1- مقدمه
امنیت IPv6 در بسیاری از موارد همانند امنیت IPv4 است. اینكه تصور شود IPv6 یك اكسیر امنیتی با خود می آورد درست نیست.مكانیزم اصلی كه عبور دادن بستهها در طول شبكه اینترنت است تغییر چندانی نمیكند و پروتكلهای لایههای بالایی كه دادههای كاربردی عملی را منتقل میكنند،بصورت چشمگیری بدون تاٌثیر باقی میمانند.البته IPv6به دلیل پشتیبانی از IPSec دارای امنیت IPv6 به مراتب بالاتر از IPv4 است. بررسی و مقایسه محیط ایدهآل با سناریوهای عملی و برنامههای كاربردی تا حدودی متفاوت است ضمناینكه حملهكنندگان معمولاً از سوراخهایی وارد میشوند كه تصور آنها در زمان طراحی متصور نبوده است.استفاده از برنامههای محرمانهسازی اطلاعات،حفاظت با استفاده از رمزنگاری،استفاده از امضاءهای دیجیتال،استفاده از مكانیزمهای امنیتی در سرویسدهندههای نامهای دامنه و ... جزو مواردی هستند كه برای بیشتر كردن امنیت در IPv6 همانند IPv4 استفاده میشود.
در این قسمت قصد داریم هدرهای گسترش یافته،IPsec،حمله دسترسی بدون احراز هویت،بررسی بستهها دردیوارههای آتش،اجرای دقیق گسترش دهندههای اختفاء را مورد بررسی و ارزیابی قرار دهیم و ملاحظات IPv4 و IPv6 را در آنها در نظر بگیریم.
مرور همبندی
همانند قسمت اول به مرور همبندی میپردازیم شكل 1 یك شبكه لبه اینترنت در IPv4 و IPv6 را نشان میدهد.این شكل تقریباً تمامی تجهیزاتی را كه جهت برقراری و ارائه سرویس لازم است در بردارد. بنابراین ما نیز بررسیهای خود را در سناریوی این همبندی انجام دادهایم.
اجرای دقیق گسترشدهندههای اختفاء: گسترش دهندههای اختفاء با توجه به حملههای پویش میتواند از تیرگی و گمنامی یك نقطه ثابت بهره ببرد،اما آنها میتوانند پیگیری و ردیابی مسائل را دشوارتر كنند و همچنین رفع مشكل و عیبیابی شبكه را هم با مشكل روبرو كنند.اگر یك شبكه دارای میزبانی باشد كه در شبكه درست رفتار نمیكند و آدرس آن میزبان بطور منظم تغییر میكند،مشكل خواهد بود كه بتوان آن میزبان را پیگیری نموده یا متوجه شد كه مشكل از آن میزبان بخصوص است یا از میزبانهای دیگر.بهترین حالت آن است كه برای ارتباطات داخلی از آدرسهای ایستا استفاده شود كه این آدرسها براساس آدرسهای MAC اختصاص داده شدهاند و یا آدرسهای شبه تصادفی كه برای ترافیكهای به مقصد اینترنت در نظر گرفته شدهاند.بعلاوه این كار تواناییهای ممیزی كنونی را جهت پیگیری كرمها با مشكل روبرو میكند زیرا زمانی كه آلودگی یك سیستم یا میزبان را در یك زیرشبكه بخصوص بررسی میكنیم،تعویض گسترشدهندههای اختفاء آدرسها، یاreboot شدن یك ماشین باعث میشود تشخیص اینكه آیا آن ماشین آلوده است یا نه را مشكل سازد.روشهای دیگری برای رفع این مشكل در IPv6 به شرح زیر است:
- فیلتر كردن آدرسهای IPv6 كه در داخل شبكه استفاده میشوند در مسیریابهای مرزی سازمان: مدیران شبكه میتوانند آدرسهای Site Local را برای سازمان خودشان تعریف كنند،كه شامل آدرسهای چند بخشی بخصوص مانند آدرس همه مسیریابها یعنیFF05::2 است.این آدرسهای Site Local میتواند بصورت پتانسیلی و توانی راههای جدیدی را برای حملهها ایجاد و هدایت كند. بنابراین مدیران باید این آدرسها را در مسیریابهای موازی فیلتر كنند.
- استفاده از آدرسهای ایستای استاندارد ولی پنهانی در سیستمهای بحرانی: بجای استفاده از آدرسهای خلاصه مانند ::10 یا ::20 سعی شود از آدرسهای استاندارد و یا بعضی از آدرسهایی را كه حدس زدن آنها برای حمله كنندهها سخت است مانند آدرس ::DEF1 برای دروازههای تعریف شده استفاده شود.این واقعاً یك تكنیك امنیت از طریق ابهام و تاریكی است و علیرغم اینكه این مورد دارای كمی زحمت اضافی برای مدیران است،استفاده از آن بیفایده نبوده و مفید واقع خواهد شد.استاندارد كردن در الگوهای ثابت و كوتاه برای اینترفیسها و رابطهایی كه بصورت مستقیم از بیرون قابل دسترسی نیستند،نیاز به یك لیست فیلتر كوتاه در مسیریابهای مرزی دارد.هدف در اینجا آن است كه حمله كننده نتواند آدرس جهانی سیستمهای كلیدی را تخمین بزند.
سرویسهایی كه در دیواره آتش به فیلتر نیاز ندارند:همانند IPv4،سیستمهای داخلی و عمومی شما نباید از طریق سرویسهایی كه نیاز به دسترسی آنها ندارد،قابل دسترسی و رویت باشند و كسانی كه به برخی از سرویسها نیاز ندارند،لزومی ندارد كه آنها را ببینند.بنابراین بعضیها امیدوارند كه IPsec نیاز به دیواره آتش را از بین خواهد برد،در صورتیكه كارائی دیوارههای آتش به عنوان حفاضتكنندگان لایه 3 و 4 بخوبی شناخته شده است.حتی بعضی از انتشارات غیر فنی هم با آن كنار آمده و آنرا برای خود حل شده تلقی میكنند.گسترش وسیع و گسترده IPsec هم برای IPv4 و هم برای IPv6 غیر عملی خواهد بود.
فیلتر كردن ICMP بطور انتخابی: به علت اینكه كشف همسایه (ND) از ICMP استفاده میكند و عمل قطعهقطعه كردن در ایستگاههای انتهایی انجام میشود،(كه به كشف واحد انتقال ماكزیمم مسیر نیاز دارد PMTUD) ضروری است كه بعضی از پیغامهای ICMP درIPv6 اجازه داده شوند،با این وجود پیغامهای ICMP غیر ضروری میتواند در دیواره آتش جلوگیری شوند، از این قبیل پیغامها میتوان به پیغامهایICMP و پیغامهایی كه در جواب آن ارسال میگردد،اشاره نمود كه اگر خوب مدیریت نشوند قسمتی از قابلیتهای سیستم از دست خواهد رفت (قربانی خواهد شد). توصیه میشود كه مخصوصاً برای IPV6 پیغامهای ICMP برای همه جهات و برای همه میزبانها فراهم شود (فعال شود)، مگر آن پیغامهای ICMP كه از شبكه اینترنت به شبكه داخلی وارد میشوند كه بایستی غیر فعال گردند.بعلاوه اینكهIPv6 به پیغامهای كشف همسایه– تقاضای همسایه (ND-NS)و كشف همسایه– اعلان همسایه (ND-NA)نیاز دارد تا بتواند عملیات لازم را بخوبی انجام دهد.همانطوریكه پیغامهای تقاضای مسیریاب (RS) و اعلان مسیریاب (RA) هم اگر با پیكربندی اتوماینك انجام شود مورد استفاده زیادی دارد و پیغامهای RA كه از یك مسیریاب ارسال میشود دارای طول عمر مربوط به بستههای اعلان است و نمیتوان از ارسال آنها جلوگیری نمود. بالاخره، همانندIPv4 ، پیغامهایی كه بصورت بستههای خیلی بزرگی هستند بایستی بصورت وسیعتری اجازه داده شوند تا بصورت مطمئن با تابعی از PMTUD عمل كنند.
- نگهداری میزبان و امنیت برنامه های كاربردی:اگرچه بروز كردن Patch ها و قفل كردن میزبانها بصورت نرمافزاری و سختافزاری از عناصر بحرانی در IPv4 هستند، این موارد نه تنها در IPv6 از بین نرفته بلكه بحرانیتر هم شده است، بخصوص در مراحل اولیه توسعه پروتكل IPv6، زیرا بسیاری از حفاظتكنندگان میزبانها (نظیر دیوارههای آتش، IDS ها و....) هماكنون بصورت كاملتر و گستردهتر IPv6 را پشتیبانی نمیكنند.بعلاوه این مورد خیلی شبیه آن است كه IPv6 كه بصورت مقدماتی در شبكهها اجرا میشود،دارای امنیت لازم در میزبانها نخواهد بود.ضروری است كه در نگهداری امنیت میزبانها تمركز شود تا اطمینان حاصل شود كه میزبانهایی كه به مصالحه رسیدهاند و IPv6 بر روی آنها پیاده شده است ولی دارای امنیت لازم نیستند سنگراه و مانعی برای میزبانهای دیگر نشوند.
حمله دسترسی بدون احراز هویت
دسترسی بدون احراز هویت به كلاسهایی از حمله اطلاق میشود كه حملهكننده سعی میكند،سیاست انتقال ذاتی در پروتكل IPv4 را استثمار كند.در پشته پروتكلی IP هیچچیزی میزبانها را محدود نمیكند كه بتوانند با میزبان دیگری در شبكه IP ارتباط برقرار كنند.حمله كنندهها به این حقیقت اعتماد دارند كه میتوانند ارتباطی را به پروتكلهای لایه بالاتر در تجهیزات بین شبكهای و میزبانهای انتهایی تثبیت كنند.
ملاحظات IPv4
شبكههای IPv4 براساس محدود كردن دسترسیهای غیر مجاز با اعمال تكنولوژیهای كنترل دسترسی از طریق سیستمهای انتهایی و تجهیزات دروازه بین نقاط انتهای IPv4 انجام میشود این كنترلها میتوانند هم در لایه 3 و هم در لایه 4 اتفاق بیفتد. روش كنترل دسترسی در IPv4 خیلی پیچیدهتر از آن است كه بتوان این پشته پروتكلی را به راحتی استفاده كرد در لایه IP از لیستهای كنترل دسترسی پایهACLs) استفاده میكنند تا تنها به میزبانهای مجاز اجازه داده شود كه بستهها را به آن افزار بفرستند.از ACL ها انتظار میرود كه دسترسی به یك تجهیز یا از طریق آن تجهیز را براساس سیاست امنیتی و انجام موارد دیگر محدود كند.تعیین لیستهای كنترل دسترسی راههای ورود به شبكه توسط حملهكننده را محدود میكند و بعضی از سرویسها را از معرض حمله دور نگه میدارد و به حمله كننده اجازه نمیدهد كه به همه سرویسهای شبكه دسترسی داشته باشد.در شبكههای IPv4 این كنترل دسترسیها در تجهیزات شبكه مانند دیوارهآتش و یا بروی خود تجهیزات انتهایی اعمال میشود.
همچنین دیوارهای آتش میتوانند،سیاستهای امنیتی مبتنی بر اطلاعات موجود در هدرهای IPv4 را پشتیبانی كنند و این تجهیزات دارای كاربردهای زیادی هستند مخصوصاً زمانیكه مربوط به بررسی لایههای بالاتر،پروتكلهای TCP،UDP و اطلاعات لایه كاربردی میپردازد.
