Embed Size (px)
Citation preview
IoT 그리고 IPv6 보안
주요연혁
패스트레인 글로벌공인교육기관
• Network Infrastructure
• 데이타센터 과정
• 무선과정
• 보안과정
• Collaboration 과정
• System Administration
• OpenStack
• Enterprise Virtualization
• Clustering & Storage Management
• Jboss Application Management
• Desktop 가상화 과정
• 데이타센터 가상화 과정
• IPv6 네트워크 엔지니어과정
• IPv6 시스템 엔지니어 과정
• IPv6 개발자과정
• IPv6 보안과정
패스트레인 보안전문교육
• 네트워크보안
• 시스템보안
• 무선보안
• 앱보안
• 보안관제
• 보안자격증
강사 소개
• 김석주 (金 錫周)
• 010 – 9089 – 8253
• 패스트레인
• www.flane.co.kr
• 1993년 Network 입문
• Novell
• Microsoft
• Linux
• Cisco
• IPv6 Forum
1. IoT 배경과 와 IPv6
2.IPv6 의 특징 와 취약점
3.IPv6 보안 취약점
1.IoT 배경과 IPv6
• 1995년 MIT 교수인 니콜라스 네그로폰테
– “Being Digital” 저서에서 Ubiquitous 적인 분산된 형태의 컴퓨터를 소개하고 컴퓨터란 것이 장난감, 아이스박스등 모든 물건과 공간에 존재할 것
• 1999년 파크 연구소의 수석기술전문가인
"마크 와이저”
– IBM 시스템 저널에서 유비쿼터스 컴퓨팅
을 제시
• 2000년 “3GPP”(유럽과 일본 중심의 이동통신 기술표준화 단체)
– 4G 의 핵심기술인 LTE 와 All IP 에 대한
비젼 발표
Internet of Things(사물 인터넷)의 시대적 변천
• 2000년대 M2M(Machine to Machine)
– 1968년 전화장비간 통신을 시초로
– 2000년대에 이동통신망을 통한 사람과 사물, 사물간에 지능 통신으로 진화
• 2005년대 USN (Wireless SN)
(Ubiquitous Sensor Network)
– 모든 사물에 전자태그를 부착해 사물과 환경을 인식하고 네트워크를 통해 실시간 정보를 구축 활용토록 하는 통신망
RFID
아두이노 와 RFID System
Near Field Communication
Internet of Things(사물 인터넷)의 시대적 변천
새로운 인터넷 환경의 도래
새로운 서비스의 출현
IPv4 프로토콜 한계와 IPv6 수용
"모든 사물에 컴퓨터가 있어 우리 도움 없이 스스로 알아가고 판단한다면 고장, 교체, 유통기한 등에 대해 고민하지 않아도 될 것이다. 바로 이런 사물인터넷(Internet of Things)은 인터넷이 했던 것 그 이상으로 세상을 바꿀 것이다.” - 케빈 애슈턴
2010년 사물 인터넷 시대
제품의 개발 진화 – 2009년 쿼키(Quirky)
• 크라우드소싱 아이디어 상품 개발 플랫폼
피벗 파워(Pivot Power)
피벗 파워(Pivot Power) 분리형 스템플러(Align Stapler)
퀴키의 실패 (2015년 9월)
• 조선일보 2015.10.13 발췌 - 유니콘 기업의 몰락 위협
IoT 제품 – IoT 메이커즈(블루투스,지그비)
• 아이디어 상품으로의 진화
– 개발자는 국민대 ‘캐리온’팀
– 무게 측정하고 여행가방 도착 알려주는 ‘캐리온’ 제품
– 캐리온 1개를 개발하는 데 투입된 비용은 4만~4만5천원 정도
• 오픈소스 하드웨어와 소프트웨어 때문에 저비용 가능
– 개발 기간은 8개월
• 오픈소스 하드웨어와 소프트웨어 때문에 개발 기간의 단축
• 개발팀장은 상용화 여부 대해선 의문점을 표시??
