Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

YENİ NESİL İNTERNET PROTOKOLÜ’NE (IPv6) GEÇİŞLE BİRLİKTE İNTERNET SALDIRILARININ GELECEĞİNE YÖNELİK BEKLENTİLER ALİ EFE Beykent Üniversitesi/Fen Bilimleri.

Benzer bir sunumlar


... konulu sunumlar: "YENİ NESİL İNTERNET PROTOKOLÜ’NE (IPv6) GEÇİŞLE BİRLİKTE İNTERNET SALDIRILARININ GELECEĞİNE YÖNELİK BEKLENTİLER ALİ EFE Beykent Üniversitesi/Fen Bilimleri."— Sunum transkripti:

1 YENİ NESİL İNTERNET PROTOKOLÜ’NE (IPv6) GEÇİŞLE BİRLİKTE İNTERNET SALDIRILARININ GELECEĞİNE YÖNELİK BEKLENTİLER ALİ EFE Beykent Üniversitesi/Fen Bilimleri Enstitüsü

2 1.Giriş IPv4, mimarisi itibariyle teknoloji ve İnternet kullanımındaki gelişmelere cevap veremez hale gelmeye başlamıştır. İnternet kullanımının çok yaygınlaşması ve IP adres aralığının yetersiz kalacak olması Bilgi teknolojilerindeki büyük ilerlemelerin beraberinde birçok ihtiyaçların elektronik ortamdan gerçekleştirebilmesi imkânını doğurması Sonuç: İnternet’te veri iletiminin yapıtaşlarından biri olan İnternet Protokolünün değiştirilerek geliştirmesi. IPv6, 1995 yılında RFC-1883 ile standartlaştırılmıştır.

3 1.Giriş (devam) Bu sunumda: Genel olarak ne tür saldırılar/ataklar mevcut?. IPv6’nın uygulamaya geçirilmesiyle birlikte bu saldırıların geleceğine yönelik beklentiler nelerdir? IPv6 üzerinde yapılan bazı çalışmalar.

4 2. Günümüzde İnternette güvenlik Günümüzde İnternet büyük bir hızla gelişmektedir. Korunmaya yönelik çeşitli güvenlik mekanizmaları da geliştirilmektedir. Fakat maalesef İnternet hala yeterince güvenli bir ortam değildir. Bu konu için gerek bilimsel dünyadan gerekse ticari kurumlar tarafından çalışmalar sürdürülmektedir. “Hiçbir zaman tam güvenlik sağlanamaz” deyişi güvenlik uzmanlarının ortak fikri olmuştur.

5 Günümüzde karşılaşılan atakları genel olarak şu şekilde sıralayabiliriz: Keşif Başlıkta oynama ile paket parçalama işlemi 3. veya ve 4. katman seviyesinde aldatma (3rd and 4th layer spoofing) ARP ve DHCP atakları Yayınla saldırıya maruz bırakma (Broadcast amplification attacks-smurf) Paket gözleme (Sniffing) Uygulama katmanı saldırıları Ortadaki adam saldırısı (Man in the middle) Paket seli (Flooding)

6 2.1. Keşif Atakları Ping komutu : İki uçbirim arasında fiziksel bağlantının varlığı ve IP protokolünün düzgün kurulup kurulmadığına yönelik test işlemidir. İki uçbirim arasında iletişimin varlığını sınar. Bir saldırgan bunu kurban ağın sınırlarını belirlemede ve ağı keşfetme aşamasında kullanabilir Port taraması : Erişilebilir uç sistemler keşfedildikten sonra saldırgan bu sistemlerde 4. katman düzeyinde(OSI) açık olan portları taramak suretiyle aktif olan servisleri öğrenebilir. Uygulama ve açık taraması : Uç sistemdeki bir işletim sistemi veya web sunucusu uygulaması olabileceği gibi router, gateway, firewall gibi cihazlardaki yazılımlar da olabilir. Saldırgan hedefteki sistemde çalışan yazılımları ve bunların açıklarını taramak suretiyle sistem hakkında daha detaylı bilgiye erişmiş olur.

7 2.2. Başlıkta Oynama ile Paket Parçalama: Bir diğer saldırı tekniği de paket parçalama işlemindeki gibi başlıkta oynama yapmak suretiyle gerçekleştirilen saldırılardır. Bu ataklar genel itibariyle iki amaca yöneliktir. Bunlardan ilki ağdaki güvenlik sağlayan donanımları aşmak, bir diğeri ise direk ağ yapısına yönelik yavaşlatma veya durdurma amaçlı olmaktadır. Saldırgan, yolladığı kötü niyetli paketi tek paket halinde göndermek yerine parçalara ayırarak aradaki güvenliği saf dışı etmiş olur. Bu veri alıcıda tekrar birleştirildikten sonra işleme sokulur ve saldırgan amacına ulaşmış olur. admin Yasak sözcükler admin Pass ….

