Root > Documents > Web Güvenlik Açıkları > IPv6
Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > IPv6
Madde
  Yazar : Anon
  Date : 23.11.2004 16:16:30
 
# IPv6
 
 

Next Generation Internet(IPv6) 

İnternet son yıllarda  inanılmaz bir gelişme göstererek tüm  dünyaya yayıldı.

İnternet kullanıcı sayısındaki bu patlama IP adresi yetersizliğinin ortaya çıkmasına neden oldu. Şu anda var olan IP adresleri hızla tükenmekte. Yeni bir IP standardı olan IPv6\'in geliştirilmesiyle hem var olan IPv4\'un açıklarının kapatılması hem de adres yetersizliğinin giderilmesi amaçlanmaktadır.Ben 1996 yilndan bu yana  sürekli Ipv6 \'dan bahsedildigini biliyorum ama su ana kadar fazla bir aşama kaydedilmedi.Bu arada IPv5 ne oldu derseniz ?Denemeler asamasinda laboratuvardan dısari cikmayi basaramamiş!!!

IPv6  geciş devamli ertelendi ,buna sebep olarakta :

·        Ipv6 karsıtı olan gruplar

  • NAT/NAPT

            NAT/NAPT cözümleri bir çok şirket tarafından kullanılıyor

            Kısa vadeli  bir cözüm olarak düşünülmüştü fakat  performansları

            ile IPv6\'e geçişi engellemişlerdir. Bu çözümün  yaygın ve 

            başarılı bir sekilde sunulduğu günümüz ortamında IPv6\'e geçiş gereksiz

            görülebiliyor 

  • Ipv6 Desteklemeyen cihazlar :Ağ cihazları ureticileri yeni ürünlerinde  IPv6’yı destekliyor:
  • Ipv6 desteği olmayan  İşletim sitemleri:Microsoft Windows200 , Linux kerneli ve Solaris 8 Ipv6 destekliyor.
  • IPv6 MAC :IPv6 protokolünde IP adresi oluşturulurken MAC adresi kullanılması yöntemi izlenilebilirliği artıracağı konusundaki  endişeler.
  • Maliyet

Ipv4\'de Karsimiza cıkan başlıca sorunlar.. 

  • IP Version 4 adresleme alanları daraldı.( IPv4 yaklasık dört milyar farklı adresi desteklemektedir, fakat bunların mevcut dağıtımının düzensiz olarak yapılmış olması nedeniyle günümüzde IP adresi almak isteyen kişi ve kurumlar kalan adreslerin bir kısmı ile yetinmek zorunda kalmışlardır.
  • İnternet yönlendirme tablolari inanılmaz bir sekilde büyüdü
  • IP tabanlı  bir cok yeni teknoloji ürününun piyasaya cikmasi Gelişen Teknoloji ile beraber günümüzde  bilgisayarlar dışındaki başka cihazlara da IP verilmeye başlandı (GPRS ve yakında UMTS sistemleri ile beraber her bir mobil terminal bir IP numarasına ihtiyaç duyacak.)
  • Hiyerarşik adresleme eksikliği: IPv4 sistemi, Internet omurgasına bağlı ağ trafiğini  sınıflandırmak için bir adres    hiyerarşisi kullanır. Böyle bir adres hiyerarşisi olmadığı taktirde yönlendirme bilgilerinin bütün ağların ulaşabileceği bir lokasyona  konması gerekirdi.. Adres hiyerarşisi kullanılarak şebeke yönlendiricileri, IP adreslerini   kullanarak trafiğin geçişini yönlendirebilmektedirler. Fakat kullanılmakta olan hiyerarşi sisteminin tek ceşit olmaması ve IPv4 adreslerinin dikkatli dağıtılma gereksinimi, Internet adresleme ve yönlendirmesini gittikçe içinden cıkılmaz bir duruma sokmaktadır.IPv4 sitelerinin yeniden düzenlenmesi(Numaralandırılması) düşünülebilir fakat bu çözüm  genişleyen yapıda mantıklı bir çözüm olarak düşünülemez.
  •  

    NAT çözüm olabilirmi !

    Nat ucuz bir çözüm

    Fakat Internet cihazlarının bireysel adreslenebilirliği,uçtan uca bağlanabilirlik ile ilgili sorunlar... 

    Ipv6 karsıt görüşte olanlar  Ipv4 \'deki  adres problemlerini  NAT ile cözebilceklerini düşünüyor .Bunun kesin çözüm olduğunu ileri sürüyorlar.Ipv6 destekleyenler ise gerçek noktadan noktaya bağlanabilirliği ortadan kaldırdığına dikkati cekiyorlar.NAT kurulu bir sistemden  geçen tüm datalar dönüştürülmesi gerekir, bu da iletişimi sifrelemek ya da imzalamak için IP güvenliği mimarisi (IPsec) protokollerinin kullanımını imkansız hale getirir.Bir cok firmada  yaygın olarak kullanilmakta ama kesin cözüm degildir. 

    Ipv6 ile gelen bazi yenilikler

    ·        New header format (Yeni packet yapisi)

    ·        Large address space(Geniş adres alanı) Internet backbone (omurga) tasarımcılarının esnek bir yönlendirme hiyerarşisi kurmalarını sağlayacaktır

    ·        Efficient and hierarchical addressing and routing infrastructure(Hiyerarsik ve verimli address yapisi)

    ·        Stateless and stateful address configuration(Dinamik adres konfigrasyonu Tak calıştır)

    ·        Built-in security(Yapisindaki Güvenlik)

    ·        Better support for QoS(Quality of Service)

    ·        New protocol for neighboring node interaction

    ·        Extensibility (Başit ve genişletirebilir paket formatı)

    ·        Entegre mobil ip protokolü

    ·        Multicast desteği(Multicasting’de veriler network üzerindeki  alıcıların sadece bir bölümüne gönderilir. Broadcasting’de ise veriler network üzerindeki herkese ulaşır.) 

 

Ipv4 ve  Ipv6 arasındaki Farklar 

Ipv4

Ipv6

Source and destination addresses are 32 bits (4 bytes) in length.

Source and destination addresses are 128 bits (16 bytes) in length. For more information, see “IPv6 Addressing.”

IPsec support is optional.

IPsec support is required. For more information, see “IPv6 Header.”

No identification of packet flow for QoS handling by routers is present within the IPv4 header.

Packet flow identification for QoS handling by routers is included in the IPv6 header using the Flow Label field. For more information, see “IPv6 Header.”

Fragmentation is done by both routers and the sending host.

Fragmentation is not done by routers, only by the sending host. For more information, see “IPv6 Header.”

Header includes a checksum.

Header does not include a checksum. For more information, see “IPv6 Header.”

Header includes options.

All optional data is moved to IPv6 extension headers. For more information, see “IPv6 Header.”

Address Resolution Protocol (ARP) uses broadcast ARP Request frames to resolve an IPv4 address to a link layer address.

ARP Request frames are replaced with multicast Neighbor Solicitation messages. For more information, see “Neighbor Discovery.”

Internet Group Management Protocol (IGMP) is used to manage local subnet group membership.

IGMP is replaced with Multicast Listener Discovery (MLD) messages. For more information, see “Multicast Listener Discovery.”

ICMP Router Discovery is used to determine the IPv4 address of the best default gateway and is optional.

ICMP Router Discovery is replaced with ICMPv6 Router Solicitation and Router Advertisement messages and is required. For more information, see “Neighbor Discovery.”

Broadcast addresses are used to send traffic to all nodes on a subnet.

There are no IPv6 broadcast addresses. Instead, a link-local scope all-nodes multicast address is used. For more information, see “Multicast IPv6 Addresses.”

Must be configured either manually or through DHCP.

Does not require manual configuration or DHCP. For more information, see “Address Autoconfiguration.”

Uses host address (A) resource records in the Domain Name System (DNS) to map host names to IPv4 addresses.

Uses host address (AAAA) resource records in the Domain Name System (DNS) to map host names to IPv6 addresses. For more information, see “IPv6 and DNS.”

Uses pointer (PTR) resource records in the IN-ADDR.ARPA DNS domain to map IPv4 addresses to host names.

Uses pointer (PTR) resource records in the IP6.INT DNS domain to map IPv6 addresses to host names. For more information, see “IPv6 and DNS.”

Must support a 576-byte packet size (possibly fragmented).

Must support a 1280-byte packet size (without fragmentation). For more information, see “IPv6 MTU.”

Ipv4 ile Ipv6 arasindaki en büyük fark Ipv4 un 32 bit’lik adres boşluğuna sahip olması  IPv6 ise 128 bit’lik bir adres boşluğuna sahip ve bu da teorik olarak yaklaşık 3.4*1038  adet farklı IPv6 adresi anlamına geliyor. Bir IPv6 adresi  128 bitten oluşur. Ilk 3 bit sabittir. Daha sonra bölgesel kimlik (Regional ID), servis sağlayıcı kimliği (Provider ID), abone kimliği (Subscriber ID), alt ağ kimliği (Subnet ID) ve arabirim kimliği (Interface ID) gelir. Bu bölümler değişen bit uzunlukta olabilrler. Ama toplamlari 128-3=125 etmelidir.  

IPv4 4byte lık adres ile 2^32 yani 4.000.0000.000 adreslenebilir.IPv6 ise 16byte lık adres ile 3.4*38 yani 300.000.000.000.000.000.000.000.000.000.000.000.000 adreslenebilir. 

Diğer bir fark ise IPv6, IP paketinin temel yapısını IPv4’e göre kolaylaştırıyor ve geliştiriyor. IPv6’da, IPv4 başlıklarının bir kısmı kaldırıldı kalanlar isteğe bağlı hale getirildi. Yeniden tasarlanan ve basitleştirilen paket yapısı, daha uzun olan IPv6 adres alanlarının getirdiği bant genişlişi yükünü kısmen telafi edecektir. 16 byte’lık IPv6 adresleri, 4 byte’lık IPv4 adreslerinin tam dört katı uzunluğundadır fakat yeni yapılanma sayesinde IPv6 başlığının toplam uzunluğu IPv4’ün sadece iki katıdır.

Aynı zamanda IPv6 paket formatı yeni bir 24 bit\'lik trafik akışı tanımlama alanı içermektedir ve bu servis kalitesini önemli ölçüde arttıracaktır.IPv6 datagramı basit olarak, en başta sabit uzunlukta bir ana başlık (base header) ve bunun ardından genişletme başlıkları içerir. Bu genişletme başlıkları ilerde kullanılabilecek yeni protokoller için düşünülmüştür. Başlıkların ardından ise veri gelir.

IPv6 adreslerinde akış(flow) ve öncelik (priority) bölümleri vardı. Bu bölümler sayesinde gönderilen paketlerin ne içerdiği daha iyi belirtilebilir. Gerçek zamanlı(real time) ve çabuk cevap gerektiren uygulamalarda belirgin bir hızlanma sağlanabilir.Örnek vermek gerekirse internette bir mpeg dosyasını izlediğimizde bunu algılar ve öncelik verir.

Version: Sözleşme sürümü Flow
Label: Veri tipi
Priority: Öncelik derecesi
Payload Length: Ana başlık hariç datagramın boyutu
Next Header: Sırada hangi bölümün olduğunu belirtir. Sonraki başlık kısmında bir genişletme başlığinın ya da hemen verinin geleceği belirtilir.
Hop limit: Paketin yok olmadan önce geçebileceği en fazla nokta sayısı.

Gönderici Adresi: Bilgiyi gönderen kaynağın adresidir ve bu alan 128 bit    uzunluğundadır. 

Alıcı Adresi : Bilginin ulaştırılacağı adrestir bu alan 128 bit uzunluğundadır.

 

Başlangıç için 3 çesit IPv6 adresi olacak.

1. unicast: Unicast adres tek bir bilgisayara ya da arayüze verilen adrestir. Unicast adrese yönlendirilen bir paket sadece o adresi taşıyan arayüze gönderilir.
2.anycast:
Anycast adres bir grup arayüze ait ortak bir adrestir. Anycast adrese gönderilen paketler bu arayüzler grubundan sadece bir tanesine ulaştırılır ve bu da en yakın olanıdır. Anycast adres gönderen adresi olarak kullanılamaz sadece alıcı adresi olarak kullanılır.

3. multicast: Multicasting’de veriler network üzerindeki  alıcıların sadece bir bölümüne gönderilir. Broadcasting’de ise veriler network üzerindeki herkese

  

IPv6 da ayrıca üç adres tanımlaması bulunmaktadır ;
 

 

 

 

 

Ipv6 ile gelen yeni bir özellikte, TCP/IP\'nin ağ katmanında güvenlik özellikleri sağlamak üzere, IPv6 başlık kısmına gelen ektir. IPv6 onaylama(authentication) başlığı, yetki verilmemiş bilgisayarların belirli hedeflere trafik göndermesini önleyebilmektedir. Bilgisayarın trafik gönderebilmesi için alıcıya güvenli bir biçimde "log on" olması gerekir.

IPv6 ile gelen diger bir güvenlik özelliği, Verinin başkalarınca elde edilmesini önlemek üzere kullanılan, "kapsülleme (encapsulation)" sağlayan güvenlik başlığıdır.Yeni geliştirilen bu özellik sayesinde, değiş tokuş eden iki bilgisayar arasındaki trafik "kriptolanır". Bu başlık da kriptolama algoritmasından bağımsız olup, standart kriptolama algoritmaları kullanılarak İnternet ve intranet\'ler üzerinde güvenli bir trafik sağlamak amaçlanmaktadır.

 

Geciş Nasıl olabilir ?

Bir çok ağ yöneticisi IPv6\'ya geçmenin büyük sıkıntılar yaratacağını ve cok büyük sorunlar karşılasacaklarını  düşünüyorlar. Bu geçişin problemsiz bir sekilde sağlanması için çeşitli senaryolar uretiliyor..

Internet\'in hızlı bir şekilde bir anda IPv6\'e geçmesi söz konusu değildir. Bu durumda  Ipv4\'e dayalı Internet ile yeni gelişen IPv6 ağları uzunca bir süre beraber calışmak zorundadır. Bir çok geçiş senaryosu hazırlanmıştır.

Bu senaryolar .....  

  • Dual Stack” (her iki protokol desteği)
  • Configured IPv6 in IPv4 Tunnel (static V4 tunnel)
  • Automatic IPv6 IPv4 Tunnel (Dynamic V4 Tunnel)
  • IPv6 to IPv4 (2002::/16 prefix
  • Protocol and Network Address translation (NAT-PT)

 IPv6 ile IPv4 birlikte çalışabilmektedir.  Bütün  cihazların  aynı anda terfi ettirilmesi düşünülemez. Geciş  için  düşünülen   en mantıklı yöntem  IPv6 ile IPv4  birlikte çalişmasi. ISP\'ler  IPv6 şebekelerini  kurana ve IPv6 servislerini sunana kadar, noktadan noktaya IPv6 uygulamalarının IPv4 ağları üzerinden geçmesi (tunneling) gerekecek. Bu, bir IPv6 paketinin bir IPv4 paketinin içerisine sokulmasıyla sağlanır. Bir IPv6 düğümünden çıkan IPv6 paketleri, IPv4 içine yerleştirilir ve IPv4 şebekesi üzerinden iletilir. Tünelin öbür ucundaki düğüm, IPv4 paketini ayrıştırır ve hedef düğüme gönderilmeye hazır olan IPv6 paketini ortaya çıkar.

Kısa zaman sonra IP  adresleri biticek .Hardware ve Software üreticileri piyasaya sürdükleri ürünlerde IPv6 destegi sağlıyor. IETF tarafında çalışmalar devam ediyor . Bu ekip yeni nesil Internet protokolü IPv6 spesifikasyonları üzerinde yoğun bir sekilde çalışıyor. Hedefleri, yeni Internet’i kurmak için yeni IP protokolü geliştirmek.Ipv6 ile ilgili bircok forum kurulmuştur. 1996’dan bu yana, 40’tan fazla ülkede 400 civarında şebeke 6bone (www.6bone.net) IPv6 ağına bağlanmıştır. 

yusuf anaçın makalesinden dercedilmiştir
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©