Hüseyin Gömleksizoğlu

Slides:



Advertisements
Benzer bir sunumlar
TCP/IP Mimarisi ve Katmanları
Advertisements

Bölüm 6 IP Adresleme ve Yönlendirme
BBY 302 Bilgi Teknolojisi ve Yönetimi
TEMEL AĞ TANIMLARI.
TCP/IP Protokolü.
TCP/IP Protokolü.
Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.
Ağ Donanımları Cihazlar
3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.
“IPv6 Balküpü Tasarımı”
TCP/IP (Devam).
Kullanıcı Erişimi Yönetim Sistemi İTÜ/KEYS
Internet Katmanı Güvenlik Protokolleri
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
Yard. Doç. Dr. Şirin KARADENİZ
2- OSI BAŞVURU MODELİ & TCP/IP MODELİ
ARP DİNLEME.
FORTEL F1xxx Serisi IP PBX Ailesinin Tanıtım ve Eğitimi
IPv4-IPv6 Yılmaz Can ANUK
DERS ADI: AĞ TEMELLERİ KONU ADI: İKİNCİ KATMAN CİHAZLARI (SWİTCH-BRİDGE) HAZIRLAYAN: MUSTAFA DERELİ  
İnternet Katmanı Öğr. Gör. Mustafa SARIÖZ
32 bit destination IP address
2. HUB nedir? Swich nedir? Farkları nedir?
ALT AĞLAR.
IPSEC İsmail KIRBAŞ
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.
Yönlendirici Mimarisi
3- IP ADRESLEME Yrd. Doç. Dr. Ersoy ÖZ.
Anahtar link-katmanı cihazı: hublardan daha zeki, aktif rol üstlenir
Bilgisayar Ağları Emre ÜNSAL Dokuz Eylül Üniversitesi
Ağ Cihazları.
TCP/IP Protokolü.
SAMED ÖZCAN T-12/D 2446
Taşıma Katmanı Öğr. Gör. Mustafa SARIÖZ
BLM619 Bilgisayar Ağları ve Uygulamaları
NAT: Network Address Translation (Ağ Adres Dönüşümü)
TCP/IP – DHCP Nedir?.
Ipv4 nedir? IPv4 sistemi kurumsal olarak 4 milyar farklı adrese imkan tanıyan bir protokol olmasına rağmen sınıf sistemi nedeniyle verimli kullanılamamaktadır.
E-TICARET’TE GUVENLİK SİSTEMLERİ
Chapter 5. Ağ Protokolleri
Ağ Bağlantı Cihazları.
Ağ Donanımları Cihazlar
LINUX AĞ AYARI ve ağ KOMUTLARI
Network Bölümlemek. Network Bölümlemek Adres yönetimi kolaylığı, güvenlik sağlamak ve performans artışı sağlamak için Networkleri küçük parçalara böleriz.
Ethernet Anahtarlama.
Yönlendirici (Router) Güvenliği
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
TCP/IP. Network Katmanı ● Bu katmanda IP'ye göre düzenlenmiş veri paketleri bulunur. ● İletim katmanından gelen veriler burada Internet paketleri haline.
IPSec. ● IPsec IP protokolünün IP ve daha üst katmanlar için güvenlik sağlayan bir genişletmesidir. ● İlk olarak yeni IPv6 standardı için geliştirilmiş.
Öğr.Gör.Volkan ALTINTAŞ
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
Sunucu İşletim Sistemleri-2
Bilgisayar Ağlarında Güvenlik
IPv6.
İnternet Adresleri IP Kavramı
OSI Modeli 6. Hafta Dersi.
E-TICARET’TE GUVENLİK SİSTEMLERİ
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
ALİ ÖRTÜL BİLİŞİM NOTLARI
Ağ Temelleri 2. Hafta Dersi -Ağ nedir? -İletim Yöntemleri -Ağ Topolojileri
OSİ Modeli.
TCP-IP.
Ağ Topolojileri.
TCP/IP’nin DÜNÜ, BUGÜNÜ, YARINI
Sunum transkripti:

Hüseyin Gömleksizoğlu Ipv6'da Güvenlik Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101

Özet IPv6 Genel Yapısı IPv6 Güvenlik IPv6'da Saldırılar Router Advertisements CAM Geliştirilen Konular

Ipv6'ya Genel Bakış 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi) Başlık yapısı basitleştirildi. Geliştirme ve eklenti desteği arttırıldı. Akış kontrol mekanizması geliştirildi.(20 bit) Daha güvenli (AH ve ESP eklentikeri) Daha iyi Servis Kalitesi Yönetimi (QOS) Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)

IPv6 Adres Yapısı FE80:0000:0000:0000:0202:B3FF:FE1E:8329 x:x:x::192.168.0.2 / ::192.168.0.2 / ::C0A8:2 Link-Local Adres Aynı bağlantı üzerinde, yönlendirilmez FE80:: Site-Local Adres Subnet var ve site içinde yönlendirilirler FEC0:: Aggregatable Global Unicast Adres TopLevel(13), NextLevel(24), SiteLevel(16)

Unicast, Multicast, Anycast Unicast; IPv6 cihazların sahip olduğu tekil adresler Multicast; IPv6 grupları, bu adrese gönderilen bilgiler grubun tüm elemanlarına gider FF01::1 – Tüm cihazlar FF01::2 – Tüm yönlendiriciler FF05::1:3 – Tüm DHCP sunucuları Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.

ICMPv6 Olmak zorundadır. Neighbor Discovery Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır. Yakındaki yönlendiricileri bulur IP adreslerinin yeniden yapılandırılmasını kolaylaştırır. (Router Advertisements) Hop-Limit göz önüne alınıyor IP adresi çakışmalarını bulmaya yarıyor

Router Advertisement Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler Router Solicitation mesajları ile tetiklenebilir. IP adrelerindeki bölgesel bilgileri gönderir Bağlantı ile ilgili ayarları gönderir Current Hop Limit MTU Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.

Otomatik IP ataması Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak) Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir. Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır. Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir. Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.

IPv6 Güvenliği

Güvenlik Tehlikeleri Bloke etme Dinleme Değiştirme Üretme

Mevcut Çözümler IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır. Paket Filtreleme ve Firewall'lar Transport Layer Güvenliği SSL Uygulama Güvenliği

Mevcut Güvenlik Eksiklikleri Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor. Genel bir Public Key yönetimi mevcut değil. Hangi güvenlik önleminin hangi seviyede alınması gerektiği halen belirsiz Çok cihazlı ortamlarda ortak bir güvenlik platformu oluşturmak çok zor. Buglar

IPv6 Güvenlik Beklentileri Bir paket geldiğinde IP adresinin doğru olduğundan Peketin yolda değiştirilmediğinden Paketin yolda okunamadığından emin olunmalıdır.

IPv6 Güvenlik Mekanizmaları Güvenlik 2 Mekanizma ile sağlanıyor. Authentication Header (AH) (veri doğrulama,veri bütünlüğü) Encapsulated Security Payload (ESP) (veri şifreleme) AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.

Security Associations (SA) PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması. Her protokol kendi Security Assocation’una sahip Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma) Securtiy Paramater Index alıcı (receiver) tarafından seçilir. SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.

Authentication Header (AH) Veri doğrulama ve Veri bütünlüğü sağlıyor. Algoritma bağımsız (keyed md5 önerilyor) Paket doğrulaması için checksum hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.

Encapsulated Security Payload Gizlilik ve şifreleme sağlıyor 2 Modu var Tünel modu Tüm datagram şifreleniyor Transport modu Sadece payload (TCP, UDP, ICMP) DES ve CBS dışında algoritma bağımsız

IPv6 ile Gelen Güvenlik Tehditleri IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek. Geliştirme başlıkları saldırı için kullanılabilir. Otomatik IP ayarlama mekanizmasının ayarlarından yararlanarak saldırılar yapılabilir.

Bilgi Toplama Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli. Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı

Adres Kullanımı IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor. IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir. Firewall'lar ile MAC adres kontrolü yapılabilir. Cihazın Açık Anahtarı kullanılarak IP üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.

SALDIRI: Sahte Yönlendirici Advertisement Mesajları Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün Adv. mesajları alındığında cihazlar ayarlarını değiştirir. Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır. MTU(maximum transfer unit) Current Hop Limit Evil Proxy Çözüm: Şifreleme veya DHCPv6

SALDIRI: CAM Overflow IEEE 802.1d Learing Bridge Hangi portta hangi MAC adresi olduğunu öğrenir Switch'e çok sayıda sahte MAC adresi bilgisi gönderilir ve CAM tablosu doldurulur Bu durumda switch işleme devam etmek için CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır. Çözüm: Port başına MAC adres sayısı sınırlanabilir.

Geliştirilen Konular DNSSec Multihoming Farklı servis sağlıyıcılarda çalışan servisler

Hüseyin Gömleksizoğlu Sorular Teşekkürler Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101