“IPv6 Balküpü Tasarımı” Yavuz GÖkirmak (ulakbiM)

Yüklə 439 b.

tarix	27.12.2018
ölçüsü	439 b.
	#87517

“IPv6 Balküpü Tasarımı”
Yavuz GÖKIRMAK (ULAKBİM)

Balküpü nedir?
IPv4 Balküpü Yapısı
IPv6 Balküpü Yapısı
Sonuç

Bilgi ve ağ güvenliğine yönelik yapılan saldırıların farkına varmak, saldırganların yöntemlerini izlemek, metodlarını belirlemek, ve yeni geliştirilen saldırı sistemlerinin farkına varabilmek için özel olarak tasarlanmış yazılım veya sistemlerdir.
IPv4 Balküpleri, uzun süredir ağ iletişimini tehdit eden saldırıların tespitinde ve modellenmesinde kullanılmaktadır.

IPv4, balküpü tasarımlarında göz önüne alınan temel noktalar beş başlık altında toplanabilmektedir:

Balküpünün saldırgana sunacağı bilginin içeriği, değeri ve seviyesi
Balküpünün ele geçirilmesi durumunda, saldırganın erişebileceği kaynaklar
Balküpünün ağda hizmet vereceği konum
Balküpü verisinin balküplerinden toplanması
Balküpünün saldırganlar tarafından tespit edilmesi

“Balküpünün saldırgana sunacağı bilginin içeriği, değeri ve seviyesi”

“Balküpünün ele geçirilmesi durumunda, saldırganın erişebileceği kaynaklar”
Saldırgan tarafından ele geçirilme olasılığına karşın, ele geçirilen balküpünden başka sistemlere saldırı yapılmasını engelleyici önlemler almak gerekmektedir

Balküpünün saldırganlar tarafından tespit edilmesi
Saldırgan, etkileşimde olduğu sistemi bir balküpü olarak değil gerçek bir servis olarak algılamalıdır.
Sanallaştırma platformları üstünde çalışan bir balküpünü ele geçiren saldırgan işlemci/bellek kullanımı değerlerinden yola çıkarak ele geçirdiği bilgisayarın bir sanal bilgisayar olduğunu anlayabilmektedir.
yüksek etkileşimli balküplerinde kullanılan ve saldırganın hareketlerini izlemeye yarayan Sebek yazılımının nasıl saptanacağı üzerinde durulmuştur.
düşük etkileşimli balküpü Honeyd'nin taklit ettiği servisler üzerinden bir saptama yapılmıştır. Honeyd, servisleri kısıtlı olarak taklit ettiği için, saldırganın bu servisleri saptama imkânı bulunmaktadır.
ele geçirilen bilgisayardan, bilinen bir kurbana yeni bir saldırı düzenlemesi tasarlanmıştır. Bu yöntemde, balküplerinin ele geçirilmeleri durumunda yeni saldırılara izin vermemeleri özelliklerinden faydalanılmaktadır.

IPv4 balküplerinden elde edilen faydalı verilere rağmen, IPv6 ağlarından çalışabilecek bir balküpü henüz üretilmemiştir. Tasarlanacak IPv6 balküpünün, yeni protokolün güvenlik sorunlarını saptamada faydalı olacağını öngörmekteyiz.
IPv6 ağlarında kullanılabilecek bir balküpünün başlıca üç bileşenden oluşmalıdır.

Saldırı Çekme
Veri Toplama
Veri Analizi

Saldırı Çekme

Saldırı Çekme
IPv4'te bir adres aralığını sıralı olarak tarama mantığı üzerine inşa edilen tarama araçları IPv6 ağlarının geniş adres aralığından dolayı kullanışlı olmayacaktır
Bu yüzden IPv6 ağlarında çalışacak bir balküpünün, saldırganın işini kolaylaştıracak, daha kolay bulunmasını sağlayabilecek bir bileşeni olmalıdır.

Saldırganları balküplerine kolayca çekebilmek için aşağıdaki

Saldırganları balküplerine kolayca çekebilmek için aşağıdaki
yöntemler kullanılabilir:
Bilgisayarların IPv6 adreslerinin [önek]::1'den başlayarak sıralı olarak atanması. ( Örneğin, 2001:a95:12/64 önekine sahip bilgisayarlara, 2001:a95:12::1, 2001:a95:12::2, 2001:a95:12::3 … gibi ipler verilmesi )
Yaygın kullanılan ethernet kartı üreticilerinin kartlarını taklit etme, (yaygın sağlayıcı öneklerini deneyen saldırganlara kolaylık sağlanacaktır)
Balküpü ağının ikili yığında çalıştırılıp, IPv6 adreslerinin IPv4 adreslerinden üretilmesi
Balküpü ağındaki bir DNS'in dışarıdan yapılacak AXFR (DNS Zone Transfer Protocol) sorgularına açık olması,
Balküpü ağında iki DNS'in şifresiz Zone transferi yapması

Veri Toplama

Veri Toplama
Saldırgan balküpüne çekildikten sonra saldırı hakkında bilgi toplamak gerekmektedir. IPv6 balküpünde başlıca üç bilgi toplama kaynağı vardır

Ateş duvarı günlükleri
Saldırı Tespit Sistemi (STS) uyarıları
Taklit edilen servisler

Veri Toplama

Veri Toplama
Saldırgan balküpüne çekildikten sonra saldırı hakkında bilgi toplamak gerekmektedir. IPv6 balküpünde başlıca üç bilgi toplama kaynağı vardır

Ateş duvarı günlükleri
Saldırı Tespit Sistemi (STS) uyarıları
Taklit edilen servisler

Taklit site

Taklit site
(yavuzg.ulakbim.gov.tr)

Veri Analizi

Veri Analizi
Toplanan verinin yorumlanarak ilk gün saldırılarıyla ilgili imzaların çıkarılması ve servis engelleme saldırıları için erken uyarı sistemi geliştirilmesi hedeflenmektedir.
Veri analizi iki başlık altında toplanılabilir: trafik akışı analizi ve paket yapısı analizi.

Trafik akışı analizi
Paket yapısı analizi

IPv6 ağları henüz yaygın olarak kullanılmamaktadır. Protokol, son kullanıcı tarafından kullanılmadığı için ortaya çıkabilecek güvenlik açıkları ve saldırganların bu açıkları nasıl kullanacakları henüz kesin olarak tahmin edilememektedir.

IPv6 ağları henüz yaygın olarak kullanılmamaktadır. Protokol, son kullanıcı tarafından kullanılmadığı için ortaya çıkabilecek güvenlik açıkları ve saldırganların bu açıkları nasıl kullanacakları henüz kesin olarak tahmin edilememektedir.
IPv6 ağlarında ortaya çıkacak saldırıların tespiti, analizi ve bu saldırılara karşı önlemlerin geliştirilebilmesi için balküpü kullanımı şarttır.
IPv6 ağlarının güvenliğini analiz etmek ve yeni saldırı türlerini inceleyebilmek amacıyla, “Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi” kapsamında ve IPv6 balküpü yazılımı geliştirilmektedir.

Yüklə 439 b.

Dostları ilə paylaş:

“IPv6 Balküpü Tasarımı” Yavuz GÖkirmak (ulakbiM)

“IPv6 Balküpü Tasarımı”

Yavuz GÖKIRMAK (ULAKBİM)

Balküpü nedir?

IPv4 Balküpü Yapısı

IPv6 Balküpü Yapısı

Sonuç

Bilgi ve ağ güvenliğine yönelik yapılan saldırıların farkına varmak, saldırganların yöntemlerini izlemek, metodlarını belirlemek, ve yeni geliştirilen saldırı sistemlerinin farkına varabilmek için özel olarak tasarlanmış yazılım veya sistemlerdir.

IPv4 Balküpleri, uzun süredir ağ iletişimini tehdit eden saldırıların tespitinde ve modellenmesinde kullanılmaktadır.

IPv4, balküpü tasarımlarında göz önüne alınan temel noktalar beş başlık altında toplanabilmektedir:

“Balküpünün saldırgana sunacağı bilginin içeriği, değeri ve seviyesi”

“Balküpünün ele geçirilmesi durumunda, saldırganın erişebileceği kaynaklar”

Saldırgan tarafından ele geçirilme olasılığına karşın, ele geçirilen balküpünden başka sistemlere saldırı yapılmasını engelleyici önlemler almak gerekmektedir

Balküpünün saldırganlar tarafından tespit edilmesi

Saldırgan, etkileşimde olduğu sistemi bir balküpü olarak değil gerçek bir servis olarak algılamalıdır.

Sanallaştırma platformları üstünde çalışan bir balküpünü ele geçiren saldırgan işlemci/bellek kullanımı değerlerinden yola çıkarak ele geçirdiği bilgisayarın bir sanal bilgisayar olduğunu anlayabilmektedir.

yüksek etkileşimli balküplerinde kullanılan ve saldırganın hareketlerini izlemeye yarayan Sebek yazılımının nasıl saptanacağı üzerinde durulmuştur.

düşük etkileşimli balküpü Honeyd'nin taklit ettiği servisler üzerinden bir saptama yapılmıştır. Honeyd, servisleri kısıtlı olarak taklit ettiği için, saldırganın bu servisleri saptama imkânı bulunmaktadır.

ele geçirilen bilgisayardan, bilinen bir kurbana yeni bir saldırı düzenlemesi tasarlanmıştır. Bu yöntemde, balküplerinin ele geçirilmeleri durumunda yeni saldırılara izin vermemeleri özelliklerinden faydalanılmaktadır.

IPv4 balküplerinden elde edilen faydalı verilere rağmen, IPv6 ağlarından çalışabilecek bir balküpü henüz üretilmemiştir. Tasarlanacak IPv6 balküpünün, yeni protokolün güvenlik sorunlarını saptamada faydalı olacağını öngörmekteyiz.

IPv6 ağlarında kullanılabilecek bir balküpünün başlıca üç bileşenden oluşmalıdır.

Saldırı Çekme

Saldırı Çekme

IPv4'te bir adres aralığını sıralı olarak tarama mantığı üzerine inşa edilen tarama araçları IPv6 ağlarının geniş adres aralığından dolayı kullanışlı olmayacaktır

Bu yüzden IPv6 ağlarında çalışacak bir balküpünün, saldırganın işini kolaylaştıracak, daha kolay bulunmasını sağlayabilecek bir bileşeni olmalıdır.

Saldırganları balküplerine kolayca çekebilmek için aşağıdaki

Saldırganları balküplerine kolayca çekebilmek için aşağıdaki

yöntemler kullanılabilir:

Bilgisayarların IPv6 adreslerinin [önek]::1'den başlayarak sıralı olarak atanması. ( Örneğin, 2001:a95:12/64 önekine sahip bilgisayarlara, 2001:a95:12::1, 2001:a95:12::2, 2001:a95:12::3 … gibi ipler verilmesi )

Yaygın kullanılan ethernet kartı üreticilerinin kartlarını taklit etme, (yaygın sağlayıcı öneklerini deneyen saldırganlara kolaylık sağlanacaktır)

Balküpü ağının ikili yığında çalıştırılıp, IPv6 adreslerinin IPv4 adreslerinden üretilmesi

Balküpü ağındaki bir DNS'in dışarıdan yapılacak AXFR (DNS Zone Transfer Protocol) sorgularına açık olması,

Balküpü ağında iki DNS'in şifresiz Zone transferi yapması

Veri Toplama

Veri Toplama

Saldırgan balküpüne çekildikten sonra saldırı hakkında bilgi toplamak gerekmektedir. IPv6 balküpünde başlıca üç bilgi toplama kaynağı vardır

Veri Toplama

Veri Toplama

Saldırgan balküpüne çekildikten sonra saldırı hakkında bilgi toplamak gerekmektedir. IPv6 balküpünde başlıca üç bilgi toplama kaynağı vardır

Taklit site

Taklit site

(yavuzg.ulakbim.gov.tr)

Veri Analizi

Veri Analizi

Toplanan verinin yorumlanarak ilk gün saldırılarıyla ilgili imzaların çıkarılması ve servis engelleme saldırıları için erken uyarı sistemi geliştirilmesi hedeflenmektedir.

Veri analizi iki başlık altında toplanılabilir: trafik akışı analizi ve paket yapısı analizi.

IPv6 ağları henüz yaygın olarak kullanılmamaktadır. Protokol, son kullanıcı tarafından kullanılmadığı için ortaya çıkabilecek güvenlik açıkları ve saldırganların bu açıkları nasıl kullanacakları henüz kesin olarak tahmin edilememektedir.

IPv6 ağları henüz yaygın olarak kullanılmamaktadır. Protokol, son kullanıcı tarafından kullanılmadığı için ortaya çıkabilecek güvenlik açıkları ve saldırganların bu açıkları nasıl kullanacakları henüz kesin olarak tahmin edilememektedir.

IPv6 ağlarında ortaya çıkacak saldırıların tespiti, analizi ve bu saldırılara karşı önlemlerin geliştirilebilmesi için balküpü kullanımı şarttır.

IPv6 ağlarının güvenliğini analiz etmek ve yeni saldırı türlerini inceleyebilmek amacıyla, “Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi” kapsamında ve IPv6 balküpü yazılımı geliştirilmektedir.