SlideShare una empresa de Scribd logo

IPv6 ve Güvenlik

Salih Özdemir
Salih Özdemir

Mayıs 2014'de Ondokuz Mayıs Üniversitesi Bilgisayar Müh. Bölümü'nde yaptığım sunum. İçerik: Şu an ne kullanıyoruz?(IPv4) IPv4’ün Eksikleri IPv6 nedir? IPv6’nın Getirdikleri IPv4 vs IPv6 Türkiye’nin IPv6’ya geçişi Uluslararası Alanda Geçiş IPv6 Başlık (Header) Yapısı IPv4 vs IPv6 IPv6’ya Geçiş IPSec Nedir? Bölümleri Nelerdir? Kullanılan Algoritmalar IPSec’in Başlıktaki Yeri

Tecnología
1 de 41
IPv6 ve Güvenlik Salih Özdemir
1. HAFTA
Giriş - 1. Hafta ● Şu an ne kullanıyoruz?(IPv4) ● IPv4’ün Eksikleri ● IPv6 nedir? ● IPv6’nın Getirdikleri
IPv4 ● 32 bit adresleme yapısına sahip. ● Toplamda 232 = 4.3 x 109 farklı adres. (özel ağ+multicast) ● 4 oktetli, onluk tabanlı notasyonda yazılırlar. ● 192.xxx.xxx.xxx (28 )4
IPv4’ün Eksikleri ● IPv4 İnternet'e bağlanacak cihazların adreslemesi için yetersiz kalmıştır ● Uçtan uca adresleme için yetersiz kalmıştır, (NAT) gibi adres dönüştürücü mekanizmaların kullanımı zorunlu hale gelmiştir. ● IP seviyesinde güvenlik gereksinimi artmıştır.
IPv4’ün Eksikleri ● IP otomatik yapılandırma yöntemlerinin geliştirilmesine ihtiyaç duyulmuştur. ● Artan Servis Kalitesi (QoS) ihtiyaçlarını karşılamakta yetersiz kalmıştır. ● Ortaya çıkan yeni uygulamaların ihtiyaçlarını karşılamakta yetersiz kalmıştır.
IPv6 ● 128 bit adresleme yapısına sahip. ● Toplamda 2128 = 3.4 x 1038 farklı adres. ● 8 oktetli, onaltılık(hexadecimal) tabanlı notasyonda yazılırlar. ● FE80:0000:0000:0000:0202:B3FF:FE1E:8329 (216 )8 ● https://[2001:db8:85a3:8d3:1319:8a2e:370:7348]:443/
IPv6
IPv6’nın Getirdikleri ● Genişletilmiş adres alanı ● Yeni Güvenlik Özellikleri ● Sadeleştirilmiş Başlık Yapısı ● Gelişmiş Servis Kalitesi Özellikleri ● Otomatik Adres Yapılandırılması ● Düğümlerle Etkileşim İçin Yeni Protokol ● Dolaşılabilirlik ve Genişletilebilirlik
2. HAFTA
Giriş - 2. Hafta ● IPv4 vs IPv6 ● Türkiye’nin IPv6’ya geçişi ● Uluslararası Alanda Geçiş ● IPv6 Başlık (Header) Yapısı
IPv4 vs IPv6 ● 32-bit adresleme ● ARP ile adres çözümleme ● Header’da IP opsiyonları, checksum tutuluyor ● DHCP server ile ya da elle yapılandırma ● Broadcast yayın ile tüm birimlere erişim sağlanır ➔ 128-bit adresleme ➔ Komşu keşfi (neighbour discovery) mesajları ➔ Opsiyonlar ek başlıkta, checksum yok, daha hızlı yönlendirme ➔ Otomatik yapılandırma seçeneği ➔ Broadcast yerine multicast yapısı, CPU tasarrufu
Google IPv6 Kullanımı
IPv6’ya Geçiş ● Servis Sağlayıcıları için Maliyet ○ Para ○ Zaman ● Uyumluluk Problemi ○ IPv4 ile direk uyumlu değil ○ Uzun vadeli olduğu için ciddi miktarda zamana ihtiyaç var
Türkiye’nin IPv6’ya Geçişi ULAKBİM bu konuda çalışmalar yapıyor ➢ 2001:a98::/32 Adres aralığı temin edildi ➢ IPv6-GO ve IPv6-DN kuruldu ○ IPv6-DN İSS’lerin gelişmesi üzerine kaldırıldı ➢ 30 İnternet Servis Sağlayıcı RIPE’den bölgesel IPv6 adreslerini aldı
Türkiye’nin IPv6’ya Geçişi ➢ “Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi” başlatıldı ○ Farklı geçiş yöntemlerinin analizi ○ Yönetim-Güvenlik problemleri için alternatifler ○ Servis Sağlayıcı kurumlarla anket Ondokuz Mayıs Üniversitesi ULAKNET Katkı Seviyesinde Seviye 3 grubunda
Türkiye’nin IPv6’ya Geçişi ➢ Resmi Gazete’de 8 Aralık 2010 tarihli IPv6’ ya geçiş konulu bir genelge yayınlandı ➢ Kamu kuruluşlarının bu doğrultuda; ○ Envanter ihtiyacı belirlendi/giderildi ○ IPv6’yı desteklemeyen yazılımlara yatırımı kesildi ○ Personelin eğitim ihtiyaçları giderildi ○ 31 Aralık 2013’e kadar hepsinin IPv6’yı destekler hale gelmeleri istendi
