IPv6 Malware Tunneling အကြောင်းသိကောင်းစရာ

IPv6 ဟု ခေါ်သော Internet Protocol Verion 6 သည် Internet Protocol version 4 ( IPv4 ) တွင်ရှိနေသော အားနည်းချက်များ၊ Address space ကန့်သတ်ချက်များကို ဖြေရှင်းရန်၊ ပိုကောင်းမွန်သော Security များ၊ ပိုမိုကောင်းမွန်သော Routing စနစ်များအတွက် အစားထိုးသုံးစွဲလာကြသည်ကို သိရှိပြီးဖြစ်ပါသည်။


 

ထို IPv6 တွင် Firewall များနှင့် Intruion Detection System(IDS) များမှ Traffic ကို Detected ဖြစ်ခြင်းမှ ကာကွယ် နိုင်ရန် ၎ Protocol ကိုယ်တိုင်မှအသုံးပြုထားသော စနစ်၏ အားနည်းချက်ကို အသုံးပြုကာ Malware များမှ ပြန်လည် Reconfigure ပြုလုပ်၍ IPv6 traffic ကဲ့သို့ အသုံးပြုနိုင်ပါသည်။

 

Malware များမှ IPv6 ကိုအသုံးချနိုင်သော အခြေအနေများမှာ -

- အားနည်းချက်များ ရှိနေသော Application များမှ Traffic "tunneling" ပြုလုပ်နိုင်ခြင်း

- IPv6 စနစ်ကို မှားယွင်းသွားစေရန် ပြုလုပ်နိုင်သည့် မပြည့်စုံသော အချက်အလက်များ

- IPv6 ၏ auto-configuration ဆိုင်ရာအချက်အလက်များ

- Malware များမှ အားနည်းချက်များရှိနေသော Host များကို IPv6 အသုံးပြုစေခြင်း တို့ဖြစ်ပေါ်နိုင်ပါသည်။

IPv6 အသုံးပြု၍ Tunneling ပြုလုပ်ခြင်း


 

Tunneling ဆိုသည်မှာ Internet Data Transmission စနစ်တွင် Public Internet စနစ်မှ Private Network Data Transmission စနစ်သို့ပြောင်းလဲပေးသောစနစ်ဖြစ်ပါသည်။ ထိုသို့ပြုလုပ်နိုင်ခြင်းမှာ Public Network များပေါ်တွင် ပို့လွတ်နေသော Packet များအတွင်းတွင် Private Network Data များနှင့် Protocol Information များကိုပြန်လည်ထုပ်ပိုး၍ ပို့လွတ်သော စနစ်ဖြစ်ပါသည်။ ထိုသို့ အသုံးပြုခြင်းအတွက် Public Network တွင် အသုံးပြုနေသည့်တိုင် အချက်အလက်အားလုံးသည် Private Network Protocol ဆိုင်ရာအချက်အလက်များဖြစ်သည်။ ထို့အတွက် တစ်စုံတစ်ဦးမှ Packet များလက်ခံရရှိနိုင်သည့်တိုင်အောင် ၎ Packet ကိုပြန်လည်ဖြည်ရန် အတွက် သက်ဆိုင်ရာ Private အချက်အလက်များလိုအပ်ပေသည်။ ထို့အတွက် ပိုမိုလုံခြုံသော စနစ်ကို အသုံးပြုလိုသော နေရာများတွင် Tunneling ကိုအသုံးပြုကြသည်။

 

ထိုကဲ့သို့ Data Encapsulation စနစ်သည် Encryption နှင့် Authentication စနစ်ကို အသုံးပြုသော VPN ကဲ့သို့သော Private Networks ကိုအသုံးပြုခြင်းများအတွက် ပိုမိုကောင်းမွန်သော အကျိုးကျေးဇူး များဖြစ်ပေါ်စေနိုင်ပါသည်။






 

