IPv4/IPv6 Güvenlik Karşılaştırması: IPv6 ile Gelen Güvenlik Tehditleri

Bazı bilinen saldırı türleri IPv6 ile değişmiş ve bunun yanında sadece bu protokole özel saldırı türleri de bulunmaktadır. Yazı dizimizin bu son bölümünde IPv6 ile gelen 5 güvenlik tehditini inceleyip sonuç bölümü ile değerlendirmemizi tamamlayacağız.

 

IPv6 ile Gelen Güvenlik Tehditleri

Keşif Tipi Saldırılar

Keşif saldırıları bir saldırı türü olmaktan çok, bir saldırının başlangıç aşaması olarak görülebilir. Bir saldırı yapmadan önce ağı analiz etmek ve ağdaki cihazları tanımlamak için kullanılır. Saldırgan çesitli tarama metotlarını kullanarak hedef ağdaki IP adreslerini belirler ve daha sonra ağdaki cihazlara özel port taraması gibi işlemlere başlar.

Yeni internet protokolünü ele aldığımızda, saldırganlar için tüm ağı taramak neredeyse imkansız hale gelmiştir. Çünkü IPv6’da alt ağ sayısı IPv4’e göre çok büyüktür (64 bit). Buna dayanarak IPv6 ağları keşif saldırılarına daha dayanıklı denilebilir. Ancak IPv6’da bulunan bazı çoklu gönderim adresleri saldırganlar tarafından kullanılarak ağdaki cihazların tespiti ve saldırı amacıyla kullanılabilir.

 

ICMPv6

IPv4 ağlarında ağın diğer fonksiyonlarına zarar vermeden ICMP mesajlarını engellemek mümkün olduğundan, bu uygulama zamanla güvenlik sebebiyle sürekli uygulanmaya başlandı. Ancak IPv6’nın tanımlanması ile birlikte, ICMPv6’nın MTU ve komşu tanımlama gibi çok önemli mekanizmalarda kullanıldığı görüldü. Buna bağlı olarak, ağın düzgün bir şekilde işlemesi için ICMPv6 mesajlarının engellenmemesi gerekmektedir. Ancak ICMPv6 tanımlamasındaki en önemli güvenlik açığı olarak, hata mesajlarının hedef adreslerinin çoklu gönderim adresi olarak tanımlanmasına izin vermesidir. Bu özellik bir saldırgan tarafından kolayca istismar edilebilir.

 

Ek Başlıklar ile İlgili Tehditler

IPv6 tanımlamasına göre IPv6 ağındaki bütün cihazlar yönlendirme başlıklarını işleyebilmelidir. Bu davranış, hedef adres temel alınarak yetkisiz erişim gibi bazı güvenlik açıklarına yol açabilir. Bir senaryo oluşturarak örnek vermek gerekirse: Bir saldırgan açık bir ağ üzerindeki bir cihaza, yönlendirme başlığında o cihaz üzerinde önceden yasaklı olarak belirlenmiş bir paket yolluyor. Normal koşullar altında bu paketin süzülmesi gerekirken, bu cihaz gelen paketi otomatik olarak iletmektedir. Saldırgan sahte IP adresleri üzerinden açık ağdaki bu cihazı kullanıp gönderdiği paketleri iletmesini sağlayarak hizmet dışı bırakma saldırısı yapabilir. Burada bilinmesi gereken bazı işletim sistemlerinin yönlendirme başlığı olan paketleri otomatik olarak ilettiği, diğerlerinin ise iletmediğidir.

 

Başlık Yönetimi ve Parçalama

IPv6 protokolü tanımına göre, MTU keşif metodu zorunlu tutulmuş ve paketin parçalanma işleminin aradaki cihazlarda yapılması engellenmiştir. Birçok ek başlık seçeneğinin kullanılması ile birlikte, bugün ağdaki orta elemanlar tarafından yapılan paketlerin yeniden birleştirilmesi işleminde sorunlar çıkması muhtemeldir.

 

Tünelleme ve Geçiş Mekanizmaları

IPv4 ağlarının devasa boyutunu ele aldığımızda, IPv6 ağlarına geçişin birçok uyum sorunu sonucunda yavaş olacağı görülmektedir. Bu süreci daha yumuşak hale getirmek için birden fazla geçiş mekanizmaları geliştirilmiştir. Ancak bu mekanizmalar şirketlerin yanlış konfigürasyonu, tünel metotları ve iki protokolün (IPv4 ve IPv6) beraber kullanılması gibi etkenler sonucunda şuanda tahmin edilemeyen yeni güvenlik açıkları doğuracaktır. Bu yüzden IPv6 ağlarına geçiş süreci ağ yöneticileri tarafından dikkatle değerlendirilmelidir.

 

Sonuçlar

IPv6 mevcut protokoldeki sorunları çözmeye yönelik tasarlanmış olsa da, güvenlik penceresinden henüz tartışılması gereken birçok nokta bulunmaktadır. IPSec özelliğinin uygulanma desteğinin zorunlu hale getirilmesi, paketlerin ağdaki orta elemanlarda parçalanmasına izin verilmemesi, adres uzayının genişletilmesi ve NAT kullanımının azaltılmaya teşvik edilmesi, IPv6 ile gelen ve bu protokolü daha güvenli bir uygulama hale getiren yönlerden sadece birkaçıdır. Ancak daha yeni bir protokol olması ve şu anda uygulamasının az olması nedeniyle, yayılması anında çıkabilecek sorunlar halen araştırılmaktadır. Şu anki tasarımın daha derin analizi ve yukarıdaki konuların incelenmesi ile IPv6 ağlarına geçiş çok daha hızlı ve sorunsuz olacaktır.

 

Sibergah’tan Yararlı Ek Kaynaklar:

— YAZI DİZİSİ SONU —

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.