GAZİ ÜNİVERSİTESİ BİLİŞİM ENSTİTÜSÜ Bilişim Sistemleri Bölümü İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI
Sunu Planı Giriş İPv4 ile İPv6 Karşılaştırması İPv6 ve Güvenlik İPv6 Geçiş Sürecinde Yapılması Gereken Analizler Uygulama: İPv6 Geçiş Planlamasına Örnek Bir Kurum Çalışması İPv6 Kullanacak Kurumlar için Öneriler Sonuç ve Öneriler 2
Giriş İPv4 adresleri azalıyor. İPv6 3,4 x 10 38 adres sayısı sunuyor. İnternet Protokolü yenilendi. Başlık yapısı ICMPv6 ve DHCPv6 : İPv6 ile uyumlu çalışan yenilenmiş protokollerdir. Yeni protokoller: Çok Noktaya Yayın Dinleyici Keşfi (MLD), Komşu Keşfi (ND) 3
İPv4 ile İPv6 Karşılaştırması Özellik IPv4 IPv6 Adres Uzunluğu 32 bits 128 bits Parçalama Bilgisayarlar ve Yönlendiriciler Bilgisayarlar Öncelikli teslim desteği Var Geliştirildi/ Arttırıldı. IPSec başlığı desteği İsteğe bağlı Zorunlu 2. Katman adres çözümleme ARP (Broadcast) Komşu Keşfi(ND- Multicast) Multicast üyeliği IGMP Multicast Dinleyici Keşfi (MLD) Yönlendirici keşfi İsteğe Bağlı Zorunlu(ICMPv6) Broadcat mesajları Evet Hayır Adres yapılandırması Elle, DHCP Otomatik, DHCPv6 DNS isim kaydı (A) kayıtları AAAA kayıtları 4
İPv4 ile İPv6 Karşılaştırması İPv4 Genel Adresler (Public) APIPA Adresleri(169.254.0.0 /16) İPv6 Genel Adresler (Global) Yerel Bağlantı Adresleri (FE80::/64) Çok Noktaya Yayın Adresleri (Multicast) (224.0.0.0 /4) Çok Noktaya Yayın Adresleri (FF00::/8) Genel Yayın Adresleri(Broadcast) Kaldırıldı. - Her Noktaya Yayın Adresleri (Anycast) Özel Adresler (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) Yerel Site Adresleri RFC3579 kaldırıldı. Loopback Adresi (127.0.0.1) Loopback Adresi (::1) Belirsiz Adres (0.0.0.0) Belirsiz Adres (::) 5
İPv6 ve Güvenlik IPSec IP protokolü için tasarlanmış bir güvenlik mimarisidir. Paketler için kimlik doğrulaması veya paketlerin şifrelenmesi ağ katmanında sağlanır. İPv4 ve İPv6 ile kullanılabilir. 6
IPSec IPSec tarafından sunulan hizmetler; Veri Gizliliği: paketlerini şifrelenerek gönderilmesi Veri Bütünlüğü: alınan paketlerin iletim sırasında değişikliğe uğramadığının doğrulanması Kimlik Doğrulaması: alınan paketlerin kimliğinin doğrulanması Tekrarın Önlenmesi: tekrar gönderilen paketler belirlenir ve reddedilir. 7
IPSec Taşıma Modu: İki uç cihaz arasında iletim yapılır. İP paketinin sadece kullanıcı verisi kısmına IPSec başlığı işlemi uygulanır. 8
IPSec Tünel Modu:Ağ geçitleri(yönlendirici, VPN sunucu, VPN cihazı vs.) arasında iletim yapılır. İP paketi yeni bir İP paketi tarafından tamamen kapsüllenir. Tünellenmiş paketin bütün içeriği korunur. 9
IPSec Özellik Doğrulama Başlığı(AH) Kapsüllenen Güvenlik Yükü (ESP) Veri Kaynağının Kimliğinin Doğrulanması VAR VAR Veri Bütünlüğünün Sağlanması VAR VAR Veri Gizliliğinin Sağlanması YOK VAR Yineleme Engeli VAR VAR 10
İPv6 ve IPSec İPv6 desteği veren bütün cihazlar tarafından desteklenmek zorundadır. İPv6 başlık yapısı tarafından desteklenmektedir. İPv6 ile kullanımı zorunlu değildir. 11
İPv4 ve IPSEC NAT(Network Address Translation) Cihazların arkasındaki özel adres aralıklarının çakışması 12
