IoT 그리고 IPv6 보안
주요연혁
패스트레인글로벌공인교육기관 Network Infrastructure 데이타센터과정 무선과정 보안과정 Collaboration 과정 Desktop 가상화과정 데이타센터가상화과정 패스트레인보안전문교육 네트워크보안 시스템보안 무선보안 앱보안 보안관제 보안자격증 System Administration OpenStack Enterprise Virtualization Clustering & Storage Management Jboss Application Management IPv6 네트워크엔지니어과정 IPv6 시스템엔지니어과정 IPv6 개발자과정 IPv6 보안과정
강사소개 김석주 ( 金錫周 ) sjkim@flane.co.kr 010 9089 8253 패스트레인 www.flane.co.kr 1993년 Network 입문 Novell Microsoft Linux Cisco IPv6 Forum
1. IoT 배경과와 IPv6 2.IPv6 의특징와취약점 3.IPv6 보안취약점
1.IoT 배경과 IPv6
Internet of Things( 사물인터넷 ) 의시대적변천 1995 년 MIT 교수인니콜라스네그로폰테 Being Digital 저서에서 Ubiquitous 적인분산된형태의컴퓨터를소개하고컴퓨터란것이장난감, 아이스박스등모든물건과공간에존재할것 1999 년파크연구소의수석기술전문가인 " 마크와이저 IBM 시스템저널에서유비쿼터스컴퓨팅을제시 2000 년 3GPP ( 유럽과일본중심의이동통신기술표준화단체 ) 4G 의핵심기술인 LTE 와 All IP 에대한비젼발표
Internet of Things( 사물인터넷 ) 의시대적변천 2000 년대 M2M(Machine to Machine) 1968 년전화장비간통신을시초로 2000 년대에이동통신망을통한사람과사물, 사물간에지능통신으로진화 2005 년대 USN (Wireless SN) (Ubiquitous Sensor Network) 모든사물에전자태그를부착해사물과환경을인식하고네트워크를통해실시간정보를구축활용토록하는통신망 Near Field Communication RFID 아두이노와 RFID System
2010 년사물인터넷시대 " 모든사물에컴퓨터가있어우리도움없이스스로알아가고판단한다면고장, 교체, 유통기한등에대해고민하지않아도될것이다. 바로이런사물인터넷 (Internet of Things) 은인터넷이했던것그이상으로세상을바꿀것이다. - 케빈애슈턴 새로운인터넷환경의도래 새로운서비스의출현 IPv4 프로토콜한계와 IPv6 수용
제품의개발진화 2009 년쿼키 (Quirky) 크라우드소싱아이디어상품개발플랫폼 피벗파워 (Pivot Power) 피벗파워 (Pivot Power) 분리형스템플러 (Align Stapler)
퀴키의실패 (2015 년 9 월 ) 조선일보 2015.10.13 발췌 - 유니콘기업의몰락위협
IoT 제품 IoT 메이커즈 ( 블루투스, 지그비 ) 아이디어상품으로의진화 개발자는국민대 캐리온 팀 무게측정하고여행가방도착알려주는 캐리온 제품 캐리온 1 개를개발하는데투입된비용은 4 만 ~4 만 5 천원정도 오픈소스하드웨어와소프트웨어때문에저비용가능 개발기간은 8 개월 오픈소스하드웨어와소프트웨어때문에개발기간의단축 개발팀장은상용화여부대해선의문점을표시??
IoT 제품 IoT 와 Lego ( 블루투스, 지그비 ) Google 에서 lego Arduino 로검색
홈오토메이션 IoT LG U+ (IPv4 와 Z-Wave)
IoT 제품의진화 IoT 와 IPv6 (End to End) IPv6 world = Simple is Best IPv6 도입은 네트워크의구성의단순화 단순화는문제발생소지를억제 해킹유발인자가작음 해킹피해최소화 IPv6 Internet Flask Web Server Python HTML Index1-3.html
IoT 제품의진화 IoT 와 IPv6 (End to End) 5 V bread Board(+) GPIO 15 - Relay GPIO 16 Red LED GPIO 17 Yellow LED GPIO 18 Green LED GND bread Board( ) GPIO 20 - Relay GPIO 21 Red LED GPIO 22 Yellow LED GPIO 23 Green LED
IoT 제품의진화 IoT 와 IPv6 (End to End)
IoT 시대의특징 - 개발자는? 반짝이는 아이디어 와 의욕 만있다면개발자 간단한회로구성및센서들의조합방법들 간단한프로그래밍방법 방대한예제프로그램들과라이브러리보유
IPv6 의특징와취약점
Global IPv6 주소설정 관리자가수동설정가능 라우터가발생하는 RA 메시지로자동할당가능 Router Advertisement 메시지정보를사용하여자동생성됨 DHCPv6 서버를통해자동으로설정가능 DHCPv6 서버를통해자동할당가능
ICMPv6 취약점 - Forged RA Router Advertisement Router Advertisement RA 패킷은 ICMPv6 Type 은 134번 Source 주소 : 라우터의 Link Local 주소 Destination : All-Node 멀티캐스트주소 (FF02::1) Data : Option, Prefix, Lifetime, Autoconfig Flag 라우터에의해주기적으로발생된다. 시스코장비의경우 200 초
ICMPv6 취약점 - Forged RA ICMPv6 취약점 - Forged RA DOS Attack using fake RA messages [root@useruu-b student]# flood_router6 PODUU-B
Duplicate Address Detection A B ICMP type = 135 Src = 0 (::) Dst = solicited-node multicast of A Data = link-layer address of A Query = What is your link address? 장비의 IPv6 주소가생성되면주소의중복을방지하기위해 DAD 기능을수행한다. Destination 주소는 A 장비의 Solicited Node 멀티캐스트주소 ICMPv6 Type 135 번즉 Neighbor Solicitation 의응답이존재하면주소의중복을발생한것으로생성된 IPv6 주소는폐기된다.
