240 likes | 357 Views
Ipv6'da Güvenlik. Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101. Özet. IPv6 Genel Yapısı IPv6 Güvenlik IPv6'da Saldırılar Router Advertisements CAM Geliştirilen Konular. Ipv6'ya Genel Bakış. 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri
E N D
Ipv6'da Güvenlik Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101
Özet • IPv6 Genel Yapısı • IPv6 Güvenlik • IPv6'da Saldırılar • Router Advertisements • CAM • Geliştirilen Konular
Ipv6'ya Genel Bakış • 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri • Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi) • Başlık yapısı basitleştirildi. • Geliştirme ve eklenti desteği arttırıldı. • Akış kontrol mekanizması geliştirildi.(20 bit) • Daha güvenli (AH ve ESP eklentikeri) • Daha iyi Servis Kalitesi Yönetimi (QOS) • Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)
IPv6 Adres Yapısı • FE80:0000:0000:0000:0202:B3FF:FE1E:8329 • FE80:0:0:0:0202:B3FF:FE1E:8329 • FE80::0202:B3FF:FE1E:8329 • ::F455:8329 / ::1 • x:x:x::192.168.0.2 / ::192.168.0.2 / ::C0A8:2 • Link-Local Adres • Aynı bağlantı üzerinde, yönlendirilmez • FE80:: • Site-Local Adres • Subnet var ve site içinde yönlendirilirler • FEC0:: • Aggregatable Global Unicast Adres • TopLevel(13), NextLevel(24), SiteLevel(16)
Unicast, Multicast, Anycast • Unicast; IPv6 cihazların sahip olduğu tekil adresler • Multicast; IPv6 grupları, bu adrese gönderilen bilgiler grubun tüm elemanlarına gider • FF01::1 – Tüm cihazlar • FF01::2 – Tüm yönlendiriciler • FF05::1:3 – Tüm DHCP sunucuları • Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.
ICMPv6 • Olmak zorundadır. • Neighbor Discovery • Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır. • Yakındaki yönlendiricileri bulur • IP adreslerinin yeniden yapılandırılmasını kolaylaştırır. (Router Advertisements) • Hop-Limit göz önüne alınıyor • IP adresi çakışmalarını bulmaya yarıyor
Router Advertisement • Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler • Router Solicitation mesajları ile tetiklenebilir. • IP adrelerindeki bölgesel bilgileri gönderir • Bağlantı ile ilgili ayarları gönderir • Current Hop Limit • MTU • Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.
Otomatik IP ataması • Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak) • Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir. • Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır. • Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir. • Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.
Güvenlik Tehlikeleri • Bloke etme • Dinleme • Değiştirme • Üretme
Mevcut Çözümler • IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır. • Paket Filtreleme ve Firewall'lar • Transport Layer Güvenliği • SSL • Uygulama Güvenliği
Mevcut Güvenlik Eksiklikleri • Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor. • Genel bir Public Key yönetimi mevcut değil. • Hangi güvenlik önleminin hangi seviyede alınması gerektiği halen belirsiz • Çok cihazlı ortamlarda ortak bir güvenlik platformu oluşturmak çok zor. • Buglar
IPv6 Güvenlik Beklentileri • Bir paket geldiğinde IP adresinin doğru olduğundan • Peketin yolda değiştirilmediğinden • Paketin yolda okunamadığından emin olunmalıdır.
IPv6 Güvenlik Mekanizmaları • Güvenlik 2 Mekanizma ile sağlanıyor. • Authentication Header (AH) (veri doğrulama,veri bütünlüğü) • Encapsulated Security Payload (ESP) (veri şifreleme) • AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.
Security Associations (SA) • PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması. • Her protokol kendi Security Assocation’una sahip • Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma) • Securtiy Paramater Index alıcı (receiver) tarafından seçilir. • SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.
Authentication Header (AH) • Veri doğrulama ve Veri bütünlüğü sağlıyor. • Algoritma bağımsız (keyed md5 önerilyor) • Paket doğrulaması için checksum hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.
Encapsulated Security Payload • Gizlilik ve şifreleme sağlıyor • 2 Modu var • Tünel modu • Tüm datagram şifreleniyor • Transport modu • Sadece payload (TCP, UDP, ICMP) • DES ve CBS dışında algoritma bağımsız
IPv6 ile Gelen Güvenlik Tehditleri • IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor • NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek. • Geliştirme başlıkları saldırı için kullanılabilir. • Otomatik IP ayarlama mekanizmasının ayarlarından yararlanarak saldırılar yapılabilir.
Bilgi Toplama • Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması • IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli. • Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı
Adres Kullanımı • IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor. • IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir. • Firewall'lar ile MAC adres kontrolü yapılabilir. • Cihazın Açık Anahtarı kullanılarak IP üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.
SALDIRI: Sahte Yönlendirici Advertisement Mesajları • Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün • Adv. mesajları alındığında cihazlar ayarlarını değiştirir. • Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır. • MTU(maximum transfer unit) • Current Hop Limit • Evil Proxy • Çözüm: Şifreleme veya DHCPv6
SALDIRI: CAM Overflow • IEEE 802.1d Learing Bridge • Hangi portta hangi MAC adresi olduğunu öğrenir • Switch'e çok sayıda sahte MAC adresi bilgisi gönderilir ve CAM tablosu doldurulur • Bu durumda switch işleme devam etmek için CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar • Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır. • Çözüm: Port başına MAC adres sayısı sınırlanabilir.
Geliştirilen Konular • DNSSec • Multihoming • Farklı servis sağlıyıcılarda çalışan servisler
Teşekkürler Sorular Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101