IPv4/IPv6 Güvenlik Karşılaştırması: Benzer Güvenlik Tehditleri

Yeni protokol tasarımı ile gelen güvenlik önlemleri olsa da, IPv6 ağları halen farklı tipte ataklara maruz kalabilmektedir. Bu ataklar üzerinde birçok çalışma mevcuttur. Bazı atak türleri IPv6 ile değişmiş ve bu protokole özel saldırı türleri bulunmaktadır. Ancak IPv4 için mevcut olan tüm saldırı türleri değişmemiş ve bu saldırı mekanizmaları IPv4 ve IPv6 ağları için tehlike oluşturmaktadır.

 

IPv4 ve IPv6’daki Benzer Güvenlik Tehditleri

Paket Koklama

Paket koklama saldırısı basitçe ağda gezen verinin yakalanıp incelenmesi olarak tanımlanabilir. Koklama atakları hem IPv6 hem de IPv4 üzerinde etkili olan en tipik saldırı biçimidir. IPv4’de veriler ağda şifrelenmeden dolaştığı için saldırı çok çabuk sonuç vermekteydi. Ancak yeni protokolün tanımına göre, IPv4’de yalnızca bir seçenek olan IPSec özelliği, IPv6 da dahili olarak desteklenmek zorundadır. Bu özellik ile veriler uçtan uca şifrelenmiş şekilde transfer edilmekte, paket aradaki bir konakta yakalanıp incelense bile şifreli olacağı için güvenlik açığı kapatılmış olmaktadır. Buradaki önemli nokta, IPv6’da IPSec desteği zorunludur ancak kullanılması tamamen isteğe bağlıdır. Anahtar paylaşımı ve konfigürasyonu gibi karısık konulardan dolayı IPSec özelliğinin IPv6’daki kullanımın eski protokolden daha fazla olup olmayacağı bir soru işaretidir.

 

Ortadaki Adam Saldırıları

Bilgisayarın meşruluğu ağ yapısında ya da işletim sistemi tarafında IP kurallarına göre belirlenmektedir. Bazı durumlarda IP adresi saldırı yapan bir kişi tarafından taklit edilmekte/uydurulmaktadır (forged ID). Bu sahte IP’yi kullanarak saldırgan meşru konaktan gelmis gibi bir paket gönderebilir. Gerekli yetkileri kazandıktan sonra, saldırgan gelen paketlerdeki veriyi birçok yöntemle yönetebilir, yeniden yönlendirebilir veya değiştirebilir.

 

Taşırma Saldırıları

Taşırma saldırıları IPv4 ağlarını en çok istismar eden saldırı türü olarak bilinmektedir. Bu tarz saldırılar IPv6 için de geçerli olacaktır. Ağ üzerindeki hedefe kaldırabileceğinden daha fazla istek göndererek hizmet vermesini belirli bir süre boyunca engelleme yöntemi IPv6 için de geçerli olacaktır. Saldırı; bölgesel ya da dağınık hizmet dışı bırakma (DDoS) yani farklı makinelerin aynı anda tek bir hedefe istek göndermesi ile uygulanmaktadır. IPv6 ağlarında, bu tarz atakları ağı analiz ederek tespit etmek daha da zorlaşmaktadır. Çünkü IPv6 ile adres uzayı büyümüş ve sahte IP’lerin tespiti zorlaşmıştır.

 

Uygulama Seviyesi Saldırıları

Günümüzün en yaygın saldırı türlerinden olan uygulama seviyesi saldırıları, CGI saldırıları, solucan dağılımı, hafıza taşırma gibi saldırıları içermektedir. IPv6’ya geçiş ne yazık ki ağları bu tarz saldırılardan koruyamamaktadır. Çünkü bu saldırıların hepsi uygulama seviyesindedir. IPv4 ve IPv6 protokolleri ise OSI modelinin ağ düzeyinde işlemektedir.

 

ARP, DCHP Saldırıları, Sahte Cihazlar

IPv6 protokolü tanımlanırken, ARP ve DHCP’nin bu protokoldeki karşılıkları ile ilgili dahili bir güvenlik mekanizması eklenmemiştir. Yönlendirici ve komşu istek paketleri sahte olarak üretilip bunlarla komşu tanımlama önbelleğinin üzerine yazılıp, IPv4’deki ARP sorunları tekrarlanmaktadır. Bunlara ek olarak, sahte cihazlar, ağ üzerinde yetkisi olmayan cihazların kablosuz erişim noktası, DHCP sunucusu veya basit bir bilgisayar olarak tanımlanan cihazlardır. Bu cihazların tespit edilmesi için bazı yöntemler bulunmaktadır. Ancak IPv6’da hiçbirisi değişmemiştir. Fakat IPSec özelliğinin IPv6 ağlarında etkin bir şekilde uygulanması ve cihazların yetkilendirilmesi ile bu atakların tespiti bir şekilde mümkün olabilecektir.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.