DAD 공격 DAD Attack: [root@user01-b student]# dos-new-ip6 PODUU-B Started ICMP6 DAD Denial-of-Service (Press Control-C to end)... Spoofed packet for existing ip6 as fe80::212b:92aa:677c:ce84 Spoofed packet for existing ip6 as fe80::a512:d832:c8be:a043 Spoofed packet for existing ip6 as 2495:0:HH00:3000:a512:d832:c8be:a043 Spoofed packet for existing ip6 as 2495:0:HH00:3000:ac0b:6a7:d94d:6ca7
ICMPv6 Echo Request 를이용한스캐닝 목적지 IP FF02::1 로 ICMPv6 Echo Request 전송시 RFC 2463 에의해응답은 Parameter problem ICMP message 가됨 [root@useruu-b student]# alive6 PODUU-B Alive: 2495:0:HH00:3000:48f:78fd:7ec1:55b0 Alive: 2495:0:HH00:3000::1 Found 2 systems alive
IPv6 보안취약점
IPv6 의보안취약성예 IPv6 프로토콜영역 ICMPv6 IPv6 확장헤더 IPv6 멀티캐스트 IPv6 ND/SLAAC IPv6 NAT 알려진보안취약성 ICMPv6 Echo Request 를이용한스캐닝 ICMPv6 플러딩공격 Forged RA, Forged NA DAD 공격 Redirect 공격비밀통신 (Covert channel) ICMPv6 Error 메시지를이용 Hop Limit 공격등 RH0 공격 Header Fuzzing Router Alert 공격 Fragmentation 공격 Unknown Option Header 공격등 멀태캐스트패킷을이용한빠른스캐닝 DHCPv6 서버에대한 Blind 공격 DoS 증폭 (Amplification) 등 DoS 공격 Address Scanning 공격 Forged SLAAC 서버 기존 IPv4 NAT 의보안취약성을모두승계함예를들어, Binding Table 공격
ICMPv6 보안취약성 ICMPv6 프로토콜메시지는 IPv6 네트워크의제어, 관리등의용도로사용된다. 취약성 / 대응방안 비밀통신채널 (Covert Channel) ICMPv6 오류메시지의 payload 필드는원래의전체패킷을포함할수있다. 이패킷은공격자의비밀데이터를포함할수있다. 방화벽에대한 Hop Limit 공격 방화벽은 Hop Limit 가 1 인패킷을폐기한후에 ICMPv6 Tmie Exceeded 메시지를패킷송신자에게반환한다. 공격자는 Hop Limit 가 1 인다수의패킷을생성하여방화벽이 ICMP Time Exceeded 메시지를생성하는데에자원을낭비하게한다
IPv6 확장헤더의보안취약성 IPv6 장비가 IPv6 헤더를해독 (parsing) 하는것은많은자원을소모하게된다. 라우터 : hop-by-hop 헤더 (RFC2460) 를해독 방화벽 : 모든확장헤더를해독해야함 수신단말 : 모든확장헤더를해독해야함 취약성 / 대응방안 공격자가많은수의확장헤더를포함한패킷을전송하면경로상의네트워크노드들에서과도한자원소모가발생 방화벽의패킷검사회피 패킷을단편화 (Fragmented) 시킨후에패킷의 Payload 필드를두번째단편 (Fragment) 에위치시키면첫번째단편만검사하는방화벽은패킷 Payload 를검사할수없게된다. 조작된확장헤더는수신단말에서소프트웨어오류를유발. 확장헤더공격에대한최선의방안은확장헤더에대한검사및필터링기능을경로상의장비에서하드웨어적으로추가
