ipv6 security - bosko jolic
DESCRIPTION
Master rad, zastita IPv6 mreza.TRANSCRIPT
UNIVERZITET U BEOGRADUELEKTROTEHNIČKI FAKULTET
Katedra za telekomunikacije
IPv6 Security-Master rad-
Autor: Mentor:
Boško Jolić 3209/2011 Dr. Aleksandar Nešković, vanr. prof.
Beograd, novembar 2012.
SSADRŽAJADRŽAJ
SADRŽAJ............................................................................................................................................................................2
1. UVOD.........................................................................................................................................................................4
1.1. IPV6 POJMOVI....................................................................................................................................................5
2. IPV6 ADRESIRANJE..............................................................................................................................................6
2.1. IPV6 UNICAST ADRESE........................................................................................................................................72.1.1. Adrese specijalne namene............................................................................................................................9
2.2. IPV6 ANYCAST ADRESE.......................................................................................................................................92.3. IPV6 MULTICAST ADRESE...................................................................................................................................9
3. IPV6 – FUNKCIJE I PROCESI............................................................................................................................12
3.1. FORMAT IPV6 PAKETA.....................................................................................................................................123.1.1. IPv6 zaglavlja proširenja...........................................................................................................................13
3.2. ICMP ZA IPV6.................................................................................................................................................153.2.1. ICMPv6 poruke o grešci.............................................................................................................................153.2.2. ICMPv6 informativne prouke.....................................................................................................................16
3.3. PROTOKOL ZA OTKRIVANJE SUSEDA (NEIGHBOR DISCOVERY PROTOCOL).......................................................163.3.1. Otkrivanje rutera i prefiksa........................................................................................................................173.3.2. Razrešavanje adrese...................................................................................................................................183.3.3. Redirekcija hosta na sledeći skok...............................................................................................................193.3.4. Inverzno otkrivanje suseda.........................................................................................................................20
3.4. ALGORITMI ZA OTKRIVANJE SUSEDA...............................................................................................................203.4.1. Utvđivanje sledećeg skoka..........................................................................................................................203.4.2. Detektovanje duplikata adrese...................................................................................................................213.4.3. Detektovanje nedostupnog suseda..............................................................................................................213.4.4. Automatska konfiguracija...........................................................................................................................22
3.5. STRATEGIJE IPV6 TRANZICIJE..........................................................................................................................223.5.1. Dual stack...................................................................................................................................................223.5.2. Manual tunnel.............................................................................................................................................223.5.3. 6to4 tunnel..................................................................................................................................................233.5.4. ISATAP tunel..............................................................................................................................................243.5.5. Teredo tunel................................................................................................................................................243.5.6. Proxying and translation (NAT-PT)...........................................................................................................24
4. ZAŠTITA IPV6 MREŽA.......................................................................................................................................26
4.1. PRETNJE VAZANE ZA NOVE ASPEKTE IPV6 PROTOKOLA..................................................................................264.1.1. Izviđanje.....................................................................................................................................................264.1.2. Neautorizovan pristup................................................................................................................................274.1.3. Manipulacija zaglavljem............................................................................................................................284.1.4. Fragmentacija............................................................................................................................................294.1.5. Spoofing na sloju 3 i sloju 4.......................................................................................................................304.1.6. Napadi izvedeni tokom inicijalizacije hosta i razrešavanje adresa...........................................................324.1.7. Napadi putem intenziviranja emisije (Smurf).............................................................................................334.1.8. Napadi na rutiranje....................................................................................................................................344.1.9. Virusi i crvi.................................................................................................................................................344.1.10. Napadi preko tranzicionih mehanizama................................................................................................35
4.2. PRETNJE SA SLIČNIM PONAŠANJEM KOD IPV4 I IPV6......................................................................................354.2.1. Sniffing (Njuškanje)....................................................................................................................................35
2
4.2.2. Napadi na sloju aplikacije..........................................................................................................................364.2.3. Uređaji otpadnici (Rogue Devices)............................................................................................................364.2.4. Man-in-the-Middle napadi.........................................................................................................................364.2.5. Preplavljivanje...........................................................................................................................................36
5. RASPOLOŽIVI ALATI ZA ZAŠTITU IPV6 MREŽA......................................................................................37
5.1. IPSEC ZA IPV6.................................................................................................................................................375.1.1. IPsec koncepti.............................................................................................................................................375.1.2. Korišćenje IPv4 IPsec za zaštitu IPv6 tunela.............................................................................................395.1.3. Zaštita komunikacija između rutera pomoću IPv6 IPsec-a........................................................................39
5.2. LISTE ZA KONTROLU PRISTUPA........................................................................................................................415.2.1. Proširene IPv6 ACL liste i filtriranje pomoću spoljnog mehanizma.........................................................415.2.2. IPv6 ACL liste i fragmentacija...................................................................................................................425.2.3. Primer IPv6 liste za kontrolu pristupa.......................................................................................................435.2.4. Korišćenje ACL listi za kontrolu MIPv6 operacija na home agentu..........................................................44
5.3. AUTENTIFIKACIJA, AUTORIZACIJA I OBRAČUN NAKNADE ZA KORIŠĆENJE SERVISA.....................................465.4. UNICAST PROSLEĐIVANJE PREKO INVERZNOG PUTA (UNICAST REVERSE PATH FORWARDING).........................485.5. ZAŠTITA KONTROLNE RAVNI POMOĆU OGRANIČAVANJA BRZINE....................................................................49
6. IPV6 FIREWALL....................................................................................................................................................50
6.1. ULOGA FIREWALL-A NA PERIFERIJI IPV6 MREŽE.............................................................................................506.1.1. Filtriranje paketa........................................................................................................................................536.1.2. Funkcije Firewall-a....................................................................................................................................556.1.3. Cisco IOS Firewall.....................................................................................................................................566.1.4. Cisco ASA uređaji.......................................................................................................................................58
7. ZAKLJUČAK.........................................................................................................................................................60
Literatura..........................................................................................................................................................................62
3
1.1. UUVODVOD
Moderni Internet se suočava sa problemom nestanka javnih IPv4 adresa, koje služe za identifikaciju komunikacionih uređaja (računara, servera, rutera, mobilnih telefona) na globalnom nivou. U svetu postoji jaka inicijativa i preporuka od strane internet zajednice da se pređe na korišćenje nove verzije protokola mrežnog sloja (Internet protokol verzija 6 – IPv6) dizajniranog sredinom devedesetih godina prošlog veka. Sadašnja verzije protokola (IPv4) ima nedostatke koji komplikuju a neki od njih i ograničavaju dalji razvoj Interneta, pri čemu se ograničenost adresnog prostora ističe kao najbitniji. Ipak, IPv6 je nešto više od običnog proširenja adresnog prostora. Uloženi su značajni napori da se reše problemi samog protokola, njegove implementacije i funkcionisanja.
Kako IPv6 i IPv4 protokoli nisu međusobno kompatibilni, postojeća mrežna infrastruktura i sistemi se moraju menjati kako bi omogućili korišćenje novog protokola. Procenjuje se da ova migracija mrežne arhitekture može da potraje i do nekoliko desetina godina, zbog operativnih, sigurnosnih i najviše ekonomskih razloga. Stoga su se uporedo sa protokolom razvijale metode, procesi i mehanizmi koji omogućavaju postepeni prelazak i koegzistenciju dva protokola u tom periodu.
Velika većina web servera i aplikacija još uvek koristi samo IPv4 protokol za komunikaciju, dok će se istovremeno zbog nedostatka IPv4 adresa pojavljivati sve veći broj mreža koje koriste samo IPv6 adrese (IPv6-only mreže). Takođe, neki uređaji (štampači, skeneri..) i računari sa starijim operativnim sistemima nikada neće moći da rade na IPv6. Rešenja za interoperablinost ovih uređaja u prelaznom periodu su predstavljene u mehanizmima translacije.
RFC 2401 zahteva korišćenje IPsec-a na svim hostovima, što bi moglo da ograniči usvajanje IPv6 kod određenih tipova komunikacionih uređaja. Na primer, mobilni telefoni možda nemaju mogućnost za implementaciju IPsec-a. Ovo je prirodan zahtev u kontekstu težnje IPv6 protokola da obezbedi novu infrastrukturu koja podržava peer-to-peer aplikacije. Ukoliko bi ovakav pristup bio primenjen kod svih hostova, pravilno implementiran od strane svih aplikacija i ukoliko bi bio usvojen efikasan sistem za razmenu ključeva, to bi dovelo do bezbednijeg prenosa podataka.
Međutim, sadašnji uslovi za korišćenje zaštite između krajnjih tačaka nisu adekvatni, tako da za većinu slučajeva IPv6 nije ni manje ni više bezbedan od IPv4. Oba protokola susreću se uglavnom sa istim pretnjama. Neke od specifičnosti IPv6 sistema donose nove perspektive za neke vrste napada. Ove specifičnosti, zajedno sa poboljšanjem zaštite unutar protokola zatvaraju vrata za neke pretnje, iako otvaraju vrata za neke druge. Dalje, verovatna koegzistencija dve verzije IP-a može, potencijalno, napadačima da da nove mogućnosti, recimo, da iskoriste bezbednosne propuste i zaobiđu odbrambene mehanizme jednog protokola kako bi izvršili napad na drugi.
U ovom radu je analiziran IPv6 protokol, adresiranje, njegove karakteristike, osnovne funkcije i dat je pregled bezbednosnih pretnji sa kojima se susreće IPv6 infrastruktura i njeni korisnici. Takođe, povučene su i paralele sa IPv4, pri čemu su naglašene razlike i sličnosti. Analiza bezbednosnih pretnji komplementirana je sa skupom pravila koja su se najbolje pokazala u praksi, a koja se primenjuju u svakom od prikazanih slučajeva. IPv6 ima mnogo poboljšanih osobina koje ga čine bitno drugačijim od svog prethodnika. Ove osobine između ostalog uključuju prošireni adresni prostor, autokonfiguraciju, strukturu zaglavlja, zaglavlja proširenja, IPsec, mobilnost, kvalitet servisa, agregaciju ruta i efikasan prenos. U narednim poglavljima su pomenute karekteristike bliže
4
objašnjene i upoređeni su određeni aspekti IPv4 i IPv6 protokola kako bi se bolje razumele njihove sličnosti i razlike.
U ovom radu su dati primeri konfiguracija Cisco rutera u Cisco IOS komandnoj liniji, vezani za zaštitu IPv6 mreža. U narednom potpoglavlju su dati neki osnovni pojmovi koji se koriste u ovom radu.
1.1. IPv6 pojmovi
Sledeći osnovni IPv6 pojmovi i definicije su važni za razumevanje bilo koje diskusije o IPv6 (RFC 2460, RFC 4862):
Adresa - identifikator interfejsa ili skupa interfejsa na IPv6 sloju.
Čvor (Node) – uređaj na mreži koji šalje i prima IPv6 pakete.
Neodobrena adresa (Deprecated address) – adresa dodeljana interfejsu čija je upotreba neželjena, ali nije zabranjena (npr. Site-local adrese kao što su FEC0::/10). Neodobrena adresa ne bi trebala više da se koristi kao izvorišna adresa u novoj komunikaciji, ali paketi koji su poslati sa/ka neodobrene adrese se isporučuju kao što je očekivano.
Ruter – čvor koji šalje i prima pakete, ali takođe prima pakete i prosleđuje ih u ime drugih čvorova.
Host – čvor koji može slati i primati pakete, ali ne može prosleđivati pakete pristiglih sa drugih čvorova.
Link – komunikaciona instalacija ili medijum preko kojeg čvorovi komuniciraju na sloju linka (sloj odmah ispod IPv6). Primer linka je Ethernet, Point-to-Point protocol (PPP), X.25, Frame Relay, ili ATM (Asynchronous Transfer Mode) mreže. Takođe link može biti i tunel (na sloju 3 ili iznad), kao što su tuneli preko IPv4 ili IPv6.
Link MTU - Maksimalna jedinica prenosa (Maximum Transmition Unit – MTU) tj. maksimalna veličina paketa u oktetima (bajtovima) koja se može poslati preko linka.
Path MTU – Minimalni link MTU svih linkova na putanji između izvornog i odredišnog čvora.
Interfejs – tačka u kojoj se čvor povezuje sa linkom. Unicast IPv6 adrese se uvek povezuju sa interfejsima.
Paket – IPv6 zaglavlje plus korisni podaci (payload).
Susedi – Čvorovi povezani na isti link.
5
2.2. IPIPVV6 A6 ADRESIRANJEDRESIRANJE
Adresiranje je osnovni aspekt komunikacionog procesa između dva ili više entiteta. Omogućava identifikovanje izvora informacija i njihovog odredišta, pri čemu se rezervisanim resursima omogućava da na odgovarajući način povežu dve grupe.
IPv6 adrese su 128-bitni identifikatori interfejsa ili skupa interfejsa. Kako bi bile čitljive, adrese se zapisuju kao 32 heksadecimalne cifre (jedan heksadecimalni broj predstavlja četiri binarna broja). Ove cifre su podeljene u 8 četvorocifrenih grupa koje su razdvojene znakom dvotačka. Uvedena su dva dodatna pravila radi optimizacije reprezentacije IPv6 adresa:
Izbacivanje vodećih nula – U okviru svake grupe od 16 bitova između dve dvotačke izbačene su vodeće nule.
Izbacivanje sukcesivnih nula – Možemo kraće da zapišemo sve grupe nula u 16 bitova navođenjem uzastopnih dvotački.
Ova pravila moraju da dovedu do jedinstvene kompresovane reprezentacije adresa. Zato se pravilo o uzastopnim nulama može primeniti samo jednom.
Važno je pomenuti da je „:“ karakter koji ima svoje značenje u URL stringu (Uniform Resource Locator), gde razdvaja broj porta od adrese. Da bi se izbegla zabuna, u RFC 2732 je sugerisano da se IPv6 adresa u okviru URL-a navodi unutar uglastih zagrada.
Na Slici 2.1 je dat primer reprezentacije IPv6 adrese.
Slika 2.1 Reprezentacija IPv6 adrese
6
Definisana su tri tipa IPv6 adresa: Unicast – Identifikuje čvor, a saobraćaj kome je za odredište naznačena unicast adresa
prosleđuje se ka jednom čvoru. Multicast – Identifikuje grupu čvorova, a saobraćaj kome je za odredište naznačena
multicast adesa prosleđuje se ka svim čvorovima u grupi. Anycast - Identifikuje grupu čvorova, a saobraćaj kome je za odredište naznačena
anycast adesa prosleđuje se ka najbližem čvoru u grupi.
Broadcast saobraćaj se pokazao kao izuzetno zahtevan u pogledu resursa (tokom regularnih operacija kao i tokom velikih zagušenja), pa je zbog mana broadcast saobraćaja odlučeno da se koristi multicast adresiranje.
2.1. IPv6 unicast adrese
Ravni adresni prostor bez definisane strukture bi zahtevao od rutera da pamte lokaciju svakog pojedinačnog hosta, što bi dovelo do problema prilikom proširivanja. Taj problem može da se reši kroz agregaciju adresa, grupisanje više adresa u okviru zajedničke reprezentacije. Da bi se ovaj proces olakšao, IP adrese se segmentiraju tako da najpre predstavljaju deo mreže koji identifikuje lokalnu grupu hostova, a zatim deo koji identifikuje hosta unutar grupe. Agregacija hostova se izvodi na osnovu pripadnosti istoj mreži ili na osnovu prefiksa.
Kod IPv6 preferiraju identifikovanje interfejsa hosta unutar prefiksa, a ne samog hosta, koji može da ima više interfejsa. Zato su IPv6 adrese segmentirane na prefiks ili mrežni deo i identifikator interfejsa, kao što je prikazano na sledećem primeru:
Address: 2001:0:0:A1::1E2A/64Network portion: 2001:0:0:A1Interface identifier in non-compressed format: :0:0:0:1E2AInterface Identifier in compressed format: ::1E2A
ID interfejsa možemo da generišemo na različite načine: Formiranje na osnovu adrese sa sloja 2 u modifikovanom EUI-64 formatu. Automatsko generisanje nasumične adrese u skladu sa RFC 3041. Ovaj mehanizam
dodele je razvijen uglavnom zbog toga da bi se ograničilo izlaganje globalno dostupnih adresa i poboljšala zaštita privatnosti.
Pribavljanje ID-a interfejsa preko DHCPv6. Ručno konfigurisanje. Kriptografski generisane adrese (CGA) na osnovu RFC 3972 preko hash-a koji uključuje
javni ključ. Ovaj metod generisanja ID-a interfejsa obezbeđuje dodatnu zaštitu i omogućava autentifikaciju adresa. Proces otkrivanja suseda zaštićen je pomoću CGA adresa.
Korisnost adresa sa ograničenim dometom (privatne IPv4 adrese) je uočena pa je ovaj tip adresa zadržan u IPv6. Prvobitno su definisane adrese sa različitim oblastima važnosti: link local, site local i global tipovi adresa. Kasnije se ustanovilo da site local adrese nisu dobro definisane da bi bile korisne pa je njihova upotreba odbačena i zamenjene su sa unique local adresama.
IPv6 standardi definišu nekoliko oblasti važenja (dometa) adresa:
7
Interface-local: odnosi se samo na jedan interfejs. Loopback adresa ima ovaj domet.
Link-local: odnosi se na određenu podmrežu (Local Area Network – LAN) ili mrežni link. Svaki IPv6 interfejs na podmreži mora da ima adresu sa ovim dometom. Link-local adrese imaju prefiks FE80::/10. Paketi čija je odredište link-local adresa se ne rutiraju i ne smeju se proslediti van linka. Koriste se za administrativne svrhe kao što su procesi otkrivanja suseda (neigbor discovery) i rutera (router discovery).
Site-local: ova oblast je trebala da važi za sve IPv6 mreže ili jedinstvene logičke celine kao što su mreže u okviru jedne organizacije. Adrese ovog tima počinju sa prefiksom FEC0::/10. Nisu bile namenjene za globalno rutiranje, ali su potencijalno mogle biti rutirane između podmreža u okviru organizacije. Upotreba site local adresa je odbačena i one su zamuenjene unique local adresama.
Unique local unicast: namenjene za interno adresiranje unutar određene institucije, fakulteta, kompanije. Zamenjuje odbačeni site-local koncept. Ove adrese mogu se rutirati u okviru organizacije. Trenutno njihova upotreba nije široko rasprostranjena. Definisane su u dokumentu RFC 4193.
Global: Globalni domet se odnosi na celokupni Internet. Ovo su globalno jednistvene adrese koje su dostupne preko svih javnih mreža.
Najvažniji tip unicast adresa su globalne unicast adrese. Dosta napora je uloženo u razvoj fleksibilne strukture GUA (Global Unicast Addresses) adresa kako bi se olakšala agregacija. Odlučeno je da se odgovarajuća agregacija uvede kroz stroge polise dodele i postavljanje jednostavnije adresne strukture, kao što je dato u RFC 3597 i prikazano na Slici 2.2.
Slika 2.2 Struktura globalne unicast adrese
Komponente globalne unicast adrese su: Prefiks za globalno rutiranje – je ekvivalent mrežne adrese u IPv4. Ovaj adresni prefiks
predstavlja jedinstveni identifikator mreže povezane na Internet. ID podmreže - je identifikator podmreže. Krajnje korisničke mreže mogu biti podeljene u
podmreže (npr. svaka zgrada neke institucije može pripadati različitoj podmreži). Ovaj deo adrese služi za identifikaciju svake podmreže pojedinačno.
ID interfejsa – 64 niža bita adrese koriste se za identifikovanje interfejsa čvorova na linku.
8
2.1.1. Adrese specijalne namene
Manji skup unicast adresa može da se izdvoji za specijalne namene. One ne nose informacije o domenu. Dve osnovne adrese su značajne za funkcionisanje IPv6 protokola:
Nespecificirana adresa se ne dodeljuje ni jednom interfejsu. Ipak, koristi se kao izvorna adresa (SA) kod uređaja koji nemaju IPv6 adresu ili ako još uvek nije dokazano da je njihova IPv6 adresa jedinstvena u okviru lokalnog linka. Kod nespecificirane IPv6 adrese svih 128 bitova imaju vrednost 0. Može da se predstavi kao 0:0:0:0:0:0:0:0 ili u kompresovanom obliku kao ::.
Loopback adresu koristi svaki čvor radi referenciranja na samog sebe i slična je 127.0.0.1 adresi kod IPv4. Kod IPv6, loopback adresa ima prvih 127 bitova postavljenih na 0, a poslednji bit je 1. Može da se predstavi kao 0:0:0:0:0:0:0:1 ili u kompresovanom obliku kao ::1.
Druga dva tipa specijalnih adresa vezana su za koegzistenciju IPv4 i IPv6. Razvijena su dva mehanizma za mapiranje IPv4 adresa na IPv6 adrese:
IPv4-kompatibilna IPv6 adresa definisana je kako bi se koristila za dinamičko tunelovanje i formirana je tako što se na 96 bitova postavljenih na 0 doda IPv4 adresa. Ovaj tip adrese se više ne koristi.
IPv4-mapirana IPv6 adresa koristi se za predstavljanje adrese IPv4 čvora u IPv6 formatu. IPv4-mapirana IPv6 adresa formira se tako što se IPv4 adresa doda na 80 bitova postavljenih na 0, iza kojih sledi 16 bitova postavljenih na 1.
2.2. IPv6 anycast adrese
Anycast omogućava slanje paketa jednom čvoru, koji pripada grupi čvorova, pri čemu je taj čvor kome se šalje najbliži. Anycast grupa čvorova se može nalaziti na istoj podmreži ili topološki na različitim linkovima mreže. Rutiranje identifikuje jednog od više čvorova grupe kojem će paket biti upućen. Takođe se može koristiti da predstavi globalnu adresu, ali koja rutira ka najbližem serveru za datu anycast adresu, stvarajući redundansu i optimalno rutiranje za distribuirane servere. Anycast mehanizam se koristi za pronalaženja servisa na mreži ili da omogući redundansu i najbliži servis. Dve anycast grupe su trenutno definisane:
Ruteri moraju da se pridruže anycast grupi svi-ruteri-na-podmreži (all-routers-in-the-subnet) kako bi čvorovi mogli da pronađu ruter na podmreži.
Mobile IPv6 koristi anycast grupu da locira home-agent-a u svojoj matičnoj mreži.
Anycast adresa počinje sa prefiksom odredišne mreže praćene sa host delom koji identifikuje anycast grupu, i koriste unicast adresni opseg. Ove adrese se smeju koristiti samo kao odredišne adrese.
2.3. IPv6 multicast adrese
Multicast je adresni mehanizam u kojem jedan čvor komunicira sa jednim ili više čvorova. Zamenio je broadcast adrese u porukama kontrolnog nivoa, postavši kritični deo operacija IPv6 mreže. Veći adresni prostor obezbeđuje mnoštvo globalno jedinstvenih multicast grupnih adresa koje olakšavaju implementaciju multicast servisa.
9
Multicast adresa identifikuje grupu interfejsa. Paket kome je odredišna adresa multicast adresa isporučuje se svim članovima grupe. Važno je zapamtiti da multicast adrese ne treba koristiti kao izvorne adrese. Kod IPv6 multicast adresa 8 najviših bitova je postavljeno na 1 (FF00::/8).
Broadcast komunikacija koja je postojala u IPv4, i nepotrebno „uznemiravala” sve čvorove čak i ako nemaju potrebe da učestvuju u njoj, zamenjena je multicast mehanizmima. Ovo je omogućilo preciznije definisanje odredišta paketa koji se moraju poslati većem broju čvorova na mreži. Na primer, razmena informacija između IPv6 rutera koristi posebnu multicast adresu koja identifikuje sve rutere u okviru mreže (organizacije). Host neće slušati datu multicast adresu pošto ne obavlja funkciju rutiranja.
Domen multicast grupa je važan kako bi se ograničilo prosleđivanje ovih paketa samo zainteresovanim čvorovima. Važeći domen je implementiran unutar adrese multicast grupe, što ima prednosti u odnosu na TTL (Time-To-Live) implementaciju korišćenu u IPv4 u vidu pouzdanog razgraničavanja, jednostavnijeg za implementaciju.
Format IPv6 multicast adrese je prikazan na Slici 2.3.
Slika 2.3 Format IPv6 multicast adrese
Trenutno se koriste tri od četiri bita u flegu: Bit najmanje težina, T, definisan u RFC 3513 postavljen je na 0 kod permanentno
dodeljenih multicast adresa koje postavlja IANA. T bit je postavljen na 1 za ne permanentno dodeljene multicast adrese.
P bit je definisan u RFC 3306 i pokazuje da li je multicast adresa formirana na osnovu unicast prefiksa (1) ili nije (0).
R bit, definisan u RFC 3956, vrednošću 1 ukazuje na to da multicast grupna adresa sadrži unicast adresu RP (Randezvous Point) tačke koja opslužuje tu grupu.
Preostali četvrti bit flega rezervisan je za buduće namene, a trenutno ima vrednost 0.
Sledeća 4 bita (Scope) određuju domen multicast adrese i moguće vrednosti prikazane su u Tabeli 2.1.
Vrednost polja Scope Vrednost polja Scope Opis domena adrese
10
(4 bita binarno) (4 bita heksadecimalno)1 1 Interfejs10 2 Link100 4 Administartivni101 5 Lokacijski (Site)1000 8 Organizacija1110 E Globalni
Ostale vrednosti rezervisane ili nedodeljene
Tabela 2.1 Definisani IPv6 multicast domeni
Ostatak multicast adrese (112 bita) čini identifikator multicast grupe. Trajno (permanentno) definisane multicast adrese dodeljuje IANA, dok je većina njih definisana u dokumentima RFC 2375 i RFC 3513. Privremene adrese se koriste na zahtev, bez potrebe za prethodnom dodelom ili registracijom.
11
3.3. IPIPVV6 – F6 – FUNKCIJEUNKCIJE II P PROCESIROCESI
U okviru ovog poglavlja predstavljene su osnovne karakteristike IPv6 protokola: format paketa, zaglavlja i odgovorajući mehanizmi. Ovi aspekti su pojednostavljeni značajno u poređenju sa IPv4 kako bi se postigle bolje performanse prosleđivanja paketa.
3.1. Format IPv6 paketa
Struktura zaglavlja je modifikovana u okviru IPv6. Ove promene su odraz lekcija naučenih u višegodišnjem radu sa IPv4 i značajno utiču na funkcionisanje protokola.
Paket čine dve komponente: zaglavlje koje sadrži informacije sloja 3 i korisne informacije u okviru kojih se prenose podaci i informacije protokola višeg sloja. Slika 3.1 prikazuje strukturu zaglavlja IPv6 i IPv4 paketa.
Slika 3.1 Struktura zaglavlja IPv4 i IPv6 paketa
12
RFC 2460 definiše sledeća polja u IPv6 zaglavlju: Version (4 bita) – Verzija IP protokola. Vrednost je postavljena na 6. Traffic class (8 bitova) - Namenjena procesima koji upravljaju kvalitetom servisa
(Quality of service – QoS). Služi za razlikovanje različitih tipova ili prioriteta saobraćaja (koristi se i u kombinaciji sa ostalim poljima, npr. izvorna/odredišna adresa).
Flow label (20 bita) – Ovo polje identifikuje tok i trebalo bi da omogući ruteru da identifikuje pakete koje bi trebalo tretirati na sličan način, bez potrebe za dubljom analizom sadržaja tih paketa.
Payload length (16 bitova) – Ako je dužina zaglavlja fiksna i iznosi 40 bajtova, to je sasvim dovoljno da se naznači dužina korisnog sadržaja, tako da je moguće utvrditi ukupnu dužinu paketa.
Next header (8 bitova) – Ovo polje proširuje funkcionalnost broja protokola (Protocol Number) u IPv4 zaglavlju. Počinje predstavljanjem tipa informacija, a odmah zatim sledi osnovno zaglavlje. Ovo može da bude zaglavlje proširenja ili protokol višeg sloja u okviru korisnih informacija.
Hop limit (8 bitova) – Ograničavanje vremena života paketa. Čvor koji šalje paket dodeljuje neku vrednost ovom polju čime definiše domet tog paketa. Svak čvor (ruter) koji prosleđuje paket umanjuje ovu vrednost za 1. Ukoliko se vrednost polja umanji na 0, paket se odbacuje i ICMP poruka se šalje pošiljaocu paketa. Ovim se štiti IPv6 transportni sistem od petlji u rutiranju – u slučaju da postoji petlja paket će kružiti oko petlje ali samo u ograničenom periodu vremena.
Source IPv6 address (128 bitova) – IPv6 adresa čvora koji je poslao paket. Destination IPv6 address (128 bitova) – IPv6 adresa odredišnog čvora.
3.1.1. IPv6 zaglavlja proširenja
Uz osnovno zaglavlje fiksne dužine, IPv6 mora da pronađe drugi način za implementiranje funkcionalnosti ponuđene u polju „Options“ u IPv4. To je izvedeno pomoću koncepta zaglavlja proširenja.
Zaglavlja proširenja se ulančavaju po potrebi. Polje sledećeg zaglavlja (Next Header) kojim počinje svako zaglavlje proširenja predstavlja pokazivač na tip sledećeg zaglavlja u lancu. U poslednjem zaglavlju proširenja u lancu ovo polje sadrži kod protokola višeg sloja u okviru korisnog sadržaja. Na Slici 3.2 prikazan je IPv6 paket bez zaglavlja proširenja i jedan sa zaglavljima proširenja. Postoji specifični kod za svaki tip zaglavlja proširenja, kao i za protokole višeg sloja (UL-upper layer). Kratak pregled zaglavlja proširenja:
Hop-by-Hop zaglavlje – identifikuje se na osnovu vrednosti 0 u polju sledećeg zaglavlja (Next Header). To je jedino zaglavlje proširenja koga moraju da obrade svi čvorovi na putu paketa, osim njegovog odredišta. Kada je prisutno, uvek sledi iza osnovnog IPv6 zaglavlja. Može da sadrži više opcija sa drugim parametrima koje bi trebalo koristiti prilikom procesiranja paketa.
Destination Option Header – Namenjeno je isključivo odredištu paketa. Koristi se, recimo, sa MIPv6.
Routing Header – Koristi se kako bi se naznačila određena putanja za dati paket. Ovu putanju definiše izvorni uređaj i verovatno se razlikuje od putanje koja se dobija na osnovu izračunavanja protokola za rutiranje na mreži.
Fragment Header – Fragmentacija se ne vrši u ruterima koji se nalaze na putu IPv6 paketa. Pre slanja paketa, izvorni uređaj mora da izvrši proces otkrivanja PMTU jedinice.
13
Izvorni uređaj određuje veličinu najvećeg paketa koji može da se prenese bez fragmentacije. Iako ruteri ne moraju da vrše fragmentaciju, odredišni uređaj ipak mora da zna kako da ponovo sastavi primljene fragmente. Odredišni uređaj će dobiti te instrukcije od izvornog uređaja preko zaglavlja fragmentacije.
Authentication Header – Ovo zaglavlje je slično IPv4 IPsec zaglavlju autentifikacije (AH). Obezbeđuje autentifikaciju izvornog uređaja i zaštitu podataka poslatog paketa.
Encapsulating Security Payload Header – Ovo zaglavlje je slično IPv4 IPsec ESP (Encapsulation Security Payload) zaglavlju.
Mobility Header – Ima ulogu u komunikaciji između mobilnih čvorova, korespodentnih čvorova i uloga home agent-a kod uspostavljanja i upravljanja vezama.
Redosled u kom se ova zaglavlja proširenja dodaju osnovnom zaglavlju nije nasumičan. Postoji preporučeni redosled kojim se zaglavlja proširenja ulančavaju kod IPv6 paketa, ali jedino ograničenje nalaže da se Hop-by-Hop zaglavlje (ako je prisutno) nađe ispred ostalih tipova zaglavlja proširenja.
Slika 3.2 Ulančavanje zaglavlja proširenja uz osnovno zaglavlje IPv6 paketa
14
3.2. ICMP za IPv6
ICMPv6 je integralni deo IPv6 arhitekture i mora da bude u potpunosti podržan u svim IPv6 implementacijama. ICMPv6 se izvršava preko IPv6, unicast-a i multicast-a. Slično kao i u slučaju ICMPv4, ICMPv6 omogućava IPv6 čvorovima da izveštavaju o greškama i da izvršavaju različite kontrolne funkcije. ICMPv6 tipovi od 1 do 127 rezervisani su za greške, dok su veće vrednosti počevši od 128 namenjenje za kontrolu i informacije. Bez obzira na tip poruke, sve ICMPv6 poruke imaju isti format zaglavlja, kao što je prikazano na Slici 3.3.
Slika 3.3 Format ICMPv6 paketa
IPv6 zaglavlje ima vrednost 58 u polju sledećeg zaglavlja (Next Header) ako je ICMPv6 protokol višeg sloja za prenos korisnog sadržaja. Ako je poruka odgovor na ICMPv6 poruku poslatu nekoj od čvorovih unicast adresa, izvorna adresa (SA) je ista ta adresa. U suprotnom, SA se izračunava na osnovu algoritma za selektovanje izvorne adrese.
3.2.1. ICMPv6 poruke o grešci
Jedna od funkcija ICMP-a jeste isporučivanje poruka o greškama kako bi se pomoglo funkcionisanje mreže. Trenutno ICMPv6 koristi četiri poruke o greškama:
Destination Unreachable – ICMP Unreachable poruka obezbeđuje kod greške na osnovu kog može da se utvrdi razlog nastanka problema:
1) Kod 0 – Nema raspoložive rute ka odredištu,2) Kod 1 – Komunikacija sa odredištem je administrativno ukinuta,3) Kod 3 – Adresa je nedostupna (adresa sloja veze ne može da bude razrešena),4) Kod 4 – Port je nedostupan. Time Exceeded – Kada polje Hop Count dostigne vrednost 0, nazad do izvorišnog
uređaja se šalje ICMPv6 Time Exceeded poruka. Packet Too Big – Ruter može da signalizira izvornom hostu da paketi moraju da budu
fragmentirani. ICMPv6 Packet Too Big poruka se koristi u tu svrhu. Parameter Problem – Ove poruke obezbeđuju način pomoću kog ruteri podnose
izveštaje o opštijim problemima koji nisu obuhvaćeni sa prethodno opisane tri poruke.
15
Sledeće kodne vrednosti omogućavaju obezbeđivanje dodatnih indikacija od strane čvora koji prijavljuje problem:
1) Kod 0 – Pronađeno pogrešno polje u zaglavlju,2) Kod 1 – Pronađen nepoznat tip sledećeg zaglavlja,3) Kod 2 – Pronađena nepoznata IPv6 opcija.
3.2.2. ICMPv6 informativne prouke
Poruke Echo Request i Echo Reply korišćene u ICMPv4 nastavljaju da funkcionišu i u verziji ICMPv6. Kao i kod ICMPv4, ove dve poruke se široko koriste za izvršavanje prostih dijagnostika o uspostavljenoj vezi pomoću komande ping. Format poruka je uglavnom ostao nepromenjen.
U različitim RFC specifikacijama definisane su još mnoge druge informativne poruke koje mogu da koriste različiti protokoli, kao što su Neighbor Descovery, MIPv6 i multicast.
3.3. Protokol za otkrivanje suseda (Neighbor Discovery Protocol)
IPv6 NDP obezbeđuje brojne integrisane ključne karakteristike za rad rutera i hostova kada su povezani na isti link. Neke od tih karakteristika, kao što je razrešavanje adrese i redirekcija, viđene su i u verziji IPv4, u okviru specifičnih protokola kao što su ARP i ICMP Redirect, respektivno. Druge karakteristke (otkrivanje prefiksa, detekcija nedostupnog suseda...) su nove. IPv6 NDP je u potpunosti implementiran u okviru ICMPv6.
Da bi se zaštitile razne funkcije u okviru protokola za otkrivanje suseda, uveden je skup specifičnih opcija za otkrivanje suseda u okviru verzije Secure Neighbor Discovery. Ove opcije se koriste za zaštitu poruka koje se šalju u cilju otkrivanja suseda (NDP poruke).
NDP svakom čvoru na linku omogućava izvršavanje operacije otkrivanja suseda kako bi se stekli potrebni preduslovi za donošenje ispravnih odluka prilikom prosleđivanja IPv6 paketa do suseda. Ova stečena znanja predstavljaju kombinaciju oglašavanja koja su primljena od rutera i čvorova. Oglašavanja mogu da se dobiju na zahtev ili bez zahteva. Te informacije se smeštaju u sledeće liste koje održavaju čvorovi:
Lista IPv6 adresa sa istog domena ili linka i odgovarajuće adrese sloja veze, Status suseda (dostupan, nedostupan), Važi za hostove:1) Lista prefiksa interfejsa sa istog domena ili linka,2) Lista rutera sa istog domena ili linka,3) Lista podrazumevanih rutera (rutera sa istog domena ili linka koji su spremni da preuzmu
ulogu podrazumevanih rutera).
Da bi se dobile gore navedene informacije, u okviru protokola za otkrivanje suseda šalju se sledeće poruke:
Router solicitation – RS, Router advertisement – RA, Neighbor solicitation – NS, Neighbor advertisement – NA, Redirect, Inverse neighbor solicitation – INS, Inverse neighbor advertisement – INA.
16
Kada nije poznata adresa sloja veze podudarna sa datom odredišnom, čvor kome je ta adresa potrebna mora da pošalje upit „širem auditorijumu“. Kod IPv4 je to rešeno emisijama na MAC sloju. U verziji IPv6, čvor koristi multicast za ovu vrstu upita. Korišćena multicast grupa predstavlja traženu adresu (na domenu lokalnog linka). Kada čvor koji koristi protokol otkrivanja suseda zahteva sopstvenu adresu, može da koristi IPv6 nespecificiranu adresu (::) kao izvornu adresu (SA) paketa.
Za razliku od poruka za razrešavanje adrese koje se šalju za multicast adresu na zahtev čvora (na domenu lokalnog linka), ostale poruke u okviru protokola za otkrivanje suseda bi trebalo da dopru do svih čvorova ili svih rutera. Istovremeno, SA adresa može da bude ili globalna ili lokalna adresa pošiljaoca. Uvek je poželjno koristiti lokalnu adresu kako bi se minimizovala zavisnost čvora od renumeracija. Sledi lista specijalnih adresa, izvora i odredišta, koji čvor može da koristi u okviru razmene pruka ND protokola:
Multicast adresa svih čvorova (FF02::1, odredište), Multicast adresa svih rutera (FF02::2, odredište), Multicast adresa na zahtev čvora (odredište), Lokalna adresa (izvor ili odredište), Nespecificirana adresa (::, izvor).
Konačno, IPv6 čvorovi za obradu informacija prikupljenih pomoću protokola za otkrivanje suseda koriste sledeća dva algoritma:
Algoritam utvrđivanja sledećeg skoka, Selektovanje podrazumevanog rutera.
3.3.1. Otkrivanje rutera i prefiksa
Otkrivanje rutera hostovima omogućava da lociraju susedne rutere (sa istog domena ili linka) i da dobiju prefikse i parametre potrebne za konfigurisanje adrese. Definisane su dve poruke za otkrivanje rutera i prefiksa: traženje rutera (RS – router solicitaiton) i poruka oglašavanja (RA – router advertisenent). Ruteri se periodično oglašavaju na svim interfejsima slanjem RA poruka. Ove nezahtevane RA poruke su poslate na lokalnu multicast adresu svih čvorova (FF02::1). Osim što obezbeđuju adrese rutera, RA prouke mogu da sadrže korisne informacije za hostove na osnovu kojih se donose odluke o sledećem skoku (lista rutera koji se kandiduju za ulogu podrazumevanog rutera, parametri koji bi trebalo da se koriste za automatsku konfiguraciju i listu prefiksa adresa sa istog domena ili linka). RA poruke mogu da se šalju i kao odgovor na upite (RS poruke) od hosta. Na Slici 3.4 je prikazan tok razmene zahtevane i nezahtevane RA prouke.
17
Slika 3.4 Tok oglašavanja rutera
3.3.2. Razrešavanje adrese
Paketi koji se šalju radi traženja i oglašavanja suseda koriste se radi obavljanja nekoliko kritičnih operacija za čvorove na mreži:
Razrešavanje adrese na sloju veze, Detektovanje duplikata adrese (DAD – Duplicate address detection) Detektovanje nedostupnog suseda (NUD – Neighbor unreachability detection)
Za potrebe razrešavanja adresa u verziji IPv6 definisane su dve ICMPv6 poruke: poruka traženja suseda (NS – neighbor solicitation) i oglašavanja suseda (NA – neighbor advertisement). NS poruka predstavlja upit i sadrži IPv6 adresu ciljnog (traženog) uređaja. NA poruka predstavlja odziv i sadrži adresu sloja veze odgovarajućeg interfejsa.
Kada čvor zaključi da se adresa sledećeg skoka ili odredišna IPv6 adresa nalazi na istom linku, šalje NS poruku preko identifikovanog linka, kako bi se dobila adresa sloja veze koja je podudarna traženoj IPv6 adresi. Kao odziv se očekuje NA poruka. NS predstavlja multicast grupnu adresu na zahtev čvora, gde je tražena IPv6 adresa ugrađena u 24 krajnja desna bita. Moguće je da postoji više čvorova koji koriste istu multicast adresu na zahtev čvora, s tim da je „vlasnik“ te adrese jedan od njih. Vlasnik će dobiti NS poruku, kao i ostali članovi multicast grupe, i odgovoriće na nju slanjem NA poruke.
NDP nije pouzdan protokol. Na većini tipova linkova ovo prolazi bez problema, jer je verovatnoća „gubljenja“ poruke, kao što su NS ili NA poruke, mala. Međutim, na bežičnim linkovima ovo može da bude problematično. Ovo je posebno problematično u okviru DAD procesa kada se može zaključiti da je adresa slobodna, a u stvari je NA poruka izgubljena.
18
Takođe, host može da pošalje i nezahtevanu NA poruku. To je moguće kada čvor želi da obavesti druge čvorove na linku da je došlo do promene njegove adrese sloja veze. Nezahtevana NA poruka se šalje na multicast adresu svih čvorova.
Na slici 3.5 je prikazan tok procesa razrešavanja adrese.
Slika 3.5 Tok razrešavanja adrese
3.3.3. Redirekcija hosta na sledeći skok
Ruteri šalju poruke redirekcije kako bi hostove obavestili o boljem izboru za sledeći skok na istom linku, bilo da je to neki drugi ruter ili samo finalno odredište. Da bi se redirekcija izvela, dovoljna je samo poruka redirekcije. Sadrži IP adresu uređaja koji predstavlja bolji izbor za sledeći skok i IP adresu odredišta koje je preusmereno. Ako je adresa sloja veze za uređaj sledećeg skoka poznata, može da se umetne u paket redirekcije koga je poslao ruter koji je inicirao poruku redirekcije. Slika 3.6 prikazuje tok poruke redirekcije.
19
Slika 3.6 Tok redirekcije
3.3.4. Inverzno otkrivanje suseda
IPv6 IND omogućava čvoru da nauči IPv6 adrese za koje zna adresu sloja veze. Da bi se to postiglo, čvor šalje zahteve i prima oglašavanja. IND je originalno razvijen za Frame Relay mreže, ali može da se primeni i na druge tehnologije sloja veze sa sličnim ponašanjem. Definisane su dve poruke: zahtev za inverznim otkrivanjem suseda (INS – inverse neighbor descovery solicitation) i oglašavanje inverzno otkrivenog suseda (INA – inverse neighbor discovery advertisement). INS poruka sadrži adresu sloja veze izvornog uređaja i adresu sloja veze ciljnog uređaja (čiju IPv6 adresu pošiljalac očekuje). Odziv (INA poruka) sadrži adresu sloja veze izvornog uređaja, adresu sloja veze ciljnog uređaja i listu adresa. U listi se nalazi jedna ili više IPv6 adresa interfejsa identifikovanog pomoću adrese sloja veze u INS poruci koja je tražena pomoću INA poruke.
3.4. Algoritmi za otkrivanje suseda
Definisani su brojni algoritmi za otkrivanje suseda kako bi se opisalo očekivano ponašanje i hostova i rutera u različitim operativnim situacijama.
3.4.1. Utvđivanje sledećeg skoka
Čvor koji treba da prosledi paket mora da utvrdi da li se odredište nalazi na njegovom linku ili izvan njegovog domena. Ukoliko se ne nalazi na njegovom domenu, mora da pronađe suseda iz svog domena (sledeći skok) koji može da prosledi paket ka odredištu. Konačno, mora da razreši odredišnu adresu sa svog linka ili sledeći skok na svom linku u adresu sloja veze.
Odredište (ili sledeći skok) može da bude na istom domenu, bez potrebe da čvor koji prosleđuje paket ima prefiks koji je podudaran odredišnoj adresi. Smatra se da je adresa sa istog domena kao i čvor ako je:
Obuhvaćena jednim od prefiksa na njegovom linku.
20
Primljena NA poruka za tu adresu. Primljena bilo koja ND poruka sa te adrese. Primljena RA poruka sa ovim prefiksom u opcionom delu za informacije o prefiksu. Primljena poruka redirekcije kod koje je adresa ciljnog uređaja jednaka toj adresi.
Algoritam koji se koristi za prosleđivanje paketa značajno se razlikuje na hostovima ili ruterima. Ruter ima tabelu rutiranja ili keš suseda. Tabela rutiranja (RIB – Routing Information Base) sadrži listu sledećih skokova koji mogu da se koriste za prosleđivanje ka datom odredištu (najduža podudarnost). Keš suseda sadrži adrese sloja veze čvorova sa istog linka, bilo da je reč o krajnjem odredištu ili sledećim skokovima. Kod rutera, regularni mehanizmi rutiranja imaju prednost u odnosu na informacije koje su dobijene od susednih rutera kroz proces otkrivanja prefiksa ili mehanizme otkrivanja rutera. Nakon toga NS/NA poruke omogućavaju razrešavanje adresa sloja veze.
Sa druge strane, na hostovima ne postoje tabele rutiranja, niti su potrebni protokoli za rutiranje. U RFC 2461 opisan je niz konceptualnih struktura podataka zahvaljujući kojima hostovi utvrđuju sledeći skok:
Keš odredišta – Sadrži odredišta ka kojima je saobraćaj prosleđivan u poslednje vreme, uz informaciju o sledećem skoku (susedu) koji je bio izabran za obezbeđivanje veze u kešu suseda. Ovaj keš se ažurira informacijama dobijenim iz poruka redirekcije.
Lista prefiksa – Sadrži listu prefiksa koji odgovaraju adresama sa istog linka ili domena. Lista se formira na osnovu RA poruka.
Lista podrazumevanih rutera – Sadrži listu rutera sa istog linka ili domena kojima je moguće poslati pakete.
3.4.2. Detektovanje duplikata adrese
NS i NA poruke se koriste i za detektovanje duplikata adrese (DAD – duplicate address detection), kao što je opisano u RFC 2462. DAD se izvršava na svim unicast adresama pre nego što se dodele interfejsu. Osnovni princip se sastoji u tome da čvor šalje NS poruku kako bi dobio informacije o vlasništvu IPv6 adrese i dodeljuje adresu nekom od svojih interfejsa ukoliko za nju ne primi nijednu NA poruku. DAD proces se izvodi samo prilikom automatskog konfigurisanja adresa. DAD ne sme da se koristi za anycast adrese, jer po definiciji, anycast adresa može da bude dodeljena za više čvorova.
3.4.3. Detektovanje nedostupnog suseda
Komunikacija sa susedom može da bude neuspešna iz više razloga. Mehanizam za oporavak koji se poziva u slučaju otkaza zavisi od toga da li je sused ujedno i konačno odredište. Ako jeste, trebalo bi reinicijalizovati razrešavanje adrese. U suprotnom, za sledeći skok se bira drugi sused. Ovo pripada algoritmu za utvrđivanje sledećeg skoka, za koji se koriste dva mehanizma. Ruteri obično koriste svoje tabele rutiranja, dok hostovi koriste algoritam selektovanja rutera.
Sa druge starane detektovanje nedostupnog suseda (NUD) služi za detekciju otkaza. Dostupnost suseda se utvrđuje na dva moguća načina. Prvi metod podrazumeva dobijanje potvrde sa višeg sloja da se odvija komunikacija sa tim susedom (primera radi, primljeni TCP paketi koji potvrđuju prethodno poslate pakete). Drugi metod podrazumeva prijem NA poruke kao odgovora na NS poruku koju je poslao čvor u nastojanju da potvrdi dostupnost suseda. Sused ostaje dostupan
21
u ograničenom periodu, osim ako se ne prime nove potvrde. Ako se potvrda ne primi pravovremeno, sused se smatra nedostupnim, nastupa mehanizam otkrivanja.
3.4.4. Automatska konfiguracija
Automatska konfiguracija adrese se koristi radi automatskog dodeljivanja adrese hostu. Proces automatskog konfigurisanja adrese opisan je u RFC 2462. Koristi NDP (konkretno RA poruke) za dobijanje prefiksa na osnovu kog se formira adresa i ponovo ND (konkretno NS i NA poruke) za test da li je formirana adresa već u upotrebi. Podrazumevani mehanizam za automatsko konfigurisanje adrese je samostalan.
3.5. Strategije IPv6 tranzicije
Postavljanje servisa će najčešće u nekoj tački ili segmentima zahtevati interakciju sa postojećom IPv4 infrastrukturom. Različiti tranzicioni mehanizmi uključuju:
Dual stack Manual tunnel 6to4 tunnel ISATAP tunnel Teredo tunnel Proxying and translation (NAT-PT)
U narednim odeljcima su ukratko objašnjeni ovi tranzicioni mehanizmi.
3.5.1. Dual stack
Jedan od konceptualno najlakših metoda za integraciju IPv6 protokola unutar mreže se naziva dual-stack mehanizam, koji je specificiran u RFC 4213. Hostovi ili ruteri koji koriste ovu metodu moraju da implementiraju oba protokolska steka (IPv4 i IPv6) unutar svojih operativnih sistema. Svaki takav IPv4/IPv6 čvor, se konfiguriše da ima i IPv4 i IPv6 adrese. Stoga, ovakvi čvorovi mogu slati i primati pakete koji pripadaju ovim protokolima, ostvarujući na taj način komunikaciju sa svakim IPv4 i IPv6 čvorom u mreži. Ovo je najednostavniji i najpoželjniji način koegzistencije ova dva protokola, i velika je verovatnoća da će predstavljati sledeći evolutivni korak u razvoju mreža, pre nego što bude moguća sveobuhvatnija tranzicija na IPv6-only Internet (dugoročni cilj).
3.5.2. Manual tunnel
Ručno konfigurisani tunel (MCT – Manually Configured Tunnel) bio je jedan od prvih prelaznih mehanizama razvijen za IPv6. MCT je statički tunel između dve tačke. Tunel se završava na ruterima sa dvojnim stekom. IPv4 adrese krajnih tačaka tunela moraju da budu rutabilne u tranzicionom domenu. Statička priroda ručno konfigurisanih tunela otežava nihovo skaliranje i kontrolisanje. Slika 3.7 prikazuje relevantnu konfiguraciju (Cisco IOS) rutera za MCT.
22
Slika 3.7 Konfigurisani tunel
3.5.3. 6to4 tunnel
6to4 je automatski mehanizam za tunelovanje, definisan u RFC 3056. On omogućava izolovanim IPv6 „ostrvima“ da se, koristići 6to4 plan adresiranja, međusobno povežu preko IPv4 okosnice mreže, uz minimalne konfiguracione troškove. Konkretno, destinacija tunela nije eksplicitno konfigurisana kao kod drugih tunelskih mehanizama, već se dinamički određuje iz IPv4 adrese ugrađene u odredišnu adresu IPv6 paketa. Slika 3.8 prikazuje primer 6to4 konfiguracije.
Slika 3.8 6to4 tunel
23
Moguća su dva scenarija za uspostavljanje tunela. U jednostavnijem slučaju, dve ili više IPv6 lokacija moraju međusobno da se povežu preko IPv4 okosnice. Svaka lokacija konfigurisana je pomoću 2002:V4ADDR::/48 prefiksa, gde je V4ADDR jedinstvena IPv4 adresa lokacije. Drugi mogući scenario odnosi se na 6to4 lokaciju koja zahteva pristup globalnim, izvornim IPv6 resursima (na primer, 2001::/16 Internet resursi). Na svom odlasku (sa Lokacije 1 ka IPv6 okosnici) saobraćaj se rutira u 6to4 tunel. Ruter sa dvojnim stekom na granici između IPv4 mreže i IPv6 domena, odnosno 6to4 relejni ruter, uklanja IPv4 zaglavlje i prosleđuje IPv6 paket u svom prirodnom okruženju. U drugom smeru, 6to4 relejni ruter koristi odredište (na primer, Host A 2002:C80F:F01:100::1) za određivanje krajnje tačke tunela i dodaje mu IPv4 zaglavlje.
Tranzicioni 6to4 mehanizmi imaju neke prednosti u odnosu na ručno uspostavljene tunele. Krajnje tačke IPv4 tunela ne moraju da se oglašavaju. IPv6 lokacije mogu da dobiju adresu krajnjih tačaka pretraživanjem DNS-ove baze podataka. Ovi tuneli su samostalni, i ne troše resurse koji su inače potrebni kod ručno uspostavljenih tunela.
3.5.4. ISATAP tunel
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) definisan u RFC 4214, projektovan je za obezbeđivanje skalabilnih mehanizama za tunelovanje unutar privatno ili globalno adresirane IPv4 lokacije. ISATAP je dizajniran za transport IPv6 paketa unutar sajta gde IPv6 infrastruktura još uvek nije dostupna. Slično drugim mehanizmima za tunelovanje, ISATAP enkapsulira IPv6 u IPv4. Ovaj mehanizam je automatski. Ključni koncept rada ISATAP-a nalazi se u ISATAP formatu ID-a interfejsa. U slučaju ISATAP-a, prva 32 bita ID-a interfejsa su 0000:5EFE. Druga 32 bita predstavljaju IPv4 adresu interfejsa. Ovaj ID interfejsa može da se doda prefiksu lokalnog linka, jedinstvenom lokalnom i globalnom unicast prefiksu.
3.5.5. Teredo tunel
Činjenica je da u današnjim IPv4 mrežama preovladava NAT. Većina mehanizama za tunelovanje IPv6 preko IPv4 protokola ne mogu da prođu NAT. Ovo znači da korisnički NAT ruter ne može biti nadograđen tako da podržava mehanizme za tunelovanje, što znači da korisnička strana ne može da bude izvor nekog tunela. Teredo je razvijen da bi se rešio ovaj problem. On omogućava dodelu adresa i automatsko tunelovanje između hostova radi obezbeđivanja IPv6 veze, u slučajevima kada su hostovi locirani iza IPv4 NAT-ova. Teredo tuneli prenose IPv6 podatke enkapsulirane unutar UDP datagrama.
3.5.6. Proxying and translation (NAT-PT)
Tranzicioni mehanizmi koje smo do sada opisali obezbeđuju IPv6 povezivanje između krajeva mreže. Oni su zasnovani na izvornoj integraciji IPv6 na mreži, koja se još naziva i dvojnim stekom ili IPv6 enkapsulacijom preko IPv4. Postoji potencijalni scenario u kom IPv6 uređaji moraju da komuniciraju sa IPv4 čvorovima ili resursima. Takvi scenariji zahtevaju postojanje mehanizma za prevođenje koji omogućavaju komunikaciju između delova opreme koji podržavaju samo jednu od dve pomenute verzije IP protokola. Čak i kada hostovi mogu da se nadograde za održavanje dvojnog steka na sloju mreže OSI modela, neke aplikacije će ostati isključivo IPv4 samo zato što se njihova implementacija isuviše oslanja na IPv4 adrese ili zato što ne može da se izvede rekompilacija. U takvim okruženjima možemo da koristimo NAT-PT (Network Address Translation
24
– Protocol Translation). NAT-PT omogućava hostovima koji podržavaju samo IPv6 da komuniciraju sa hostovima i aplikacijama koji podržavaju samo IPv4.
25
4.4. ZZAŠTITAAŠTITA IP IPVV6 M6 MREŽAREŽA
Relativno mali nivo primene IPv6 protokola poslednjih godina nije umanjio interesovanje hakera za njega. Napadi su usledili ubrzo nakon postavljanja prvih IPv6 mreža, pri čemu su korišceni koncepti već viđeni kod IPv4, uz korišćenje slabih tačaka samog IPv6. Zato ima smisla povezivati bezbednosne pretnje kod IPv6 sa onima kod IPv4 i svrstati ih u dve kategorije: pretnje koje su se pojavile zahvaljujući novim aspektima u IPv6 i pretnje vezane za slično ponašanje i kod IPv4 i kod IPv6.
4.1. Pretnje vazane za nove aspekte IPv6 protokola
Neke osobine karakteristične za IPv6 mogu da otežaju izvođenje nekih uobičajenih napada dok, sa druge strane, stvaraju i nova ranjiva mesta. Ovaj odeljak analizira te bezbednosne pretnje, koje su morale da se na neki način prilagode novim mogućnostima IPv6, ali i nove vrste pretnji koje ugrožavaju samo IPv6.
4.1.1. Izviđanje
Izviđanje ne mora nužno da označava napad, zato što najverovatnije neće negativno da utiče na mrežu ili na njene korisnike. Međutim, ono je najčešće prethodnik napada i služi da napadaču obezbedi podatke o žrtvi.
Uobičajena praksa pretraživanja pomoću ping-ova kod IPv6 ne predstavlja raspoloživu opciju. Bile bi potrebne godine za skeniranje hostova na tipičnoj mreži dužine /64, čak iako se to radi velikim brzinama, koje bi, sa druge strane, odmah alarmirale bezbednosne mehanizme. Zato Network Mapper (Nmap), alat koji se najčešće koristio za identifikovanje aktivnih hostova, ne podržava ovu tehniku za IPv6. Kod IPv6 je za izviđanje neophodno koristiti drugačije mehanizme:
DNS crawling – ostaje opcija i kod IPv6. Uz eliminaciju prevođenja mrežnih adresa (NAT – Network Address Translation) i teškoća u pamćenju 128-bitnih adresa, korišćenje Dynamic DNS-a može se povećati u IPv6 okruženju. Ukoliko DNS resursi nisu adekvatno zaštićeni, mogu da pruže informacije o velikom broju hostova.
Smanjenje obima potrage za hostovima – Napadač može da izvrši pametan izbor koji mu može pomoći da smanji adresni prostor koji je potrebno skenirati. Može da pokuša sa hostovima koji imaju lako pamtljive ID-ove interfejsa, poput ::1, ::FFFF, i ::F00D. Kako se za generisanje EUI-64 ID-a interfejsa hostva najčešće koristi BIA (burned-in address), napadač može da se fokusira na skeniranje adresa određenih NIC kartica, na osnovu identifikatora njihove organizacione jedinice (OUI – organizational unit identifier).
Kompromitovani mrežni element – Kompromitovani mrežni element može da obezbedi informacije o lokalnim hostovima iz keša suseda.
Korišćenje multicast adresa standardizovanih za određene protokole – Ovaj mehanizam omogućava napadaču da identifikuje ključne sisteme poput rutera i DHCP servera. Adrese koje pripadaju domenu lokacije, kao što su adrese svih rutera (All Router – FF05::2) ili svih DHCP servera (All DHCP Servers – FF05::1:3) mogu da budu mete napada.
26
Veće mrežne adrese mogu potencijalno da predstavljaju izazove za širenje crva od jednog prefiksa ka drugom, zato što je teže identifikovati aktivne hostove na osnovu prefiksa, za razliku od onih koji su već zaraženi. Lokalno, inficirani host može da šalje ping ka multicast adresi svih čvorova kako bi otkrio aktivne hostove unutar sopstvenog prefiksa.
i) Najbolja praktična rešenja
Preporučena praktična rešenja bave se svim diskutovanim aspektima izviđanja: Minimiziranje šansi da napadač otkrije aktivne hostove. Ključnim sistemima i
mrežnim elementima ne dodeljivati adrese koje je lako otkriti nagađanjem. Treba implementirati proširenja za poboljšavanje privatnosti kod adresa koje se koriste za komunikaciju van internih mreža. Na ovaj način ograničavamo vremenski period u okviru koga data adresa hosta može da bude meta napada. Mane ovakvog pristupa ogledaju se u otežanom pronalaženju hosta prilikom obavljanja upravljačkih operacija.
Skeniranje zasnovano na stopiranju ICMP-a. Treba filtrirati nepotrebni ICMP saobraćaj na graničnim delovima mreže, ali treba imati na umu njegovu važnost u kontrolnoj ravni IPv6. Poželjno je blokirati ICMP eho pakete čiji se izvori nalaze van interne mreže. Dozvoliti korišćenje saobraćaja za otkrivanje suseda i rutera, kao i poruka „Packet Too Large“, za proces otkrivanja PMTU jedinica (Path Maximum Transmission Unit).
Implementirati zaštitne mere na graničnim delovima. Potrebno je iskoristiti firewall za filtriranje sevisa koji nisu neophodni. Treba kontrolisati multicast saobraćaj na graničnom delu mreže i stopirati eksterni saobraćaj, dok interni saobraćaj ostaje zadržan.
Primeniti zaštitne mere na nivou hosta i aplikacije. Potrebno je aktivirati zaštitne alate poput bezbednosnih agenata i skenera virusa.
4.1.2. Neautorizovan pristup
Kako bi mogli da koriste slabosti hostova i servera, napadači moraju prvo da dopru do njih putem IP-a. Sposobnost hosta da komunicira implicira mogućnost pristupa putem IP-a. Većina mrežnih administratora, da bi zaštitili hostove, može da kontroliše neka od sredstava koje napadači mogu da iskoriste za napade. Mrežni elementi i uređaji mogu da se koriste za filtriranje tipova saobraćaja za koje se smatra da mogu da se iskoriste za podršku u napadima.
Filtriranje saobraćaja ostaje najvažnije sredstvo koje stoji na raspolaganju radi zaštite hostva od nedozvoljenog pristupa. Ovakvo filtriranje najčešće se izvodi u slojevima 3 i 4, od strane rutera i firewall-a. Ono se odnosi na IPv6 postavke, na isti način kao i kod IPv4, ali sa nekim novim karakteristikama:
Povećano korišćenje šifrovanja saobraćaja između krajnjih tačaka kod IPv6 – može da smanji efikasnost nekih mehanizama za filtriranje skrivanjem informacija protokola sa višeg nivoa.
Zaglavlja proširenja – mogu da se koriste za nedozvoljeni pristup hostovima. Uz integraciju IP mobilnosti (MIP-a) u IPv6, hostovi postaju naročito izloženi napadima preko zaglavlja za rutiranje tipa 0. Ova pretnja je umanjena uvođenjem posebnog zaglavlja za rutiranje tipa 2 namenjenog za MIP. Međutim zaglavlje za rutiranje se koristi još uvek (na primer, u radu IPv6 multicast-a lokalnog linka).
27
ICMP – Može da se koristi ne samo za izviđanje, već i za pristup hostovima. Međutim, ICMPv6 igra važniju ulogu u pravilnom funkcionisanju mreže, tako da njegovo filtriranje ne može da bude agresivno u istoj meri kao kod IPv4.
Multicast saobraćaj – trebalo bi da se filtrira i ispituje na isti način kao i kod IPv4. Međutim, IPv6 se oslanja na nekoliko specifičnih multicast grupa kako bi ispravno funkcionisao.
Anycast saobraćaj – u principu bi, prema RFC 2373, trebalo da bude namenjen samo ruterima. Sa povećanim interesovanjem za korišćenje anycast-a, njegovo praćenje postaje još važnije, kada se uzmu u obzir problemi identifikovani kod njegovog korišćenja IPsec-a, na način diskutovan u RFC 3547.
i) Najbolja praktična rešenja
Za prethodno pomenute probleme filtriranja IPv6 saobraćaja preporučuju se sledeća rešenja: Korišćenje višestrukih adresa sa različitim opsezima, kao i korišćenje proširenja za
poboljšavanje privatnosti, kako bi se smanjila izloženost hostova napadačima. Kada se IPsec koristi za komunikaciju između krajnjih tačaka od strane internih hostova,
firewall i filteri rutera mogu da upravljaju paketima samo na osnovu informacija slaja 3. IPv4 se takođe suočava sa ovim problemom. Ukoliko se koristi samo zaglavlje za autentifikaciju (AH), informacijama sloja 4 je još uvek moguće pristupiti radi praćenja i filtriranja.
Zaglavlja proširenja neophodna za ispravan rad servisa mreže bi trebalo da budu identifikovana i trebalo bi da imaju omogućen pristup kroz filtere. Trebalo bi definisati posebne bezbednosne polise za zaglavlja proširenja kojima je pristup dozvoljen, a na osnovu servisa i funkcije koju podržavaju.
IPv4 ICMP polise bi trebalo uskladiti sa IPv6 ICMP polisama. Trebalo bi dozvoliti sledeće tipove:
1) ICMPv6 nema rute ka odredištu (tip 1, kod 0),2) ICMPv6 vremensko prekoračenje (tip 3),3) ICMPv6 zahtev za ehom i odziv na eho (tip 128 i tip 129, respektivno). Takođe trebalo bi da budu komplementirani sa nekoliko dodatnih, važnih tipova:1) ICMPv6 Paket je isuviše veliki (tip 2) za otkrivanje PMTU jedinice,2) ICMPv6 Problem sa parametrom (tip 4),3) ICMPv6 Multicast osluškivač ( tip 130-132, 143),4) ICMPv6 Traženje rutera i oglašavanje rutera (tip 133 i 134, respektivno) kako bi
link funkcionisao,5) ICMPv6 Traženje suseda i oglašavanje suseda (tip 135 i 136, respektivno) kako bi
link funkcionisao. Multicast saobraćaj može da se filtrira na osnovu opsega. Takođe, trebalo bi da se blokira
sav saobraćaj koji za izvornu adresu (SA) ima multicast adresu.
4.1.3. Manipulacija zaglavljem
Struktura IP zaglavlja je promenjena u IPv6, a ove promene obezbeđuju nove mogućnosti za napade na hostove i mreže. Posebno zaglavlja proširenja mogu da se koriste u okruženjima koja ne obraćaju pažnju na njihovo korišćenje.
28
Bezbednosne pretnje zasnovane na zaglavljima rutiranja, već pomenute u ovom poglavlju, nisu jedine koje koriste zaglavlja proširenja u okviru napada. Takođe, druga zaglavlja proširenja mogu da se koriste od strane napadača, na bar tri različita načina:
Manipulacija zaglavljima proširenja čiji se sadržaj mora obraditi u mrežnim elementima ili hostovima.
Povezivanje većeg broja zaglavlja proširenja kako bi se zaštitni mehanizmi i uređaji primorali da vrše detaljna ispitivanja paketa, čak i preko svojih mogućnosti, ne bi li se došlo do informacija koje razotkrivaju napad. Ovaj pristup može da obezbedi sredstva za skrivanje napada.
Korišćenje velikih zaglavlja proširenja radi izvlačenja resursa iz uređaja koji se bave zaglavljima proširenja.
Firewall-ovi bi trebalo da budu sposobni za filtriranje na osnovu zaglavlja proširenja. IDS (Intrusion Detection System) sistem bi trebalo da bude u mogućnosti da da alarmni signal kada detektuje nekompatibilna zaglavlja proširenja.
i) Najbolja praktična rešenja
Mrežni administratori mogu da imaju ograničenu mogućnost kontrole IPv6 stekova postavljenih na hostovima, tako da je protiv ovog tipa napada najbolja odbrana filtriranje saobraćaja koji sadrži bilo koji tip zaglavlja proširenja koje ne podržava postavljene servise. Zaglavlje za rutiranje je naročito važno zato što se koristi za različite implementacije protokola. Takođe, važno je razumeti kako mrežni elementi upravljaju zaglavljima proširenja, tj. njihovu mogućnost da obrađuju višestruka ili velika zaglavlja proširenja.
4.1.4. Fragmentacija
Fragmentacija IP paketa može da se iskoristi za ugrožavanje bezbednosti mreže na dva načina. Prvo, može da se iskoristi za skrivanje napada od firewall-a ili IDS sistema. Ovi uređaji bi trebalo da rekonstruišu pakete radi otkrivanja obrasca po kome se vrši napad. Preklapajući fragmenti i neispravni fragmenti mogu dodatno da zakomplikuju posao detektovanja mogućih upada. Drugo, fragmentacija IP paketa može da se iskoristi za zatrpavanje mrežnih elemenata koji su zaduženi za fragmentaciju ili upravljanje ovim fragmentima na bilo koji specifični način.
Činjenica da je samo krajnjim hostovima dozvoljeno da vrše fragmentaciju štiti mrežne elemente od određenih tipova napada. Drugi aspekti uticaja fragmentacije na bezbednost IPv6 su:
Preklapanje fragmenata ne bi trebalo da bude dozvoljeno u IPv6. Napadač bi mogao da pošalje niz fragmenata, a zatim za njima i fragmente koji sadrže informacije neophodne za napad. Algoritam za sastavljanje fragmenata na strani prijemnika prepisuje originalne fragmente koji sadrže bezopasne informacije, i samim tim koje su prošle kroz bezbednosne provere, sa novim fragmentima koji sadrže informacije za napad. Ovaj tip napada moguće je sprečiti primenom pravila o „nepreklapanju“ u mreži ili na nivou steka krajnjeg korisnika.
Uticaj napada pomoću malih fragmenata može da se smanji. Napadač bi mogao da odabere da pošalje dovoljno male pakete koji bi gurnuli informacije koje otkrivaju napad u drugi fragment u nizu. Bezbednosne mere najčešće reaguju samo na informacije smeštene u prvom fragmentu, tako da napad može da se maskira. Kako RFC 2460 preporučuje minimalnu veličinu okteta od 1280 bajtova, mrežne polise mogu da se implementiraju tamo gde se svi paketi (osim poslednjeg fragmenta) manje veličine
29
odbacuju. Jedna od loših strana korišćenja ovakvih polisa ogleda se u njihovom uticaju na aplikacije koje se oslanjaju na manje pakete, poput VoIP-a. U isto vreme, rad algoritma za otkrivanje PMTU jedinica, implementiranog od strane nekih stekova IPv6 protokola, može da bude ugrožen primenom pomenutih polisa. Na primer, algoritam može da započne pretraživanje okvira dužine 1500 bajtova koji bi mogli da budu preveliki za PMTU. Zatim se spuštaju na 750 (binarno pretraživanje), koji će biti odbačen zbog polisa. Sve naredne veličine paketa bi u koracima binarnog pretraživanja bile odbačene, što lažno vodi do neuspešnog pretraživanja. Hostovi mogu da šalju manje pakete i to se može pokazati nezgodnim, ako bi trebalo da budu analizirani od strane firewall-ova.
i) Najbolja praktična rešenja
Preporučuju se sledeća rešenja za savladavanje pretnji koje koriste fragmentaciju: Pravilo „nepreklapanja fragmenata“ trebalo bi da se primenjuje u svim uređajima. Odbacivanje fragmenata usmerenih ka mrežnim elementima, poput rutera. Uređaji koji prate saobraćaj zasnovan na informacijama sloja 3 i sloja 4 radi potencijalnih
napada trebalo bi da budu sposobni da kontrolišu slučajeve kada zaglavlja proširenja uvode informacije sa višeg sloja u drugi fragment. U tim slučajevima je neophodan određeni nivo ponovnog sastavljanja.
4.1.5. Spoofing na sloju 3 i sloju 4
Važan aspekt napada, čak i zajedničke strategije napada, predstavlja zametanje informacija sloja 3 i sloja 4 o poreklu. Time se onemogućava ulaženje u trag izvoru napada, a uređaj čija je adresa zloupotrebljena može da se učini odgovornim za napad.
Većina spoofing pretnji kod IPv6 liče na one kod IPv4. Mehanizmi za tunelovanje obezbeđuju nove mogućnosti za napade, jer u njima mogu da se iskoriste slabosti oba protokola za spoofing napade. Kada se radi o ovoj klasi pretnji po bezbednost, neophodno je razmotriti nekoliko specifičnosti:
Spoofing na sloju 3 se oslanja na zamenu izvorne adrese napadača slučajno izabranom adresom (koja se koristi ili je rezervisana) ili žrtvinom adresom. Kod IPv4, uobičajenu metodu za umanjenje pretnji od ove vrste napada predstavlja filtriranje na osnovu RFC 2827 i identifikovanje saobraćaja čije se izvorne adrese ne podudaraju sa adresom izvora. Implementacija RFC 2827 verifikuje samo one izvorne adrese koje se očekuju na podmreži, tako da napadač može da zametne adresu drugih korisnika na istoj podmreži. Iste tehnike za umanjenje rizika mogu da se koriste i za IPv6, ali njegovo adresiranje vodi ka nekim specifičnim osobinama:
1) Polise dodele i osobine agregacije IPv6 adresne šeme omogućavaju lakšu implementaciju RFC 2827 filtriranja. Organizacije mogu da sadrže saobraćaj sa jednostavnim listama za kontrolu pristupa (ACL).