ملاحظات IPv6
نیاز به مكانیزم كنترل دسترسی در IPv6 همانند IPv4 است، ولی با وجود پروتكل IPsec در آن فعال كردن كنترل دسترسی خیلی راحتتر است.مدافع و مدیر شبكه میخواهد با استفاده از روشهای كنترل دسترسی توانایی حملهكننده را از دسترسی غیر مجاز به شبكه و سرویسهای آن محدود كرده و از بین ببرد.
كنترل دسترسی كه براساس IPv6انجام میشود نه تنها اطلاعاتی كه در هدر لایه سه فیلتر میشود را تغییر میدهد، بلكه روش آدرسدهی و سیستمهای مسیریابی در ساختار IPv6 را نیز تغییر میدهد.سیستم آدرسدهی در IPv6 در مقایسه با IPv4 دچار تغییر شده است،زیرا شامل این قابلیت است كه یك كارت شبكه یا اینترفیس را قادر میسازد كه چندین آدرس IPv6 را بصورت همزمان داشته باشد.آدرسهای چندگانه در IPv6 دارای اهمیت زیادی برای ارتباط در زیرشبكه محلی (آدرس Link Local كه به شكل FE80::/10 است)،ارتباط داخل یك سازمان (آدرس Site Local كه به شكل FC00:://6 یا FD00:://6 كه برای كارهای گروهی استفاده میشود) یا در ارتباطات اینترنت جهانی (آدرسهایGlobal Unicast كه با پیشوند باینری 001 همراه است)دارند و در زمان استفاده از این آدرسها مدیر شبكه میتواند برای هر ارتباطات خاص از آدرسهای خاص استفاده نماید. در داخل سازمان از آدرسهای Link Local،مسیریابها برای مسیریابی و رد و بدل كردن اعلانهای مسیریابی از آدرسهای Site Local و برای ارتباط با اینترنت جهانی از آدرسهای جهانی استفاده میشود.بنابراین طراح شبكه با استفاده از آدرسهای مختلف آدرسدهی و مسیریابی را طوری طراحی كند كه دسترسی به گرههای انتهایی شبكه IPv6 محدود شود.بعنوان مثال در IPv6 طراح شبكه میتواند آدرسهای Global Unicast را فقط برای تجهیزاتی كه نیاز به ارتباط با شبكه جهانی اینترنت را دارند، بكار ببرد در صـــورتیكه آدرسهای Site Local را برای تجهیزاتی میتواند استفاده كند كه جهت ارتباط داخل سازمانی بكار میرود. بعلاوه، استفاده از خاصیت اختفاء در هدرهای IPv6، كه قبلاً به آن اشاره شد،میتواند زمانی را كه هر آدرس ساده IPv6 در دسترس است را محدود كند و آنرا بیحفاظ نمیگذارد.ماوراء اختلافهایی كه قبلاً توضیح داده شد طرح كلی و تفاوت روشهای حمله دسترسی غیرمجاز به یك شبكه IPv6 را در قسمتهای زیر مورد بررسی قرار میدهیم.ابتدا به اختلافات تكنولوژیكی IPv4 و IPv6 در قسمت هدر اشاره میكنیم،و در قسمتهای بعدی تواناییهای موجود در این زمینه برای حمله كننده و دفاع كننده را مورد بررسی قرار خواهیم داد.
اختلافات تكنولوژی و تهدید
در IPv6 تابع اصلی برای سبك كردن دسترسی به سایر تجهیزات بر اساس سیاستهایی است كه هماكنون در دیوارههایآتش و ACLها انجام میشود.هر چند كه اختلافات اساسی بین IPv4 و IPv6 از نظر تكنولوژیكی و شكل هدرهای دو پروتكل وجود دارد كه مدیران شبكه آن تكنولوژیها را اعمال میكنند.در قسمتهای زیرین به چند نمونه از این اختلافات تكنولوژیكی بین دو پروتكل اشاره میكنیم.