သို့သော်လည်း IPv6 တွင်ရှိနေသော ၎ စနစ်၏ အားနည်းချက်ကို အသုံးပြု၍ Malware များကို Encapsulate ပြုလုပ်ကာ Network Condition များ၏ အားသာချက်များ၊ Auto-configuration Feature များကို အသုံးချနိုင်ခြင်းတို့ဖြစ်ပေါ်စေနိုင်ပါသည်။

 

အားနည်းချက်များ ရှိနေသေးသော IPv6 ကိုအသုံးပြု၍ Malware Tunneling Vulnerability ဖြစ်စေခြင်း

ယနေ့ အချိန်တွင် အသုံးပြုနေကြသော Operation System အများစုသည် IPv6 ကို Default အားဖြင့် အသုံးပြုနိုင်ကြသည်။ သို့သော်လည်း အချို ့သော Filtering and Monitoring Device များသာလျင် IPv6 ကို Support လုပ်ကြသည်။ ထိုကဲ့သို့ IPv6 Traffic များနှင့်ပက်သက်သည့် ကန့်သတ်ချက်များရှိနေခြင်းကြောင့် Firewall များနှင့် IDS equipment များ သည် IPv6 traffic များကို bypassed ပြုလုပ် သောအားနည်းချက်များရှိနေနိုင်သည်။


 

Malware Tunneling ၏ IPv6 Auto-Configuration ဆိုင်ရာအချက်အလက်များ

 

IPv6 တွင် ရှိသော Auto-configuration Feature သည် Malware Tunneling များကိုဖြစ်ပေါ်စေနိုင်ပါသည်။ ထို Auto-configuration Feature သည် IPv6-enabled ဖြစ်နေသော Devices များမှ IP Address များကို ကိုယ်တိုင် ဖန်တီး၍ Neighbouring Router များကို Administrator Intervention ကိုကျော်လွန်၍ Route IPv6 Traffic များအသုံးပြုနိုင်ပါသည်။ ထိုသို့ IP Aaddress အသုံးပြုနိုင်ရန် အတွက် IP Address Assign လုပ်ပေးမည့် DHCP Server မလိုအပ်ပေ။ ၄င်း သဘောတရားသည် IPv4 တွင်ရှိသော IPv4 Deployment များဖြစ်ပါသည်။ ထိုသို့အသုံးပြုနိုင်သည့်အတွက် Malicious E×ternal Users များမှသော်လည်းကောင်း၊ Security Devices များမှ
Detected မသိနိုင်သော IPv6 packet များဖန်တီး၍ သော်လည်းကောင်း auto-configuration capability ကိုအသုံးပြု၍ IPv6 packets များကို e×ploit ပြုလုပ်နိုင်ပါသည်။


 

Compromised Hosts များ၏ IPv6 ကို enable ပြုလုပ်နိုင်သည့် Malware အကြောင်း


Attacker များသည် Compromised Host များပေါ်တွင် IPv6 ကို Enable ပြုလုပ်နိုင်ရန်အတွက် အမျိုးမျိုးသော Code များကို အသုံးပြု၍ E×ploit ပြုလုပ်နိုင်ကြသည်။ ထိုသို့ပြုလုပ်နိုင်ရန်အတွက် အသုံးပြုကြသော tool များမှာ ဥပမာ အားဖြင့် -



- relay6

- 6tunnel

- nt6tunnel

- asybo

အမှန်စင်စစ် တွင် ၄င်း tool များသည် IPv6 နှင့် IPv4 Device Application များကြား ချိတ်ဆက်ရန်အသုံးပြုသော Tool များဖြစ်ပါသည်။ သို့သော် ၄င်း Tool များကို အသုံးပြု၍ Malware Tunneling နှင့် Routing များကို လုပ်ဆောင်စေနိုင်ပါသည်။

အခြားသော IPv6 Security ဆိုင်ရာအားနည်းချက်များ


IPv6 တွင်ပါဝင်သည့် Software များ၊ Feature များ နှင့် Protocol များနှင့် ဆိုင်သော အချက်အလက်အချို ့တွင် အားနည်းချက်များသည် ရှိနေဆဲဖြစ်ပါသည်။ IPv6 သည်ပိုမိုကောင်းမွန်သော Security Feature များအတွက် အသုံးပြုရန် ရည်ရွယ်ထားသော်လည်း ယခုအချိန်တွင် IPv4 ဆိုင်ရာအချက်အလက်များနှင့် နှိုင်းယှဥ်လျင် အနည်းငယ်လိုအပ်ချက်များရှိနေသေးသည်။ ဥပမာ အားဖြင့် Malware Tunneling ဆိုင်ရာ အချက်အလက်များဖြစ်သော Inbound များဖြစ်သော Port Scanning ကဲ့သို့အချက်အလက်များ၊ Traffice Outbound များဖြစ်သော Botnet ကဲ့သို့သောအချက်အလက်များတွင် အားနည်းချက်များအနည်းငယ်ရှိနေဆဲဖြစ်ပါသည်။


 

IPv6 ဆိုင်ရာ အားနည်းချက်များ ကို အနည်းဆုံးဖြစ်စေရန် ဆောင်ရွက်ခြင်း


ထိုသို့ဆောင်ရွက်နိုင်ရန် အတွက် မိမိတို့၏ Network အတွင်းတွင် မည်သည့် Operating System များသည် IPv6 ကို support လုပ်သနည်းကို သိရှိရန်လိုပေသည်။ သိရှိနိုင်ရန် အောက်ပါ Website များတွင် ဝင်ရောက်၍ မည်သည့် OS များသည် IPv6 ကိုအသုံးပြုကြောင်းကို လေ့လာနိုင်ပါသည်။



Convery, Sean and Darrin Miller. Cisco Systems, Critical Infrastructure
Group “IPv6 and IPv4 Threat Comparison and Best Practice Evaluation
(v1.0).”

www.seanconvery.com/v6-v4-threats.pdf 

http://www.worldipv6launch.org/

 

IPv6 ဆိုင်ရာ Security အာနည်းချက်များကိုရှောင်ရှားရန် အကောင်းဆုံးအချက်မှာ မိမိတို့ Network အတွင်း ရှိ IPv6 နှင့်သက်ဆိုင်သည့် အချက်အလက်များကို ထိန်းချုပ်ခြင်းဖြစ်ပါသည်။ဉပမာအားဖြင့် -

- Border Router များတွင် IPv6 address များကို filter ပြုလုပ်ခြင်း

- အရေးကြီးသော system များအတွက် Standard address များ သို့သော် အလွယ်တစ်ကူ မသိရှိနိုင်သော address များအသုံးပြုခြင်း

- Firewall တွင် မလိုအပ်သော Service များကို filter လုပ်ခြင်း

- ICMP packet များကို သေချာစွာစိစစ် စစ်ဆေးခြင်း

- Host နှင့် Application Security များကို သေချာ စွာ စစ်ဆေးခြင်းတို့ဖြစ်ကြပါသည်။

 

IPv6 တွင်ပါဝင်သည့် Software များ၊ Feature များ နှင့် Protocol များနှင့် ဆိုင်သော အချက်အလက်အချို ့တွင် အားနည်းချက်များသည် ရှိနေဆဲဖြစ်ပါသည်။ IPv6 သည်ပိုမိုကောင်းမွန်သော Security Feature များအတွက် အသုံးပြုရန် ရည်ရွယ်ထားသော်လည်း ယခုအချိန်တွင် IPv4 ဆိုင်ရာအချက်အလက်များနှင့် နှိုင်းယှဥ်လျင် အနည်းငယ်လိုအပ်ချက်များရှိနေသေးသည်။ ဥပမာ အားဖြင့် Malware Tunneling ဆိုင်ရာ အချက်အလက်များဖြစ်သော Inbound များဖြစ်သော Port Scanning ကဲ့သို့အချက်အလက်များ၊ Traffice Outbound များဖြစ်သော Botnet ကဲ့သို့သောအချက်အလက်များတွင် အားနည်းချက်များအနည်းငယ်ရှိနေဆဲဖြစ်ပါသည်။



အခြားသော IPv6 ဆိုင်ရာအချက်အလက်များနှင့်ပက်သက်သည့် အချက်များကို Sean Convery နှင့် Darrin Miller (Cisco Systems, Critical Infrastructure Group) တို့မှ ပြုစုထားသော အချက်အလက်များအရ အောက်ပါအတိုင်း ထပ်မံဆောင်ရွက်နိုင်ပါသည်။

 

Firewall များတွင် ထပ်မံလုပ်ဆောင်သင့်သော Security ဆိုင်ရာအချက်အလက်များ

- Access Control Device များကိုဖြတ်သန်းသည့် header များကို သေချာစိစစ်ခြင်း

- မည်သည့် ICMPv6 message များသည်သာ လက်ခံသင့်ကြောင်းကိုစိစစ်ခြင်း


Fragmentation Attack များဖြစ်ပေါ်စေနိုင်သောအချက်အလက်များကိုသေချာစွာထိန်းချုပ်ခြင်း

- Internetworking device များသို့ဦးတည်သည့် IPv6 fragment များကိုဖြစ်နိုင်သမှျ Deny ပြုလုပ်ခြင်း

- သေချာသော IPv6 fragmentation filtering ဆိုင်ရာ စနစ်များကိုလုပ်ဆောင်ခြင်း

- 1280 octets ထက်နည်းသော Fragment တိုင်းကို Drop ပြုလုပ်ခြင်း


 

Spoofing Attack များဖြစ်ပေါ်စေနိုင်သောအချက်အလက်များကိုသေချာစွာထိန်းချုပ်ခြင်း

- RFC 2*27 ကဲ့သို့သော filtering စနစ်များလုပ်ဆောင်စေခြင်း

- Last-hop traceback ဆိုင်ရာအချက်အလက်များကို စာရင်းပြုစုခြင်း

- အရေးကြီးသော System များတွင် Cryptographic protection ကဲ့သို့သော စနစ်များအသုံးပြုခြင်း



Router Attack များဖြစ်ပေါ်စေနိုင်သောအချက်အလက်များကိုသေချာစွာထိန်းချုပ်ခြင်း

- BGP နှင့် IS-IS တို့တွင် Traditional Authentication Mechanism များအသုံးပြုခြင်း

- OSPFv3 နှင့် RIPng ကဲ့သို့သော Routing ဆိုင်ရာအချက်အလက် များတွင် IPSec အသုံးပြုခြင်း


Worm နှင့် Virus Attack များဖြစ်ပေါ်စေနိုင်သောအချက်အလက်များကိုသေချာစွာထိန်းချုပ်ခြင်း

 

- Ipv4 တွင်လုပ်ဆောင်ကြသကဲ့သို့ Host Antivirus များအသုံးပြုခြင်း၊
Detection စနစ်များအသုံးပြုခြင်း၊ မလိုအပ်သည်များကို Block ပြုလုပ်ခြင်း


အခြားသော IPv6 နှင့် ပက်သက်သည့်အချက်အလက်များကို ထိန်းချုပ်ရန် အတွက် အောက်ပါ Resources များမှတစ်ဆင့် အသုံးချနိုင်ပါသည် -



- “IPv6: The Next Generation Internet!” http://www.IPv6.org/

- Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologies/IPv6/default.mspx

- Convery, Sean and Miller, Darrin, “IPv6 and IPv4 Threat Comparison and Best

Practice Evaluation (v1.0)” http://www.seanconvery.com/v6-v4-threats.pdf

- US-CERT Vulnerability Notes VU#658859 “Juniper JUNOS Packet Forwarding

Engine (PFE) IPv6 memory leak” http://www.kb.cert.org/vuls/id/658859

- US-CERT Vulnerability Note VU#472582 “Cisco IOS IPv6 denial-of-service

vulnerability” http://www.kb.cert.org/vuls/id/472582

 

 


Reference: https://www.us-cert.gov/security-publications/malware-tunneling-ipv6