2) Veći adresni prostor implicira veliki broj ID-ova interfejsa, koji još uvek mogu da budu zloupotrebljeni, uprkos implementaciji RFC 2827.
3) IPv6 takođe nudi opciju za zamenu adresa sloja 3 u zaglavljima proširenja. Za prenos izmenjenih informacija je naročito zgodno zaglavlje rutiranja.Trenutno nijedan mehanizam nije u stanju da odredi izvor spoofing napada od ID-a interfejsa izvorne adrese. Svaka implementacija bi uključivala i korelaciju između informacija sloja 3 i sloja 2 na hostovima. Pomoću alata za praćenje aktivnosti korisnika
30
(npr. Campus Manager 4.0) moguće je identifikovati hostove koji se ne ponašaju kako se od njih očekuje. Kao što je ranije pomenuto, proširenja za poboljšanje privatnosti mogu da otežaju procese praćenja.
Spoofing na sloju 4 se oslanja na reakciju žrtve na lažnu aplikaciju. Ne postoji razlika između IPv4 i IPv6 u smislu podrške za borbu protiv ovih pretnji.
Mehanizmi za tunelovanje mogu da obezbede načine za dalje skrivanje izvora napada putem spoofing-a.
Slika 4.1 prikazuje spoofing napad koji koristi 6to4 tunele. Izmenjena adresa je u ovom slučaju anycast adresa 6to4 rutera. Napadač može na sličan način da izmeni adrese drugih IPv6 čvorova.
Slika 4.1 Spoofing napad koji koristi 6to4 tunel
6to4 relej prosleđuje unutrašnji deo paketa, uklanjanjem IPv4 zaglavlja (što otežava praćenje izvora paketa). Napadač može da izmeni globalne unicast adrese, ali može da zavara i unicast adrese 6to4 relejnog rutera. Nekoliko mera ograničavaju ovaj tip pretnji:
Verifikacija da li se spoljna IPv4 adresa poklapa sa IPv4 adresom ugrađenom u 6to4 IPv6 adresu.
Blokiranje tunelovanih paketa koji ugrađuju IPv4 anycast adresu koja se koristi za 6to4 releje (192.88.99.1).
Ovakve mere mogu da se implementiraju na svim uređajima koji podržavaju 6to4 tunelovanje. Kompletna analiza bezbednosnih pretnji koje se odnose na postavljanje 6to4 tunela može da se pročita u RFC 3964.
31
i) Najbolja praktična rešenja
Na osnovu preporuka iz RFC 2827, najmoćniji trenutno dostupni alat za borbu protiv spoofing-a jeste filtriranje. Efikasno filtriranje omogućava zadržavanje spoofing saobraćaja generisanog unutar mreže i njegovo suzbijanje na nivo podmreže u kojoj se nalazi lokacija napadača. Kod IPv6 bi trebalo dozvoliti samo saobraćaj čija je izvorna adresa iz blokova koje je IANA već dodelila: 2001::/16, 2002::/16, 2003::/16, 2400::, 2600::, 2A00::, i 3FFE::/16.
Unicast prosleđivanje inverznim putem (uRPF – Unicast Reverse Path Forwarding) obavlja sličnu funkciju, a trenutno je dostupno i za IPv6. Ova karakteristika je diskutovana u Poglavlju 5 „Raspoloživi Alati za Zaštitu IPv6 Mreža“.
Tuneli mogu da se osiguraju korušćenjem IPv4 IPsec-a radi smanjenja opasnosti od spoofing-a. Korišćenje IPv6 IPsec-a između krajnjih tačaka trebalo bi da smanji broj i različite oblike spoofing napada.
4.1.6. Napadi izvedeni tokom inicijalizacije hosta i razrešavanje adresa
Napadi ove kategorije ciljaju na proces pribavljanja adresa tokom inicializacije hosta i drugih operativnih informacija, poput podrazumevanih gateway i DNS servera. Pored toga, oni ciljaju i na proces razrešavanja povezivanja adresa sa sloja 3 i sloja 2. Napad može da omete ove procese ili pokuša da preusmeri saobraćaj hosta na kompromitovani uređaj. Kod IPv4 ove pretnje ciljaju na protokole poput ARP-a (Address Resolution Protocol) i DHCP-a (Dynamic Host Configuration Protocol). Nekoliko karakteristika se kod IPv4 koristi radi zaštite protiv ovih tipova napada (na primer DHCP snooping tj. njuškanje).
Bootstrap proces hosta i proces razrešavanje adresa na sloju 2 su modifikovani u IPv6, tako da otvaraju mogućnost za napade tokom IPv6 inicijalizacije hosta ili razrešavanja adresa:
DHCPv6 ostaje opcija za inicijalizaciju hosta. Takođe, često se razmatra zajedno sa samostalnom autokonfiguracijom. DHCP-PD (Prefix Delegation) takođe se koristi za obezbeđivanje prefiksa za rutere. U svim ovim instancama, protokol se suočava sa napadima sličnim potencijalnim DHCP napadima u IPv4.
Samostalna autokonfiguracija je jedna od karakteristika procesa inicijalizacija hosta, karakteristična za IPv6 i implementirana u ICMPv6. Poruke procesa traženja rutera ili oglašavanja rutera (RA) mogu biti napadnute spoofing metodom, tako da hostu pružaju netačne informacije za inicijalizaciju ili se daje adresa kompromitovanog uređaja koji se predstavlja kao gateway. Napadač može da se umeša i u proces inicijalizacije hosta odgovarajući na prozivku suseda rukovođenu mehanizmom za detektovanje duplikata adresa (DAD – Duplicate Address Detection).
Mogućnosti renumeracije kod IPv6 zasnivaju se na RA paketima. Napadač može da modifikuje RA pakete kako bi inicirao renumeraciju svih hostova na nekom segmentu mreže. Konzistentno korišćenje zaglavlja za autentifikaciju (AH) bi zatvorilo ovaj bezbednosni propust.
Otkrivanje suseda (ND – Neighbor Discovery) obavlja IPv4 ARP funkcionalnost. U svojoj originalnoj definiciji, detaljno datoj u RFC 2461, ne postoje bezbednosni mehanizmi ugrađeni u protokol, tako da su ranjivi na napade koliko i ARP. Korišćenje IPsec-a između čvorova uključilo bi i nepremostivo obimni menadžment zato što implicira statičke asocijacije.
32
Pretnje za proces otkrivanja suseda diskutovane su detaljno u RFC 3756. Posao koji je obavila SEND (Securing Neighbor Descovery) grupa IETF-a iznedrio je dokument RFC 3971, koji obezbeđuje ne-IPsec bezbednosne mehanizme za rešavanje pretnji ND procesu:
Mehanizam za sertifikovanje rutera pomoću „trust anchora“ koga host konsultuje pre prihvatanja rutera kao svog podrazumevanog gateway-a.
Kriptografski generisane adrese pomoću privatnog i javnog ključa koriste se za verifikaciju vlasništva adrese koje se koristi u ND porukama.
Uvođenje potpisa zasnovanog na RSA kriptografskoj šemi, koja se koristi za zaštitu svih ND poruka.
Vremenski pečat i „nonce“ (slučajni broj koji se koristi samo jednom) opcija uvedene su radi sprečavanja napada preko odgovora na neki zahtev.
Hostovi na kojima je SEND aktiviran mogu da rade zajedno sa hostovima na kojima SEND nije uključen. Ove pretnje su relevantne za okruženja u kojima fizički sloj nije obezbeđen (poput okruženja za bežični prenos).
i) Najbolja praktična rešenja
Ovi tipovi napada impliciraju proboj u pristupu mreži na fizičkom nivou, čime se napadaču otvaraju mnoge mogućnosti, nezavisno od protokola. Onemogućavanje ovog proboja zaštite bi trebalo da bude prvi korak u ublažavanju opasnosti. Kada su sloj 1 i sloj 2 zaštićeni pomoću određenih mehanizama (na primer, javno bezbedno prosleđivanje paketa – Public Secure Packet Forwarding), pažnja može da se preusmeri na bezbednosna rešenja na sloju 3. U slučaju IPv6, statička konfiguracija suseda za kritične sisteme mogla bi da predstavlja način za smanjenje mogućnosti za vršenje napada tokom rezrešavanja adresa. Ručna konfiguracija adresa može da bude privremeno rešenje za pretnje koje omogućava samostalna autokonfiguracija.
4.1.7. Napadi putem intenziviranja emisije (Smurf)
Napad putem intezivairanja emisije predstavljaju napad odbijanja servisa (DoS – denial of service) u okviru kog se ICMP eho šalje na broadcast adresu prefiksa i sa „otetom“ adresom žrtve. Svi hostovi na odredišnom prefiksu zauzvrat šalju eho odgovor žrtvi preplavljaujući ga njime.
Kod IPv6 ne postoji koncept emisije (broadcast). Kako bi se intenzivirao saobraćaj pri takvoj vrsti napada, odredišna adresa (DA) može u najboljem slučaju da bude multicast adresa. RFC 2463 jasno sugeriše da ICMP odgovor ne bi trebalo da bude generisan za pakete koji imaju multicast odredišnu adresu (DA), multicast adrese sloja 2 ili broadcast adrese sloja 2.
i) Najbolja praktična rešenja
Ne postoji neko generalno rešenje koje može da se preporuči u ovom slučaju, osim filtriranja multicast saobraćaja koji nije neophodan, čime se smanjuju mogućnosti napadača da pojača intenzitet saobraćaja. Kako bi se upotpunila ograničenja koja se preporučuju u RFC 2463, možda je dobro blokirati sav saobraćaj koji ima multicast izvorne adrese sa sloja 3.
4.1.8. Napadi na rutiranje
Mrežne funkcije za rutiranje mogu da se zloupotrebe na više načina. Resursi procesa za rutiranje mogu da se iscrpe putem napada preplavljivanjem ili simuliranjem prelaznih stanja poput
33
„poskakivanja“ (flapping) rute ili suseda. Napadači mogu da pokušaju da ubace svoje uređaje u topologiju rutiranja ili kompromitovane rutere i tako oštete informacije o rutiranju.
Protokoli za rutiranje nisu se značajnije promenili ni u okviru IPv6, tako da postoje minimalne razlike u strukturi napada na različite verzije IP-a. Relevantna promena zasniva se na činjenici da, iako BGP (Border Gateway Protocol), IS-IS (Intermediate System-to-Intermediate System) i EIGRP (Enhanced Interior Gateway Routing Protocol) još uvek koriste Message Digest 5 (MD5) autentifikaciju za ažuriranje rutiranja, OSPFv3 (Open Shortest Path First version 3) i RIPng (Routing Information Protocol next generation) koriste IPsec (Authentication Header and Encapsulating Security Payload) za komunikaciju sa susedima. Zaštita zasnovana na IPsec-u daje veći nivo bezbednosti u poređenju sa prethodnim mehanizmima.
IPsec zaštita može da se integriše u EIGRP, a IS-IS profitira iz činjenice da razmenjuje informacije korišćenjem paketa sloja 2 nad kojima je teže izvršiti spoofing napad.
Takođe, mogu da se koriste TTL (Time-To-Live) provere kako bi se osiguralo da ažurirane informacije o rutiranju ne dolaze sa lokacija udaljenijih nego što se to očekuje na osnovu veličine mreže. Ove informacije mogu zapravo da budu izmenjene tako da sadrže poruke koje mogu da se iskoriste za napade.
i) Najbolja praktična rešenja
Preporučuje se nekoliko praktičnih rešenja za zaštitu procesa rutiranja: Ruteri bi trebalo da budu zaštićeni od neovlašćenog pristupa. Obezbediti komunikaciju između rutera preko IPsec-a gde god postoji podrška za to ili
pomoću tradicionalnih mehanizama za autentifikaciju. Implementirati bilo koji mehanizam za kontrolu napada preplavljivanjem (flooding), koji
će zaštititi resurse rutera, pri čemu poruke za kontrolu rutiranja treba da imaju visok prioritet.
4.1.9. Virusi i crvi
Virusi i crvi koji napade izvršavaju u okviru sloja aplikacije i dalje predstavljaju najveću opasnost po bezbednost. Oni prvenstveno utiču na hostove, ali neki od sporednih efekata mogu da utiču i na samu infrastrukturu IP-a.
Razmatrajući OSI sloj, na koji utiču ove pretnje, trebalo bi da postoji izvesna razlika između njihovog rada u IPv4 i IPv6 okruženju. Najznačajnija razlika ogleda se u tome što veći adresni prostor onemogućava virusima da se šire unutar IPv6 okruženja, skeniranjem aktivnih hostva sa prefiksima različitim od onih koji su dodeljeni samom uređaju. Kako je ranije već pomenuto, ovakvim procesima je potrebno isuviše vremena za izvršenje, tako da nemaju praktičnu vrednost. Sa druge strane, nakon kompromitovanja hosta, virus može da koristi sve čvorove multicast saobraćaja radi uticaja na druge hostove sa istog linka.
i) Najbolja praktična rešenja
Tipične mere zaštite koje se protiv ovakvih pretnji koriste kod IPv4 mogu da se iskoriste i kod IPv6. Možete se komplementirati bezbednost perifernih delova pomoću firewall-a i IDS sistema, uz redovno ažuriranje antivirusnih programa na hostovima.
34
4.1.10. Napadi preko tranzicionih mehanizama
Mehanizmi razvijeni za neosetni i postepeni prelazak sa IPv4 na IPv6 nude i nove mogućnosti za napade pomoću kojih napadači mogu da iskoriste slabosti u bezbednosnim polisama i mogućnostima kako IPv4, tako i IPv6.
Tunelovanje i koncepti translacije koji se koriste u IPv6 migracionim mehanizmima koriste se i kod IPv4, što znači da imaju i iste slabosti. Zato pretnje po bezbednost koje proizilaze iz upotrebe tehnologija za prelazak na IPv6 nisu niti nove, ni jedinstvene:
Okruženja sa dvojnim stekom su ugrožena preko oba IP protokola IPv6 mehanizmi za tunelovanje zahtevaju otvaranje novih portova na perifernim firewall-
ovima Automatski tuneli su podložniji napadima od ručno kreiranih. Poznati resursi za
tunelovanje poput 6to4 releja mogu da budu cilj napada. U slučaju IPv6, problem može da se ublaži ukoliko obezbedimo tunele pomoću IPv4 IPsec-a gde god je to moguće.
Mehanizmi za prelaz sa IPv4 na IPv6 imaju slične slabosti kao NAT kod IPv4. Oni su odgovorni i za skrivanje izvora napada iza prevedenih adresa.
i) Najbolja praktična rešenja
Najbolja praktična rešenja za okruženja u kojima su prisutni i IPv4 i IPv6 ogledaju se u tome da prvo treba uzeti u obzir različite načine na koje IPv6 može da bude postavljen u okviru postojećih mreža:
Na uređajima sa dvojnim stekom trebalo bi primeniti slične bezbednosne alate i raspoložive funkcije kako unutar mreže, tako i na perifernim delovima mreže.
Koristiti IPv4 IPsec za obezbeđivanje IPv6 tunela gde god je to moguće. Ukoliko IPv4 IPsec ne može da se iskoristi za obezbeđivanje IPv6 tunela, tebalo bi koristiti statičke tunele gde god je moguće. Firewall-ovi bi trebalo da dozvole pristup samo portovima postavljenih i aktivnih tunela.
Uređaje koji obavljaju translaciju protokola trebalo bi posmatrati kao potencijalna vrata za izvršenje napada. Kao minimalnu preventivu, trebalo bi primeniti zaštitne mere protiv različitih vrsta pretnji i to za svaki od protokola na obema stranama translacije.
4.2. Pretnje sa sličnim ponašanjem kod IPv4 i IPv6
Nekolicina poznatih pretnji ponaša se slično bilo da se izvršavaju unutar IPv4 ili IPv6 infrastrukture. Za IPv6 postavke moramo da imamo u vidu ovakve tipove napada i moramo da implementiramo zaštitne mere na osnovu iskustva dobijenog obezbeđivanjem IPv4 mreža.
4.2.1. Sniffing (Njuškanje)
Proces hvatanja tranzitnog saobraćaja koji se kreće od jednog hosta ka drugom naziva se njuškanjem. Ono može da se obavlja pomoću različitih alata poput TCPdumpa ili Ethereala, a uhvaćene informacije mogu da se dalje ispituju ne bi li napadaču otkrile nove pozicije sa kojih može da izvrši napad.
Pod pretpostavkom da napadač ne može da dobije ključeve koji se koriste za IPsec, šifrovani paketi mu neće biti od koristi. IPv6 sa IPsec-om može, pod ovim okolnostim, da eliminiše pretnju od ove vrste napada. Međutim, za sada IPv6 nije ništa bezbedniji od IPv4 kada je reč o ovom tipu napada.
35
4.2.2. Napadi na sloju aplikacije
Većina napada se događa na sloju aplikacije, tako da su karakteristike transportnog sloja irelevantne. IPsec, ukoliko se korist konzistentno i univerzalno na svim hostvima, može da postane delotvoran u smislu pronalaženja izvora napada. Sa druge strane, uopšteno korišćenje IPsec-a umanjuje dobitke koji se ostvaruju zahvaljujući IDS sistemima, zato što ne mogu da tragaju za šemama po kojima se izvršavaju napadi unutar šifrovanih paketa. Konačno, hostovi moraju da se zaštite na sloju aplikacije.
4.2.3. Uređaji otpadnici (Rogue Devices)
Uređaji otpadnici su uređaji koji su bez dozvole ubačeni u mrežu, kao instrument napada. Mogu da budu ili da funkcionišu kao komutatori, ruteri, pristupne tačke ili resursi poput DNS-a, DHCP-a ili AAA servera. IPsec može da pomogne u sprečavanju interakcije sa ovakvim uređajima.
4.2.4. Man-in-the-Middle napadi
Uređaj koji uspe da se ubaci na komunikacioni put između dva hosta predstavlja man-in-the-middle napad. IPsec može da štiti od takvih napada sve dok napadač nema ključ koji se koristi za šifrovanje podataka.
4.2.5. Preplavljivanje
Preplavljivanje predstavlja vrstu napada kod koje se vrši zauzimanje resursa infrastrukture ili hosta. Oni mogu da ometu prosleđivanje paketa ili funkcije kontrolne ravni. Ograničavanje brzine može da se koristi za ublažavanje takvih napada. Na interfejsima sa dvojnim stekom je verovatno da će brzina IPv6 saobraćaja biti strože ograničanana kako bi se zaštitili postojeći, profitabilni IPv4 servisi.
36
5.5. RRASPOLOŽIVIASPOLOŽIVI A ALATILATI ZAZA Z ZAŠTITUAŠTITU IP IPVV6 M6 MREŽAREŽA
Analiza pretnji vodi ka zaključku da postoji više sličnosti nego razlika između IPv4 i IPv6, bar što se tiče bezbednosti. Sve dok se ne uspostavi IPsec između krajnjih tačaka i pouzdani protokol za distribuciju ključeva u okviru IPv6, za obezbeđivanje IPv6 mreža bi trebalo koristiti metode za IPv4 koje su se već dokazale u praksi. Zato je važno izvršiti procenu spremnosti IPv6 za ove alate. Iako je periferna bezbednost kritična, bezbednosne polise i alate je potrebno implementirati i koristiti u različitim delovima mreže.
5.1. IPsec za IPv6
IPsec predstavlja odgovor na potrebu za bezbednom komunikacijom. Definisan je u okviru RFC 2401, a konceptualno funkcioniše na istim principima i u IPv4 i u IPv6.
5.1.1. IPsec koncepti
Implementacija IPsec-a sastoji se iz dva elementa: Zaglavlja za autentifikaciju (AH – Authentication Header), definisanog u okviru RFC
2403, koje obezbeđuje autentifikaciju izvora, integritet bez uspostavljanja konekcije i zaštitu od ponovljenog slanja paketa. Kod IPv6, on je implementiran preko AH zaglavlja proširenja.
ESP-a (Encapsulating Security Payload), definisanog u okviru RFC 2406, koji obezbeđuje poverljivost podataka, autentifikaciju izvora, integritet bez uspostavljanja konekcije i zaštitu od ponovljenog slanja paketa. Kod IPv6 je implementiran preko ESP zaglavlja proširenja.
Možemo koristiti i samo zaglavlje autentifikacije (ukoliko pravila ne dozvoljavaju šifrovanje saobraćaja i korišćenje ESP-a).
Postoje dva metoda za obezbeđivanje saobraćaja između dva hosta: Transportni mod – Kada se koristi transportni mod, IPsec se primenjuje samo na korisni
sadržaj IP paketa, a ne i na IP zaglavlje. U ovom modu, IPsec se koristi između dva hosta, između krajnjih tačaka. U ovom slučaju, korisni sadržaj paketa je zaštićen. Ovaj model je promovisan sa IPv6.
Tunel mod – U tunel modu IPsec zaštita se primenjuje na kompletan paket. U ovom modu, paketi se iz hostova prenose preko zaštićene mreže ka bezbednosnom gateway uređaju. Nakon toga se enkapsuliraju u drugi paket i bezbedno prenose ka odredištu ili ka drugom bezbednosnom gateway uređaju koji ih usmerava na sledeću zaštićenu mrežu, ka njihovom odredištu.
37
Na Slici 5.1 je prikazan način formiranja paketa za svaki metod.
Slika 5.1 Format IPsec paketa
U oba slučaja, proces obezbeđivanja komunikacije započinje uspostavljanjem bezbednosne asocijacije (SA – security association), koja zapravo predstavlja jednosmernu logičku vezu koja obuhvata sve učestvujuće elemente. U te elemente ubrajaju se algoritam za autentifikaciju, ključ za autentifikaciju, algoritam za šifrovanje, ključ za šifrovanje, itd. O ovim parametrima pregovaraju dva učesnika u bezbednosnoj asocijaciji. U transportnom modu, host mora da uspostavi višestruke SA asocijacije. On može da ih razlikuje koristeći indeks bezbednosnih parametara (SPI – Security Parameters Index). Ova dva ID-a, SA i SPI, referencirani su u svakom zaštićenom IPsec paketu.
Kod IPv6, dva zaglavlja proširenja se definišu radi podrške IPsec-u. Slika 5.2 prikazuje njihov format. Broj sekvence je promenljiva koja se inicira na vrednost nula, kada se bezbednosna asocijacija uspostavi. Ona „otkucava“ nakon svakog poslatog paketa, što pomaže u otkrivanju paketa van reda, kao i ponovljenih paketa.
38
Slika 5.2 Autentifikacija i ESP zaglavlja proširenja
5.1.2. Korišćenje IPv4 IPsec za zaštitu IPv6 tunela
IPsec se često postavlja na današnjim IPv4 mrežama kako bi se zaštitila komunikacija preko VPN mreža. Koristi se za pristup VPN-u, kao i između VPN-ova. IPv6 tranzicioni mehanizmi mogu da koriste ovakvu infrastrukturu kako bi se postigao određeni nivo zaštite, čak i u odsustvu IPv6 IPsec-a.
Udaljeni IPv4 hostovi pristupaju privatnim mrežama uspostavljajući šifrovani VPN pristup gateway uređaju postavljenom u te svrhe. Ako je isti host osposobljen i za IPv6, može da probije IPv6 tunel preko ovog IPv4-zaštićenog komunikacionog kanala. Pošto IPv4 VPN postavlja udaljeni host na privatnu mrežu, prirodni izbor za IPv6 tunil je ISATAP (Intra-Site Automatic Tunnel Addressing Protocol), koji je prikladan za komunikaciju unutar lokacije. Međutim, u praksi možemo da koristimo bilo koji tip IPv6 tunela sve dok je podržan od strane hosta i dok je za njega postavljen gateway unutar privatne mreže.
Konfiguracije za IPv4 pristup VPN-u i IPv6 tunel su potpuno nezavisne. Iz prespektive hosta, konfiguracija tunela zavisi od korišćenog operativnog sistema.
5.1.3. Zaštita komunikacija između rutera pomoću IPv6 IPsec-a
Sve dok se IPv6 IPsec ne bude intezivno i uniformno koristio u skladu sa preporukama iz RFC 2460, i dalje će moći da se koristi u manjim postavkama. IPv6 IPsec može da se koristi za zaštitu i kontrolne ravni i ravni podataka između dva rutera .
39
Cisco IOS softver takođe nudi mehanizam za zaštitu prenetih podataka između dva rutera pomoću novog tipa tunela koji koristi IPv6 IPsec. IKEv1 se koristi za upravljanjem ključem. Slika 5.3 prikazuje topologiju u okviru koje se ova opcija koristi između dva rutera A i B.
Slika 5.3 Korišćenje IPv6 IPsec-a za zaštitu razmenjenih podataka između dva rutera
Osim za sami tunel, konfiguracija ove karakteristike je slična onoj koja je korišćena za zaštitu komunikacije između dva rutera pomoću IPv4 IPsec-a. Koraci za konfigurisanje IPsec dela na ruteru A su:
Kreiranje ISAKMP polise. U ovom primeru se korišćeni unapred deljeni ključevi:
crypto isakmp policy 1 authentication pre-share
Definisanje unapred deljenih ključeva i adrese peer-a:
crypto isakmp key myPreshareKey0 address ipv6 2001:B:1::1/128
Konfigurisanje IPsec transformacije koja će biti ponuđena tokom pregovora radi podrške ESP/3DES i algoritma za održanje integriteta:
crypto ipsec transform-set 3des ah-sha-hmac esp-3des
40
Definisanje IPsec parametara koji će se koristiti za IPsec šifrovanje između dva IPsec rutera:
crypto ipsec profile ExampleIPsec set transform-set 3des
Slika 7.2 prikazuje konfiguraciju interfejsa tunela za svaki ruter.Funkcionisanje ove karakteristike liči na odgovarajuću karakteristku kod IPv4, tako da je
moguće koristiti iste komande i metode za otkrivanje i otklanjanje problema. Ovo je koristan alat za zaštitu komunikacije između lokacija.
5.2. Liste za kontrolu pristupa
Liste za kontrolu pristupa su se pokazale kao raznovrsni instrumenti prilikom identifikovanja ciljnog saobraćaja radi dalje obrade ili filtriranja. Smatra se da su IPv6 ACL liste slične IPv4 ACL listama, ali uz par razlika koje vredi istaći:
Format zaglavlja paketa nudi nekoliko dodatnih polja koja ACL liste treba da prepoznaju. Podržani su novi ICMP tipovi. Implicitna pravila ACL listi moraju da uzmu u obzir činjenicu da se proces otkrivanja
suseda (ND) oslanja na protokol sloja 3 (ICMPv6). Prilikom kreiranja ACL listi mora se uzeti u obzir mogućnost korišćenja više adresa po
jednom interfejsu. Opcija renumeracije kod IPv6 može da predstavlja izazov za ACL liste kada za dati
mrežni segment mogu da postoje različiti prefiksi. Potencijalno postojanje više zaglavlja proširenja onemogućava determinističko poređenje
ACL liste za prvi fragment.
5.2.1. Proširene IPv6 ACL liste i filtriranje pomoću spoljnog mehanizma
Proširene ACL liste su kod IPv6 podržane na sličan način kao kod IPv4. Numerisane ACL liste nisu podržane u okviru IPv6. Na raspolaganju su i dodatni parametri radi kontrolisanja nekih ranije pomenutih specifičnosti vezanih za IPv6 protokol i funkcionisanje mreže.
U sledećem primeru date su opcije koje su raspoložive u okviru Cisco IOS komandne linije kada se konfiguriše IPv6 lista za kontrolu pristupa:
Router(config)#ipv6 access-list EXAMPLERouter(config-ipv6-acl)#permit host 2001:1::1 2001:2::/64 ? dscp Match packets with given dscp value flow-label Flow label fragments Check non-initial fragments log Log matches against this entry log-input Log matches against this entry, including input reflect Create reflexive access list entry routing Routing header sequence Sequence number for this entry time-range Specify a time-range
41
Implicitna pravila na kraju IPv6 ACL listi odražavaju operativni značaj procesa otkrivanja suseda (ND). Dopuštaju ICMP saobraćaj za oglašavanje i traženje suseda, kao što je ovde prikazano:
permit icmp any any nd-napermit icmp any any nd-nsdeny ipv6 any any
Slično kao kod IPv4, ako paket ne ispunjava nijedan od kriterijuma poređenja, njegovo odbacivanje se podrazumeva.
Implicitna pravila za IPv6 ACL liste ne uzimaju u obzir činjenicu da IPv6 hostvi moraju da obave otkrivanje PMTU jedinice. Da bi se dopustio proces otkrivanja PMTU jedinice preko filtera, ICMPv6 poruka tipa 2 (Packet Too Big) mora da bude dopuštena u oba smera.
Filtriranje pomoću spoljnog mehanizma je podržano i kod IPv6 ACL listi. Opcija reflect omogućava naredbi permit ACL liste da generiše pristupni zapis za povratne pakete toka. Ovaj dinamički zapis za pristup može da se primeni i na druge ACL liste, korišćenjem ključne reči evaluate, kao što je prikazano u sledećem primeru:
interface FastEthernet6/1.10 ipv6 address 2001:1::1/64 ipv6 traffic-filter IN in ipv6 traffic-filter OUT out
ipv6 access-list IN permit tcp any eq www host 2001:2::1 reflect REFipv6 access-list OUT evaluate REF
Na osnovu ACL liste pod nazivom IN, biće dopušten svaki zahtev za www TCP konekciju koji dolazi sa ulaznog interfejsa FastEthernet6/1.10 za server 2001:2::1. Za svaku konekciju se formira dinamički zapis u okviru REF-a za paket odgovora koji stiže od servera. REF je uključen u ACL listu pod nazivom OUT, koja primenjuje dinamički zapis povratnog puta na izlaznom interfejsu. Refleksivni ACL zapisi su atraktivni u određenom periodu (inicijalno 3 minuta) ili dok se ne detektuje FIN za TCP sesiju.
Implicitna komanda deny any any se ne primenjuje na kraju rafleksivnih ACL listi. Dopušteno je višestruko izračunavanje zapisa za svaku ACL listu.
Vremenski zavisne ACL liste mogu da se kreiraju za IPv6 na isti način kao kod IPv4. One identifikuju ACL liste koje su validne samo u određenim vremenskim intervalima.
5.2.2. IPv6 ACL liste i fragmentacija
Kada su IP paketi fragmentirani, svi fragmenti ne sadrže relevantne informacije za proces poređenja sa ACL listom. Kod IPv4, većina informacija sloja 3 i sloja 4 je raspoloživa u okviru prvog fragmenta, tako da se kompletno poređenje sa ACL listom može izvesti sa ovim fragmentom. Naredni fragmenti obično ne sadrže informacije sloja 4, tako da se većina poređenja mogu izvesti sa zaglavljem sloja 3. Pošto host ne može da koristi neinicijalne fragmente ako je prvi fragment bio filtriran, bezbedno je primeniti ACL naredbu koja sadrži kriterijum za sloj 4 samo za prvi fragment. Ključna rač fragment kod IPv4 ACL liste ukazuje na to da se proveravaju informacije sloja 3, a svi naredni fragmenti su dopušteni ili gurnuti pomoću naradne ACL linije, u zavisnosti od toga da li je naredba permit ili deny.
42
Sa druge strane, IPv6 ruter mora najpre da parsira nekoliko sledećih zaglavlja (Next Headers) pre nego što dođe do zaglavlja fragmentacije, kako bi izvukao informacije iz fragmenta. Zatim mora da parsira još nekoliko zaglavlja proširenja da bi dobio informacije sa višeg sloja. Zato prvi fragment možda ne sadrži sve potrebne informacije. Kod IPv6 ACL listi, kljična reč fragment ima isto značenje kao i kod IPv4, osim što se filter primenjuje na sve neinicirane fragmente, kao i u slučaju da se protokol višeg sloja ne može utvrditi na osnovu prvog fragmenta.
Firewall-i mogu sveobuhvatno da kontrolišu fragmentirane pakete. Mogu da prate sve fragmente na osnovu izvorne adrese, odredišne adrese, protokola. Ovo omogućava Cisco IOS Firewall-u da primenjuje polise za filtriranje na sve fragmente, bez bilo kakvih ranije pomenutih pretpostavki.
5.2.3. Primer IPv6 liste za kontrolu pristupa
Koncepti predstavljeni u ovom odeljku obuhvaćeni su praktičnim primerom topologije prikazane na Slici 5.4.
Slika 5.4 Topologija za primer liste za kontrolu pristupa
Granični ruter (ER – edge ruter) mora da implementira sledeće polise pomoću ACL listi: Zaustavljanje sobraćaja sa jedinstvenim lokalnim izvornim adresama, tako da ne može da
napusti internu mrežu. Trebalo bi beležiti sve takve pokušaje kako bi se otkrili loše konfigurisani hostovi.
Blokiranje spoljašnjeg saobraćaja sa zaglavljima proširenja za rutiranje. Zabrana bilo kakvog spoljašnjeg saobraćaja sa neutvrđenim transportom. Dopuštanje samo DNS saobraćaju iz opsega 2001:B:1::/64 da dopre do DNS servera i
DNS može da odgovori na taj saobraćaj. Dopuštanje samo WWW saobraćaju iz opsega 2001:B:1::/64 da dopre do web servera u
periodu od 8 a.m. do 5 p.m. Dopuštanje saobraćaja neophodnog za podršku procesa otkrivanja PMTU jedinice. Osiguravanje Telnet pristupa ruteru. Dopuštanje saobraćaja koji potiče iz unutrašnjosti mreže, ako koristi globlanu unicast
adresu.
Ovi uslovi su ispunjeni pomoću ACL liste i konfiguracije interfijsa prikazane u sledećem primeru:
43
interface FastEthernet0/0 ipv6 address 2001:1:1::1/64 ipv6 traffic-filter EXAMPLE-IN in ipv6 traffic-filter EXAMPLE-OUT out!interface FastEthernet0/1 ipv6 address 2001:A:1::1/64 ipv6 address FD01:A:1::1/64!ipv6 access-list EXAMPLE-IN deny ipv6 any any routing deny ipv6 any any undetermined-transport permit udp 2001:B:1::/64 host 2001:A:1::D eq domain reflect REF-D permit tcp 2001:B:1::/64 host 2001:A:1::F eq www time-range TimeExample reflect REF-T permit icmp any 2001:A:1::/64 packet-too-big!ipv6 access-list EXAMPLE-OUT deny ipv6 FD00::/8 any log evaluate REF-D evaluate REF-T permit ipv6 2001:A:1::/64 any permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any!ipv6 access-list VTY-protection permit tcp FD00::/8 any eq telnet permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any log!time-range TimeExample periodic daily 8:00 to 17:00!line vty 0 4 ipv6 access-class VTY-protection in
Izlaz komande show ipv6 access-list sumira polise za filtriranje konfigurisane na ruteru.
5.2.4. Korišćenje ACL listi za kontrolu MIPv6 operacija na home agentu
Mobilnost je karakteristika ugrađena u IPv6, tako da to implicira neke pretnje po bezbednost koje su svojstvene samo IPv6 porotokolu. Njuškanje (sniffing), men-in-the-middle napadi, DoS i maskiranje predstavljaju vrste napada koji mogu da zaprete bezbednosti MIPv6. Dosta je napora uloženo u obezbeđivanje ove mogućnosti IPv6 u okviru njene pripreme za implementaciju. Jednostavnost načina korišćenja IPsec-a od strane IPv6 je olakšavajuća okolnost. Međutim, on nije primenjiv u mnogim okruženjima u kojima postiji namera za korišćenje MIPv6. Mnogi uređaji u mobilnim mrežama, poput mobilnih telefona ili PDA uređaje nemaju dovoljno računarske snage za punu implementaciju IPsec-a. Tako je, uz ovaj očigledan mehanizam za obezbeđivanje komunikacija u IPv6, neophodno kreirati nove jednostavnije bezbednosne mehanizme.
44
Na Cisco ruterima je uvedena nova karakteristika, kao deo IPv6 ACL komponente, koja omogućava ruteru da poredi pakete koji sadrže IPv6 zaglavlja proširenja uvedena ili modifikovana sa RFC 3775. Cilj je obezbediti granularniju kontrolu zaglavlja rutiranja i ICMPv6 poruka i sprečiti bezbednosne propuste kada „sve“ treba da bude otvoreno da bi home agent mogao da vrši MIPv6 operacije.
U sledećoj listi dati su primeri kako se ovo poboljšanje može iskoristiti: Tipovi ICMPv6 poruka:
Dopušteni su jedino ICMPv6 DHAAD (Dynamic Home Agent Address Discovery) zahtevi između para naznačenih host adresa.
ipv6 access-list List1 permit ipv6 host 2002:100::150 host 2002:100::153 dhaad-request deny ipv6 any any
Zaglavlje mobilnosti:
Dopušten je saobraćaj samo između para naznačenih hostova sa zaglavljem mobilnosti.
ipv6 access-list List2 permit ipv6 host 2002:100::160 host 2002:100::161 mobility deny ipv6 any any
Zaglavlje rutiranja:
Dopušten je samo saobraćaj koji sadrži određeni tip zaglavlja rutiranja.
ipv6 access-list List3 permit ipv6 host 2002:100::50 host 2002:100::51 routing-type 2 deny ipv6 any any
Zaglavlje odredišnih opcija:
Dopušten je samo saobraćaj koji sadrži određeni tip opcija odredišta.
ipv6 access-list List4 permit ipv6 host 2002:100::10 host 2002:100::11 dest-option-type 201 deny ipv6 any any
45
5.3. Autentifikacija, Autorizacija i Obračun Naknade za Korišćenje Servisa
Funkcije autentifikacije, autorizacije i obračuna naknade za korišćenje servisa (AAA – authentication, authorization, accounting) su kritične u svim postavkama. AAA se koristi za upravljanje korisnicima i uređajima ili za skupljanje informacija o korisnicima radi naplate usluga. Istovremeno AAA služi i kao bezbednosni alat. Nijedna IPv6 postavka ne bi smela biti izvedena bez dostupnih AAA funkcija koje podržavaju IPv6. U prvoj fazi Cisco IPv6 implementacije, IPv6 AAA karakteristike su implementirane proširivanjem nekih atributa karakterističnih za pojedinčne proizvođače (VSA – Vendor Specific Attributes) koji se koriste za IPv4. Neki od ovih VSA atributa imaju odovarajuće atribute koji su RFC 3162 kompatibilni i implementirani za RADIUS. U Tabeli 5.1 rezimirani su IPv6 RADIUS atributi i VSA atributi, uključujući kratki opis njihovog dejstva.
Konfiguracija ovih atributa je jednostavna. Sledeći primer prikazuje korisnički profil konfigurisan na RADIUS serverima.
[email protected] Password = secret Service-Type = Framed, Framed-Protocol = PPP, Cisco-AVpair = "ipv6:prefix#1=2001:A:1::/64", Cisco-AVPair = "ipv6:outacl#1=deny FD00::/8 any"
Kada se korisnik poveže na NAS preko PPP-a, dodeljuje mu se globalni prefiks 2001:A:1::/64. ACL lista će biti primenjena na odlazni saobraćaj kako bi se sprečilo da se bilo koji saobraćaj sa jedinstvenim lokalnim adresama koristi interno.
Ove AAA karakteristike su važne, naročito u slučaju širokopojasnih postavki, kod kojih je potrebno upravljati velikim brojem korisnika.
RADIUS server mora da bude svestan postojanja IPv6 okruženja kako bi bio sposoban da upravlja nekim atributima koji su karakteristični za IPv6.
Druga opcija za implementaciju AAA funkcija podrazumea korišćenje TACACS+ sistema (Terminal Access Controller Access Control System Plus). Uprkos tome što je svestraniji od RADIUS-a, TACACS+ nije široko rasprostranjen zato što je zahtevniji u pogledu potrošnje resursa (zahteva više memorije i procesorskog vremena).
46
RADIUS atributi (RFC 3162) VSA Atributi OpisFramed-Interface-Id - Atribut koji se dodeljuje
svakom korisniku i koristi se tokom pregovora kod IPv6 kontrolnog protokola (IPv6CP) radi ukazivanja na to koji identifikator interfejsa treba konfigurisati.
Framed-IPv6-Prefix IPv6 Prefix# Atribut koji se dodeljuje svakom korisniku, a koristi se za indikaciju prefiksa koji je potrebno konfigurisati kod korisnika u slučaju virtuelnog pristupa. Ovaj prefiks se objavljuje u ND porukama. Server za pristup mreži (NAS – Network Access Server) postavlja statičku rutu za prefiks.
Login-IPv6-Host - Atribut koji se dodeljuje svakom korisniku, a koji ukazuje na sistem sa kojim se korisnik povezuje, kada je prisutan Login-Service atribut.
Framed-IPv6-Route IPv6 Route Atribut koji se dodeljuje svakom korisniku, a definiše informacije o rutiranju koji bi trebalo kofigurisati za korisnike na NAS serveru.
Framed-IPv6-Pool IPv6 Pool Atribut koji se dodeljuje svakom korisniku, a identifijuke fond resursa iz koga se prefiksi izvlače i dodeljuju korisniku. Fond može biti konfigurisan na ruterima ili RADIUS serveru.
- IPv6 ACL Definiše kompletnu ACL listu koja se primenjuje na interfejs dok je korisnik ulogovan.
Tabela 5.1 IPv6 AAA i RADIUS atributi
47
5.4. Unicast prosleđivanje preko inverznog puta (Unicast Reverse Path Forwarding)
Bezbednosne polise koje implementiraju verifikaciju izvorne adrese veoma su važne za eliminaciju spoofing napada. Ove polise sprečavaju spoofing izvorne adrese na nivou prefiksa. Trebalo bi ih implementirati što bliže lokaciji nezaštićenih uređaja i hostova.
Pristupna mreža predstavlja tipičan scenario u okviru kog se ovakve polise mogu primeniti. Provajder servisa koji upravlja mrežom želi da se osigura od pokušaja korisnika da izvedu spoofing adresa čiji se prefiks razlikuje od njihovog. Slika 5.5 prikazuje slučaj kada je zaustavljeno slanje saobraćaja na Host A koji koristi adrese Hosta B i prikazuje ih kao izvornu adresu.
Namera je da se u pristupnom ruteru verifikuju korisnički paketi koji su primljeni na interfejsu, a imaju izvorne adrese koje pripadaju prefiksima za koje se zna (na osnovu tabele rutiranja) da se nalaze van tog interfejsa. Liste za kontrolu pristupa mogu, naravno, biti primenjene na dolazni saobraćaj radi njegovog filtriranja. Međutim ovo može dodatno da optereti upravljanje i funkcionisanje. Drugi način podrazumeva postizanje istog cilja na dinamički, kako bi se implementirao unicast mehanizam sličan RPF-u (Reverse Path Forwarding), a koji se koristi kod multicast prosleđivanja. Unicast Reverse Path Forwarding (uRPF) proverava informacije o rutiranju kako bi se verifikovalo da prefiks koji definiše izvornu adresu dolaznog paketa jeste dostižan van interfejsa na kojem je primljen. Stvarno inverzno pretraživanje se izvodi preko CEF (Cisco Express Forwarding) tabele. Svi putevi sa jednakom cenom se kod reverznog pretraživanja tretiraju kao validni.
Slika 5.5 Zaštita pristupne mreže od internih spoofing napada
Ukoliko se inverzni put izračuna za izvornu adresu koja ne odgovara interfejsu na kome je paket primljen, ili ako izvorna adresa ne može da bude identifikovana (nepravilno formirana izvorna adresa), paket se odbacuje.
48
Ova funkcionalnost dinamički implementira funkcije odlazne ACL liste. Ukoliko je ACL lista navedena na kraju komande ipv6 verify unicast reverse-path, ruter je primenjuje na paket koji nije prošao RPF proveru. Prednost korišćenje ACL opcije ogleda se u tome što ACL lista može da bude kofigurisana za beleženje odgovarajućih parnjaka i na ovaj način su obezbeđene informacije koje mogu da se koriste za praćenje prekršioca polisa.
Primer uRPF kofiguracije:
interface ATM0/0/0.1 point-to-point ipv6 address 2001:1:1:1::1/64 ipv6 verify unicast reverse-path exampleRPF pvc 1/32encapsulation aal5snapipv6 access-list exampleRPF permit ipv6 2001:1:1:1::/64 any log-input deny ipv6 any any log-input
ACL može jednostavno da se konfiguriše kako bi se beležio i dopuštao protok saobraćaja, pri čemu se prekršioci uRPF-a propuštaju, ali se njihovi prekršaji uredno beleže.
5.5. Zaštita kontrolne ravni pomoću ograničavanja brzine
Radi odbrane mrežne infrastrukture od napada, važno je zaštititi resurse kontrolne ravni mrežnih elemenata. Resursi rutera (memorija/CPU) na linijskoj kartici ili procesoru ruta mogu biti iscrpljeni zbog prevelike količine saobraćaja koji je važan iz perspektive kontrolne ravni. Pod ovakvim okolnositma, kritični procesi koji održavaju integraciju rutera u mreži mogu ozbiljno da budu ugroženi.
Ovaj tip pretnji identifikovan je kod IPv4. IPv6 uvodi nove mogućnosti za napad na kontrolnu ravan rutera, poput preplavljivanja prozivkama ili paketima sa zaglavljem za rutiranje.
U prvo vreme, IPv6 servisi će verovatno imati manji prioritet u odnosu na profitabilne IPv4 servise. Ovo znači da kontrolna ravan rutera mora naročito da bude zaštićena od IPv6 pretnji.
Određeni tipovi saobraćaja mogu da se inteligentno filtriraju, ali drugi ne mogu a priori da budu identifikovani kao potencijalna pretnja. U nekom od ovih slučajeva, napad je identifikovan samo na osnovu velikog intenziteta saobraćaja primljenog od strane rutera. Jedan od načina da se odbranimo od ovakvih napada predstavlja ograničavanje bitske brzine primljene od strane rutera. a samim tim se čuvaju minimalni CPU i memorijski resursi za rad kontrolne ravni.
Implementacija ovakvih planova zavisi od platforme. Neke platforme sadrže zaštitne mehanizme za ograničavanje brzine koji su inicijalno aktivirani, dok je druge potrebno kofigurisati za to. Neke imaju hardverski implementirane mehanizme, dok se druge oslanjaju na softverske.
Cisco IOS komandan linija nudi namenski interfejs za konfiguraciju ograničenje intenziteta saobraćaja, naročito radi zaštite kontrolne ravni rutera, na sledeći način:
Router(config)#control-planeRouter(config-cp)#service-policy input <policy-name>
49
6.6. IPIPVV6 6 FFIREWALLIREWALL
Firewall-ovi su pominjani kao moćni alati koji se koriste za nametanje bezbednosnih polisa na graničnom sloju mreže. Slika 6.1 opisuje najčešće primenjivanu bezbednosu topologiju kod IPv4, sa fokusom na firewall-u. Ovakav odbrambeni pojas će se najverovatnije koristiti i kod IPv6 mreža.
Slika 6.1 Tipičan primer topologije periferne zaštite kod IPv4
Isto tako, osim zaštite cele organizacije, možemo da koristimo i softverska rešenja da bi zaštitili individualne hostove.
6.1. Uloga Firewall-a na periferiji IPv6 mreže
Firewall-ovi omogućavaju jedinstvene polise na periferiji mreže i na taj način mogu da blokiraju saobraćaj od spoljnjih uljeza, kada se pravilno konfigurišu. Oni predstavljaju podesivu kontrolnu tačku. Postoje tri vrste inspekcije saobraćaja (u IPv4 okruženju):
Static packet filtering Statefull packet inspection Application layer inspection.
Ista funkcionalnost je potrebna i u IPv6 okruženju, plus mogućnost da se kontrolišu tunelovani linkovi. Razmatranja koja je potrebno uzeti u obzir pri korišćenju firewall-ova su:
Imaju previše rupa koje propuštaju većinu protokola,
50
Firewall može površno da pregleda ono što prolazi kroz njega, bez dublje inspekcije paketa,
Firewall ne može da vidi neke podatke, jer su šifrovani.
U ovim slučajevima pouzdanu zaštitu je teško ostvariti (bilo da je u pitanju IPv6 ili IPv4/IPv6 okruženje).
Ne podržavaju svi firewall-ovi IPv6, a oni koji podržavaju, ne podržavaju sve karakteristike od interesa. Tabela 6.1 sumarizuje karakteristike koje bi trebale da postoje u sofisticiranim IPv6 firewall-ima.
Static packet filtering Osnovna forma omogućavanja sigurnosnih polisa od stane firewall-a. Svaki paket se individualno ispitiva, da se ustanovi da li je u skladu sa bezbednosim polisama. Ako je paket u skladu sa bezbednosnim polisama, omogućava mu se prolazak kroz firewall. U suprotnom se blokira, beleži i odbacuje.
Stateful inspection of IP-layer packet Proces inspekcije uključuje sve „korisne terete“ (payload) IP datagrama povezanih sa datom TCP konekcijom, UDP tokom, itd. i primenjuje „packet filtering policy“ na kompletan saobraćaj. Ovo je mnogo efikasnija forma bezbednosnih polisa od static packet filtering-a.
Application-level protection Uljezi traže ranjivost operativnih sistema (OS) i serverskih aplikacija, uključujući Web-based aplikacije (npr. podržavanje messaging sevisa, pristupa bazi podataka, i infrastrukturni serveri kao što su DNS i e-mail). Za rešavanje ovih propusta, firewall-ovi nude inspekciju na aplikativnom sloju koja štiti Web, e-mail, DNS, i druge Internet servise i klijente od eksploatacije napada. Ovo se postiže koristeći application-layer gateway-e (proxies) ili proširevanjem stateful inspection-a da uključi protokole aplikacija (dublja inspekcija paketa).
Intrusion and DoS Protection Firewall-ovi koji štite organizaciju od mrežne, transportne i aplikativne eksploatacije napada i od flooding napada. Ovi uređaji obezbeđuju detekciju upada i sprečavanje upada (IDS/IDP) i dizajnirani su da detektuju i blokiraju razne eksploatacije napada.
Tabela 6.1 Tipične karakteristike firewall-a
IPsec tunelovanje i enkripcija mogu da učine polise teškim za implemantaciju ili čak nemogućim: firewall ne može da pregleda saobraćaj i napadi mogu da probiju periferuju mreže i da stignu do descktop sestema i drugih kritičnih sistema. IPsec uspostavlja siguran kanal između dve
51
tačke, ali problem tunelovanja u kontekstu firewall-a je teško rešiti. Za firewall-ove je nemoguće da u potpunosti implementiraju bezbednosne polise ako ne mogu da vide aplikaciju ili ne mogu da analiziraju „payload“. Osnovno IP filtriranje može da se implementira na krajnjim tačkama. Ali u tom slučaju IPsec opterećuje krajnje sisteme, umesto samo da opterećuje gateway.
Jedan od pristupa je da omogućimo da ruter postane pravi gateway na kom će da se završavaju i restartuju IPsec sesije, kao što je prikazano na Slici 6.2. Upotreba IPsec ESP-a predstavlja izazov za perifernu bezbednost. Ne treba očekivati puno rešenja za pristup šifrovanom sadržaju na perifiriji mreže. Stoga, administrator će možda morati da razmotri korišćenje host-based (ovo se odnosi na širok spektar krajnjih tačaka, kao što su descktop, serveri i mobilni uređaji), ali centralizovano kontrolisanih firewall-ova. IPv6 tranzicioni mehanizmi koriste različite mehanizme tunelovanja, pa bezbednosna pitanja zahtevaju posebnu pažnju.
Slika 6.2 End-to-end IPsec protiv segmentiranog IPsec-a
U praksi, firewall će se susretati sa dual-stack okruženjima, kao što je prikazano na Slici 6.3.
Slika 6.3 Firewall u dual-stack okruženju
52
Kod dual-stack mreže imamo dva bezbednosna koncepta: jedan za IPv4 i drugi za IPv6. Ova dva koncepta je potrebno dizajnirati prema potrebama svakog od protokola. Firewall-ovi mogu da podrže oba protokola, imajući odvojene filtre (jedna za svaki protolol). Druga mogućnost je da imamo zasebne firewall-ove za svaki protokol (jedan za IPv4 mrežu i drugi za IPv6 mrežu).
Jasne granice ne moraju uvek da postoje u savremenim mrežama i korisnici su primorani da osiguraju računare, na primer, zahtevanjem lozinke, koristići zaštitu od virusa, personalnih firewall-ova, koristeći šifrovan e-mail i kriptovane fajlove.
6.1.1. Filtriranje paketa
Firewall filtrira pakete koristeći pravila zasnovana na faktorima kao što su: izvorna i odredišna adresa, protokol, izvorisni i destinacioni port, i na osnovu drugih polja kao što su Traffic Class i Flow Label. SA i DA je u principu lako implementirati, ali problem je u tome što IPv6 host može da ima nekoliko adresa.
Osnovne pretpostavke koje treba uzeti u obzir pri konfiguraciji firewall-a su: Sintaksa većine dostupnih IPv6 firewall-ova je vrlo slična onoj koju imamo kod IPv4
firewall-ova. Važno je da administrator obrati posebnu pažnju na IPv6 adrese, jer su ljudske greške
verovatnije usled kompleksnijih i dužih adresa. U IPv4, ARP upravlja određenim funkcionalnositima, koje su prebačene u ND kod IPv6.
Tako da je potrebno omogućiti prosleđivanje odgovarajućih ND paketa. Mrežni administratori moraju da budu svesni vrste IPv6 veze koje se koristi (npr.
konfigurisani tunel, automatski 6to4 tunel..). Na primer, kada se koristi konfigurisani tunel, IPv6 paket je enkapsuliran u IPv4 paket sa brojem protokola 41. To znači da moramo da dozvolimo IPv6 u IPv4 pakete sa brojem protokola 41.
Treba da imamo na umu da je analiziranje IPv6 zaglavlja kompleksnije nego analiziranje IPv4 zaglavlja. Paketi koji sadrže nekoliko zaglavlja proširenja moraju da budu obrađeni na odredišnom firewall-u ili čvoru u redosledu kojim se pojavljuju u IPv6 paketu.
Bilo je slučajeva gde se IPv6 funkcionalnosti u IPv4/IPv6 okruženju (posebno u ruterima) koriste kao ranjive tačke za IPv4 mreže. Da bi smo se izborili sa ovakvim pretnjama, protokoli tunelovanja moraju da se blokiraju na periferiji mreže (svi protokoli tunelovanja moraju biti prepoznati od strane firewall-a organizacije), na ruterima i granicama subnet-ova, kao i duž svih VPN-ova. IDS/IPS sistemi bi trebalo da nadgledaju IPv6 protokole, kao što su Neighbor Disovery i Router Advertisement. IDS treba da se podesi da detektuje IPv6 (native i tunelovan). Pored toga i host bi trebalo da nadgleda IPv6.
Slika 6.4 prikazuje tri tipa uređenja perifernih filtara u IPv6 okruženju.
53
Slika 6.4 Tipično firewall okruženje
Kod konekcije na vrhu sledeće mora biti ispunjeno: Firewall mora da podrži/prepozna Neighbor Discovery/Neighbor Advertisement
(ND/NA) filtriranja. Firewall mora da podrži Router Solicitation/Router Advertisement (RS/RA) ako se
koristi SLAAC (stateless address autoconfiguration), Firewall mora da podrži Multicast Listener Discovery (MLD) poruke ako se zahteva
multicast.
54
Kod konekcije u sredini mora da bude ispunjeno sledeće: Firewall mora da podrži ND/NA Firewall treba da podrži filtriranje dinamičnih protokola rutiranja Firewall treba da ima veliki izbor tipova interfejsa.
Za konekciju na dnu: Firewall nudi jednu tačku za rutiranje i sigurnosne polise. Ovo je prilično uobičajeno kod
SOHO (DSL/cable) rutera, Firewall mora da podržava funkcije i rutera i firewall-a.
6.1.2. Funkcije Firewall-a
IPv6 firewall-ovi mogu da budu „usko grlo“ na mreži. Nekoliko faktora može da degradira performanse uređaja:
Duže IPv6 adrese – Firewall-ovi moraju da filtriraju i rukuju sa mnogo dužim poljima adresa.
IPv6 zaglavlja promenljivih dužina – Opciona enkripciona i zaglavlja autentifikacije je mnogo teže rasčlaniti.
IPv6 i IPv4 se istovremeno procesiraju – Dual-state table i istovremene operacije slabe performanse uređaja.
Dublja inspekcija paketa zahteva dekodiranje IPv6 i tunelovanih paketa.
Osim toga, skalabilnost i performanse mrežnih bezbednosih uređaja može biti teško predvideti, zbog širokog spektra i očekivanog mešanja IPv6 i IPV4 aplikacija. U nastavku su dati neki od IPv6 firewall-ova koji se danas primenjuju:
IPCop (zasnovan na Linux-u) m0n0wall (zasnovan na FreeBSD) pfSense (zasnovan na FreeBSD) FWBuilder Checkpoint FW1 NGX R65 on SecurePlatform (podržava IPv6) FortiGate (podržava IPv6 u FortiOS 3.0 i novijim verzijama) Juniper SSG (formerly Netscreen) (podržava IPv6 u ScreenOS 6.0 i novijim verzijama) Cisco ASA (formerly PIX) (podržava IPv6 u verziji 7.0 i novijim verzijama).
Tabela 6.2 daje kvalitativne procene pojedinih firewall-ova koji se trenutno koriste.
IP Filter 4.1
PF 3.6 IP6fw Iptables Cisco ACL
Cisco PIX 7.0
Juniper firewall
Juniper Net Screen
Windows XP SP2
55
Portability Excellent Good Average Weak Weak Weak Weak Weak Weak
ICMPv6 support Good Good Good Good Good Good Good Good Good
Neighbor Discovery
Excellent Excellent Good Excellent Excellent Excellent Good Excellent Weak
RS/RA support Excellent Excellent Good Excellent Excellent Excellent Excellent Good
Extension header support
Good Good Good Excellent Good Good Good Good Weak
Fragmentation support
Weak Complete block
Weak Good Weak Average Weak Average Weak
Stateful firewall Yes Yes No Csak USAGI
Reflexive firewall
Yes ASP necessary
Yes No
FTP porxy No Next version
No No Since 12.3 (11) T
Yes No No No
Other QOS support
QoS support, checking packet validity
Predefined rules in BSD
EUI-64 check,
Time based ACL
No TCP flag support today, HW based
IPsec VPN, routing support
Graphical and central configuration
Tabela 6.2 Pregled IPv6 firewall-a
Kroz Cisco-ve proizvode se nude dva tipa firewall-ova: Cisco IOS Firewall opcija i ASA familija uređaja. Obe opcije se široko koriste na IPv4 mrežama, a sada imaju podušku i za IPv6.
6.1.3. Cisco IOS Firewall
Mogućnosti Cisco IOS Firewall-a često su korišćenje u tekućim IPv4 postavkama. Mnoge mogućnosti su proširene radi obezbeđivanja podrške za IPv6:
Inspekcija fragmenata paketa koristi VRF (virtual fragment resassembly) za proveru fragmenata van reda i dupliranih fragmenata kako bi se identifikovali mogući DoS napadi. Cisco IOS Firewall ispituje sledeća polja u zaglavlju IPv6 paketa: Klasa saobraćaja (Traffic Class), Labela toka (Flow Label), Dužina korisnog sadržaja (Payload Lenght), Sledeće zaglavlje (Next Header), Granica skoka (Hop Limit) i Izvorna/Odredišna adresa (Source/Destination Address).
Ublažavanje IPv6 DoS napada je implementirano na identičan način kao kod IPv4. Ispitivanje tunelovanih paketa se ne izvodi unutar enkapsuliranog IPv4 paketa, ali može
da se izvede nad deenkapsuliranim IPv6 paketom. Ispitivanje UDP, TCP, ICMP i FTP sesija pomoću spoljnog mehanizma. Ispitivanje paketa koji su prevedeni između IPv4 i IPv6, pomoću spoljnog mehanizma. Kontroliše zaglavlja proširenja, rutiranja, Hop-by-Hop, opciono zaglavlje i zaglavlje
fragmentiranja. PAM (Port-to-application mapping) je opcija koja administratorima mreže omogućava
da podese korišćene TCP i UDP portove (tj. tako da se razlikuju od dobro poznatih portova). Ova opcija im omogućava da kontrolišu pristup na osnovu sadržaja čak i za veći opseg različitih portova.
Cisco IOS Firewall može da obavlja ove karakteristike firewalla i za IPv4 i za IPv6 istovremeno, i na istim interfejsima.
56
Konfiguracija Cisco IOS Firewall karakteristike uključuje nekoliko razmatranja. Možemo da modifikujemo različite parametre koji se koriste za donošenje odluka o procesu ispitivanja u okviru globalne konfiguracije, kao što je prikazano u sledećem primeru:
Router(config)#ipv6 inspect ? alert-off Disable alert audit-trail Enable the logging of session information (addresses and bytes) hashtable-size Specify size of hashtable
max-incomplete Specify maximum number of incomplete connections before clamping name Specify an inspection rule one-minute Specify one-minute-sample watermarks for clamping routing-header Enable session routing header inspection tcp Config timeout values for tcp connections udp Config timeout values for udp flows
Važno je osposobiti opcije za proveru rutera koje bi pratile proces ispitivanja. Opcija se osposobljava pomoću globalne konfiguracione komande ipv6 inspect audit-trail.
Polise za ispitivanje možemo da definišemo tako da uključuju različite prepoznate protokole. Polisa definisana u sledećem primeru nazvana je FW-EXAMPLE i uključuje ispitivanje svih podržanih protokola: FTP, UDP, TCP i ICMP.
Router(config)#ipv6 inspect name FW-EXAMPLE ftp timeout 100Router(config)#ipv6 inspect name FW-EXAMPLE udp timeout 100Router(config)#ipv6 inspect name FW-EXAMPLE tcp timeout 100Router(config)#ipv6 inspect name FW-EXAMPLE icmp timeout 60Router#show ipv6 inspect allSession audit trail is enabledSession alert is enabledRouting Header inspection is disabledone-minute (sampling period) thresholds are [400:500] connectionsmax-incomplete sessions thresholds are [400:500]max-incomplete tcp connections per host is 50. Block-time 0 minute.tcp synwait-time is 30 sec -- tcp finwait-time is 5 sectcp idle-time is 3600 sec -- udp idle-time is 30 secicmp idle-time is 10 secSession hash table size is 1021Inspection Rule Configuration Inspection name FW-EXAMPLE ftp alert is on audit-trail is on timeout 100 udp alert is on audit-trail is on timeout 100 tcp alert is on audit-trail is on timeout 100 icmp alert is on audit-trail is on timeout 60
Nakon što se definiše, polisa se primenjuje na dolazni ili odlazni interfejs, kao što je prikazano u sledećem primeru:
Router(config-subif)#interface FastEthernet6/1.10Router(config-subif)#ipv6 inspect FW-EXAMPLE inRouter#show ipv6 inspect interfaceInterface Configuration Interface FastEthernet6/1.10 Inbound inspection rule is FW-EXAMPLE ftp alert is on audit-trail is on timeout 100
57
udp alert is on audit-trail is on timeout 100 tcp alert is on audit-trail is on timeout 100 icmp alert is on audit-trail is on timeout 60 Outgoing inspection rule is not set
Da bi se otkrile i otklonile greške u procesu ispitivanja, možemo da uključimo i odgovarajuću komandu debug. U sledećem primeru ruter ispituje ICMPv6 saobraćaj:
Router#debug ipv6 inspect icmpMar 10 17:48:43.797: CBAC sis 69E1EAC4 L4 inspect result: PASS packet 6724896C (2001:2:2:1::1:0) (2001:2:C1:A001::2:0) bytes 1448 icmpMar 10 17:48:45.797: CBAC sis 69E1EAC4 L4 inspect result: PASS packet 67249D34 (2001:2:2:1::1:0) (2001:2:C1:A001::2:0) bytes 1448 icmp
Drugi važan alat koji se koristi za ispravno ispitivanje saobraćaja jeste proces virtuelnog sastavljanja, koji mora da bude osposobljen na interfejsu, kao što je prikazano u sledećem primeru:
Router(config-subif)#interface FastEthernet6/1.10Router(config-subif)#ipv6 virtual-reassemblyRouter#show ipv6 virtual-reassembly FastEthernet6/1.10%Interface FastEthernet6/1.10 IPv6 configured concurrent reassemblies (max-reassemblies): 64 IPv6 configured fragments per reassembly (max-fragments): 16 IPv6 configured reassembly timeout (timeout): 3 seconds IPv6 configured drop fragments: OFF IPv6 current reassembly count:1 IPv6 current fragment count:3 IPv6 total reassembly count:25 IPv6 total reassembly timeout count:0
Ovaj primer obuhvata izlaz komande show virtual-reassembly na datom interfejsu. Predstavlja listu broja obrađenih paketa i broj fragmenata koji su obrađeni za dato vreme.
6.1.4. Cisco ASA uređaji
Postoji više modela Cisco ASA 5500 series uređaja, koji zadovoljavaju potrebe širokog opsega mreža. Razlikujemo četiri ASA 5500 series edicije:
Cisco ASA 5500 Series Firewall Edition – pruža stateful firewall funkcionalnost. Cisco ASA 5500 Series IPS Edition – štiti servere i infrastrukturu od malvera, hakera i
ostalih pretnji kroz firewall, application security i IPS. Cisco ASA 5500 Series Content Security Edition - štiti male korisnike paketom
sigurnosnih servisa. Firewall i VPN servisi pružaju sigurnu povezanost ka centralnoj lokaciji kompanije.
Cisco ASA 5500 Series VPN Edition - uključuje siguran pristup udaljenih korisnika internim mrežnim sistemima i servisima. SSL i IPSec VPN remote-access tehnologije kao što su CISCO Secure Desktop + Firewall IPS, štite mreže od napada iznutra.
Ovde treba napomenuti da jedna „šasija“ može da podrži samo jedan od navedenih modula. Cisco u paleti svojih proizvoda koji se tiču bezbednosti ima, između ostalog, 6 ASA uređaja namenjenih malim, srednjim i enterprise korisnicima. Ti uređaji su prikazani na Slici 6.5. ASA IOS software je isti za sve ASA uređaje. Uredjaji se razlikuju po hardveru. Takođe se razlikuju u brzini
58
procesora, propusnoj moći, količini RAM-a, broju dozvoljenih konekcija i maksimalnom broju interfejsa.
Slika 6.5 Cisco ASA 5500 Series Adaptive Security Appliance Family
59
7.7. ZZAKLJUČAKAKLJUČAK
IPv6 i IPv4 koriste iste bezbednosne mehanizme, što se tiče IPsec-a. Međutim, što se tiče primene, IPv6 je efikasniji, omogućava bolje sigurnosne polise i pravila filtriranja koja se mogu primeniti zbog jedinstvenog sistema krajnjeg adresiranja. Takođe, end-to-end nudi mogućnost end-to-end identifikacije i autentifikacije.
Pojedini bezbednosi alati i softveri nisu još uvek spremni da podrže IPv6 (npr. pojedini firewall-ovi), što zahteva rad na razvoju tih alata i softvera i pažljivo ispitivanje istih (npr. u IPv6 pilot projektima).
IPv6 zahteva promenu polisa firewall-ova, npr. multicast i ICMP saobraćaj ne bi trebalo da je blokiran po difoltu. Osim toga, nekoliko operativnih sistema imaju omogućen IPv6 po difoltu, ali korisnici/administratori možda nisu svesni toga, ostavljajući prostor za IPv6 napad. Ovo zahteva obuku mrežnih administratora u cilju dobijanja odgovarajuće zaštite na mreži.
Što se tiče procesa migracije, gde god je moguće, trebalo bi implementirati dual-stack čvorove/mreže. Gde to nije moguće, mogu da se koriste mehanizmi tunelovanja da se povežu IPv6 čvorovi/mreže preko IPv4 mreža. Tokom procesa migracije, korisnici i administratori moraju da uzmu u obzir mogućnosti napada i na IPv4 i na IPv6. Što se tiče IPv6, trebalo bi filtrirati multicast ping-ove, da bi se sprečilo širenje „crva“. Da bi mehanizmi tunelovanja bili bezbedni odgovarajući filtri treba da se postave na krajnjim tačkama tunela i Teredo bi trebalo da se izabere samo u slučaju kad se koriste NAT-ovi i firewall-ovi svesni Toredo-a.
Sve veći broj IP mobilnih uređaja (IPv6 očekuje njihov ubrzan rast), veća fleksibilnost i bolja zaštita od unutrašnjih napada (npr. od virusa i crva), zahteva primenu hibridnih polisa zaštite, sa primenom „grubih“ sigurnosnih polisa na periferiji mreže (npr. preko perifernih firewall-ova) i „finijih“ sigurnosnih polisa koje se primenjuju na hostovima (npr. preko personalnih firewall-ova).
Sličnosti između pretnji zasnovanih na IPv4 i IPv6 navode na zaključak da bezbednosne mere koje su definisane i proverene u slučaju IPv4 treba da budu korišćene i za IPv6. U nastavku je dat kratak pregled rešenja koja bi trebalo razmotriti za zaštitu IPv6 postavke:
Kontrola adresa i otkrivanje suseda (ND) – Postavljanje jedne adresne šeme za komunikaciju sa hostovima unutar interne mreže i druge za komunikaciju sa hostvima koji se nalaze van interne mreže.
Filtriranje saobraćaja – Sprečiti sobraćaj koji potiče od internih adresa (ULA) da napusti mrežu. Zadržati multicast saobraćaj većeg obima unutar granica mreže. Filtrirati ICMP saobraćaj, ali imati na umu operativne funkcije ICMPv6, kao što je otkrivanje PMTU jedinice. Sprečiti saobraćaj koji sadrži nepotrebna zaglavlja proširenja za postavljene servise da pređe granice mreže. Sprečiti IPv6 fragmente upućene ka mrežnim elementima. Odbaciti fragmente paketa za koje ne može da se utrvdi viši sloj. Implementirati RFC 2847 filtriranje da bi se sprečili spoofing napadi. Blokirati saobraćaj koji za izvornu adresu ima multicast adresu. IPv4 firewall-ovi i filteri treba da blokiraju delove za mehanizme za tunelovanje koji nisu postavljeni na mreži.
Zaštita aplikacije – Implementacija i na nivou hosta i na nivou mreže (pomoću firewall-ova, sve dok IDS funkcionalnost ne bude raspoloživa).
60
Autentifikacija i šifrovanje – Aplikacije bi trebalo da koriste šifrovanje kod god je to moguće. Koristiti autentifikaciju za BGP i IS-IS protokole za rutiranje. Koristiti IPsec za OSPFv3 i RIPng. Koristiti IPv4 IPsec-zaštićene puteve za IPv6 tunele. Zaštititi prenete podatke između rutera pomoću IPv6 IPsec-a.
Opcije za postavljanje IPv6 – Postavke sa dvojnim stekom se lakše osiguravaju i trebalo bi da imaju prednost u odnosu na tunelovanje. Ako se tunelovanje koristi za međusobno povezivanje IPv6 ostrva, statički tuneli su poželjniji nego dinamički, jer su bezbedniji.
Ove preporuke bi trebalo primeniti na hostove, rutere i firewall-ove ako ih je moguće primeniti.
Što se tiče buduće primene IPv6 protokola, u cilju zatvaranja bezbednosnih rupa u IPv6 protokolu i ubrzavanja primene IPv6 protokola, dalji razvoj IPv6 protokola je neophodan. Još uvek postoje neke oblasti koje zahtevaju dalji razvoj (razvoj alata i mehanizama za distribuciju, razvoj SEND implementacije za host...). Trebalo bi da se očekuje da je IPv6 bolji protokol od IPv4 protokola. IPv6 je budućnost IPv4-a, koje se upravo dešava.
61
LLITERATURAITERATURA
[1] Daniel Minoli, Jake Kouns, „Security in IPv6 Environment“, 2009 by Taylor & Francis Group, LLC.
[2] Raymond Blair, Arvind Durai, „Cisco Secure Firewall Service Module“, 2009 Cisco Systems, Inc.
[3] Scott Hogg, Eric Vynckle, „IPv6 Security“, 2009 Cisco Systems, Inc.[4] Ciprian Popoviciu, Eric Levy-Abegnoli, Patrick Grossetete, „Deploying IPv6 Networks“,
2007 Cisco Press.[5] Pete Loshin, „Theory, Protocol, and Practice“, 2004 by Elsevier.[6] Silvia Hagen, „IPv6 Essentials“, May 2006, O'Reilly.
62