IPv6 AĞLAR İÇİN GÜVENLİ DHCP SİSTEM TASARIMI VE GERÇEKLEMESİ

Benzer belgeler
IPv6 Ağlar Ġçin Güvenli DHCP Sistem Tasarımı ve Gerçeklemesi

IPV6 AĞLAR İÇİN GÜVENLİ DHCP SİSTEM TASARIMI

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

Yeni Nesil Ağ Güvenliği

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Ağ Yönetiminin Fonksiyonel Mimarisi

IPv6 Güvenliği. Emre YÜCE - TÜBİTAK ULAKBİM 2 Haziran 2010

EC-485. Ethernet RS485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Windows Server 2012 DHCP Kurulum ve Yapılandırma

EC-100. Ethernet RS232/422/485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Bilgi Güvenliği Eğitim/Öğretimi

Yönlendiriciler ve Yönlendirme Temelleri

EKLER EK 12UY0106-5/A4-1:

Ipv6 Destekli Özgür Video Konferans Yazılımı: Fi6en

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

DHCP kurulumu için Client/Server mimarisine sahip bir ağ ortamı olmalıdır ki bu da ortamda bir Domain Controller olmasını zorunlu kılar.

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Đstanbul Teknik Üniversitesi Bilgi Đşlem Daire Başkanlığı. 9 Kasim 2007 INET-TR Ankara

EC-232C. Ethernet RS232 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

DHCP Servisine Yeni Bir Bakış

Computer and Network Security Cemalettin Kaya Güz Dönemi

Meşrutiyet Caddesi 12/ Kızılay/ANKARA T: +90 (312) info@cliguru.com

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

BİLGİSAYAR AĞLARI VE İLETİŞİM

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

IPV6'DA MULTICAST KRİTİĞİ

Kablosuz Yerel Alan Ağlarda Güvenlik Uygulaması

Toplu İleti Gönderimi

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

FortiGate IPSec VPN (Gateway-to-Gateway) v4.00-build /02

LINK LAYER PROTOCOL YUNUS EMRE BAYAZIT

SİBER SUÇLARA KARŞI SİBER ZEKA

DNS Nedir? HİKMET TÜYSÜZ

AĞ TEMELLERI. İSİM SOYİSİM: EMRE BOSTAN BÖLÜM: BİLGİSAYAR PROGRAMCILIĞI ÜNİVERSİTE: NİŞANTAŞI KONU: Konu 5. TCP/IP

BM 402 Bilgisayar Ağları (Computer Networks)

AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

IPv4 Teknolojisi ile IPv6 Teknolojisinin Performanslarının Karşılaştırılması

OSPF PROTOKOLÜNÜ KULLANAN ROUTER LARIN MALİYET BİLGİSİNİN BULANIK MANTIKLA BELİRLENMESİ

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

LASERJET ENTERPRISE M4555 MFP SERIES. Yazılım Yükleme Kılavuzu

Hızlı Başlangıç Kılavuzu

Qlik Sense için sistem gereksinimleri. Qlik Sense June 2017 Copyright QlikTech International AB. Tüm hakları saklıdır.

P-661HNU F1 ve P-660HNU F1 QoS Yönetimi

Remote access? Tabi ki!

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Alt Ağ Maskesi (Subnet Mask)

Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları

Ağınız üzerinde tarama yapmak için Web Hizmetleri'ni kullanma (Windows Vista SP2 veya üzeri, Windows 7 ve Windows 8)

BLM 6196 Bilgisayar Ağları ve Haberleşme Protokolleri

MCR02-AE Ethernet Temassız Kart Okuyucu

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

Ipv6'da Güvenlik. Hüseyin Gömleksizoğlu

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Bağlantı Kılavuzu. Desteklenen işletim sistemleri. Yazıcı yükleme. Bağlantı Kılavuzu

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

BTK nın IPv6 ya İlişkin Çalışmaları

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

BÖLÜM 7. Telekomünikasyon, İnternet ve, Kablosuz Teknoloji. Doç. Dr. Serkan ADA

BLGM 344 DENEY 3 * AĞ PROGRAMLAMAYA GİRİŞ

Bölüm3 Taşıma Katmanı. Transport Layer 3-1

EGE Üniversitesi Network (Ağ) Altyapısı

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

Windows Grup İlkesi Düzenleyici

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Coslat Monitor (Raporcu)

AĞ GÜVENLİĞİ VE GÜVENLİK DUVARINDA VPN UYGULAMASI

Grid hesaplama Sistemlerinde Güvenlik Araçları

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Kas Salı, Çarşamba Öğr. Gör. Murat KEÇECİOĞLU

AirPrint Kılavuzu. Sürüm 0 TUR

Gateway Load Balancing Protocol (GLBP)

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

DHCP IPv4 and IPv6. DNS to Add Scope. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı. Öğr. Gör. Murat KEÇECİOĞLU Nis.

Protocol Mimari, TCP/IP ve Internet Tabanlı Uygulamalar

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

DERS TANITIM ve UYGULAMA BİLGİLERİ


CHAPTER 9. DHCP Server

BİLGİSAYAR AĞLARI VE İLETİŞİM

Computer Networks 7. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Kamu Kurum ve Kuruluşları için IPv6'ya Geçiş Planı Ne Gibi Yükümlülükler Getiriyor? Necdet Yücel Çanakkale Onsekiz Mart Üniversitesi

İÇİNDEKİLER Ön söz... İçindekiler...

Transkript:

IPv6 AĞLAR İÇİN GÜVENLİ DHCP SİSTEM TASARIMI VE GERÇEKLEMESİ Gürsoy DURMUŞ İbrahim SOĞUKPINAR Özet Internetin hızla yaygınlaşması, bağlantı gereçlerindeki çeşitlilik IPv4 protokolünde performans ve kapasite sorunlarını daha belirgin hale getirmiştir. Bu durum yeni nesil Internet Protokolünün (IPv6) geliştirilmesine vesile olmuştur. Her iki protokolde de konakların tekil IP adresine sahip olmaları ve diğer ağ ayarlarının otomatik olarak tamamlanması önemli bir husustur. Bu amaca yönelik IETF tarafından Dinamik Konak Yapılandırma Protokolü (Dynamic Host Configuration Protocol -DHCP) tasarlanmıştır. Bu çalışmada, IPv6 ağlar için güvenli DHCP sistemi tasarlanarak gerçeklenmiştir. Gerçeklenen sistemin özellikleri, uyumluluk, performans ve güvenlik test sonuçları sunulmuştur. Anahtar Kelimeler DHCP, DHCPv6, IPv6 I. GİRİŞ BİLGİSAYAR ağlarında konakların birbirleri ile iletişim kurabilmeleri için tekil IP adreslerine sahip olmaları ve bazı ayarlarının (DNS, ağ maskesi vb.) yapılmış olması gerekmektedir. IP adres tahsisi ve diğer ayarlar elle yapılabileceği gibi otomatik te sağlanabilir. Dinamik Konak Yapılandırma Protokolü (DHCP), IPv4 ağlarda konak yapılandırması için tasarlanmış ve yaygın olarak kullanılmıştır [1, 2]. DHCP protokolünün öncelikli amacı, konakların katıldıkları ağlarda otomatik olarak IP adresi edinmelerini sağlamaktır. Protokol ayrıca IP adreslerinin dinamik yönetimine ve diğer ayarların tamamlanmasına ilişkin kuralları da içerir. IPv6 [3], IP adres yapılandırması için 3 farklı yöntem sunmaktadır, bunlar durum denetimsiz otomatik adres yapılandırması (stateless address autoconfiguration), durum denetimli otomatik adres yapılandırması (statefull address autoconfiguration) ve elle yapılandırmadır. Durum denetimsiz yapılandırmada, adres oluşturulurken yönlendirici anonsları ve ağ arabirim kartı adresinden yararlanılır [4]. Durum denetimli yapılandırmada, IPv6 adresleri DHCPv6 [5] protokolünün gerçeklenmiş istemci ve sunumcuları ile sağlanır. DHCPv6 ile DHCPv4 işlevsel olarak birbirlerine benzemelerine karşın yapısal olarak aralarında büyük farklılıklar vardır [6]. Literatürde DHCPv6 protokolünün gerçeklenmesine yönelik çok az çalışma vardır. WIDE DHCPv6 [7] ve Yazım tarihi: 15 Ekim 2010. Gürsoy Durmuş, Havelsan A.Ş., Eskişehir Yolu, 7.km Ankara Türkiye e-posta: gdurmus@havelsan.com.tr İbrahim Soğukpınar, Gebze Yüksek Teknoloji Enstitüsü, Bilgisayar Mühendisliği Bölümü, Kocaeli Türkiye e-posta: ispinar@bilmuh.gyte.edu.tr Dibbler-DHCPv6 [8] gibi DHCPv6 gerçeklemeleri herhangi bir güvenlik mekanizmasına sahip olmadıklarından DHCP saldırılarına karşı korunaksızdırlar. Bu çalışmada, IPv6 ağlar için RFC-3315,3118,3646 [5,9,10], standartları esas alınarak güvenli DHCP sistemi tasarlanarak gerçeklenmiştir. Bu makalede, bilinen DHCP güvenlik açıkları da göz önüne alınarak geliştirilen güvenli DHCPv6 gerçeklemelerine ait tasarım, geliştirme ve test sonuçları sunulmuştur.. Makalenin ikinci bölümünde DHCP protokolündeki güvenlik açıkları ve çözüm önerileri, üçüncü bölümünde gerçeklenen sistemin tasarımı, dördüncü bölümünde gerçekleme ve test sonuçları, beşinci bölümde sonuçlar ve gelecek çalışmalar verilmiştir. II. DHCP GÜVENLİK AÇIKLARI VE ÇÖZÜM ÖNERİLERİ DHCP protokolü üzerinden adres yapılandırırken UDP ve IP protokolleri de kullanılmaktadır. UDP ve IP protokollerindeki bilinen güvenlik açıkları yanısıra DHCP protokolünde de ciddi güvenlik açıkları vardır. DHCP mesaj içeriklerinin gizli/önemli veri içermediği varsayıldığından herhangi bir doğrulama mekanizması mesajlara dâhil edilmemiştir [11]. Bu durum, DHCP istemcisi ile sunumcusunun birbirlerini tanımlayamamasına, mesaj içeriklerinin doğrulanamamasına neden olmaktadır. Bilinen güvenlik açıklarını amaçları doğrultusunda fırsata dönüştüren bir saldırgan ağda çeşitli istenmeyen durumlara neden olabilir. A. DHCP İstemcisi İçin Riskler DHCP istemcisi için en önemli risk art niyetli hizmet veren DHCP sunumcularıdır. Bu sunuculardan hizmet alan bir istemci, ağ ayarlarını hatalı tamamlaması durumunda ağa bağlanamama, saldırganın amacına yönelik tamamlaması durumunda dinlenme riskleri ile karşı karşıyadır. DHCP istemcilerinin en sık yaşadığı sorun, istem dışı hizmet vermeye başlayan DHCP sunumculardan almış oldukları hatalı ağ ayarları nedeni ile ağa bağlanamamadır [9, 12]. B. DHCP Sunumcusu İçin Riskler DHCP sunumcusu için yetkin olmayan istemciler ciddi riskler taşımaktadır. DHCP sunumcusundan alınacak ağ bilgileri ve IP adresi ile ağa istenmeyen istemcilerin dâhil olması ağ güvenliğini tehlikeye sokar. Bir diğer risk ise, DHCP sunumcusuna yapılacak IP adreslerinin tüketimi saldırılarıdır. Sunumcudan sürekli IP adresi isteyen bir istemci, IP adres havuzunun boşaltılmasına ve ağa bağlanmak isteyen diğer istemcilerin sunumcudan hizmet alamamasına neden olabilir. Yapılan saldırılarla, başka hizmetler de vermesi muhtemel olan DHCP sunumcusunun işlemci ve bellek kaynakları da risk altındadır. [9, 12]. Literatürde DHCP protokolündeki güvenlik açıklarının 79

ULUSAL IPv6 KONFERANSI 2011 giderilmesine yönelik bazı çalışmalar yapılmış olmasına rağmen uygulama da çok pratik olmadıklarından yaygın olarak kullanılmamışlardır. Bunlardan bazıları: Anahtar Doğrulama: RFC-3118 de tanımlı ilk yöntemdir. Bu yöntem, istemci ve sunumcu tarafından karşılıklı bilinen anahtarların DHCP mesajlarına eklenmesini önerir [9]. Anahtarların açık bir biçimde mesajlara eklenmesi, mesaj içeriklerinin doğrulanamaması bu yöntemin zaaflarındandır. Gecikmeli Doğrulama: RFC-3118 de tanımlı ikinci yöntemdir. Bu yöntem, istemci ve sunumcunun daha önceden atanan anahtarları kullanarak gönderilen DHCP mesajlarına, mesaj özetlerinin bu anahtarlar kullanılarak şifrelenmiş hallerinin eklenerek gönderilmesini önerir. Bu yöntem, istemci ve sunumcuların birbirlerinin doğrulamalarını sağladığı gibi, mesaj içeriklerinin de doğrulamasını sağlar [9]. RFC-3118 de tanımlı her iki yöntemde ortak sıkıntı, mesajlaşma öncesi anahtarların istemci ve sunumculara dağıtılmasıdır. Kerberos-V ile Doğrulama: Bu yöntem, Kerberos-V altyapısının sunumcu tarafında kullanılarak istemcilerin doğrulanmasını önerir [13]. İstemcilerin korunaksız olması, Kerberos sunumcusunda istemcinin tanımlanması ve sunumcu tarafında Kerberos kontrollerinin yapılıyor olması bu yöntemin zaaflarındandır. Sertifika Bazlı Doğrulama: İstemci ve sunumcuların sertifika makamlarından edinecekleri sertifikaları kullanarak mesajlaşmalarını önerir. Sertifikaların dağıtılması, geçerlilik bakımları, farklı ağlarda farklı sertifika kullanma gereksinimleri bu yöntemin zaaflarındandır [14]. Kullanıcı Doğrulama: İstemcilerin MAC adreslerinin sunumcu tarafında tanımlanması veya harici bir doğrulama merkezinde istemcinin doğrulandıktan sonra sunumculardan hizmet almasını öngörür [15]. MAC adreslerinin kopyalanabiliyor olması ya da taklit edilmesi bu yöntemin zaaflarındandır. III.GÜVENLİ DHCP SİSTEMİ TASARIMI Bir DHCP sistemi; istemci, sunumcu, ajan ve sistem yönetim araçları gibi uygulamaları içerir. Bu bileşenler birbirlerinden farklı uygulamalar olmalarına karşın benzer yapıtaşlarına sahiptirler. Örneğin, ağdaki DHCP sunumcuların tespiti için kullanılan bir gözlemci uygulaması ile istemci uygulaması arasında gerçekleme açısından bakınca çok fazla bir fark olmadığı aşikârdır, her iki uygulamada ağdaki sunumcuları bulmak için bir mesaj gönderir ve sunumcuların bunu yanıtlamasını beklerler. Bu gerçekten yola çıkarak, tasarım aşamasında yeniden kullanılabilir, davranışı parametrik yönetilebilir bileşenler geliştirilmesine karar verilmiştir. Alınan tasarım kararları gereği, öncelikli olarak ortak kullanılan bileşenler geliştirilmiş ve bu bileşenler kullanılarak uygulamaların değişik türevlerdeki sürümleri çok hızlı bir şekilde gerçeklenebilmiştir. Tasarlanan ve gerçeklenen DHCP sisteminde yer alan öğeler Şekil 1 de sunulmuştur. 80 Şek. 1. Sistem mimarisi A. DHCPv6 Kütüphanesi DHCPv6 Kütüphanesi, DHCP sistem öğelerinde ortak kullanılan, istemci ve sunumcu mantıksal gerçeklemeleri, IPv6 çoklu gönderim yardımcı bileşenleri, günlük tutma ve doğrulama altyapı bileşenlerini içerir. DHCPv6 Kütüphanesi, Güvenli DHCPv6 Sunumcusu, Güvenli DHCPv6 İstemcisi, DHCPv6 Sunumcu Gözlemcisi ve Saldırgan DHCPv6 İstemcisi uygulamalarının farklı biçimlerde gerçeklenmesinde büyük kolaylıklar sağlamıştır. B. Güvenli DHCPv6 Sunumcusu Tasarlanan ve gerçeklenen Güvenli DHCP Sunumcusunun genel özellikleri aşağıda listelenmiştir: RFC-3315 [5], RFC-3646 [10] ve RFC-3118 [9] ile kısmen uyumludur. SOLICIT, REQUEST, DECLINE, RELEASE, RENEW, CONFIRM ve INFORMATION-REQUEST mesajlarına karşılık verebilir. RECONFIGURE mesajı gönderip istemcileri yeniden istekte bulunmalarını tetikleyebilir. İstemcilere IPv6 adres tahsis yapabilir. DNS bilgilerini istemciye iletebilir. Sahip olduğu güvenlik kipi, çalışma anında devreye alınıp devre dışı bırakılabilir. Sadece IPv6 adres tahsisi veya ağ ayarlarının gönderilmesi için ayarlamalar yapılabilir. Güvenlik kipi devrede iken anahtarı bulunmayan istemciler için MAC adreslerini anahtar olarak kullanıp kullanmayacağı çalışma anında belirlenebilir. Sunumcu ayarlamaları için kullanıcı arayüzüne sahiptir. C. Güvenli DHCPv6 İstemcisi Gerçeklenen DHCPv6 İstemcisinin genel özellikleri şunlardır: RFC-3315 [5], RFC-3646 [10] ve RFC-3118 [9] standartları ile kısmen uyumludur. ADVERTISE, REPLY ve RECONFIGURE mesajlarını işleyebilir. IP adresinin iadesi için RELEASE-REPLY mesajlaşması yapabilir. IP adreslerinin yenilenmesi için RENEW-REPLY mesajlaşması yapabilir. Tespit edilen DHCP Sunumculardan önceliğine göre hizmet alır.

