Hüseyin Gömleksizoğlu Ipv6'da Güvenlik Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101
Özet IPv6 Genel Yapısı IPv6 Güvenlik IPv6'da Saldırılar Router Advertisements CAM Geliştirilen Konular
Ipv6'ya Genel Bakış 1993 yılında adreslerin sınırlı olmasından dolayı başlanan projelerden biri Adres sınırı genişletildi(128 bit) ve otomatik ayar mekanizması geliştirildi.(100 IP/Kişi) Başlık yapısı basitleştirildi. Geliştirme ve eklenti desteği arttırıldı. Akış kontrol mekanizması geliştirildi.(20 bit) Daha güvenli (AH ve ESP eklentikeri) Daha iyi Servis Kalitesi Yönetimi (QOS) Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)
IPv6 Adres Yapısı FE80:0000:0000:0000:0202:B3FF:FE1E:8329 x:x:x::192.168.0.2 / ::192.168.0.2 / ::C0A8:2 Link-Local Adres Aynı bağlantı üzerinde, yönlendirilmez FE80:: Site-Local Adres Subnet var ve site içinde yönlendirilirler FEC0:: Aggregatable Global Unicast Adres TopLevel(13), NextLevel(24), SiteLevel(16)
Unicast, Multicast, Anycast Unicast; IPv6 cihazların sahip olduğu tekil adresler Multicast; IPv6 grupları, bu adrese gönderilen bilgiler grubun tüm elemanlarına gider FF01::1 – Tüm cihazlar FF01::2 – Tüm yönlendiriciler FF05::1:3 – Tüm DHCP sunucuları Anycast; birden fazla cihazda aynı adres bulunur ve bilgi bunlardan gönderilir. Genelde en yakındakine.
ICMPv6 Olmak zorundadır. Neighbor Discovery Aynı bağlantı üzerindeki cihazların 2 seviye adreslerini bulmak için kullanılır. Yakındaki yönlendiricileri bulur IP adreslerinin yeniden yapılandırılmasını kolaylaştırır. (Router Advertisements) Hop-Limit göz önüne alınıyor IP adresi çakışmalarını bulmaya yarıyor
Router Advertisement Yönlendiriciler belli aralıklarla Advertisement mesajları gönderirler Router Solicitation mesajları ile tetiklenebilir. IP adrelerindeki bölgesel bilgileri gönderir Bağlantı ile ilgili ayarları gönderir Current Hop Limit MTU Paketlerdeki hop sayisina bakılarak ağ dışından “Router Advertisement” mesajları gönderilmesi engellenir.
Otomatik IP ataması Cihaz Link-Local bir adres üretir. (Lokal bilgilerini kullanarak) Tüm cihazların bulunduğu FF02::1 multicast grubuna ve kendi ürettiği IP'ye sahip başka bir cihaz var mı bir mesaj gönderir. Varsa, işlem sonlandırılır, IP manuel ayarlanmalıdır. Yoksa, tüm yönlendiricilerin bulunduğu multicast grubuna Router Solicitation mesajı gönderir. Gelen Router Advertisement'lara göre kendi IP adresini oluşturur.
IPv6 Güvenliği
Güvenlik Tehlikeleri Bloke etme Dinleme Değiştirme Üretme
Mevcut Çözümler IPv4 tasarım aşamasında güvenlik ikinci plana atılmıştır. Paket Filtreleme ve Firewall'lar Transport Layer Güvenliği SSL Uygulama Güvenliği
Mevcut Güvenlik Eksiklikleri Çok fazla yöntem var, heterojen yapıdaki büyük bir organizasyonu güvenli olması çok zor. Genel bir Public Key yönetimi mevcut değil. Hangi güvenlik önleminin hangi seviyede alınması gerektiği halen belirsiz Çok cihazlı ortamlarda ortak bir güvenlik platformu oluşturmak çok zor. Buglar
IPv6 Güvenlik Beklentileri Bir paket geldiğinde IP adresinin doğru olduğundan Peketin yolda değiştirilmediğinden Paketin yolda okunamadığından emin olunmalıdır.
