26 Haziran 2012 Salı

IPv6 Hakkında Doğru Bilinen Yanlışlar

IPv6 6 Haziran 2012 tarihinde resmen uygulamaya konuldu. Bazı internet siteleri IPv6 ile IPv4 birlikte kullanırken bazıları da halen IPv4 kullanıyor. Geçiş sadece internet siteleri düzeyinde değil aynı zamanda internete erişimi olan kurumlar düzeyinde de gerçekleşiyor. Bu geçiş sürecinin kkısa sürmöeyeceği, ve uzun süre devam edeceğini söylemek yanlış olmayacak. Bu geçişin uzun bir zaman yayılmasının ardında yatan nedenler IPv6'nın tam olarak anlaşılmamış olması kadar Ipv6 hakkında ynalış bilinen doğrulardan da kaynaklandığını gözlemliyorum.Bugüne dek IPv6 konusunda karşılaştığım bazı yanlış bilinen doğruların kaynağını ve aslını yazmanın uygun olacağını düşünüyorum.





IPv6 standardının oluşturulmasına yönelik olan çalışmalar 1998 yılında “RFC 2640 – Internet Protocol v6 IPv6Specification” yayınlanması ile başlamıştı.IPv6 standardının hazırlanmasının temel gerekçesi IPv4 sunduğu adres uzayının sınırlı olmasıydı. Zaman içerisinde IPv6 diğer özellikleri olan “Stateless Address Autoconfiguration (SLAAC)”, IPSec desteği vb de prokole eklendi. Temelde ise IPv6 protokolünün en belirgin faydası adres uzayının büyümüş olması. 1998'den bu güne ve hatta bugün bile bir çok kişi IPv6 standardını tam olarak anlamış değil. Halen IPv6 ile ilgili olarak bir çok doğru olarak bilinen yanlış yargı ortaya çıktı. Bu doğru olduğu düşünülen yanlış yargılar IPv6 geçişi yapacak kuruluşların ağ güvenliği konusunda ciddi riskler ile karşı karşıya kalmalarına neden olabilir. Bu yanlışların anlaşılması yakın zamanda olmasa da IPv6 geçmek durumunda kalacak olan kuruluşlar açısından önemli olmaktadır.

IPv6 geçişini gerçekleştirdiğimiz bir kuruluşta IPv6 gerekli olmadığı sadece ağ donanımı üreticilerinin para kazanmak için ortaya attıkları düzemece bir durum olduğu iddiası ile karşılaşıyoruz. IPv6 ilk taslağının oluşturulmasından günümüze kadar olan süreçte bu düşüncenin yanlış olduğunun anlaşılacağını beklersiniz. Ancak küresel ölçekte halen kitlesel IPv6 geçişinin olmaması bu düşüncenin halen kabul gördüğüne işaret ediyor. Öte yandan IPv6 geçişi yavaş sayılabilecek bir hızla da gerçekleşmeye devam ediyor. IPv4 adres uzayının tükenmekte olduğu görülüyor. Ocak 2011 tarihi itibari ile IANA – Internet Assigned Numbers Authority son atanmamış olan IPv4 adreslerini Bölgesel Adres Kayıt Bürolar – Regional Internet Registries (RIRs) kullanımına sundu. Halen RIR elinde atanmamış IPv4 adresleri bulunuyor ancak bunlarında yakın zamanda tükeneceği su götürmez bir gerçek.

IPv6 ile ilgili olarak bir diğer doğru olarak bilinen yanlış Ipv6'a bir gecede geçiş yapılabileceği. Bu düşünceye göre Ipv4 adresleri tükendiğinde IPv6 bir gecede geçiş yapılabilir. Bu geçişin kolayca ve sorunsuzca yapılabilmesi için IPv4 adresleri tükenmeden önce yapılması gereken geçiş sürecinin planlanması için gereken zaman kalmadı. IPv4 ağlarını kağıt üzerinde planlamak görece olarak daha kolay olmakla birlikte, IPv6 geçişinin IPv4 adreslerinin tükendiği zaman aynı hızla gerçekleşmesi olanaklı değil. Bu geçişin şimdiki durum dikkate alındığında bir kaç ay içerisinde gerçekleşeceğini düşünmek gerçekçi olmayacaktır. Aksine olarak geçişin bir kaç yıla yayılması da söz konusu olabilir. Çünkü halen bir çok internet sitesi ve kurum IPv4 ve IPv6 birlikte kullanmaya devam ediyor. Bunlara ek olarak IPv4 bırakıp IPv6 geçen kurumlar ve internet siteleri de var. Bu durumda IPv4 ve IPv6 protokollerinin birlikte kullanılması söz konusu olacaktır. Bu iki protokol arasında iletişimin sağlanabilmesi için IPv4 üzerinde IPv6 tünellemesi ve IPv4 – IPv6 dönüşümleri gibi mekanizmaların kullanılmasını zorunlu kılacaktır.

IPv6 protkolünün, Ipv4'e göre daha az güvenli olduğu iddia edilmektedir. Bunun gerekçesi olarak da IPv4 ile yapılan NAT – Network Adress Translation, IPv6 ile ortadan kalkmakta olması gösterilmektedir. Ipv4'ün bu kadar uzun süre yürürlükte kalmasının önemli nedenlerinden birisi de NAT olduğu görülebilir. Bir çok kişi NAT ile yerel ağ ile internet arasında bir engel kurulduğunu ve NAT'ın bir tür güvenlik mekanizması olduğunu düşünmektedir. NAT aslında küresel bir IP adresinin bir çok bilgisayar tarafından paylaşılarak kullanılmasını sağlar. Dolayısıyla da NAT güvenlik paradigmanızda önemli bir öğe olarak düşünülemez. Asık güvenlik ağ dışlından gelen ve ağ içerisine yönlendirilmiş olan trafiğin SPI – Statefull Packet Inspection mekanizması ile kontrol edilmesi ile sağlanır. IPv6 yapısı bu dönüşüm ve kontrol mekanizmasını gereksiz kılmaktadır. NAT olmadığı içinde IPv6 ağlarının tasarımı daha kolay olacaktır. Güvenlik açısından ise ağın dışarısı ile olan ilişkisini kontrol etmek için doğru araçlara ve mekanizmalara gereksinim olacaktır. Bu da ciddi bir güvenlik zaafiyeti veya iyileştirmesi ortaya çıkarmamaktadır.

Bir diğer doğru olarak bilinen yanlış IPv6 ile yönlendirme tablosunun IPv4 ile karşılaştırıldığında daha da küçük olacağıdır. IPv6 daha etkin bir şekilde desteklemek için yönlendirme protokolleri yeniden tasarlanmış olsa da bu protokollerde önemli bir iyileştirme söz konusu değildir. IPv4 kullanılan ve yönlendirme tablosunun boyutunu küçültmek için geliştirilmiş olan teknikler IPv6 içinde benzer şekilde yönlendirme protokollerinde yer almaktadır. Geçiş sürecinde IPv4 ve IPv6 için ayrı yönlendirme tablolarına gereksinim duyulacağı için problemler ortaya çıkması olasıdır. IPv4 tamamen bırakılıp IPv6 geçişin tamamlanması sonrasında da yönlendirme tablolarının boyutunda büyüme beklenebilir. Bunun önüne geçilmesi için adreslerin belirli bir aralıkta toplanması ve dolayısıyla da yönlendirme tablolarının boyutunun küçültülmesi için gereken önlemlerin alınması zorunludur.

QoS – Quality of Service IPv6 geçilmesi ile IPv4 göre daha QoS daha etkin olacağı gibi bir yanlış düşünce kabul görmektedir. QoS IP ağları üzerinde farklı mimariler ile gerçekleştirilmektedir. IPv4 ve IPv6 Tümleşik ve Ayrık Hizmetler – Differentiated Services and Integrated Services mimarisini desteklemektedir. Bu mimariler ile IP ağları üzerinde QoS kullanılabilmektedir. O halde burada şu soru akla gelebilir: “IPv6 farklı kılan nedir?” QoS mimarileri yanında Ipv& başlık alanında 20-bit'lik Flow Label olarak adlandırılan bir alana sahiptir. Bu IPv4'de bulunmamaktadır. Bu alan IPv6 ağlarında protokolün etkinliğini arttırmaktadır. IPv6 geçişin gerçekleşmekte olduğu şu günlerde bu alanın kullanılmadığını görebiliriz. Dolayısıyla da QoS açısından IPv6 henüz QoS açısından bir fark yaratmamaktadır.

IPv6 hakkında doğru bilinen bir diğer yanlış ise IPv4'e göre daha güvenli olduğudur. IPv6 tasarım aşamasında IPSEC desteğini zorunlu tutmuştur. Bir çok kişi bu zorunluluğu IPv6 daha güvenli olduğu şeklinde yorumlamıştır. IPSEC sadece bir bağlantıda yetkilendirme, bütünlük ve gizlilik kontrolünü sağlar. Özellikle yapılan saldırı uygulama düzeyinde gerçekleştiriliyorsa IPSEC tek başına IPv6 protokolünde güvenlik sağlaması söz konusu değildir. IPSEC temel olarak olumlu bir gelişme olsa da tüm bağlantılar için kullanılamaz. Bir çok zorunlu ICMP mesajı multicast kullanmak durumundadır. Multicast ile gerçekleşen mesaj iletimi için IPSEC kullanılması söz konusu değildir. İnternet ölçeğinde düşünecek olursak her bağlantı için IPSEC kullanılması da kolay değildir. IPv6 ağlarında IPSEC kullanımının IPv4 ağlarındaki düzeyin ötesinde gerçekleşmeyeceğini söyleyebiliriz. Uygulamada IPv4 ve IPv6 protokollerini karşılaştıracak olursak her ikisinin de güvenli iletişim özelliklerine sahip olduğunu görebiliriz. Ancak iki protokolünde güvenlik açısından bakıldığında diğerine göre önemli bir üstünlüğü görülmemektedir.