• Google에서 lego Arduino 로 검색
IoT 제품 – IoT 와 Lego (블루투스, 지그비)
홈 오토메이션 IoT – LG U+ (IPv4와 Z-Wave)
IPv6 world = Simple is Best
Flask Web Server Python HTML – Index1-3.html
IPv6 Internet
IPv6 도입은 • 네트워크의 구성의 단순화 • 단순화는 문제 발생 소지를 억제 • 해킹 유발 인자가 작음 • 해킹 피해 최소화
IoT 제품의 진화 –IoT 와 IPv6 (End to End)
GND – bread Board(–) GPIO 20 - Relay GPIO 21 – Red LED GPIO 22 – Yellow LED GPIO 23 – Green LED
5 V – bread Board(+) GPIO 15 - Relay GPIO 16 – Red LED GPIO 17 – Yellow LED GPIO 18 – Green LED
IoT 제품의 진화 –IoT 와 IPv6 (End to End)
IoT 제품의 진화 –IoT 와 IPv6 (End to End)
• 반짝이는 “아이디어” 와 “의욕” 만 있다면 개발자
– 간단한 회로 구성 및 센서들의 조합 방법들
– 간단한 프로그래밍 방법
– 방대한 예제 프로그램들과 라이브러리 보유
IoT 시대의 특징 - 개발자는 ?
IPv6 의 특징 와 취약점
• 관리자가 수동 설정 가능
• 라우터가 발생하는 RA 메시지로 자동 할당 가능
– Router Advertisement 메시지 정보를 사용하여 자동 생성됨
• DHCPv6 서버를 통해 자동으로 설정 가능
– DHCPv6 서버를 통해 자동 할당 가능
Global IPv6 주소 설정
• RA 패킷은
– ICMPv6 Type 은 134번
– Source 주소: 라우터의 Link Local 주소
– Destination : All-Node 멀티캐스트 주소(FF02::1)
– Data : Option, Prefix, Lifetime, Autoconfig Flag
– 라우터에 의해 주기적으로 발생된다.
• 시스코 장비의 경우 200초
Router Advertisement
Router Advertisement
ICMPv6 취약점 - Forged RA
• ICMPv6 취약점 - Forged RA
• DOS Attack using fake RA messages
[root@UserUU-B student]# flood_router6 PODUU-B
ICMPv6 취약점 - Forged RA
• 장비의 IPv6 주소가 생성되면 주소의 중복을 방지하기 위해 DAD 기능을
수행한다.
– Destination 주소는 A 장비의 Solicited Node 멀티캐스트 주소
• ICMPv6 Type 135 번 즉 Neighbor Solicitation 의 응답이 존재하면 주소의 중복을 발생한 것으로 생성된 IPv6 주소는 폐기된다.
ICMP type = 135 Src = 0 (::) Dst = solicited-node multicast of A Data = link-layer address of A Query = What is your link address?
A B
Duplicate Address Detection
• DAD Attack:
[root@User01-B student]# dos-new-ip6 PODUU-B
Started ICMP6 DAD Denial-of-Service (Press Control-C to end) ...
Spoofed packet for existing ip6 as fe80::212b:92aa:677c:ce84
Spoofed packet for existing ip6 as fe80::a512:d832:c8be:a043
Spoofed packet for existing ip6 as 2495:0:HH00:3000:a512:d832:c8be:a043
Spoofed packet for existing ip6 as 2495:0:HH00:3000:ac0b:6a7:d94d:6ca7
DAD 공격
• 목적지 IP FF02::1 로 ICMPv6 Echo Request 전송 시
– RFC 2463 에 의해 응답은 “Parameter problem ICMP message”가 됨
[root@UserUU-B student]# alive6 PODUU-B
Alive: 2495:0:HH00:3000:48f:78fd:7ec1:55b0
Alive: 2495:0:HH00:3000::1
Found 2 systems alive
ICMPv6 Echo Request를 이용한 스캐닝
IPv6 보안 취약점
IPv6 프로토콜 영역 알려진 보안 취약성
ICMPv6 ICMPv6 Echo Request를 이용한 스캐닝
ICMPv6 플러딩 공격
Forged RA, Forged NA
DAD 공격
Redirect 공격
비밀 통신(Covert channel) – ICMPv6 Error 메시지를 이용
Hop Limit 공격 등
IPv6 확장 헤더 RH0 공격
Header Fuzzing
Router Alert 공격
Fragmentation 공격
Unknown Option Header 공격 등
IPv6 멀티캐스트 멀태캐스트 패킷을 이용한 빠른 스캐닝
DHCPv6 서버에 대한 Blind 공격
DoS 증폭(Amplification) 등
IPv6 ND/SLAAC DoS 공격
Address Scanning 공격
Forged SLAAC 서버
IPv6 NAT 기존 IPv4 NAT의 보안 취약성을 모두 승계함
예를 들어, Binding Table 공격
IPv6의 보안 취약성 예
• ICMPv6 프로토콜 메시지는 IPv6 네트워크의 제어, 관리 등의 용도로 사용된다.
• 취약성/대응방안
– 비밀 통신 채널(Covert Channel)
• ICMPv6 오류 메시지의 payload 필드는 원래의 전체 패킷을 포함할 수 있다. 이
패킷은 공격자의 비밀 데이터를 포함할 수 있다.
– 방화벽에 대한 Hop Limit 공격
• 방화벽은 Hop Limit가 1인 패킷을 폐기한 후에
ICMPv6 Tmie Exceeded 메시지를 패킷 송신자에게 반환한다.
공격자는 Hop Limit가 1인 다수의 패킷을 생성하여
방화벽이 ICMP Time Exceeded 메시지를 생성하는데에
자원을 낭비하게 한다
ICMPv6 보안 취약성
• IPv6 장비가 IPv6 헤더를 해독(parsing)하는 것은 많은 자원을 소모하게
된다.
– 라우터 : hop-by-hop 헤더(RFC2460)를 해독
– 방화벽 : 모든 확장 헤더를 해독해야 함
– 수신 단말 : 모든 확장 헤더를 해독해야 함
• 취약성/대응방안
– 공격자가 많은 수의 확장 헤더를 포함한 패킷을 전송하면 경로 상의 네트워크 노드들에서 과도한 자원 소모가 발생
– 방화벽의 패킷 검사 회피
• 패킷을 단편화 (Fragmented)시킨 후에 패킷의 Payload 필드를 두 번째 단편(Fragment)에 위치시키면 첫 번째 단편만 검사하는 방화벽은 패킷 Payload를 검사할 수 없게 된다.
– 조작된 확장 헤더는 수신 단말에서 소프트웨어 오류를 유발.
– 확장 헤더 공격에 대한 최선의 방안은 확장 헤더에 대한 검사 및 필터링 기능을 경로상의 장비에서 하드웨어적으로 추가
IPv6 확장 헤더의 보안 취약성
• IPv6 Multicast 는
SLAAC(Stateless Address Auto Config), DAD(Duplicate Address
Detection), DHCPv6, 멀티미디어 통신 등에서 다양하게 사용된다.
• 취약성/대응방안
– IPv6 멀티캐스트를 이용한 주소 스캐닝 공격
• 공격자 PC와 공격 대상 PC가 동일한 LAN에 위치한 경우 Neighbor Discovery 을
통한 대상 PC의 IPv6 주소 획득 가능
• 공격자 PC가 위조된 RA 을 발생하여 DAD 메세지의 정보 획득
– DHCPv6 서버에 대한 IP 주소 요청은 FF05::1:3 주소를 사용한다.
• DDoS 공격의 목표의 주소를 Source IP로 가진 멀티캐스트 패킷을 전송하면 대규모의 리턴 트래픽(예를 들어, ICMPv6 오류 메시지)이 위조된 소스 주소로 집중되게 할 수 있다
– 멀티캐스트 패킷에 대해서는 ICMPv6 오류 메시지를 반환하지 않음(RFC2463)
– 멀티캐스트 소스 주소 패킷에 대해서는 ICMPv6 오류 메시지를 반환하지 않음 (RFC4443)
IPv6 멀티캐스트의 보안 취약성
• SLAAC (Stateless Address Autoconfiguration)는 별도의 주소관리 시스템없이, 단말기 스스로 자신이 이용할 IPv6주소를 생성하는 방식
• 취약성/대응방안
– 내부망의 공격에 취약함
• NDP 프로토콜은 자체 보안 기능이 없음
• 공격자가 위조된 RA 패킷을 전송할 수 있음
• 주소 할당을 받는 사용자에 대한 인증이 없음
– NA 패킷의 인증을 위해 SEND(Secure Neighbor Discovery, RFC3971)를 사용(SEND의 암호화는 DOS공격의 빌미를 제공)
– IDS와 NDPMon는 NA/RA 패킷의 위조를 감지할 수 있지만 NA/RA 위조는 각 LAN에서 발생하므로 중앙 집중식으로 감지할 수 없다.
– EUI-64 방식으로 생성된 IPv6는 특정 IP의 노출로 DoS 공격의 빌미를 제공하거나 해당 장비의 추적이 가능하여 사생활 침해의 소지 발생
– IPv6 address의 마지막 64비트를 MAC 주소가 아닌 무작위 주소를 선택 (RFC4941)
IPv6 ND/SLAAC의 취약성
• 웜이란 인간의 개입이 없이 스스로 전파되는 악의적인 프로그램이다
– IPv6 웜은 Slapper로 알려져 있다. 이 웜은 Apache 웹 서버를 감염시킨 후 랜덤 검색을 통해 다른 Apache 웹 서버를 감염시킨다. Slapper 웜 유포자는 웜에 명령을 내려서 다른 시스템에 IPv6 패킷을 플러딩한다.
• 웜의 전파 방법
– IP 주소를 순차 검색(Code Red, Slammer) 또는 랜덤 검색(Blaster)
• IPv6 웜의 고속 스캐닝 전략: IP 주소 추측(Guessing), 시스템 코드 분석, DNS 질의, 인터넷 터넷 검색 엔진을 활용
– e-mail에 자신의 코드를 파일로 첨부
– P2P, 메시징, 파일 공유 서비스를 이용한 전파
– 윈도우즈 운용체제의 서비스를 이용한 전파(MS/SQL Slammer,
W32/Blaster 등)
– IPv6 웜에 대처 방안은
• 시스템에 안티바이러스 프로그램의 최신 패치를 설치
• IPS 시스템의 Signature 도 최신으로 갱신
• IDS 시스템에서 프로토콜 별 트래픽량의 변화를 감시
IPv6 에서의 웜(Worm)
• IPv6 망에 연결되는 시스템들의 수가 IPv4보다 훨씬 많을 것이므로
DDoS 공격의 파급력은 매우 커짐.
• 취약성/대응방안
– DDoS 공격을 원천적으로 차단할 방법은 없음
– 대응 방안은 DDoS 트래픽을 감지하고 필터링
– 계층적 주소 체계인 IPv6는 공격 원점을 추적하기가 더 쉬음
– Blackhole 구현
• 라우터에 특정 IP 주소에 대한 Null Route 를 설정, 전파하여 폐기를 유도
– Darknet 구현
• 의심스러운 IP주소에 대한 경로를 Darknet으로 지정하여 패킷을 분석 모니터링
– Ingress/Egress 필터링
• 패킷 또는 라우팅 정를 필터링
• SWIP(Shared WHOIS Project)의 whois 데이터를 이용하면 불법적인 IP 프리픽스를 확인
– Bogon 필터링
• 할당되지 않았거나 특수한 목적으로 예약된 IP 주소를 Bogon 주소라하며 필터링한다.
IPv6에 애플리케이션 대한 DDoS 공격
• 단말기의 ICMPv6 패킷에 대한 처리 규칙 확인
– ICMPv6가 주소 할당, Neighbor Discovery 등과 같은 기능들을 수행하므로
무조건 폐기할 수 없음
• 단말기의 Neighbor Cache 관리
– Neighbor Cache의 조작 여부를 확인
• 단말기 내의 불필요한 터널 생성 여부를 검사
– 단말기에 터널을 생성하여 백도어 통신 채널로 악용
• 단말기의 IPv6 라우팅을 중지
– 단말기가 IPv6 라우팅에 참여한다는 경우는 거의 없음
• 단말기의 Prefix Policy 테이블 조작 여부 관리
– 단말기의 Prefix Policy 테이블은 패킷의 목적지 주소와 일치하는 Prefix
Policy 찾아서 지정 인터페이스를 통해 패킷을 송신한다. 만약 복수의 항목과 일치하면 가장 높은 Precedence 값을 가진 항목을 사용
• 단말기에 방화벽 소프트웨어 설치
– netsh advfirewall firewall show rule name = all
IPv6 단말기 보안
수고하셨습니다.
