IPV6 AĞLAR İÇİN GÜVENLİ DHCP SİSTEM TASARIMI



Benzer belgeler
IPv6 Ağlar Ġçin Güvenli DHCP Sistem Tasarımı ve Gerçeklemesi

IPv6 AĞLAR İÇİN GÜVENLİ DHCP SİSTEM TASARIMI VE GERÇEKLEMESİ

DHCP kurulumu için Client/Server mimarisine sahip bir ağ ortamı olmalıdır ki bu da ortamda bir Domain Controller olmasını zorunlu kılar.

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

Windows Server 2012 DHCP Kurulum ve Yapılandırma

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Yeni Nesil Ağ Güvenliği

IPV6'DA MULTICAST KRİTİĞİ

Erişim Noktası Ayarları

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Ağ Yönetiminin Fonksiyonel Mimarisi

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

EC-485. Ethernet RS485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Mobil Cihazlardan Web Servis Sunumu

Kablosuz Yerel Alan Ağlarda Güvenlik Uygulaması

DHCP Servisine Yeni Bir Bakış

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

SERNET ET485CAS x2 RS485/RS422 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

OSPF PROTOKOLÜNÜ KULLANAN ROUTER LARIN MALİYET BİLGİSİNİN BULANIK MANTIKLA BELİRLENMESİ

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

BLM 6196 Bilgisayar Ağları ve Haberleşme Protokolleri

Serdar SEVİL. TCP/IP Protokolü

IPv6 Güvenliği. Emre YÜCE - TÜBİTAK ULAKBİM 2 Haziran 2010

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

Toplu İleti Gönderimi

WiFi Relay Sayfa 1 / 11. WiFi Relay. Teknik Döküman

CHAPTER 9. DHCP Server

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

Güvenli Doküman Senkronizasyonu

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

MCR02-AE Ethernet Temassız Kart Okuyucu

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Bilgi Güvenliği Eğitim/Öğretimi

ERİŞİM ENGELLEME DOS VE DDOS:

AĞ KULLANIM KILAVUZU. Yazdırma Günlüğünü Ağa Kaydetme. Sürüm 0 TUR

ĐSTEMCĐ SUNUCU SĐSTEMLER DERSĐ FĐNAL ÇALIŞMASI SORULAR YANITLAR

BİLGİSAYAR AĞLARI VE İLETİŞİM

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

ACR-Net 100 Kullanım Kılavuzu

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

BENZERSİZ SORUNLARA BENZERSİZ ÇÖZÜMLER

FortiGate & FortiAP WiFi Controller

EC-100. Ethernet RS232/422/485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

CENG 302 Yazılım Mühendisliği Yazılım Mimarisi - Devam. Alper UĞUR

Mobil Cihazlarda RTMFP Protokolü ile P2P Görüntü İletimi

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI

FTP ve Güvenlik Duvarları

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Alt Ağ Maskesi (Subnet Mask)

Ipv6'da Güvenlik. Hüseyin Gömleksizoğlu

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

EC-232C. Ethernet RS232 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Meşrutiyet Caddesi 12/ Kızılay/ANKARA T: +90 (312) info@cliguru.com

Secure Routing For Mobile Ad Hoc Networks. Muhammet Serkan ÇİNAR N


Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

BİLGİSAYAR AĞLARI VE İLETİŞİM

Ders Kodu Yarıyıl T+U Saat Kredi AKTS. Programlama Dilleri

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar.

ADSL USB Router Geniş Bantlı Internet Erişimi ADSL Modem NAT Router USB Ağ Portu Hızlı Kurulum Rehberi

AĞ HİZMETLERİ. Öğr.Gör.Volkan ALTINTAŞ. Version 4.0

Useroam Kurulum Rehberi

Useroam Kurulum Rehberi

SOME-Bus Mimarisi Üzerinde Mesaj Geçişi Protokolünün Başarımını Artırmaya Yönelik Bir Algoritma

Hızlı Başlangıç Kılavuzu

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

Access Point Mod Kurulumu

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Bilgisayar Sistemleri ilk ortaya çıktığında...

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

WiFi RS232 Converter Sayfa 1 / 12. WiFi RS232 Converter. Teknik Döküman

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 11. DHCP - Dynamic Host Configuration Protocol

AĞ TEMELLERI. İSİM SOYİSİM: EMRE BOSTAN BÖLÜM: BİLGİSAYAR PROGRAMCILIĞI ÜNİVERSİTE: NİŞANTAŞI KONU: Konu 5. TCP/IP

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

SERVİS MENÜSÜ KULLANIM REHBERİ

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Ipv6 Destekli Özgür Video Konferans Yazılımı: Fi6en

Universal Repeater Mod Kurulumu

BioAffix Ones Technology nin tescilli markasıdır.

Computer and Network Security Cemalettin Kaya Güz Dönemi

Computer Networks 7. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

Kamu Kurum ve Kuruluşları için IPv6'ya Geçiş Planı Ne Gibi Yükümlülükler Getiriyor? Necdet Yücel Çanakkale Onsekiz Mart Üniversitesi

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

DHCP IPv4 and IPv6. DNS to Add Scope. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı. Öğr. Gör. Murat KEÇECİOĞLU Nis.

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Transkript:

IPV6 AĞLAR İÇİN GÜVENLİ DHCP SİSTEM TASARIMI Gürsoy DURMUŞ 1, İbrahim SOĞUKPINAR 2 1 Havelsan Hava Elektronik Sanayi ve Ticaret A.Ş. ODTÜ Teknokent Ar-Ge Binası, 06520, Ankara. e-posta: gdurmus@yahoo.com 2 Bilgisayar Mühendisliği Bölümü, Gebze Yüksek Teknoloji Enstitüsü 41400, Gebze-Kocaeli. e-posta: ispinar@bilmuh.gyte.edu.tr ABSTRACT With the rapid growth of the Internet, IPv4 protocol will leave its duty to IPv6 protocol in the near future. One of the key issues in both protocols is how to automatically assign a unique IP address and convey other configuration parameters to a newly joining host. For this, the IETF has standardized a protocol called Dynamic Host Configuration Protocol (DHCP). In this paper, we focus on the implementation and testing of this protocol in the context of IPv6 networks. In contrast to previous implementations, we also consider security issues and integrated delayed authentication method into our implementation. We then conduct several conformance, performance, and security tests. The experimental results demonstrate the effectiveness of our system. Anahtar sözcükler: IPv6, DHCP, DHCPv6, Ağ Güvenliği, Dinamik Konak Konfigürasyonu 1. GİRİŞ IP tabanlı ağlarda, konakların birbirleri ile iletişim kurabilmeleri için tekil IP adresine sahip olmaları şarttır. IP konfigürasyonunun elle yapılması, sistem yöneticisi için hem zaman alıcı hem de bakımı zor bir iştir. Bu işlemin otomatik olarak yapılabilmesi için IETF tarafından tasarlanan DHCP protokolü günümüzde yaygın olarak kullanılmaktadır. DHCP protokolü bir istemci- mesajlaşma protokolüdür ve ağa katılmak isteyen istemciye, tarafından tekil IP adres tahsisi ve diğer ağ konfigürasyon bilgilerinin (DNS, ağ maskesi, vb) iletilmesi kurallarını tanımlar. IPv6 [1] ağlarda, tekil IP adres tahsis ihtiyacı stateless address auto-configuration mekanizması [2] ile karşılanmış olmasına rağmen hem güvenli kabul edilmemekte hem de diğer ağ konfigürasyonları otomatik olarak yapılandırılmadığı için DHCP sistemlerine ihtiyaç duyulmaktadır. Bu nedenle, IPv4 ağlar için tasarlanan DHCP protokolü [3,4] IETF tarafından IPv6 ağlar için yeniden tasarlanmış ve DHCPv6 [5] olarak adlandırılmıştır. DHCPv4 ve DHCPv6 protokolleri, işlevsel olarak benzer özelliklere sahip olmalarına karşın, yapısal olarak birbirlerinden farklıdırlar. Bu çalışmada, IPv6 ağları için güvenli DHCP tasarımı yapılmıştır. Yapılan tasarımda istemci ve ların birbirlerini sı için gecikmeli yöntemi [6] kullanılarak gerçekleme yapılmıştır. Tasarlanan sistemin uyumluluk ve performans testleri yapılarak Bölüm 4 te verilmiştir. 2. DHCP PROTOKOLÜ ve GÜVENLİĞİ DHCP servisi, ağlardaki önemli servislerden biri olmasına karşın ağ güvenli alanında yapılan çalışmalarda çoğu zaman göz ardı edilmiştir. DHCP servis güvenliği ağın fiziksel güvenliği ile eşdeğer kabul edilirken, günümüzde kablosuz ağların kullanımının yaygınlaşması bu yaklaşımı geçersiz kılmıştır. DHCP protokolüne göre istemci ve arasındaki mesajlaşma senaryosu Şekil 1 de verilmiştir. Şekil 1 DHCP mesajlaşmaları DHCP protokolünde, istemci ve arasındaki mesajlaşmalarda herhangi bir veya yetkilendirme mekanizması bulunmadığından, gerek

istemci gerekse büyük riskler altındadır. DHCP mesaj içeriklerinin değiştirilebilmesi, saldırı maksatlı DHCP mesajlarının üretilerek istemci ve lara gönderilebilmesi DHCP protokolünün en önemli güvenlik açıklarıdır [7]. Ağa bağlanmak isteyen istemciye nun verecek IP adresinin kalmaması ve istemcinin kötü niyetli lardan hatalı IP adresi ve diğer konfigürasyon bilgilerini alması istemci ve tarafında yaşanacak en büyük tehlikelerden birdir. Bu ve benzer istenmeyen durumların önüne geçmek için DHCP protokolü üzerinde çeşitli güvenlik yöntemleri geliştirilmiştir. İlgili yöntemlere ait karşılaştırmalar, Tablo-1 de verilmiştir. Anahtar, RFC3118 de tanımlı ilk güvenlik yöntemidir. ve tarafında tanımlı ortak anahtarın DHCP mesajlarına eklenerek gönderilmesiyle güvenlik sağlanmaya çalışılır [6]. Gecikmeli, RFC3118 de tanımlı ikinci güvenlik yöntemidir. ve tarafında tanımlı anahtarlar ile mesaj özetinin şifrelenerek DHCP mesajına /yetkilendirme bilgisi olarak eklenmesini önerir [6]. Kerberos-V ile, tarafında istemci işleminin Kerberos-V tarafından yapılmasını öneren güvenlik yöntemidir [8]. Sertifika bazlı, istemci ve nun sertifika makamlarından aldıkları sertifikalar ile mesajlaşmalarını öneren güvenlik yöntemidir [9] Kullanıcı, istemcinin dan hizmet alabilmesi için ayrı bir yetkilendirme merkezinden onay almasını öneren güvenlik yöntemidir [10]. Yöntem Anahtar Gecikmeli Kerberos-V ile Sertifika bazlı Kullanıcı Mesaj Kaynak Güvenlik seviyesi -, Düşük, Yüksek Orta, Yüksek - - Düşük Tablo 1 Mevcut yöntemlerin mukayeseleri Önerilen güvenlik yöntemlerinin DHCP sistemlerinde kullanımları yaygın değildir. Bunun en önemli nedeni, yöntemlerin uygulanabilmesi için bazı gereksinimlere ihtiyaç duymalarıdır. 3. GÜVENLİ DHCP SİSTEMİ IPv6 ağlar için geliştirilmiş olan bir çok DHCP sistemi olmasına karşın, güvenlik unsuru göz ardı edildiğinden DHCP saldırılarına karşı korunaksızdırlar. Gerçeklenen güvenli DHCP sisteminde, DHCP işlemlerinin güvenli bir şekilde tamamlanması hedeflenmiştir. Sunduğu yüksek seviye güvenlik önlemleri nedeni ile gecikmeli yönteminin sisteme entegrasyonu tasarlanmış ve programlanarak gerçeklenmiştir. Sistemin sağladığı güvenlik önlemleri şunlardır: ler, ları doğrulayabilirler, lar, istemcileri doğrulayabilirler, DHCP mesaj içerikleri doğrulanabilir, Mesaj tekrarlama yöntemi ile yapılacak saldırılar tespit edilebilir, Güvenlik mekanizması istemci ve üzerinde devre dışı bırakılabilir. Varsayılan anahtar kullanımı yöntemi ile istemci ve arasında anahtar paylaşımına gerek duyulmaz. Sistemde, gecikmeli yönteminin gereksinimi olan istemci ve arasındaki anahtar paylaşımı önerilen varsayılan anahtar kullanımı yöntemi geliştirilerek giderilmiştir. Bu yöntem sayesinde, anahtar tahsisi yapılmamış istemci kendi MAC adresini anahtar olarak kullanır. tarafında ise, anahtarı bulunamayan istemci için o istemcinin MAC adresi anahtar olarak kabul edilir. Varsayılan anahtar kullanımı sistem yöneticisi tarafından devre dışı bırakılabilecek şekilde tasarlanmıştır. Sistem mimarisi Şekil 2 de gösterilmiştir. Şekil 2 Sistem mimarisi 4. GERÇEKLEME VE SONUÇLAR Güvenli DHCPv6 sistemi, Visual Studio.NET 2003 uygulama geliştirme ortamında,.net Framework 1.1 üzerinde, C# programlama dili kullanılarak, nesneye yönelik programlama metodolojisine uygun olarak geliştirilmiştir. Aynı zamanda istemci ve

tarafında ihtiyaç duyulan ortak bileşenler DHCPv6 kütüphanesinde tanımlanmıştır. 4.1. Uyumluluk Testleri Gerçeklenen sistem için, uyumluluk testleri belirlenen kriterlere göre [11] yapılarak sistemin DHCPv6 uyumlu olduğu gözlemlenmiştir. Uyumluluk kontrolü göndereceği mesajları RFC- 3315 te belirtilen FF02::1:2 çoklu yayın adresini kullanarak göndermeye çalışır., 546 numaralı portu dinleyerek kendine gelen mesajları işler., 547 numaralı portu dinleyerek kendine gelen mesajları işler., Solicit, Request, Confirm, Renew, Rebind, Decline, Release, Information-Request, Relay-forward ve Relay-reply mesajlarını dikkate almaz., Advertise, Reply ve Reconfigure mesajlarını dikkate almaz., kendine gönderilen Advertise mesajının doğruluğunu ve geçerliliğini kontrol eder., kendine gönderilen Reply mesajının doğruluğunu ve geçerliliğini kontrol eder., kendine gönderilen geçersiz Reconfigure mesajlarını dikkate almaz., keşfi için geçerli Solicit mesajı gönderir., Advetise mesajlarından en büyük öncelik değerine sahip mesajı seçerek kaynak sunucusu ile mesajlaşır., geçerli Request mesajı oluşturur ve gönderir., ağını değiştirdiği durumda geçerli bir Confirm mesajı göndererek ayarlarını kontrol eder., sahip olduğu IP adresinin geçerlilik süresini artırmak için geçerli bir Renew mesajı gönderir., IP adresi almadan konfigürasyon bilgilerini elde etmek için geçerli bir Information-Request mesajı gönderir., kullanmakta olduğu IP adresinin iadesi için geçerli bir Release mesajı gönderir., gönderilen IP adreslerinin geçerliliğini kontrol eder, geçersiz IP adresleri için yeni istekte bulunur., gönderilen geçerli Advertise mesajlarını işler., kendine gönderilen geçerli Reply mesajlarını işler., kendine gönderilen geçerli Reconfigure mesajlarını işler. Tablo 2 Uyumluluk kontrolleri Sonuç Uyumluluk testlerinde istemci ve arasında gönderilen mesajlar, açık kaynak kodlu Ethereal [12] programı ile analiz edilerek DHCPv6 uyumluluk kontrolleri yapılmıştır. 4.2. Performans Testleri DHCP istemci ve yazılımları 3 tip seçenekle çalıştırılabilirler. Bunlar: 1. Güvenli iletişim kur/kurma, 2. IP adres işlemleri (tahsis / atama) 3. DNS işlemleri (DNS IP adreslerini gönderme / DNS konfigürasyonunu yapma) Bu üç seçenek ile gerçeklenebilecek 8 tip senaryo için performans testleri yapılmış olup, Şekil-3 te istemcilerin ortalama konfigürasyon zamanları verilmiştir. Şekil 3 nin ortalama konfigürasyon zamanı Fonksiyonel seçenekler Senaryolar IPv6 adresi al DNS ayarı yap Güvenli mesajlaş A - - - B - - C - - D - E - - F - G - H Tablo 3 Senaryolar için konfigürasyon seçimleri Yapılan performans testlerinde, güvenlik modülünün devreye alınmasının sisteme getirdiği yükün göz ardı edilebilecek değerlerde olduğu gözlemlenmiştir. 4.3. Güvenlik Testleri DHCP saldırı tipleri sınıflandırılarak istemci ve lara saldırılarda bulunulmuş, güvenlik

modülünün devrede olduğu ve devre dışı bırakıldığı durumlarda sistem davranışları gözlemlenmiştir. tarafında güvenlik modülü devre dışı bırakıldığında istemci, ağdaki sahte lardan hizmet almış ve konfigürasyonu hatalı yapılmıştır. Güvenlik modülünün devreye alınması ile, sahte lar istemci tarafından tespit edilerek gönderdiği mesajlar istemci tarafında göz ardı edilmiştir (Şekil 4). Şekil 4 Güvenli DHCP istemcisi mesajlaşması tarafında güvenlik modülü devre dışı bırakıldığında, istenmeyen istemcilere hizmet vermiş, IP adres havuzunun yapılan saldırılarla boşaltıldığı tespit edilmiştir. Güvenlik modülünün devreye alınmasıyla, geçersiz istemciler tespit edilerek hizmet almaları engellenmiştir (Şekil 5). Şekil 5 Güvenli DHCP su mesajlaşması ve tarafında güvenlik modülü devrede olduğunda mesaj tekrarlama yöntemi ile yapılan saldırılar da sistem tarafından tespit edilmiş ve saldırı maksatlı gönderilen mesajlar iptal edilmiştir. Gerçeklenen güvenli DHCP sistemi, yetkilendirme metotlarını içeren güvenlik mekanizması ile DHCP saldırılarına karşı tam korunaklıdır. 4.4. Diğer DHCP Sistemleri IPv6 ağlarda kullanılmak üzere tasarlanmış ve geliştirilmiş açık kaynak kodlu DHCP sistemlerinden WIDE-DHCPv6 [13] ve Dibbler [14] sistemleri incelenmiş ve geliştirilen güvenli DHCP sistemi ile mukayeseleri Tablo-4 te verilmiştir. Özellik RFC uyumluluğu (Kısmen) DHCP elemanları İşletim sistemleri Çoklu desteği IPv6 adres tahsisi Güvenlik mekanizması Konfig. arayüzü Yardımcı dokümanlar WIDE DHCPv6 RFC3315 RFC3319 RFC3633 Ajan Linux, BSD Dibbler RFC3315 RFC3736 RFC3898 Ajan Linux, Win XP Win 2003 Güvenli DHCPv6 RFC3315, RFC3118, Win XP Win 2003 * Geliştirme kılavuzu Tablo 4 Açık kaynak kodlu DHCPv6 sistemleri * Geliştirme kılavuzu * Kod içi açıklamalar * MSDN formatlı yardım * UML şemaları * Akış şemaları 4.5. Güvenli DHCPv6 su Gerçeklenen DHCPv6 su, DHCPv6 istemcisinden gelen mesajları işlemekte, istemciye tanımlı ağ konfigürasyon bilgileri ile birlikte IPv6 adresi tahsis edebilmektedir. Genel özellikleri şunlardır: Kısmen RFC3315 [5], [15], ve RFC3118 [6] uyumludur. SOLICIT, REQUEST, DECLINE, RELEASE, RENEW, CONFIRM ve INFORMATION-REQUEST mesajlarını işleyebilir.

Ağ erişim bilgilerinde değişiklik olması durumunda istemcilere RECONFIGURE mesajı göndererek istemcilerin yeniden yapılandırılmalarını sağlayabilir. IPv6 adres tahsisi yapabilir. Tanımlı DNS larının listesini istemciye iletebilir. Sistem yönetici tarafından güvenlik modülü devre dışı bırakılabilir. Sistem yöneticisi tarafından sadece ağ konfigürasyon bilgilerini gönderecek şekilde ayarlanabilir. Konfigürasyon için sistem yöneticisine kullanıcı arayüzü sağlar. 4.6. Güvenli DHCPv6 si Gerçeklenen DHCPv6 istemcisi, ağa bağlanacak konak için otomatik IP adres tahsisi ve ağ konfigürasyonu işlemlerini gerçekleştirebilir. Genel özellikleri şunlardır: Kısmen RFC3315 [5], [15], ve RFC3118 [6] uyumludur. ADVERTISE, REPLY ve RECONFIGURE mesajlarını işler. Mevcut IP ayarlarının doğruluğu için CONFIRM-REPLY mesajlaşması yapabilir. Kullandığı IPv6 adresinin ya iadesi için RELEASE-REPLY mesajlaşması yapabilir. Mevcut IP adresinin geçerlilik süresini artırmak için RENEW-REPLY mesajlaşması yapabilir. Birden fazla DHCP arasından en yüksek öncelikli dan istekte bulunabilir. IPv6 adres ataması yapabilir. DNS su konfigürasyonu yapabilir. Sistem yönetici tarafından güvenlik modülü devre dışı bırakılabilir. Sistem yöneticisi tarafından sadece ağ konfigürasyonunun yapılandırılması için ayarlanabilir (IP adresi almadan DNS vb. ağ ayarlarının yapılandırılması). Konfigürasyon için sistem yöneticisine kullanıcı arayüzü sağlar. uygulama geliştirmek isteyenlere kaynak teşkil etmektedir. KAYNAKLAR [1] S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification RFC 1883, December 1995 [2] S. Thomson, T. Narten, IPv6 Stateless Address Autoconfiguration RFC 2462, December 1998 [3] R. Droms, Dynamic Host Configuration Protocol, RFC 1541, IETF, October 1993 [4] R. Droms, Dynamic Host Configuration Protocol, RFC 2131, IETF, March 1997 [5] R. Droms, J. Bound, B. Volz, T. Lemon, C. Perkins, M. Carney, Dynamic Host Configuration Protocol for IPv6 RFC 3315, July 2003 [6] R. Droms, W. Arbaugh, Authentication for DHCP Messages, RFC 3118, IETF, June 2001. [7] R. Hibbs, C. Smith, B. Volz, M. Zohar, Dynamic Host Configuration Protocol for IPv4 (DHCPv4) Threat Analysis, Internet-Draft, IETF, June 2003 [8] K. Hornstein, T. Lemon, B. Aboba, J. Trostle DHCP Authentication via Kerberos V., Internet Draft (c) The Internet Society, November 2000. [9] G. Glazer, C. Hussey, R. Shea Certificate-Based Authentication for DHCP, March 2003, http://www.cs.ucla.edu/chussey/proj/dhcp cert/cbda.pdf [10] T. Komori, T. Saito, The Secure DHCP System with User Authentication, Local Computer Networks, 2002. Proceedings. LCN 2002. 27th Annual IEEE Conference. Page(s): 123-131, ISBN 0-7695-1591-6, November 2002 [11] IPv6 Consortium, InterOperability Laboratory, Research Computing Center, University of New Hampshire, http://www.iol.unh.edu/testsuites/ipv6 [12] Ethereal : A Network Protocol Analyzer, http://www.ethereal.com [13] KAME Project, http://www.tahi.org, http://widedhcpv6.sourceforce.net [14] T. Mrugalski, Dibbler a portable Dynamic Host Configuration Protocol for IPv6 implementation, The 8th International Conference on Telecommunications, Contel 2005, June 2005 [15] R. Droms, Ed., DNS Configuration options for Dynamic Host Configuration Protocol for IPv6 (DHCPv6), RFC 3646, IETF, December 2003 5. SONUÇ VE ÖNERİLER DHCP protokolü bir çok güvenlik açığına sahip olmasına karşın günümüzde yaygın kullanılan bir protokoldür. Geliştirilen birçok DHCP sistemi, güvenliği uygulama seviyesinde sağladığı için, protokol güvenlik açıkları kullanılarak yapılacak saldırılara karşı savunmasızdır. Bu bildiride özetlenen, IPv6 ağlarda kullanılmak üzere tasarlanan güvenli DHCP sistemi, güvenliği protokol seviyesinde sağladığı için yapılacak saldırılara karşı korunaklıdır. Sunduğu açık kaynak kodlu mimari ile gerek DHCP işlevlerini artırmak isteyenlere, gerekse IPv6 üzerinde

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim