위키원
"IPv6"의 두 판 사이의 차이
leejia1222 (토론 | 기여) |
leejia1222 (토론 | 기여) |
||
| 7번째 줄: | 7번째 줄: | ||
{{:인터넷 배너|도메인}} | {{:인터넷 배너|도메인}} | ||
| + | |||
| + | ==상세== | ||
| + | IPv6는 1994년 인터넷기술처리위원회(IETF )에서 제정한 인터넷 규약으로, 2012년 사용하고 있는 [[IPv4]]보다 [[데이터]] 처리 속도, 동시데이터 처리 용량, 인터넷 주소체계 등을 대폭 확장한 차세대 인터넷의 핵심기술이다. 인터넷기술처리위원회는 IPv4 주소가 고갈될 것으로 예측하여 1994년부터 IPng(IP next generation)라고 하는 작업그룹을 형성하여, 활동해 왔다. 그리고 이후 1995년 9월 18일 표준이 제안되면서 IPv6가 만들어졌다. 또한 IPv6를 연동, 실험시킬 수 있는 실험망으로 1996년 밥 핑크(Bob Fink) 등이 주축이 되어 6Bone이라는 가상망을 만들었다. | ||
| + | |||
| + | IPv4는 약 43억 개(2의 32제곱)의 인터넷주소를 만들어 낼 수 있는 반면, IPv6는 2의 128제곱(43억×43억×43억×43억)개의 주소를 생성할 수 있어 IP주소의 부족을 해결할 수 있다. 이 체계는 IP주소공간을 128[[비트]]로 확장하여 주소의 개수를 크게 증가시켰고, 패킷 처리에 대한 오버헤드를 줄이기 위해 새로운 헤더 포맷을 도입한 것이 특징이다. 표현방법은 128비트를 16비트씩 여덟 부분으로 나누어 각 부분을 콜론( : )으로 구분하여 표현하며, 각 구분은 16진수로 표현한다. IPv6가 사용되면 장차 일상생활에 사용하는 모든 전자제품, 작게는 전자제품의 일부 회로가 서로 다른 IP주소를 갖게 된다. 또한 서비스에 따라 각기 다른 대역폭을 확보할 수 있도록 지원, 일정한 수준의 서비스 품질(QoS)을 요구하는 실시간 서비스를 더욱 쉽게 제공할 수 있고 인증, 데이터 무결성, 데이터 기밀성을 지원하도록 보안기능을 강화하였다. 또 인터넷주소를 기존의 A, B, C, D와 같은 클래스별 할당이 아닌 [[유니캐스트]]·[[애니캐스트]]·[[멀티캐스트]] 형태의 유형으로 할당하기 때문에 할당된 주소의 낭비 요인이 사라지고 더욱 간단하게 주소를 자동 설정할 수 있다. 또한 IPv6은 주소공간의 확장으로 인해 하나의 주소를 여러 계층으로 나눠 다양한 방법으로 사용이 가능하며 IPv4에서 자주 사용하지 않는 헤더 필드를 제거해 헤더 포맷을 단순화시켰다. 이외에 데이터를 특성에 맞게 분류 및 처리해 향상된 서비스를 지원하며 보안과 개인보호 기능을 지원한다. | ||
| + | |||
| + | 인터넷주소 관리를 책임지고 있는 IANA(Internet Assigned Numbers Authority)에서 지난 1999년 7월 각 대륙별 레지스트리(APNIC, ARIN, RIPE-NCC)에 IPv6 공식주소 할당을 위임한 이후, 전 세계적으로 약 10여개 기관에서 IPv6 공식주소를 할당 받아 본격적인 IPv6 주소 할당을 위한 작업을 했다. 또한 IPv6의 도입과 관련 시장의 활성화를 위해 국제적인 IPv6 포럼이 구성되어 있다. 회원제로 운영되며 [[미국]]의 [[마이크로소프트]](Microsoft), [[시스코]](Cisco), [[썬 마이크로시스템즈]](Sun Microsystems), [[컴팩]](Compaq), [[AT&T]], [[유럽]]의 [[케이스테크놀로지]](Case Technology), [[톰슨-CSF]](Thomson-CSF), [[일본]]의 [[히타치]](Hitachi), [[와이드]](WIDE) 등 전 세계 주요 기업과 ISP, 연구소 등 80여 개 기관이 회원으로 가입되어 있다. | ||
| + | |||
| + | 대한민국은 2005년 차세대 인터넷주소체계(IPv6) 사업에 총 105억 원을 투입해 관련 장비 개발을 지원하는 한편 정부망을 중심으로 우선 도입했으며, [[방송통신위원회]]에서는 2010년 9월부터 IP주소 할당 우선 순위 마련, IPv6 기반 신규서비스 상용화 추진, IPv6 전환 실전적용서 발간 및 기술인력 지원, IPv6 전환 이행사항 점검 등을 추진하면서 차세대 인터넷주소 IPv6 전환에 박차를 가했다. 대한민국은 2012년 3월 2일 기준 총 5219개의 IPv6 주소를 할당받았으며 이는 아태지역 4위, 전 세계 9위에 해당하는 수치였다.<ref>〈[https://terms.naver.com/entry.naver?docId=932659&cid=43667&categoryId=43667 IPv6]〉, 《시사상식사전》</ref> | ||
==향상== | ==향상== | ||
===IP 주소 무한 제공=== | ===IP 주소 무한 제공=== | ||
| − | + | [[IPv4]]는 약 43억 개의 주소가 이용 가능한 반면, IPv6는 거의 무한대의 (43억×43억×43억×43억 개) 주소 할당이 가능하다. 따라서 모든 [[네트워크]] 연결이 필요한 모든 디바이스에 독립적인 [[IP]] 주소를 부여하여 차세대 [[PC]], [[RFID]], [[텔레매틱스]], [[USN]] 같은 새로운 서비스 제공에 필요한 주소 할당이 가능하다.<ref name='ETRI'>김희원, 남궁석, 박지선, 〈[https://terms.naver.com/entry.naver?docId=3448168&cid=58469&categoryId=58469 훤히 보이는 2010년의 정보통신 - IPv6 무엇이 달라지는가?]〉, 《한국전자통신연구원》, 2006-12-15</ref> 이 밖에도 [[멀티캐스트]]에 범위 개념을 도입해 멀티캐스트의 사용 및 관리를 단순화 시켰으며, [[인터넷]]과 [[인트라넷]]을 위한 통합된 어드레싱 방식을 제공한다.<ref>〈[https://repository.kisti.re.kr/bitstream/10580/8193/1/2017-31%20%EC%B0%A8%EC%84%B8%EB%8C%80%EC%9D%B8%ED%84%B0%EB%84%B7%20%EC%A0%84%ED%99%98%EC%9D%84%20%EC%9C%84%ED%95%9C%20IPv4_IPv6%EB%A7%9D%20%EC%97%B0%EB%8F%99%EA%B8%B0%EC%88%A0.pdf 차세대인터넷 전환을 위한 IPv4/IPv6망 연동 기술 - The Technologies of IPv4/IPv6 Network for the Next Generation Internet Transition]〉, 《한국과학기술정보연구원》, 2017-10</ref> | |
:{|class=wikitable width=700 | :{|class=wikitable width=700 | ||
!align=center|구분 | !align=center|구분 | ||
| 48번째 줄: | 57번째 줄: | ||
|align=center|상당히 곤란 | |align=center|상당히 곤란 | ||
|} | |} | ||
| + | |||
===보안 기능 강화=== | ===보안 기능 강화=== | ||
| − | IPv6는 | + | IPv6는 [[전자상거래]]의 가능성을 확대하는 동시에 전자상거래 [[트랜잭션]]에 대한 신뢰도를 강화하는 보안표준을 응용에 도입한다. IPv4 설계시 [[보안]]은 고려되지 않았으며 이후 [[IPsec]] 등의 표준이 추가되었다. IPv6는 IPsec을 기본적으로 사용하며, 인터넷에서 전자상거래 등에 필수적인 인증, 보안 [[암호화]], [[데이터]] [[무결성]] 보호 기능을 제공한다. IPv6 표준 기반의 인증 확장 헤더는 패킷이 발신지 주소에서 정당하게 전송된다는 것을 보장한다.<ref name='ETRI'/> 또 종단간 암호화 기능은 패킷의 조작 가능성을 배제한다.<ref>〈[https://scienceon.kisti.re.kr/commons/util/originalView.do?dbt=TRKO&cn=TRKO200800000597 IPv6망에 안전한 네트워크 관리기술 적용 연구 ( A study on the adaptations of a secure network management technology )]〉, 《배재대학교》, 2004-10-30</ref> |
===IP 주소의 자동 설정 기능=== | ===IP 주소의 자동 설정 기능=== | ||
| − | IPv6의 노드는 주소 자동설정기능을 사용하여 로컬 IPv6 주소를 자체적으로 생성한다. 이 경우 LAN 상의 MAC(Medium Access Control) 주소를 네트워크 | + | IPv6의 노드는 주소 자동설정기능을 사용하여 로컬 IPv6 주소를 자체적으로 생성한다. 이 경우 LAN 상의 MAC(Medium Access Control) 주소를 [[네트워크]] [[라우터]]가 제공한 프리픽스와 결합하여 고유의 IP 주소를 생성한다. 서버가 주소를 승인하거나 배포할 필요가 없기 때문에 서버를 수동으로 설정할 필요가 없으며 이를 위한 숙련된 인력이 더 이상 필요 없기 때문에 기업의 네트워크 관리 및 유지 비용이 감소된다. |
; IPv4, IPv6 헤더 비교 | ; IPv4, IPv6 헤더 비교 | ||
| 60번째 줄: | 70번째 줄: | ||
|- | |- | ||
|align=light| | |align=light| | ||
| − | * header : | + | * header : 옵션을 포함한 헤더 크기 지정 |
* TOS(Type Of Service) : 4가지 서비스 형태 지정 | * TOS(Type Of Service) : 4가지 서비스 형태 지정 | ||
| − | * total length : 헤더 + Payload 크기 | + | * total length : 헤더 + 페이로드(Payload) 크기 |
| − | * tIdentification : 각 IP | + | * tIdentification : 각 IP 데이터그램의 일련 번호 |
| − | * tflag : 분할된 | + | * tflag : 분할된 데이터그램이 더 있음을 알림 |
* tfragment offset : 패킷 분할된 경우 분할 패킷의 번호 | * tfragment offset : 패킷 분할된 경우 분할 패킷의 번호 | ||
| − | * TTL(Time To Live) : 최대 거쳐 갈 수 있는 | + | * TTL(Time To Live) : 최대 거쳐 갈 수 있는 라우터의 수 |
* Protocol : IP 계층 상위의 프로토콜 종류를 지정 | * Protocol : IP 계층 상위의 프로토콜 종류를 지정 | ||
| − | * checksum : 헤더의 오류 검사 또는 보안을 위한 bit sequence | + | * checksum : 헤더의 오류 검사 또는 보안을 위한 비트 시퀀스(bit sequence) |
|align=light| | |align=light| | ||
| − | * Traffic Class : QoS를 위한 class 설정 | + | * Traffic Class : QoS를 위한 클래스(class) 설정 |
| − | * Flow Label : | + | * Flow Label : 플로우(Flow)를 위한 인덱스(index) 지정 |
* Payload Length : 기본 헤더를 제외한 나머지 | * Payload Length : 기본 헤더를 제외한 나머지 | ||
* Next Header : 맨 처음 확장 헤더를 지정 | * Next Header : 맨 처음 확장 헤더를 지정 | ||
| 78번째 줄: | 88번째 줄: | ||
; IPv6 주소 종류 | ; IPv6 주소 종류 | ||
| − | * '''유니캐스트 주소''' : | + | * '''유니캐스트 주소''' : [[유니캐스트]] 주소 종류의 범위 내에서 단일 [[인터페이스]]를 식별한다.<ref>Hilagoon, 〈[https://blog.naver.com/hillagoon_it/220705456062 네트워크 ipv6 유티캐스트]〉, 《네이버 블로그》, 2016-05-10</ref> 유니캐스트 주소로 지정된 패킷은 적절한 유니캐스트 [[라우팅]] 토폴로지를 통해 단일 [[인터페이스]]로 배달된다. 로드 균형 시스템(Load Balancing System)을 수용할 수 있도록 여러 인터페이스가 호스트에서 IPv6에 대한 단일 인터페이스로 나타나기만 한다면 이들 인터페이스가 동일한 주소를 사용하는 것을 허용한다. 유니캐스트 전송 방식은 하나의 송신자가 다른 하나의 수신자로 [[데이터]]를 전송하는 방식으로 일반적인 인터넷 응용프로그램이 모두 유니캐스트 방식을 사용한다. |
| − | * '''멀티캐스트 주소''' : 여러 | + | * '''멀티캐스트 주소''' : 여러 [[인터페이스]]를 식별한다. 멀티캐스트 주소로 지정된 패킷은 적절한 멀티캐스트 라우팅 토폴로지를 통해 주소로 식별되는 모든 인터페이스에 배달된다.<ref>〈[https://docs.oracle.com/cd/E38901_01/html/E38894/ipv6-overview-10.html IPv6 주소 지정 개요]〉, 《오라클》</ref> 브로드캐스트 전송방식은 하나의 송신자가 같은 서브네트워크 상의 모든 수신자에게 [[데이터]]를 전송하는 방식인 반면 멀티캐스트 전송방식은 하나 이상의 송신자들이 특정한 하나 이상의 수신자들에게 데이터를 전송하는 방식으로 실시간 음성, 화상 회의, VoIPv6 인터넷 전화, 실시간 멀티미디어 서비스, 멀티유저 [[게임]], [[메신저]], [[P2P]]형 서비스 애플리케이션 등에 사용될 것이다. |
| − | * '''애니캐스트 주소''' : | + | * '''애니캐스트 주소''' : [[애니캐스트]] 주소로 지정된 패킷은 적절한 멀티캐스트 라우팅 토폴로지를 통해 주소로 식별되는 가장 가까운 인터페이스인 단일 인터페이스로 배달된다. "가장 가까운" 인터페이스란 라우팅 거리가 가깝다는 것을 의미한다.<ref>강유화, 김태일, 정해원, 〈[https://patents.google.com/patent/KR100811890B1/ko 인터넷 시스템에서 서비스 플로우를 보장하는 애니캐스트라우팅 방법 및 장치]〉, 《구글페이턴트》, 2008-03-10</ref> 멀티캐스트 주소는 여러 인터페이스로 배달되는 일대다 통신에 사용되며, 애니 캐스트 주소는 단일 인터페이스로 배달되는 일대일 통신에 사용된다. 모든 경우에 IPv6 주소는 노드가 아닌 인터페이스를 식별한다. 노드는 해당 인터페이스 중 하나에 할당된 유니 캐스트 주소로 식별된다.<ref name='ETRI'/> |
===이동성 지원=== | ===이동성 지원=== | ||
