Siber Güvenlik

IPv6 için 9 Temel Güvenlik Kontrolü

Akıllı telefon kullanımının artması, bulut ve IoT gibi teknolojilerin yaygınlaşması beraberinde kısıtlı olan IPv4 kaynaklara artan bu talep karşısında sistemlerin IPv6 protokolüne geçilmesini elzem kılmıştır.

IPv6 çalışmalarına 1998 yılından beri başlanmış olup 2010 yılından itibaren Amerika ve Avrupa kıtasında, 2020 yıllarından sonra ise Asya ülkelerinde yaygınlaşmaya başladığını görmekteyiz. IPv6 protokolü IPv4’ten sonra hayatımıza giren ve önümüzdeki yıllarda çokça kullanılacak ve konuşulacak bir protokol olacaktır. Öncelikle ilk akla gelen IPv5 değil, neden IPv6 olarak gelebilir. Merak edenler için; IP temelde ne olduğu, nasıl çalıştığı, adlandırma ve versiyon farkları hakkında kısaca bilgi için https://en.wikipedia.org/wiki/List_of_IP_version_numbers adresinden öğrenilebilir.

Kurumlar için IPv6 protokolünde birden fazla geçiş metodu olmakla birlikte eldeki IPv4 kaynaklarının kullanılması, IPv6 geçişte karşılaşılabilecek problemlerin riskini minimuma indirgeme ve kademeli bir geçiş için çoğu kuruluşun dual-stack metodunu tercih ettiğini görmekteyiz.

Makalemizde; IPv6 ile gelen yeni özellikler, özelliklerin barındırdığı güvenlik risklerini ve bu riskleri nasıl kontrol altına alabileceğimizi öğreneceğiz.

Şekil 1 IPv4-IPv6 Arasındaki Temel Farklar

IPv4 ve IPv6 protokolleri arasındaki temel farkları belirtikten sonra şimdi IPv6 protokolü için uygulamamız gereken temel güvenlik önlemlerini inceleyelim. Unutulmamalıdır ki IPv6 güvenliğinde değinilen her başlık için detaylı RFC’lerin (http://www.ietf.org/rfc) incelenmesi ve yapılan konfigürasyon değişikliklerine dikkat edilmesi gerekmektedir.

