در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

چرا IPv6 اجرایی نمی شود ؟ 9 دلیل قانع کننده و تهدیدات امنیتی آن 1

قبلا سرکار خانم مهندس حسین زاده در خصوص اینکه IP v6 چیست و چه ساختاری دارد در انجمن تخصصی فناوری اطلاعات ایران مقالاتی نوشته است ، ما قصد نداریم در خصوص ساختار این آدرس IP صحبت کنیم و می خواهیم بیشتر تهدیدات امنیتی که در این نوع آدرس وجود دارد و علل تاخیر در پیاده سازی آن را برای شما تشریح کنیم. تا صحبت از آدرس IP نسخه 6 می شود همه می دانیم که خیلی خیلی بزرگتر از آدرس IP نسخه 4 است ، در حالیکه آدرس IP نسخه 4 دارای 32 بیت باینتری برای آدرس دهی است ، آدرس IP نسخه 6 دارای 128 بیت آن هم بصورت مبانی شانزده یا هگزادسیمال است .

این یعنی از نظر تعداد آدرس IP این دو آدرس اصلا قابل مقایسه نیستند. اما ساختار این نوع آدرس IP کاملا با ساختار آدرس IP نسخه 4 متفاوت است هر چند که کاربر و لایه های بالای مدل OSI هیچ تغییری در این سطح را درک نمی کنند و آدرس IP نسخه 6 همانند نسخه 4 فقط لایه هایی که در آنها آدرس دهی Logical معنی دارد را تحت تاثیر قرار می دهد. بدون شک پارامترهای امنیتی بکار رفته در آدرس IP نسخه 6 بسیار پیشرفته تر از پارامترهای امنیتی آدرس IP نسخه 4 است اما همچنان یک سری تهدیدات امنیتی وجود دارند که آدرس IP نسخه 6 را تحت تاثیر خود قرار داده اند و همین موارد باعث کند شدن روند پیشرفت و گسترش این آدرس شده است ، مهمترین تهدیدات امنیتی و علل تاخیر در پیاده سازی این نوع آدرس IP به شرح زیر می باشد :


1 : تهدیدات مربوط به تنظیمات خودکار یا Auto configuration Threats

به خاطر دارید که در آدرس IPv4 ما مکانیزمی به نام APIPA داشتیم که در صورتیکه شما نمی توانستید از DHCP آدرس دریافت کنید این محدوده آدرس دهی بصورت خودکار یک آدرس IP به شما اختصاص می داد که در محدوده 169.254.x.y بود. شاید مقایسه درستی نباشد اما در آدرس IPv6 نیز ما تقریبا چنین مکانیزمی داریم که آن را به نام IPv6 stateless address autoconfiguration (SLAAC) می شناسیم. در صورتیکه سرویس DHCP v6 در مدار موجود نباشد یا مشکلی داشته باشد این آدرس دهی بصورت خودکار به سیستم یک آدرس IPv6 اختصاص می دهد که طی فرآیندی از طریق router advertisement دریافت می شود.

این سیستم آدرس دهی کاملا stateless است یعنی قبل از اینکه آدرسی را به کسی اختصاص بدهد آن را آزمایش و تست نمی کند. اگر در بدو کار تفکرات امنیتی بر روی این قسمت از آدرس دهی IPv6 نباشد ممکن است یک هکر بتواند آدرس را جعل و یا تنظیمات آدرس IPv6 را در حین router advertisement تغییر بدهد که یکی از تهدیدات آدرس IPv6 بدون پیکربندی اولیه می باشد. تمهیدات امنیتی این آدرس IP باید از ابتدای پیاده سازی اعمال شود.


2 : عدم امکان استفاده از Reputation-Based Protection

شما در آدرس IPv4 اگر بخواهید در فایروال خودتان لیست آدرس های IP ای که اسپمر هستند یا ترافیک آلوده تولید می کنند و کدهای مخرب پخش می کنند را بدانید و آنها را مسدود کنید کافیست یک سری Signature در فایروال خودتان داشته باشید تا اینکار را انجام بدهید. این لیست آدرس های مخرب در طی سالها و بر اساس تحقیقات و گزارش های متعددی که در این خصوص از فعالیت های مخرب برای این آدرس های IP وجود داشته است تهیه شده است. حالا فرض کنید که شما قرار است برای آدرس IPv6 هم چنین لیستی تهیه کنید !

طبیعی است که هنوز این لیست وجود ندارد یا اگر وجود دارد بسیار محدود است و شما به محض اینکه سرویس های خودتان در اینترنت را شروع کنید از آدرس های IPv6 جدیدی شروع به دریافت کدهای مخرب و اسپم خواهید کرد و تا این لیست پایگاه داده بخواهد بروز شود بعضا مشکلات زیادی در دنیای اینترنت به وجود خواهد آمد و همین موضوع ریسک استفاده از آدرس IPv6 در حال حاضر را بالا می برد. به مکانیزم جلوگیری از دسترسی به سرویس های ما بر اساس لیست آدرس های IP مخرب در اصطلاح Reputation Based Protection گفته می شود.


3: عدم تطبیق سیستم ها و مکانیزم های لاگ برداری

نقطه کلیدی در خصوص آدرس IPv6 تعداد اعداد و ارقام آن است که 128 بیت است و در قالب سری اعداد یا بهتر بگوییم سری digit های 39 تایی ذخیره می شود. از طرفی دیگر آدرس IPv4 دارای تعداد بیت های 32 است که برای مثال 192.168.1.1 دارای 15 کاراکتر یا digit است . سیستم ذخیره سازی لاگ هایی که امروزه در مکان های مختلف استفاده می شود بر اساس و مبانی آدرس IPv4 طراحی و پیاده سازی شده اند که بسیار کوچکتر و ساده تر از ساختار لاگ برداری 39 دیجیتی است که در IPv6 استفاده می شود.

طبیعی است که اگر شما از سیستم لاگ برداری استفاده می کنید که بر اساس ساختار 15 کاراکتری کار می کند زمانیکه یک سری لاگ 39 کاراکتری هگزادسیمال به آن وارد شود قطعا Crash خواهد کرد یا اگر Crash نکند قطعا Buffer Overflow خواهد شد ، یا در بهترین شرایط ممکن فقط 15 کاراکتر اول ذخیره می شود و بقیه آن از بین می رود. تنها راهکار این است که تمامی سیستم ها و سرویس های لاگ برداری که دارید را با نسخه جدید IPv6 هماهنگ کنید که اینکار بسیار فرآیند پیچیده ای از لحاظ گستردگی می باشد.


مشکلات پیاده سازی IPv6


4 : عدم امکان استفاده از Rate Limiting

Rate Limiting یک فرآیند امنیتی است که در زیرساخت های مبتنی بر آدرس IPv4 پیاده سازی می شود و این امکان را به مدیران شبکه می دهد که از اجرا شدن ابزارهای خودکار هک یا Automatic Attack Tools جلوگیری کنند. این نوع تکنیک فقط در شبکه های IPv4 قابل پیاده سازی است و حتی اگر نتواند بصورت کامل جلوی اجرا شدن ابزارهای هک خودکار را بگیرد می تواند عملکرد آنها را به شدت تحت تاثیر قرار بدهد و کند بکند.

اما این تکنیک در شبکه های مبتنی بر آدرس IPv6 قابل استفاده نیست و دلیلش هم از نظر فنی این است که Rate Limit کردن آدرس هایی با طول بسیار زیاد 128 بیت هگزادسیمال در مقایسه با 32 بیت باینری بسیار بسیار دشوار است و بعضا باعث به وجود آمدن دشواری های زیادی در تحلیل ترافیک می شود. در ادرس IPv6 هکرها می توانند بیش از میلیون ها یا حتی میلیارها آدرس IP برای حملات خودشان استفاده کنند و این امر خیلی خیلی تحلیل و Rate Limit کردن آنها را سخت و دشوار می کند. ITPRO باشید


نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#IPv6__چیست #reputation_based_protection_چیست #معرفی_ساختار_IPv6 #تهدیدات_امنیتی_ipv6 #مشکلات_امنیتی_ipv6 #چرا_ipv6_پیاده_سازی_نمی_شود #مشکلات_پیاده_سازی_ipv6 #rate_limiting_چیست #ipv6_چیست #دلایل_کندی_پیاده_سازی_ipv6
عنوان
1 چرا IPv6 اجرایی نمی شود ؟ 9 دلیل قانع کننده و تهدیدات امنیتی آن 1 رایگان
2 چرا IPv6 اجرایی نمی شود ؟ 9 دلیل قانع کننده و تهدیدات امنیتی آن 2 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....