NSA, IPv6 Güvenlik Rehberini Yayınladı
Ulusal Güvenlik Teşkilatı (NSA), 18 Ocak’ta Savunma Bakanlığı’na (DoD) ve diğer sistem yöneticilerine İnternet Protokolü sürüm 6’ya (IPv6) geçişle ilgili güvenlik sorunlarını belirleyip azaltmalarına yardımcı olacak bir kılavuz yayınladı.
Son yıllarda Federal ve DoD ağları, eski İnternet Protokolü sürüm 4’ten (IPv4) IPv6’ya geçiş yapmaya başladı. Ancak bu geçiş sırasında, bazı ajanslar IPv4’ü kullanmaya devam ediyor ve birçok ağ, yalnızca IPv6 son durumuna yönelik geçici bir çözüm olarak hem IPv4 hem de IPv6 protokollerini aynı anda çalıştıran çift yığınlı düzenlemeler yapıyor.
IPv6, mevcut ve gelecekteki ihtiyaçları karşılamak için çok daha geniş bir adres alanı sağlar, ancak kılavuza göre kuruluşların gereken özeni göstererek ele alması gereken siber güvenlik üzerinde geniş bir etkiye sahiptir.
Kılavuz belge, “IPv6 güvenlik sorunları IPv4’tekilere benzer” diyor. “IPv4 ile kullanılan güvenlik yöntemleri, IPv6 ile farklılıkları ele almak için gereken uyarlamalarla birlikte IPv6’ya [uygulanmalıdır]. Bir IPv6 uygulamasıyla ilişkili güvenlik sorunları, genellikle IPv6’da yeni olan ağlarda veya geçişin ilk aşamalarında ortaya çıkacaktır.”
Ek olarak, ikili yığın ağları işleten ajansların ek güvenlik endişeleri, artan operasyonel yükleri ve genişletilmiş saldırı yüzeyleri vardır.
Kılavuz, “Bu nedenle, hem IPv4 hem de IPv6’ya sahip olmanın artan saldırı yüzeyi nedeniyle bu riskleri azaltmak için daha fazla karşı önlem alınması gerekiyor” diyor.
NSA Siber Güvenlik Teknik Direktörü Neal Ziring bir basın açıklamasında , “Savunma Bakanlığı önümüzdeki birkaç yıl içinde kademeli olarak IPv4’ten IPv6’ya geçiş yapacak ve birçok DoD ağı çift yığınlı olacak” dedi . “DoD sistem yöneticilerinin, ağlarında IPv6 desteğini kullanıma sunarken olası güvenlik sorunlarını belirlemek ve azaltmak için bu kılavuzu kullanmaları önemlidir.”
IPv6 Güvenlik Kılavuzu Önerileri
Otomatik Yapılandırma
Şu anda IPv6, bir IPv6 adresini bir ana bilgisayara kendi kendine atamak için otomatik bir yöntem olan durum bilgisi olmayan otomatik adres yapılandırması (SLAAC) aracılığıyla çalışır. Ancak bu, hareketleri belirli bir cihaza bağlayarak ve bu ekipmanla ilişkili bir birey çıkarsayarak mahremiyet endişelerine yol açar. Ayrıca bir ağda kullanılan ekipman türlerini de gösterir.
Kılavuz, “NSA, SLAAC gizlilik sorununu azaltmak için Dinamik Ana Bilgisayar Yapılandırma Protokolü sürüm 6 (DHCPv6) sunucusu aracılığıyla ana bilgisayarlara adres atanmasını önerir” diyor.
NSA’nın bu mahremiyet endişesini hafifletmek için yaptığı bir başka tavsiye de, ağ operatörlerinin, zaman içinde değişen ve ağ savunucularına gerekli görünürlüğü sağlarken aktiviteyi ilişkilendirmeyi zorlaştıran, rastgele oluşturulmuş bir arayüz kimliği kullanmasıdır.
Otomatik Tüneller
Geçiş tünelleri gerekli olmadıkça, NSA karmaşıklığı ve saldırı yüzeyini azaltmak için tünellerden kaçınılmasını önerir. Tünel oluşturma, ağların IPv4 paketleri içinde IPv6 paketlerini taşımak için kullanabileceği bir geçiş tekniğidir. Bununla birlikte, bazı işletim sistemleri, bir istemci bir sunucuya bağlandığında otomatik olarak bir IPv6 tüneli kurarak ana bilgisayara istenmeyen bir giriş noktası oluşturma potansiyeline sahiptir.
Belgede, “Bir geçiş sırasında gerekirse tünel açma protokollerine izin verilebilir, ancak bunlar yalnızca kullanımlarının iyi anlaşıldığı ve açıkça yapılandırıldığı onaylı sistemlerle sınırlandırılmalıdır” diyor.
Çift Yığın Çalışma Ortamı
Birçok ağ, çift yığınlı bir ortam kullanır ve NSA, bunun aşamalı IPv6 konuşlandırması için tercih edilen bir yöntem olduğunu kabul eder. Ancak, bazı güvenlik endişelerine yol açar. Bu nedenle NSA, “iki yığınlı bir ağ kurarken, kuruluşların IPv4 araçlarıyla veya daha iyisiyle parite sağlayan IPv6 siber güvenlik mekanizmalarını uygulaması gerektiğini” öneriyor.
Çoklu IPv6 Adresleri
IPv6’daki bir arabirime birden fazla ağ adresi atanarak saldırı yüzeyi genişletilir. Bu endişeyi azaltmak için NSA, kuruluşların “varsayılan olarak tüm trafiği reddettiklerinden, böylece güvenlik duvarları ve diğer güvenlik cihazları aracılığıyla yalnızca yetkili adreslerden gelen trafiğe izin verildiğinden” emin olmak için bu erişim kontrol listelerini dikkatlice incelemelerini önerir.
İşgücünü IPv6 Konusunda Eğitmek
Başarılı bir şekilde güvenli bir IPv6 ağı, en azından IPv4 ve IPv6 protokolleri arasındaki farklar ve nasıl çalıştıkları hakkında temel bilgi gerektirir.
Bu bilginin eksikliği yanlış yapılandırmalara ve artan güvenlik sorunlarına yol açabilir. Bu nedenle kuruluşlar, tüm ağ yöneticilerinin IPv6 ağlarını yönetmek ve işletmek için uygun eğitim ve öğretimi almalarını sağlamalıdır, dedi NSA.
Kaynak:
https://www.meritalk.com/articles/nsa-publishes-ipv6-security-guidance/