ulaknet ipv6 p lanlananlar ve ipv6 g üvenliği
DESCRIPTION
UlakNet IPv6 P lanlananlar ve IPv6 G üvenliği. Onur BEKTAŞ TÜBİTAK - ULAKBİM. IPV6. Ba şlangıç 1982 128 bit adresleme Daha hızlı (Basitleştirlmiş header formatı) Daha güvenli (AH ve ESP eklentikeri) Daha iyi Servis Kalitesi Yönetimi (QOS) - PowerPoint PPT PresentationTRANSCRIPT
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
UlakNet IPv6 Planlananlar ve IPv6 Güvenliği
Onur BEKTAŞ
TÜBİTAK - ULAKBİM
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
IPV6
Başlangıç1982128 bit adreslemeDaha hızlı (Basitleştirlmiş header formatı)Daha güvenli (AH ve ESP eklentikeri)Daha iyi Servis Kalitesi Yönetimi (QOS)Dinamik IP yönetimi(DHCP benzeri Stateless autoconfiguration)
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
128 Bit Adresleme
IPv4 32 bit 2^32 toplam adres 4.2 x 109
IPv4 128 bit 2^128 toplam adres3.4 x1038
Dünya üzerindeki her M2 ye
655.570.793.348.866.943.898.599 = 6.5 x 1023 IP
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
UlakNET IPV6 Planlananlar
Ulaknet IPV6 bloğu:
2001:A98::/32 296 IP adresi
Her Üniversiteye /44 IP adresi = 284 = 19342813113834066795298816 = 1.9 x1025
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
IPv6 Teknoloji Desteği
İşletim sistemleri Linux çekirdek 2.4 *BSD Solaris Windows 2000 (Yama gerekiyor) Windows XP (Bütünleşik, Deneysel) Windows Server 2003
Programlar Mozilla I.E Netscape Ping6 traceroute6
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
UlakNET IPV6 Mevcut Durum Mevcut IPV6 Bağlantısı
GEANT (Avrupa Akademik Ağı IPv6 Destekli) Ulaknet Servisleri: Prefix 2001:A98:0010:0000::/64
DNS + BIND 9.2,*
AAAA kayıtları yapıldı SSH
+ ssh ver 3.2.* www.ssh.com Güvenlik duvarı
+ FTP : ftp.ulak.net.tr
- proftpd.1.2.9rc2 ( v4 + V6 calişma sorunlu) + Apache 2.0.x
PROXY wwwcache.ulak.net.tr Squid IPv6 desteği yok. + Apache 2.0.x
WWW www.ulak.net.tr - apache
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
Firewall
Dns Web
Ftp
Proxy
Medya Suncusu
İzmir
İstanbulAnkara
Ulakbim Yerel Kullanıcıları
Geant
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
IPv4 Güvenlik Mekanizmları (Ipsec)
•Ipsec (Ip security RFC 2401) IPv4 güvenlik için opsiyonel(VPN)
•Ipsec Ipv6 da kullanılması zorunlu
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
IPv4 Güvenlik problemleri• Veri doğrulama (Data authentication)
• Alıcı eğer kaynak adresi belli bir IP paketi alıyorsa paketin gerçekten o IP’den geldiğine emin olmalı.
•Ip spoff saldırıları
•rlogin, rsh benzeri IP tabanlı doğrulama yapan sistemler
•Sesion Hijacing saldırıları
•Sesion Replay saldırları
•Smurf ICMP saldırıları (microsoft,yahoo vb sitelere saldırılar)
•Data bütünlüğü (Data integrity)
•Alıcı bir İp paketi aldığında paketin seğrettiği yol boyunca içeriğinin değiştirilmediğinden emin olmalı.
•IPv6 cözümü AH (Authentication Header)
•Data şifrelmesi (Data Encription)
•Alıcı bir IP paketi aldığında pakettin seğrettiği yol boyunca içeriğinin okunamadığından emin olmalı
•Sniffer
•IPv6 Çözümü ESP(Encapsulated Security Payload)
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
Ipv6 Güvenlik Mekanizmaları
Ipv4 te kullanılan IPSEC baz alınarak hazırlandı. Güvenlik 2 Mekanizma ile sağlanıyor.
Authentication Header (AH) (veri doğrulama,veri bütünlüğü) Encapsulated Security Payload (ESP) (veri şifreleme)
AH & ESP beraber kullanılacağı gibi ayrı ayrıda kullanılabilir.
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
Security Associations (SA)
PKI için ortak bir anahtar ,güvenlik algoritması ve diğer parametreler konusunda anlaşma sağlanması.
Her protokol kendi Security Assocation’una sahip Security Parameter Index ortak bir SA seçmek için gerekli bir kimlik (anahtar,anahtar
geçerlilk zamanı, alagoritma) Securtiy Paramater Index alıcı (receiver) tarafından seçilir. SPI ın multicast gruplarında nasıl yaratılıp nasıl dağıtılacağı hala üzerinde çalışılan
bir konu.
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM 4
Authentication Header (AH)
Veri doğrulama ve Veri bütünlüğü sağlıyor. Algoritma bağımsız (keyed md5 önerilyor) Paket doğrulaması için checksum hesaplarırken yol boyunca
değişen TTL/Hop Limit benzeri paket header bilgileri dikkate alınmıyor.
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
Encapsulated Security Payload
Gizlilik ve şifreleme sağlıyor2 Modu var
Tünel moduTüm datagram şifreleniyor
Transport moduSadece payload (TCP, UDP, ICMP)
DES ve CBS dışında algoritma bağımsız
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
Değinmediğmiz Konular
Mobil IPv6 Güvenliği.Otomatik IP dağıtımından dolayı çıkabilecek güvenlik açıkları.Ipv6 Filitrelemede çıkabilecek açıklar.Yazılım desteğinden çıkabilecek açıklar
Aynı Ip algılama DAD (Duplicate Adress Detection) güvenlik açıkları.
3/10/2003 Onur BEKTAŞ TUBİTAK ULAKBİM
TEŞEKKÜRLER..