Yeni Nesil Ağ Güvenliği

Benzer belgeler
Yazılım Tanımlı Ağlar Ders 2 Kontrol ve Veri Düzlemlerinin Ayrılması. Mehmet Demirci

Bilgisayar Programcılığı

Yönlendiriciler ve Yönlendirme Temelleri

BİLGİSAYAR AĞLARI VE İLETİŞİM

Lab7-Dinamik Yönlendirme ve RIP

Kamu Kurum ve Kuruluşları için IPv6'ya Geçiş Planı Ne Gibi Yükümlülükler Getiriyor? Necdet Yücel Çanakkale Onsekiz Mart Üniversitesi

BIL411 - BİLGİSAYAR AĞLARI LABORATUVARI

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 7

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

DNS Nedir? HİKMET TÜYSÜZ

Giriş RFC (Yorumlar için talep) DNS IPv6 IPv6 ve DNS Örnekler. 13 Ocak 2011 IPv6 Konferansı

IPV6'DA MULTICAST KRİTİĞİ

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Algoritmalar. Çizge Algoritmaları. Bahar 2017 Doç. Dr. Suat Özdemir 1

IPv6 Güvenliği. Emre YÜCE - TÜBİTAK ULAKBİM 2 Haziran 2010

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

IPv6 Geçiş Yöntemleri Analizi

Internetin Yapı Taşları

1 NETWORK KABLO VE CIHAZLAR

AĞ TEMELLERI. İSİM SOYİSİM: EMRE BOSTAN BÖLÜM: BİLGİSAYAR PROGRAMCILIĞI ÜNİVERSİTE: NİŞANTAŞI KONU: Konu 5. TCP/IP

Dinamik yönlendirme. Dinamik yönlendirmenin iki temel fonksiyonu vardır. 1. Yönlendirme tablosunu oluşturmak,

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Đstanbul Teknik Üniversitesi Bilgi Đşlem Daire Başkanlığı. 9 Kasim 2007 INET-TR Ankara

Yeni Nesil Ağ Güvenliği

Ters DNS Kayıtları Nasıl Girilmeli? Sistem Yöneticisi

CISCO AĞLARDA YÖNLENDĐRME

Bilgisayar Programcılığı

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Yazılım Tanımlı Ağlar Ders 6 SDN Programlama. Mehmet Demirci

Şekil 9.1 IP paket yapısı

IP ve MAC Adresleri. IP Adresleme. IP Adresleme. IP Terminolojisi. IPv4. IP Adresleme Standartları

İleri Düzey Bilgisayar Ağları

DE-CIX GLOBEPEER TEKNİK HİZMET TANIMLAMASI

Hastane Bilgi Sistemleri İle E-devlet Uygulamaları Arasında İnternetin Sürekliliğinin Sağlanması

Yazılım Tanımlı Ağlar Ders 5 SDN Programlama. Mehmet Demirci

IPv6 da Multicast Haberleşmenin Kritiği

IP ADRESLEME VE ALT AĞLAR I. IP ADRESLEME VE ALT AĞLAR (SUBNETS) Internet gibi TCP/IP protokol grubunu kullanan bir ağa katılan her bilgisayara tek

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

Bağlantı kurulumu. Bazı ağ altyapılarında önemli bir fonksiyondur. ATM, frame relay, X.25

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

Secure Routing For Mobile Ad Hoc Networks. Muhammet Serkan ÇİNAR N

IPv6'da Multicast Haberleşmenin Kritiği

Öğr. Gör. Ümit ATİLA

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Ege Üniversitesi Sağlık Kurumlarının İnternet Kesintilerine Karşı Korunmasına Dair Bir Çalışma

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

Bilg-101. Bölüm 6. Bilgisayar Ağları. Ne Öğreneceğiz? Bilgisayar Ağı Nedir?

Merak serverı MS Exchange için Antispam ve AntiVirus olarak nasıl kullanabiliriz?

yapılandırıp, performansını analiz etmektir.

Alt Ağ Maskesi (Subnet Mask)

İleri Düzey Bilgisayar Ağları

Yrd. Doç. Dr. A. Burak İNNER

Yönlendirme. Yönlendirme Protokolleri

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Ağ temelleri. Ders notları 5. Öğr.Gör. Hüseyin Bilal MACİT 2017

Bilgisayar Ağları. Ağı oluşturan cihazlar. Coğrafi koşullara göre ağın sınıflandırılması (LAN, MAN, WAN)

Doç.Dr. Yaşar SARI ESOGÜ Turizm Fakültesi-Eskişehir BİLGİSAYAR AĞLARI (COMPUTER NETWORKS)

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

BİLGİSAYAR 4 MOLEKÜLER BİYOLOJİ VE GENETİK BÖLÜMÜ 1. DERS İNTERNET, TCP/IP, İNTERNETTE MESAJ VE BİLGİ AKTARIMI YARD. DOÇ. DR.

Datagram, bir başlık eklenerek, kaynak uçtan alıcı uca gönderilen veri birimidir. Her datagram sıra ile gönderilir.

