محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

چرا IPv6 اجرایی نمی شود؟ 9 دلیل قانع کننده و تهدیدات امنیتی آن

قبلا سرکار خانم مهندس حسین زاده در خصوص اینکه IP v6 چیست و چه ساختاری دارد در توسینسو مقالاتی نوشته است ، ما قصد نداریم در خصوص ساختار این آدرس IP صحبت کنیم و می خواهیم بیشتر تهدیدات امنیتی که در این نوع آدرس وجود دارد و علل تاخیر در پیاده سازی آن را برای شما تشریح کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تا صحبت از آدرس IP نسخه 6 می شود همه می دانیم که خیلی خیلی بزرگتر از آدرس IP نسخه 4 است ، در حالیکه آدرس IP نسخه 4 دارای 32 بیت باینتری برای آدرس دهی است ، آدرس IP نسخه 6 دارای 128 بیت آن هم بصورت مبانی شانزده یا هگزادسیمال است .

این یعنی از نظر تعداد آدرس IP این دو آدرس اصلا قابل مقایسه نیستند. اما ساختار این نوع آدرس IP کاملا با ساختار آدرس IP نسخه 4 متفاوت است هر چند که کاربر و لایه های بالای مدل OSI هیچ تغییری در این سطح را درک نمی کنند و آدرس IP نسخه 6 همانند نسخه 4 فقط لایه هایی که در آنها آدرس دهی Logical معنی دارد را تحت تاثیر قرار می دهد.

بدون شک پارامترهای امنیتی بکار رفته در آدرس IP نسخه 6 بسیار پیشرفته تر از پارامترهای امنیتی آدرس IP نسخه 4 است اما همچنان یک سری تهدیدات امنیتی وجود دارند که آدرس IP نسخه 6 را تحت تاثیر خود قرار داده اند و همین موارد باعث کند شدن روند پیشرفت و گسترش این آدرس شده است ، مهمترین تهدیدات امنیتی و علل تاخیر در پیاده سازی این نوع آدرس IP به شرح زیر می باشد :


1 : تهدیدات مربوط به تنظیمات خودکار یا Auto configuration Threats

به خاطر دارید که در آدرس IPv4 ما مکانیزمی به نام APIPA داشتیم که در صورتیکه شما نمی توانستید از DHCP آدرس دریافت کنید این محدوده آدرس دهی بصورت خودکار یک آدرس IP به شما اختصاص می داد که در محدوده 169.254.x.y بود.

شاید مقایسه درستی نباشد اما در آدرس IPv6 نیز ما تقریبا چنین مکانیزمی داریم که آن را به نام IPv6 stateless address autoconfiguration (SLAAC) می شناسیم. در صورتیکه سرویس DHCP v6 در مدار موجود نباشد یا مشکلی داشته باشد این آدرس دهی بصورت خودکار به سیستم یک آدرس IPv6 اختصاص می دهد که طی فرآیندی از طریق router advertisement دریافت می شود.

این سیستم آدرس دهی کاملا stateless است یعنی قبل از اینکه آدرسی را به کسی اختصاص بدهد آن را آزمایش و تست نمی کند. اگر در بدو کار تفکرات امنیتی بر روی این قسمت از آدرس دهی IPv6 نباشد ممکن است یک هکر بتواند آدرس را جعل و یا تنظیمات آدرس IPv6 را در حین router advertisement تغییر بدهد که یکی از تهدیدات آدرس IPv6 بدون پیکربندی اولیه می باشد. تمهیدات امنیتی این آدرس IP باید از ابتدای پیاده سازی اعمال شود.


2 : عدم امکان استفاده از Reputation-Based Protection

شما در آدرس IPv4 اگر بخواهید در فایروال خودتان لیست آدرس های IP ای که اسپمر هستند یا ترافیک آلوده تولید می کنند و کدهای مخرب پخش می کنند را بدانید و آنها را مسدود کنید کافیست یک سری Signature در فایروال خودتان داشته باشید تا اینکار را انجام بدهید. این لیست آدرس های مخرب در طی سالها و بر اساس تحقیقات و گزارش های متعددی که در این خصوص از فعالیت های مخرب برای این آدرس های IP وجود داشته است تهیه شده است. حالا فرض کنید که شما قرار است برای آدرس IPv6 هم چنین لیستی تهیه کنید !

طبیعی است که هنوز این لیست وجود ندارد یا اگر وجود دارد بسیار محدود است و شما به محض اینکه سرویس های خودتان در اینترنت را شروع کنید از آدرس های IPv6 جدیدی شروع به دریافت کدهای مخرب و اسپم خواهید کرد و تا این لیست پایگاه داده بخواهد بروز شود بعضا مشکلات زیادی در دنیای اینترنت به وجود خواهد آمد و همین موضوع ریسک استفاده از آدرس IPv6 در حال حاضر را بالا می برد. به مکانیزم جلوگیری از دسترسی به سرویس های ما بر اساس لیست آدرس های IP مخرب در اصطلاح Reputation Based Protection گفته می شود.


3: عدم تطبیق سیستم ها و مکانیزم های لاگ برداری

نقطه کلیدی در خصوص آدرس IPv6 تعداد اعداد و ارقام آن است که 128 بیت است و در قالب سری اعداد یا بهتر بگوییم سری digit های 39 تایی ذخیره می شود. از طرفی دیگر آدرس IPv4 دارای تعداد بیت های 32 است که برای مثال 192.168.1.1 دارای 15 کاراکتر یا digit است . سیستم ذخیره سازی لاگ هایی که امروزه در مکان های مختلف استفاده می شود بر اساس و مبانی آدرس IPv4 طراحی و پیاده سازی شده اند که بسیار کوچکتر و ساده تر از ساختار لاگ برداری 39 دیجیتی است که در IPv6 استفاده می شود.

طبیعی است که اگر شما از سیستم لاگ برداری استفاده می کنید که بر اساس ساختار 15 کاراکتری کار می کند زمانیکه یک سری لاگ 39 کاراکتری هگزادسیمال به آن وارد شود قطعا Crash خواهد کرد یا اگر Crash نکند قطعا Buffer Overflow خواهد شد ، یا در بهترین شرایط ممکن فقط 15 کاراکتر اول ذخیره می شود و بقیه آن از بین می رود. تنها راهکار این است که تمامی سیستم ها و سرویس های لاگ برداری که دارید را با نسخه جدید IPv6 هماهنگ کنید که اینکار بسیار فرآیند پیچیده ای از لحاظ گستردگی می باشد.


مشکلات پیاده سازی IPv6

4 : عدم امکان استفاده از Rate Limiting

Rate Limiting یک فرآیند امنیتی است که در زیرساخت های مبتنی بر آدرس IPv4 پیاده سازی می شود و این امکان را به مدیران شبکه می دهد که از اجرا شدن ابزارهای خودکار هک یا Automatic Attack Tools جلوگیری کنند. این نوع تکنیک فقط در شبکه های IPv4 قابل پیاده سازی است و حتی اگر نتواند بصورت کامل جلوی اجرا شدن ابزارهای هک خودکار را بگیرد می تواند عملکرد آنها را به شدت تحت تاثیر قرار بدهد و کند بکند.

اما این تکنیک در شبکه های مبتنی بر آدرس IPv6 قابل استفاده نیست و دلیلش هم از نظر فنی این است که Rate Limit کردن آدرس هایی با طول بسیار زیاد 128 بیت هگزادسیمال در مقایسه با 32 بیت باینری بسیار بسیار دشوار است و بعضا باعث به وجود آمدن دشواری های زیادی در تحلیل ترافیک می شود. در ادرس IPv6 هکرها می توانند بیش از میلیون ها یا حتی میلیارها آدرس IP برای حملات خودشان استفاده کنند و این امر خیلی خیلی تحلیل و Rate Limit کردن آنها را سخت و دشوار می کند. 

5 : فعال سازی پیشفرض آدرس IPv6

زمانیکه شما از آدرس IPv4 و سرویس های IDS مربوطه و سیستم های مانیتورنینگ هماهنگ با آن استفاده می کنید ، مدیریت فعالیت های آدرس های IP بر عهده خود مدیر شبکه است و می تواند تعریف کند که فلان سیستم بتواند با فلان آدرس IP در ارتباط باشد یا نباید و همه این موارد تا تعریف نشوند قابل استفاده نیستند. در آدرس IPv6 آدرس ما بصورت خودکار فعال می شود حتی اگر مدیر شبکه هیچ تنظیماتی انجام ندهد کامپیوترها می توانند با هم ارتباط برقرار بکنند و آدرس IPv6 نوع Link Local به آنها اجازه می دهد که بدون نیاز به هرگونه مدیریت شبکه با همدیگر ارتباط برقرار کنند.

خوب این امر ممکن است در ابتدا خوب به نظر برسد اما تصور کنید که یک هکر بخواهد خودش را به عنوان یک روتر معرفی کند و router advertisement ارسال کند و مشکلات بسیار زیاد دیگری که می تواند در شبکه به وجود بیاید را در نظر بگیرید. سرویس های IDS شما هیچگونه درکی از این نوع ارتباطات نخواهند داشت چون هنوز هیچ درکی از ساختار آدرس IPv6 ندارند.

مشکلات آدرس دهی IP نسخه 6

6 : پیچیده شدن فرآیند نگهداری و مدیریت سیستم های شبکه

حتما به عنوان یک مدیر شبکه با این موضوع برخورد کرده اید که یکی از سرورها یا کلاینت ها به مشکل می خورد و شما از شخص مسئول می پرسید که آدرس IP سیستم را برای من بخوانید و شخص مورد نظر هم در پاسخ به شما می گوید که مثلا 172.16.1.50 اما یک سئوال اساسی پیش می آید !! آیا شما می توانید همینکار را برای آدرس IPv6 هم انجام بدهید ؟ قطعا نمی توانید از کاربر بخواهید آدرس IPv6 خودش را برای شما بخواند آن هم با آن ساختار پیچیده ، همین مسئله باعث می شود مدیریت سرویس ها و سیستم ها در شبکه بسیار سخت تر بشود زیرا حفظ کردن و به خاطر سپردن آدرس IPv6 نه تنها مشکل بلکه بعضا غیر ممکن است.

7 : Overload شدن دستگاه های کنترل امنیت محیطی

ساختار آدرس IPv4 دارای یک Header با اندازه ثابت 40 بایتی و حداکثر چند بایت هم برای Extension ها و مخلفات آن است که تجهیزات امنیتی امروزی این تعداد بایت را تجزیه و تحلیل و حملات را تشخیص می دهند ، حتی همین اندازه آدرس IPv4 هم دارای یک سری Load بر روی این تجهیزات امنیتی است ، حالا تصور کنید که همین موارد ارتقاء پیدا می کند و تبدیل به یک آدرس مثلا 200 بایتی می شود که می تواند هر دستگاه امنیتی را برای تجزیه و تحلیل دچار مشکل و بار کاری زیاد کند که به آن Overload شدن دستگاه امنیتی می گویند ، تجهیزاتی مثل روترها ، IDS ها و IPS ها و UTM ها به شدت درگیر این ترافیک و Overload می شوند که هنوز راهکاری برای مقابله با آن ارائه نشده است.

8 : مشکلات تبدیل کردن آدرس IPv4 به IPv6

یکی از بحث های مهمی که در خصوص آدرس IPv6 وجود دارد این است که می خواهد جایگزین IPv4 شود و در بسیاری از مواقع بایستی فرآیند تبدیل کردن آدرس های IP انجام شود. این فرآیند مهاجرت و تبدیل کردن می تواند باعث مشکلات امنیتی نیز بشود که از آن جمله می تواند به تغییر دادن بسته های اطلاعاتی توسط هکر در هنگام تغییر ادرس IP را اشاره کرد. از طرفی با معرفی شدن آدرس IPv4 تا حدود زیادی استفاده از سرویس NAT زیر سئوال رفته است زیرا دیگر محدودیتی در استفاده از آدرس های IPv6 وجود نخواهد داشت.

تهدیدات امنیتی IPv6 چیست و چرا هنوز بصورت کامل پیاده سازی نشده است ؟ - قسمت دوم

9 : مشکلات مربوط به سرویس های SIEM

یکی دیگر از مشکلات امنیتی آدرس IPv6 این است که یک Host چه در داخل شبکه و چه در شبکه خارجی می تواند بصورت همزمان چندین آدرس IP داشته باشد. اینکار در آدرس IPv4 کار معمولی نبود و می تواند در نهایت منجر به بروز مشکلات بسیار زیاد و جدی در شبکه شود.

برای مثال شما از کجا می خواهید متوجه شوید که لاگی که برداشته شده است مربوط به همان Host ای است که می خواهید در مورد آن تحقیق کنید ، ممکن است هر بار با آدرس IP جدیدی ترافیک خودش را منتقل کند و ... برای اینکه شما بتوانید به درستی لاگ ها را تحلیل کنید بایستی بتوانید به درستی ارتباط بین آدرس های IP مختلف با یک سیستم را در سیستم SIEM خودتان تحلیل کنید.

به همین دلیل است که سیستم های SIEM جدید همچنان به سختی از IPv6 پشتیبانی می کنند ، ممکن است سرویس های SIEM فعلی از آدرس IPv6 در لایه شبکه پشتیبانی کنند اما همچنان بحث بررسی ارتباطات آنها با لاگ ها مشکل ساز خواهد شد ، از طرفی یکی از مشکلات مهمتری که در خصوص IPv6 وجود دارد این است که یک آدرس IPv6 می تواند به انواع و اقسام اشکال در شبکه نمایش داده شود ، برای مثال آدرس های IPv6 زیر همگی یکسان هستند و یک شکل در شبکه برداشت می شوند :

2001:0DB8:0BAD::0DAD
2001:DB8:BAD:0:0:0:0:DAD
2001:db8:bad::dad 

در نتیجه پیدا کردن و تجزیه و تحلیل کردن Log ها کار آسانی در SIEM ها نخواهد بود. اگر دستگاه شما با یک ساختار متفاوت از IPv6 وارد شبکه شما شود شما باید قالب جدید لاگ ها را پیدا کنید و در سیستم امنیتی خودتان مجددا پیکربندی کنید تا بتوانید لاگ برداری و تحلیل های خودتان را انجام دهید.

در نهایت حملاتی از قبیل DOS به دلیل Overload زیادی که IPv6 بر روی دستگاه ها دارد امکان بروز در شبکه را دارند و همچنین ویژگی های Network Discovery ای که در IPv6 وجود دارد ممکن است باعث دور خوردن سرویس های امنیتی و دسترسی پیدا کردن به منابع اطلاعاتی در برخی موارد شود. به هر حال با ظهور هر تکنولوژی مشکلاتی در پیاده سازی آن همواره وجود داشته است که به مرور زمان حل شده است و این در خصوص IPv6 هم وجود دارد.


محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

23 تیر 1394 این مطلب را ارسال کرده

نظرات