Konağın IPv6 adres ayarını yapabilir. Konağın DNS sunumcusu ayarlarını yapabilir. Sahip olduğu güvenlik kipi, çalışma anında devreye alınıp devre dışı bırakılabilir. Sadece ağ ayarlarının temini ve yapılandırılması için kullanılabilir. Konak için tahsis edilmiş bir anahtar yoksa MAC adresini anahtar olarak kullanabilir. İstemci ayarlamaları için kullanıcı arayüzüne sahiptir. D. DHCPv6 Sunumcu Gözlemcisi DHCPv6 Sunumcu Gözlemcisi, IPv6 ağlarda hizmet veren DHCPv6 sunumcuların gözlenmesi, sistem yöneticisi tarafından oluşturulan kurallara uymayan sunumcuların tespiti ve rapor edilmesi için tasarlanmış ve gerçeklenmiş bir ağ yönetim uygulamasıdır. Sistem yöneticisi, sunumcunun doğrulanması için sunumcunun DUID sini (DHCP Unique ID) ve/veya sunumcu önceliğini kural olarak tanımlayabilir. Tanımlı kurallara uymayan sunumcu tespitinde e-posta yoluyla veya özel hazırlanmış betiklerin çalıştırılması ile sistem yöneticisi uyarılır. DHCPv6 Gözlemcisi ile sistem yöneticisi, ağında hizmet veren sunumcuları takip edebilir, istem dışı veya art niyetli hizmet vermeye başlayan sunumculardan konaklarını koruyabilir. E. Saldırgan DHCPv6 İstemcisi DHCPv6 sisteminin güvenlik testlerinde kullanılmak üzere tasarlanan ve gerçeklenen bir uygulamadır. Saldırgan DHCPv6 İstemcisi, ağda hizmet veren DHCPv6 sunumcularını tespit eder ve seçilen sunumcu üzerinde IP adreslerinin tüketimi ve sunumcunun diğer istemcilere geç yanıt vermesi için meşguliyet saldırıları yapar. F. Güvenlik Mekanizmasının Tasarımı Güvenli bir DHCP sistemi için, mevcut güvenlik açıklarını kapatan ve uygulanabilir bir güvenlik yöntemine ihtiyaç vardır. Gerçeklenen sistemde, daha önce bahsettiğimiz sonradan doğrulama yöntemi güvenlik mekanizması olarak seçilmiştir. Bu yöntemin seçiminde etkili olan özellikleri şunlardır: herhangi bir ayarlamaya ihtiyaç duymayacak ve ağa bağlandıktan sonra üçüncü uygulamalar ile anahtarını güncelleyebilecektir. Sistem yöneticisi, sunumcu ayarları arayüzünden ağa bağlanan istemcileri ve kullandıkları anahtarları görebilir ve güncelleyebilir. Belirlenen anahtar paylaşım yöntemi sisteme ayrı bir güvenlik açığı getiriyor olmasına karşın, saldırganının bu yöntemi tespiti ve saldırısı daha zor olacaktır. Güvenlik kipi devrede olan bir sunumcu, sadece güvenlik kipi devrede olan ve doğrulaması yapılmış istemcilere hizmet vermeye başlar. İstemciden gelen mesajları alan sunumcu öncelikle mesajın içeriğini ve gönderen istemciyi doğrulamaya çalışır. Doğrulama işlemi sağlanırsa sunumcu gelen mesajı işler, aksi halde iptal eder. Bu sayede sunumcu art niyetli istemcilerden gelecek saldırılara karşı korunaklı olur. Güvenlik kipi devrede olan bir istemci, güvenlik kipi devrede olan ve güvenilir sunumculardan hizmet almaya çalışır. Sunumculardan gelen mesajları alan istemci, öncelikle mesajın içeriğini ve gönderen sunumcuyu doğrulamaya çalışır. Doğrulama işlemi sağlanırsa istemci gelen mesajı işler, aksi halde iptal eder. Bu sayede istemci art niyetli sunumculardan gelecek saldırılara karşı korunaklı olur. Gerçeklenen güvenlik yöntemi aynı zamanda istemci ve sunumcuları mesaj tekrarlama saldırılarına karşı da korunaklı hale getirmiştir. Şekil 2 ve Şekil 3 te istemci ve sunumcu tarafında güvenlik mekanizmasının çalışma prensibi özetlenmiştir. İstemci ve sunumcuların birbirlerini doğrulamalarını sağlaması, DHCP mesaj içeriğinin doğrulanmasını sağlaması, Harici bir sisteme ihtiyaç duyulmaması, Yerel alan ağlarında kullanımının kolay olması. Sonradan doğrulama yönteminin uygulanmasına yönelik önemli engellerden biri istemci ve sunumcu tarafında anahtarların tanımlanması sürecidir. Tasarımımızda bu sürecin hızlı ve zahmetsizce tamamlanabilmesi için konağın MAC adresini anahtar olarak kullanabileceğini varsaydık. Bu sayede istemci IP adresi edinirken Şek. 2. İstemci tarafında güvenlik mekanizmasının işleyişi 81

ULUSAL IPv6 KONFERANSI 2011 82 Şek. 3. Sunumcu tarafında güvenlik mekanizmasının işleyişi IV. GERÇEKLEME VE TEST SONUÇLARI Tasarlanan DHCPv6 sistemi; nesneye yönelik programlama yöntem bilimine göre, C# programlama dilinde,.net Framework 1.1 altyapısı kullanılarak, Visual Studio 2003 geliştirme ortamında gerçeklenmiştir. Sistem testleri, Windows XP (SP2) işletim sistemi üzerinde, 512 MB Ram li, 100Mbps ağ bağlantı birimi, Pentium IV işlemcili donanım üzerinde yapılmıştır. Test sonuçları aşağıda sunulmuştur. A. Uyum Testleri Gerçeklenen DHCPv6 sisteminin uyum testleri, New Hampshire Üniversitesi bünyesinde oluşturulan IPv6 Konsorsiyumunun hazırlamış olduğu test adımlarına [16] göre yapılmış olup sonuçları Tablo 1 de sunulmuştur. Uyumluluk testleri esnasında, istemci ve sunumcu tarafından yayımlanan DHCPv6 mesajları açık kaynak kodlu Ethereal programı [17] kullanılarak çözümlenmiştir. Yayınlanan bütün mesajlar Ethereal programı tarafından düzenli bir şekilde ayrıştırılabilmiş ve RFC uyumlulukları da kontrol edilmiştir. B. Güvenlik Testleri Güvenlik testleri, istemci ve sunumcu taraflarında güvenlik mekanizmaları ayrı ayrı ve birlikte devreye alınarak icra edilmiştir. Testler esnasında, gerçeklenen DHCPv6 Sunumcusu farklı yapılandırmalarla çalıştırılarak istemcilere karşı saldırı benzetimleri yapılmıştır. Yine gerçeklenen Saldırgan DHCPv6 İstemcisi ile hedef alınan DHCPv6 sunumcusuna saldırılar yapılmıştır. Güvenlik mekanizması devreye alınmış bir istemciye karşı yapmış olduğumuz saldırılarda, istemci mesaj içeriklerini ve kaynağı doğrulamadığı için gönderilen saldırı mesajlarını iptal etmiş ve saldırılardan etkilenmemiştir. Güvenlik kipinin devrede olmadığı durumlarda, yapılan saldırılarda, sahte sunumcunun daha öncelikli olduğu ve daha hızlı cevap döndüğü durumlarda istemcinin sahte sunumculardan hizmet aldığı gözlemlenmiştir. Sunumcu tarafında güvenlik mekanizması devreye alındığında sunumcu, saldırgan istemciden gelen mesajları içerikleri doğrulanamadığından iptal etmiş, bu istemcilere cevaben herhangi bir mesaj göndermemiştir. Güvenlik kipinin devre dışı bırakıldığı durumlarda, saldırgan istemcinin sürekli IPv6 adresi talebinde bulunduğu ve sunumcunun belirlenen IPv6 adresi aralığında IP adresi kalmadığı tespit edilmiştir. Güvenlik mekanizması devrede olan ve devre dışı bırakılmış istemci ve sunumcuların yayınlamış oldukları mesajlardan kayıt altına alınanlardan bazıları tekrar ağa sunulmuş ve karşı tarafın bu mesajları iptal ettiği gözlemlenmiştir. Mesaj tekrarlama yöntemi ile yapılan bu güvenlik testlerinde sistemin korunaklı olduğu gözlemlenmiştir.

C. Performans Testleri Gerçeklenen sistemde istemci ve sunumcu uygulamaları, IPv6 adres tahsisi, DNS ayarı ve güvenlik mekanizmasının durumuna ilişkin üç farklı çalışma anı değişkeni ile çalıştırılabilmektedir. Bu üç değişkenin farklı birlikteliklerde kullanımı ile 8 farklı performans test senaryosu icra edilmiştir. Her bir test senaryosu istemciler üzerinden 100 kez tekrarlanmış ve istemcilerin yapılandırma sürelerinin max., min. ve ortalama değerleri hesaplanmıştır. Test sonuçları Tablo 2, Tablo 3 ve Şekil 4 te sunulmuştur. Performans test sonuçlarına göre, istemci ve sunumcu tarafında güvenlik mekanizmasının devreye alınmasının sisteme getirdiği yüklemelerin göz ardı edilebilecek değerlerde olduğu tespit edilmiştir. D. Diğer DHCPv6 Gerçeklemeleri İle Karşılaştırılması Gerçeklenen sistemin diğer bazı DHCPv6 gerçeklemeleri ile olan karşılaştırmaları Tablo 4 te verilmiştir. Gerçeklenen sistem, diğer sistemlerde olmayan güvenlik mekanizması, kullanımı kolaylaştıran arayüzleri gibi özellikleri ile tamamen farklıdır. Şek. 4. İstemcilerin ortalama yapılandırma süreleri V. SONUÇLAR VE GELECEK ÇALIŞMALAR Bu çalışmada, DHCP protokolünün IPv6 ağlarda daha güvenli bir şekilde nasıl kullanılabileceği uygulamalı olarak gösterilmiştir. DHCP protokolü ve gerçeklemeleri barındırdığı güvenlik açıklıklarına rağmen, IPv4 ağlarda kullanıldığı kadar IPv6 ağlarda da kendine olan ihtiyacı hissettirecek ve kullanılmazsa olmaz hizmetlerden biri olmaya devam edecektir. Kablosuz ağlardaki yaygınlaşma, IPv6 nın getirileri göz önüne alındığında bu hizmetin güvenli bir şekilde sunulması önem arz etmektedir. IPv6 ya geçiş süreci ülkemizde de önem arz etmeye başlamış ve hem kamuda hem de akademik alanlarda çalışmalar hız kazanmıştır. Ülkemizde IPv6 tabanlı çözümlerin sunulması, uygulamaların yaygın olarak üretilmesi ve pazarlanması, bu konudaki bilgi birikiminin ve iş gücünün artırılması yakın gelecekte ülke ekonomisine büyük katkılar sağlayacaktır. IPv4 te tecrübe edilen güvenlik açıkları ve yamaları, IPv6 nın yaygınlaşması ile yeni bir boyut kazanacak, ağ ve veri güvenliği daha önemli hale gelecektir. Gerçeklenen bu sistemde, protokol seviyesinde sistem güvenliğinin sağlanabilirliliği gösterilmiştir. IPv6 ya özgün ek güvenlik önlemlerinin uygulama seviyesinde de artırılması, sunumcu performansının iyileştirilmesi ve IPv6 adres kaynaklarının yönetimine ilişkin çalışmaların yapılması planlanmaktadır. IPv6 ağlardaki güvenlikle ilgili araştırma konularından biri virüs/solucan dağılımıdır [18]. Birbirini takip eden IP adresleri, IP adres taraması yapan virüs/solucanların dağılımını kolaylaştırmaktadır. Genel olarak bütün DHCP sistemleri IP adreslerini ardışık olarak verirler. Bu durum, uygulama seviyesinde bir güvenlik açığı yaratır. Aralarında sayısal bir ilişki bulunmayan, atanabilir IP adreslerinin belirlenmesi sunumcu tarafında çalışılması gereken konulardan biridir. IPv6 adres havuzu büyük olan sunumcular için atanan IPv6 adreslerinin yönetimi, kullanılmamaları halinde yeniden değerlendirilmeleri performans sorunlarına neden olacaktır. Atanan IPv6 adresinin istemci tarafından yenilenme istekleri de ağdaki trafiği artıracaktır [19, 20]. IPv6 adreslerinin yenilenme süreçleri de üzerinde 83

