Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Hüseyin Gömleksizoğlu

YayınlayanDilmen Basak Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Hüseyin Gömleksizoğlu"— Sunum transkripti:

1 Hüseyin Gömleksizoğlu
Ipv6'da Güvenlik Hüseyin Gömleksizoğlu

2 Özet IPv6 Genel Yapısı IPv6 Güvenlik IPv6'da Saldırılar
Router Advertisements CAM Geliştirilen Konular

3 Ipv6'ya Genel Bakış 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi) Başlık yapısı basitleştirildi. Geliştirme ve eklenti desteği arttırıldı. Akış kontrol mekanizması geliştirildi.(20 bit) Daha güvenli (AH ve ESP eklentikeri) Daha iyi Servis Kalitesi Yönetimi (QOS) Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)

4 IPv6 Adres Yapısı FE80:0000:0000:0000:0202:B3FF:FE1E:8329
x:x:x:: / :: / ::C0A8:2 Link-Local Adres Aynı bağlantı üzerinde, yönlendirilmez FE80:: Site-Local Adres Subnet var ve site içinde yönlendirilirler FEC0:: Aggregatable Global Unicast Adres TopLevel(13), NextLevel(24), SiteLevel(16)

5 Unicast, Multicast, Anycast
Unicast; IPv6 cihazların sahip olduğu tekil adresler Multicast; IPv6 grupları, bu adrese gönderilen bilgiler grubun tüm elemanlarına gider FF01::1 – Tüm cihazlar FF01::2 – Tüm yönlendiriciler FF05::1:3 – Tüm DHCP sunucuları Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.

6 ICMPv6 Olmak zorundadır. Neighbor Discovery
Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır. Yakındaki yönlendiricileri bulur IP adreslerinin yeniden yapılandırılmasını kolaylaştırır. (Router Advertisements) Hop-Limit göz önüne alınıyor IP adresi çakışmalarını bulmaya yarıyor

7 Router Advertisement Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler Router Solicitation mesajları ile tetiklenebilir. IP adrelerindeki bölgesel bilgileri gönderir Bağlantı ile ilgili ayarları gönderir Current Hop Limit MTU Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.

8 Otomatik IP ataması Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak) Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir. Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır. Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir. Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.

9 IPv6 Güvenliği

10 Güvenlik Tehlikeleri Bloke etme Dinleme Değiştirme Üretme

11 Mevcut Çözümler IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır. Paket Filtreleme ve Firewall'lar Transport Layer Güvenliği SSL Uygulama Güvenliği

12 Mevcut Güvenlik Eksiklikleri
Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor. Genel bir Public Key yönetimi mevcut değil. Hangi güvenlik önleminin hangi seviyede alınması gerektiği halen belirsiz Çok cihazlı ortamlarda ortak bir güvenlik platformu oluşturmak çok zor. Buglar

13 IPv6 Güvenlik Beklentileri
Bir paket geldiğinde IP adresinin doğru olduğundan Peketin yolda değiştirilmediğinden Paketin yolda okunamadığından emin olunmalıdır.

14 IPv6 Güvenlik Mekanizmaları
Güvenlik 2 Mekanizma ile sağlanıyor. Authentication Header (AH) (veri doğrulama,veri bütünlüğü) Encapsulated Security Payload (ESP) (veri şifreleme) AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.

15 Security Associations (SA)
PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması. Her protokol kendi Security Assocation’una sahip Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma) Securtiy Paramater Index alıcı (receiver) tarafından seçilir. SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.

16 Authentication Header (AH)
Veri doğrulama ve Veri bütünlüğü sağlıyor. Algoritma bağımsız (keyed md5 önerilyor) Paket doğrulaması için checksum hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.

17 Encapsulated Security Payload
Gizlilik ve şifreleme sağlıyor 2 Modu var Tünel modu Tüm datagram şifreleniyor Transport modu Sadece payload (TCP, UDP, ICMP) DES ve CBS dışında algoritma bağımsız

18 IPv6 ile Gelen Güvenlik Tehditleri
IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek. Geliştirme başlıkları saldırı için kullanılabilir. Otomatik IP ayarlama mekanizmasının ayarlarından yararlanarak saldırılar yapılabilir.

19 Bilgi Toplama Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli. Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı

20 Adres Kullanımı IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor. IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir. Firewall'lar ile MAC adres kontrolü yapılabilir. Cihazın Açık Anahtarı kullanılarak IP üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.

21 SALDIRI: Sahte Yönlendirici Advertisement Mesajları
Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün Adv. mesajları alındığında cihazlar ayarlarını değiştirir. Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır. MTU(maximum transfer unit) Current Hop Limit Evil Proxy Çözüm: Şifreleme veya DHCPv6

22 SALDIRI: CAM Overflow IEEE 802.1d Learing Bridge
Hangi portta hangi MAC adresi olduğunu öğrenir Switch'e çok sayıda sahte MAC adresi bilgisi gönderilir ve CAM tablosu doldurulur Bu durumda switch işleme devam etmek için CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır. Çözüm: Port başına MAC adres sayısı sınırlanabilir.

23 Geliştirilen Konular DNSSec Multihoming
Farklı servis sağlıyıcılarda çalışan servisler

24 Hüseyin Gömleksizoğlu
Sorular Teşekkürler Hüseyin Gömleksizoğlu

"Hüseyin Gömleksizoğlu" indir ppt

Benzer bir sunumlar

TCP/IP Mimarisi ve Katmanları

TCP/IP Mimarisi ve Katmanları
Bölüm 6 IP Adresleme ve Yönlendirme

Bölüm 6 IP Adresleme ve Yönlendirme
BBY 302 Bilgi Teknolojisi ve Yönetimi

BBY 302 Bilgi Teknolojisi ve Yönetimi
TEMEL AĞ TANIMLARI.

TEMEL AĞ TANIMLARI.
TCP/IP Protokolü.

TCP/IP Protokolü.
TCP/IP Protokolü.

TCP/IP Protokolü.
Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.

Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.
Ağ Donanımları Cihazlar

Ağ Donanımları Cihazlar
3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.

3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.
“IPv6 Balküpü Tasarımı”

“IPv6 Balküpü Tasarımı”
TCP/IP (Devam).

TCP/IP (Devam).
Kullanıcı Erişimi Yönetim Sistemi İTÜ/KEYS

Kullanıcı Erişimi Yönetim Sistemi İTÜ/KEYS
Internet Katmanı Güvenlik Protokolleri

Internet Katmanı Güvenlik Protokolleri
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.

HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
Yard. Doç. Dr. Şirin KARADENİZ

Yard. Doç. Dr. Şirin KARADENİZ
2- OSI BAŞVURU MODELİ & TCP/IP MODELİ

2- OSI BAŞVURU MODELİ & TCP/IP MODELİ
ARP DİNLEME.

ARP DİNLEME.
FORTEL F1xxx Serisi IP PBX Ailesinin Tanıtım ve Eğitimi

FORTEL F1xxx Serisi IP PBX Ailesinin Tanıtım ve Eğitimi
IPv4-IPv6 Yılmaz Can ANUK 2012772007.

IPv4-IPv6 Yılmaz Can ANUK
DERS ADI: AĞ TEMELLERİ KONU ADI: İKİNCİ KATMAN CİHAZLARI (SWİTCH-BRİDGE) HAZIRLAYAN: MUSTAFA DERELİ 2013772013 

DERS ADI: AĞ TEMELLERİ KONU ADI: İKİNCİ KATMAN CİHAZLARI (SWİTCH-BRİDGE) HAZIRLAYAN: MUSTAFA DERELİ  

Benzer bir sunumlar

Google Reklamları