Ulusal Güvenlik Ajansı (NSA), Savunma Bakanlığı’na (DoD) ve diğer sistem yöneticilerine İnternet Protokolü sürüm 6’ya (IPv6) geçişle ilgili güvenlik risklerini belirleme ve en aza indirme konusunda yardımcı olmak için IPv6 Güvenlik Rehberini yayımladı.
En yeni IP sürümü olan IPv6, önceki IP sürüm 4 teknolojilerine (IPv4) göre avantajlar sunar. Özellikle IPv4 adres alanı, yönlendirilebilir IP adresleri gerektiren artan sayıda ağa bağlı cihazı işlemek için yetersizken, IPv6 hem mevcut hem de gelecekteki ihtiyaçları karşılamak için çok büyük bir adres alanı sunar.
NSA, IPv6’ya geçişin en fazla etkinin ağ altyapısı üzerinde olması, ağa bağlı her donanım ve yazılımın yanı sıra siber güvenliği de bir şekilde etkilemesi bekleniyor.
“Çift yığını çalıştırmak, operasyonel yükü ve saldırı yüzeyini artırır. Sistem sahipleri ve yöneticileri, ağı korumak için her iki IP protokolünde de siber güvenlik mekanizmaları uygulamalıdır”, diye yazıyor NSA’nın IPv6 güvenlik kılavuzu.
Federal ve DoD ağlarının ikili yığın çalışması bekleniyor, bu da aynı anda IPv4 ve IPv6 çalıştıracakları anlamına geliyor. Bu, saldırı yüzeyini genişletir ve ek güvenlik sorunları sunar.
IPv6 Güvenlik Rehberi
Bir ana bilgisayar, durum bilgisi olmayan adres otomatik yapılandırmasını (SLAAC) kullanarak kendisine otomatik olarak bir IPv6 adresi atayabilir. Önemli sunucular gibi bazı durumlarda statik adresler tercih edilebilir, ancak cihazların otomatik olarak kendi kendine IPv6 adresi atamasına veya dinamik olarak bir IPv6 adresi istemesine izin vermek daha kolaydır.
Ajans, “NSA, SLAAC gizlilik sorununu azaltmak için Dinamik Ana Bilgisayar Yapılandırma Protokolü sürüm 6 (DHCPv6) sunucuları aracılığıyla ana bilgisayarlara adres atanmasını önerir” diyor.
“Alternatif olarak, bu sorun, zaman içinde değişen rastgele oluşturulmuş bir arabirim kimliği kullanılarak da hafifletilebilir; bu, ağ savunucularının gerekli görünürlüğü sağlarken etkinliği ilişkilendirmeyi zorlaştırır.”
Bir protokol, tünelleme olarak bilinen geçiş yöntemi kullanılarak başka bir protokol içinde iletilebilir.
“Geçiş tünelleri gerekli olmadıkça, NSA karmaşıklığı ve saldırı yüzeyini azaltmak için tünellerden kaçınılmasını tavsiye ediyor. Geçiş yöntemleri olarak kullanılan tünel protokollerini algılamak ve engellemek için çevre güvenlik cihazlarını yapılandırın”, ajans IPv6 Güvenlik Rehberini yayınladı.
NSA, güvenlik duvarı kuralları gibi IPv4 için uygulananlara benzer IPv6 siber güvenlik önlemlerinin uygulanmasını ve çift yığınlı ağlar için tünel açma ve çeviri dahil diğer geçiş önlemlerinin engellenmesini tavsiye ediyor.
Ayrıca, IPv6’da birden çok ağ adresi sıklıkla aynı arabirime atandığından, yöneticiler yalnızca yetkili adreslerden gelen trafiğe izin verildiğinden emin olmak için erişim kontrol listelerini (ACL’ler) veya filtreleme kurallarını kontrol etmelidir. Ayrıca tüm trafiği günlüğe kaydetmeli ve rutin günlük incelemeleri yapmalıdırlar.
NSA ayrıca, bir ağda IPv6 güvenliğini daha iyi korumak ve geliştirmek için ağ yöneticilerinin IPv6 ağları hakkında yeterli eğitim ve öğretim almalarını sağlamayı tavsiye eder.
Bu nedenle, IPv6 güvenlik tehditleri mevcuttur ve gözlemlenecektir; bunlar, sıkı bir şekilde takip edilen yapılandırma önerileri ve geçiş boyunca sistem sahiplerinin ve yöneticilerin eğitiminin bir kombinasyonu ile azaltılabilir.
NSA Siber Güvenlik Teknik Direktörü Neal Ziring, “Savunma Bakanlığı önümüzdeki birkaç yıl içinde kademeli olarak IPv4’ten IPv6’ya geçiş yapacak ve birçok DoD ağı ikili yığın olacak” dedi.
“DoD sistem yöneticilerinin, ağlarında IPv6 desteğini kullanıma sunarken olası güvenlik sorunlarını belirlemek ve azaltmak için bu kılavuzu kullanmaları önemlidir.”
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin