Differences between revisions 2 and 4 (spanning 2 versions)

IPv6 Tűzfalak és az IPv6 biztonsági megoldások kialakítása és vizsgálata

Az IPv6 protokoll és környezet biztonsági elemei alapvetően a következő kategóriákra bonthatóak

IPv6 protokoll beépített biztonsági tulajdonságai
IPv6 protokollhoz kapcsolódó kötelező protokoll elemek pl. IPSec
IPv6 protokollhoz kapcsolódó kiegészítő protokoll elemek pl. SEND
IPv6 tűzfalak
IPv6 IDS/IPS rendszerek

Ebben az alszakaszban elsősorban az IPv6 tűzfalakra koncentrál a projekt de hogy azt megfelelően el lehessen helyezni. Tárgyaljuk a többi elemet is.

IPv6 protokoll és a biztonság

Átekintés az IPv6 protokoll biztonságáról
- [attachment:6net_ipv6security.pdf 6NET dokumentáció az IPv6 biztonságáról] - Szerzők: Mohácsi János, Georgios Koutepas, Athannasios Liakopoulos, Eric Vyncke, Carlos Friacas - Angol nyelvű
- [:Áttekintés az IPv6 biztonságáról:] - Szerzők: Mohácsi János - Magyar nyelvű
IETF RFC-k és draftok az IPv6 biztonságával kapcsolatban
- [http://www.ietf.org/internet-drafts/draft-ietf-v6ops-security-overview-04.txt IPv6 security overview draft] - Szerzők: Elwyn Davies, S. Krishnan, P. Savola
- [http://www.ietf.org/rfc/rfc3964.txt Security Considerations for 6to4] - Szerzők: P. Savola, C. Patel
- [http://www.ietf.org/internet-drafts/draft-ietf-v6ops-ipsec-tunnels-02.txt Using IPsec to Secure IPv6-in-IPv4 Tunnels] - Szerzők: R. Graveman, M. Parthasarathy. P. Savola, H. Tschofenig
- [http://www.ietf.org/internet-drafts/draft-ietf-v6ops-icmpv6-filtering-recs-02.txt Recommendations for Filtering ICMPv6 Messages in Firewalls ]- Szerzők: E. Davies, J. Mohacsi
Előadások az IPv6 biztonságával kapcsolatban
- [http://www.6diss.org/workshops/see/security.pdf IPv6 Security előadás ]- 6DISS workshop Kopaonik, Szerbia 2006 Március - Előadó: Mohácsi János
- [http://www.6diss.org/workshops/saf/security.pdf IPv6 Security előadás ]- 6DISS workshop Port Elizabeth, Dél-Afrika 2005 Szeptember - Előadó: Mohácsi János
- [http://www.terena.nl/events/tnc2006/programme/presentations/show.php?pres_id=190 The Security Implications of IPv6 ] - Terena Networking Conference 2006, Catania, Italy - Előadó: Mike Warfield
- [http://www.seanconvery.com/Internet2.pdf IPv6 Dual Stack Security Considerations] - October 2004, Internet2 Fall 2004, IPv6 Security Panel - D. Miller, S. Convery,
- [http://www.garr.it/conf_05/slides/j_mohacsi-IPv6_sec.pdf IPv6 Security: New threats and countermeasures] - 3rd 6NET workshop & GARR 2005 conference, Pisa, Italy - Előadó: Mohácsi János
- [http://tnc2004.terena.nl/programme/presentations/show.php?pres_id=115 Security of IPv6: from a firewalls point of view] - Terena Networking Conference 2004, Rhodes, Greece - Előadó: Mohácsi János
- [http://www.6net.org/events/workshop-2003/marin.pdf What are the new challenges in securing IPv6 networks?] 2nd 6NET workshop, Terena Networking Conference 2003, Zagreb, Croatia - Előadó: Eric Marin
- [http://ipv6.niif.hu/~mohacsi/downloads/athens_tf_ngn_ipv6_firewalls.pdf IPv6 firewalls] - TF-NGN meeting October 2001, Athens - Előadó: Mohácsi János
Egyéb cikkek:
- [http://www.cs.columbia.edu/~smb/papers/v6worms.pdf Worm Propagation Strategies in an IPv6 Internet] ;login:, February 2006 - Szerzők: Steven M. Bellovin, Angelos Keromytis, and Bill Cheswick
- [http://www.cs.columbia.edu/~smb/papers/tarp/tarp.html Transient Addressing for Related Processes: Improved Firewalling by Using IPV6 and Multiple Addresses per Host] - Proceedings of the Eleventh Usenix Security Symposium, August 2001, - Szerzők: Peter M. Gleitz and Steven M. Bellovin
IPSec-hez kapcsolódó anyagok
SEND-hez kapcsololódó anyagok

IPv6 tűzfalak

IPv6 tűzfalak az elmúlt évben kezdtek megjelenni a különböző operációs rendszerekhez. A projektben elsősorban a szabadon hozzáférhető vagy routerekbe épített tűzfal rendszereket vizsgáltuk, de felvettük a kapcsolatot kereskedelmi tűzfal gyártó cégekkel is, akik azt állítják magukról, hogy támogatják az IPv6-ot. Egyelőre válaszra sem méltattak bennünket.

BSD pf tűzfal

Az OpenBSD-hez kifejlesztett pf tűzfal 2002 óta támogatja IPv6. Gyakorlatilag 2004 decembere óta az összes szabadon elérhető BSD operációs rendszer (FreeBSD, NetBSD, OpenBSD) tartalmazza a pf csomagszűrő tüzfalat amely képes stateful packet inspection müveletre, ami segítségével könyebben és hatékonyabban lehet a tüzfal szabályokat megfogalmazni.

A projekt során kidolgozásra került oktatási anyagok az alábbi linkeken érhetők el:

Bevezetés a BSD pf IPv6-os használatába
Példa BSD pf konfigurációs állományok

FreeBSD ip6fw tűzfal

A FreeBSD-hez és NetBSD-hez kifejlesztett ipfw tűzfal rendszer IPv6-os portját a [http://www.kame.net KAME] projekt készítette el. Ez a tűzfal rendszer teljes mértékben integrálva van a FreeBSD és NetBSD rendszerekbe, olyan szinten, hogy kiindulási konfigurációs fájlok is elérhetőek az alap rendszer részeként az /etc/rc.firewall6 (FreeBSD) és {{{/etc/rc.

-  ⇤ ← Revision 2 as of 2006-08-18 08:48:57 → 
  Size: 1555
  Editor: mohacsi
  Comment:
+   ← Revision 4 as of 2006-08-18 14:27:24 → ⇥
  Size: 5312
  Editor: mohacsi
  Comment:
-Deletions are marked like this.
+Additions are marked like this.
 Line 8:
- * IPv6 IDS rendszerek
+ * IPv6 IDS/IPS rendszerek
 Line 17:
-   * ipv6 security draft - Szerző: Elwyn Davies
+   * [http://www.ietf.org/internet-drafts/draft-ietf-v6ops-security-overview-04.txt IPv6 security overview draft] - Szerzők: Elwyn Davies, S. Krishnan, P. Savola
   * [http://www.ietf.org/rfc/rfc3964.txt Security Considerations for 6to4] - Szerzők: P. Savola, C. Patel
   * [http://www.ietf.org/internet-drafts/draft-ietf-v6ops-ipsec-tunnels-02.txt Using IPsec to Secure IPv6-in-IPv4 Tunnels] - Szerzők: R. Graveman, M. Parthasarathy. P. Savola, H. Tschofenig
   * [http://www.ietf.org/internet-drafts/draft-ietf-v6ops-icmpv6-filtering-recs-02.txt Recommendations for Filtering ICMPv6 Messages in Firewalls ]- Szerzők: E. Davies, J. Mohacsi
-Line 21:
+Line 24:
-   *
+   * [http://www.terena.nl/events/tnc2006/programme/presentations/show.php?pres_id=190 The Security Implications of IPv6 ] - Terena Networking Conference 2006, Catania, Italy - Előadó: Mike Warfield
   * [http://www.seanconvery.com/Internet2.pdf IPv6 Dual Stack Security Considerations] - October 2004, Internet2 Fall 2004, IPv6 Security Panel - D. Miller, S. Convery,
   * [http://www.garr.it/conf_05/slides/j_mohacsi-IPv6_sec.pdf IPv6 Security: New threats and countermeasures] - 3rd 6NET workshop & GARR 2005 conference, Pisa, Italy - Előadó: Mohácsi János
   * [http://tnc2004.terena.nl/programme/presentations/show.php?pres_id=115 Security of IPv6: from a firewalls point of view] - Terena Networking Conference 2004, Rhodes, Greece - Előadó: Mohácsi János
   * [http://www.6net.org/events/workshop-2003/marin.pdf What are the new challenges in securing IPv6 networks?] 2nd 6NET workshop, Terena Networking Conference 2003, Zagreb, Croatia - Előadó: Eric Marin
   * [http://ipv6.niif.hu/~mohacsi/downloads/athens_tf_ngn_ipv6_firewalls.pdf IPv6 firewalls] - TF-NGN meeting October 2001, Athens - Előadó: Mohácsi János
 * Egyéb cikkek:
   * [http://www.cs.columbia.edu/~smb/papers/v6worms.pdf Worm Propagation Strategies in an IPv6 Internet] ;login:, February 2006 - Szerzők: Steven M. Bellovin, Angelos Keromytis, and Bill Cheswick
   * [http://www.cs.columbia.edu/~smb/papers/tarp/tarp.html Transient Addressing for Related Processes: Improved Firewalling by Using IPV6 and Multiple Addresses per Host] - Proceedings of the Eleventh Usenix Security Symposium, August 2001, - Szerzők: Peter M. Gleitz and Steven M. Bellovin
 * IPSec-hez kapcsolódó anyagok
 * SEND-hez kapcsololódó anyagok
-Line 26:
+Line 38:
-== IPv6 IDS/IPS ==
+IPv6 tűzfalak az elmúlt évben kezdtek megjelenni a különböző operációs rendszerekhez. A projektben elsősorban a szabadon hozzáférhető vagy routerekbe épített tűzfal rendszereket vizsgáltuk, de felvettük a kapcsolatot kereskedelmi tűzfal gyártó cégekkel is, akik azt állítják magukról, hogy támogatják az IPv6-ot. Egyelőre válaszra sem méltattak bennünket.

=== BSD pf tűzfal ===
Az OpenBSD-hez kifejlesztett pf tűzfal 2002 óta támogatja IPv6. Gyakorlatilag 2004 decembere óta az összes szabadon elérhető BSD operációs rendszer (FreeBSD, NetBSD, OpenBSD) tartalmazza a pf csomagszűrő tüzfalat amely képes stateful packet inspection müveletre, ami segítségével könyebben és hatékonyabban lehet a tüzfal szabályokat megfogalmazni.

A projekt során kidolgozásra került oktatási anyagok az alábbi linkeken érhetők el:

 * Bevezetés a BSD pf IPv6-os használatába
 * Példa BSD pf konfigurációs állományok

=== FreeBSD ip6fw  tűzfal ===

A FreeBSD-hez és NetBSD-hez kifejlesztett ipfw tűzfal rendszer IPv6-os portját a [http://www.kame.net KAME] projekt készítette el. Ez a tűzfal rendszer teljes mértékben integrálva van a FreeBSD és NetBSD rendszerekbe, olyan szinten, hogy kiindulási konfigurációs fájlok is elérhetőek az alap rendszer részeként az {{{/etc/rc.firewall6 }}} (FreeBSD) és {{{/etc/rc.

== IPv6 Intrusion Detection/Prevention rendszerek ==