8 2.2. Başlıkta Oynama ile Paket Parçalama (devam) : Bu işlemlerin kullanıldığı diğer saldırı yönteminde ise amaç çok sayıda parçalanmış paket kullanarak ağdaki trafiği mümkün olduğunca yavaşlatmaktır.

9 Katman ve 4. Katman Düzeyinde Aldatma(Spoofing): Günümüzde en sık kullanılan yöntemlerden biridir. Aldatma işlemi gizlenme amaçlı veya saldırıda kullanılabilir. Olası bir saldırıda sahte adresli birçok paketin hedefe ulaşması durumunda hedef uçbirim de birçok yanlış veya ulaşamayacağı adrese cevap paketleri yollayacak ve bu da hedef uçbirimin kaynaklarının daha uzun bir süre boşuna harcanmasıyla sonuçlanacaktır. IP: IP: HEDEF: KAYNAK: HEDEF: KAYNAK:

10 Katman ve 4. Katman Düzeyinde Aldatma (devam) : 4.katmanda aldatma atağında ise saldırganın amacı, hedef sistemde kurulan bir oturumun bir kopyasını kendisinde yaratıp oturumu ele geçirmesi veya kendi adresini yetkili adresmiş gibi göstererek ulaşmak istediği sistemle arasında bir oturum başlatmasıdır. Oturum çalma işleminde yöntem, sıra numarası tahmini ve IP aldatması işleminin birlikte kullanılmasıdır. Saldırganın yetkili konumundaki uçbirim ile erişmek istediği sistem arasındaki trafiği dinleyebilmesi veya ortadaki adam saldırısı yapabilmesi durumlarında oturum çalma işlemi çok daha kolay hale gelebilir. A Bilgisayarı IP : B Bilgisayarı IP: C Bilgisayarı IP: ACK(Y+1) DATA SYN(X) DATA SYN(Y) ACK(X+1)

11 2.4. ARP ve DHCP Atakları: Saldırgan ağa sanki DHCP sunucusundan geliyormuş gibi paketler aktarabilir. Bu paketlerin içerisine de istediği ek parametreleri yerleştirebilir. Böylece saldırgan ağdaki uçbirimlerin trafiğini kendinin erişebileceği cihazlar üzerinden geçirip ağdaki trafiği izleyebilir. Adres çözümleme protokolü(ARP) saldırı açısından incelendiğinde ise bu protokol, saldırganın ağda kendi MAC adresi bilgisi yanında kendi IP adresi yerine hedef cihazın IP adresi bilgisini içeren ARP mesajları yayınlanması(broadcast) ve dolayısıyla hedef cihaza ulaşması gereken bilgileri kendisine gönderilmesini sağlaması şeklinde kullanılmaya açıktır.

12 2.5. Güçlendirilmiş Yayın Atağı (Broadcast Amplification): İnternet dünyasında “smurf” adıyla anılan saldırı çeşididir. Bir çeşit hizmet durdurma saldırısıdır. Bu saldırıda saldırgan, bir ağda broadcast adresine echo-istek mesajı gönderir, fakat kaynak adresi olarak saldırının hedefi konumundaki cihazın IP adresini kullanır. Böylece echo-istek (echo-request) broadcast mesajını alan tüm uçbirimler buna karşılık olarak yolladıkları echo-yanıt (echo-reply) mesajını saldırının hedefindeki cihaza yollarlar. Böylece saldırgan, hedef cihazda bir anda büyük bir trafik yaratıp hizmet dışı kalmasını sağlayabilir. IP: KAYNAK: HEDEF: ECHO REQUEST KAYNAK: HEDEF: ECHO REQUEST KAYNAK: HEDEF: ECHO REQUEST KAYNAK: HEDEF: ECHO REQUEST ECHO REPLY

13 2.6. Paket Gözleme(Sniffing): Paket gözleme genel anlamda ağdaki gidip gelen veri paketlerinin içeriğinin izlenmesidir. Saldırgan, bu şekilde ağ üzerinde aktarılan önemli bilgilere erişmeye çalışabilir. Bunlar sisteme erişim şifreleri ve kullanıcıların kredi kartı bilgileri gibi kişinin özel bilgileri olabileceği gibi diğer saldırılara temel olacak bazı veriler olabilir (ör. TCP paketi sıra numarası) A B C DATA

