مورد دسترسی های بومی و داخلی IPv6 بصورت تکراری و پشته دوگانه انباشته می شوند. در ذیل به تشریح برخی از مسائلی که پایانه های میزبان در صورت عدم انباشت بصورت تکراری و دوگانه باآنها مواجه خواهند شد، پرداخته خواهدشد و درچنین شرایطی این پایانه ها برای برقراری ارتباطات مختلف در شبکه IPv4، باید به فناوری تونل زنی یا ترجمه تکیه کنند.[5]
.3.2.1 مسائل و مشاهدات
مسائل و مشاهدات شامل این موارد است:
• با توجه به فناوری های تونل زنیIPv6 وفایروال ها، اگر طراح شبکه هنگام تعریف خط مشی امنیتی، فناوری تونل زنی IPv6 را در نظر نگیرد، احتمالاً ترافیک غیر مجاز می تواند در تونل ها از فایروال عبور کند. این موضوع شبیه به قضیه پیام های فوری (IM)ِ و برنامه های به اشتراک گذارنده فایلی است که با استفاده از پورت11، TCP به خارج ازشبکهIPv4 ارسال می شوند.[2]
• همانطور که در بسیاری از مطالعات انجام گرفته درموردانتقال آمده است، مکانیسم های تونل زنی اتوماتیک به حملات DOS و جعل بسته ها حساس هستند. این خطرات همانند خطرات موجود در IPv4هستند، فقط تعداد مسیرهای قابل بهره برداری برای دشمنان افزایش یافته است.
• درشبکه هایIPv6، پوشش های تونل زنی بعنوان شبکه هایی با قابلیت دسترسی چندگانه و غیرپخشی به حساب می آیند ولازم است که طراح شبکه هنگام طراحی امنیتی شبکه این واقعیت را درنظرداشته باشد. طراح شبکه هنگام استقرار(نصب) تونل زنی اتوماتیک یا استاتیک باید این موضوع را مد نظر قرار دهد.
• فناوری های ترجمه رله، تونل زنی اتوماتیک را به کمک یک گروه سوم و مسیرهای DOS اضافی معرفی می کند. این خطرات نسبت بهIPv4 تغییرنکرده است، اما راههای جدیدی برای بهره برداری دشمن ارائه کرده اند. که با محدود کردن تبلیغات مسیریابی رله ها به مشتریان داخلی یا خارجی می توان این راه ها را محدودکرد.
• در شبکه های IPv6، نوع تونل زنی استاتیک ترجیح داده می شود، چراکه اجازه دادن ها و اجازه ندادن های مستقیم جزء سیاست های دستگاه های استفاده کننده می باشد.
• تجزیه وتحلیل تکنیک های ترجمه که برای شبکه های IPv6 مشخص شده اند، نشان می دهد که همانند فناوری های ترجمه مخصوص شبکه های IPv4 با مشکلات حملات DOS و جعل مواجه هستند.
• تکنیک های رله و ترجمه IPv6 به IPv4 می توانند موجب شکست تلاش های ردیابی دفاع فعالی شوند که پشت حمله کننده پنهان شده اند. هنگام تمرکز بر امنیت میزبان در یک دستگاه دارای پشته دوگانه، لازم است توجه داشت که هم درشبکه هایIPv6 و هم درشبکه هایIPv4،
برنامه های کاربردی می توانند هدف حملات باشند. بنابراین، هنگامی که نیاز به عملیات مسدود کردن اطلاعات و ترافیک است، تمامی کنترل کننده های میزبان(فایروال ها، شبکه های اختصاصی مجازی، مشتریان، IDSها و غیره) باید ترافیک های ارسالی از هر دو IPv4 و IPv6 را مسدود کنند. برای مثال، هنگامی که تونل زنی دو بخشی بر روی VPNسرویس گیرنده های IPv4 غیرفعال می شود، آن سرویس گیرنده VPN باید تونل زنی دو بخشی IPv6 را نیز مسدود کند، حتی اگر VPNمورد نظر مستقیماً خدمات اختصاصی IPv6 را پشتیبانی نکند. در حال حاضر ابزارهای حملاتی برای دوره انتقال ازIPv4 به IPv6 وجود دارند که می توانند حملات DOS را جعل، راه اندازی و هدایت کنند.[2]