Regisztráció és bejelentkezés

IPv6 áttérési technológiák vizsgálata biztonsági szempontból

Az IPv4 tervezésekor nem számoltak azzal, hogy egy olyan technológiát hoznak létre, amely 30-35 év múlva meghatározó szerepet fog betölteni. Az IPv4 legfőbb hibája a kiosztható címek alacsony száma, ezért szükség van egy olyan technológiára, amely nem csak a címek számát növeli, hanem az idővel felmerült igényeket is képes kielégíti. 1998-ban kiadták az IP 6-os verziójának az RFC-jét, az új verzió javítja az IPv4 hibáit, hiányosságait. A legfontosabb javítás a címtartomány kibővítése (128 bit), a fejléc leegyszerűsítése (állandó méret), illetve a fejléc modulárissá tétele volt. Az átállás az egyik pillanatról a másikra nem lehetséges, hiszen mind a szolgáltatói, mind az előfizetői oldalon hardveres és szoftveres fejlesztésekre is szükség lehet. Ezért nélkülözhetetlenek azok a technológiák, amelyek az elkövetkezendő, nagyjából 10 évben elősegítik majd a folyamatos átállást.

Dolgozatomban elsőként szeretném bemutatni azokat a lehetséges eljárásokat az IPv6 áttérési technológiák közül, amelyeknek a használata az IPv6 bevezetésében néhány éven belül várhatóan aktuális lesz. Alapvetően háromféle eljárást vizsgáltam meg: az alagutazást, fordítást és a dual-stack-et. A problémákat két atomi problémává lehet átalakítani, így beszélhetünk heterogén-kapcsolat és heterogén-tranzitról. A kapcsolódási probléma akkor merül fel, ha két különböző protokollt használó hálózat vagy állomás kapcsolódik egymáshoz, ilyenkor valamilyen fordítóra van szükség, hogy a két oldal kommunikálni tudjon egymással.

Tranzit problémáról beszélünk, ha egy vagy több natív hálózatot szeparál el egy másik hálózat, amely eltérő protokollt használ, ilyenkor alagutazást kell alkalmazni. A legfontosabb eljárások: NAT64, DNS64, 6to4, 6rd, 6PE.

A bemutatott technológiák alkalmazása számos esetben biztonsági problémát okozhat, melyek egy része az adott technológia alkalmazásának elválaszthatatlan következménye, más részük kellő körültekintéssel kiküszöbölhető. Megvizsgáltam, hogy milyen ismert biztonsági problémák léphetnek fel, és kifejtettem, hogy azok miként használhatóak ki: támadások indíthatóak mind az IPv6, mind az IPv4 hálózatból, így minden lehetséges forrást meg kellett vizsgálnom.

Végezetül egy teszthálózat segítségével igyekeztem bemutatni, hogy az egyes megvalósításokban az eljárások hibái hogyan jelennek meg, illetve igyekeztem rávilágítani, hogy a korábban bemutatott támadások hogyan védhetőek ki a leghatékonyabban. A vizsgált megvalósítások között találhatóak nyílt és zárt forrású szoftverek is, mint például Tayga, BIND9 vagy Cisco és Linux beépített szolgáltatások.

szerző

  • Kovács Dániel
    Mérnök informatikus szak, alapképzés
    alapképzés (BA/BSc)

konzulens

  • Dr. Lencse Gábor
    tudományos főmunkatárs, Hálózati Rendszerek és Szolgáltatások Tanszék

helyezés

III. helyezett
letöltés
2 660 kB