IPv6 áttérési technológiák vizsgálata biztonsági szempontból

OData támogatás
Konzulens:
Dr. Lencse Gábor Sándor
Hálózati Rendszerek és Szolgáltatások Tanszék

Az IPv4 tervezésekor nem számoltak azzal, hogy egy olyan technológiát hoznak létre, amely 30-35 év múlva meghatározó szerepet fog betölteni. Az IPv4 legfőbb hibája a kiosztható címek alacsony száma, ezért szükség van egy olyan technológiára, amely nemcsak a címek számát növeli, hanem az idővel felmerült igényeket is képes kielégíti. 1998-ban kiadták az IP 6-os verziójának az RFC-jét, az új verzió javítja az IPv4 hibáit, hiányosságait. A legfontosabb javítás a címtartomány kibővítése (128 bit), a fejléc leegyszerűsítése (állandó méret), illetve a fejléc modulárissá tétele volt. Az átállás az egyik pillanatról a másikra nem lehetséges, hiszen mind a szolgáltatói, mind az előfizetői oldalon hardveres és szoftveres fejlesztésekre is szükség lehet. Ezért nélkülözhetetlenek azok a technológiák, amelyek az elkövetkezendő, nagyjából 10 évben elősegítik majd a folyamatos átállást.

Dolgozatomban először szeretném bemutatni azokat a lehetséges eljárásokat az IPv6 áttérési technológiák közül, amelyeknek a használata az IPv6 bevezetésében néhány éven belül várhatóan aktuális lesz. Alapvetően háromféle eljárást vizsgáltam meg: az alagutazást, a fordítást és a dual-stack-et. A problémákat két atomi problémává lehet átalakítani, így beszélhetünk heterogén-kapcsolatról és heterogén-tranzitról. A kapcsolódási probléma akkor merül fel, ha két különböző protokollt használó hálózat vagy állomás kapcsolódik egymáshoz, ilyenkor valamilyen fordítóra van szükség, hogy a két oldal kommunikálni tudjon egymással. Tranzit problémáról beszélünk, ha egy vagy több natív hálózatot szeparál el egy másik hálózat, amely eltérő protokollt használ, ilyenkor alagutazást kell alkalmazni. A legfontosabb eljárások: NAT64, DNS64, 6to4, 6rd.

A bemutatott technológiák alkalmazása számos esetben biztonsági problémát okozhat, melyek egy része az adott technológia alkalmazásának elválaszthatatlan következménye, más részük kellő körültekintéssel kiküszöbölhető. Megvizsgáltam, hogy milyen ismert biztonsági problémák léphetnek fel, és kifejtettem, hogy azok miként használhatók ki: támadások indíthatók mind az IPv6, mind az IPv4 hálózatból, így minden lehetséges forrást meg kellett vizsgálnom.

Végezetül egy teszthálózat segítségével bemutattam, hogy az egyes megvalósításokban az eljárások hibái hogyan jelennek meg, illetve rávilágítottam, hogy a korábban bemutatott támadások hogyan védhetők ki a leghatékonyabban. A vizsgált megvalósítások között találhatók nyílt és zárt forrású szoftverek is, mint például Tayga, BIND9 vagy Cisco és Linux beépített szolgáltatások.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.