IPv6 güvenliği için yapılacak ilk iş bir adresleme planı yapılmalıdır. Ağ yönetici için IPv6 dağıtım planı oluşturmak en önemli tasarım kararlarından biri, bir IPv6 adresleme planı oluşturmaktır. Bu, kuruluşun kabul edilebilir kullanım ve erişim politikasıyla eşleşmelidir. Ayrıca, mevcut IPv4 altyapısının güvenlik yönlerini gözden geçirerek, çift yığın (dual stack) bir ağın nasıl yönetileceğine ilişkin değerlendirmeleri de içermesi gerekir. Ağın yönlendirme ve anahtarlama tasarımına dikkat edilmelidir. Alt ağların sayısı, yönlendirme mimarisi ve alt ağlar içindeki adres tahsisi vb. hepsinin dahil edilmesi gerekir.
DHCPv6 veya SLAAC (+dDNS) kullanıp kullanılmamasına karar verilmelidir. Ağ ekibi tarafından verilecek en önemli ikinci karar ve yukarıdaki kararla çok bağlantılı IPv6'nın önemli yeni özelliklerinden birinin, yani IPv6 SLAAC son sistemde kullanımıdır. Sunucu sistemlerinin sabit IPv6 adreslerine (manuel veya DHCPv6) sahip olmasını tercih ederken, sunucular için SLAAC kullanımına dinamik DNS eşlik etmelidir.
Tüm güvenlik, ağ izleme, kayıt tutma araçları IPv6 uyumlu olmalıdır. Kuruluşun tüm izleme ve kayıt araçlarının IPv6'da çalışması için değerlendirilmesi ve test edilmesi gerekir. Daha uzun adresler, yeni adres sözdizimi, ağ kartı başına birden çok adres vb. ile düzgün bir şekilde test edilmelidir. Araçlar, her iki yığını aynı anda izleme yeteneği ile ikili yığın ortamında çalışacak şekilde doğrulanmalıdır. Günlük dosyalarını analiz eden araçlar, her iki yığın için de adres sözdizimini ayrıştırabilmelidir.
Ağınıza giren ve çıkan IPv6 paketleri filtrelenmelidir. Yalnızca IPv4 ağları, IPv6'nın varsayılan olarak etkinleştirildiği uç sistemleri içerir. İzinsiz giriş tespit sistemleri ve güvenlik duvarları IPv6 trafiğini doğru bir şekilde işlemezse, önemli güvenlik ihlalleri oluşturabilir. Sistem veya ağ düzeyinde filtrelemeyi ayarlamak için çeşitli seçenekler dikkate alınmalıdır. IPv6 filtrelemenin performans üzerindeki etkileri ve bu önlemleri IPv4 ölçüleriyle senkronize tutulmalıdır. IPv6'yı ağ düzeyinde kapatmak, filtrelemek artık gerçekçi bir seçenek değilken, belirli eski sistemlerin IPv6 yığınlarını devre dışı bırakarak korunmaları gerekebilir.
IPv6’da çok önemli ve etkili olan ICMPv6 kurallarına dikkat edilmelidir. ICMPv6 mesajları doğru şekilde filtrelenmelidir. IPv6 protokolünde IPv4’e en büyük farklardan biri de ICMPv6 kullanımıdır. Birçok ICMPv6 mesajı, IPv6 iletişiminin kurulmasında veya sürdürülmesinde önemli bir role sahiptir. ICMP mesajlarını engellemek IPv4 için bunu yapabilirken, IPv6’da bazı ICMPv6 mesajları engellenemez. Diğer ICMPv6 mesaj türleri, ağ üzerinde izin verilirse güvenlik sorunlarına yol açabilir. Ayrıntılı bilgi, kontrol, tavsiye için RFC4890 incelenebilir.
Yalnızca gerektiğinde özel amaçlı IPv6 uzantı başlıklarına (Extension Headers) izin verilmelidir. Uygunsuz, beklenmeyen veya hatalı biçimlendirilmiş uzantı başlıklarına sahip paketler filtrelenmelidir. Uzantı başlıklarının işlenmesi, özellikle başlıklar ilk paket parçasının ötesine uzanıyorsa, güvenlik duvarı ACL'lerinin görevini önemli ölçüde karmaşıklaştırabilir. Çalışan ACL'lerin RFC7045 tarafından belirtildiği şekilde uzantı başlıklarını işleme ve istenmeyen uzantı başlıklarını engelleme yeteneğine sahip olup olmadığını doğrulaması gerekir. Daha fazla detay ve açıklama için RFC9288 incelenebilir.
IPv4/IPv6 erişimlerinde senkronize kurallar kullanılmalıdır. Çift yığın (dual stack) ağlarının yönetimi, özellikle güvenlik olaylarına tepki verirken, her iki yığın için anlamsal olarak eşdeğer güvenlik duvarı kuralları dağıtılırsa çok daha basittir. Listeleri her zaman art arda güncellemek zorunda kalmak hataya açık ve fark edilmeyen güvenlik açıkları oluşturabilir. Bu nedenle oluşturulacak kurallarda hem IPv4 hem de IPv6 kuralları göz önüne alınarak oluşturulmalıdır.
Rogue RA’leri önlemek için RA-Guard kullanılmalıdır. Komşu keşfi ve yönlendirici keşfi, IPv6'nın iki önemli yeni özelliğidir. Genelde IPv6 multicast tabanlı olmaları, sistemleri birkaç farklı güvenlik sorunuyla karşı karşıya bırakmaktadır. Sahte yönlendiriciler veya saldırganlar, uç sistemleri yönlendirme için kendilerine paketler göndermeye ikna etmek için yanlış yönlendirici duyuruları (RA'lar) gönderebilir, bu da gizlilik ve ortadaki adam saldırılarına izin verir. Önlemi, tüm yerel alan ağı (LAN) aktif parçalarına bir filtre uygulamaktır ve tüm ağ altyapısının RA-Guard'ı desteklediğinden emin olmak gerekmektedir. Daha fazla detay ve açıklama için RFC6104 incelenebilir.
Tünel oluşturma teknolojilerini IPv4’ten IPv6’ya geçiş aracı olarak kullanmadan veya buna izin vermeden önce iyice düşünülmeli ve sonrasında karar verilmelidir. Tünel oluşturma IPv4 adres alanından tasarruf sağlamamaktadır. Ek karmaşıklıkları olmakla birlikte çift yığın (dual stack) sistemleri dağıtmanın daha basit yaklaşımı karşısında herhangi bir gerçek avantaj sağlamaz ve güvenlik açıkları içinde geniş bir alan oluşturmaktadır. Ayrıca IPv4 üzerinde IPv6 tünelleri devre dışı bırakılmalıdır.