Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Ipv6'da Güvenlik Hüseyin Gömleksizoğlu 04104101.

Benzer bir sunumlar


... konulu sunumlar: "Ipv6'da Güvenlik Hüseyin Gömleksizoğlu 04104101."— Sunum transkripti:

1 Ipv6'da Güvenlik Hüseyin Gömleksizoğlu

2 Özet ● IPv6 Genel Yapısı ● IPv6 Güvenlik ● IPv6'da Saldırılar – Router Advertisements – CAM ● Geliştirilen Konular

3 Ipv6'ya Genel Bakış ● 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri ● Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi) ● Başlık yapısı basitleştirildi. ● Geliştirme ve eklenti desteği arttırıldı. ● Akış kontrol mekanizması geliştirildi.(20 bit) ● Daha güvenli (AH ve ESP eklentikeri) ● Daha iyi Servis Kalitesi Yönetimi (QOS) ● Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)

4 IPv6 Adres Yapısı ● FE80:0000:0000:0000:0202:B3FF:FE1E:8329 ● FE80:0:0:0:0202:B3FF:FE1E:8329 ● FE80::0202:B3FF:FE1E:8329 ● ::F455:8329 / ::1 ● x:x:x:: / :: / ::C0A8:2 ● Link-Local Adres – Aynı bağlantı üzerinde, yönlendirilmez – FE80:: ● Site-Local Adres – Subnet var ve site içinde yönlendirilirler – FEC0:: ● Aggregatable Global Unicast Adres – TopLevel(13), NextLevel(24), SiteLevel(16)

5 Unicast, Multicast, Anycast ● Unicast; IPv6 cihazların sahip olduğu tekil adresler ● Multicast; IPv6 grupları, bu adrese gönderilen bilgiler grubun tüm elemanlarına gider – FF01::1 – Tüm cihazlar – FF01::2 – Tüm yönlendiriciler – FF05::1:3 – Tüm DHCP sunucuları ● Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.

6 ICMPv6 ● Olmak zorundadır. ● Neighbor Discovery – Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır. – Yakındaki yönlendiricileri bulur – IP adreslerinin yeniden yapılandırılmasını kolaylaştırır. (Router Advertisements) – Hop-Limit göz önüne alınıyor – IP adresi çakışmalarını bulmaya yarıyor

7 Router Advertisement ● Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler ● Router Solicitation mesajları ile tetiklenebilir. ● IP adrelerindeki bölgesel bilgileri gönderir ● Bağlantı ile ilgili ayarları gönderir – Current Hop Limit – MTU ● Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.

8 Otomatik IP ataması ● Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak) ● Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir. ● Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır. ● Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir. ● Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.

9 IPv6 Güvenliği

10 Güvenlik Tehlikeleri ● Bloke etme ● Dinleme ● Değiştirme ● Üretme

11 Mevcut Çözümler ● IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır. ● Paket Filtreleme ve Firewall'lar ● Transport Layer Güvenliği – SSL ● Uygulama Güvenliği

12 Mevcut Güvenlik Eksiklikleri ● Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor. ● Genel bir Public Key yönetimi mevcut değil. ● Hangi güvenlik önleminin hangi seviyede alınması gerektiği halen belirsiz ● Çok cihazlı ortamlarda ortak bir güvenlik platformu oluşturmak çok zor. ● Buglar

13 IPv6 Güvenlik Beklentileri ● Bir paket geldiğinde IP adresinin doğru olduğundan ● Peketin yolda değiştirilmediğinden ● Paketin yolda okunamadığından emin olunmalıdır.

14 IPv6 Güvenlik Mekanizmaları ● Güvenlik 2 Mekanizma ile sağlanıyor. – Authentication Header (AH) (veri doğrulama,veri bütünlüğü) – Encapsulated Security Payload (ESP) (veri şifreleme) ● AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.

15 Security Associations (SA) ● PKI için ortak bir anahtar,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması. ● Her protokol kendi Security Assocation’una sahip ● Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma) ● Securtiy Paramater Index alıcı (receiver) tarafından seçilir. ● SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.

16 Authentication Header (AH) ● Veri doğrulama ve Veri bütünlüğü sağlıyor. ● Algoritma bağımsız (keyed md5 önerilyor) ● Paket doğrulaması için checksum hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.

17 Encapsulated Security Payload ● Gizlilik ve şifreleme sağlıyor ● 2 Modu var – Tünel modu ● Tüm datagram şifreleniyor – Transport modu ● Sadece payload (TCP, UDP, ICMP) ● DES ve CBS dışında algoritma bağımsız

18 IPv6 ile Gelen Güvenlik Tehditleri ● IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor ● NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek. ● Geliştirme başlıkları saldırı için kullanılabilir. ● Otomatik IP ayarlama mekanizmasının ayarlarından yararlanarak saldırılar yapılabilir.

19 Bilgi Toplama ● Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması ● IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli. ● Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı

20 Adres Kullanımı ● IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor. ● IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir. ● Firewall'lar ile MAC adres kontrolü yapılabilir. ● Cihazın Açık Anahtarı kullanılarak IP üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.

21 SALDIRI: Sahte Yönlendirici Advertisement Mesajları ● Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün ● Adv. mesajları alındığında cihazlar ayarlarını değiştirir. ● Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır. ● MTU(maximum transfer unit) ● Current Hop Limit ● Evil Proxy ● Çözüm: Şifreleme veya DHCPv6

22 SALDIRI: CAM Overflow ● IEEE 802.1d Learing Bridge ● Hangi portta hangi MAC adresi olduğunu öğrenir ● Switch'e çok sayıda sahte MAC adresi bilgisi gönderilir ve CAM tablosu doldurulur ● Bu durumda switch işleme devam etmek için CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar ● Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır. ● Çözüm: Port başına MAC adres sayısı sınırlanabilir.

23 Geliştirilen Konular ● DNSSec ● Multihoming – Farklı servis sağlıyıcılarda çalışan servisler

24 Teşekkürler Sorular Hüseyin Gömleksizoğlu


"Ipv6'da Güvenlik Hüseyin Gömleksizoğlu 04104101." indir ppt

Benzer bir sunumlar


Google Reklamları