Uluslararası Kuruluşlar ● ITU (International Telecommunication Union) ○ Farkındalık yaratmak, eğitimi sağlamak ● ICANN (Internet Corporation for Assigned Names and Numbers) ○ DNS kök sunucularına IPv6 desteği sağladı ● RIPE NCC (Reseaux IP Europeens Network Coordination Centre) ○ Bölgesel IPv6 adreslerinin ve ilişkin servislerin sağlanması ● OECD (Organisation for Economic Co-operation and Devolopment) ○ Ekonomik hususlara değinerek devletlere çağrı yapılması
Diğer Devletler ● Amerika Birleşik Devletleri ○ 2005 yılında kamu kuruluşlarının geçişi için plan yapıldı “Memorandum For the Chief Information Officers” ○ Bu planın uygulanması sonrası 2009 yılında servis sağlayıcıları da içine katan bir plan ile yol haritası çizildi “Planning Guide/Roadmap Toward IPv6 Adoption within the US Government”
Diğer Devletler ● Hindistan ○ 9 Ocak 2006’da Servis Sağlayıcıları ve kamu kurumlarının atması gereken adımlar tanımlandı ○ 2012 itibariyle tüm Bakanlıkların IPv6’ya geçişi planlandı
Diğer Devletler ● Çin ○ 2003 yılında CNGI projesiyle IPv6’ya geçiş süreci başlatıldı ○ 2008’de Olimpiyat Bilgi Teknolojileri altyapısını IPv6 ile sağladılar ■ Taksilere IPv6 ile çalışan sensörler ekleyerek trafik sıkışıklığını önlediler ○ CNGI-Cernet2 ağı ile yalın IPv6 kullanımı başladı ■ Bu ağ 100’den fazla üniversiteyi birbirine bağlıyor ■ 20’den fazla şehire ulaşıyor
IPv6 Başlık Yapısı ➢ Version(4-bit): IP versiyonu 0110 tutuyor. ➢ Traffic Class(8-bit): 2 parçadan oluşuyor ○ En önemli 6 bit gerekli “Servis Tipi”ni tutuyor ○ Diğer 2 bit Explicit Congestion Notification yani tıkanıklık bildirimini sağlıyor ➢ Flow Label(20-bit): Paketin hedef IP’ye hangi yol ile ulaşacağının bilgisi tutulur. Çakışmayı önler ➢ Payload Length(16-bit): Ek başlık ile birlikte verinin toplam boyutu ➢ Next Header(8-bit): Ek başlık yoksa başlığın TCP/UDP olduğunu gösterir, varsa ek başlığın türünü belirtir
IPv6 Başlık Yapısı ➢ Hop Limit(8-bit): Paketin kaç yönlendiriciden geçeceğini belirler her seferinde 1 azalır ➢ Source Adress(128-bit): Paketi gönderenin IPv6 adres bilgisini içinde tutar ➢ Destination Adress(128-bit): Alıcının adres bilgisini saklar ➢ Extension Headers: IPv4’teki options kısmının yerini almıştır. Geliştirebilirdir. Yalnızca gerekli bilgilerin tutulmasını sağladığı için elverişli
IPv4 ve IPv6 Başlık Yapıları
3. HAFTA
Giriş - 3. Hafta ● IPv4 vs IPv6 ● IPv6’ya Geçiş ● IPSec Nedir? ○ Bölümleri Nelerdir? ○ Kullanılan Algoritmalar ● IPSec’in Başlıktaki Yeri
IPv4 vs IPv6 ● Adres yetersizliğinin giderilmesi için ortaya çıktı. ● Başlık yapısı değiştirilerek yönlendirme hızı artırıldı. ● Servis Kalitesi geliştirildi.
IPv6’ya Geçiş ● Uluslararası kuruluşlar yayınladıkları bildirilerle bu konuya defalarca dikkat çektiler. ● Devletler koydukları kanunlarla devlet kurumları ve İSS’ leri bağlayıcı adımlar attılar. ● Geçiş için optimum maliyet hesaplamaları yapılmaya çalışıldı ● ULAKBİM, IPv6-GO, IPv6-DN
IPSec Nedir? ➔ Verilerin, kaynaktan belirli hedefe güvenli biçimde ulaşabilmeleri için tasarlanmış bir protokol. ➔ 3 ana bölümde inceleyelim: ◆ Veri Bütünlüğü ◆ Kimlik Doğrulama ◆ Veri Mahremiyeti ➔ Çeşitli kriptografik fonksiyonlar kullanılıyor, bunları IPv6’ daki kullanım sıralarına göre inceleyelim.
Veri Bütünlüğü - MD5 ● Gönderilecek mesajın özetinin (128-bit) oluşturulması ● Bu özetin şifrelenmesi ve karşılaştırılması için ○ MD5 ve ○ SHA-1 algoritmaları kullanılıyor. ● MD5’te hash fonksiyonu kullanılıyor. ● Teorik olarak çözülmesi imkansız fakat bazı girdiler veritabanına saklanıp karşılaştırılarak 8-bite kadar çeviri yapmak mümkün.
SHA-1 ● NSA tarafından tasarlandı. ● 160-bit uzunluğunda çıktılar üretiyor ● Mesaj uzunluğu 512-bit’in katı olmalı, bunun için padding kullanılıyor. ○ Padding = Verinin sonuna önce bir tane “1” biti sonra gerekli kadar “0” biti eklenmesi ● Mesaj 512-bitlik bloklara bölünüp (32 bitlik 16 kelime) hash fonksiyonları uygulanır. ● Git de bu algoritmayı verilerin değişmediğini kontrol etmek için kullanıyor. (güvenlik için değil)
Kimlik Doğrulama (Authentication) ● İletişimde bulunacak bilgisayarlar aynı yöntemi kullanarak kimlik doğrularlar. ● Bu yöntemler: ○ Önpaylaşımlı anahtar ○ Kerberos ○ Sertifika ile doğrulama
Ön Paylaşımlı Anahtar ● Ön Paylaşımlı Anahtar (a.k.a. PSK) iki tarafın da aynı anahtarı IKE protokolü ile paylaşmasına dayalı güvenlik önlemi ● Her türlü Brute Force ataklara karşı dayanıklı ● Bu paylaşım yapılırken bir dinleme gerçekleşirse güvenliliği yitirir ● Tahmin edilebilirliğin azaltılması ve güçlü anahtar seçimi için random key generator’ler kullanılmalı
Kerberos ● MIT tarafından Windows tabanlı ağlar için tasarlandı. ● Firewall, içeriden gelen ataklara karşı savunmasız ○ Kerberos çift taraflı doğrulama sağlar. ○ Simetrik anahtarla şifreleme yöntemini kullanır. ● İstemci ve sunucu bu şekilde kimlik doğruladıktan sonra ● Sağlanan veri bütünlüğü ile tüm iletişimi güvensiz bir ağ üzerinden güvenli biçimde yapabilir.
Sertifika ile Doğrulama
Veri Mahremiyeti ● Ağdaki paketin bir sniffer tarafından yakalanma olasılığına karşın verinin şifrelenmesi ve ● Hedef bilgisayarda bu şifrenin tekrar çözülmesi işlemleridir. ● En yaygın kullanılan algoritmalar DES, 3DES ve AES’dir
DES - 3DES ● Veri bloklara bölünür, blok uzunluğu 64 ya da 128-bit ● Her blok farklı bir anahtar ile şifrelenir ● Şifrelenmiş her bit o turun anahtarına ve diğer bitlere bağımlıdır ○ Bu bağımlılık güvenliği artırır ○ Yine de bugün Brute Force ataklarla kırılabiliyor ● 3DES ise aynı işlemin 3 kez tekrarlanması ● 24 baytlık anahtar 3 parçaya bölünür ○ İlk 8 bayt ile şifreleme ○ Ortadaki 8 bayt ile şifrenin çözülmesi ○ Son 8 bayt ile yeniden şifreleme ● Güvenlik artsa da hız 3 kat azalmıştır
AES ● DES’deki açıklardan sonra Amerikan Hükümeti tarafından kabul edilip DES’nin yerini al ● Veri belli turlardan geçirilerek şifreleme yapılır ● Her tur içinde 4 ana işlemi barındırır ○ Bayt Değiştir ○ Satır Kaydır ○ Sütun Karıştır ○ Tur anahtarı ile topla ● Yandaki tabloda AES türleri- nin çeşitlenmesi gösteriliyor Kelime Uzunluğu Tur Sayısı AES128 4 10 AES192 6 12 AES256 8 14
IP Doğrulama Başlığı ● Veri bütünlüğü ve kimlik doğrulama için kullanılır ● Kriptografik hash fonk. + gizli anahtar ile hesapla = mesaj doğrulama kodu ● HMAC(K,m) = H((K xor opad) | (H((K xor ipad) | m)) ○ opad = 0x5c5c5c...5c (1 blok uzunluğunda) ○ ipad = 0x363636...36 (1 blok uzunluğunda) ● Hesaplanan HMAC IP başlığına eklenir ve alıcı gizli anahtara erişip bu kodu çözüp kontrolü sağlar
Kapsüllenen Güvenlik Yükü ● Encapsulating Security Payload (ESP) ● IP Doğrulama Başlığı’nın verdiği numarayı önceden belirlenen algoritmalar şifreleyip açma işlemi ● Uygulamaların IPv6 ile uyumsuz olduğu durumlarda iletişim tünel protokolü ile kapsüllenir ● Tünel Protokolü: TLS,SSL,SSH gibi protokoller ile trafiği korumak için kullanılır
Teşekkürler

Recomendados

Acik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerAcik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerMustafa GOCMEN
 
Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008
Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008
Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008Erdener
 
Kriptoloji kriptolama teknikleri
Kriptoloji kriptolama teknikleriKriptoloji kriptolama teknikleri
Kriptoloji kriptolama teknikleriselimcihan
 
Kriptografi
Kriptografi Kriptografi
Kriptografi Onur Ergen
 
Siber Güvenlik 1. hafta
Siber Güvenlik 1. haftaSiber Güvenlik 1. hafta
Siber Güvenlik 1. haftaOnur Er
 
Şifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLŞifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLTolga ÇELİK
 
ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ
ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ
ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ snglasli
 
I pv6 icmp_udp
I pv6 icmp_udpI pv6 icmp_udp
I pv6 icmp_udpgazi böte
 

Recomendados

Acik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerAcik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerMustafa GOCMEN
 
Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008
Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008
Kriptolojinin Temelleri ve Elektronik İmza Altyapısı Eğitimi 26.12.2008Erdener
 
Kriptoloji kriptolama teknikleri
Kriptoloji kriptolama teknikleriKriptoloji kriptolama teknikleri
Kriptoloji kriptolama teknikleriselimcihan
 
Kriptografi
Kriptografi Kriptografi
Kriptografi Onur Ergen
 
Siber Güvenlik 1. hafta
Siber Güvenlik 1. haftaSiber Güvenlik 1. hafta
Siber Güvenlik 1. haftaOnur Er
 
Şifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLŞifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLTolga ÇELİK
 
ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ
ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ
ASLI ŞENGÜL SWOT ANALİZİ VE ÖRNEKLERİ snglasli
 
I pv6 icmp_udp
I pv6 icmp_udpI pv6 icmp_udp
I pv6 icmp_udpgazi böte
 
Siber Güvenlik ve Etik Hacking Sunu - 4
Siber Güvenlik ve Etik Hacking Sunu - 4Siber Güvenlik ve Etik Hacking Sunu - 4
Siber Güvenlik ve Etik Hacking Sunu - 4Murat KARA
 
10.modül
10.modül10.modül
10.modülburakerdem1970
 
Hazi̇ran
Hazi̇ranHazi̇ran
Hazi̇ranBttBLog
 
Ağ eğitim v6
Ağ eğitim v6Ağ eğitim v6
Ağ eğitim v6ibaydan
 
OSI (Open System Interconnection)
OSI (Open System Interconnection)OSI (Open System Interconnection)
OSI (Open System Interconnection)Ali Can Uzunhan
 
OSI Referans Modeli ve Katmanları - Alican Uzunhan
OSI Referans Modeli ve Katmanları - Alican UzunhanOSI Referans Modeli ve Katmanları - Alican Uzunhan
OSI Referans Modeli ve Katmanları - Alican UzunhanMesut Güneş
 
Tcp ip
Tcp ipTcp ip
Tcp ipgazi böte
 
Ip 6.0 ve ip 4.0
Ip 6.0 ve ip 4.0Ip 6.0 ve ip 4.0
Ip 6.0 ve ip 4.0Handan Erdağ
 
64 bit işlemcilerin modern tarihçesi
64 bit işlemcilerin modern tarihçesi64 bit işlemcilerin modern tarihçesi
64 bit işlemcilerin modern tarihçesiTalha Kabakus
 
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisiBegüm Erol
 
Ağ Temelleri
Ağ TemelleriAğ Temelleri
Ağ TemelleriAydın Özen
 
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi Murat Can Demir
 
Python İle Ağ Programlama
Python İle Ağ ProgramlamaPython İle Ağ Programlama
Python İle Ağ ProgramlamaOguzhan Coskun
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıKurtuluş Karasu
 
IPv6 Geçiş Tecrübeleri
IPv6 Geçiş TecrübeleriIPv6 Geçiş Tecrübeleri
IPv6 Geçiş TecrübeleriVolkan Oransoy
 