KARADENİZ TEKNİK ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI. İkinci Katman Yönlendirme (MPLS)

Wireshark Lab.: DNS. 1. nslookup

YÖNLENDİRİCİLER. Temel Bilgiler. Vize Hazırlık Notları

Ağ Sunucuları ve Uygulamaları

Meşrutiyet Caddesi 12/ Kızılay/ANKARA T: +90 (312) info@cliguru.com

IPv6 DA FARKLI YÖNLENDİRME PROTOKOLLERİNİN BAŞARIMI

Türk Telekomünikasyon A.Ş. IP Yönetim Politikaları

Bilgisayar Programalamaya Giriş

E-postaya Tarama Hızlı Kurulum Kılavuzu

Ağ programlama (Network programming) Altuğ B. Altıntaş 2003 Java ve Yazılım Tasarımı - Bölüm 13 1

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Detecting Blackhole Attack on AODVbased Mobile Ad Hoc Networks by Dynamic Learning Method(2007)

VoIP Pentest NetSEC / Microso3 Türkiye Ozan UÇAR ozan.ucar@bga.com.tr

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

IPSEC. İnternet Protokol Güvenliği

DOS, DDOS AtaklarıveKorunma Yöntemleri Huzeyfe ÖNAL

DNS. Linux Yaz Kampı Bolu 2012 Eray Aslan

VPN NEDIR? NASıL KULLANıLıR?

IPv6 ve Kullanıcı Takibi

MİCROSOFT OUTLOOK 2010

İleri Düzey Bilgisayar Ağları

IPv6 INTERNET PROTOCOL. Hüsnü Demir hdemir at metu.edu.tr

Bilgisayar Ağlarında Güvenlik. Prof. Dr. Eşref ADALI www. Adalı.net

Active Directory Shema

4. DNS (Alan İsimlendirme Sistemi)

Web Tasarımının Temelleri

ATM AĞLARDA MPLS İLE SES VE VERİ TRANSFERİ UYGULAMASI

SpamTitan CD'den kurulum

Proceedings/Bildiriler Kitabı. Cain & Abel September /Eylül 2013 Ankara / TURKEY 6. ULUSLARARASI

BIND ile DNS Sunucu Kurulumu

10. ROTA BULMA PROTOKOLLERİ

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 5. Yönlendiricilerde İşlem İzleme ve Hata Ayıklama

Yazılım Tanımlı Ağlar Ders 1 Yazılım Tanımlı Ağların Temelleri. Mehmet Demirci

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Güvenli Switching. Başka Bir Switch: ARUBA Tunneled Node. Semih Kavala ARUBA Sistem Mühendisi. #ArubaAirheads

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

OSPF PROTOKOLÜNÜ KULLANAN ROUTER LARIN MALİYET BİLGİSİNİN BULANIK MANTIKLA BELİRLENMESİ

Transkript:

Yeni Nesil Ağ Güvenliği Ders Notu 5 DNS ve BGP Güvenliği Mehmet Demirci 1

Bugün Domain Name System ve güvenliği Border Gateway Protocol ve güvenliği 2

İsimlendirme (Adlandırma) Domain Name System (DNS) İsimler IP adresleri ( www.gazi.edu.tr 194.27.18.25 ) http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html 3

İsimlendirme (Adlandırma) Domain Name System (DNS) Kayıt türleri A kaydı: isim IP NS kaydı: isim yetkili isim sunucusu (authoritative nameserver) Git ona sor. MX kaydı: isim posta sunucusu (mail server) CNAME: standart isim (canonical name) AAAA: isim IPv6 adresi 4

DNS Saldırıları DNS Cache Poisoning DNS sunucusunun cache içerisinde yanlış kayıt tutmasına yol açmak Bunun için şunlar yapılabilir: İlgisiz veri (unrelated data) saldırısı - çözüldü İlgili veri (related data) saldırısı - çözüldü DNS Spoofing Kaynak: Florent Carli, Security Issues with DNS, SANS Institute, 2003. 5

DNS Saldırıları DNS Spoofing Araya girip başka sunucuya giden sorguya cevap vermek Gerçek sunucunun IP adresi sahte paketin başlığına yazılır. Bir tek IP Spoofing yetmez, sorguyla birlikte giden ID numarasını da bilmesi gerekir. Kaynak: Florent Carli, Security Issues with DNS, SANS Institute, 2003. 6

DNS Saldırıları DNS ID Hacking Saldırgan ID yi tespit etmek için Farklı ID ler deneyebilir. Eğer gerçek sunucundan önce doğru cevabı verirse başarmış olur. Gerçek sunucuyu yavaşlatmak için ona flood yapabilir. Sunucu sıralı ID kullanıyorsa bundan faydalanabilir. Kaynak: Florent Carli, Security Issues with DNS, SANS Institute, 2003. 7

DNS Security Extensions (DNSSEC) DNSSEC Kimlik doğrulama ve bütünlük sağlar. DNS cevapları dijital imza içerir. Evrensel kullanıma henüz ulaşmamıştır. 8

İnternet te Yönlendirme İnternet birbirine bağlı birçok özerk sistemden oluşur. Autonomous system AS Dünyada ~50 bin, Türkiye de <500 Intradomain: Alan içi Interdomain: Alanlar arası 9

Alan İçi Yönlendirme Intradomain routing Distance Vector Komşulara kendi yönlendirme tablonun kopyasını yolla. Her varış noktasına en kısa mesafeyi hesapla. Bellman-Ford Algoritması Link State Her düğüm kendi ağ resmini diğer herkesle paylaşır. Komşuları için d v, diğerleri için Sonra hepsi diğer bütün düğümlere en kısa mesafeyi hesaplar. 10

Alanlar Arası Yönlendirme Özerk sistemler (AS) arasında yönlendirme için Border Gateway Protocol (BGP) Route advertisement (yol reklamı) dağıtır. 11

ebgp vs. ibgp ebgp: Komşu AS lerin sınır yönlendiricileri (border routers) arasında ibgp: AS içinde dışarıdaki noktalarla ilgili reklamların dağıtımı ibgp IGP 12

IGP vs. ibgp IGP: Interior Gateway Protocol, intradomain (alan için) AS içi noktalar için yol bilgilerini içeride dağıtır. RIP, OSPF, ISIS ibgp: Internal BGP AS dışındaki noktalar için yol bilgilerini içeride dağıtır. 13

BGP yolları nasıl seçer? BGP birden fazla yol seçeneğinin arasından birini seçmelidir. 1. Yerel tercih (Local preference) Daha yükseği seç. 2. AS yol uzunluğu (AS path length) Daha kısayı seç. 3. Çoklu çıkış ayırıcısı (Multi-exit discriminator, MED) Daha küçüğü seç. (Eğer reklam aynı AS ten başlamışsa) 4. IGP yol uzunluğu Daha kısayı seç Sıcak patates yönlendirmesi (Hot potato routing) 14

Yerel tercih (Local preference) İçeriden dışarıya giden trafiği yönlendirmek için bir yöntem 15

AS yol uzunluğu (path length) Kasten uzatılabilir. AS Path Prepending Tercih edilmeyen yolu uzun göstermek için 16

Çoklu çıkış ayırıcısı (MED) Dışarıdan içeriye gelen trafiği yönlendirmek için bir yöntem Diğer AS lerin trafiği bana ne yolla göndereceğini belirlemek için 17

Özerk sistemler arası ilişkiler 1. Müşteri Sağlayıcı İlişkisi (customer - provider) 2. Eşdüzey ilişki (peering) Müşteri velinimettir. Müşteri > Eş > Sağlayıcı 18

BGP (Özet) İnternet te özerk sistemler (AS), sahip oldukları IP adreslerini gruplayarak prefix halinde birbirlerine duyururlar. Bu duyuruları yapmak ve alanlar arası yönlendirme tablolarını oluşturmak için kullanılan protokol, Border Gateway Protocol yani BGP dir. Bu prefix bana ait / ben bu adreslere trafik ulaştırabilirim. 19

BGP Hijacking IP Hijacking de denir. Kasıtlı veya yanlışlıkla yapılabilir. AS, içinde olmayan prefixi duyurursa, AS, başka bir AS in duyurduğu bir prefixten daha spesifik olanını duyurursa, AS, diğer AS e giden daha bir kısa yolun kendi üzerinden geçtiğini duyurursa Sonuçta paketler yanlış yere gider veya döngüye girip kaybolur. 20

BGP Hijacking Normalde ISP nin gelen duyuruları kontrol edip geçerli bir IP alanı için olduklarını doğrulaması lazım (route filtering). Ama bu her zaman yapılmıyor. Bir yönlendiricinin AS adına yetkili olduğunu veya ISP ler arasında bir adresin gerçekten bir prefixe sahip olup olmadığını doğrulayacak bir otorite yok. 21

BGP Hijacking Örnekler AS 7007 Olayı, 1997: http://en.wikipedia.org/wiki/as_7007_incident TTNet Tatsızlığı, 2004: http://research.dyn.com/2005/12/internetwidenearcatastrophela/ Pakistan ın Youtube u kapatması, 2008: https://www.ripe.net/publications/news/industrydevelopments/youtube-hijacking-a-ripe-ncc-ris-case-study https://www.youtube.com/watch?v=izlpkuaoe50 Çin, 2014: http://www.bgpmon.net/chinese-isp-hijacked-10-of-theinternet/ 22

BGP Güvenlik Açıkları RFC 4272 de açıklanmıştır: https://www.ietf.org/rfc/rfc4272.txt Genel yönlendirme tehditleri: http://tools.ietf.org/html/rfc4593 23

BGP Güvenlik Çözümleri Secure BGP (S-BGP): http://www.ir.bbn.com/sbgp/ Resource Public Key Infrastructure (RPKI): http://en.wikipedia.org/wiki/resource_public_key_infrastructure 24

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim