• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.17 no.6
• /
• pp.77-87
• /
• 2007

It will need a quite long time to replace IPv4 protocol, which currently used, with IPv6 protocol completely, thus we will use both IPv4 and IPv6 together in the Internet during the period. For coexisting protocols, IETF standardized various IPv4/IPv6 transition mechanisms. However, new security problems of IPsec adaptation and IPv6 packet filtering can be raised by tunneling mechanism which mainly used in transition mechanisms. To resolve these problems, we suggested two improved schemes for packet filtering functions, which consists of an inner header filtering scheme and a dedicated filtering scheme for IPv4/IPv6 transition mechanisms. Also we implemented our proposed schemes based on Linux Netfilter framework, and we tested their filtering functions and evaluated experimental performance of our implementation on IPv4/IPv6 transition testbed. These evaluation tests indicated that our improved packet filtering functions can solve packet filtering problems of IPv4/IPv6 transition mechanisms without severely affecting system performance.

• Journal of KIISE:Information Networking
• /
• v.34 no.1
• /
• pp.16-26
• /
• 2007

It is well known that, in the near future, the lifetime of the IPv4 address space will be limited and available 32-bit IP network addresses will not be left my more. In order to solve such IPv4 address space problem in an effective way, the transition to the new version using IPv6 architecture is inevitably required. This paper presents the design and implementation of IPv4/IPv6 dual stack at the GSM Phone based on Linux Kernel 2.4 IPv6 Protocol Stack. It designs appropriately in GSM Phone environment and it is tested by a network of Linux IPv4/IPv6 dual stack on PPP. The test was processed with a test scenario and it was found that the results were successful.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2001.06a
• /
• pp.265-269
• /
• 2001

멀티캐스트 라우팅 데몬은, 패킷 포워딩이 가능한 호스트 상에서 작동하여 호스트를 멀티캐스트 라우팅이 가능한 라우터로 만들어주는 역할을 하는 응용 프로그램이다. 현재의 리눅스 IP$_{v}$ 6 멀티캐스트 환경을 살펴보면 로컬 네트워트 상에서의 멀티캐스트 통신만을 지원하도록 되어있다. 즉 서로 다른 서브넷 상에 존재하는 호스트들 사이에서는 멀티캐스트 통신을 할 수 없다. 따라서, 본 논문에서는 리눅스 IP$_{v}$ 6 환경에서 멀티캐스트 라우팅이 가능하도록 IP$_{v}$ 6용 멀티캐스트 라우팅 데몬을 구현하였다. 멀티캐스트 라우팅이 가능하기 위해서는 두가지 문제가 해결되어야 하는데 첫째는 멀티캐스트 라우팅 정보를 주고받는 데몬 프로그램이고, 둘째는 데몬이 주고받은 라우팅 정보를 이용하여 멀티캐스트 패킷을 포워딩하는 커널 포워딩 루틴이다. 이 두가지가 본 논문에서 중심으로 다룰 내용이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04a
• /
• pp.529-531
• /
• 2001

최근 휴대용 컴퓨터가 점점 소형화, 고성능화 되고 무선 액세스 기술이 향상됨에 따라 이동성에 대한 사용자의 요구가 점차 증가하고 있으며 이런 변화는 이동 컴퓨터들이 네트워크 접속점을 수시로 변경하더라도 사용자들은 연결의 끊김 없이 통신하기 위한 네트워크 하부 구조의 변화를 요구한다. 인터넷 상에서 이동성 제공을 위하여 네트워크 계층에서 호스트의 이동성을 제공하기 위한 연구로 IETE에서 Mobile IP라는 프로토콜을 제안하였다. 또한 IETF에서는 주소고갈 문제를 해결하기 위해 IPv6의 차세대 인터넷 프로토콜을 채택하였다. 본 논문에서는 기존의 Mobile IP의 문제점을 제시하고 구성 요소의 기능을 IPv6에서 재설계함으로써 이동 노드가 접속점을 변경하는 핸드오버가 발생할 경우, 성능향상을 위한 바인딩 캐쉬 서버의 도입과 지역 등록 방안을 제안하였다. 이를 리눅스환경에 시뮬레이션하였으며, 잦은 핸드오버 발생시 우수한 성능을 보임을 확인하였다.

• Journal of KIISE:Information Networking
• /
• v.33 no.6
• /
• pp.407-419
• /
• 2006

As substituting IPv6 network for all IPv4 network in a short time seems unattainable due to high cost and technical limitation, IPv4 and IPv6 are expected to coexist for a certain period of time. Under the co]existing environment of IPv4 and IPv6, interworking brings a number of extra security considerations even if it may have no security problem for each protocol respectively. Thus, the analysis and solutions for those various attacks toward IPv4/IPv6 interworking-related security are inevitably required for the sake of effective transition and settlement to IPv6. In this paper we carried out a proper rule of packet filtering for IPv6-in-IPv4 tunneling interworking environment to protect the IPv4/IPv6 interworking-related security attacks. Design and implementation of the packet filtering system suitable for IPv4/IPv6 tunneling environment in the form of Linux netfilter and ip6tables are also shown. Thru this study, the packet filtering system was found operating correctly ill the tunneling mechanism.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2002.11a
• /
• pp.701-705
• /
• 2002

This paper describes implementation of IPv6-IPv4 transition toolbox named as 6TALK(IPv6 TrAansLator of Krv6) and some scenarios using 6TALK which enables IPv6 island to connect other IPv6 island or IPv4 island seamlessly. 6TALK implements some transition mechanisms suggested in NGTrans Working Group of IETF. Those mechanisms are composed of basic mechanism, tunneling, and applied mechanism such as DSTM. 6TALK provides functions which enable IPv6 network at the edge of existing network to communicate with IPv4 network by using these transition mechanisms. As major transition mechanisms in 6TALK we adopt NAT-PT/SIIT and DSTM/DSTM options and as implementation environment we use Linux Kernel 2.4.18 and Netfilter framework. Software modules implemented in Linux kernel was ported to hardware box using Motorola MPC 8260 processor. The transition mechanisms used in 6TALK are the ones predicted to be used in initial transition step to IPv6.

• Journal of Korea Society of Industrial Information Systems
• /
• v.12 no.3
• /
• pp.47-59
• /
• 2007

IPv4 NAT, which often used in households or under SOHO environments, is one of the factors that delays IPv6 propagation. As IPv4 NAT does not operate properly under the transition mechanism like ISATAP or 6to4 that acts as IPv6-in-IPv4 tunneling type, Microsoft proposed Teredo in order to resolve this issue. However, tunneling transition mechanism like Teredo has a security problem. That is, being tunneled packets have dual IP headers; general firewall systems apply the filtering rules only to the outer header but not inner header when these packets pass the firewall. Furthermore, attacks using unregistered server and relay can take place in Teredo. To resolve these problems, we propose a new packet filtering mechanism exclusively for Teredo. The proposed packet filtering mechanism was designed and implemented by using Linux Netfilter and ip6tables. Through functional and experimental performance tests, this packet filtering system was found operating properly and solving the Teredo packet filtering problems without serious performance degradation.

• The KIPS Transactions:PartC
• /
• v.12C no.4 s.100
• /
• pp.551-558
• /
• 2005

In this paper, we implement the fast handovers for mobile IPv6 (FMIPv6) on Linux system. Due to its dependency on operations in layer-2 (L2), we have added some functions into the network driver to generate triggers as the mobile node moves. We design and implement the FMIPv6 functions divided into two parts as an access router and a mobile node. We compare the packet loss and delay of the FMIPv6 implementation during the handover period with those of the MIPv6 and investigate the performance improvement.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10c
• /
• pp.361-363
• /
• 2001

본 논문은 IPv6 헤더의 플로우 레이블 필드를 이용한 레이블 포워딩 방법을 제안하고 이 방법을 기반으로 리눅스 운영체제에서 멀티캐스팅 라우팅 레몬과 유니 캐스팅 데몬과 구현하여 레이블 포워딩에 의한 유니 캐스트 및 멀티캐스트 전송을 구현하였다. 레이블을 이용한 포워딩은 라우팅 엔트리를 결정하기 위해 If주소 중 가장 많은 부분이 일치되는 엔트리를 찾는 방법(longest prefix match) 을 기본으로 하는 IP주소정색 방법에 비해, 짧은 레이블 값 전체가 일치하는 엔트리를 찾는 방법 (short label exact match)을 원칙으로 하고있어 상대적으로 빠른 속도로 라우팅 테이블을 검색할 수 있으며, 쉽게 QoS를 제공할 수 있는 구조를 제공한다. 실험을 통해 구현된 레이블 포워딩을 이용한 유니캐스트 및 멀티캐스트 전송이 잘 동작함을 확인하였고, 성능비교 실험을 통해 레이불 포워딩이 일반 IP 검색 포워딩 방법보다 더 좋은 성능을 발휘함을 확인할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.11a
• /
• pp.1266-1269
• /
• 2007

IPv6 환경에서는 NDP(Neighbor Discovery Protocol)를 이용한 주소 자동 설정 메커니즘을 지원한다. 그러나, NDP 는 메시지 내 중요 정보가 네트워크 상에 그대로 노출됨으로 인해 각종 공격에 취약하다. 이러한 취약성을 극복하기 위해, CGA(Cryptographically Generated Address)를 사용하여 주소의 소유권 증명이 가능한 SEND(SEcure Neighbor Discovery)가 도입되었다. 그러나 SEND 는 높은 비용 연산으로 인해 모바일 기기 등에 적용하는데 한계점을 가진다. SEND 의 한계점을 보완하고자 해쉬 함수를 이용해 주소 자동 설정에 사용되는 임시 주소를 감추는 기법이 제안되었다. 이 기법은 DAD(Duplicate Address Detection) 과정 중 SEND 수준의 보안을 제공하면서도 빠르게 동작할 수 있는 장점을 갖는다. 본 논문에서는 리눅스 환경에서 제안 기법을 구현해 보고, 주소 생성 시간 측정 및 DAD 과정에서 드러난 서비스 거부 공격에 대한 안전성을 검증한다.