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Esra Acar
 
Ağ sunusu
Ağ sunusuAğ sunusu
Ağ sunusuEsra Acar
 
Tcp ip
Tcp ipTcp ip
Tcp ipepoxxy
 
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman GuvenligiTiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligieroglu
 

Más contenido relacionado

Similar a IPv6 ve Güvenlik

Siber Güvenlik ve Etik Hacking Sunu - 4
Siber Güvenlik ve Etik Hacking Sunu - 4Siber Güvenlik ve Etik Hacking Sunu - 4
Siber Güvenlik ve Etik Hacking Sunu - 4Murat KARA
 
Hazi̇ran
Hazi̇ranHazi̇ran
Hazi̇ranBttBLog
 
Ağ eğitim v6
Ağ eğitim v6Ağ eğitim v6
Ağ eğitim v6ibaydan
 
OSI (Open System Interconnection)
OSI (Open System Interconnection)OSI (Open System Interconnection)
OSI (Open System Interconnection)Ali Can Uzunhan
 
OSI Referans Modeli ve Katmanları - Alican Uzunhan
OSI Referans Modeli ve Katmanları - Alican UzunhanOSI Referans Modeli ve Katmanları - Alican Uzunhan
OSI Referans Modeli ve Katmanları - Alican UzunhanMesut Güneş
 
64 bit işlemcilerin modern tarihçesi
64 bit işlemcilerin modern tarihçesi64 bit işlemcilerin modern tarihçesi
64 bit işlemcilerin modern tarihçesiTalha Kabakus
 
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisiBegüm Erol
 
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi Murat Can Demir
 
Python İle Ağ Programlama
Python İle Ağ ProgramlamaPython İle Ağ Programlama
Python İle Ağ ProgramlamaOguzhan Coskun
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıKurtuluş Karasu
 
IPv6 Geçiş Tecrübeleri
IPv6 Geçiş TecrübeleriIPv6 Geçiş Tecrübeleri
IPv6 Geçiş TecrübeleriVolkan Oransoy
 
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Esra Acar
 
Tcp ip
Tcp ipTcp ip
Tcp ipepoxxy
 
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman GuvenligiTiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligieroglu
 

Similar a IPv6 ve Güvenlik (20)

Siber Güvenlik ve Etik Hacking Sunu - 4
Siber Güvenlik ve Etik Hacking Sunu - 4Siber Güvenlik ve Etik Hacking Sunu - 4
Siber Güvenlik ve Etik Hacking Sunu - 4
 
10.modül
10.modül10.modül
10.modül
 
Hazi̇ran
Hazi̇ranHazi̇ran
Hazi̇ran
 
Ağ eğitim v6
Ağ eğitim v6Ağ eğitim v6
Ağ eğitim v6
 
OSI (Open System Interconnection)
OSI (Open System Interconnection)OSI (Open System Interconnection)
OSI (Open System Interconnection)
 
OSI Referans Modeli ve Katmanları - Alican Uzunhan
OSI Referans Modeli ve Katmanları - Alican UzunhanOSI Referans Modeli ve Katmanları - Alican Uzunhan
OSI Referans Modeli ve Katmanları - Alican Uzunhan
 
Tcp ip
Tcp ipTcp ip
Tcp ip
 
Ip 6.0 ve ip 4.0
Ip 6.0 ve ip 4.0Ip 6.0 ve ip 4.0
Ip 6.0 ve ip 4.0
 
64 bit işlemcilerin modern tarihçesi
64 bit işlemcilerin modern tarihçesi64 bit işlemcilerin modern tarihçesi
64 bit işlemcilerin modern tarihçesi
 
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisi
 
Ağ Temelleri
Ağ TemelleriAğ Temelleri
Ağ Temelleri
 
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
IP, IGP, MPLS Eğitim Sunumu @Çankaya Üniversitesi
 
Python İle Ağ Programlama
Python İle Ağ ProgramlamaPython İle Ağ Programlama
Python İle Ağ Programlama
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
 
IPv6 Geçiş Tecrübeleri
IPv6 Geçiş TecrübeleriIPv6 Geçiş Tecrübeleri
IPv6 Geçiş Tecrübeleri
 
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇
 
Ağ sunusu
Ağ sunusuAğ sunusu
Ağ sunusu
 
Tcp ip
Tcp ipTcp ip
Tcp ip
 
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman GuvenligiTiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
 

IPv6 ve Güvenlik

  • 3. Giriş - 1. Hafta ● Şu an ne kullanıyoruz?(IPv4) ● IPv4’ün Eksikleri ● IPv6 nedir? ● IPv6’nın Getirdikleri
  • 4. IPv4 ● 32 bit adresleme yapısına sahip. ● Toplamda 232 = 4.3 x 109 farklı adres. (özel ağ+multicast) ● 4 oktetli, onluk tabanlı notasyonda yazılırlar. ● 192.xxx.xxx.xxx (28 )4
  • 5. IPv4’ün Eksikleri ● IPv4 İnternet'e bağlanacak cihazların adreslemesi için yetersiz kalmıştır ● Uçtan uca adresleme için yetersiz kalmıştır, (NAT) gibi adres dönüştürücü mekanizmaların kullanımı zorunlu hale gelmiştir. ● IP seviyesinde güvenlik gereksinimi artmıştır.
  • 6. IPv4’ün Eksikleri ● IP otomatik yapılandırma yöntemlerinin geliştirilmesine ihtiyaç duyulmuştur. ● Artan Servis Kalitesi (QoS) ihtiyaçlarını karşılamakta yetersiz kalmıştır. ● Ortaya çıkan yeni uygulamaların ihtiyaçlarını karşılamakta yetersiz kalmıştır.
  • 7. IPv6 ● 128 bit adresleme yapısına sahip. ● Toplamda 2128 = 3.4 x 1038 farklı adres. ● 8 oktetli, onaltılık(hexadecimal) tabanlı notasyonda yazılırlar. ● FE80:0000:0000:0000:0202:B3FF:FE1E:8329 (216 )8 ● https://[2001:db8:85a3:8d3:1319:8a2e:370:7348]:443/
  • 9. IPv6’nın Getirdikleri ● Genişletilmiş adres alanı ● Yeni Güvenlik Özellikleri ● Sadeleştirilmiş Başlık Yapısı ● Gelişmiş Servis Kalitesi Özellikleri ● Otomatik Adres Yapılandırılması ● Düğümlerle Etkileşim İçin Yeni Protokol ● Dolaşılabilirlik ve Genişletilebilirlik
  • 11. Giriş - 2. Hafta ● IPv4 vs IPv6 ● Türkiye’nin IPv6’ya geçişi ● Uluslararası Alanda Geçiş ● IPv6 Başlık (Header) Yapısı
  • 12. IPv4 vs IPv6 ● 32-bit adresleme ● ARP ile adres çözümleme ● Header’da IP opsiyonları, checksum tutuluyor ● DHCP server ile ya da elle yapılandırma ● Broadcast yayın ile tüm birimlere erişim sağlanır ➔ 128-bit adresleme ➔ Komşu keşfi (neighbour discovery) mesajları ➔ Opsiyonlar ek başlıkta, checksum yok, daha hızlı yönlendirme ➔ Otomatik yapılandırma seçeneği ➔ Broadcast yerine multicast yapısı, CPU tasarrufu
  • 14. IPv6’ya Geçiş ● Servis Sağlayıcıları için Maliyet ○ Para ○ Zaman ● Uyumluluk Problemi ○ IPv4 ile direk uyumlu değil ○ Uzun vadeli olduğu için ciddi miktarda zamana ihtiyaç var
  • 15. Türkiye’nin IPv6’ya Geçişi ULAKBİM bu konuda çalışmalar yapıyor ➢ 2001:a98::/32 Adres aralığı temin edildi ➢ IPv6-GO ve IPv6-DN kuruldu ○ IPv6-DN İSS’lerin gelişmesi üzerine kaldırıldı ➢ 30 İnternet Servis Sağlayıcı RIPE’den bölgesel IPv6 adreslerini aldı
  • 16. Türkiye’nin IPv6’ya Geçişi ➢ “Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi” başlatıldı ○ Farklı geçiş yöntemlerinin analizi ○ Yönetim-Güvenlik problemleri için alternatifler ○ Servis Sağlayıcı kurumlarla anket Ondokuz Mayıs Üniversitesi ULAKNET Katkı Seviyesinde Seviye 3 grubunda
  • 17. Türkiye’nin IPv6’ya Geçişi ➢ Resmi Gazete’de 8 Aralık 2010 tarihli IPv6’ ya geçiş konulu bir genelge yayınlandı ➢ Kamu kuruluşlarının bu doğrultuda; ○ Envanter ihtiyacı belirlendi/giderildi ○ IPv6’yı desteklemeyen yazılımlara yatırımı kesildi ○ Personelin eğitim ihtiyaçları giderildi ○ 31 Aralık 2013’e kadar hepsinin IPv6’yı destekler hale gelmeleri istendi
  • 18. Uluslararası Kuruluşlar ● ITU (International Telecommunication Union) ○ Farkındalık yaratmak, eğitimi sağlamak ● ICANN (Internet Corporation for Assigned Names and Numbers) ○ DNS kök sunucularına IPv6 desteği sağladı ● RIPE NCC (Reseaux IP Europeens Network Coordination Centre) ○ Bölgesel IPv6 adreslerinin ve ilişkin servislerin sağlanması ● OECD (Organisation for Economic Co-operation and Devolopment) ○ Ekonomik hususlara değinerek devletlere çağrı yapılması
  • 19. Diğer Devletler ● Amerika Birleşik Devletleri ○ 2005 yılında kamu kuruluşlarının geçişi için plan yapıldı “Memorandum For the Chief Information Officers” ○ Bu planın uygulanması sonrası 2009 yılında servis sağlayıcıları da içine katan bir plan ile yol haritası çizildi “Planning Guide/Roadmap Toward IPv6 Adoption within the US Government”
  • 20. Diğer Devletler ● Hindistan ○ 9 Ocak 2006’da Servis Sağlayıcıları ve kamu kurumlarının atması gereken adımlar tanımlandı ○ 2012 itibariyle tüm Bakanlıkların IPv6’ya geçişi planlandı
  • 21. Diğer Devletler ● Çin ○ 2003 yılında CNGI projesiyle IPv6’ya geçiş süreci başlatıldı ○ 2008’de Olimpiyat Bilgi Teknolojileri altyapısını IPv6 ile sağladılar ■ Taksilere IPv6 ile çalışan sensörler ekleyerek trafik sıkışıklığını önlediler ○ CNGI-Cernet2 ağı ile yalın IPv6 kullanımı başladı ■ Bu ağ 100’den fazla üniversiteyi birbirine bağlıyor ■ 20’den fazla şehire ulaşıyor
  • 22. IPv6 Başlık Yapısı ➢ Version(4-bit): IP versiyonu 0110 tutuyor. ➢ Traffic Class(8-bit): 2 parçadan oluşuyor ○ En önemli 6 bit gerekli “Servis Tipi”ni tutuyor ○ Diğer 2 bit Explicit Congestion Notification yani tıkanıklık bildirimini sağlıyor ➢ Flow Label(20-bit): Paketin hedef IP’ye hangi yol ile ulaşacağının bilgisi tutulur. Çakışmayı önler ➢ Payload Length(16-bit): Ek başlık ile birlikte verinin toplam boyutu ➢ Next Header(8-bit): Ek başlık yoksa başlığın TCP/UDP olduğunu gösterir, varsa ek başlığın türünü belirtir
  • 23. IPv6 Başlık Yapısı ➢ Hop Limit(8-bit): Paketin kaç yönlendiriciden geçeceğini belirler her seferinde 1 azalır ➢ Source Adress(128-bit): Paketi gönderenin IPv6 adres bilgisini içinde tutar ➢ Destination Adress(128-bit): Alıcının adres bilgisini saklar ➢ Extension Headers: IPv4’teki options kısmının yerini almıştır. Geliştirebilirdir. Yalnızca gerekli bilgilerin tutulmasını sağladığı için elverişli
  • 24. IPv4 ve IPv6 Başlık Yapıları
  • 26. Giriş - 3. Hafta ● IPv4 vs IPv6 ● IPv6’ya Geçiş ● IPSec Nedir? ○ Bölümleri Nelerdir? ○ Kullanılan Algoritmalar ● IPSec’in Başlıktaki Yeri
  • 27. IPv4 vs IPv6 ● Adres yetersizliğinin giderilmesi için ortaya çıktı. ● Başlık yapısı değiştirilerek yönlendirme hızı artırıldı. ● Servis Kalitesi geliştirildi.
  • 28. IPv6’ya Geçiş ● Uluslararası kuruluşlar yayınladıkları bildirilerle bu konuya defalarca dikkat çektiler. ● Devletler koydukları kanunlarla devlet kurumları ve İSS’ leri bağlayıcı adımlar attılar. ● Geçiş için optimum maliyet hesaplamaları yapılmaya çalışıldı ● ULAKBİM, IPv6-GO, IPv6-DN
  • 29. IPSec Nedir? ➔ Verilerin, kaynaktan belirli hedefe güvenli biçimde ulaşabilmeleri için tasarlanmış bir protokol. ➔ 3 ana bölümde inceleyelim: ◆ Veri Bütünlüğü ◆ Kimlik Doğrulama ◆ Veri Mahremiyeti ➔ Çeşitli kriptografik fonksiyonlar kullanılıyor, bunları IPv6’ daki kullanım sıralarına göre inceleyelim.
  • 30. Veri Bütünlüğü - MD5 ● Gönderilecek mesajın özetinin (128-bit) oluşturulması ● Bu özetin şifrelenmesi ve karşılaştırılması için ○ MD5 ve ○ SHA-1 algoritmaları kullanılıyor. ● MD5’te hash fonksiyonu kullanılıyor. ● Teorik olarak çözülmesi imkansız fakat bazı girdiler veritabanına saklanıp karşılaştırılarak 8-bite kadar çeviri yapmak mümkün.
  • 31. SHA-1 ● NSA tarafından tasarlandı. ● 160-bit uzunluğunda çıktılar üretiyor ● Mesaj uzunluğu 512-bit’in katı olmalı, bunun için padding kullanılıyor. ○ Padding = Verinin sonuna önce bir tane “1” biti sonra gerekli kadar “0” biti eklenmesi ● Mesaj 512-bitlik bloklara bölünüp (32 bitlik 16 kelime) hash fonksiyonları uygulanır. ● Git de bu algoritmayı verilerin değişmediğini kontrol etmek için kullanıyor. (güvenlik için değil)
  • 32. Kimlik Doğrulama (Authentication) ● İletişimde bulunacak bilgisayarlar aynı yöntemi kullanarak kimlik doğrularlar. ● Bu yöntemler: ○ Önpaylaşımlı anahtar ○ Kerberos ○ Sertifika ile doğrulama
  • 33. Ön Paylaşımlı Anahtar ● Ön Paylaşımlı Anahtar (a.k.a. PSK) iki tarafın da aynı anahtarı IKE protokolü ile paylaşmasına dayalı güvenlik önlemi ● Her türlü Brute Force ataklara karşı dayanıklı ● Bu paylaşım yapılırken bir dinleme gerçekleşirse güvenliliği yitirir ● Tahmin edilebilirliğin azaltılması ve güçlü anahtar seçimi için random key generator’ler kullanılmalı
  • 34. Kerberos ● MIT tarafından Windows tabanlı ağlar için tasarlandı. ● Firewall, içeriden gelen ataklara karşı savunmasız ○ Kerberos çift taraflı doğrulama sağlar. ○ Simetrik anahtarla şifreleme yöntemini kullanır. ● İstemci ve sunucu bu şekilde kimlik doğruladıktan sonra ● Sağlanan veri bütünlüğü ile tüm iletişimi güvensiz bir ağ üzerinden güvenli biçimde yapabilir.
  • 36. Veri Mahremiyeti ● Ağdaki paketin bir sniffer tarafından yakalanma olasılığına karşın verinin şifrelenmesi ve ● Hedef bilgisayarda bu şifrenin tekrar çözülmesi işlemleridir. ● En yaygın kullanılan algoritmalar DES, 3DES ve AES’dir
  • 37. DES - 3DES ● Veri bloklara bölünür, blok uzunluğu 64 ya da 128-bit ● Her blok farklı bir anahtar ile şifrelenir ● Şifrelenmiş her bit o turun anahtarına ve diğer bitlere bağımlıdır ○ Bu bağımlılık güvenliği artırır ○ Yine de bugün Brute Force ataklarla kırılabiliyor ● 3DES ise aynı işlemin 3 kez tekrarlanması ● 24 baytlık anahtar 3 parçaya bölünür ○ İlk 8 bayt ile şifreleme ○ Ortadaki 8 bayt ile şifrenin çözülmesi ○ Son 8 bayt ile yeniden şifreleme ● Güvenlik artsa da hız 3 kat azalmıştır
  • 38. AES ● DES’deki açıklardan sonra Amerikan Hükümeti tarafından kabul edilip DES’nin yerini al ● Veri belli turlardan geçirilerek şifreleme yapılır ● Her tur içinde 4 ana işlemi barındırır ○ Bayt Değiştir ○ Satır Kaydır ○ Sütun Karıştır ○ Tur anahtarı ile topla ● Yandaki tabloda AES türleri- nin çeşitlenmesi gösteriliyor Kelime Uzunluğu Tur Sayısı AES128 4 10 AES192 6 12 AES256 8 14
  • 39. IP Doğrulama Başlığı ● Veri bütünlüğü ve kimlik doğrulama için kullanılır ● Kriptografik hash fonk. + gizli anahtar ile hesapla = mesaj doğrulama kodu ● HMAC(K,m) = H((K xor opad) | (H((K xor ipad) | m)) ○ opad = 0x5c5c5c...5c (1 blok uzunluğunda) ○ ipad = 0x363636...36 (1 blok uzunluğunda) ● Hesaplanan HMAC IP başlığına eklenir ve alıcı gizli anahtara erişip bu kodu çözüp kontrolü sağlar
  • 40. Kapsüllenen Güvenlik Yükü ● Encapsulating Security Payload (ESP) ● IP Doğrulama Başlığı’nın verdiği numarayı önceden belirlenen algoritmalar şifreleyip açma işlemi ● Uygulamaların IPv6 ile uyumsuz olduğu durumlarda iletişim tünel protokolü ile kapsüllenir ● Tünel Protokolü: TLS,SSL,SSH gibi protokoller ile trafiği korumak için kullanılır