| − | 이동전화서비스, 와이브로(WiBro), RFID, 텔레매틱스 등 IPv6를 탑재한 단말기들의 이동성을 지원하기 위해 IPv6의 모바일 IP 기술을 제공한다.<ref>〈[https://www.tta.or.kr/data/androReport/roadMap/IPv6.PDF IPv6 멀티네트워킹]〉, 《ICT Standardization Roadmap》, 2010</ref> 이것은 단말이 이동하는 경우에도 그 연결을 유지한 채 데이터를 송수신할 수 있게 하는 방안인데, 주소 지정 방법, 이동성 관리 기법 그리고 데이터 라우팅 기법으로 구분된다. 이동을 하면서 새로운 | + | 이동전화서비스, 와이브로(WiBro), [[RFID]], [[텔레매틱스]] 등 IPv6를 탑재한 단말기들의 이동성을 지원하기 위해 IPv6의 모바일 IP 기술을 제공한다.<ref>〈[https://www.tta.or.kr/data/androReport/roadMap/IPv6.PDF IPv6 멀티네트워킹]〉, 《ICT Standardization Roadmap》, 2010</ref> 이것은 단말이 이동하는 경우에도 그 연결을 유지한 채 데이터를 송수신할 수 있게 하는 방안인데, 주소 지정 방법, 이동성 관리 기법 그리고 데이터 라우팅 기법으로 구분된다. 이동을 하면서 새로운 네트워크에 들어가는 경우 패킷 라우팅을 심리스(Seamless)하게 제공하기 위해 두 개의 IP주소를 이용하게 된다. 세션 유지 목적의 PA(Permanent Address)와 속해있는 네트워크 [[도메인]]에 따라 변하는 CoA(Care-of-Address)가 그것이다. 여기서 CoA는 새로운 네트워크 도메인에 갈 때 마다 HA(Home Agent)에 항상 등록하게 되는데, 이를 통해서 단말의 위치가 항상 HA에서 유지되는 것이다. |
====모바일 IPv6==== | ====모바일 IPv6==== | ||
| − | IPv6의 | + | IPv6의 경로 최적화(Route Optimization) 기능에 의한 경로 최적화 |
| − | * 이동 노드 등록 후 초기에는 트라이앵귤러 라우팅(Triangular Routing) 구조 유지 | + | * 이동 [[노드]] 등록 후 초기에는 트라이앵귤러 라우팅(Triangular Routing) 구조 유지 |
* 이후 이동 노드에서 리모트엔드(Remote End)로 바인딩 업데이트(Binding Update)를 통해 터널링(Tunneling) 구조를 배제 | * 이후 이동 노드에서 리모트엔드(Remote End)로 바인딩 업데이트(Binding Update)를 통해 터널링(Tunneling) 구조를 배제 | ||
* 리모트엔드(Remote End)와 이동 노드간 직접 경로를 설정하여 경로상에 홈 에이전트가 불필요해 짐 | * 리모트엔드(Remote End)와 이동 노드간 직접 경로를 설정하여 경로상에 홈 에이전트가 불필요해 짐 | ||
| 95번째 줄: | 105번째 줄: | ||
====확장 NEMO==== | ====확장 NEMO==== | ||
| − | 모바일 IP는 단말의 이동성을 실현시키는 기술이며, NEMO는 네트워크의 이동성을 실현시키는 기술이다. NEMO(Network Mobility)분과에서 모바일 IPv6의 확장사양인 NEMO에 관해서 논의가 진행 중이다. 자동차, 비행기, | + | 모바일 IP는 단말의 이동성을 실현시키는 기술이며, NEMO는 네트워크의 이동성을 실현시키는 기술이다. NEMO(Network Mobility)분과에서 모바일 IPv6의 확장사양인 NEMO에 관해서 논의가 진행 중이다. [[자동차]], [[비행기]], [[선박]]과 같은 이동수단의 내부망에 있는 PDA, [[컴퓨터]] 등의 기기들에 대한 인터넷 서비스를 제공하기 위해서 NEMO 기술이 고려되고 있다. NEMO를 실현하기 위해 모바일 라우터가 망에 이동성을 제공하기 때문에, MR에 접속되어 있는 이동망 내의 각각의 기기는 이동을 인식하지 않고 네트워크 사용이 가능하다. |
====장점==== | ====장점==== | ||
| 101번째 줄: | 111번째 줄: | ||
* IPv4 헤더의 옵션 필드에서 사용되던 헤더들을 확장헤더 형식으로 변경함으로써 전송 경로상의 포워딩 효율이 높아졌고, 향후 확장헤더들을 이용한 새로운 응용서비스의 적용을 위한 융통성을 제공할 수 있도록 하였다. | * IPv4 헤더의 옵션 필드에서 사용되던 헤더들을 확장헤더 형식으로 변경함으로써 전송 경로상의 포워딩 효율이 높아졌고, 향후 확장헤더들을 이용한 새로운 응용서비스의 적용을 위한 융통성을 제공할 수 있도록 하였다. | ||
* IPv6에서는 자동적으로 주소 설정이 가능한 자동 네트워킹 기능을 포함하고 있으므로, 단말기의 이동에 따라 주소를 재 설정하는 절차에 따른 사용자의 불편을 해소하였다. | * IPv6에서는 자동적으로 주소 설정이 가능한 자동 네트워킹 기능을 포함하고 있으므로, 단말기의 이동에 따라 주소를 재 설정하는 절차에 따른 사용자의 불편을 해소하였다. | ||
| − | * IP주소를 32비트에서 128비트로 확장함에 따라 주소공간이 크게 증가하고 체계적으로 주소를 할당할 수 있도록 주소 체계를 개선하였다. 또한 | + | * IP주소를 32비트에서 128비트로 확장함에 따라 주소공간이 크게 증가하고 체계적으로 주소를 할당할 수 있도록 주소 체계를 개선하였다. 또한 멀티캐스트 주소 체계를 강화하고 멀티캐스트 라우팅의 확장성이 향상되었다. |
| − | * 애니캐스트 주소의 도입으로 하나의 메시지를 가까이 있는 여러 개의 게이트웨이 호스트들에게 보낼 수 있는 가능성과, 그들 중 누구라도 다른 사람에게 전달되는 패킷을 관리할 수 있는 방법을 함께 제공한다. 애니캐스트 메시지들은 회선을 따라 이동하면서 라우팅 테이블을 수정하는데 사용될 수 | + | * 애니캐스트 주소의 도입으로 하나의 메시지를 가까이 있는 여러 개의 [[게이트웨이]] 호스트들에게 보낼 수 있는 가능성과, 그들 중 누구라도 다른 사람에게 전달되는 패킷을 관리할 수 있는 방법을 함께 제공한다. 애니캐스트 메시지들은 회선을 따라 이동하면서 라우팅 테이블을 수정하는데 사용될 수 있다. |
| − | * flow label 필드를 추가하여 QoS 개념을 도입하여 서비스 품질을 보장할 수 있는 기반을 제공하였다. 이로써 특정한 흐름(Stream)에 속해 있는 패킷들을 인식하여, 실시간으로 전달될 필요가 있는 멀티미디어 애플리케이션용 패킷들이 다른 애플리케이션의 패킷들에 비하여 높은 품질의 서비스를 제공받을 수 있도록 할 수 있다. | + | * 플로우라벨(flow label) 필드를 추가하여 QoS 개념을 도입하여 서비스 품질을 보장할 수 있는 기반을 제공하였다. 이로써 특정한 흐름(Stream)에 속해 있는 패킷들을 인식하여, 실시간으로 전달될 필요가 있는 멀티미디어 애플리케이션용 패킷들이 다른 애플리케이션의 패킷들에 비하여 높은 품질의 서비스를 제공받을 수 있도록 할 수 있다. |
| − | * IPv6에서는 인증, 보안 관련 기능을 지원하기 위하여 보안 관련 확장 헤더를 규정하고 보안 기능을 반드시 구현하여야 할 기본 기능으로 채택함으로써, 보안 서비스 제공을 위한 효율을 향상시켰다. 패킷의 출처 인증, 데이터 | + | * IPv6에서는 [[인증]], [[보안]] 관련 기능을 지원하기 위하여 보안 관련 확장 헤더를 규정하고 보안 기능을 반드시 구현하여야 할 기본 기능으로 채택함으로써, 보안 서비스 제공을 위한 효율을 향상시켰다. 패킷의 출처 인증, [[데이터]] [[무결성]]의 보장 및 비밀의 보장 등을 위한 메커니즘을 지정할 수 있다.<ref name='ETRI'/> |
| + | |||
| + | ==보안 위협== | ||
| + | IPv6 환경으로 전환시 나타날 수 있는 보안 위협은 IPv4에서 존재하였던 위협요소뿐만 아니라 IPv6에서 새로이 나타날 위협 요소를 포함하여 복합적으로 나타날 수 있다. IPv6 주소공간이 128비트로 확장되어 스캐닝이나 이를 이용하는 웜과 같은 것들은 IPv6에서 대폭 감소될 것으로 예상되고 있다. 하지만, IPv4에서 IPv6로 전환하는 기술인 터널링이나 듀얼 스택과 같은 것들이 [[보안]]의 [[취약점]]으로 작용할 수 있다. | ||
| + | |||
| + | * '''사전공격''' : [[스캐닝]] 또는 [[검색엔진]] 및 공개된 문서 등의 데이터 마이닝을 통한 사전공격들로서 공격자가 공격을 하기 전에 다양한 방법을 통하여 탐색하는 과정이다. IPv4에서는 핑 스윕(ping sweep), 포트 스캔(port scan) 및 응용 취약점 스캔 등에 관련된 다양한 툴들이 알려져 있다. IPv6에서는 핑 스윕, 포트 스캔과 같은 스캔 [[트래픽]]은 IPv6에서는 거의 불가능해진다. 왜냐하면, IPv4의 디폴트 [[서브넷]] 크기인 8비트에서는 28개의 스캔이면 충분하지만, IPv6 디폴트 서브넷 크기인 64비트에서는 264개의 스캔을 해야 한다. 게다가, IPv6 주소는 MAC 주소의 EUI-64 버전을 사용하기 때문에 랜덤한 주소를 가지게 된다. 하지만, [[DNS]] 또는 일반 호스트를 위한 동적 DNS를 통해 서브넷에 가능한 주소를 쉽게 알 수도 있다. 한편으로 IPv6에서는 멀티캐스트 주소 사용이 많아지게 되어 중요한 네트워크 자원들(라우터, DHCP 서버, NTP 서버)이 쉽게 노출될 수 있다. | ||
| + | * '''권한 없는 접근''' : IPv4에서는 접근 제어 리스트(ACL)를 통해서 3계층 또는 4계층의 접근에 관한 정책이 [[게이트웨이]] 형태의 방화벽이나 종단 호스트에서의 방화벽으로 구현된다. IPv6에서는 IPsec이 AH만 사용된다면, 상위 [[프로토콜]]의 내용에 대해서 조사할 수 있다. IPv4 헤더의 옵션은 IPv6에서 확장 헤더로 변경되었다. 그런데, 이 확장 헤더에는 라우팅 옵션과 같이 종단 호스트가 처리한 후 다시 패킷을 전송할 수도 있다. 특히, MIPv6에서 이러한 문제가 발생할 수 있으므로 어떤 호스트가 홈 에이전트(home agent)로 동작할지 미리 설정해두어야 한다. 그리고, ICMPv6는 IPv6에 포함되었기 때문에 [[방화벽]] 설정시 좀더 많은 점들이 고려되어야 한다. 방화벽 자체에 대한 메시지로는 ICMPv6 타입 2, ICMPv6 타입 130-132, ICMPv6 타입 133/134, ICMPv6 타입 135/136, ICMPv6 타입 4 등이 지원되어야 한다. 멀티캐스트 주소는 IPv6에서 자주 사용되기 때문에 링크-로컬 멀티캐스트 주소 허용을 최소화해야 한다. DNS나 NTP 서버에 대한 애니캐스트 주소도 IPv6에서 사용되기 때문에 이에 대한 조사도 지원되어야 한다. | ||
| + | * '''헤더 조작과 단편화''' : IPv4 단편화는 NIDS나 방화벽을 우회시킬 수 있는 방법으로 이용되었기 때문에 대부분의 방화벽이나 NIDS에서는 단편들을 재조립해서 검사하는 기능이 필수적이다. IPv6에서 중간노드들에 의한 단편화는 금지되어 있다. IPv4에서의 공격으로 인한 파편들을 중첩시키는 방법이 흔하게 사용될 수 있는데, 이 역시 제한되어야 하고 RFC2460에서 정의된 IPv6 최소 MTU 크기인 1280바이트 이하의 패킷들 역시 제한되어야 한다. | ||
| + | * '''3계층과 4계층위장''' : IPv4에서는 [[도스]](DoS), [[스팸]], [[웜]] 등의 공격에서 흔히 IP 주소 위장 방법이 사용된다. RFC2827에서는 인그레스 필터링(ingress filtering) 방법으로 이러한 주소 위장 공격을 차단시키는 방법을 제안하고 있다. IPv6 주소는 요약이 되도록 할당되기 때문에 RFC2827과 같은 인그레스 필터링이 구현될 수 있다. 하지만, [[서브넷]] 크기가 크고, IPv4에서 IPv6로 변환될 때 6to4 터널링과 같은 방법이 사용될 수 있기 때문에 여전히 주소 위장 방법이 위협이 될 수 있다. | ||
| + | * '''ARP와 DHCP''' : IPv4에서는 DHCP의 경우 [[브로드캐스트]]를 사용하므로 위장 DHCP 서버가 가짜 응답을 전송할 수 있다. 그리고, ARP 공격을 통해서 IP-MAC 주소 바인딩 정보를 변경시킬 수 있다. IPv6에서는 스테이트리스(stateless) 주소자동설정 방법이 사용되지만, 부가적인 보안장치는 되어 있지 않다. 여전히 스테이트리스 주소자동설정 메시지가 위장될 수 있다는 것이고, 신뢰하는 포트의 방법과 같은 것들이 구현되어야 한다. ARP는 IPv6에서 ICMPv6 기능의 일부인 ND로 변경되었다. IETF SEND 워킹 그룹에서 이러한 문제를 다루고 있다. | ||
| + | * '''브로드캐스트 증폭 공격''' : IPv4에서는 IPv4 directed broadcast를 라우터에서 제한하도록 하여 서브넷으로 향했다가 가짜 송신자 주소로 되돌아가는 공격 [[트래픽]]을 막을 수 있다. IPv6에서는 IP-directed broadcast의 개념이 없다. RFC2463에서는 구체적으로 IPv6 멀티캐스트 주소로 향하는 트래픽에 대하여 ICMPv6 응답메시지가 생성되지 않도록 하고 있다. 따라서, 표준대로 구현된다면 [[스머프 공격]]이 제대로 이루어지지 않는다. 글로벌 멀티캐스트 주소가 송신자일 경우에 ICMP 응답을 보내야 하는지에 대해서는 아직 표준에서 논의중이다. | ||
| + | * '''라우팅 공격''' : 라우터에 대한 공격으로 [[플러딩]]이나 경로를 임의로 알리거나 교체하도록 하여 [[트래픽]]의 흐름을 엉뚱하게 하거나 막도록 하는 것이다. IPv4에서는 MD5나 키 교환 등의 암호화된 인증 방식을 통하여 안전하게 경로를 알리도록 하고 있다. IPv6에서는 BGP는 TCP MD5로 인증을 하고 있고, IS-IS에서는 RFC3567을 통하여 [[암호화]]된 인증 방식을 사용하고, OSPFv3와 RIPng에서는 자체 인증 필드는 삭제한 반면 IPsec AH/ESP를 사용하고 있다. | ||
| + | * '''바이러스와 웜''' : [[바이러스]]와 [[웜]] 자체는 IPv6에서도 여전히 위해 요소이지만, IPv6 주소 공간의 크기 변화로 인하여 스캐닝이 거의 불가능해지기 때문에 바이러스와 웜의 파괴력이 떨어진다. | ||
| + | * '''번역, 전환 및 터널링 메커니즘''' : 자동 터널링과 같은 방법은 패킷 위장 및 [[도스]](DoS) 공격을 가능하게 하기 때문에 이러한 패킷들에 대한 조사 부담이 추가된다. | ||
| + | * '''스니핑''' : 전송되는 데이터를 캡처하는 공격으로 IPv6에서 는 IPsec이 디폴트로 제공되어 원천적으로 차단될 수 있다. 하지만, 복잡한 키 분배의 문제점으로 인하여 IPsec의 보급이 더디게 된다면 여전히 문제가 될 수 있다. | ||
| + | * '''응용 계층 공격''' : 버퍼 오버플로, 웹 응용 공격, 바이러스 및 웜 등은 IPv4와 IPv6 환경에서도 동일한 문제이다. | ||
| + | * '''악의적 디바이스''' : 네트워크에 권한없이 연결되어 있는 디바이스로 무선 액세스 포인트, DHCP, DNS 서버, 라우터 및 스위치 등이 될 수 있다. IPsec을 통한 인증이 강화된다면 이러한 문제가 줄어들 것이다. | ||
| + | * '''중간자 공격''' : IPv4 및 IPv6 헤더에는 자체적으로 보안 기능이 없다. 따라서, IPsec을 사용하는 데 IKE의 공격을 이용한 공격이 가능하다. IKEv2에서는 이러한 문제를 보완하고 있다. | ||
| + | * '''플러딩''' : 플러딩 공격과 역추적 메커니즘은 IPv4와 IPv6동일하게 적용된다.<ref>정보홍, 임재덕, 김영호, 김기영, 〈[https://ettrends.etri.re.kr/ettrends/103/0905000756/22-1_037_050.pdf IPv6 환경의 보안 위협 및 공격 분석 - An Analysis of Security Threat and Network Attack in IPv6]〉, 《전자통신동향분석 제 22권 제 1호》, 2007-02</ref> | ||
{{각주}} | {{각주}} | ||
==참고자료== | ==참고자료== | ||
| + | * 〈[https://terms.naver.com/entry.naver?docId=932659&cid=43667&categoryId=43667 IPv6]〉, 《시사상식사전》 | ||
* 〈[https://docs.oracle.com/cd/E38901_01/html/E38894/ipv6-overview-10.html IPv6 주소 지정 개요]〉, 《오라클》 | * 〈[https://docs.oracle.com/cd/E38901_01/html/E38894/ipv6-overview-10.html IPv6 주소 지정 개요]〉, 《오라클》 | ||
* 〈[https://scienceon.kisti.re.kr/commons/util/originalView.do?dbt=TRKO&cn=TRKO200800000597 IPv6망에 안전한 네트워크 관리기술 적용 연구 ( A study on the adaptations of a secure network management technology )]〉, 《배재대학교》, 2004-10-30 | * 〈[https://scienceon.kisti.re.kr/commons/util/originalView.do?dbt=TRKO&cn=TRKO200800000597 IPv6망에 안전한 네트워크 관리기술 적용 연구 ( A study on the adaptations of a secure network management technology )]〉, 《배재대학교》, 2004-10-30 | ||
* 김희원, 남궁석, 박지선, 〈[https://terms.naver.com/entry.naver?docId=3448168&cid=58469&categoryId=58469 훤히 보이는 2010년의 정보통신 - IPv6 무엇이 달라지는가?]〉, 《한국전자통신연구원》, 2006-12-15 | * 김희원, 남궁석, 박지선, 〈[https://terms.naver.com/entry.naver?docId=3448168&cid=58469&categoryId=58469 훤히 보이는 2010년의 정보통신 - IPv6 무엇이 달라지는가?]〉, 《한국전자통신연구원》, 2006-12-15 | ||
| + | * 정보홍, 임재덕, 김영호, 김기영, 〈[https://ettrends.etri.re.kr/ettrends/103/0905000756/22-1_037_050.pdf IPv6 환경의 보안 위협 및 공격 분석 - An Analysis of Security Threat and Network Attack in IPv6]〉, 《전자통신동향분석 제 22권 제 1호》, 2007-02 | ||
* 강유화, 김태일, 정해원, 〈[https://patents.google.com/patent/KR100811890B1/ko 인터넷 시스템에서 서비스 플로우를 보장하는 애니캐스트라우팅 방법 및 장치]〉, 《구글페이턴트》, 2008-03-10 | * 강유화, 김태일, 정해원, 〈[https://patents.google.com/patent/KR100811890B1/ko 인터넷 시스템에서 서비스 플로우를 보장하는 애니캐스트라우팅 방법 및 장치]〉, 《구글페이턴트》, 2008-03-10 | ||
* 〈[https://www.tta.or.kr/data/androReport/roadMap/IPv6.PDF IPv6 멀티네트워킹]〉, 《ICT Standardization Roadmap》, 2010 | * 〈[https://www.tta.or.kr/data/androReport/roadMap/IPv6.PDF IPv6 멀티네트워킹]〉, 《ICT Standardization Roadmap》, 2010 | ||
| 122번째 줄: | 152번째 줄: | ||
* [[도메인]] | * [[도메인]] | ||
| − | {{인터넷| | + | {{인터넷|검토 필요}} |
2024년 6월 10일 (월) 13:36 기준 최신판
IPv6(아이피 브이식스)는 "Internet Protocol Version 6"의 약자이다. 숫자로 표시한 인터넷 주소인 아이피(IP)의 버전 6번이다. 기 존의 IPv4로 표시할 수 있는 인터넷 주소가 약 43억개에 불과하여, 사물인터넷(IoT) 등을 대비한 차세대 인터넷 주소 형식으로 개발되었다. IPv6는 총 8개의 숫자군으로 표시하고, 각 숫자군은 쌍점(:)을 사용하여 구분하는데, 이 때 각 숫자는 16진수로 표시하여 0000에서 ffff까지의 자연수 중 하나로 정한다. 예를 들어 IPv6 주소를 다음과 같이 표시할 수 있다.
2001:0db8:85a3:08d3:1319:8a2e:0370:7334
IPv6를 사용하여 표시할 수 있는 인터넷 주소는 최대 (164)8개, 즉 2128개로서 약 3.4*1038(즉, 340간(澗))개에 해당하는데, 이는 1조의 1조의 1조배보다 340배나 더 큰 숫자로서, 거의 무한대로 생성할 수 있다는 뜻이다.
 .jpg) |
목차
상세[편집]
IPv6는 1994년 인터넷기술처리위원회(IETF )에서 제정한 인터넷 규약으로, 2012년 사용하고 있는 IPv4보다 데이터 처리 속도, 동시데이터 처리 용량, 인터넷 주소체계 등을 대폭 확장한 차세대 인터넷의 핵심기술이다. 인터넷기술처리위원회는 IPv4 주소가 고갈될 것으로 예측하여 1994년부터 IPng(IP next generation)라고 하는 작업그룹을 형성하여, 활동해 왔다. 그리고 이후 1995년 9월 18일 표준이 제안되면서 IPv6가 만들어졌다. 또한 IPv6를 연동, 실험시킬 수 있는 실험망으로 1996년 밥 핑크(Bob Fink) 등이 주축이 되어 6Bone이라는 가상망을 만들었다.
IPv4는 약 43억 개(2의 32제곱)의 인터넷주소를 만들어 낼 수 있는 반면, IPv6는 2의 128제곱(43억×43억×43억×43억)개의 주소를 생성할 수 있어 IP주소의 부족을 해결할 수 있다. 이 체계는 IP주소공간을 128비트로 확장하여 주소의 개수를 크게 증가시켰고, 패킷 처리에 대한 오버헤드를 줄이기 위해 새로운 헤더 포맷을 도입한 것이 특징이다. 표현방법은 128비트를 16비트씩 여덟 부분으로 나누어 각 부분을 콜론( : )으로 구분하여 표현하며, 각 구분은 16진수로 표현한다. IPv6가 사용되면 장차 일상생활에 사용하는 모든 전자제품, 작게는 전자제품의 일부 회로가 서로 다른 IP주소를 갖게 된다. 또한 서비스에 따라 각기 다른 대역폭을 확보할 수 있도록 지원, 일정한 수준의 서비스 품질(QoS)을 요구하는 실시간 서비스를 더욱 쉽게 제공할 수 있고 인증, 데이터 무결성, 데이터 기밀성을 지원하도록 보안기능을 강화하였다. 또 인터넷주소를 기존의 A, B, C, D와 같은 클래스별 할당이 아닌 유니캐스트·애니캐스트·멀티캐스트 형태의 유형으로 할당하기 때문에 할당된 주소의 낭비 요인이 사라지고 더욱 간단하게 주소를 자동 설정할 수 있다. 또한 IPv6은 주소공간의 확장으로 인해 하나의 주소를 여러 계층으로 나눠 다양한 방법으로 사용이 가능하며 IPv4에서 자주 사용하지 않는 헤더 필드를 제거해 헤더 포맷을 단순화시켰다. 이외에 데이터를 특성에 맞게 분류 및 처리해 향상된 서비스를 지원하며 보안과 개인보호 기능을 지원한다.
인터넷주소 관리를 책임지고 있는 IANA(Internet Assigned Numbers Authority)에서 지난 1999년 7월 각 대륙별 레지스트리(APNIC, ARIN, RIPE-NCC)에 IPv6 공식주소 할당을 위임한 이후, 전 세계적으로 약 10여개 기관에서 IPv6 공식주소를 할당 받아 본격적인 IPv6 주소 할당을 위한 작업을 했다. 또한 IPv6의 도입과 관련 시장의 활성화를 위해 국제적인 IPv6 포럼이 구성되어 있다. 회원제로 운영되며 미국의 마이크로소프트(Microsoft), 시스코(Cisco), 썬 마이크로시스템즈(Sun Microsystems), 컴팩(Compaq), AT&T, 유럽의 케이스테크놀로지(Case Technology), 톰슨-CSF(Thomson-CSF), 일본의 히타치(Hitachi), 와이드(WIDE) 등 전 세계 주요 기업과 ISP, 연구소 등 80여 개 기관이 회원으로 가입되어 있다.
대한민국은 2005년 차세대 인터넷주소체계(IPv6) 사업에 총 105억 원을 투입해 관련 장비 개발을 지원하는 한편 정부망을 중심으로 우선 도입했으며, 방송통신위원회에서는 2010년 9월부터 IP주소 할당 우선 순위 마련, IPv6 기반 신규서비스 상용화 추진, IPv6 전환 실전적용서 발간 및 기술인력 지원, IPv6 전환 이행사항 점검 등을 추진하면서 차세대 인터넷주소 IPv6 전환에 박차를 가했다. 대한민국은 2012년 3월 2일 기준 총 5219개의 IPv6 주소를 할당받았으며 이는 아태지역 4위, 전 세계 9위에 해당하는 수치였다.[1]
향상[편집]
IP 주소 무한 제공[편집]
IPv4는 약 43억 개의 주소가 이용 가능한 반면, IPv6는 거의 무한대의 (43억×43억×43억×43억 개) 주소 할당이 가능하다. 따라서 모든 네트워크 연결이 필요한 모든 디바이스에 독립적인 IP 주소를 부여하여 차세대 PC, RFID, 텔레매틱스, USN 같은 새로운 서비스 제공에 필요한 주소 할당이 가능하다.[2] 이 밖에도 멀티캐스트에 범위 개념을 도입해 멀티캐스트의 사용 및 관리를 단순화 시켰으며, 인터넷과 인트라넷을 위한 통합된 어드레싱 방식을 제공한다.[3]
구분 IPv6 IPv4 주소 길이 128 비트 32 비트 주소 개수 2128개(43억×43억×43억×43억) 232개(약 43억개) 패킷 헤더 고정 사이즈 변동 사이즈 주소 할당 방법 CIDR 기반 계층적 할당(클라스) A, B, C, D (멀티캐스트)클라스 CIDR 사용 현황 실험/연구용으로 사용
새로운 장비에 도입, 적용 및 개발전세계 보편적 사용 헤더 필드수 8 12 플러그 앤드 플레이 기능 자동 구성으로 지원 없음 이동성 가능 상당히 곤란
보안 기능 강화[편집]
IPv6는 전자상거래의 가능성을 확대하는 동시에 전자상거래 트랜잭션에 대한 신뢰도를 강화하는 보안표준을 응용에 도입한다. IPv4 설계시 보안은 고려되지 않았으며 이후 IPsec 등의 표준이 추가되었다. IPv6는 IPsec을 기본적으로 사용하며, 인터넷에서 전자상거래 등에 필수적인 인증, 보안 암호화, 데이터 무결성 보호 기능을 제공한다. IPv6 표준 기반의 인증 확장 헤더는 패킷이 발신지 주소에서 정당하게 전송된다는 것을 보장한다.[2] 또 종단간 암호화 기능은 패킷의 조작 가능성을 배제한다.[4]
IP 주소의 자동 설정 기능[편집]
IPv6의 노드는 주소 자동설정기능을 사용하여 로컬 IPv6 주소를 자체적으로 생성한다. 이 경우 LAN 상의 MAC(Medium Access Control) 주소를 네트워크 라우터가 제공한 프리픽스와 결합하여 고유의 IP 주소를 생성한다. 서버가 주소를 승인하거나 배포할 필요가 없기 때문에 서버를 수동으로 설정할 필요가 없으며 이를 위한 숙련된 인력이 더 이상 필요 없기 때문에 기업의 네트워크 관리 및 유지 비용이 감소된다.
- IPv4, IPv6 헤더 비교
IPv4의 헤더 IPv6의 헤더 - header : 옵션을 포함한 헤더 크기 지정
- TOS(Type Of Service) : 4가지 서비스 형태 지정
- total length : 헤더 + 페이로드(Payload) 크기
- tIdentification : 각 IP 데이터그램의 일련 번호
- tflag : 분할된 데이터그램이 더 있음을 알림
- tfragment offset : 패킷 분할된 경우 분할 패킷의 번호
- TTL(Time To Live) : 최대 거쳐 갈 수 있는 라우터의 수
- Protocol : IP 계층 상위의 프로토콜 종류를 지정
- checksum : 헤더의 오류 검사 또는 보안을 위한 비트 시퀀스(bit sequence)
- Traffic Class : QoS를 위한 클래스(class) 설정
- Flow Label : 플로우(Flow)를 위한 인덱스(index) 지정
- Payload Length : 기본 헤더를 제외한 나머지
- Next Header : 맨 처음 확장 헤더를 지정
- Hop Limit : TTL과 같은 기능
- IPv6 주소 종류
- 유니캐스트 주소 : 유니캐스트 주소 종류의 범위 내에서 단일 인터페이스를 식별한다.[5] 유니캐스트 주소로 지정된 패킷은 적절한 유니캐스트 라우팅 토폴로지를 통해 단일 인터페이스로 배달된다. 로드 균형 시스템(Load Balancing System)을 수용할 수 있도록 여러 인터페이스가 호스트에서 IPv6에 대한 단일 인터페이스로 나타나기만 한다면 이들 인터페이스가 동일한 주소를 사용하는 것을 허용한다. 유니캐스트 전송 방식은 하나의 송신자가 다른 하나의 수신자로 데이터를 전송하는 방식으로 일반적인 인터넷 응용프로그램이 모두 유니캐스트 방식을 사용한다.
- 멀티캐스트 주소 : 여러 인터페이스를 식별한다. 멀티캐스트 주소로 지정된 패킷은 적절한 멀티캐스트 라우팅 토폴로지를 통해 주소로 식별되는 모든 인터페이스에 배달된다.[6] 브로드캐스트 전송방식은 하나의 송신자가 같은 서브네트워크 상의 모든 수신자에게 데이터를 전송하는 방식인 반면 멀티캐스트 전송방식은 하나 이상의 송신자들이 특정한 하나 이상의 수신자들에게 데이터를 전송하는 방식으로 실시간 음성, 화상 회의, VoIPv6 인터넷 전화, 실시간 멀티미디어 서비스, 멀티유저 게임, 메신저, P2P형 서비스 애플리케이션 등에 사용될 것이다.
- 애니캐스트 주소 : 애니캐스트 주소로 지정된 패킷은 적절한 멀티캐스트 라우팅 토폴로지를 통해 주소로 식별되는 가장 가까운 인터페이스인 단일 인터페이스로 배달된다. "가장 가까운" 인터페이스란 라우팅 거리가 가깝다는 것을 의미한다.[7] 멀티캐스트 주소는 여러 인터페이스로 배달되는 일대다 통신에 사용되며, 애니 캐스트 주소는 단일 인터페이스로 배달되는 일대일 통신에 사용된다. 모든 경우에 IPv6 주소는 노드가 아닌 인터페이스를 식별한다. 노드는 해당 인터페이스 중 하나에 할당된 유니 캐스트 주소로 식별된다.[2]
이동성 지원[편집]
이동전화서비스, 와이브로(WiBro), RFID, 텔레매틱스 등 IPv6를 탑재한 단말기들의 이동성을 지원하기 위해 IPv6의 모바일 IP 기술을 제공한다.[8] 이것은 단말이 이동하는 경우에도 그 연결을 유지한 채 데이터를 송수신할 수 있게 하는 방안인데, 주소 지정 방법, 이동성 관리 기법 그리고 데이터 라우팅 기법으로 구분된다. 이동을 하면서 새로운 네트워크에 들어가는 경우 패킷 라우팅을 심리스(Seamless)하게 제공하기 위해 두 개의 IP주소를 이용하게 된다. 세션 유지 목적의 PA(Permanent Address)와 속해있는 네트워크 도메인에 따라 변하는 CoA(Care-of-Address)가 그것이다. 여기서 CoA는 새로운 네트워크 도메인에 갈 때 마다 HA(Home Agent)에 항상 등록하게 되는데, 이를 통해서 단말의 위치가 항상 HA에서 유지되는 것이다.
