IPv4/IPv6 Güvenlik Karşılaştırması: IPv6’daki Değişiklikler

IPv4 adreslerinin tükenmesinden doğan IPv6’nın yeni güvenlik tehditleri de vardır. Bir yazı dizisi olarak vereceğimiz 4. Ağ ve Bilgi Güvenliği Sempozyumunda Ayhan Çakın ve Muhammed Ali Aydın’ın sunduğu “IPv4 / IPv6 Güvenlik Tehditleri ve Karşılaştırılması” başlıklı bildiride IPv6 güvenlik sorunlarına dikkat çekiliyor.

Bu yazı dizisinde ilk olarak  IPv4 ile IPv6 arasındaki farklara değinilecek ardından IPv4’de ortaya çıkan ve IPv6 üzerinde de geçerli olan ortak tehditlerden, sonrasında ise IPv6’nın yayılmaya başlaması ile ortaya çıkabilecek güvenlik sorunlarından bahsedilecektir.

 

Giriş

Bilindiği üzere, mevcut internet protokolü IPv4 yetersiz adres uzayı ve güvenlik açıkları gibi sorunlarla yüzleşmektedir. Bu ve benzeri sorunları temel alarak, IETF (Internet Engineering Task Force) bunları giderebilecek yeni bir protokol için çalışmalar başlatmıştır. IPv6 olarak anılan bu yeni protokol, dahili güvenlik önlemleri, ağ yönetimi araçları ve konfigürasyon kolaylığı temel alınarak birçok RFC(RFC 1752, 2460, 2462 vb.) ile tanımlanmıştır.

 

IPv4’ü genel olarak değerlendirdiğimizde, iki ana sorun ile karşılaşılmaktadır. En büyük problemlerden birincisi, IPv4’ün sunabildiği adres uzayının sınırlı olması ve günümüzde neredeyse tükenmek üzere olduğudur. İlk başta yaklaşık 4 milyar adres uzayına sahip olarak tasarlanan IPv4, kablosuz ağ bilesenleri, hücresel ağların gelişimi ile yetersiz kalmıştır.

 

İkinci önemli sorun ise güvenliktir. IPv4 tasarlandığı dönemde “uçtan uca” modeli benimsemiş ve internet “güvenli” bir ortam olarak düşünülmüştür. Bu yüzden hiçbir dahili güvenlik bileşeni olmadan tasarlanmıştır. Uçtan uca olarak tasarlanmış modeli, güvenliğin uçlardaki konaklarda sağlanması üzerine kurulmuş ve güvenlik opsiyonu da sonradan bu amaç ile protokole eklenmiştir. Bu tasarımın doğurduğu açıkları uygulama bazında kapatmak amacı ile PGP ve SSL gibi önlemler alınmaya çalışılsada, tam olarak uçtan uca güvenli bir iletişim sağlanamamaktadır. Örneğin IPv4’ün authentication mekanizmaları tarafında olan eksikliği ortadaki adam saldırılarına, zayıf tasarımı ve dar adres alanı ile konakların taşırma, servis dışı bırakma ve özellikle keşif tipi (portların kısa sürede taranabilmesinden faydalanılarak) saldırılarılara maruz kalmasına yol açmaktadır.

 

IPv6’daki Değişiklikler ve IPv4 ile IPv6 Farkları

IPv6’nın esas tanımlamaları; RFC 2460 (Deering & Hinden,1998) IPv6 Protocol, RFC 4443 (Conta, Deering & Gupta, 2006) Internet Control Message Protocol for IPv6 (ICMPv6), RFC 4291(Hinden & Deering, 2006) IPv6 Addressing Architecture gibi RFC dökümanları ile belirlenmiştir. IPv4 ile arasındaki bazı farklar alttaki tabloda gösterilmiştir:

IPv4
IPv6
Güvenlik/Uzunluk
32 bit adres uzunluğu
128 bit adres uzunluğu
IPsec
Kullanımı seçeneğe bağlı
Uygulama desteği mecburidir
Quality of Service
IPv4 başlığında paket akışını tamamlamak için yönlendiricilerin kullanabileceği ortak bir stadrt QoS tanımlamaları yoktur
Başlıkta bulunan “flow label” alanı yönlendiriciler tarafından kullanılır
Fragmentation
Paketin parçalanması işlemi (fragmentation) hem ağdaki ara elemanlar hem de gönderici tarafından yapılabilir
Paketin parçalanması işlemi (fragmentation) yönlendiriciler tarafından yapılmaz. Sadece gönderen istemci tarafından yapılır
Checksum
Checksum vardır
Checksum içermez
Paket başlığında özel alanlar
Seçenekler alanı bulunur
Seçimli veriler extension headerlar ile taşınır
ARP
ARP kullanılır
ARP Request paketleri multicast Neighbor Solicitation mesajlarıyla değiştirilmiştir
Ağ geçidi tespiti
Varsayılan en iyi ağ geçidi tespiti için ICMP Router Discovery kullanılabilir, fakat zorunlu değildir
ICMP Router Discovery yerine “ICMPv6 Router Solicitation” ve “Router Advertisement” kullanılır ve kullanımı zorunludur
Broadcast
Ağdaki tüm birimlere “broadcast” adresleri ile erişilir
“broadcast” adresi bulunmamaktadır. Bunun yerine “link-locak scope all-nodes multicast” adresi kullanılır
Yapılandırma
DHCP server yardımıyla veya elle yapılandırılır
Otomatik olarak yapılandırılır

 

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.