190 likes | 441 Views
“ IPv6 Balküpü Tasarımı ” Yavuz GÖKIRMAK (ULAKBİM). İçerik. Balküpü nedir? IPv4 Balküpü Yapısı IPv6 Balküpü Yapısı Sonuç. Balküpü Nedir?.
E N D
“IPv6 Balküpü Tasarımı” Yavuz GÖKIRMAK (ULAKBİM)
İçerik • Balküpü nedir? • IPv4 Balküpü Yapısı • IPv6 Balküpü Yapısı • Sonuç
Balküpü Nedir? • Bilgi ve ağ güvenliğine yönelik yapılan saldırıların farkına varmak, saldırganların yöntemlerini izlemek, metodlarını belirlemek, ve yeni geliştirilen saldırı sistemlerinin farkına varabilmek için özel olarak tasarlanmış yazılım veya sistemlerdir. • IPv4 Balküpleri, uzun süredir ağ iletişimini tehdit eden saldırıların tespitinde ve modellenmesinde kullanılmaktadır.
Balküpü Nedir? • Balküplerinin amacı saldırganı üstüne çekerek, bilgi toplamaktır. • Saldırganı üzerine çekebilmek için gerçek sistemleri çalıştırır ya da taklit eder. • Balküplerinden elde edilen veri incelerek ilk gün saldırıları gibi yeni saldırılar hakkında bilgi toplanabildiği gibi, servis engelleme saldırıları da yıkıcı boyuta ulaşmadan farkedilebilmektedir.
IPv4 Balküpleri? • IPv4, balküpü tasarımlarında göz önüne alınan temel noktalar beş başlık altında toplanabilmektedir: • Balküpünün saldırgana sunacağı bilginin içeriği, değeri ve seviyesi • Balküpünün ele geçirilmesi durumunda, saldırganın erişebileceği kaynaklar • Balküpünün ağda hizmet vereceği konum • Balküpü verisinin balküplerinden toplanması • Balküpünün saldırganlar tarafından tespit edilmesi
IPv4 Balküpleri? “Balküpünün saldırgana sunacağı bilginin içeriği, değeri ve seviyesi”
IPv4 Balküpleri? “Balküpünün ele geçirilmesi durumunda, saldırganın erişebileceği kaynaklar” • Saldırgan tarafından ele geçirilme olasılığına karşın, ele geçirilen balküpünden başka sistemlere saldırı yapılmasını engelleyici önlemler almak gerekmektedir
IPv4 Balküpleri? Balküpünün saldırganlar tarafından tespit edilmesi • Saldırgan, etkileşimde olduğu sistemi bir balküpü olarak değil gerçek bir servis olarak algılamalıdır. • Sanallaştırma platformları üstünde çalışan bir balküpünü ele geçiren saldırgan işlemci/bellek kullanımı değerlerinden yola çıkarak ele geçirdiği bilgisayarın bir sanal bilgisayar olduğunu anlayabilmektedir. • yüksek etkileşimli balküplerinde kullanılan ve saldırganın hareketlerini izlemeye yarayan Sebek yazılımının nasıl saptanacağı üzerinde durulmuştur. • düşük etkileşimli balküpü Honeyd'nin taklit ettiği servisler üzerinden bir saptama yapılmıştır. Honeyd, servisleri kısıtlı olarak taklit ettiği için, saldırganın bu servisleri saptama imkânı bulunmaktadır. • ele geçirilen bilgisayardan, bilinen bir kurbana yeni bir saldırı düzenlemesi tasarlanmıştır. Bu yöntemde, balküplerinin ele geçirilmeleri durumunda yeni saldırılara izin vermemeleri özelliklerinden faydalanılmaktadır.
IPv6 Balküpü? IPv4 balküplerinden elde edilen faydalı verilere rağmen, IPv6 ağlarından çalışabilecek bir balküpü henüz üretilmemiştir. Tasarlanacak IPv6 balküpünün, yeni protokolün güvenlik sorunlarını saptamada faydalı olacağını öngörmekteyiz. IPv6 ağlarında kullanılabilecek bir balküpünün başlıca üç bileşenden oluşmalıdır. • Saldırı Çekme • Veri Toplama • Veri Analizi
IPv6 Balküpü? Saldırı Çekme • IPv4'te bir adres aralığını sıralı olarak tarama mantığı üzerine inşa edilen tarama araçları IPv6 ağlarının geniş adres aralığından dolayı kullanışlı olmayacaktır • Bu yüzden IPv6 ağlarında çalışacak bir balküpünün, saldırganın işini kolaylaştıracak, daha kolay bulunmasını sağlayabilecek bir bileşeni olmalıdır.
IPv6 Balküpü? Saldırganları balküplerine kolayca çekebilmek için aşağıdaki yöntemler kullanılabilir: • Bilgisayarların IPv6 adreslerinin [önek]::1'den başlayarak sıralı olarak atanması. ( Örneğin, 2001:a95:12/64 önekine sahip bilgisayarlara, 2001:a95:12::1, 2001:a95:12::2, 2001:a95:12::3 … gibi ipler verilmesi ) • Yaygın kullanılan ethernet kartı üreticilerinin kartlarını taklit etme, (yaygın sağlayıcı öneklerini deneyen saldırganlara kolaylık sağlanacaktır) • Balküpü ağının ikili yığında çalıştırılıp, IPv6 adreslerinin IPv4 adreslerinden üretilmesi • Balküpü ağındaki bir DNS'in dışarıdan yapılacak AXFR (DNS Zone Transfer Protocol) sorgularına açık olması, • Balküpü ağında iki DNS'in şifresiz Zone transferi yapması
IPv6 Balküpü? Veri Toplama • Saldırgan balküpüne çekildikten sonra saldırı hakkında bilgi toplamak gerekmektedir. IPv6 balküpünde başlıca üç bilgi toplama kaynağı vardır • Ateş duvarı günlükleri • Saldırı Tespit Sistemi (STS) uyarıları • Taklit edilen servisler
IPv6 Balküpü? Veri Toplama • Saldırgan balküpüne çekildikten sonra saldırı hakkında bilgi toplamak gerekmektedir. IPv6 balküpünde başlıca üç bilgi toplama kaynağı vardır • Ateş duvarı günlükleri • Saldırı Tespit Sistemi (STS) uyarıları • Taklit edilen servisler
IPv6 Balküpü? Gerçek site (www.ulakbim.gov.tr) • Taklit site • (yavuzg.ulakbim.gov.tr)
IPv6 Balküpü? Veri Analizi • Toplanan verinin yorumlanarak ilk gün saldırılarıyla ilgili imzaların çıkarılması ve servis engelleme saldırıları için erken uyarı sistemi geliştirilmesi hedeflenmektedir. • Veri analizi iki başlık altında toplanılabilir: trafik akışı analizi ve paket yapısı analizi. • Trafik akışı analizi • Paket yapısı analizi
Sonuç • IPv6 ağları henüz yaygın olarak kullanılmamaktadır. Protokol, son kullanıcı tarafından kullanılmadığı için ortaya çıkabilecek güvenlik açıkları ve saldırganların bu açıkları nasıl kullanacakları henüz kesin olarak tahmin edilememektedir. • IPv6 ağlarında ortaya çıkacak saldırıların tespiti, analizi ve bu saldırılara karşı önlemlerin geliştirilebilmesi için balküpü kullanımı şarttır. • IPv6 ağlarının güvenliğini analiz etmek ve yeni saldırı türlerini inceleyebilmek amacıyla, “Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi” kapsamında ve IPv6 balküpü yazılımı geliştirilmektedir.