IPsec
زمانیكهIPSec درIPv6 یا IPv4 اعمال میشود توانایی مدیران شبكه در اعمال سیاستهای امنیتی بر روی اطلاعات و با استفاده از هدرهایIP افزایش مییابد.نقاطی را كه در زیر به بررسی آنها میپردازیم هم شامل IPv4 و هم شامل IPv6 است و میتوان آنها را به هر دو پروتكل اعمال نمود.اگر رمزگذاری درIPSec بصورت انتها به انتها اجرا شود،تكنولوژی موجود برای دیوارهآتش تنها در اعمال سیاست براساس لایه 3 مؤثر خواهد بود زیرا این نوع حفاظت مبتنی بر رمزگذاری است.اگر IPv6 تنها از هدر احراز هویت استفاده كند،امكانپذیر خواهد بود كه دیوارههای آتش را وادار كرد كه به پروتكلهای لایههای بالاتر نیز سرویس دهند و براساس اطلاعاتیكه دركپسولهبندی هدر احراز هویت وجود دارد،اجازه میدهد كه آیا امكان دسترسی به یك بسته وجود داشته باشد یا از دسترسی به آن ممانعت بعمل آید.
هدرهای گسترشیافته (توسعهیافته)
هدرهای اختیاری در IPv4 با هدرهای توسعه یافته در IPv6 جایگزین شده است با این جایگزینی هدرهای توسعه یافته ممكن است به عنوان یك تلاش برای سیاست امنیتی مورد بهرهبرداری قرار گیرند.برای مثال تمامی نقاط انتهایی IPv6 مورد نیاز هستند تا بتوانند بستههای IPv6 را با استفاده از هدر مسیریابی به مقصد برساند.همچنین ممكن است كه علاوه بر پذیرش بستههای IPv6 با استفاده از هدرهای مسیریابی،میزبانهای انتهایی هم هدرهای مسیریابی را پردازش كرده و بستهها را هدایت كنند.لذا با در نظر گرفتن این قابلیت هدرهای مسیریابی میتوانند برای اجرای سیاستهای امنیتی در تجهیزات فیلترینگ مانند دیوارههای آتش مورد استفاده قرار گیرند.برای مدیریت بهینه و احتراز از مشكلات احتمالی،مدیر شبكه باید تعدادی از گرههای بخصوص را نامزد كند كه به عنوان نماینده خانهMIPv6 عمل نمایند (معمولاً مسیریاب تعریف شده برای زیرشبكه برای این كار انتخاب میشود). همچنین طراح شبكه بایستی پیكربندیهای لازم را طوری اعمال نماید كه سیستم عاملهای داخل سازمان بستههایی را كه دارای هدر مسیریابی هستند را هدایت نكند و اگر سیستم عاملهایی در شبكه وجود دارند كه بستههای دارای هدر مسیریابی را هدایت میكنند تدابیر و پیكربندیهای لازم جهت فیلتر نمودن و حذف آن بستهها در تجهیزات كنترلی اندیشیده شود.اگر MIPv6 مورد نیاز نباشد،بستههای با هدر مسیریابی را میتوان براحتی در تجهیزات كنترل دسترسی دور ریخت(حذف نمود).بهتر است كار سیاستگذاری دسترسی را بدون استفاده از سیاستهای تعیین شده در MIPv6 شروع كرد،زیرا استفاده از برنامههای كاربردی در تجهیزات بكار رفته با دسترسی WiFi باعث خواهد شد كه نگهداری آنها با مشكل روبرو شود.بنابراین بهتر است از اعمال سیاست برروی سیستمهای انتهایی به درستی اطمینان حاصل شده و دقتهای لازم بعمل آید كه آن سیستمها بستههای خاص را هدایت نكنند.
نظرات شما عزیزان:
ادامه مطلب