IPv6 멀티캐스트의보안취약성 IPv6 Multicast 는 SLAAC(Stateless Address Auto Config), DAD(Duplicate Address Detection), DHCPv6, 멀티미디어통신등에서다양하게사용된다. 취약성 / 대응방안 IPv6 멀티캐스트를이용한주소스캐닝공격 공격자 PC 와공격대상 PC 가동일한 LAN 에위치한경우 Neighbor Discovery 을통한대상 PC 의 IPv6 주소획득가능 공격자 PC 가위조된 RA 을발생하여 DAD 메세지의정보획득 DHCPv6 서버에대한 IP 주소요청은 FF05::1:3 주소를사용한다. DDoS 공격의목표의주소를 Source IP 로가진멀티캐스트패킷을전송하면대규모의리턴트래픽 ( 예를들어, ICMPv6 오류메시지 ) 이위조된소스주소로집중되게할수있다 멀티캐스트패킷에대해서는 ICMPv6 오류메시지를반환하지않음 (RFC2463) 멀티캐스트소스주소패킷에대해서는 ICMPv6 오류메시지를반환하지않음 (RFC4443)
IPv6 ND/SLAAC 의취약성 SLAAC (Stateless Address Autoconfiguration) 는별도의주소관리시스템없이, 단말기스스로자신이이용할 IPv6 주소를생성하는방식 취약성 / 대응방안 내부망의공격에취약함 NDP 프로토콜은자체보안기능이없음 공격자가위조된 RA 패킷을전송할수있음 주소할당을받는사용자에대한인증이없음 NA 패킷의인증을위해 SEND(Secure Neighbor Discovery, RFC3971) 를사용 (SEND 의암호화는 DOS 공격의빌미를제공 ) IDS 와 NDPMon 는 NA/RA 패킷의위조를감지할수있지만 NA/RA 위조는각 LAN 에서발생하므로중앙집중식으로감지할수없다. EUI-64 방식으로생성된 IPv6 는특정 IP 의노출로 DoS 공격의빌미를제공하거나해당장비의추적이가능하여사생활침해의소지발생 IPv6 address 의마지막 64 비트를 MAC 주소가아닌무작위주소를선택 (RFC4941)
IPv6 에서의웜 (Worm) 웜이란인간의개입이없이스스로전파되는악의적인프로그램이다 IPv6 웜은 Slapper 로알려져있다. 이웜은 Apache 웹서버를감염시킨후랜덤검색을통해다른 Apache 웹서버를감염시킨다. Slapper 웜유포자는웜에명령을내려서다른시스템에 IPv6 패킷을플러딩한다. 웜의전파방법 IP 주소를순차검색 (Code Red, Slammer) 또는랜덤검색 (Blaster) IPv6 웜의고속스캐닝전략 : IP 주소추측 (Guessing), 시스템코드분석, DNS 질의, 인터넷터넷검색엔진을활용 e-mail 에자신의코드를파일로첨부 P2P, 메시징, 파일공유서비스를이용한전파 윈도우즈운용체제의서비스를이용한전파 (MS/SQL Slammer, W32/Blaster 등 ) IPv6 웜에대처방안은 시스템에안티바이러스프로그램의최신패치를설치 IPS 시스템의 Signature 도최신으로갱신 IDS 시스템에서프로토콜별트래픽량의변화를감시
IPv6 에애플리케이션대한 DDoS 공격 IPv6 망에연결되는시스템들의수가 IPv4 보다훨씬많을것이므로 DDoS 공격의파급력은매우커짐. 취약성 / 대응방안 DDoS 공격을원천적으로차단할방법은없음 대응방안은 DDoS 트래픽을감지하고필터링 계층적주소체계인 IPv6 는공격원점을추적하기가더쉬음 Blackhole 구현 라우터에특정 IP 주소에대한 Null Route 를설정, 전파하여폐기를유도 Darknet 구현 의심스러운 IP 주소에대한경로를 Darknet 으로지정하여패킷을분석모니터링 Ingress/Egress 필터링 패킷또는라우팅정를필터링 SWIP(Shared WHOIS Project) 의 whois 데이터를이용하면불법적인 IP 프리픽스를확인 Bogon 필터링 할당되지않았거나특수한목적으로예약된 IP 주소를 Bogon 주소라하며필터링한다.
IPv6 단말기보안 단말기의 ICMPv6 패킷에대한처리규칙확인 ICMPv6 가주소할당, Neighbor Discovery 등과같은기능들을수행하므로무조건폐기할수없음 단말기의 Neighbor Cache 관리 Neighbor Cache 의조작여부를확인 단말기내의불필요한터널생성여부를검사 단말기에터널을생성하여백도어통신채널로악용 단말기의 IPv6 라우팅을중지 단말기가 IPv6 라우팅에참여한다는경우는거의없음 단말기의 Prefix Policy 테이블조작여부관리 단말기의 Prefix Policy 테이블은패킷의목적지주소와일치하는 Prefix Policy 찾아서지정인터페이스를통해패킷을송신한다. 만약복수의항목과일치하면가장높은 Precedence 값을가진항목을사용 단말기에방화벽소프트웨어설치 netsh advfirewall firewall show rule name = all
수고하셨습니다.