14 2.7. Uygulama Katmanı Saldırıları: Bu tanımlama OSI referans modelinin 7. katmanı olan uygulama katmanında gerçekleştirilen her türlü saldırıyı kapsamaktadır.(ör. Virüs, worm, sql injection…) Virüs ve solucan(worm) günümüzde İnternetin en büyük sorunlarındandır. Gün geçtikçe İnternette yayılan virüs ve solucan oranı artmaktadır yılındaki bir rapora göre Sapphire/Slammer solucanı o tarihe kadar yayılan en hızlı solucan olarak tanınmaktadır. Etkin olduğunda her 8.5 saniyede bir yayılma oranı iki katına çıkmıştır ve 10 dakika içerisinde saldırdığı açığına sahip sistemlerin %90’ına bulaşmış olduğu tahmin edilmektedir civarı uç sistemin bu solucandan direkt olarak etkilendiği düşünülmektedir.[3] 2003 yılındaki bir rapora göre Sapphire/Slammer solucanı o tarihe kadar yayılan en hızlı solucan olarak tanınmaktadır. Etkin olduğunda her 8.5 saniyede bir yayılma oranı iki katına çıkmıştır ve 10 dakika içerisinde saldırdığı açığına sahip sistemlerin %90’ına bulaşmış olduğu tahmin edilmektedir civarı uç sistemin bu solucandan direkt olarak etkilendiği düşünülmektedir.[3]

15 2.8. Ortadaki Adam Saldırısı(Man-in-the-Middle): Bir çeşit aldatma saldırısı olan bu yöntemde saldırgan, bulunduğu ağdaki hedef cihaz ile bu cihazın iletişimde bulunduğu başka bir cihaz arasındaki trafiği kendi üzerinden geçirmek için, gönderici IP adresi olarak bu uçbirimlerin adresleri fakat MAC adresi olarak kendi adresi içeren sahte ARP cevap mesajları yollar. Uçbirimler gelen bu ARP paketi sonucunda ARP geçici belleklerini güncellerler. Böylece bir uçbirim diğerine bir paket yolladığında bu paket aradaki saldırgana, oradan da hedef uçbirime iletilir. HOST A IP: MAC: AA:BB:CC:DD:EE:FF HOST C IP: MAC: 11:22:33:44:55:66 HOST B IP: MAC: A1:B1:C1:D1:E1:F1 DATA ARP BROADCAST IP: MAC: 11:22:33:44:55:66 ARP BROADCAST IP: MAC: 11:22:33:44:55:66 DATA

16 2.9. Paket Seli(Flooding): Bu saldırı yönteminde saldırgan, hedefe doğru çok sayıda paket gönderir. Amacı verilen bir hizmeti sekteye uğratmak, mümkünse durdurmaktır. Yerel veya dağıtık servis engelleme saldırılarında(DoS) hedefin band genişliğini veya sistem kaynaklarını dolduracak kadar çok sayıda paket yollanır. TCP SYN TCP SYN TCP SYN TCP SYN TCP SYN

17 3. IPv6 Paket Yapısı Göz Önüne Alındığında Bu Saldırıların Geleceği Nasıldır?

18 IPv6’nın uygulanmaya geçişiyle birlikte yukarıda bahsedilen tehditler açısından beklentiler şu şekilde olmaktadır:[1] 3.1. Keşif Atakları Adres çokluğundan dolayı port tarama işlemi zorlaşacaktır. IPv4’de varsayılan alt ağ büyüklüğü 2 8 iken IPv6’da varsayılan alt ağ büyüklüğü 2 64 olmaktadır. Adres çokluğundan dolayı port tarama işlemi zorlaşacaktır. IPv4’de varsayılan alt ağ büyüklüğü 2 8 iken IPv6’da varsayılan alt ağ büyüklüğü 2 64 olmaktadır. TCP katmanında değişiklik olmadığından dolayı port tarama işleminde bir değişiklik olmayacaktır. TCP katmanında değişiklik olmadığından dolayı port tarama işleminde bir değişiklik olmayacaktır. Uygulama ve uygulama açıkları taraması ile ilgili bir değişiklik beklenmemektedir. Çünkü bunlar üst katman protokollerini ilgilendirmektedirler. Uygulama ve uygulama açıkları taraması ile ilgili bir değişiklik beklenmemektedir. Çünkü bunlar üst katman protokollerini ilgilendirmektedirler. IPv6 protokolünde multicast iletişim daha yaygın olacak ve bu iletişim türünü ağ içerisinde kullanan bazı önemli düğümlerin (yönlendirici ve NTP gibi) bulunması daha kolay olacaktır (ör. yönlendirici keşif işlemi). IPv6 protokolünde multicast iletişim daha yaygın olacak ve bu iletişim türünü ağ içerisinde kullanan bazı önemli düğümlerin (yönlendirici ve NTP gibi) bulunması daha kolay olacaktır (ör. yönlendirici keşif işlemi).

19 3.2. Başlıkta Oynama ve Parçalama İşlemi Sözce (string) imza denetimi konusunda IPv6’nın ek bir getirisi söz konusu olmamaktadır. Dolayısıyla bu tehditlere yönelik ağ yöneticilerinin kendi önlemlerini almamaları durumunda bu tehdit gelecekte de var olacaktır. Sözce (string) imza denetimi konusunda IPv6’nın ek bir getirisi söz konusu olmamaktadır. Dolayısıyla bu tehditlere yönelik ağ yöneticilerinin kendi önlemlerini almamaları durumunda bu tehdit gelecekte de var olacaktır. RFC2460’da tanımlanan minimum MTU değeri 1280 oktet’dir. Bu noktada ağ yöneticilerinin minimum MTU değerinden düşük olan paketleri ağ cihazları üzerinden engellemesi tavsiye edilmektedir. RFC2460’da tanımlanan minimum MTU değeri 1280 oktet’dir. Bu noktada ağ yöneticilerinin minimum MTU değerinden düşük olan paketleri ağ cihazları üzerinden engellemesi tavsiye edilmektedir.

20 3.3. Aldatma Saldırıları 4’üncü katmanda yapılan aldatma saldırısı ile oturum çalma işleminde bir değişiklik söz konusu olmamaktadır. Fakat IPSec desteğinin aktif bir şekilde yeni nesil protokolde kullanılması durumunda optimum bir güvenlik seviyesinin sağlanması söz konusudur. 4’üncü katmanda yapılan aldatma saldırısı ile oturum çalma işleminde bir değişiklik söz konusu olmamaktadır. Fakat IPSec desteğinin aktif bir şekilde yeni nesil protokolde kullanılması durumunda optimum bir güvenlik seviyesinin sağlanması söz konusudur. Sahte IP adresli paket iletiminin engellenmesine yönelik RFC-2827’de çözüm önerisi sunulmuştur. Bu yönteme göre ISP’lerin hizmet sundukları alt ağlar içerisinden gelen paketlerde IP adresi ve altağ maskesi kullanarak ağ kimliğini denetlemesi gerekmektedir[4]. Sahte IP adresli paket iletiminin engellenmesine yönelik RFC-2827’de çözüm önerisi sunulmuştur. Bu yönteme göre ISP’lerin hizmet sundukları alt ağlar içerisinden gelen paketlerde IP adresi ve altağ maskesi kullanarak ağ kimliğini denetlemesi gerekmektedir[4].

21 3.4. ARP ve DHCP Atakları IPv6’nın kendi doğasında DHCP veya ARP’yi güvenli kılacak bir özellik yoktur. Birçok durumda bağlantısız otomatik konfigürasyon özelliği ile DHCP’ye benzer bir hizmet sağlanabilmektedir.. Maalesef bağlantısız oto konfigürasyon mesajları taklit edilebilir. IPv6’nın kendi doğasında DHCP veya ARP’yi güvenli kılacak bir özellik yoktur. Birçok durumda bağlantısız otomatik konfigürasyon özelliği ile DHCP’ye benzer bir hizmet sağlanabilmektedir.. Maalesef bağlantısız oto konfigürasyon mesajları taklit edilebilir. IPv6 da ARP’nin yerine yeni bir çözüm olan komşu keşfetme işlemi getirilmiştir. Bu güvenlik açısından ARP ile aynı seviyededir. Komşu-duyuru ve keşfetme mesajları taklit edilebilir ve komşu keşfetme protokolünce kullanılan geçici bellekte olan bilginin üstüne yazılabilir. Buna örnek olarak taklit edilmiş bir yönlendirici keşfetme paketi içerisine sahte yönlendirici bilgisi yerleştirilebilir ve böylece uçbirimlerin trafiğinin bu sahte yönlendirici üzerinden akması sağlanabilir. IPv6 da ARP’nin yerine yeni bir çözüm olan komşu keşfetme işlemi getirilmiştir. Bu güvenlik açısından ARP ile aynı seviyededir. Komşu-duyuru ve keşfetme mesajları taklit edilebilir ve komşu keşfetme protokolünce kullanılan geçici bellekte olan bilginin üstüne yazılabilir. Buna örnek olarak taklit edilmiş bir yönlendirici keşfetme paketi içerisine sahte yönlendirici bilgisi yerleştirilebilir ve böylece uçbirimlerin trafiğinin bu sahte yönlendirici üzerinden akması sağlanabilir. DHCPv6 ile ilgili güvenlik çalışmaları sürmektedir. DHCPv6 ile ilgili güvenlik çalışmaları sürmektedir.

22 3.5. Yayınla Saldırıya Maruz Bırakma (Smurf) IPv6’da yayın türü trafik kaldırılmıştır ve saldırı riskini azaltmak için yeni bazı teknikler geliştirilmiştir. Bunlardan biri hedef adresleri multicast, link-layer multicast ve link- layer broadcast olan ICMPv6 mesajlarına cevap paketlerinin üretilmemesidir[5]. IPv6’da yayın türü trafik kaldırılmıştır ve saldırı riskini azaltmak için yeni bazı teknikler geliştirilmiştir. Bunlardan biri hedef adresleri multicast, link-layer multicast ve link- layer broadcast olan ICMPv6 mesajlarına cevap paketlerinin üretilmemesidir[5].

23 3.6. Paket Gözleme Trafiğin dinlenilmesi saldırısına karşılık IPv6 protokolünün kendi içerisinde IPSec desteklemesi bir çözüm olarak gözükmektedir. Fakat IPSec ve güvenlik birliğinin kurulmasında kullanılan IKE ve ISAKMP protokolleri ayrı protokollerdir ve bunlar için geçerli güvenlik sorunları devam ettikçe IPv6’da da paket gözleme türü saldırıların gerçekleştirilebilmesi mümkün olacaktır. Trafiğin dinlenilmesi saldırısına karşılık IPv6 protokolünün kendi içerisinde IPSec desteklemesi bir çözüm olarak gözükmektedir. Fakat IPSec ve güvenlik birliğinin kurulmasında kullanılan IKE ve ISAKMP protokolleri ayrı protokollerdir ve bunlar için geçerli güvenlik sorunları devam ettikçe IPv6’da da paket gözleme türü saldırıların gerçekleştirilebilmesi mümkün olacaktır.

24 3.7. Uygulama Katmanı Saldırıları Bu saldırılar İnternet Protokolü’nün uygulandığı ağ katmanına yönelik olmadığı için bu saldırıların aynen geçerli olması beklenmektedir. IPv6’nın kendi içerisinde IPSec desteklemesi aradaki iletişimin şifrelenmesine yönelik destek verecektir. Ancak bu, saldırıların kesilmesini sağlamaz. Bu tarz saldırılar şifrelenmiş kanallardan geçerek hedeflerine ulaşıp aynı zararı verebilirler. Fakat bunun getirisi olarak saldırının kaynağının keşfine yönelik geri izleme işlemi daha kolaylaşacaktır. Yeni nesil protokolün de IPSec desteklemesi ile birlikte uç cihazlarda bu protokol uygulanırsa güvenlik gereksinimleri biraz daha azalacaktır. Bu saldırılar İnternet Protokolü’nün uygulandığı ağ katmanına yönelik olmadığı için bu saldırıların aynen geçerli olması beklenmektedir. IPv6’nın kendi içerisinde IPSec desteklemesi aradaki iletişimin şifrelenmesine yönelik destek verecektir. Ancak bu, saldırıların kesilmesini sağlamaz. Bu tarz saldırılar şifrelenmiş kanallardan geçerek hedeflerine ulaşıp aynı zararı verebilirler. Fakat bunun getirisi olarak saldırının kaynağının keşfine yönelik geri izleme işlemi daha kolaylaşacaktır. Yeni nesil protokolün de IPSec desteklemesi ile birlikte uç cihazlarda bu protokol uygulanırsa güvenlik gereksinimleri biraz daha azalacaktır.

25 3.8. Ortadaki Adam Saldırısı IPv6’nın bu saldırıya karşı etkinliği tamamen IPSec protokol kümesinin, özellikle de IKE protokolünün zaafları oranında olabilmektedir. Bu saldırıya karşı etkinliği IPSec protokol kümesi sağlamaktadır fakat bu protokolün de çeşitli zaafları mevcuttur. IPv6’nın bu saldırıya karşı etkinliği tamamen IPSec protokol kümesinin, özellikle de IKE protokolünün zaafları oranında olabilmektedir. Bu saldırıya karşı etkinliği IPSec protokol kümesi sağlamaktadır fakat bu protokolün de çeşitli zaafları mevcuttur.

26 3.9. Paket Seli Saldırısı Temel ilke olarak bu atak IPv6’da da değişmemektedir. Yerel veya dağıtık DoS saldırıları yine kaynakları tüketme yolunda en basit saldırılardan biri olma özelliğini korumaktadırlar. Bu konuda saldırı tespiti ve geri izleme teknikleri IPv4’de olduğu gibi IPv6’da da uygulanabilmektedir. Temel ilke olarak bu atak IPv6’da da değişmemektedir. Yerel veya dağıtık DoS saldırıları yine kaynakları tüketme yolunda en basit saldırılardan biri olma özelliğini korumaktadırlar. Bu konuda saldırı tespiti ve geri izleme teknikleri IPv4’de olduğu gibi IPv6’da da uygulanabilmektedir.