İPv6 ve Mevcut Güvenlik Sorunlarındaki Gelişmeler Ataklar Keşif atakları Başlıkta oynama ve parçalama işlemi İPv6 daki Gelişmeler Adres sayısının fazla olması avantajdır. Bir grup cihaz için kullanılan multcast adresin biliniyor olması - dezavantaj Minimum MTU 1280 byte Daha küçük paketlerin engellenmesi tavsiye edilir. Aldatma (Spoofing) Broadcast atakları ARP/DHCP Atakları Paket Gözleme (Sniffing) Uygulama Saldırıları Sahte Cihaz Ortadaki Adam Saldırı IPSec kullanımı, erişim kontrol kurallarının yaratılması,güvenlik duvarı ve saldırı tespit sistemlerinin kullanılması avantaj sağlar. İPv6 da yayın türü trafik kaldırılmıştır. ARP İPv6 da kullanılmamaktadır. Komşu keşfi mesajları ICMP mesajlarıdır IPSec uygulanabilir. İPv6 da olacaktır. IPSec çözüm olarak kullanılabilir. Değişiklik olmayacak İPv6 da değişiklik olması için 802.1x ya da IPSec kullanılmalı Kullanılan şifreleme anahtarı ele geçirilmediği müddetçe IPSec çözüm sunar. 13
Kurumlarda Güvenlik için ne yapılmalı? İPv4 için kullandığımız erişim kontrol listelerini(acl), İPv6 için uygulamalıyız. Güvenlik duvarında oluşturduğumuz bütün kuralları, İPv6 için uygulamalıyız. Saldırı tespit sistemleri İPv6 için güncellenmeli. IPSec Protokolü kullanılmalı. İç ağda 802.1x kullanılmalı. 14
İPv6 ya Geçiş Sürecinde Yapılması Gereken Analizler Ağ Cihazları DMZ Bölgesi Sunucuları İç Ağ Sunucuları Kullanıcı Bilgisayarları Uygulama Yazılımları Ağ Hizmeti Uygulamaları Geçiş Yöntemi Seçimi Gerekli Eğitimler Maliyetin Belirlenmesi 15
İPv6 Geçiş Planlamasına Örnek Bir Kurum Çalışması DMZ INTERNET Güvenlik Duvarı Saldırı Tespit Sistemi Firewall DATACENTER LAN Vekil Sunucu Güvenlik Duvarı Firewall Omurga Yönlendirici İl Müdürlükleri 16
Ağ Cihazlarının Analizi Cihaz Marka Model IPv6 Desteği Üçüncü Seviye Anahtarlama Cihazları Omurga Cihazı Yönlendirici Cihazı Yönlendirici Cihazı İnternet Güvenlik Duvarı İç Ağ(İntranet ) Güvenlik Duvarı Vekil Sunucu Saldırı Tespit Sistemi Cisco 3560 IOS: 12.2.(50) SE Cisco 6513 IOS: 12.2(33)SXH2a Cisco 7609 IOS:12.2(33)SRC4 Cisco 2821 IOS: 12.4(20)T4 Cisco 6513 FWSM IOS: 3.2(2) Microsoft Windows 2008R2 Yazılım: Microsoft TMG Microsoft Windows 2008R2 Yazılım: Microsoft TMG IBM Proventia GX5108 Versiyon :4.3 VAR VAR (IOS güncellemesi yapılmalı) VAR VAR VAR (IOS güncellemesi yapılmalı) YOK (Güncellemesi yok, değiştirilmesi gerekiyor.) Kablosuz Erişim Noktası Cisco Aironet 1140 VAR VAR VAR 17
DMZ Bölgesinde Bulunan Sunucuların Analizi Sunucu Hizmeti Web Sunucusu Hizmeti İşletim Sistemi / Uygulama Yazılımı Microsoft Windows 2008R2 IIS 7.5 İPv6 Destek Durumu VAR E-Posta Sunucusu Hizmeti Microsoft Windows 2008R2 Microsoft Exchange 2010 VAR DNS Hizmeti Microsoft Windows 2008R2 VAR FTP Hizmeti Microsoft Windows 2003 IIS 6.0 YOK 18
İç Ağda(İntranet) Bulunan Sunucuların Analizi Sunucu Hizmeti İşletim Sistemi / Uygulama Yazılımı İPv6 Destek Durumu Etki Alanı Hizmeti Microsoft Windows 2008R2 VAR DHCP Hizmeti Microsoft Windows 2008R2 DHCP Rolü VAR DNS Hizmeti Microsoft Windows 2008R2 DNS Rolü VAR Uygulama Sunucuları Hizmetleri Microsoft Windows 2008R2 Microsoft Windows 2003 İşletim Sistemlerinin desteği var. 19
Kullanıcı Bilgisayarlarının Analizi Bütün kullanıcı bilgisayarları Microsoft XP SP3 ve üzeri işletim sistemlerine sahiptir. İPv6 desteği vardır. İşletim sistemi güncelleştirmesine ihtiyaç yoktur, maliyet analizine etkisi olmayacaktır. 20
Geçiş Yöntemi Analizi İkili Yığın Yapısı Ağ katmanında ve üst katmanda çalışan bütün cihazların arabirimlerinin hem İPv4 hem de İPv6 desteği olmalıdır. Ağ içinde sadece İPv4 destekleyen veya sadece İPv6 destekleyen bölgelere erişim sağlanabilir. Erişilmek istenen ağın kullandığı protokole göre seçim yapılır. Eğer her iki versiyon da çalışıyorsa İPv6 önceliklidir. 21
Geçiş Yöntemi Analizi Tünelleme/ Kapsülleme Yapısı Genellikle İPv6 kullanan iki düğümün İPv6 erişimi olmayan arabirimlerden geçmesi gerektiğinde uygulanır. Otomatik Tünelleme, 6to4, Teredo Tünelleme, ISATAP, Elle yapılandırılan tüneller kullanılabilir. 22
İPv6 Geçişi için Maliyet Analizi Mevcut kablolama alt yapısı İPv6 desteğine sahip değilse iyileştirme yapılması sağlanmalı İPv6 adresi için ödenmesi gereken ücretler 2xxx:xxxx:xxxx:xxxx::/64 adresleri veya 2xxx:xxxx:xxxx::/ 48 adresleri Ağ cihazları için sadece güncelleme yapılması gerektiği için iş gücünün planlanması Sunucuların ve kullanıcı bilgisayarlarının işletim sistemleri İPv6 desteğine sahiptir. (Lisans ücretine ve iş gücü planlamasına gerek yok.) 23
İPv6 Geçişi için Maliyet Analizi FTP hizmeti veren sunucu bileşeninin güncelleştirilmesi veya değiştirilmesi gerekmektedir. İç ağda kullanılan güvenlik duvarının güncelleştirilmesi veya değiştirilmesi gerekmektedir. Yeni cihaz ücreti/yazılım için lisans ücreti, maliyet analizine dahil edilmelidir. 24
İPv6 Geçişi için Maliyet Analizi İş gücü planlaması ve personel tahsisi DNS kayıtlarının İPv6 için de oluşturulması için, DHCP adres aralıklarının oluşturulması için, Güvenlik duvarında ve diğer güvenlik cihazlarında oluşturulan bütün kuralların, erişim listelerinin, uygulanan İP tabanlı politikaların İPv6 için de oluşturulması için, Üçüncü katman anahtarlama cihazlarındaki, yönlendirici cihazlarındaki, omurga cihazındaki arabirimler için İPv6 adres tanımlamalarının yapılması için, 25
İPv6 Geçişi için Maliyet Analizi Uygulama yazılımlarının kaynak kodlarında sabit İPv4 adresi kullanılmış ise yeni versiyon için kullanılacak adreslerin de yazılımların kaynak kodlarına eklenmesi ve yazılımın yeniden derlenmesi gerekmektedir. Test ortamı oluşturulması gerekmektedir. Eğitim ve toplantı planlamasının yapılması gerekmektedir. 26
İPv6 Geçişi için Maliyet Analizi Yapılması Planlanan Harcamalar İPv6 desteği olmayan yazılımların güncellenmesi, İPv6 desteği vermesi için kaynak kodlarının tekrar yazılması vs. için hizmet alımı Planlanan Bütçe(Yaklaşık) 200.000 TL İPv6 desteği olmayan donanımların değiştirilmesi, yazılımlarının ve lisansların güncellenmesi vs. için mal alımı 150.000 TL Yapılan güncellemelerle, alınan donanımlarla ilgili çıkabilecek sorunlar ve son kullanıcılara destek verilmesi amacıyla bakım sözleşmesi yapılması için hizmet alımı İPv6 adresleri için ödenecek yıllık ücret Eğitim-Toplantı Giderleri Toplam 100.000 TL Servis sağlayıcısı tarafından henüz tarife ücretleri belirlenmemiştir. 200.000 TL 650.000 TL 27
Pilot Uygulama Kurumda kullanılan ağ cihazları ve sunuculardan test ortamı oluşturulmuştur. Servis sağlayıcısından İPv6 adresi temin edilmiştir. Microsoft Windows 2008R2 işletim sistemi kullanan bir sunucuda IIS 7.5 bileşeni kullanılarak www6.cevreorman.gov.tr adresi yayınlanmıştır. Ulaknet tarafından 4 Ocak 2011 tarihinde www6.cevreorman.gov.tr adresine erişim sağlanmıştır. 28
Pilot Uygulama IIS logu aşağıdaki gibidir; 2011-01-04 08:02:34 2a01:358:4110:53:3dce:fac9:3e0a:c98e GET /COB6/Libraries/Bakan_Galeri/8.sflb.ashx 80-2001:a98:12::150 Mozilla/5.0+(X11;+U;+FreeBSD+amd64;+enUS; rv:1.9.2.13)+gecko/20101227+firefox/3.6.13 200 0 0 875 29
Pilot Uygulama 30
Kurum için Geçiş Planı Takvimi 31
İPv6 İnternetini Kullanacak Kurumlar için Öneriler Kullanılan güvenlik duvarı, vekil sunucu, ya da IPS, IDS (saldırı tespit cihazları) gibi cihazların İPv6 ve tünellenmiş İPv6 fonksiyonlarına sahip olması gerekir. (Gerekli güncelleştirmeler yapılmalı) Eğer iç ağda(intranette) bulunan bilgisayarlar İPv6 internetinde bulunan bilgisayarlarla iletişim kuruyorlarsa dış güvenlik duvarının durum denetlemeli güvenlik duvarını destekleyecek şekilde güncelleştirilmesi gerekir. Eğer tünellenmiş trafiğin cihazlardan geçmesi istenmiyorsa, iç ağ (intranet) kullanıcılarından internet kullanıcılarına doğru İPv6-over-İPv4 tünellenmiş trafik için güvenlik duvarının iç ağ (intranet) bacağında İPv4 başlığında protokol kısmı 41 olan paketlerin reddedilmesi gerekir. İnternet kullanıcılarından iç ağ (intranet) kullanıcılarına doğru İPv6-over- İPv4 tünellenmiş trafik için güvenlik duvarının internet bacağında İPv4 başlığında protokol kısmı 41 olan paketlerin reddedilmesi gerekir. Sadece 6to4 yönlendiricinin İPv6-over-İPv4 tünellenmiş trafiğini internetten alması gerekir. 32
İPv6 İnternetini Kullanacak Kurumlar için Öneriler İç ağ (intranet) kullanıcılarından internet kullanıcılarına doğru Teredo trafiği için güvenlik duvarı intranet bacağının bütün İPv4 trafiğinde kaynak ya da hedef adresinde UDP 3544 isteklerini kabul etmeyecek şekilde yapılandırılması gerekir. İnternet kullanıcılarından iç ağ(intranet) kullanıcılarına doğru Teredo trafiği için güvenlik duvarı internet bacağının bütün İPv4 trafiğinde kaynak ya da hedef adresinde UDP 3544 isteklerini kabul etmeyecek şekilde yapılandırılması gerekir. Eğer ISATAP yönlendirici ile güvenlik duvarı aynı cihaz ise cihazın İPv6 trafiği için varsayılan yönlendirmesinin ağın İPv6 kullanan bölümüne doğru yapılandırılmasına dikkat edilmesi gerekir. 33
İç Ağ (İntranet) için Öneriler Yetkilendirilmemiş bilgisayarların iç ağa dahil olmasını engellemek için 802.1x ile kimlik doğrulama yapıldıktan sonra bilgisayarların diğer bilgisayarlarla iletişim kurması sağlanmalıdır. 802.1x kullanılan ağlarda, bilgisayarlar kimlik doğrulama işlemleri yapılıncaya kadar ikinci katmanda trafik yaratamazlar. Doğrulama gerçekleştikten sonra İPv6 kullanıcısı adresini otomatik olarak yapılandırabilir ya da DHCP sunucusundan İP adresi alabilir. 34
İPv6 Paketlerinin Korunması için Öneriler İPv6 paketlerinin iletim sırasında değiştirilmesini ve ara veya komşu düğümler tarafından yakalanmasını önlemek için IPSec kullanılabilir. IPSec, şifreleme güvenlik hizmetlerini kullanarak IP paketlerinin değiştirilmesine, sızdırılmasına karşı koruma sağlar. 35
Sonuç ve Öneriler IPSec zaten kullanılmakta olan bir protokoldü, kullanımı artacaktır. Sadece IPSec ile güvenlik sağlanamaz, güvenlik duvarlarının ve saldırı tespit cihazlarının İPv6 için destek vermesi gerekir. İPv6 ya geçiş uzun bir süreçtir, analizlerin yapılması, maliyetlerin planlanması gerekir. Geçiş planlaması yapan kurumda mutlaka test ortamı oluşturulmalıdır. Geçiş bir anda bütün sistemlerle olmamalıdır. Öncelikle kritik olmayan servisler veya sistemler geçiş sürecine dahil edilmelidir. 36
TEŞEKKÜRLER 37