1 / 24

Ipv6'da Güvenlik

Ipv6'da Güvenlik. Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101. Özet. IPv6 Genel Yapısı IPv6 Güvenlik IPv6'da Saldırılar Router Advertisements CAM Geliştirilen Konular. Ipv6'ya Genel Bakış. 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri

lance-spence
Download Presentation

Ipv6'da Güvenlik

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ipv6'da Güvenlik Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101

  2. Özet • IPv6 Genel Yapısı • IPv6 Güvenlik • IPv6'da Saldırılar • Router Advertisements • CAM • Geliştirilen Konular

  3. Ipv6'ya Genel Bakış • 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri • Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi) • Başlık yapısı basitleştirildi. • Geliştirme ve eklenti desteği arttırıldı. • Akış kontrol mekanizması geliştirildi.(20 bit) • Daha güvenli (AH ve ESP eklentikeri) • Daha iyi Servis Kalitesi Yönetimi (QOS) • Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)

  4. IPv6 Adres Yapısı • FE80:0000:0000:0000:0202:B3FF:FE1E:8329 • FE80:0:0:0:0202:B3FF:FE1E:8329 • FE80::0202:B3FF:FE1E:8329 • ::F455:8329 / ::1 • x:x:x::192.168.0.2 / ::192.168.0.2 / ::C0A8:2 • Link-Local Adres • Aynı bağlantı üzerinde, yönlendirilmez • FE80:: • Site-Local Adres • Subnet var ve site içinde yönlendirilirler • FEC0:: • Aggregatable Global Unicast Adres • TopLevel(13), NextLevel(24), SiteLevel(16)

  5. Unicast, Multicast, Anycast • Unicast; IPv6 cihazların sahip olduğu tekil adresler • Multicast; IPv6 grupları, bu adrese gönderilen bilgiler grubun tüm elemanlarına gider • FF01::1 – Tüm cihazlar • FF01::2 – Tüm yönlendiriciler • FF05::1:3 – Tüm DHCP sunucuları • Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.

  6. ICMPv6 • Olmak zorundadır. • Neighbor Discovery • Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır. • Yakındaki yönlendiricileri bulur • IP adreslerinin yeniden yapılandırılmasını kolaylaştırır. (Router Advertisements) • Hop-Limit göz önüne alınıyor • IP adresi çakışmalarını bulmaya yarıyor

  7. Router Advertisement • Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler • Router Solicitation mesajları ile tetiklenebilir. • IP adrelerindeki bölgesel bilgileri gönderir • Bağlantı ile ilgili ayarları gönderir • Current Hop Limit • MTU • Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.

  8. Otomatik IP ataması • Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak) • Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir. • Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır. • Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir. • Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.

  9. IPv6 Güvenliği

  10. Güvenlik Tehlikeleri • Bloke etme • Dinleme • Değiştirme • Üretme

  11. Mevcut Çözümler • IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır. • Paket Filtreleme ve Firewall'lar • Transport Layer Güvenliği • SSL • Uygulama Güvenliği

  12. Mevcut Güvenlik Eksiklikleri • Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor. • Genel bir Public Key yönetimi mevcut değil. • Hangi güvenlik önleminin hangi seviyede alınması gerektiği halen belirsiz • Çok cihazlı ortamlarda ortak bir güvenlik platformu oluşturmak çok zor. • Buglar

  13. IPv6 Güvenlik Beklentileri • Bir paket geldiğinde IP adresinin doğru olduğundan • Peketin yolda değiştirilmediğinden • Paketin yolda okunamadığından emin olunmalıdır.

  14. IPv6 Güvenlik Mekanizmaları • Güvenlik 2 Mekanizma ile sağlanıyor. • Authentication Header (AH) (veri doğrulama,veri bütünlüğü) • Encapsulated Security Payload (ESP) (veri şifreleme) • AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.

  15. Security Associations (SA) • PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması. • Her protokol kendi Security Assocation’una sahip • Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma) • Securtiy Paramater Index alıcı (receiver) tarafından seçilir. • SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.

  16. Authentication Header (AH) • Veri doğrulama ve Veri bütünlüğü sağlıyor. • Algoritma bağımsız (keyed md5 önerilyor) • Paket doğrulaması için checksum hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.

  17. Encapsulated Security Payload • Gizlilik ve şifreleme sağlıyor • 2 Modu var • Tünel modu • Tüm datagram şifreleniyor • Transport modu • Sadece payload (TCP, UDP, ICMP) • DES ve CBS dışında algoritma bağımsız

  18. IPv6 ile Gelen Güvenlik Tehditleri • IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor • NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek. • Geliştirme başlıkları saldırı için kullanılabilir. • Otomatik IP ayarlama mekanizmasının ayarlarından yararlanarak saldırılar yapılabilir.

  19. Bilgi Toplama • Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması • IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli. • Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı

  20. Adres Kullanımı • IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor. • IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir. • Firewall'lar ile MAC adres kontrolü yapılabilir. • Cihazın Açık Anahtarı kullanılarak IP üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.

  21. SALDIRI: Sahte Yönlendirici Advertisement Mesajları • Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün • Adv. mesajları alındığında cihazlar ayarlarını değiştirir. • Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır. • MTU(maximum transfer unit) • Current Hop Limit • Evil Proxy • Çözüm: Şifreleme veya DHCPv6

  22. SALDIRI: CAM Overflow • IEEE 802.1d Learing Bridge • Hangi portta hangi MAC adresi olduğunu öğrenir • Switch'e çok sayıda sahte MAC adresi bilgisi gönderilir ve CAM tablosu doldurulur • Bu durumda switch işleme devam etmek için CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar • Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır. • Çözüm: Port başına MAC adres sayısı sınırlanabilir.

  23. Geliştirilen Konular • DNSSec • Multihoming • Farklı servis sağlıyıcılarda çalışan servisler

  24. Teşekkürler Sorular Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101

More Related