27 4. IPv6 Üzerinde Yapılan Bazı Çalışmalar WADDINGTON, D. G. ve CHANG, F. isimli araştırmacılar yaptıkları çalışmada IPv4’den IPv6’ya geçiş sürecini ve bu iki protokolün geçiş süresince birlikte kullanılması üzerine çalışma yapmışlardır [6]. SAMAD M., YUSUF F., HASHIM H., ve Md ZAN Md M. isimli araştırmacılarda iki protokolün birlikte kullanıldığı ve çift yığınlı sistemli çözümlerle yapılacak geçiş yöntemlerini incelemiş ve çalışmalarında yaptıkları uygulamaları sunmuşlardır [7]. WADDINGTON, D. G. ve CHANG, F. isimli araştırmacılar yaptıkları çalışmada IPv4’den IPv6’ya geçiş sürecini ve bu iki protokolün geçiş süresince birlikte kullanılması üzerine çalışma yapmışlardır [6]. SAMAD M., YUSUF F., HASHIM H., ve Md ZAN Md M. isimli araştırmacılarda iki protokolün birlikte kullanıldığı ve çift yığınlı sistemli çözümlerle yapılacak geçiş yöntemlerini incelemiş ve çalışmalarında yaptıkları uygulamaları sunmuşlardır [7].

28 4. IPv6 Üzerinde Yapılan Bazı Çalışmalar (devam) COCQUET, P. İsimli araştırmacı 9 Eylül 2004’de (IEEE Yayınları Sayı:92 No:9’da) yayınlanan “DSL’de IPv6: Daima Hazır Servisler Ortaya Çıkarmanın En İyi Yolu” adlı makalesinde geniş band iletişiminin Telekom kurumları, servis sağlayıcıları ve ekonomide rolü açısından önemine vurgulanmış ve IPv6’nın bu iletişim ortamında kullanılabilirliği üzerinde çalışmaların yapıldığı vurgulanmış. Yazar, yeni nesil protokolün yalın halde kullanımının beklenmesine gerek kalmadan, geçiş sürecinde bile, operatörler ve servis sağlayıcılar tarafından daha zengin servislerinin sağlanabileceğini ve bunun getirisi olarak yeni iş modellerinin ortaya çıkacağı öngörüsünde bulunmuştur. Çalışmasında DSL servisleri üzerinde IPv6’nın kullanılmasına yönelik mimarileri incelemiş, geliştirilen bu mimariler sayesinde geçiş sürecinin yumuşak bir şekilde gerçekleştirilebileceğini ortaya koymuştur. Servis sağlayıcıların iletişim omurgalarında NAT-PT gibi teknolojileri kullanmasıyla sadece IPv6 kullanan terminallerin İnternet’teki sadece IPv4 kullanan kaynaklara erişebileceği vurgulanmıştır. [8] COCQUET, P. İsimli araştırmacı 9 Eylül 2004’de (IEEE Yayınları Sayı:92 No:9’da) yayınlanan “DSL’de IPv6: Daima Hazır Servisler Ortaya Çıkarmanın En İyi Yolu” adlı makalesinde geniş band iletişiminin Telekom kurumları, servis sağlayıcıları ve ekonomide rolü açısından önemine vurgulanmış ve IPv6’nın bu iletişim ortamında kullanılabilirliği üzerinde çalışmaların yapıldığı vurgulanmış. Yazar, yeni nesil protokolün yalın halde kullanımının beklenmesine gerek kalmadan, geçiş sürecinde bile, operatörler ve servis sağlayıcılar tarafından daha zengin servislerinin sağlanabileceğini ve bunun getirisi olarak yeni iş modellerinin ortaya çıkacağı öngörüsünde bulunmuştur. Çalışmasında DSL servisleri üzerinde IPv6’nın kullanılmasına yönelik mimarileri incelemiş, geliştirilen bu mimariler sayesinde geçiş sürecinin yumuşak bir şekilde gerçekleştirilebileceğini ortaya koymuştur. Servis sağlayıcıların iletişim omurgalarında NAT-PT gibi teknolojileri kullanmasıyla sadece IPv6 kullanan terminallerin İnternet’teki sadece IPv4 kullanan kaynaklara erişebileceği vurgulanmıştır. [8]

29 4. IPv6 Üzerinde Yapılan Bazı Çalışmalar (devam) IPv6’nın kullanılmasına yönelik geliştirme çalışmalarında hiç şüphesiz ki uç sistemlerde kullanılan işletim sistemlerinin uyumluluğu ve performansı da çok önemli bir kriter teşkil etmektedir. Günümüzde yaygın olarak kullanılan gelişmiş tüm işletim sistemleri IPv6’ya bünyesinde destek vermektedir. Peki, bu işletim sistemlerinin bu konudaki başarıları ne durumdadır? ZEADALLY,S., WASSEEM,R ve RAICU, I. isimli araştırmacılar Haziran 2004’de yayınlanan çalışmalarında 3 popüler işletim sistemi olan Windows 2000, Red Hat Linux 7.3 ve Solaris 8 işletim sistemlerini, kullandıkları IPv6 protokol yığınlarındaki performansları açısından değerlendirmiş ve karşılaştırmışlardır. Bu çalışmanın sonucuna göre TCP/IPv4 ve TCP/IPv6 soket oluşturma sürelerine göre Linux işletim sistemi Windows 2000 işletim sistemine kıyasla 16 ve 19 kat, Solaris 8 işletim sistemine kıyasla 4 kat daha fazla performans sağlamaktadır. Yine aynı çalışmada yapılan Web simülasyonu sonucunda Linux ve Solaris 8 işletim sistemleri IPv6’da Windows 2000 işletim sistemine oranla 4 katlık bir performans artışı gösterdiği saptanmış. [9] IPv6’nın kullanılmasına yönelik geliştirme çalışmalarında hiç şüphesiz ki uç sistemlerde kullanılan işletim sistemlerinin uyumluluğu ve performansı da çok önemli bir kriter teşkil etmektedir. Günümüzde yaygın olarak kullanılan gelişmiş tüm işletim sistemleri IPv6’ya bünyesinde destek vermektedir. Peki, bu işletim sistemlerinin bu konudaki başarıları ne durumdadır? ZEADALLY,S., WASSEEM,R ve RAICU, I. isimli araştırmacılar Haziran 2004’de yayınlanan çalışmalarında 3 popüler işletim sistemi olan Windows 2000, Red Hat Linux 7.3 ve Solaris 8 işletim sistemlerini, kullandıkları IPv6 protokol yığınlarındaki performansları açısından değerlendirmiş ve karşılaştırmışlardır. Bu çalışmanın sonucuna göre TCP/IPv4 ve TCP/IPv6 soket oluşturma sürelerine göre Linux işletim sistemi Windows 2000 işletim sistemine kıyasla 16 ve 19 kat, Solaris 8 işletim sistemine kıyasla 4 kat daha fazla performans sağlamaktadır. Yine aynı çalışmada yapılan Web simülasyonu sonucunda Linux ve Solaris 8 işletim sistemleri IPv6’da Windows 2000 işletim sistemine oranla 4 katlık bir performans artışı gösterdiği saptanmış. [9]

30 4. IPv6 Üzerinde Yapılan Bazı Çalışmalar (devam) Avrupa Birliği’nin IPv6 üzerindeki araştırma geliştirme çalışmalarına yönelik gerçek anlamda en önemli adımın GÉANT (Gigabit Pan-Europan Research and Education Network) projesi olduğu belirtilmektedir. Bu ağ 2003’ün başlarında çift protokolü (dualstack) destekleyen 10Gbps altyapıya kavuşmuştur yılında ulusal çapta 18 araştırma ve geliştirme ağı GÉANT omurgasına bağlıydı. Günümüzde ise 30 ulusal ve bölgesel araştırma ve eğitim ağı bu omurgaya bağlıdır [10]. GÉANT projesi 4 yıllık bir projedir ve 14–15 Haziran 2005 tarihinden itibaren GÉANT2 adı altında çalışmalara devam edilmektedir[11]. Avrupa Birliği’nin IPv6 üzerindeki araştırma geliştirme çalışmalarına yönelik gerçek anlamda en önemli adımın GÉANT (Gigabit Pan-Europan Research and Education Network) projesi olduğu belirtilmektedir. Bu ağ 2003’ün başlarında çift protokolü (dualstack) destekleyen 10Gbps altyapıya kavuşmuştur yılında ulusal çapta 18 araştırma ve geliştirme ağı GÉANT omurgasına bağlıydı. Günümüzde ise 30 ulusal ve bölgesel araştırma ve eğitim ağı bu omurgaya bağlıdır [10]. GÉANT projesi 4 yıllık bir projedir ve 14–15 Haziran 2005 tarihinden itibaren GÉANT2 adı altında çalışmalara devam edilmektedir[11].

31 4. IPv6 Üzerinde Yapılan Bazı Çalışmalar (devam) Türkiye GÉANT2 konsorsiyumu içerisinde yer almakta ve bu araştırma ağı omurgasına 622Mbps kapasiteli bir hat ile bağlanmaktadır. Bu çıkışı Türkiye’de TÜBİTAK çatısı altında ULAKBİM sağlamaktadır. Bu bağlantı kapasitesinin 2006–2007 yıllarında 2.5Gbps’e çıkarılması hedeflenmektedir.[12] Türkiye GÉANT2 konsorsiyumu içerisinde yer almakta ve bu araştırma ağı omurgasına 622Mbps kapasiteli bir hat ile bağlanmaktadır. Bu çıkışı Türkiye’de TÜBİTAK çatısı altında ULAKBİM sağlamaktadır. Bu bağlantı kapasitesinin 2006–2007 yıllarında 2.5Gbps’e çıkarılması hedeflenmektedir.[12]

32 5. SONUÇLAR Görülmektedir ki, IPv6’nın uygulamaya geçirilmesiyle birlikte güvenlik sorunu ortadan tam olarak kalkmış olmayacaktır. Görülmektedir ki, IPv6’nın uygulamaya geçirilmesiyle birlikte güvenlik sorunu ortadan tam olarak kalkmış olmayacaktır. IPv6’da tek başına kullanıldığında IPv4’e göre ek hiçbir güvenlik sunmazken, IPSec ile bütünleşik olarak kullanıldığında daha güvenli bir İnternet ortamının oluşacağı görülmektedir. Fakat bu yapının güvenilirliği IPSec protokolünün güvenilirliğine bağlıdır. Nitekim günümüzde IPSec protokolü içerisinde bazı güvenlik sorunlarının olduğu bilinmektedir. IPv6’da tek başına kullanıldığında IPv4’e göre ek hiçbir güvenlik sunmazken, IPSec ile bütünleşik olarak kullanıldığında daha güvenli bir İnternet ortamının oluşacağı görülmektedir. Fakat bu yapının güvenilirliği IPSec protokolünün güvenilirliğine bağlıdır. Nitekim günümüzde IPSec protokolü içerisinde bazı güvenlik sorunlarının olduğu bilinmektedir. Bütün bunların dışında tabii ki yeni tanımlanan paketler ve yeni protokol ile birlikte yeni saldırı türlerinin de ortaya çıkacaktır. Bunlara yönelik ipuçları ek-başlıkların ve IPv6’da tanımlanmış yeni işlemlerin incelenmesiyle görülebilir; bu konuda çalışmalarımız sürmektedir. Bütün bunların dışında tabii ki yeni tanımlanan paketler ve yeni protokol ile birlikte yeni saldırı türlerinin de ortaya çıkacaktır. Bunlara yönelik ipuçları ek-başlıkların ve IPv6’da tanımlanmış yeni işlemlerin incelenmesiyle görülebilir; bu konuda çalışmalarımız sürmektedir.

33 KAYNAKLAR [1] CONVERY, S. ve MILLER, D., “IPv6 and IPv4 Threat Comparison and Best Practice Evaluation (v1.0)”, 11 March [1] CONVERY, S. ve MILLER, D., “IPv6 and IPv4 Threat Comparison and Best Practice Evaluation (v1.0)”, 11 March [4] FERGUSON, P. ve SENIE, D., “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, RFC 2827, May [4] FERGUSON, P. ve SENIE, D., “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, RFC 2827, May [5] CONTA, A. ve DEERING, S., “Internet Control Message Protocol (ICMPv6)for the Internet Protocol Version 6 (IPv6)Specification”, RFC 2463, December [6] WADDINGTON, D.G. ve CHANG, F., “Realizing the Transition to IPv6”, IEEE Communications Magazine. June 2002, s [7] SAMAD, M., YUSUF, F., HASHIM, H. ve Md ZAN, Md MAHFUDZ., “Deploying Internet Protocol Version 6 (IPv6) Over Internet Protocol Version 4 (IPv4)”, Student Conference on Research and Development Proceedings 2002, IEEE [8] COCQUET, P., “IPv6 on DSL: The Best Way to Develop Always-On Services”, PROCEEDINGS OF THE IEEE, VOL. 92, NO. 9, SEPTEMBER 2004, s [9] ZEADALLY, S., WASSEEM, R. ve RAICU, I., “Comparison of End-System IPv6 Protocol Stacks”, IEE Proc.-Commun., Vol. 151, No. 3, June 2004, s İNTERNET KAYNAKLARI [2] Carnegie Mellon University, “CERT® Advisory CA Smurf IP Denial-of-Service Attacks”, 13 March 2000, (Erişim: 9 Aralık 2005) [3] University of California, The Cooperative Association for Internet Data Analysis(CAIDA), “The Spread of the Sapphire/Slammer Worm”, (Erişim: 9 Aralık 2005) [10] GÉANT Project Homepage, “The GÉANT Network”, (Erişim: 22 Aralık 2005). [11] GÉANT2 Project Homepage, “ The GÉANT2 Network”, (Erişim: 22 Aralık 2005). [12] TÜBİTAK,ULAKBİM, “ULAKBİM Projeleri”, (Erişim: 22 Aralık 2005)

34 Teşekkürler…


"YENİ NESİL İNTERNET PROTOKOLÜ’NE (IPv6) GEÇİŞLE BİRLİKTE İNTERNET SALDIRILARININ GELECEĞİNE YÖNELİK BEKLENTİLER ALİ EFE Beykent Üniversitesi/Fen Bilimleri." indir ppt

Benzer bir sunumlar


Google Reklamları