Mayıs 2014'de Ondokuz Mayıs Üniversitesi Bilgisayar Müh. Bölümü'nde yaptığım sunum.
İçerik:
Şu an ne kullanıyoruz?(IPv4)
IPv4’ün Eksikleri
IPv6 nedir?
IPv6’nın Getirdikleri
IPv4 vs IPv6
Türkiye’nin IPv6’ya geçişi
Uluslararası Alanda Geçiş
IPv6 Başlık (Header) Yapısı
IPv4 vs IPv6
IPv6’ya Geçiş
IPSec Nedir?
Bölümleri Nelerdir?
Kullanılan Algoritmalar
IPSec’in Başlıktaki Yeri
3. Giriş - 1. Hafta
● Şu an ne kullanıyoruz?(IPv4)
● IPv4’ün Eksikleri
● IPv6 nedir?
● IPv6’nın Getirdikleri
4. IPv4
● 32 bit adresleme yapısına sahip.
● Toplamda 232
= 4.3 x 109
farklı adres. (özel
ağ+multicast)
● 4 oktetli, onluk tabanlı notasyonda yazılırlar.
● 192.xxx.xxx.xxx (28
)4
5. IPv4’ün Eksikleri
● IPv4 İnternet'e bağlanacak cihazların
adreslemesi için yetersiz kalmıştır
● Uçtan uca adresleme için yetersiz kalmıştır,
(NAT) gibi adres dönüştürücü
mekanizmaların kullanımı zorunlu hale
gelmiştir.
● IP seviyesinde güvenlik gereksinimi
artmıştır.
6. IPv4’ün Eksikleri
● IP otomatik yapılandırma yöntemlerinin
geliştirilmesine ihtiyaç duyulmuştur.
● Artan Servis Kalitesi (QoS) ihtiyaçlarını
karşılamakta yetersiz kalmıştır.
● Ortaya çıkan yeni uygulamaların ihtiyaçlarını
karşılamakta yetersiz kalmıştır.
7. IPv6
● 128 bit adresleme yapısına sahip.
● Toplamda 2128
= 3.4 x 1038
farklı adres.
● 8 oktetli, onaltılık(hexadecimal) tabanlı
notasyonda yazılırlar.
● FE80:0000:0000:0000:0202:B3FF:FE1E:8329 (216
)8
● https://[2001:db8:85a3:8d3:1319:8a2e:370:7348]:443/
9. IPv6’nın Getirdikleri
● Genişletilmiş adres alanı
● Yeni Güvenlik Özellikleri
● Sadeleştirilmiş Başlık Yapısı
● Gelişmiş Servis Kalitesi Özellikleri
● Otomatik Adres Yapılandırılması
● Düğümlerle Etkileşim İçin Yeni Protokol
● Dolaşılabilirlik ve Genişletilebilirlik
11. Giriş - 2. Hafta
● IPv4 vs IPv6
● Türkiye’nin IPv6’ya geçişi
● Uluslararası Alanda Geçiş
● IPv6 Başlık (Header) Yapısı
12. IPv4 vs IPv6
● 32-bit adresleme
● ARP ile adres
çözümleme
● Header’da IP
opsiyonları, checksum
tutuluyor
● DHCP server ile ya da
elle yapılandırma
● Broadcast yayın ile tüm
birimlere erişim sağlanır
➔ 128-bit adresleme
➔ Komşu keşfi (neighbour
discovery) mesajları
➔ Opsiyonlar ek başlıkta,
checksum yok, daha
hızlı yönlendirme
➔ Otomatik yapılandırma
seçeneği
➔ Broadcast yerine
multicast yapısı, CPU
tasarrufu
14. IPv6’ya Geçiş
● Servis Sağlayıcıları için Maliyet
○ Para
○ Zaman
● Uyumluluk Problemi
○ IPv4 ile direk uyumlu değil
○ Uzun vadeli olduğu için ciddi miktarda zamana
ihtiyaç var
15. Türkiye’nin IPv6’ya Geçişi
ULAKBİM bu konuda çalışmalar yapıyor
➢ 2001:a98::/32 Adres aralığı temin edildi
➢ IPv6-GO ve IPv6-DN kuruldu
○ IPv6-DN İSS’lerin gelişmesi üzerine kaldırıldı
➢ 30 İnternet Servis Sağlayıcı RIPE’den
bölgesel IPv6 adreslerini aldı
16. Türkiye’nin IPv6’ya Geçişi
➢ “Ulusal IPv6 Protokol Altyapısı Tasarımı ve
Geçişi Projesi” başlatıldı
○ Farklı geçiş yöntemlerinin analizi
○ Yönetim-Güvenlik problemleri için alternatifler
○ Servis Sağlayıcı kurumlarla anket
Ondokuz Mayıs Üniversitesi ULAKNET Katkı
Seviyesinde Seviye 3 grubunda
17. Türkiye’nin IPv6’ya Geçişi
➢ Resmi Gazete’de 8 Aralık 2010 tarihli IPv6’
ya geçiş konulu bir genelge yayınlandı
➢ Kamu kuruluşlarının bu doğrultuda;
○ Envanter ihtiyacı belirlendi/giderildi
○ IPv6’yı desteklemeyen yazılımlara yatırımı kesildi
○ Personelin eğitim ihtiyaçları giderildi
○ 31 Aralık 2013’e kadar hepsinin IPv6’yı destekler
hale gelmeleri istendi
18. Uluslararası Kuruluşlar
● ITU (International Telecommunication Union)
○ Farkındalık yaratmak, eğitimi sağlamak
● ICANN (Internet Corporation for Assigned Names and Numbers)
○ DNS kök sunucularına IPv6 desteği sağladı
● RIPE NCC (Reseaux IP Europeens Network Coordination Centre)
○ Bölgesel IPv6 adreslerinin ve ilişkin servislerin
sağlanması
● OECD (Organisation for Economic Co-operation and Devolopment)
○ Ekonomik hususlara değinerek devletlere çağrı
yapılması
19. Diğer Devletler
● Amerika Birleşik Devletleri
○ 2005 yılında kamu kuruluşlarının geçişi için plan
yapıldı “Memorandum For the Chief Information Officers”
○ Bu planın uygulanması sonrası 2009 yılında servis
sağlayıcıları da içine katan bir plan ile yol haritası
çizildi “Planning Guide/Roadmap Toward IPv6 Adoption within the
US Government”
20. Diğer Devletler
● Hindistan
○ 9 Ocak 2006’da Servis Sağlayıcıları ve kamu
kurumlarının atması gereken adımlar tanımlandı
○ 2012 itibariyle tüm Bakanlıkların IPv6’ya geçişi
planlandı
21. Diğer Devletler
● Çin
○ 2003 yılında CNGI projesiyle IPv6’ya geçiş süreci
başlatıldı
○ 2008’de Olimpiyat Bilgi Teknolojileri altyapısını IPv6
ile sağladılar
■ Taksilere IPv6 ile çalışan sensörler ekleyerek
trafik sıkışıklığını önlediler
○ CNGI-Cernet2 ağı ile yalın IPv6 kullanımı başladı
■ Bu ağ 100’den fazla üniversiteyi birbirine bağlıyor
■ 20’den fazla şehire ulaşıyor
22. IPv6 Başlık Yapısı
➢ Version(4-bit): IP versiyonu 0110 tutuyor.
➢ Traffic Class(8-bit): 2 parçadan oluşuyor
○ En önemli 6 bit gerekli “Servis Tipi”ni tutuyor
○ Diğer 2 bit Explicit Congestion Notification yani
tıkanıklık bildirimini sağlıyor
➢ Flow Label(20-bit): Paketin hedef IP’ye hangi yol ile
ulaşacağının bilgisi tutulur. Çakışmayı önler
➢ Payload Length(16-bit): Ek başlık ile birlikte
verinin toplam boyutu
➢ Next Header(8-bit): Ek başlık yoksa başlığın
TCP/UDP olduğunu gösterir, varsa ek başlığın türünü
belirtir
23. IPv6 Başlık Yapısı
➢ Hop Limit(8-bit): Paketin kaç yönlendiriciden
geçeceğini belirler her seferinde 1 azalır
➢ Source Adress(128-bit): Paketi gönderenin IPv6
adres bilgisini içinde tutar
➢ Destination Adress(128-bit): Alıcının adres
bilgisini saklar
➢ Extension Headers: IPv4’teki options kısmının
yerini almıştır. Geliştirebilirdir. Yalnızca gerekli bilgilerin
tutulmasını sağladığı için elverişli
26. Giriş - 3. Hafta
● IPv4 vs IPv6
● IPv6’ya Geçiş
● IPSec Nedir?
○ Bölümleri Nelerdir?
○ Kullanılan Algoritmalar
● IPSec’in Başlıktaki Yeri
27. IPv4 vs IPv6
● Adres yetersizliğinin giderilmesi için ortaya çıktı.
● Başlık yapısı değiştirilerek yönlendirme hızı artırıldı.
● Servis Kalitesi geliştirildi.
28. IPv6’ya Geçiş
● Uluslararası kuruluşlar yayınladıkları bildirilerle bu
konuya defalarca dikkat çektiler.
● Devletler koydukları kanunlarla devlet kurumları ve İSS’
leri bağlayıcı adımlar attılar.
● Geçiş için optimum maliyet hesaplamaları yapılmaya
çalışıldı
● ULAKBİM, IPv6-GO, IPv6-DN
29. IPSec Nedir?
➔ Verilerin, kaynaktan belirli hedefe güvenli biçimde
ulaşabilmeleri için tasarlanmış bir protokol.
➔ 3 ana bölümde inceleyelim:
◆ Veri Bütünlüğü
◆ Kimlik Doğrulama
◆ Veri Mahremiyeti
➔ Çeşitli kriptografik fonksiyonlar kullanılıyor, bunları IPv6’
daki kullanım sıralarına göre inceleyelim.
30. Veri Bütünlüğü - MD5
● Gönderilecek mesajın özetinin (128-bit) oluşturulması
● Bu özetin şifrelenmesi ve karşılaştırılması için
○ MD5 ve
○ SHA-1 algoritmaları kullanılıyor.
● MD5’te hash fonksiyonu kullanılıyor.
● Teorik olarak çözülmesi imkansız fakat bazı girdiler
veritabanına saklanıp karşılaştırılarak 8-bite kadar çeviri
yapmak mümkün.
31. SHA-1
● NSA tarafından tasarlandı.
● 160-bit uzunluğunda çıktılar üretiyor
● Mesaj uzunluğu 512-bit’in katı olmalı, bunun için
padding kullanılıyor.
○ Padding = Verinin sonuna önce bir tane “1” biti sonra gerekli
kadar “0” biti eklenmesi
● Mesaj 512-bitlik bloklara bölünüp (32 bitlik 16 kelime)
hash fonksiyonları uygulanır.
● Git de bu algoritmayı verilerin değişmediğini kontrol
etmek için kullanıyor. (güvenlik için değil)
32. Kimlik Doğrulama
(Authentication)
● İletişimde bulunacak bilgisayarlar aynı yöntemi
kullanarak kimlik doğrularlar.
● Bu yöntemler:
○ Önpaylaşımlı anahtar
○ Kerberos
○ Sertifika ile doğrulama
33. Ön Paylaşımlı Anahtar
● Ön Paylaşımlı Anahtar (a.k.a. PSK) iki tarafın da aynı
anahtarı IKE protokolü ile paylaşmasına dayalı güvenlik
önlemi
● Her türlü Brute Force ataklara karşı dayanıklı
● Bu paylaşım yapılırken bir dinleme gerçekleşirse
güvenliliği yitirir
● Tahmin edilebilirliğin azaltılması ve güçlü anahtar seçimi
için random key generator’ler kullanılmalı
34. Kerberos
● MIT tarafından Windows tabanlı ağlar için tasarlandı.
● Firewall, içeriden gelen ataklara karşı savunmasız
○ Kerberos çift taraflı doğrulama sağlar.
○ Simetrik anahtarla şifreleme yöntemini kullanır.
● İstemci ve sunucu bu şekilde kimlik doğruladıktan sonra
● Sağlanan veri bütünlüğü ile tüm iletişimi güvensiz bir ağ
üzerinden güvenli biçimde yapabilir.
36. Veri Mahremiyeti
● Ağdaki paketin bir sniffer tarafından yakalanma
olasılığına karşın verinin şifrelenmesi ve
● Hedef bilgisayarda bu şifrenin tekrar çözülmesi
işlemleridir.
● En yaygın kullanılan algoritmalar DES, 3DES ve AES’dir
37. DES - 3DES
● Veri bloklara bölünür, blok uzunluğu 64 ya da 128-bit
● Her blok farklı bir anahtar ile şifrelenir
● Şifrelenmiş her bit o turun anahtarına ve diğer bitlere
bağımlıdır
○ Bu bağımlılık güvenliği artırır
○ Yine de bugün Brute Force ataklarla kırılabiliyor
● 3DES ise aynı işlemin 3 kez tekrarlanması
● 24 baytlık anahtar 3 parçaya bölünür
○ İlk 8 bayt ile şifreleme
○ Ortadaki 8 bayt ile şifrenin çözülmesi
○ Son 8 bayt ile yeniden şifreleme
● Güvenlik artsa da hız 3 kat azalmıştır
38. AES
● DES’deki açıklardan sonra Amerikan Hükümeti
tarafından kabul edilip DES’nin yerini al
● Veri belli turlardan geçirilerek şifreleme yapılır
● Her tur içinde 4 ana işlemi barındırır
○ Bayt Değiştir
○ Satır Kaydır
○ Sütun Karıştır
○ Tur anahtarı ile topla
● Yandaki tabloda AES türleri-
nin çeşitlenmesi gösteriliyor
Kelime Uzunluğu Tur Sayısı
AES128 4 10
AES192 6 12
AES256 8 14
39. IP Doğrulama Başlığı
● Veri bütünlüğü ve kimlik doğrulama için kullanılır
● Kriptografik hash fonk. + gizli anahtar ile hesapla =
mesaj doğrulama kodu
● HMAC(K,m) = H((K xor opad) | (H((K xor ipad) | m))
○ opad = 0x5c5c5c...5c (1 blok uzunluğunda)
○ ipad = 0x363636...36 (1 blok uzunluğunda)
● Hesaplanan HMAC IP başlığına eklenir ve alıcı gizli
anahtara erişip bu kodu çözüp kontrolü sağlar
40. Kapsüllenen Güvenlik
Yükü
● Encapsulating Security Payload (ESP)
● IP Doğrulama Başlığı’nın verdiği numarayı önceden
belirlenen algoritmalar şifreleyip açma işlemi
● Uygulamaların IPv6 ile uyumsuz olduğu durumlarda
iletişim tünel protokolü ile kapsüllenir
● Tünel Protokolü: TLS,SSL,SSH gibi protokoller ile trafiği
korumak için kullanılır