ULUSAL IPv6 KONFERANSI 2011 çalışılması gereken konular arasında yer almaktadır. KAYNAKLAR [1] R. Droms, Dynamic Host Configuration Protocol, RFC 1541, IETF, October 1993, http://www.ietf.org/rfc/rfc1541.txt [2] R. Droms, Dynamic Host Configuration Protocol, RFC 2131, IETF, March 1997, http://www.ietf.org/rfc/rfc2131.txt [3] S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification RFC 1883, December 1995, http://www.ietf.org/ rfc/rfc1883.txt [4] S. Thomson, T. Narten, IPv6 Stateless Address Autoconfiguration RFC 2462, December 1998, http://www.ietf. org/rfc/rfc2462.txt [5] R. Droms, J. Bound, B. Volz, T. Lemon, C. Perkins, M. Carney, Dynamic Host Configuration Protocol for IPv6 RFC 3315, July 2003, http://www.ietf.org/rfc/rfc3315.txt [6] C. E. Perkins, J. Bound, DHCP for IPv6, Computers and Communications, 1998. ISCC 98. Proceedings. Third IEEE Symposium, Page(s): 493-497, July 1998 [7] KAME Project, http://wide-dhcpv6.sourceforce.net [8] T. Mrugalski, Dibbler a portable Dynamic Host Configuration Protocol for IPv6 implementation, The 8th International Conference on Telecommunications, Contel 2005, June 2005 [9] R. Droms, W. Arbaugh, Authentication for DHCP Messages, RFC 3118, IETF, June 2001, http://www.ietf.org/rfc/rfc3118.txt [10] R. Droms, Ed., DNS Configuration options for Dynamic Host Configuration Protocol for IPv6 (DHCPv6), RFC 3646, IETF, December 2003, http://www.ietf.org/rfc/rfc3646.txt [11] R. Hibbs, C. Smith, B. Volz, M. Zohar, Dynamic Host Configuration Protocol for IPv4 (DHCPv4) Threat Analysis, Internet-Draft, IETF, June 2003 [12] O. Annala, The Hot Topics in DHCP Protocol Development, May 2004, https://www.cs.helsinki.fi/u/kraatika/ courses/ipsem04s/dhcp_hottopics.pdf [13] K. Hornstein, T. Lemon, B. Aboba, J. Trostle DHCP Authentication via Kerberos V., Internet Draft (c) The Internet Society, November 2000. [14] G. Glazer, C. Hussey, R. Shea Certificate-Based Authentication for DHCP, March 2003, http://www.cs.ucla.edu/ chussey/proj/dhcpcert/cbda.pdf [15] T. Komori, T. Saito, The Secure DHCP System with User Authentication, Local Computer Networks, 2002. Proceedings. LCN 2002. 27th Annual IEEE Conference. Page(s): 123-131, ISBN 0-7695-1591-6, November 2002 [16] IPv6 Consortium, Interoperability Laboratory, Research Computing Center, University of New Hampshire, http:// www.iol.unh.edu/testsuites/ipv6 [17] Ethereal : A Network Protocol Analyzer, http://www.ethereal. com [18] Ş. Sağıroğlu, O. Bektaş, M. Soysal, Güvenlik Penceresinden IPv4/IPv6 Karşılaştırılması, 3. Uluslararası Katılımlı Bilgi Güvenliği ve Kriptoloji Konferansı, Aralık 2008, Ankara, Sayfa 132-138 [19] M. Khadilkar, N. Feamster, R. Clark, M. Sanders, Usage- Based DHCP Lease Time Optimization, Proc. ACM/USENIX Internet Measurement Conference, San Diego, CA, October 2007 [20] T.V. Do, An efficient solution to a retrial queue for the performability evaluation of DHCP, Computers and Operations Research archive Volume 37, Issue 7 (July 2010), Pages: 1191-1198 84

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim