페이지 상단으로

IPv6 인증 프로그램

홈으로 > 인터넷주소자원 > 무제한인터넷주소(IPv6) > IPv6 인증 프로그램

TTA Verified 시험 인증 프로그램 개요

TTA(한국정보통신기술협회, Telecommunications Technology Association)에서는 IPv6, VoIP, 홈 네트워크, 케이블 방송수신기, 지상파 방송수신기, 광송수신기, MPEG P_layer_에 대하여 TTA가 자체적으로 정한 기준에 따라 시험 후 인증 기준을 만족하는 경우에 TTA Verified 인증서와 인증마크를 부여하고 있으며, 관공서 등에서 수요가 증가하고 있다.

인증방법

< TTA Verified 시험 인증 분야 (IPv6) >

확장헤더 주요내용
대상 IPv6 Core
IP Phone, IP PBX 등 Host / Router
IPv6 Router

TTA Verified 시험 인증 절차

신청 및 상담 → 계약 → 시험 → 성적서 발행 → 인증 심의 → 인증서 발행, 인증 마크 부여 순으로 진행되며, 세부사항은 http://test.tta.or.kr에 접속하여 확인하면 된다.

  • ① 신청 및 상담 : 인터넷 접수 혹은 신청서 양식 작성 후 신청하며, 접수 후에는 시험일정, 시험수수료 협의 후 협의서를 받게 된다.
  • ② TTA에서 제공된 협의서에 따라 TTA 담당부서와 계약
  • ③ 계약 내용에 따라 시험
  • ④ 시험 성적서 및 결과사례집 발행
  • ⑤ TTA 인증 심의회 통하여 인증 조건 적합 시 인증서 및 인증 마크 발행

국내 현황

TTA 시험인증연구소(test.tta.or.kr)의 ‘시험인증현황-TTA인증제품 목록’에서 확인 가능하며, 인증 획득업체는 점차 증가하고 있는 추세이다.

IPv6 보안 고려사항

IPv6는 보안을 염두에 두고 만들어진 프로토콜이지만 현재 상황에서는 IPv6가 IPv4 보다 보안에 취약하다. IPv4의 보안에 대해서는 많은 관심이 집중되어 있지만 IPv6에 대해서는 관리자의 관심도 부족하고 보안 가이드 라인이나 관련 제품이 별로 개발되어 있지 않기 때문이다. IPv6 보안은 세가지의 활동으로 이루어진 복잡한 작업이다.

IPv6 프로토콜 보안

IPv6에 대한 보안 공격은 IPv4와 크게 다르지 않다. 특히 애플리케이션 레벨 공격은 IPv4와 동일하다. IP 프로토콜의 버전이 4에서 6으로 바뀌었다고 해서 다른 계위의 프로토콜들의 보안 취약성이 감소하거나 증가하는 것이 아니다. 이것은 인터넷 프로토콜의 계층적 구조 설계에 따른 결과이다.

IPv6 프로토콜의 보안 취약성

현재 알려진 IPv6 보안 공격은 애플리케이션보다는 운용체제 안의 IPv6 프로토콜 코드에 집중되어 있다. IPv6 프로토콜의 알려진 보안 취약성은 매우 많지만 대부분의 최신 운용체제는 이미 패치가 되어 있다.

IPv6 프로토콜 영역 알려진 보안 취약성
ICMPv6 프로토콜의 보안 취약성 ICMPv6 Echo Request를 이용한 스캐닝 ICMPv6 플러딩 공격 Forged RA, Forged NA DAD 공격 Redirect 공격 비밀 통신(Covert channel) – ICMPv6 Error 메시지를 이용 Hop Limit 공격 등
IPv6 확장 헤더의 보안 취약성 RH0 공격 Header Fuzzing Router _alert_ 공격 Fragmentation 공격 Unknown Option Header 공격 등
IPv6 멀티캐스트의 보안 취약성 멀태캐스트 패킷을 이용한 빠른 스캐닝 DHCPv6 서버에 대한 Blind 공격 DoS 증폭(Amplification) 등
DHCPv6의 보안 취약성 Starvation 공격 DoS 공격 Address Scanning 공격 Forged DHCPv6 서버
IPv6 NAT의 보안 취약성 기존 IPv4 NAT의 보안 취약성을 모두 승계함 예를 들어, _binding_ Table 공격
※ 주의 : 최신 상용 운용체제들은 위의 알려진 보안 취약성들 대해서는 대부분 패치가 되어 있음

[_layer_ 2 프로토콜(Ethernet, WiFi 등)]

자체는 상위 프로토콜인 IP에 독립적이므로 IP 프로토콜 버전이 4에서 6으로 바뀌었다고 해서 _layer_ 2 프로토콜 자체의 보안 취약성이 달라지는 것은 거의 없다.

  • - 인터페이스의 최소 MTU 값이 IPv4에선 567바이트이지만 IPv6에선 1280바이트로 증가
  • - LAN 스위치의 IPv4 IGMP Snooping이 IPv6에서는 MLD Snooping으로 바뀜

[_layer_ 4 프로토콜들(TCP, UDP 등)]

IP 프로토콜 버전에 종속적인 부분이 거의 없으므로 보안 취약성도 같다. TCP/UDP 프로토콜과 관련하여 IPv6에서 달라지는 사항들은 다음과 같다.

  • - TCP/UDP 헤더가 IPv6에서는 다양한 확장 헤더들 중에 한 종류로 바뀜
  • - IPv4에서는 UDP 체크썸이 선택 사항이었으나 IPv6에서는 필수(Mandatory)로 바뀜
  • - IP 패킷의 최대 크기가 IPv4보다 IPv6가 더 크므로 TCP MSS 옵션 값이 바뀌어야 함
  • - TCP MSS 옵션 = 최대 IPv6 패킷 길이(컴퓨터별 설정 값) - 40(IPv6 고정 헤더 크기) + 20(최소 TCP 헤더 길이)

ICMPv6 프로토콜의 보안 취약성 및 대응 방안

ICMPv6 프로토콜 메시지는 IPv6 네트워크의 제어, 관리 등의 용도로 사용되는 데 보안 침해의 목적으로 악용될 수 있다.

  • - 비밀 통신 채널(Covert Channel) : ICMPv6 오류 메시지의 payload 필드는 원래의 전체 패킷을 포함할 수 있다. 이 패킷은 공격자의 비밀 데이터를 포함할 수 있다.
  • - 방화벽에 대한 Hop Limit 공격 : 방화벽은 Hop Limit가 1인 패킷을 폐기한 후에 ICMPv6 Time Exceeded 메시지를 패킷 송신자에게 반환한다. 공격자는 Hop Limit가 1인 다수의 패킷을 생성하여 방화벽이 ICMP Time Exceeded 메시지를 생성하는데 자원을 낭비하게 한다.

IPv6 멀티캐스트의 보안 취약성 및 대응 방안

IPv6는 SLAAC(Slateless Address Auto Config), DAD(Duplicate Address Detection), DHCP, 멀티미디어 통신 등의 다양한 목적으로 멀티캐스트를 사용하는데, 멀티캐스트는 보안 공격에 악용될 위험이 크다. IPv6 멀티캐스트를 이용한 주소 스캐닝 공격은 다음과 같다.

  • ① 공격자 PC와 공격 대상 PC가 동일한 LAN에 위치
  • ② 공격 대상 PC가 IPv6 RS 패킷을 LAN 상에 멀티캐스트
  • ③ 공격자 PC는 자신이 라우터인 것처럼 위조된 RA 패킷으로 응답
  • ④ 공격 대상 PC는 위조된 RA 패킷 안의 IPv6 프리픽스와 자신의 MAC 주소를 결합하는 SLAAC 방식으로 IPv6 주소를 생성
  • ⑤ 공격 대상 PC는 DAD를 위해 자신의 IPv6 주소를 담은 NS 패킷을 LAN 상에 멀티캐스트
  • ⑥ 공격자 PC는 NS 패킷을 캡쳐하여 공격 대상 PC의 IPv6 주소를 알아냄
  • ⑦ 공격자 PC는 공격 대상 PC의 IPv6 주소로 공격을 시도

DHCPv6 서버에 대한 Blind Attack(리턴 트래픽이 없는 경우)은 FF05::1:3 주소로 패킷을 멀티캐스트한다. DDoS 트래픽의 증에 멀티캐스트를 이용할 수 있다. 위조된 소스 주소(=DDoS 공격의 목표)를 가진 멀티캐스트 패킷을 전송하면 대규모의 리턴 트래픽(예를 들어, ICMPv6 오류 메시지)이 위조된 소스 주소로 집중되게 할 수 있다. 게다가 멀티캐스트 소스 주소를 가진 패킷을 멀티캐스트하면 네트워크에 대규모의 리턴 트래픽이 발생하여 네트워크에 과부하가 발생할 수 있다.

IPv6 멀티캐스트 공격에 대한 대처 방안

  • - 멀티캐스트 패킷에 대해서는 ICMPv6 오류 메시지를 반환하지 않음(RFC2463)
  • - 멀티캐스트 소스 주소 패킷에 대해서는 ICMPv6 오류 메시지를 반환하지 않음 (RFC4443)
  • - 네트워크 노드가 단위 시간동안 생성하는 ICMPv6 오류 메시지의 양을 Rate Limit
  • - 멀티캐스트 소스 주소 패킷은 무조건 폐기
  • - Global Scope, Site Local Scope 멀티캐스트 패킷들은 경계 라우터와 방화
# Global Scope 및 Site Local Scope 멀티캐스트 패킷 차단 (Cisco) IPv6 access-list BLOCKMCAST remark allow link-local scope permit any ff02::/16 permit ff02::/16 any remark block other multicasts deny IPv6 any ff00::/16 deny IPv6 ff00::/16 any remark allow all other IPv6 packets interface fastethernet 0/0 IPv6 traffic-filter BLOCKMCAST in

IPv6 확장 헤더의 보안 취약성과 대응 방안

네트워크 노드가 IPv6 헤더를 해독(parsing)하는 것은 많은 자원을 소모하는 어려운 작업이다. 네트워크 노드의 종류에 따라 처리해야 하는 확장 헤더들의 종류는 다음과 같다.공격자가 많은 수의 확장 헤더를 포함한 패킷을 전송하면 경로 상의 네트워크 노드들에서 과도한 자원 소모가 발생한다. 확장 헤더는 또한 방화벽의 패킷 검사를 회피하는 데 악용될 수 있다. 패킷을 단편화(Fragmented)시킨 후에 패킷의 Payload 필드를 두 번째 단편(Fragment)에 위치시키면 첫 번째 단편만 검사하는 방화벽은 패킷 Payload를 검사할 수 없게 된다. 조작된 확장 헤더는 수신 단말에서 소프트웨어 오류를 유발할 수 있다. 확장 헤더 공격에 대한 최선의 방안은 확장 헤더에 대한 검사 및 필터링 기능을 네트워크 노드에 추가하는 것이다. 네트워크 노드가 확장 헤더를 이용한 DoS 공격을 견디려면 하드웨어 기반의 확장 헤더 해독 기능을 구현해야 한다.

  • - 라우터 : hop-by-hop 헤더(RFC2460)만 해독하면 됨
  • - 방화벽 : 모든 확장 헤더를 해독해야 함
  • - 수신 단말 : 모든 확장 헤더를 해독해야 함
Home

전체메뉴

닫기