모바일 IPv6[편집]
IPv6의 경로 최적화(Route Optimization) 기능에 의한 경로 최적화
- 이동 노드 등록 후 초기에는 트라이앵귤러 라우팅(Triangular Routing) 구조 유지
- 이후 이동 노드에서 리모트엔드(Remote End)로 바인딩 업데이트(Binding Update)를 통해 터널링(Tunneling) 구조를 배제
- 리모트엔드(Remote End)와 이동 노드간 직접 경로를 설정하여 경로상에 홈 에이전트가 불필요해 짐
- 라우팅(Triangular Routing) 구조를 개선
확장 NEMO[편집]
모바일 IP는 단말의 이동성을 실현시키는 기술이며, NEMO는 네트워크의 이동성을 실현시키는 기술이다. NEMO(Network Mobility)분과에서 모바일 IPv6의 확장사양인 NEMO에 관해서 논의가 진행 중이다. 자동차, 비행기, 선박과 같은 이동수단의 내부망에 있는 PDA, 컴퓨터 등의 기기들에 대한 인터넷 서비스를 제공하기 위해서 NEMO 기술이 고려되고 있다. NEMO를 실현하기 위해 모바일 라우터가 망에 이동성을 제공하기 때문에, MR에 접속되어 있는 이동망 내의 각각의 기기는 이동을 인식하지 않고 네트워크 사용이 가능하다.
장점[편집]
- 확장된 헤더에 선택사항들을 기술할 수 있으며, 이것은 수신지에서만 검색되므로 네트웍 속도가 전반적으로 빨라진다. 전체 헤더 길이는 두배로 늘었지만, 헤더 필드의 수를 12개에서 8개로 단순화시킴으로써 헤더 처리 속도를 개선하는 효과를 가져왔다.
- IPv4 헤더의 옵션 필드에서 사용되던 헤더들을 확장헤더 형식으로 변경함으로써 전송 경로상의 포워딩 효율이 높아졌고, 향후 확장헤더들을 이용한 새로운 응용서비스의 적용을 위한 융통성을 제공할 수 있도록 하였다.
- IPv6에서는 자동적으로 주소 설정이 가능한 자동 네트워킹 기능을 포함하고 있으므로, 단말기의 이동에 따라 주소를 재 설정하는 절차에 따른 사용자의 불편을 해소하였다.
- IP주소를 32비트에서 128비트로 확장함에 따라 주소공간이 크게 증가하고 체계적으로 주소를 할당할 수 있도록 주소 체계를 개선하였다. 또한 멀티캐스트 주소 체계를 강화하고 멀티캐스트 라우팅의 확장성이 향상되었다.
- 애니캐스트 주소의 도입으로 하나의 메시지를 가까이 있는 여러 개의 게이트웨이 호스트들에게 보낼 수 있는 가능성과, 그들 중 누구라도 다른 사람에게 전달되는 패킷을 관리할 수 있는 방법을 함께 제공한다. 애니캐스트 메시지들은 회선을 따라 이동하면서 라우팅 테이블을 수정하는데 사용될 수 있다.
- 플로우라벨(flow label) 필드를 추가하여 QoS 개념을 도입하여 서비스 품질을 보장할 수 있는 기반을 제공하였다. 이로써 특정한 흐름(Stream)에 속해 있는 패킷들을 인식하여, 실시간으로 전달될 필요가 있는 멀티미디어 애플리케이션용 패킷들이 다른 애플리케이션의 패킷들에 비하여 높은 품질의 서비스를 제공받을 수 있도록 할 수 있다.
- IPv6에서는 인증, 보안 관련 기능을 지원하기 위하여 보안 관련 확장 헤더를 규정하고 보안 기능을 반드시 구현하여야 할 기본 기능으로 채택함으로써, 보안 서비스 제공을 위한 효율을 향상시켰다. 패킷의 출처 인증, 데이터 무결성의 보장 및 비밀의 보장 등을 위한 메커니즘을 지정할 수 있다.[2]
보안 위협[편집]
IPv6 환경으로 전환시 나타날 수 있는 보안 위협은 IPv4에서 존재하였던 위협요소뿐만 아니라 IPv6에서 새로이 나타날 위협 요소를 포함하여 복합적으로 나타날 수 있다. IPv6 주소공간이 128비트로 확장되어 스캐닝이나 이를 이용하는 웜과 같은 것들은 IPv6에서 대폭 감소될 것으로 예상되고 있다. 하지만, IPv4에서 IPv6로 전환하는 기술인 터널링이나 듀얼 스택과 같은 것들이 보안의 취약점으로 작용할 수 있다.
- 사전공격 : 스캐닝 또는 검색엔진 및 공개된 문서 등의 데이터 마이닝을 통한 사전공격들로서 공격자가 공격을 하기 전에 다양한 방법을 통하여 탐색하는 과정이다. IPv4에서는 핑 스윕(ping sweep), 포트 스캔(port scan) 및 응용 취약점 스캔 등에 관련된 다양한 툴들이 알려져 있다. IPv6에서는 핑 스윕, 포트 스캔과 같은 스캔 트래픽은 IPv6에서는 거의 불가능해진다. 왜냐하면, IPv4의 디폴트 서브넷 크기인 8비트에서는 28개의 스캔이면 충분하지만, IPv6 디폴트 서브넷 크기인 64비트에서는 264개의 스캔을 해야 한다. 게다가, IPv6 주소는 MAC 주소의 EUI-64 버전을 사용하기 때문에 랜덤한 주소를 가지게 된다. 하지만, DNS 또는 일반 호스트를 위한 동적 DNS를 통해 서브넷에 가능한 주소를 쉽게 알 수도 있다. 한편으로 IPv6에서는 멀티캐스트 주소 사용이 많아지게 되어 중요한 네트워크 자원들(라우터, DHCP 서버, NTP 서버)이 쉽게 노출될 수 있다.
- 권한 없는 접근 : IPv4에서는 접근 제어 리스트(ACL)를 통해서 3계층 또는 4계층의 접근에 관한 정책이 게이트웨이 형태의 방화벽이나 종단 호스트에서의 방화벽으로 구현된다. IPv6에서는 IPsec이 AH만 사용된다면, 상위 프로토콜의 내용에 대해서 조사할 수 있다. IPv4 헤더의 옵션은 IPv6에서 확장 헤더로 변경되었다. 그런데, 이 확장 헤더에는 라우팅 옵션과 같이 종단 호스트가 처리한 후 다시 패킷을 전송할 수도 있다. 특히, MIPv6에서 이러한 문제가 발생할 수 있으므로 어떤 호스트가 홈 에이전트(home agent)로 동작할지 미리 설정해두어야 한다. 그리고, ICMPv6는 IPv6에 포함되었기 때문에 방화벽 설정시 좀더 많은 점들이 고려되어야 한다. 방화벽 자체에 대한 메시지로는 ICMPv6 타입 2, ICMPv6 타입 130-132, ICMPv6 타입 133/134, ICMPv6 타입 135/136, ICMPv6 타입 4 등이 지원되어야 한다. 멀티캐스트 주소는 IPv6에서 자주 사용되기 때문에 링크-로컬 멀티캐스트 주소 허용을 최소화해야 한다. DNS나 NTP 서버에 대한 애니캐스트 주소도 IPv6에서 사용되기 때문에 이에 대한 조사도 지원되어야 한다.
- 헤더 조작과 단편화 : IPv4 단편화는 NIDS나 방화벽을 우회시킬 수 있는 방법으로 이용되었기 때문에 대부분의 방화벽이나 NIDS에서는 단편들을 재조립해서 검사하는 기능이 필수적이다. IPv6에서 중간노드들에 의한 단편화는 금지되어 있다. IPv4에서의 공격으로 인한 파편들을 중첩시키는 방법이 흔하게 사용될 수 있는데, 이 역시 제한되어야 하고 RFC2460에서 정의된 IPv6 최소 MTU 크기인 1280바이트 이하의 패킷들 역시 제한되어야 한다.
- 3계층과 4계층위장 : IPv4에서는 도스(DoS), 스팸, 웜 등의 공격에서 흔히 IP 주소 위장 방법이 사용된다. RFC2827에서는 인그레스 필터링(ingress filtering) 방법으로 이러한 주소 위장 공격을 차단시키는 방법을 제안하고 있다. IPv6 주소는 요약이 되도록 할당되기 때문에 RFC2827과 같은 인그레스 필터링이 구현될 수 있다. 하지만, 서브넷 크기가 크고, IPv4에서 IPv6로 변환될 때 6to4 터널링과 같은 방법이 사용될 수 있기 때문에 여전히 주소 위장 방법이 위협이 될 수 있다.
- ARP와 DHCP : IPv4에서는 DHCP의 경우 브로드캐스트를 사용하므로 위장 DHCP 서버가 가짜 응답을 전송할 수 있다. 그리고, ARP 공격을 통해서 IP-MAC 주소 바인딩 정보를 변경시킬 수 있다. IPv6에서는 스테이트리스(stateless) 주소자동설정 방법이 사용되지만, 부가적인 보안장치는 되어 있지 않다. 여전히 스테이트리스 주소자동설정 메시지가 위장될 수 있다는 것이고, 신뢰하는 포트의 방법과 같은 것들이 구현되어야 한다. ARP는 IPv6에서 ICMPv6 기능의 일부인 ND로 변경되었다. IETF SEND 워킹 그룹에서 이러한 문제를 다루고 있다.
- 브로드캐스트 증폭 공격 : IPv4에서는 IPv4 directed broadcast를 라우터에서 제한하도록 하여 서브넷으로 향했다가 가짜 송신자 주소로 되돌아가는 공격 트래픽을 막을 수 있다. IPv6에서는 IP-directed broadcast의 개념이 없다. RFC2463에서는 구체적으로 IPv6 멀티캐스트 주소로 향하는 트래픽에 대하여 ICMPv6 응답메시지가 생성되지 않도록 하고 있다. 따라서, 표준대로 구현된다면 스머프 공격이 제대로 이루어지지 않는다. 글로벌 멀티캐스트 주소가 송신자일 경우에 ICMP 응답을 보내야 하는지에 대해서는 아직 표준에서 논의중이다.
- 라우팅 공격 : 라우터에 대한 공격으로 플러딩이나 경로를 임의로 알리거나 교체하도록 하여 트래픽의 흐름을 엉뚱하게 하거나 막도록 하는 것이다. IPv4에서는 MD5나 키 교환 등의 암호화된 인증 방식을 통하여 안전하게 경로를 알리도록 하고 있다. IPv6에서는 BGP는 TCP MD5로 인증을 하고 있고, IS-IS에서는 RFC3567을 통하여 암호화된 인증 방식을 사용하고, OSPFv3와 RIPng에서는 자체 인증 필드는 삭제한 반면 IPsec AH/ESP를 사용하고 있다.
- 바이러스와 웜 : 바이러스와 웜 자체는 IPv6에서도 여전히 위해 요소이지만, IPv6 주소 공간의 크기 변화로 인하여 스캐닝이 거의 불가능해지기 때문에 바이러스와 웜의 파괴력이 떨어진다.
- 번역, 전환 및 터널링 메커니즘 : 자동 터널링과 같은 방법은 패킷 위장 및 도스(DoS) 공격을 가능하게 하기 때문에 이러한 패킷들에 대한 조사 부담이 추가된다.
- 스니핑 : 전송되는 데이터를 캡처하는 공격으로 IPv6에서 는 IPsec이 디폴트로 제공되어 원천적으로 차단될 수 있다. 하지만, 복잡한 키 분배의 문제점으로 인하여 IPsec의 보급이 더디게 된다면 여전히 문제가 될 수 있다.
- 응용 계층 공격 : 버퍼 오버플로, 웹 응용 공격, 바이러스 및 웜 등은 IPv4와 IPv6 환경에서도 동일한 문제이다.
- 악의적 디바이스 : 네트워크에 권한없이 연결되어 있는 디바이스로 무선 액세스 포인트, DHCP, DNS 서버, 라우터 및 스위치 등이 될 수 있다. IPsec을 통한 인증이 강화된다면 이러한 문제가 줄어들 것이다.
- 중간자 공격 : IPv4 및 IPv6 헤더에는 자체적으로 보안 기능이 없다. 따라서, IPsec을 사용하는 데 IKE의 공격을 이용한 공격이 가능하다. IKEv2에서는 이러한 문제를 보완하고 있다.
- 플러딩 : 플러딩 공격과 역추적 메커니즘은 IPv4와 IPv6동일하게 적용된다.[9]
각주[편집]
- ↑ 〈IPv6〉, 《시사상식사전》
- ↑ 2.0 2.1 2.2 2.3 김희원, 남궁석, 박지선, 〈훤히 보이는 2010년의 정보통신 - IPv6 무엇이 달라지는가?〉, 《한국전자통신연구원》, 2006-12-15
- ↑ 〈차세대인터넷 전환을 위한 IPv4/IPv6망 연동 기술 - The Technologies of IPv4/IPv6 Network for the Next Generation Internet Transition〉, 《한국과학기술정보연구원》, 2017-10
- ↑ 〈IPv6망에 안전한 네트워크 관리기술 적용 연구 ( A study on the adaptations of a secure network management technology )〉, 《배재대학교》, 2004-10-30
- ↑ Hilagoon, 〈네트워크 ipv6 유티캐스트〉, 《네이버 블로그》, 2016-05-10
- ↑ 〈IPv6 주소 지정 개요〉, 《오라클》
- ↑ 강유화, 김태일, 정해원, 〈인터넷 시스템에서 서비스 플로우를 보장하는 애니캐스트라우팅 방법 및 장치〉, 《구글페이턴트》, 2008-03-10
- ↑ 〈IPv6 멀티네트워킹〉, 《ICT Standardization Roadmap》, 2010
- ↑ 정보홍, 임재덕, 김영호, 김기영, 〈IPv6 환경의 보안 위협 및 공격 분석 - An Analysis of Security Threat and Network Attack in IPv6〉, 《전자통신동향분석 제 22권 제 1호》, 2007-02
참고자료[편집]
- 〈IPv6〉, 《시사상식사전》
- 〈IPv6 주소 지정 개요〉, 《오라클》
- 〈IPv6망에 안전한 네트워크 관리기술 적용 연구 ( A study on the adaptations of a secure network management technology )〉, 《배재대학교》, 2004-10-30
- 김희원, 남궁석, 박지선, 〈훤히 보이는 2010년의 정보통신 - IPv6 무엇이 달라지는가?〉, 《한국전자통신연구원》, 2006-12-15
- 정보홍, 임재덕, 김영호, 김기영, 〈IPv6 환경의 보안 위협 및 공격 분석 - An Analysis of Security Threat and Network Attack in IPv6〉, 《전자통신동향분석 제 22권 제 1호》, 2007-02
- 강유화, 김태일, 정해원, 〈인터넷 시스템에서 서비스 플로우를 보장하는 애니캐스트라우팅 방법 및 장치〉, 《구글페이턴트》, 2008-03-10
- 〈IPv6 멀티네트워킹〉, 《ICT Standardization Roadmap》, 2010
- Hilagoon, 〈네트워크 ipv6 유티캐스트〉, 《네이버 블로그》, 2016-05-10
- 〈차세대인터넷 전환을 위한 IPv4/IPv6망 연동 기술 - The Technologies of IPv4/IPv6 Network for the Next Generation Internet Transition〉, 《한국과학기술정보연구원》, 2017-10
같이 보기[편집]
