Embed Size (px)
DESCRIPTION
Ipv6'da Güvenlik. Hüseyin Gömleksizoğlu [email protected] 04104101. Özet. IPv6 Genel Yapısı IPv6 Güvenlik IPv6'da Saldırılar Router Advertisements CAM Geliştirilen Konular. Ipv6'ya Genel Bakış. 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri - PowerPoint PPT Presentation
Citation preview
Özet
● IPv6 Genel Yapısı● IPv6 Güvenlik● IPv6'da Saldırılar
– Router Advertisements– CAM
● Geliştirilen Konular
Ipv6'ya Genel Bakış
● 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri
● Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi)
● Başlık yapısı basitleştirildi.● Geliştirme ve eklenti desteği arttırıldı.● Akış kontrol mekanizması geliştirildi.(20 bit)● Daha güvenli (AH ve ESP eklentikeri)● Daha iyi Servis Kalitesi Yönetimi (QOS)● Dinamik IP yönetimi(DHCP benzeri
Stateless autoconfiguration)
IPv6 Adres Yapısı
● FE80:0000:0000:0000:0202:B3FF:FE1E:8329● FE80:0:0:0:0202:B3FF:FE1E:8329● FE80::0202:B3FF:FE1E:8329● ::F455:8329 / ::1● x:x:x::192.168.0.2 / ::192.168.0.2 / ::C0A8:2● Link-Local Adres
– Aynı bağlantı üzerinde, yönlendirilmez– FE80::
● Site-Local Adres– Subnet var ve site içinde yönlendirilirler– FEC0::
● Aggregatable Global Unicast Adres– TopLevel(13), NextLevel(24), SiteLevel(16)
Unicast, Multicast, Anycast
● Unicast; IPv6 cihazların sahip olduğu tekil adresler● Multicast; IPv6 grupları, bu adrese gönderilen
bilgiler grubun tüm elemanlarına gider– FF01::1 – Tüm cihazlar– FF01::2 – Tüm yönlendiriciler– FF05::1:3 – Tüm DHCP sunucuları
● Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.
ICMPv6
● Olmak zorundadır.● Neighbor Discovery
– Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır.
– Yakındaki yönlendiricileri bulur– IP adreslerinin yeniden yapılandırılmasını
kolaylaştırır. (Router Advertisements)– Hop-Limit göz önüne alınıyor– IP adresi çakışmalarını bulmaya yarıyor
Router Advertisement
● Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler
● Router Solicitation mesajları ile tetiklenebilir.● IP adrelerindeki bölgesel bilgileri gönderir● Bağlantı ile ilgili ayarları gönderir
– Current Hop Limit– MTU
● Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.
Otomatik IP ataması
● Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak)
● Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir.
● Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır.
● Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir.
● Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.
IPv6 Güvenliği
Güvenlik Tehlikeleri
● Bloke etme● Dinleme● Değiştirme● Üretme
Mevcut Çözümler
● IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır.
● Paket Filtreleme ve Firewall'lar● Transport Layer Güvenliği
– SSL● Uygulama Güvenliği
Mevcut Güvenlik Eksiklikleri
● Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor.
● Genel bir Public Key yönetimi mevcut değil.● Hangi güvenlik önleminin hangi seviyede
alınması gerektiği halen belirsiz● Çok cihazlı ortamlarda ortak bir güvenlik
platformu oluşturmak çok zor.● Buglar
IPv6 Güvenlik Beklentileri
● Bir paket geldiğinde IP adresinin doğru olduğundan
● Peketin yolda değiştirilmediğinden● Paketin yolda okunamadığından emin olunmalıdır.
IPv6 Güvenlik Mekanizmaları
● Güvenlik 2 Mekanizma ile sağlanıyor.– Authentication Header (AH) (veri
doğrulama,veri bütünlüğü)– Encapsulated Security Payload (ESP) (veri
şifreleme)● AH & ESP beraber kullanılacağı gibi ayrı
ayrıda kullanılabilir.
Security Associations (SA)
● PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması.
● Her protokol kendi Security Assocation’una sahip● Security Parameter Index ortak bir SA seçmek için
gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma)
● Securtiy Paramater Index alıcı (receiver) tarafından seçilir.
● SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.
Authentication Header (AH)
● Veri doğrulama ve Veri bütünlüğü sağlıyor.● Algoritma bağımsız (keyed md5 önerilyor)● Paket doğrulaması için checksum
hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.
Encapsulated Security Payload
● Gizlilik ve şifreleme sağlıyor● 2 Modu var
– Tünel modu● Tüm datagram şifreleniyor
– Transport modu● Sadece payload (TCP, UDP, ICMP)
● DES ve CBS dışında algoritma bağımsız
IPv6 ile Gelen Güvenlik Tehditleri
● IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor
● NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek.
● Geliştirme başlıkları saldırı için kullanılabilir.● Otomatik IP ayarlama mekanizmasının
ayarlarından yararlanarak saldırılar yapılabilir.
Bilgi Toplama
● Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması
● IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli.
● Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı
Adres Kullanımı
● IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor.
● IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir.
● Firewall'lar ile MAC adres kontrolü yapılabilir.● Cihazın Açık Anahtarı kullanılarak IP
üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.
SALDIRI: Sahte Yönlendirici Advertisement Mesajları
● Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün
● Adv. mesajları alındığında cihazlar ayarlarını değiştirir.
● Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır.
● MTU(maximum transfer unit)● Current Hop Limit● Evil Proxy● Çözüm: Şifreleme veya DHCPv6
SALDIRI: CAM Overflow
● IEEE 802.1d Learing Bridge● Hangi portta hangi MAC adresi olduğunu öğrenir● Switch'e çok sayıda sahte MAC adresi bilgisi
gönderilir ve CAM tablosu doldurulur● Bu durumda switch işleme devam etmek için
CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar
● Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır.
● Çözüm: Port başına MAC adres sayısı sınırlanabilir.
Geliştirilen Konular
● DNSSec● Multihoming
– Farklı servis sağlıyıcılarda çalışan servisler
