안전한 Teredo 서비스를 위한 패킷 필터링 메커니즘 설계 및 구현

Design and Implementation of Packet Filtering Mechanism for Secure Teredo Service

IPv6 보급을 지연시키는 요소 중의 하나가 가정이나 SOHO 환경에서 많이 사용하는 IPv4 NAT이다. IPv4 NAT는 IPv6-in-IPv4 터널링 형태로 동작하는 전환기법인 ISATAP이나 6to4 환경에서는 제대로 동작하지 못하기 때문에 Microsoft에서는 이런 문제를 해결하기 위한 방안으로 Teredo를 제안하였다. 그러나 Teredo와 같은 터널링 기반의 전환 기법에서는 터널링 패킷의 이중 헤더 때문에 일반적인 방화벽의 패킷 필터링 방식에서는 내부 패킷 헤더에 대한 필터링이 전혀 수행되지 않는 보안 문제가 발생한다. 또한 Teredo에서는 등록되지 않은 서버와 릴레이를 이용한 공격이 발생할 수 있다. 본 논문에서는 Teredo 터널링에서 발생하는 이중 헤더 문제와 서버와 릴레이 공격을 해결하는 Teredo 전용 필터링 메커니즘을 제안하였다. 제안된 패킷 필터링 메커니즘은 리눅스 시스템의 넷필터(netfilter)와 ip6tables를 이용하여 설계 구현하였으며, 테스트베드 터널링 환경에서 기능 시험과 성능 평가를 통해 패킷 필터링 기능이 방화벽의 큰 성능 저하 없이 Teredo 전환 기법의 패킷 필터링 문제를 해결할 수 있음을 확인하였다.

IPv4 NAT, which often used in households or under SOHO environments, is one of the factors that delays IPv6 propagation. As IPv4 NAT does not operate properly under the transition mechanism like ISATAP or 6to4 that acts as IPv6-in-IPv4 tunneling type, Microsoft proposed Teredo in order to resolve this issue. However, tunneling transition mechanism like Teredo has a security problem. That is, being tunneled packets have dual IP headers; general firewall systems apply the filtering rules only to the outer header but not inner header when these packets pass the firewall. Furthermore, attacks using unregistered server and relay can take place in Teredo. To resolve these problems, we propose a new packet filtering mechanism exclusively for Teredo. The proposed packet filtering mechanism was designed and implemented by using Linux Netfilter and ip6tables. Through functional and experimental performance tests, this packet filtering system was found operating properly and solving the Teredo packet filtering problems without serious performance degradation.