IPv6 Güvenlik Mekanizmaları Güvenlik 2 Mekanizma ile sağlanıyor. Authentication Header (AH) (veri doğrulama,veri bütünlüğü) Encapsulated Security Payload (ESP) (veri şifreleme) AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.
Security Associations (SA) PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması. Her protokol kendi Security Assocation’una sahip Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar geçerlilk zamanı, algoritma) Securtiy Paramater Index alıcı (receiver) tarafından seçilir. SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan bir konu.
Authentication Header (AH) Veri doğrulama ve Veri bütünlüğü sağlıyor. Algoritma bağımsız (keyed md5 önerilyor) Paket doğrulaması için checksum hesaplarırken yol boyunca değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.
Encapsulated Security Payload Gizlilik ve şifreleme sağlıyor 2 Modu var Tünel modu Tüm datagram şifreleniyor Transport modu Sadece payload (TCP, UDP, ICMP) DES ve CBS dışında algoritma bağımsız
IPv6 ile Gelen Güvenlik Tehditleri IP tarama ve Port tarama zor ama LAN'daki kullanıcılara daha rahat erişebiliniyor NIDS'ler yeni yapıya uyarlanmalı ve saldırı tespit yapıları yeniden oluşturulmalı. Ayrıca IP uzunluğu arttığı için daha çok CPU ihtiyacı olacağı için bazı cihazların değişmesi gerekecek. Geliştirme başlıkları saldırı için kullanılabilir. Otomatik IP ayarlama mekanizmasının ayarlarından yararlanarak saldırılar yapılabilir.
Bilgi Toplama Güvensiz makinaların ele geçirilip diğer makinalar hakkında bilgi toplanması IPv4 de ICMP mesajları iptal edilirdi, IPv6'da buna dikkat edilmeli. Multicast adreslerin ağ dışından kullanılmaması için önlemler alınmalı
Adres Kullanımı IPv4'te IP, MAC ve L2 Port bilgisi saklanıyor, bu da DHCP snooping ve ARP inspection gibi saldırılara neden oluyor. IPv6'da MAC'dan IP üretilebildiği için sadece MAC adresi ve L2 portu bilmek yeterlidir. Firewall'lar ile MAC adres kontrolü yapılabilir. Cihazın Açık Anahtarı kullanılarak IP üretilebilir. (CGA) Bu şekilde bir adres sahipliği sağlanabilir. Ayrıca IP'nin gerçekten doğru kişiye ait olduğu doğrulanabilir.
SALDIRI: Sahte Yönlendirici Advertisement Mesajları Bu mesajlar şifrelenmediği için sahte mesajlar üretmek mümkün Adv. mesajları alındığında cihazlar ayarlarını değiştirir. Yeni gelen bildi eskisini ezer, yenisi gelmeyen bilgiler sabit kalır. MTU(maximum transfer unit) Current Hop Limit Evil Proxy Çözüm: Şifreleme veya DHCPv6
SALDIRI: CAM Overflow IEEE 802.1d Learing Bridge Hangi portta hangi MAC adresi olduğunu öğrenir Switch'e çok sayıda sahte MAC adresi bilgisi gönderilir ve CAM tablosu doldurulur Bu durumda switch işleme devam etmek için CAM tablosunu devre dışı bırakarak Tekrarlayıcı/Hub gibi çalışmaya başlar Switchler kendi içlerinde CAM tablolarını paylaşıyorlarsa tüm ağdaki switch'ler Hub gibi çalışır. Çözüm: Port başına MAC adres sayısı sınırlanabilir.
Geliştirilen Konular DNSSec Multihoming Farklı servis sağlıyıcılarda çalışan servisler
Hüseyin Gömleksizoğlu Sorular Teşekkürler Hüseyin Gömleksizoğlu huseyin@gomleksizoglu.com 04104101