IPv4 adreslerinin tükenmesinden doğan IPv6’nın yeni güvenlik tehditleri de vardır. Bir yazı dizisi olarak vereceğimiz 4. Ağ ve Bilgi Güvenliği Sempozyumunda Ayhan Çakın ve Muhammed Ali Aydın’ın sunduğu “IPv4 / IPv6 Güvenlik Tehditleri ve Karşılaştırılması” başlıklı bildiride IPv6 güvenlik sorunlarına dikkat çekiliyor.
Bu yazı dizisinde ilk olarak IPv4 ile IPv6 arasındaki farklara değinilecek ardından IPv4’de ortaya çıkan ve IPv6 üzerinde de geçerli olan ortak tehditlerden, sonrasında ise IPv6’nın yayılmaya başlaması ile ortaya çıkabilecek güvenlik sorunlarından bahsedilecektir.
Giriş
Bilindiği üzere, mevcut internet protokolü IPv4 yetersiz adres uzayı ve güvenlik açıkları gibi sorunlarla yüzleşmektedir. Bu ve benzeri sorunları temel alarak, IETF (Internet Engineering Task Force) bunları giderebilecek yeni bir protokol için çalışmalar başlatmıştır. IPv6 olarak anılan bu yeni protokol, dahili güvenlik önlemleri, ağ yönetimi araçları ve konfigürasyon kolaylığı temel alınarak birçok RFC(RFC 1752, 2460, 2462 vb.) ile tanımlanmıştır.
IPv4’ü genel olarak değerlendirdiğimizde, iki ana sorun ile karşılaşılmaktadır. En büyük problemlerden birincisi, IPv4’ün sunabildiği adres uzayının sınırlı olması ve günümüzde neredeyse tükenmek üzere olduğudur. İlk başta yaklaşık 4 milyar adres uzayına sahip olarak tasarlanan IPv4, kablosuz ağ bilesenleri, hücresel ağların gelişimi ile yetersiz kalmıştır.
İkinci önemli sorun ise güvenliktir. IPv4 tasarlandığı dönemde “uçtan uca” modeli benimsemiş ve internet “güvenli” bir ortam olarak düşünülmüştür. Bu yüzden hiçbir dahili güvenlik bileşeni olmadan tasarlanmıştır. Uçtan uca olarak tasarlanmış modeli, güvenliğin uçlardaki konaklarda sağlanması üzerine kurulmuş ve güvenlik opsiyonu da sonradan bu amaç ile protokole eklenmiştir. Bu tasarımın doğurduğu açıkları uygulama bazında kapatmak amacı ile PGP ve SSL gibi önlemler alınmaya çalışılsada, tam olarak uçtan uca güvenli bir iletişim sağlanamamaktadır. Örneğin IPv4’ün authentication mekanizmaları tarafında olan eksikliği ortadaki adam saldırılarına, zayıf tasarımı ve dar adres alanı ile konakların taşırma, servis dışı bırakma ve özellikle keşif tipi (portların kısa sürede taranabilmesinden faydalanılarak) saldırılarılara maruz kalmasına yol açmaktadır.
IPv6’daki Değişiklikler ve IPv4 ile IPv6 Farkları
IPv6’nın esas tanımlamaları; RFC 2460 (Deering & Hinden,1998) IPv6 Protocol, RFC 4443 (Conta, Deering & Gupta, 2006) Internet Control Message Protocol for IPv6 (ICMPv6), RFC 4291(Hinden & Deering, 2006) IPv6 Addressing Architecture gibi RFC dökümanları ile belirlenmiştir. IPv4 ile arasındaki bazı farklar alttaki tabloda gösterilmiştir:
IPv4
|
IPv6
|
|
Güvenlik/Uzunluk
|
32 bit adres uzunluğu
|
128 bit adres uzunluğu
|
IPsec
|
Kullanımı seçeneğe bağlı
|
Uygulama desteği mecburidir
|
Quality of Service
|
IPv4 başlığında paket akışını tamamlamak için yönlendiricilerin kullanabileceği ortak bir stadrt QoS tanımlamaları yoktur
|
Başlıkta bulunan “flow label” alanı yönlendiriciler tarafından kullanılır
|
Fragmentation
|
Paketin parçalanması işlemi (fragmentation) hem ağdaki ara elemanlar hem de gönderici tarafından yapılabilir
|
Paketin parçalanması işlemi (fragmentation) yönlendiriciler tarafından yapılmaz. Sadece gönderen istemci tarafından yapılır
|
Checksum
|
Checksum vardır
|
Checksum içermez
|
Paket başlığında özel alanlar
|
Seçenekler alanı bulunur
|
Seçimli veriler extension headerlar ile taşınır
|
ARP
|
ARP kullanılır
|
ARP Request paketleri multicast Neighbor Solicitation mesajlarıyla değiştirilmiştir
|
Ağ geçidi tespiti
|
Varsayılan en iyi ağ geçidi tespiti için ICMP Router Discovery kullanılabilir, fakat zorunlu değildir
|
ICMP Router Discovery yerine “ICMPv6 Router Solicitation” ve “Router Advertisement” kullanılır ve kullanımı zorunludur
|
Broadcast
|
Ağdaki tüm birimlere “broadcast” adresleri ile erişilir
|
“broadcast” adresi bulunmamaktadır. Bunun yerine “link-locak scope all-nodes multicast” adresi kullanılır
|
Yapılandırma
|
DHCP server yardımıyla veya elle yapılandırılır
|
Otomatik olarak yapılandırılır
|