IPv6 ve balküpleri

Yine arayı baya açmışım. Neredeyse 4 ay olmuş yazmayalı. Hoş keyfimden değil yazmamam, işim bi yandan okul bi yandan diğer meseleler vs. derken böyle oluyor. Aslında yazmak istediğim baya bişi birikti bu arada ama ne kadarından bahsedebilirim, ne kadarını toparlayabilirim kafamda bilmiyorum.

Dersimiz ağ güvenliği, konumuzu biz seçicez :-p Örneğin balküpleri (honeypot). Ağ güvenliği ile uzaktan yakından ilgilenen bir kişi için az çok bir şeyler ifade edecektir balküpü veya orijinal adıyla honeypot terimi. Balküpleri ağda saldırı yapılabilecek noktalara yerleştirilen, belirli servisleri etkileşim seviyesine bağlı olarak ya simule eden ya da direkt çalıştıran boş bilgisayarlar (tabii ki saldırganın ilgisini çekecek bilgiler içeriyor ise, incelenecek daha çok saldırı çekecektir) olarak tanımlanabilir. Yüksek etkileşimleri balküpleri gerçek bir işletim sistemi şeklinde servisleri çalıştırırken, düşük etkileşimli balküpleri bu servisleri belli bir seviyeye kadar simule ederek saldırganı oyalar ve saldırı hakkında daha fazla bilgi sahibi olmamızı sağlar. Örneğin antivirus yazılımı üreten firmaların dünyanın çeşitli yerlerinde bulunan çok sayıda balküpü bulunuyor. Bu balküplerine yapılan saldırıların ürettiği trafik incelenerek saldırı imzası çıkarıp antivirüs yazılımlarını güncellemekteler. Balküpleri kullanılarak bir balküpü ağı oluşturmak mümkün. Yaygın kullanım şeklinde balküpü ağı ve bu ağın bağlantı noktasına bir adet trafiği dinleyen bilgisayar yerleştirerek kullanılıyorlar. Bu bilgisayarda aynı zamanda ele geçirilen bir balküpü olması durumunda bu balküpü kullanılarak diğer bilgisayarlara saldırı yapılmasını engellemek için ters ayarlanmış bir ateş duvarı uygulaması bulunmakta.

IPv4 ağlarında, bir bulunabilecek adreslerin tamamı rastgele taranabilmektedir. Zararlı yazılımlar ve saldırganlar IPv4 ağlarında bu yöntemi kullanarak kurban ( lık koyun :-p ) bilgisayarları seçiyorlar. Ancak IPv6 adresleri ile bu yöntemin büyük ölçüde kullanışsız hale geleceği öngörülüyor. IPv6 mı o da ne ? IPv6, 90 yılların başında standart haline gelmiş şu an yavaş olsa da (uzak doğuda hiç de yavaş değil, ki avrupa ve amerika da olayın farkında) yayılmakta olan, IPv4 yerine tasarlanmış internet protokolü. Adamlar o zamandan IPv4 adreslerinin her ne kadar NAT (Network Address Translation) vs. kullanarak ömrü uzatılmaya çalışılsa da tükeneceğini sezmişler.Bi önceki cümle feci garip oldu ama düzeltemedim, neyse anlaşılmıosa sorun…

Olay IPv6 ağlarında oluşacak güvenlik problemleri ve ağların rastgele taranması mümkün gözükmediği için IPv6’da yapılacak saldırıların neye benzeyeceği? Bir gecede IPv4 protokolünden IPv6’ya geçişin mümkün olmadığını e-posta okumayı çözmüş herkesin öngördüğünü tahmin ediyorum. Dolayısıyla belli bir süre iki protokol ağda birlikte takılacak, ancak Rusça ve Aborjin dili kadar olmasa da birbirinden farklı olan bu iki protokolün ağda nasıl birlikte kullanılacağı da bir problem. 90’lı yılların başında IPv6 protokolünü önerip standartlaştırmayı akıl eden adam bunu düşünememiş mi diyebilirsiniz. Adamlar tabii ki onu da düşünmüş, ve çeşitli geçiş yöntemleri (ikili yığın, tünelleme (6to4, teredo, isatap), çeviri (BIA başka hatırlayamadım) vb.) önermişler. Peki yeni önerilen bir yöntem beraberinde ne getirmekte, tabii ki olmazsa benim ve sektördeki birçok insanın işsiz kalacağ, bir ağın göz bebeği, sistem yöneticilerinin korkulu rüyası güvenlik açıklarını. Bir başka problem ise her ağ için belirli bir başka deyişle genel geçer bir geçiş yöntemi bulunmaması. Tüm sistem yöneticilerine kolay gelsin. Neyse ki şimdilik Türkiye’deki internet servis sağlayıcılar IPv6desteği sağlamıyor ve yırttık diye düşünebilirler, engelleyemem ama uyarabilirim. Bu durum, Türkiye’de IPv6’nın henüz aktif olarak desteklenmemesi sizin ağınızdan meraklı bir kullanıcın IPv6 ağına bağlanmaması için bir engel değil. Hatta şu an tüm işletim sistemlerinde IPv6 desteğinin öntanımlı olarak geldiği düşünülürse… Böyle bir kullanıcı sizin ağınızı yönetmenizi, trafiğinize hakim olmamanıza sebep olabileceği gibi, farkında olmadığınız açıklar da yaratabilir ağda kendi çapında. Ateş duvarımız var dedğinizi duyar gibiyim ama siz gerekli kuralları yazmadıktan sonra ateş duvarınız da sizi koruyamayacaktır. Bu konudaki en temel örnek tünellenmiş trafiğin 41 no’lu protokol ile taşınması ve ağınızda bir kullanıcının bu yöntemi kullanarak IPv6 ağına bağlanabileceği.

Şimdilik aklıma gelenler bunlar, farkındayım çok kalabalık ve karışık bir yazı oldu, ben yazarken yoruldum mu, hayır, çünkü aklıma gelenleri hızlı bir şekilde ekrana aktardım. Şimdi de referansları ekleyip servis etmeyi düşünüyorum…

NOT: Yazıyı yazarken önemli bir bilgiyi atladığımı farkettim. Şu an Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi adlı TÜBİTAK projesi devam etmekte. Neden olmasın, biz neden geçmeyelim IPv6’ya ?Proje ile ilgili diğer bilgilere projenin sitesinden erişebilirsiniz.

Diğer bilgi kaynaklarından bazılarını aşağıda bulabilirsiniz.

http://www.honeypots.net/
http://www.ipv6.org/
http://www.ipv6forum.com/