RA-Koruma

RA-Guard (Yönlendirici Reklam Koruması) Sahte yönlendirici saldırılarına karşı korunmaya yardımcı olan ve ağdaki düğümler tarafından yalnızca yasal yönlendirici reklamlarının işlenmesini ve kabul edilmesini sağlayan bir IPv6 güvenlik özelliğidir.

RA-Guard, ağ cihazlarına dağıtılır ve yetkisiz veya kötü amaçlı yönlendirici reklamlarını tespit etmek ve engellemek için Yönlendirici Reklamı (RA) mesajlarını inceler.

RA-Guard bir ağ cihazında etkinleştirildiğinde, alınan RA mesajlarını analiz eder ve içlerindeki bilgileri yetkili yönlendiricilerin listesiyle karşılaştırır. RA mesajı yetkili yönlendiricilerle eşleşmezse veya şüpheli özellikler sergiliyorsa cihaz RA mesajını engelleyebilir, yok sayabilir veya ayarlarda tanımlanan diğer güvenlik işlemlerini gerçekleştirebilir.

Tanımlama ve engelleme teknikleri

RA-Guard, sahte yönlendirici reklamlarını tanımlamak ve engellemek için aşağıdakiler de dahil olmak üzere çeşitli teknikler kullanır:

Kaynak filtreleme

RA-Guard, RA mesajının kaynak adresini kontrol eder ve bu adresi yetkili yönlendiriciler listesiyle karşılaştırır. Kaynak adresi eşleşmezse RA mesajının yetkisiz olduğu düşünülebilir ve engellenebilir.

RA Seçenekleri Denetimi

RA-Guard, şüpheli veya beklenen yapılandırmayla uyumsuz seçenekleri tespit etmek için RA mesajında ​​yer alan seçenekleri inceler. Örneğin, beklenmeyen seçenekler veya yanlış yapılandırmalar bulunursa RA mesajının yetkisiz olduğu düşünülebilir.

RA mesajlarının sıklığı ve kalıpları

RA-Guard ayrıca alınan RA mesajlarının sıklığını ve düzenini de analiz edebilir. Kısa bir süre içinde çok sayıda RA mesajı algılanırsa veya olağandışı RA mesajı modelleri varsa cihaz, şüpheli mesajları engellemek veya sınırlamak için harekete geçebilir.

RA-Guard uygulaması, belirli cihaza ve üreticiye bağlı olarak değişiklik gösterebilir. Bazı ağ cihazlarında yerleşik bir işlevsellik olarak RA-Guard bulunurken diğer cihazlarda RA-Guard'ı açıkça etkinleştirmeniz ve yapılandırmanız gerekebilir.

RA-Guard, sahte yönlendirici reklamlarıyla ilişkili riskleri azaltmak ve IPv6 ağını yetkisiz yönlendirici saldırılarına karşı korumak için etkili bir güvenlik önlemidir. RA-Guard'ı etkinleştirerek ağ düğümleri yasal RA mesajlarına güvenebilir ve ağ yönlendiricilerinin güvenilir ve kimlik doğrulamalı olduğundan emin olabilir.

DHCPv6 Güvenli

DHCPv6 Secure, DHCPv6 istemcilerinin kimlik doğrulamasını ve yetkilendirilmesini sağlayan bir IPv6 güvenlik özelliğidir. DHCPv6 istemcilerinin kimliğini doğrulamanıza ve yalnızca yetkili istemcilerin IPv6 adreslerini ve ağ yapılandırmalarını alabilmesini sağlamanıza olanak tanır.

İşte nasıl çalıştığına derinlemesine bir bakış. DHCPv6 Güvenli:

DHCPv6 İstemci Kimlik Doğrulaması

DHCPv6 Secure, DHCPv6 istemcilerinin kimliğini doğrulamak için kimlik doğrulama tekniklerini kullanır. İstemcilerin kimliğini doğrulamak için X.509 sertifikalarının ve dijital imzaların kullanımına dayanmaktadır. Her DHCPv6 istemcisinin, güvenilir bir sertifika yetkilisi (CA) tarafından imzalanan benzersiz bir dijital sertifikası vardır.

DHCPv6 İstemci Yetkilendirmesi

DHCPv6 Secure, kimlik doğrulamanın yanı sıra istemci yetkilendirmesine de olanak tanır. Bu, yalnızca istemcinin kimliğinin doğrulanmasıyla kalmayıp, aynı zamanda istemcinin bir IPv6 adresi ve ilgili ağ yapılandırmalarını almak için gerekli izinlere sahip olup olmadığının da kontrol edildiği anlamına gelir.

Açık anahtar altyapısı (PKI) ile etkileşim

DHCPv6 Secure, kimlik doğrulama ve dijital imzalama için gereken sertifikaları ve genel ve özel anahtarları yönetmek üzere ortak anahtar altyapısıyla (PKI) entegre olur. Bu, DHCPv6 istemci sertifikalarını vermek ve yönetmek için dahili bir CA'nın yapılandırılmasını veya harici bir güvenilen CA'nın kullanılmasını içerir.

IPv6 adreslerini alma süreci

Bir DHCPv6 istemcisi, IPv6 adresini ve ağ ayarlarını alma işlemine başladığında, DHCPv6 sunucusuna bir DHCPv6 isteği gönderir. Bu istek, istemcinin sertifikası ve dijital imza gibi kimlik doğrulama için gerekli bilgileri içerir.

Sertifika doğrulama ve dijital imza

DHCPv6 sunucusu, yapılandırılmış genel anahtar altyapısını (PKI) kullanarak istemcinin sertifikasını ve dijital imzasını doğrular. Sertifikanın orijinalliğini doğrulayarak sertifikanın güvenilen CA'dan geldiğinden ve iptal edilmediğinden emin olun. Ayrıca, aktarım sırasında değiştirilmediğinden emin olmak için dijital imzanın geçerliliğini de kontrol eder.

Yetki kontrolü

DHCPv6 istemcisinin kimliği başarıyla doğrulandıktan sonra, DHCPv6 sunucusu, istemcinin bir IPv6 adresi ve ilgili ağ ayarlarını almak için gerekli izinlere sahip olup olmadığını doğrulamak için bir yetkilendirme kontrolü gerçekleştirir. Bu, DHCPv6 sunucusunda tanımlanan yetkilendirme politikalarına dayanmaktadır.

IPv6 Adres Atama ve Ağ Yapılandırmaları

DHCPv6 istemcisinin kimliği başarıyla doğrulandıysa ve yetkilendirildiyse, DHCPv6 sunucusu bir IPv6 adresi atar ve istemciye karşılık gelen ağ yapılandırmalarını sağlar. Bu ayarlar, alt ağ maskesi, varsayılan ağ geçidi, DNS sunucuları ve diğer ağ parametreleri gibi bilgileri içerebilir.

Yenileme ve periyodik doğrulama

DHCPv6 Secure ayrıca istemcilere atanan IPv6 adreslerini ve ağ yapılandırmalarını düzenli aralıklarla yenilemek ve doğrulamak için mekanizmalar içerir. Bu, zaman içinde yalnızca yetkili istemcilerin atanan adresleri ve ayarları koruyabilmesini ve kullanabilmesini sağlar.

DHCPv6 Secure'un dağıtılması, ortak anahtar altyapısının (PKI) uygun şekilde yapılandırılmasını, sertifikaların oluşturulmasını ve yönetilmesini ve DHCPv6 sunucusunda kimlik doğrulama ve yetkilendirme ilkelerinin yapılandırılmasını gerektirir. Her DHCPv6 istemcisinin geçerli bir sertifikası olması ve kimliğinin DHCPv6 sunucusu tarafından doğru şekilde doğrulanması için DHCPv6 isteklerini dijital olarak imzalaması gerekir.