Professional Documents
Culture Documents
[IPv6 El Kitab, Ulusal IPv6 Protokol Altyaps Tasarm ve Geii Projesi kapsamnda hazrlanm olup, IPv6ya gei aamasnda IPv6 protokol, gei yntemleri ve yaplandrmas konularnda ihtiya duyulabilecek temel bilgileri barndrmaktadr.]
HAZIRLAYANLAR
Alfabetik Sra le
BEYHAN KAAN ALIKAN TBTAK ULAKBM EMRE YCE TBTAK ULAKBM GKHAN ERYOL TBTAK ULAKBM LKNUR GRCAN TBTAK ULAKBM MURAT SOYSAL TBTAK ULAKBM NEE KAPTAN KO TBTAK ULAKBM ONUR BEKTA TBTAK ULAKBM
IPv6 El Kitab, Creative Commons Attribution-NonCommercial-ShareAlike 3.0 lisans veya seiminize gre daha gncel srmlerine gre kullanlabilir.
NDEKLER
HAZIRLAYANLAR ....................................................................................................................3 NDEKLER ...........................................................................................................................5 Blm 1: IPv6 Temelleri ve Yaplandrmas ............................................................................1 IPv6 Nedir? .........................................................................................................................1 Trkiye'de IPv6 ile ilgili Yrtlen almalar .......................................................................4 IPv6 Adres Mimarisi ............................................................................................................6 IPv6 Adres Tipleri ................................................................................................................7 IPv6 Balk Yaps ...............................................................................................................11 ICMPv6 .............................................................................................................................15 Komu Kefi (Neighbor Discovery) .....................................................................................18 Temel IPv6 Yaplandrmas ................................................................................................19 Durum Denetimsiz Otomatik Adres Yaplandrmas........................................................21 Durum Denetimli Otomatik Adres Yaplandrmas: .........................................................22 Cisco Ynlendirici Otomatik Adres Yaplandrma rnekleri: ...........................................23 BSD ve Linux Ynlendiricileri Otomatik Adres Yaplandrma rnekleri ...........................25 Statik Adres Yaplandrma rnekleri ..............................................................................26 DNS stemci Yaplandrmas ...........................................................................................27 Ynlendirme Protokolleri ..................................................................................................28 Cisco IOS........................................................................................................................29 QUAGGA (Linux/Unix letim Sistemleri iin) ..................................................................30 Blm 2: Temel Servislerin IPv6 Geii ...............................................................................31 Alan Ad Servisi - DNS ........................................................................................................31 DNS Sunucu Yaplandrmas ...........................................................................................31 Web Servisi .......................................................................................................................32 E-Posta Servisi ...................................................................................................................34 FTP Servisi .........................................................................................................................34 SSH ve Secure FTP Servisi ..................................................................................................35 TCP_WRAPPER Destei .....................................................................................................36
Blm 3: leri Seviye IPv6 zellikleri ....................................................................................37 Dolalabilirlik (MIPv6) ......................................................................................................37 Bileenleri......................................................................................................................38 alma Yaps ................................................................................................................38 MIPv6 Uygulamas .........................................................................................................39 MIPv6 Bileenleri Ayarlar ..............................................................................................40 oklu Gnderim ................................................................................................................44 IPv6 oklu Gnderim Adreslemesi .................................................................................44 oklu Gnderim Dinleyici Protokol (Multicast Listener Discovery, MLD) ......................44 Servis Modelleri .............................................................................................................45 Ynlendirme ..................................................................................................................45 IPsec .................................................................................................................................46 IPv6 Alarnda IPsec Kullanm .......................................................................................47 Blm 4: IPv6 Gei Yntemleri ...........................................................................................50 kili Yn Gei Yntemi ....................................................................................................50 kili Yn Bileenleri .......................................................................................................52 kili Yn Yaplandrmas ................................................................................................52 6to4 Gei Yntemi (Tnelleme) .......................................................................................54 6to4 Yntemi Bileenleri................................................................................................55 6to4 Yaplandrmas .......................................................................................................59 Teredo Gei Yntemi (Tnelleme) ...................................................................................61 Teredo Yntemi Bileenleri ............................................................................................62 Teredo letiim rnekleri ...............................................................................................63 Teredo Yaplandrmas ...................................................................................................64 TRT (Transport Relay Translator) Gei Yntemi (eviri) ....................................................67 TRT A Yaps .................................................................................................................68 Faithd Yaplandrmas ....................................................................................................68 NAT64/DNS64 Yntemi (eviri) .........................................................................................69 DNS64 DNS ALG .............................................................................................................70 NAT64 IP evirici ...........................................................................................................72 Karlalan Problemler ..................................................................................................73
Blm 5: Gvenlik Duvar ve IPv6 ........................................................................................74 Gvenlik Duvar (Firewall) Nedir? ......................................................................................74 IPv6 Gvenlik Duvar Yaplandrlmas................................................................................76 Uzant Balklar.................................................................................................................77 Snr Ynlendirici Filtre nerileri ........................................................................................78 Gvenlik Duvar Kurallar nerisi ...................................................................................78 ICMPv6 Filtresi ..............................................................................................................79 rnek Yaplandrmalar ......................................................................................................80 IPv6 Adres Filtreleme.....................................................................................................80 Multicast Filtreleme ......................................................................................................80 Linux Gvenlik Duvar Betii ..........................................................................................81 BSD Gvenlik Duvar Betii ............................................................................................84 Cisco IOS........................................................................................................................84 Blm 6: A Trafii Analizi ...................................................................................................85 MRTG ile Hat Kullanm Grafiklerinin Elde Edilmesi .............................................................85 Ynlendirici SNMP Ayarlar ............................................................................................85 NfSen ile Ynlendirici Ak zi (Flow) ncelenmesi ..............................................................90 Netflow Ak zlerinin Oluturulmas ve Sunucuya Ynlendirilmesi .................................91 Netflow Kaytlarnn Saklanmas ve Analizi in NfSen kurulumu ....................................92 NfSen ile Analiz ..............................................................................................................96 Kaynaklar: ..........................................................................................................................101
IPv6 El Kitab
salayamayan IPv4, nternet zerinden sunulan servis eitliliinin artmas ve baz servislerin NAT arkasndaki kullanclara ulatrlmasnda yaanan iletim zorluklar gibi nedenlerle ihtiyalar karlamakta yetersiz kalmtr. IPv4 adres uzay hiyerarik adresleme yaplmasna olanak salayamamtr. Bu durum ynlendirici cihazlarnn ynlendirme tablolarnn bymesine yol amtr. Son yllarda nternet ortamnda verinin gizliliinin ve btnlnn korunabilmesi iin IP seviyesinde gvenlik gereksinimi artmtr. IPv6 iin gelitirilen ancak daha sonra IPv4 iin de uyarlanan IPsec standardnn kullanm ile gvenlik altyaps salanabilmektedir. Ancak zellikle NAT kullanlan IPv4 alarnda, bu standardn kullanm sorunlara sebep olmaktadr. IPv4 adres yaplandrmas statik olarak veya Dinamik stemci Kontrol Protokol (DHCP) kullanarak yaplabilmektedir. Ancak IP adresleri gereksiniminin artmas nedeniyle yeni bir otomatik yaplandrma yntemi gelitirilmesine ihtiya duyulmutur. Gerek zamanl veri aktarmnda, IPv4 paket balnda bulunan Servis Tipi (Type of Service) TOS alan kullanlarak belli bir servis kalitesi (Quality of Service) salanabilmektedir. Ancak TOS alan kullanm kstldr ve ifreli aktarmlarda sorun yaratmaktadr.
IPv6nn Avantajlar IPv6da IPv4n gl ynleri korunarak, gnmz alarnn deien gereksinimlerini karlamak amacyla pek ok yenilik getirilmitir. nternet ann her geen gn daha ok kullancy kapsamasyla, ynlendirici trafii ve ynlendirilecek paket says artmtr. Bu nedenle gnmzde veri ileme hz nem kazanmtr. Bir baka deyile ynlendirmenin veya anahtarlamann yapld noktalarda veri paketlerinin doru ve hzl bir ekilde ynlendirilmesi byk nem tamaktadr. nternet kullanmnn yaygnlamas ve servis eitliliinin artmas ile birlikte IPv4te yaanan sorunlar gidermeyi amalayan IPv6nn yeni zellikleri aada ksaca aklanmtr. Geniletilmi adres alan: IPv6nn en nemli zelliklerinden biri 128 bitlik adres uzunluu ile IPv4e gre daha byk bir adres alan sunmasdr. IPv6daki bu geni adres alan, hiyerarik adresleme yaplmasna olanak salayarak, ynlendirme tablolar boyutlarnn klmesini salayacaktr. u anda IPv6 adres aralnn ok kk bir yzdesi iin kullanm alan tanmlanarak tahsis edilmek zere ayrlmtr. Bu sayede gelecekteki kullanm iin yeterince adres mevcuttur. Geni adres aralnn sunduu bir dier avantaj ise utan uca adresleme yaplabilmesidir. NAT gibi kullanm durumunda pek ok iletim zorluunu beraberinde getiren adres dntrc mekanizmalara olan ihtiya, IPv6 kullanm ile ortadan kalkmaktadr. Yeni Gvenlik zellikleri: IPv6 gvenlik konusunda da baz stnlklere sahiptir. ncelikle nternet Protokol Gvenlii (Internet Protocol Security - IPsec) destei IPv6da btnleik olarak gelmektedir. Bu btnleme ile servislerin daha sorunsuz ve etkin almas salanmaktadr. IPv6nn gvenlik
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 2 / 100
konusundaki bir dier stnl, gvenlik iin tanmlanm ek balklar ile yetkilendirme ve ifreleme yaplabilmesidir. Ayrca IPv6da ara dmlerde paketlerin paralanmadan aktarlmas, yeni balk yaps ile a zerinde paketlerin izlenmesinin kolaylamas gibi gvenlik btnln salayan yeni zellikler de mevcuttur. Sadeletirilmi Balk Yaps: IPv6 paketleri ynlendiriciler tarafndan daha hzl ilenebilmelerine olanak salayan sabit uzunlukta yeni bir balk yapsna sahiptir. IPv4 balndaki gereksiz baz alanlar atlm, bazlar ise istee bal kullanm iin uzant balklar ksmna kaydrlmtr. IPv6 paketlerinin balk yaps ilerideki blmlerde ayrntl olarak ilenmektedir. Gelimi Servis Kalitesi zellikleri: nternet Protokol, doas gerei farkl uygulamalarn hepsini en iyi aba ( best effort) yaklam ile fark gzetmeksizin ele alr. Bu durum, utan uca gecikme veya paket kayplar gibi parametrelere kar duyarl olan trafik iin problemlere yol aabilmektedir. Bu problemlerin stesinden gelmek iin IPv4te farkl Servis Kalitesi (QoS) teknikleri kullanlmaktadr. IPv6 balnda bulunan yeni alanlar trafiin daha iyi tanmlanmas ve buna gre nceliklendirilmesine olanak salar. Bu nceliklendirme paket balndaki bilgilere gre yapld iin, paketin ieriinin ifrelenmi olmas nceliklendirmeyi etkilememektedir. Otomatik Adres Yaplandrlmas: Otomatik adres yaplandrlmas IPv6'nn getirmi olduu nemli yeniliklerdendir. IPv6, a zerinde adres atama sunucusu olmakszn, aa bal arabirimlerin adres edinmelerine olanak tanr. Bu zelliin temelinde adaki ynlendiricilerin gerekli adres nekini anons etmeleri ve istemcilerin de bu bloa 64 bitlik bir deer ekleyerek kendi adreslerini oluturmalar yatar. Bu ekilde oluturulan adreslerin kullanlmadan nce tekillik testinden (Duplicate Address Detection Mechanism) geirilmesi gerekir. Dmler bakalar tarafndan kullanlmadna kanaat getirdikleri adresi kullanma alabilir. Dolalabilirlik: Dolalabilirlik, bir istemcinin farkl alardan gerek ev adresi ile balant yapabilmesidir. IPv4te dolalabilirlik destei sorunlu olmakla birlikte mevcuttur. IPv6da ise sorunsuz almaktadr. Geniletilebilirlik: IPv6da zorunlu balk alannn dnda bulunan ve istee bal kullanlabilen uzant balklar blm, ileride ihtiya duyulabilecek yeni zellikler iin kullanlabilir. Komu Dmlerle Etkileim in Yeni Protokol: IPv6 Alarnda ayn balant zerindeki komu dmlerin etkileimini ynetmek iin yeni bir protokol olan Komu Kefi (Neighbor Discovery) Protokol kullanlr. Bu protokol, Internet
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 3 / 100
Control Message Protocol for IPv6 (ICMPv6) mesajlarn kullanlr. Bu mesajlar IPv4te bulunan Address Resolution Protocol (ARP), ICMPv4 Router Discovery ve ICMPv4 Redirect mesajlarnn yerini alr. ICMPv6 ayrca ynlendirme ve IP paketlerinin datm esnasnda ortaya kan hatalar ve dier temel durumlarn raporlanmasnda da kullanlr.
IPv6 El Kitab
Sayfa 4 / 100
Proje kapsamnda oluturulan "Kamu Kurum ve Kurulular iin IPv6ya Gei Plan, 8 Aralk 2010 tarihli ve 27779 sayl Resmi Gazete de yaynlanan Babakanlk Genelgesi ile duyurulmutur. Sz konusu plan uyarnca kamu kurum ve kurulularnn IPv6ya geiinin, aadaki takvim dorultusunda gerekletirilmesi planlanmaktadr:
1. Aama (1 Ocak 2011 - 31 Austos 2012): 1.1. Kamu kurum ve kurulular 31 Mart 2011 tarihine kadar aada belirtilen unsurlarn IPv6 desteinin olup olmad konusunda bir envanter karma almas yapacaktr; nc seviye anahtarlama cihazlar, Ynlendirici cihazlar, Gvenlik cihazlar, nternet zerinden darya verilen hizmetler ve bu hizmetlerin verilmesini salayan yazlmlar. 1.2. lgili yazlm veya donanmn faydal kullanm mrleri gz nnde bulundurularak IPv6 destei bulunmayan unsurlarn yenilenmesi iin plan yaplacak ve satn alnmas ngrlen mal veya hizmetlerin finansman bte almalarna dhil edilecektir. 1.3. Kamu kurum ve kurulular en ge 31 Austos 2012 tarihi itibariyle IPv6 adresi ve IPv6 balantlarn temin etmi olacaklardr. 1.4. 31 Austos 2012den sonra IPv6y desteklemeyen hibir a donanm ve yazlmna yatrm yaplmayacaktr. 1.5. Kamu kurum ve kurulular, bilgi ilem personelinin IPv6ya gei ve IPv6 destekli hizmetlerin verilebilmesi konusunda eitim ihtiyalarn belirleyeceklerdir. Gerekli eitimler 1 Mart 2012 tarihine kadar tamamlanacaktr. 1.6. Kamu kurum ve kurulular, eitim ihtiyalarn cret mukabilinde Trk iye Bilimsel ve Teknolojik Aratrma Kurumu - Ulusal Akademik A ve Bilgi Merkezi (ULAKBM) bnyesinde oluturulacak olan IPv6ya Gei Eitimi Merkezinden
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 5 / 100
karlayabileceklerdir. Bu eitimin ierii ve program ULAKBM tarafndan belirlenecek ve duyurulacaktr. 1.7. lgili eitimin IPv6ya Gei Eitimi Merkezinden alnmad hallerde, eitim alnacak kuruluun bilgisayar alar eitimi hususunda TS EN ISO/IEC 17024 veya ISO/IEC 17024 standardna gre akredite edilmi, personel belgelendirme kuruluu olmas gerekmektedir.
2. Aama (1 Eyll 2012 - 31 Aralk 2012): 2.1. IPv6 balants ve adresi temin eden kamu kurum ve kurulular 31 Aralk 2012 tarihine kadar nternet zerinden verdikleri en az bir adet hizmet i pilot uygulama olarak IPv6 destekli hale getireceklerdir.
3. Aama (1 Ocak 2013 - 31 Austos 2013): 3.1. Kamu kurum ve kurulular en ge 31 Austos 2013 tarihine kadar nternet zerinden verdikleri kamuya ak tm hizmetleri IPv6y destekler hale getireceklerdir.
128 bit olan bu IPv6 adresi ncelikle 16 bit uzunluunda 8 gruba ayrlmt r:
0010000000000001 0000001010101010 0000110110111000 0000000000000000 0000000000000000 0000000011111111 1111111000101000 1001110001011010
Her grup onaltlk say dzenine dntrlm ve IPv6 adresi : ile ayrlan 16 bitlik bloklar halinde yazlmtr:
2001:0DB8:0000:0000:02AA:00FF:FE28:9C5A
IPv6 El Kitab
Sayfa 6 / 100
IPv6 adreslerinin aada listelenen kurallar erevesinde ksaltlmas mmkndr: - Her 16 bitlik blokta solda kalan sfrlar adresten atlabilir:
2001:DB8:0:0:2AA:FF:FE28:9C5A
Tamam sfrdan oluan bloklar fazladan bir adet daha : kullanlarak adresten karlabilir. Ancak :: bir IPv6 Adresinde en fazla 1 kez kullanlabilir. Bu nedenle IPv6 adresinden 1den fazla blok karlabilmesi iin bu bloklarn yan yana olmas zorunludur.
2001:DB8::2AA:FF:FE28:9C5A
IPv6da IPv4ten farkl olarak adres araln belirleyen A, B ve C gibi snflar tanmlanmamtr. IPv6 adresleri iin CIDR (Classless Inter-Domain Routing) gsterimi kullanlmaktadr. Bu gsterimde IPv6 adresinde a adresini belirleyen bit says adres sonunda / iareti kullanlarak verilmektedir. Ynlendirici cihazlar, IPv6 paketlerini ynlendirme ileminde a adresini belirleyen bu bitleri kullanmaktadr.
2001:DB8::2AA:FF:FE28:9C5A /32
IPv6 El Kitab
Sayfa 7 / 100
IPv6 adresleri biim nek (format prefix) olarak adlandrlan ilk bitlerine gre snflandrlmaktadr. Tablo 1'de farkl IPv6 adres tipleri iin atanan adres aralklar ile ilgili ayrntl bilgi verilmitir. Balang olarak IPv6 adres aralnn yaklak %15lik ksm iin kullanm alan atamas yaplmtr. Geriye kalan adres aralklar ilerideki ihtiyalar dorultusunda kullanlacak olup, atama daha sonra yaplacaktr.
Tablo 1. Atamas Yaplan IPv6 Adres Aralklar
Atama
Biim neki IPv6 Adres Toplam Adres Toplam Adres (kili Deer) aral Aralndaki Aralndaki Oran Yzdesi
0000 0000 001 1111 1100 1111 1110 10 1111 1111 0::/8 2000::/3 FC00::/7 FE80::/10 FF00::/8 1/256 1/8 1/128 1/1024 1/256 %0.39 %12.5 %0.78 %0.10 %0.39
Rezerve edilmi Kresel Tekil Gnderim (Global Unicast) Adresleri Esiz Yerel Tekil Gnderim (Unique Local Unicast) Adresleri Balant Yerel Tekil Gnderim (Link Local Unicast) Adresleri oklu Gnderim (Multicast) Adresleri
Rezerve Edilmi Aralk: Rezerve edilmi durumda olan 0::/8 aral aada aklanan zel IPv6 adresleri iin kullanlmaktadr. Belirsiz Adres (Unspecified Address): 0:0:0:0:0:0:0:0 veya :: eklinde gsterilen ve IPv4teki karl 0.0.0.0 olan adrestir. Belirsiz Adres herhangi bir cihaza verilemez. Bu adres genelde soket balantlarnda kullanlmaktadr. Yerel stemci Adresi ( Loopback Address): 0:0:0:0:0:0:0:1 veya ::1 eklinde gsterilmektedir. Bu adresin IPv4teki karl 127.0.0.1dir. Kayna veya hedefi bu olan adresler gndericiden ayrlamaz. IPv4 Elemli IPv6 Adresleri ( IPv4-Mapped Addresses): ::ffff:0:0/96 aral ierisinde yer alan IPv6 adresleridir. Bu adres aral, IPv4 ve IPv6 paket balklar arasnda RFC 2765 ile tanmlanan SITT (Stateless IP/ICMP Translation) algoritmasn kullanarak dnm salamak iin ayrlmtr. Bu algoritma, sadece IPv6 adresine sahip arayzlerin, sadece IPv4 adresine sahip arayzler ile iletiimini salamak iin kullanlmaktadr. Adres dnmnde kullanlan IPv4 adresinin kresel olarak ynlendirilebilen adresler olmas gerekmektedir. Ancak bu dokmanda yer alan adres dnm rneinde IPv4 adresi olarak 192.168.0.5 kullanlacaktr. Bu IPv4 adresinin 16lk sistemde gsterimi C0A8:0005 eklindedir. Dolaysyla bu adres iin IPv4 elemli IPv6 adresi ::ffff:C0A8:5 olur.
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 8 / 100
Kresel Tekil Gnderim Adresleri: 001 biim nekine sahip ve arayzlerin kresel balants iin zorunlu olan adreslerdir. Bu adresler IP adresi datm ve koordinasyonu ile grevli merci olan Internet Assigned Numbers Authority (IANA) tarafndan Avrupa, Kuzey Amerika, Latin Amerika, Afrika ve Asya Blgesel IP Adresi Datm Yetkililerine, ihtiya duyan kurumlara tahsis edilmek zere datlmtr. Dolaysyla bu adresler dorudan IP adresi datm yetkilisi olan kurululardan veya hizmet alnan nternet Servis Salaycs kurumdan alnabilir. ekil 2de kresel tekil adresler iin bit dalm verilmitir. Biim neki ve Kresel Ynlendirme neki ksmlarndan oluan ilk blmn bit uzunluu deiebilmektedir. IP datm yetkilisi tarafndan nternet Servis Salayc olmayan kurumlara tahsis edilen bu bitlerin says genellikle 48dir. Bu blm takip eden Alt Aa Tantc blm de deiken olmakla birlikte bu rnek iin 16 bittir. Son blm olan Arabirim Tantcs ise genellikle 64 bitliktir.
001
Kresel tekil gnderim adresleri arasndan yer alan 2001::/32 adres aral IPv4 ve IPv6 arayzleri arasnda iletiim iin kullanlan zel bir gei mekanizmas olan Teredo Tnelleme yntemi iin ayrlm durumdadr. Bunun yan sra 2002::/16 aral 6to4 gei yntemi iin ayrlmtr. Esiz Yerel Tekil Gnderim Adresleri: lk 7 biti 1111110 eklinde olan ve FC00::/7 aralnda bulunan adreslerdir. ncelikle, ardndan gelen L bitinin deeri 1 olan FD00::/8 alt aral kullanlmaktadr. L bitinin 0a eit olduu adresler henz tanmlanmamtr. L bitinden sonraki 40 bit, algoritma yardmyla retilen Kresel Tantc blmn oluturmaktadr. Bu blm, srasyla 16 bitlik Alt A Tantcs ve 64 bitlik Arabirim Tantcs takip etmektedir (ekil 3). Esiz yerel tekil gnderim a dresleri yerel a trafii iin gelitirilmi olup, kresel olarak ynlendirilmezler. Alt A Tantcs 16 bit Arabirim Tantcs 64 bit
1111110 7 bit
IPv6 El Kitab
Sayfa 9 / 100
Balant Yerel Tekil Gnderim Adresleri: 1111 1110 10 biim nekine sahip ve FE80 ile balayan adreslerdir. Biim nekini takip eden 54 bit 0 olup, onlar takip eden ve arabirim tantcs olan son 64 bit ise arabirimin 48 bitlik donanm adresinin tam ortasna 16 bitlik FFFE deeri eklenerek oluturulur. Balant yerel tekil gnderim adresleri, sadece bir arayz balants zerinde otomatik adres yaplandrlmas veya komu kefi gibi amalar ile kullanlan yerel adreslerdir. 1111111010 10 bit 0 54 bit Arabirim Tantcs 64 bit
oklu Gnderim Adresleri: ff00::/8 IPv6 neki oklu gnderim adresleri iin tahsis edilmitir. ekil 5te bu adreslerin yaps ayrntl olarak verilmitir. 1111111 8 bit Bayrak 4 bit Kapsam 4 bit Grup Tantcs 112 bit
11111111 olan ilk 8 bit sonrasnda, adresin tipini belirleyen Bayrak ve Kapsam bitleri gelmektedir. Bu bitlerin anlamlar u ekildedir: Bayrak bitleri aadaki deerleri alabilir: 4 bitin ilki ileriki kullanm iin rezerve edilmitir ve 0 deerini almaldr. kinci bit (R) oklu gnderim adresinin iinde gml olarak randevu noktas (Rendezvous point) adresi ierdiini belirtir. nc bitin 1 olmas, oklu gnderim adresinin tekil gnderim neki tabanl oklu gnderim adresi olduunu ve a adresinden tretildiini gstermektedir. nc bitin 1 olmas durumunda 4 bit de 1 olarak set edilir. Drdnc bitin (T) 0 olmas IPv6 oklu gnderim adresinin kalc, 1 olmas ise kalc olmayan, gei iin veya dinamik olarak atanm bir adres olduunu gsterir. Kapsam blmndeki bitlerin deeri = 1 ise adres arayz-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 2 ise adres balant-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 4 ise adres ynetici-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 5 ise adres site-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 8 ise adres organizasyon-yerel bir adrestir.
TBTAK ULAKBM, 2012 Sayfa 10 / 100
IPv6 El Kitab
IPv6 El Kitab
8 bitlik Yaam Sresi ve Srama Limiti blmleri farkl adlandrlm o lsalar da ayn ilevi grmektedirler. Bu blm bir veri paketinin bilgisayar alar zerinde ne kadar sre kalacana karar vermek iin kullanlmaktadr. Bir dier 8 bitlik adres alan olan Sonraki Balk ise bir st katmanda kullanlacak protokol belirtmektedir. Bu alan ayn zamanda, IPv6ya ek zellikler getirebilen Uzant Balklar (Extension Headers) ksm ile ilgili bilgiler de tayabilmektedir. IPv6n sunduu ek zelliklerden olan ve ihtiya annda tercihe bal olarak kullanlabilecek Uzant Balklar ksm standart IPv6 balk yapsnn dna karlarak, a cihazlarnn paketleri daha hzl ynlendirmesi salanmtr.
IPv6 Uzant Balklar IPv6 da paketleri ile ilgili tercihe bal bilgiler, temel balk ile st seviye protokol balklar arasnda yer alan IPv6 uzant balklar blmnde yer almaktadr. Bu uzant balklar temel balk bilgisinden sonra ihtiya duyulduunda kullanlr. Biri hari uzant balklarnn hepsi sadece IPv6 paketi iin hedef olarak belirlenen cihaz tarafndan ilenmektedir. Uzant
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 12 / 100
balklar blmnde bulunacak balk says ile ilgili bir kstlama yoktur ancak yer alan btn balklar Sonraki Balk Deeri ile tanmlanmaldr. Cihazlar bu deerler sayesinde ilenmesi gereken uzant bal olup olmadn renir, yok ise st protokol bal ile ilgili ilemlere devam eder (ekil 7). Uzant balklar boyut asndan deikenlik gstermektedirler. Eer bir paket iin birden fazla uzant bal kullanlyor ise bu balklarn aadaki srada bulunmas nerilmektedir.
Srama Seenekleri Bal (Hop-by-Hop Options Header)1 Hedef Seenekleri Bal (Destination Options Header)2 Ynlendirme Bal (Routing Header) Paralama Bal (Fragment Header) Dorulama Bal (Authentication header)3 Kapsllenmi Gvenlik Yk Bal (Encapsulating Security Payload Header) 4 Hedef Seenekleri Bal (Destination Options Header) 5 Dolalabilirlik Bal (Mobility Header) st Protokol Bal (Upper-layer Header)
1 2
Pakette yer almas durumunda Srama Seenekleri balnn ilk srada bulunmas zorunludur. IPv6 hedef adresi blmnde bulunan ilk hedef ile ynlendirme balndaki mteakip cihazlar tarafndan ilenecek bilgi iermesi durumunda 3 Bu balklar ile ilgili ek artlar RFC-2406 belgesinde verilmitir 4 Bu balklar ile ilgili ek artlar RFC-2406 belgesinde verilmitir 5 Sadece hedef cihaz tarafndan ilenecek bilgiler iermesi durumunda IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 13 / 100
Tanml olan IPv6 uzant balklar, tanml olduklar RFC belgeleri ve bu balklar tanmlayan sonraki balk deerler Tablo 2de verilmitir. Tablo 3te ise st protokoller iin kullanlan sonraki balk deerleri bulunmaktadr.
Uzant Bal
Sekme Seenekleri Ynlendirme Bal Paralama Bal
Tanm
Paketin yolu boyunca zerinden getii tm cihazlar (kaynak ve hedef de dhil) tarafndan ilenmesi gereken bilgileri barndrr. Paketin izleyecei yol ile ilgili bilgi ierir. Bir kaynak oluturduu paketin ziyaret etmesini istedii bir veya daha fazla saydaki hedef dm ile ilgili bilgileri bu balk ile tanmlayabilir. Bu balk kaynak tarafndan hedefe mevcut paketin asl verinin paralarn ierdii durumlarda kullanlr. IPv4 paket balnda yer alan ancak IPv6 balndan kaldrlan Kimlik Bilgisi ve Para numaras blmlerini barndrr. Gvenlik iin kullanlr. Verinin dorululuu, btnln salamak ve tekrar gnderimini engellemek amacyla kullanlr. Bu balk bazen tek bana, bazen de dorulama bal ile beraber IPv6da gvenlik salamak iin kullanlmaktadr. Tanan verinin ifrelenmi olduunu gsterir. Bu balkla tanmlanan seenekler sadece hedef cihaz tarafndan ilenmektedir. Bu balk dolalabilirlik uygulamasnda balanma tablolarnn oluturulmas iin yaynlanan mesajlarda kullanlr. Bu balk kendisinden sonra herhangi bir ek balk olmadn gsterir.
RFC
2460
43
2460
44
2460
51
Dorulama Bal Kapsllenmi Gvenlik Yk Bal Hedef Seenekleri Dolalabilirlik Bal Sonraki balk yok
2402
50
2406
60 135
2460 3775
59
2460
st Protokol
TCP UDP ICMP
IPv6 El Kitab
Sayfa 14 / 100
ICMPv6
nternet Kontrol Mesajlama Protokol (Internet Control Message Protocol-ICMP) mesajlar a iletiiminde yaanan sorunlarn, iletiime dhil olan a bileenlerine iletilmesi amacyla kullanlmaktadr. Bir paket hedefine ulatrlamadnda, bir ynlendiricinin kendisine gelen bir paketi ynlendirecek kadar bo kapasitesi olmadnda ya da bir paket iin belirlenen rotadan daha ksa bir rotann varl kefedildiinde ICMP mesajlar ile bu durum bildirilir. Ancak, IPv4 tabanl iletiimde ICMP mesajlarnn snr ynlendiricilerinde engellenmesi s k rastlanan bir uygulamadr. Bunun temel nedeni ICMPnin saldrganlar tarafndan keif aamalarnda kullanlmasdr. ICMPv6 de bu protokoln IPv6 iin uyarlanm halidir. ICMPv6 tm IPv6 dmlerinin iletiimleri iin temel bir protokol olarak tasarlanmtr ve RFC 2463 ile bu dmlerin ICMPv6y eksiksiz desteklemesi zorunluluu ortaya konmutur. IPv6 paketinde st protokol tanmlayan sonraki balk deeri 58 ise, bu paket bir ICMPv6 mesaj tamaktadr. ICMPv6 bilgileri iki blmde tanmaktadr. lk 32 bit balk blmn oluturmaktadr. Bu blmn ilk 8 biti mesajn tipi ile ilgili bilgiyi tar. Eer yksek sral bit 0 ise (0 -127 aras deerler iin) bu bir hata mesajdr. Eer yksek sral bit 1 ise (128-255 aras deerler iin) bu bir bilgi mesajdr. 8 bitlik kod alan ierii mesaj tipine baldr. 16 bitlik salama toplam alan ICMP paketi iin minimum seviyede btnlk dorulamas yapar. Sonraki bitler ise protokol yk iin kullanlmaktadr. ICMPv6 paket yaps ekil 8de verilmitir.
Aada yer alan Tablo 4 ve Tablo 5 de ICMPv6 hata ve bilgi mesajlar tip ve kod deerleri ile birlikte ayrntl olarak yer almaktadr.
IPv6 El Kitab
Sayfa 15 / 100
Tip
1 1 1 1 1 1 1 1 1 2 3 3 3 4 4 4 4
Kod
Aklama
Hedef Eriilemez (Destination Unreachable) Hedefe ynlendirme bilgisi yok (no route to destination) Hedef ile iletiim ynetimsel olarak engellenmitir (communication with destination administratively prohibited ) Kaynak adresin kapsam dnda (beyond scope of source address) Adres eriilemez (address unreachable) Port eriilemez (port unreachable) Kaynak adres baarsz giri-k politikas (source address failed ingress/egress policy) Hedef rotas reddedildi (reject route to destination) Ynlendirme balnda hata (Error in Source Routing Header ) Paket ok byk (Packet Too Big) Zaman am (Time Exceeded) Sekme limiti am (hop limit exceeded in transit) Para birletirme zaman am (fragment reassembly time exceeded) Parametre problemi (Parameter Problem) Balk alannda hata (erroneous header field encountered) Tanmlanamayan sonraki balk tipi (unrecognized Next Header type encountered) Tanmlanamayan IPv6 opsiyonu (unrecognized IPv6 option encountered)
0 1 2 3 4 5 6 7 0
0 1
0 1 2
IPv6 El Kitab
Sayfa 16 / 100
Tip
128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147
Kod
0 0 0 0 0 0 0 0 0 0
Aklama
Yank stei (Echo Request) Yank Cevab (Echo Reply) oklu Gnderim Dinleyici Sorgusu (Multicast Listener Query ) oklu Gnderim Dinleyici Raporu (Multicast Listener Report) oklu Gnderim Dinleyici Tamam Mesaj (Multicast Listener Done ) Ynlendirici Talep Mesaj (Router Solicitation) Ynlendirici lan Mesaj (Router Advertisement) Komu Talep Mesaj (Neighbor Solicitation) Komu lan Mesaj (Neighbor Advertisement) Yeniden Ynlendirme Mesaj (Redirect Message) Ynlendiricileri Yeniden Numaralandrma (Router Renumbering) ICMP Dm Bilgisi Sorgusu (Query ICMP Node Information) ICMP Dm Bilgisi Cevab (Response ICMP Node Information) Ters Komu Kefi Teklif Mesaj (Inverse Neighbor Discovery Solicitation Message) Ters Komu Kefi lan Mesaj (Inverse Neighbor Discovery Advertisement Message) Srm 2 oklu Gnderim Dinleyici Raporu (Version 2 Multicast Listener Report) Ev Ajan Adres Keif -Talep Mesaj (Home Agent Address Discovery Request Message) Ev Ajan Adres Keif -Cevap Mesaj (Home Agent Address Discovery -Reply Message) Mobil nek Talep Mesaj (Mobile Prefix Solicitation) Mobil nek lan Mesaj (Mobile Prefix Advertisement)
RFC
4443 4443 2710 2710 2710 4861 4861 4861 4861 4861 Crawford 4620 4620 3122 3122 3810 3375 3375 3375 3375
0 0 0 0 0 0 0
IPv6 El Kitab
Sayfa 17 / 100
ekil 9da Komu Kefi protokolnn kullanm konusunda bir rnek verilmitir. Ayn yerel aa bal A, B, C, D dmleri ve bunlarn IP adresleri grlebilmektedir. Aa yeni balanan dm E, arayz tanmlaycs ve a neki yardmyla oluturduu fe80:13aa::90 adresini kullanmak ister. ncelikle bu adresin ada kullanlp kullanlmadn kontrol etmek iin btn dmlerin oklu gnderim adresine komu talep mesaj gnderir (1). Talep mesajn alan dmler eer bu adresi kullanyorlarsa bir ilan mesajyla cevap verirler . ekil 9da A
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 18 / 100
dm fe80:13aa::90 adresini kulland iin tm dmlere bir ilan mesaj gnderir (2). lan mesajn alan E, adres kullanld iin bu adresi kendi arayzne atayamaz. Bu durumda ya dme sistem yneticisi tarafndan bir adres verilir veya alternatif bir arayz tanmlaycsyla yeni bir adres oluturulup sre tekrar balatlr. Eer talebe belirli bir sre cevap gelmez ise, E dm oluturduu adresi kullanmaya balar.
IPv6 El Kitab
Sayfa 19 / 100
Otomatik adres yaplandrma iin nemli grev stlenen Ynlendirici lan Mesajnn yaps ekil 10da verilmitir. Mesaj ierisinde bulunan M ve O bitleri (Managed Address Configuration Flag, Other Configuration Flag) istemcilere adres yaplandrmas ve DNS sunucu bilgisi gibi ek parametreleri elde etmek iin durum denetimsiz ve durum denetimli adres yaplandrma yntemlerinden hangisini kullanabilecekleri konusunda bilgi ierir. M ve O bitleri sfr ve bir olmak zere iki farkl deer alabilirler. Bu deerlere gre istemcilere aktarlan bilgi aada verilmitir. Her iki bit iin varsaylan deerler sfrdr. Her iki bitin deeri sfr ise (M =0 ve O=0) stemci adres yaplandrmas iin durum denetimsiz otomatik adres yaplandrma kullanr, ek parametreleri dier yntemler (statik yaplandrma) ile elde eder. M bitinin deeri sfr, O bitinin deeri bir ise ( M =0 ve O=1) 6 stemci adres yaplandrmas iin durum denetimsiz otomatik adres yaplandrma kullanr, ek parametreleri durum denetimli otomatik adres yaplandrma yntemi ile elde eder. M bitinin deeri 1, O bitinin deeri sfr ise (M=1 ve O=0) 7 stemci adres yaplandrmas iin durum denetimli otomatik adres yaplandrma yntemi kullanlr, ek parametreleri dier yntemler (statik yaplandrma) ile elde eder. M=1 ve O=1 ise (DHCPv6 statefull) stemci adres yaplandrmas ve ek parametreleri durum denetimli otomatik adres yaplandrma yntemini kullanarak elde eder.
6 7
Bu durum iin durum denetimsiz DHCPv6 ifadesi de kullanlabilir. Bu durum kullanlmamaktadr. M bitinin deeri 1 ise O bitinin deerinin de 1 olmas beklenmektedir. TBTAK ULAKBM, 2012 Sayfa 20 / 100
IPv6 El Kitab
stemciler, durum denetimsiz otomatik adres yaplandrma ynteminde Ynlendirici lan Mesajlar ile duyurulan a nek bilgisini kendi adreslerini oluturmak iin kullanmadan nce mesaj ierisindeki zerklik bayrann (Autonomous Flag) deerini kontrol ederler. Bu bayrak iin varsaylan deer bir olup, a nek bilgisinin adres yaplandrmas iin kullanlabilecei ni gsterir. Bayrak deeri sfr ise, istemciler ilgili Ynlendirici lan Mesaj"ndaki a nek bilgisini bu ilem iin kullanmaz. zellikle durum denetimli adres yaplandrma yntemi kullanlan alarda, ynlendirci ilan mesajlarndaki bu bayran deeri sfr olarak tanmlanmaldr. Aksi takdirde istemciler hem durum denetimli hem de durum denetimsiz otomatik adres yaplandrma yntemlerinin kullanarak iki farkl kresel IPv6 adresi alrlar.
48 bit
16 bit
64 bit
stemci, arabirim tantcsn olutururken 48 bitlik MAC adreslerini kullanr. Arabirim tantcs, dmlerin a arayzlerinin 48 bitlik MAC adreslerinin tam ortasna 0xFF ve 0xFE deerleri eklenerek oluturulur. Ayrca MAC adresinin 7. biti kontrol amacyla evrilir. ekil 12da MAC adresinden a arabirim tantsnn oluturulmas anlatlmaktadr.
IPv6 El Kitab
Sayfa 21 / 100
A zerinde Ynlendirici lan Mesaj anonsu olmamas durumunda, dmler balant yerel adreslerini oluturarak ayn aa bal dier dmlerle iletiim kurabilirler. Durum denetimsiz otomatik adres yaplandrmasnn bu zellii IPv6 alarnda tak -altr ynteminin ilerliini salamaktadr.
DHCP, oklu gnderim adresleri kullanarak, istemcinin DHCP sunucusuna talebini iletmesine ve sunucunun istemciye gerekli a yaplandrma bilgilerini gndermesine olanak salar. DHCP istemcisi ile ayn ada bulunmayan DHCP sunucularna mesajlarn ulatrlmas da, DHCP nakledici (DHCP relay) yaplandrmas ile yine oklu gnderim adresleri kullanlarak uygulanr. Kullanlan oklu gnderim adresleri: Tm DHCP sunucularn ve nakledici ajanlarn bulunduu FF02::1:2 balant yerel adresi Tm DHCP sunucularn bulunduu FF05::1:3 site yerel adresi.
Durum denetimli otomatik adres yaplandrmas yntemi ile varsaylan a geidi bilgisi istemcilere iletilmez. stemciler ynlendirici ilan mesaj aldklar cihazn IPv6 adresini varsaylan a geidi olarak kaydederler.
IPv6 El Kitab
Sayfa 22 / 100
dhcp6s DHCP Sunucusu IPv6 alarnda DHCP sunucu olarak dhcp6s yazlm yaygn olarak kullanlmaktadr. Ayrca, Linux ve BSD sunucular zerinde DHCP Sunucu olarak kullanlmakta olan ISC DHCP uygulamas, IPv4n yan sra 4.1.0 srmnden itibaren IPv6 DHCP sunucu zelliini desteklemektedir. dhcp6s yaplandrma dosyas, /etc/dhcp6s.conf dosyasdr. 2001:db8:1:2::/64 neki iin rnek yaplandrma dosyas, aadaki gibidir:
interface eth0 { server-preference 255; renew-time 60; rebind-time 90; prefer-life-time 130; valid-life-time 200; allow rapid-commit; option dns_servers 2001:db8:1:2::1 ipv6.ulakbim.gov.tr; link AAA { range 2001:db8:1:2::1000 to 2001:db8:1:2::ffff/64; prefix 2001:db8:1:2::/64; }; };
MinRtrAdvInterval 180; MaxRtrAdvInterval 600; prefix 2001:db8:1:2::/64 { AdvOnLink on; AdvAutonomous off; AdvRouterAddr on; }; };
FreeBSD
/sbin/ifconfig fxp0 inet6 2001:db8:2:1::2/64 /sbin/route add -inet6 default 2001:db8:2:1::1
Linux
/sbin/ifconfig eth0 add 2001:db8:2:1::2/64 /sbin/route add --inet6 default gw 2001:db8:2:1::1
Windows XP Windows XP iletim sisteminde grafik arayz kullanlarak IPv6 adresi atamas yaplamamaktadr. Destek verilebilmesi iin grafik arayz ile a balants zellikleri altndan veya komut satrndan girilebilecek netsh interface ipv6 install komutu ile IPv6 destei yklenmeli, ardndan komut satr kullanlarak IPv6 adres ve varsaylan a geidi atama ilemi gerekletirilmelidir. rnekte yer alan Local Area Connection parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. Bu parametre yerine ayn komutun kts olan Arayz Numaras da kullanlabilir.
netsh interface ipv6 install netsh interface ipv6 set address Local Area Connection 2001:db8:2:1::1
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 26 / 100
Windows 7 / Vista Windows XP den farkl olarak, Windows 7 / Vista iletim sistemlerinde IPv6 destei kurulumda otomatik olarak gelmektedir. IPv6 ayarlar grafik arayz veya komut satr kullanlarak yaplabilmektedir. Komut satr kullanlmas durumunda kullanlacak komutlar aada verilmitir. rnekte yer alan Local Area Connection parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. Bu parametre yerine ayn komutun kts olan Arayz Numaras da kullanlabilir.
netsh interface ipv6 set address Local Area Connection 2001:db8:2:1::1
IPv6 El Kitab
Sayfa 27 / 100
Ynlendirme Protokolleri
Ynlendirme, farkl a blmleri arasnda paketlerin iletilmesi ilemlerinin btndr. Ynlendirme ilemi, ynlendirici cihazlar tarafndan yaplr. Ynlendiriciler, farkl alara ait ynlendirme bilgilerini ynlendirme tablolarnda tutar, kendilerine gelen bir paketin hedef adresini ynlendirme tablolarnda sorgulayarak, uygun rotay belirler ve paketi bir sonraki ynlendiriciye gnderirler. Bir IPv6 istemcisi, IPv6 andaki baka bir istemciye paket gndermek istedii zaman, ynlendirme tablosuna bakarak hangi arayzn ve a geidini kullanacana karar verir. Varsaylan a geidi, farkl bir ada yer alan ve ayr bir ynlendirme bilgisi bulunmayan tm paketlerin gnderildii ynlendiricinin adresidir. IPv6 ynlendirme tablosunda aadaki bilgiler yer alr: 1. Adres neki 2. Arayz (interface) 3. Bir sonraki adres 4. Ayn neke sahip birden fazla ynlendirme tanm iin ncelik deeri (preference value) 5. Ynlendirme bilgisinin yaam sresi 6. Ynlendirme bilgisinin yaynlanma bilgisi 7. Ynlendirme tipi Ynlendiriciler arasndaki ynlendirme bilgileri, her bir ynlendiriciye tek tek bilgilerin girilmesi eklinde statik olarak yaplabilecei gibi, dinamik olarak da yaplabilir. Ynlendiricilerin kendi aralarnda ynlendirme bilgilerini paylatklar protok oller, ynlendirme protokolleri olarak adlandrlr. Ynlendirme protokollerinin amac, adaki en iyi yolu bulmaktr. IETF tarafndan tanmlanm IPv6 ynlendirme protokollerinden RIPng (Routing Information Protocol next generation - RFC 2080), OSPFv3 (Open Shortest Path First - RFC 5340) IS-IS (Intermediate System to Intermediate System - RFC 5308) Cisco EIGRP for IPv6
i alarda kullanlan ynlendirme protokolleridir. D alar ile iletiim iin BGP4+ (Border Gateway Protocol with Multiprotocol Extens ions for IPv6 Inter-Domain Routing - RFC 2545) kullanlmaktadr. Ynlendiriciler zerinde IPv6 ayarlar, IPv4 ile ok benzer ekilde yaplr. Ynlendiricinin iletim sistemine ve reticisine bal olarak deien yaplandrmalara karn, temel admlar aadaki gibidir:
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 28 / 100
1. Ynlendirici de IPv6 ynlendirmenin etkinletirilmesi 2. Kullanlacak arayzde IPv6 etkinletirilmesi ve IPv6 adresinin girilmesi 3. Statik IPv6 ynlendirme satrlarnn girilmesi veya dinamik ynlendirme protokollerinin yaplandrlmas Farkl iletim sistemleri iin bu admlarn nasl tanmlanaca aada verilmitir.
Cisco IOS
Ynlendirmenin etkinletirilmesi ve IPv6 adresinin girilmesi:
ipv6 unicast-routing ! interface GigabitEthernet0/1 ipv6 address 2001:db8:2:1::1/125 ipv6 enable
OSPF yaplandrmas:
interface GigabitEthernet0/1 ipv6 address 2001:db8:2:1::1/125 ipv6 enable ipv6 ospf 111 area 0 ! ipv6 router ospf 111 router-id 0.0.0.1 area 0 range 2001:db8:2:1::/64
BGP yaplandrmas:
router bgp 1234 no bgp default ipv4-unicast neighbor 2001:db8::6 remote-as 2345 ! address-family ipv6 neighbor 2001:db8::6 activate network 2001:db8::/32 ! ipv6 route 2001:db8::/32 2001:db8:2:1::2
Statik ynlendirme:
ipv6 route 2001:db8::/32 2001:db8:2:1::2
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 29 / 100
IPv6 El Kitab
Sayfa 30 / 100
Bu blmde, baz temel servislerin IPv6 yaplandrmalar ve dikkat edilmesi gereken konular hakknda bilgi verilmitir.
IPv6 iin AAAA kayd girilmesi, ters zmlemelerde IPv4 iin kullanlan .in-addr.arpa uzants yerine .ip6.arpa uzants kullanlmas gerekmektedir. rnein, ipv6.net.tr alan ad iin, .tr hiyerarik yapsnda tanmlanm sunucu zerinde, iki alan (zone) dosyas bulunur:
zone "ipv6.net.tr" { type master; file "db.ipv6.net.tr"; }; // zone "0.1.0.0.8.9.a.0.1.0.0.2.ip6.arpa" { type master; file "db.2001:a98:10"; };
db.ipv6.net.tr dosyas ierisinde, www.ipv6.net.tr alan adna IPv4 ve IPv6 adreslerinin her ikisini tanmlayan ve www6.ipv6.net.tr adresini de ayn alan adna balayan aadaki satrlar bulunur:
www ; www6 IN IN IN A AAAA CNAME www 193.140.83.52 2001:a98:10::52
Ters zmleme olarak adlandrlan, IP adresine karlk alan ad tanmlanmas ise, uzun yazlmasnn haricinde IPv4 ile tamamen ayndr. Ters kaytlar girilir ken dikkat edilmesi gereken nemli bir husus, IPv6 adresinin bo alanlar dhil olmak zere eksiksiz olarak tersten yazlmas gerektiidir. rnein, 2001:a98:10::52 IPv6 adresinin uzun yazlm 2001:0A98:0010:0000:0000:0000:0000:0052dr. Bu durumda, 2001:a98:10 kaytlarnn tutulduu db.2001:a98 dosyas aadaki gibi olmaldr:
$ORIGIN 0.1.0.0.8.9.a.0.1.0.0.2.ip6.arpa. 2.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR
www.ipv6.net.tr.
Web Servisi
IPv6 ile web sayfalarn grntleyebilmek iin, web sunucusunun ve web taraycsnn IPv6 destekli olmas gerekmektedir. Web sunucularnn ve tarayclarn gncel srmleri, IPv6 desteklidir. Dikkat edilmesi gereken bir nokta, eriilmek istenilen alan ad iin IPv6 alan ad
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 32 / 100
kaytl ise, baz web tarayclarn ncelikle IPv6 adresine erimeyi denedikleri, eer eriilemez ise IPv4 adresinden erimeyi denedikleri konusudur. Bu sebeple, DNS sunucularnda alan ad kayd olarak IPv6 adresi de girilmi web sayfalarnn, IPv6 zerinden eriilebilir olmasna dikkat edilmeli, aksi takdirde kullanclarn yavalk veya eriememe gibi sorunlarla karlaabilecei unutulmamaldr. IPv6 web sayfalarna eriimde dikkat edilmesi gereken bir dier husus, taraycya alan ad yerine dorudan IP adresi yazlmak istenildiinde, IPv4 den farkl olarak, adresin keli parantez ierisinde yer almas gerektiidir:
http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/index.html
Web servisi, TCP 80 numaral port zerinden verilen bir servistir. ifreli srm ise TCP 443 numaral port zerinden eriilir. IPv6 zerinden web servisi verilebilmesi iin de, IPv6 adresinin 80 ve 443 portlarndan hizmet veren bir web sunucusu yazlm gerekmektedir. Dnyada en yaygn kullanlan web sunucusu yazlm olan Apache, srm 2 den itibaren IPv6 adresini eksiksiz desteklemektedir. Apache sunucusu varsaylan olarak eer sunucu zerinde IPv6 adresi tanmlanm ise, IPv6 adresi zerinden de servis vermeye balar. Apache yaplandrmasnda,
Listen 80
tanmnn yer almas, sunucunun zerinde tanml tm IP srm ve adreslerinden 80 numaral portu zerinden servis verilmesini salamaktadr. Bu durumda IPv4 balantlarn kabul eden IPv6 soketleri, IPv4 elemli IPv6 adresleri kullanrlar. Bu yaplandrma, BSD ailesinde yer alan iletim sistemlerinde, iletim sisteminin geneline uygulanan kurallar ile elitii iin soruna sebep olmaktadr. IPv4 ve IPv6 adreslerine gelen isteklerin, ayr soketler tarafndan kabul edilmesi iin, her iki ip protokol ayrca belirtilmelidir:
Listen 0.0.0.0:80 Listen [::]:80
Sunucunun sadece belirli bir IPv6 adresi zerinden servis vermesi isteniliyor ise, IPv4 yaplandrlmasndan farkl olarak adresin keli parantez ierisinde belirtilmesi gerekmektedir:
Listen [2001:db8:1::23]:80
Sunucunun sadece IPv4 zerinden servis vermesi isteniliyor ise, aadaki satr girilmelidir:
Listen 0.0.0.0:80
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 33 / 100
E-Posta Servisi
E-posta sunucularnn IPv6 destei, gncel srmlerinde yer almaktadr. Yaygn olarak kullanlan e-posta sunucular, postfix, sendmail, exim olarak sralanabilir. Postfix ana yaplandrma dosyas, genellikle /etc/postfix/main.cf dosyasdr. Bu dosya ierisinde yer alan inet_protocols ynergesi, postfix uygulamasnn hangi IP protokol ile alacan belirler. Bu ynergenin varsaylan deeri, sadece IPv4 almas eklinde olup, istee gre sadece IPv6nn veya her iki protokoln desteklenmesi iin bu dosya ierisinde aadaki deiikler yaplabilir: /etc/postfix/main.cf dosyas:
inet_protocols = ipv4 inet_protocols = all inet_protocols = ipv4, ipv6 inet_protocols = ipv6 (Varsaylan deer, sadece IPv4 ) (Sunucuda hangi arayzler tanml ise hepsi) (IPv4 ve IPv6) (sadece IPv6)
Ayrca, giden smtp mesajlamalarnda IPv6 adresi kullanm iin, main.cf dosyas ierisinde bulunan smtp_bind_address6 ynergesi gncellenmelidir: /etc/postfix/main.cf dosyas:
smtp_bind_address6 = 2001:db8:2:1::1
Sendmail varsaylan ayarlarnda IPv6 desteklemekte olup, ayarlar IPv4 ile ayndr. Sendmail kullanmnda dikkat edilmesi gereken husus, yaplandrma dosyalarna IPv6 adresleri tanmlanrken keli parantez yerine, IPv6: nekinin kullanlmas gerektiidir. rnek:
IPv6:2001:db8:2:1
FTP Servisi
Dosya transfer protokol olan FTP, 32 bitlik adreslere sahip IPv4 iin tasarlanm olmakla birlikte, RFC 2428 ile FTPnin IPv4 ve IPv6 ile alabilmesi iin ynergeler belirlenmitir. Bugn yaygn olarak kullanlan FTP sunucu yazlmlar, IPv6 adresini desteklemektedir. Proftp, yaygn olarak kullanlan dosya transfer protokol yazlmdr. Proftp yazlm varsaylan ayarlar, alt sunucu zerindeki tm IPv4 ve IPv6 adresleri zerinden FTP servisini vermeye ynelik hazrland iin, sunucunun zerinde IPv6 adresinin tanml olmas halinde
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 34 / 100
IPv6 adresi zerinden hizmet vermeye balayacaktr. Proftpnin IPv6 destei, ana yaplandrma dosyas olan proftpd.conf ierisinde yer almaktadr: /etc/proftpd/proftpd.conf dosyas:
# Set off to disable IPv6 support which is annoying on IPv4 only boxes. UseIPv6 on
Yaygn olarak kullanlan bir dier ftp sunucu yazlm olan vsftpd FTP sunucusu da kurulumla gelen varsaylan ayarlar ile IPv6 desteklemektedir. IPv6 destei iin, /etc/vsftpd/vsftpd.conf dosyas ieriinde aadaki satr yeralmaldr:
listen_ipv6=yes
Sunucunun sadece belirli bir IPv6 adresi zerinden servis vermesi isteniyor ise, adresin keli parantez ierisinde belirtilmesi gerekmektedir: /etc/ssh/sshd_config dosyas:
ListenAddress [2001:db8:1::23]:22
IPv6 El Kitab
Sayfa 35 / 100
OpenSSH sunucusunda, SFTP servisinin de verilmesi iin, sshd_config dosyas ierisinde, Subsystem sftp ynergesinin bulunmas gerekmektedir. /etc/ssh/sshd_config dosyas:
Subsystem sftp /usr/lib/openssh/sftp-server
OpenSSH sunucusunun sadece IPv6 zerinden gelen istekleri kabul etmesi, IPv4 isteklerini kabul etmemesi iin, sunucu balatlrken -6 parametresi kullanlr. Benzer ekilde, ssh istemcisinin, ssh servisine ulalmak istenilen alan adnn sadece IPv6 adresini denemesi isteniliyor ise, -6 parametresi kullanlr:
$ ssh -6 testuser@sshserver.ulakbim.gov.tr Warning: Permanently added the RSA host key for IP address '2001:db8:1::23' to the list of known hosts.
TCP_WRAPPER Destei
Sunucu zerinde verilen servislerin, yazlmlarn desteklemesi halinde eriim gvenlii iin kullanlan tcp_wrapper, servise eriimi denetlemek iin iki yntem uygulamaktadr: Kaynak adresine gre eriim denetlemesi Kullanclara gre eriim denetlemesi
tcp_wrapper eriim denetlemesi iin, ilgili servis yazlmnn tcp_wrapper destei ile derlenmi olmas gerekmektedir ki ou yazlm, tcp_wrapper destei ile derlenmi olarak gelmektedir. tcp_wrapper yaplandrmas, iki dosya zerinden yaplr: /etc/hosts.deny /etc/hosts.allow
Genel yaklam, hosts.deny dosyas iinde hereyi engelleyip, hosts.allow ierisinde eriim izinlerini vermek ynndedir. Her iki dosya ierisinde de, eriim denetlemesi olarak kaynak IP adresi kullanlmak istendiinde, IPv4 ve IPv6 adresleri girilebilmektedir. rnein, SSH servisinin eriim gvenlii iin kullanlan hosts.allow ve hosts.deny dosyalarnda, IPv4 adresi yaplandrmas gibi sunucuya balanacak IPv6 adresleri (keli parantez ierisinde) girilmelidir: /etc/hosts.allow dosyas:
sshd : [2001:db8:2:1::]/64 ftpd : 192.168.0.0/16 [2001:a98:1F::]/48 exim : ALL : allow
IPv6 El Kitab
Sayfa 36 / 100
IPv6 El Kitab
Sayfa 37 / 100
Bileenleri
IPv6 ile dolalabilirlik uygulamalarnn IETF tarafndan tanmlanan deimez paralar, ekil 13de gsterilmitir.
MN: Mobile Node kelimelerinin ksaltmasdr, gezgin istemciyi tanmlamaktadr. Bir baka deyile MN, balantdan veya adan bamsz olarak kulland ev IPv6 adresi ile ulalabilinen IPv6 istemcidir. CoA: Care-of-Address kelimelerinin ksaltmasdr. MN'nin yabanc alardan balanrken ald geici adresi tanmlar. HA: Home Agent kelimelerinin ksaltmasdr. MN'nin ev anda bulunan ve MN'nin sabit adresini yabanc ada iken almasn salayan servisi veren sunucudur. Genelde, ev andaki ynlendirici bu grevi stlenmektedir. CN: Correspondent Node kelimelerinin ksaltmasdr. MN'nin balant oturumunda ulamaya alt hedef IP adresine sahip sunucudur. IPv6 Mobility Header: MIPv6 haberleme paketlerini iermek zere tasarlanm IPv6 uzant baldr. Bu balk, MN, HA ve CN tarafndan, eletirme bilgisi iin kullanlmaktadr.
alma Yaps
IETF, RFC2460 ile IPv6 paket yapsn tanmlamtr. IPv6 paket yapsnda ayrlm olan uzatma balklar kullanlarak MN, HA ve CN arasndaki mesajlama, adres atama ve ynlendirme amal kullanlacak tm bilgiler tanmlanabilmektedir. MIPv6 alma yapsna gre, gezgin istemci MN, bir yabanc aa gittiinde srasyla aadaki ilemler gerekleir:
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 38 / 100
1. MN, bulunduu yabanc adan, geici adresini (CoA) alr ve ev anda yeralan HA'ya bilgi gnderir. 2. CN, MN'ye gnderecei paketi sabit adresine gnderir. 3. HA, CN'den kendisine gelen paketleri MN'nin CoA adresine gnderir. 4. MN, cevaplar CN'ye dorudan gnderir. Bu haberleme, HA'nn paketleri ilk defa MN'ye gndermesi srasnda yaplr. Ardndan MN, CN'ye kendi CoA'sn gnderir ve CN ile MN, ev ana uramadan dorudan grmeye balarlar. Eletirme nbellei (Bindings Cache) Gezgin istemcinin orijinal IPv6 adresi ile misafir olduu ada edindii geici adres CoA eletirilir. Gezgin istemcinin pil bitmesi, kapsama alan dna klmas gibi geici sebeplerden dolay a eriiminin kesilmesi durumunda eletirme tablosunun silinerek yeni batan oluturulmamas iin, yaam sresi belirlenerek ynlendiricilerin nbelleklerinde tutulur. Eletirme tablosunda, Ev Adresi, CoA, Yaam Sresi, HA bilgilerinin yansra, arayz bilgisi ve baz istatistikler de yer alabilmektedir. MIPv6 destekli ynlendiriciler zerinde bir IPv6 paketi ynlendirilirken, hedef IPv6 adresi iin ncelikle eletirme tablosunun Ev Adresi ksmna baklr. Tabloda eletirme olmaz ise IPv6 ynlendirme tablolarna gre paket ynlendirmesi yaplr. Eletirme bulunur ise, paket enkapsle edilerek CoA ya ynlendirilir. Bu sayede gezgin istemciye uygun ynlendirme (optimal routing) salanr. MIPv6nn salkl almas iin nemli bir bileen olan eletirme tablolarnn tutarll iin MN tarafndan gnderilen eletirme gncelleme, HA ve CN tarafndan MNye gnderilen eletirme alnd bilgisi ve eletirme istei ilemlerini kullanr.
MIPv6 Uygulamas
Dolalabilirlik uygulamas, ekil 14de verilen bileenlerden oluur: En az bir ev gzlemcisi (HA) En az bir gezgin istemci (MN) En az bir kar sunucu (CN) Birbiriyle balants olan en az iki IPv6 a (HN ve RN)
IPv6 El Kitab
Sayfa 39 / 100
IPv6 El Kitab
Sayfa 40 / 100
Ynlendirici zerinde tanml genel MIPv6 tanmlarn grmek iin, show ipv6 mobile globals komutu kullanlr:
HomeNetwork#show ipv6 mobile globals Mobile IPv6 Global Settings: 1 Home Agent service on following interfaces: FastEthernet0/1 Bindings: Maximum number is unlimited. 1 bindings are in use 1 bindings peak Binding lifetime permitted is 262140 seconds Recommended refresh time is 300 seconds HomeNetwork#
Gezgin istemcinin uzak aa gitmesi ile HAya CoA adresi bildirilir ve bu adres eletirme tablosuna yazlr. Eletirme tablosunu grntlemek iin, show ipv6 mobile binding komutu kullanlr. Gezgin istemci ile HA arasnda oluturulan tnel ve paket alveriine dair trafik bilgisi, show ipv6 mobile traffic komutu ile gzlenebilir.
Linux Ynlendirici PC-Ynlendirici kullanm durumunda da IPv6 dolalabilirlik zellikleri kullanlabilmektedir. Bu blmde anlatlan ayarlar, Linux iletim sistemi Debian srm zerinde gerekletirilmi olup, ilgili paketlerin kurulmas ile dier Linux srmlerine de kurulum yaplabilir. Kurulum iin paket yneticisine MIPv6 paketlerinin yklenmesi iin gerekli depo sunucular tanmlanmaldr. /etc/apt/sources.list dosyasna aadaki iki kaynak eklenmelidir.
deb http://software.nautilus6.org/packages/debian sid deb-src http://software.nautilus6.org/packages/debian sid
IPv6 El Kitab
Sayfa 41 / 100
Ayrca iletim sisteminin ynlendirme yapabilmesi iin gerekli olan kernel ayarlar (/etc/sysctl.conf dosyas, net.ipv6.ip_forward=1) ile statik veya dinamik ynlendirmeler girilmelidir. Bu blmde anlatlan ayarlar yapldktan sonra, radvd ve mip6d programlar ile Linux ynlendirici zerinde ev gzlemcisi HA altrlr:
radvd C /etc/radvd.conf mip6d c /etc/mip6d.conf
Gezgin stemci Ayarlar Bu blmde, iletim sistemlerinin gezgin istemci destei ve yaplandrmalar anlatlmaktadr. letim sistemleri iinde Linux/Unix ve trevlerinin MIPv6 desteinin eitli uygulamalar ile birlikte verilmesi sebebiyle, IPv6-GO ortamnda da kullanlan Linux iletim sistemi yaplandrmas detayl olarak anlatlmtr.
IPv6 El Kitab
Sayfa 42 / 100
Linux/Unix Linux ynlendirici blmnde anlatld gibi iletim sistemine MIPv6 destei verilen gezgin istemcinin, sadece mip6d.conf dosyasnda gerekli deiiklikler yaplmas yeterlidir. Yaplacak tanmlarda MN fonksiyonunun kullanlaca belirtilmeli, HA adresi ve ev adresleri aadaki rnekte gsterildii gibi ilgili arayz tanm altna girilmelidir. H4LINUX Gezgin istemci mip6d.conf dosyas
## What function do we want this to be? NodeConfig MN; ## Interface Interface eth0; ## Disable IPsec configuration UseMnHaIPsec disabled; ## Set Debug DebugLevel 10; ## Key Management Mobility Capability KeyMngMobCapability disabled; MnHomeLink eth0 { HomeAgentAddress 2001:a98:13:fefe::1; HomeAddress 2001:a98:13:fefe:20d:61ff:fe3f:9df3/64; }
Yukarda verilen ayarlar yapldktan sonra mip6d program ile Linux gezgin istemci zerinde MIPv6 altrlr:
mip6d c /etc/mip6d.conf
MacOSX MacOSX iin MIPv6 destei iletim sistem ierisinde yer almamaktadr. Ancak MIPv6 destei KAME projesi altnda SHISA Mobile IPv6 olarak Darwin platformunda bulunmaktadr. Darwin ile MIPv6 desteinin verilebilmesi iin kernelin MIPv6 destei ile yeniden yaplandrlmas ve derlenmesi gerekmektedir.
Windows Microsoft Windows XP ve Windows Server 2003 ile beraber gelen IPv6 yapsnda, MIPv6 destei sadece CN olarak mevcut iken bu iletim sistemleri MN veya HA destei bulundurmamaktadr. Yeni nesil Microsoft iletim sistemleri olan Windows Vista ve Windows 7 de ise MIPv6 destei tamamen kaldrlmtr. Dierleri Bu almann yapld tarihte, mobil telefon iletim sistem leri olan Windows Mobile, Apple iPhone, Blackberry ve Symbian iletim sistemlerinde MIPv6 destei bulunamamtr.
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 43 / 100
oklu Gnderim
IPv6 El Kitab
Sayfa 44 / 100
MLD mesajlar ICMPv6 paketleri araclyla iletilmektedir. MLDv1 protokol ICMPv6 130, 131 ve 132 mesaj tiplerini kullanmakta iken, MLDv2 protokolnde 131 ve 132 geriye dnk uyumluk iin kullanlmakta olup ayrca ICMPv6 tip 132nin yerine de tip 143 kullanmaktadr. MLDv1 protokoln kullanan ynlendiriciler FF02::1 oklu gnderim adresine periyodik olarak ICMPv6 130 mesajlar gndererek dahil olunmak istenilen gruplar sorgularlar. stemciler katlmak istedikleri her bir oklu gnderim grubu iin ICMPv6 131 mesaj gnderirler. IPv6da SSM servisinin kullanlabilmesi iin ynlendirici ve istemcinin MLDv2 protokoln desteklemesi gerekmektedir.
Servis Modelleri
Kayna Tanmsz oklu Gnderim (Any Source Multicast, ASM) Bu servis modelinde oklu gnderim grubuna (G) herhangi bir kaynak veri gnderebilir, kaynan veri gndermesi iin grubun oklu gnderim adresini bilmesi yeterlidir. Benzer ekilde gruptan veri almak isteyen istemcilerin veriyi alabilmeleri iin sadece grubun adresini bilmeleri yeterlidir. Bu servis modelinde, birden fazla istemci ayn anda bir gruba veri gnderebilir ve alabilir. Alcnn veriyi almak iin veriyi gnderenin kaynak IP adresini bilmesine gerek yoktur. Kayna Tanml oklu Gnderim (Source Specific Multicast, SSM) RFC 4607de tanmlanan kayna tanml oklu gnderim modelinde, istemcinin gnderilen paketi alabilmesi iin gndericinin kaynan IP adresini bilmesi gerekir. Bu modelde oklu gnderim kanal, gruba (G) gnderen farkl kaynaklar (K1, K2) ifti olarak tanmlanr. Ayn grup adresi iin (K1,G), (K2, G) farkl kanallardr.
Ynlendirme
Hem IPv4'de hem de IPv6'da oklu gnderim kontrol paketleri tekil gnderim IP ynlendirme tablosuna gre ynlendirilmekte ve bu amala OSPF, IS -IS ya da MBGP gibi protokoller kullanlabilmektedir. Bunun yan sra, her bir oklu gnderim yayn iin sunucu/randevu noktas ve istemciler arasndaki aa yapy oluturmak zere bir de oklu gnderim ynlendirme protokolne ihtiya duyulmaktadr. Bu konuda standart olarak kabul grm olan PIM protokolnn IPv6 iin PIM -SM (PIM Sparse Mode) ve PIM-SSM (PIM Single Source Multicast) olmak zere iki varyant bulunmaktadr:
IPv6 El Kitab
Sayfa 45 / 100
PIM Dense Mode (PIM-DM) Bu ynlendirme modelinde oklu gnderim adresine bir paket gnderildiinde ynlendirici zerindeki tm a arabirimlerinden paketi gnderir (flood). Paketin gnderildii alardan gruba dhil olmak iin herhangi bir katlm istei gelmez ise, bu an bal olduu a arabirimden paket gnderilmesi katlm istei gelinceye kadar kesilir (prune). PIM-DM modelin efektif olarak kullanlabilmesi iin gnderici ve istemci arasndaki hop says fazla olamamal ve ynlendiriciye bal tm alarda gndericinin grup adresine gnderdii paketleri almak isteyen istemciler bulunmaldr. Bu nedenle, deneysel IPv6 PIM -DM uygulamalar bulunmakla birlikte uygulamada oklu gnderim ynlendirme protokol olarak PIM-SM kullanlmaktadr. PIM Sparse-Dense Mode (PIM-SM) PIM-SM protokol birden fazla oklu gnderim sunucusu ve istemcisi iin bir buluma noktas tekil eden bir Randevu Noktas (Randevouz Point, RP) ile istemciler arasnda paylaml bir aa yaps oluturulmasn salar. Sunucular yaynlarn bu RP'ye gndererek, paylaml aa yapda yer alan btn istemcilere datlmasn salayabilirler. Aa yapnn "paylaml" olarak anlmasnn sebebi, birden fazla sunucunun ayn grup adresine ulamak iin ayn RP ve aa yapy kullanabilir olmasdr. Bu nedenle PIM -SM, oklu video konferanslar ve P2P oyunlar gibi birden fazla sunucu ve birden fazla istemci ieren ASM (Any Source Multicast) modeli yaplar iin kullanlan bir protokoldr. te yandan PIM-SSM protokolnde tek bir sunucu sz konusu olduu iin RP kavram yer almamaktadr. PIM-SSM, istemcilerden ald IPv6 oklu gnderim grup adresi bilgisi ile IPv6 tekil gnderim gnderici adresini kullanarak, her bir sunucu iin ayr bir aa yaps oluturur.
IPsec
Adaki iletiimde gvenliin salanmas iin gerekli kriterler; gizlilik (confidentiality), btnlk (integrity), dorulama (authentication) olmak zere ana balkta incelenebilir. Gizlilik, gvenli a iletiiminde bir noktadan baka bir noktaya gnderilen paketlerin istenmeyen kiiler tarafndan okunmasnn engellenmesi blmn kapsamaktadr. A iletiiminde gizlilik simetrik (AES, DES vb.) veya asimetrik (RSA vb.) ifreleme algoritmalar ieren kripto sistemler kullanlarak salanabilmektedir. Btnlk, gnderilen paketin ieriinin deitirilmeden hedefe ulatnn dorulanmasdr. Paket btnlnn korunup korunmad zet fonksiyonlar aracl ile kontrol edilmektedir. Ortak anahtar kullanmna dayanan HMAC algoritmas ile btnlk kontrol gerekletirilebilir. Btnlk kontrol iin bir dier yntem ise ak anahtar altyapsna dayanan elektronik imza yntemidir. Her iki yntemde de zet algoritmalar kullanlarak
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 46 / 100
mesajn zet deeri kaynak ve hedef noktalarnda hesaplanmakta ve karlatrlmaktadr. Dorulama; paketin, gerekten gnderildii iddia edilen kaynak tarafndan gnderildiinin dorulanmasdr. stemcilerin bir aa uzaktan eriiminin veya iki an birbiri arasnda iletiiminin gven li salanabilmesi iin kiralk hatlar ve benzeri zmlerden daha az maliyetli ve daha az yaplandrma ihtiyac olan VPN (Virtual Private Network - Sanal zel A) teknolojisi tercih edilmektedir. Yaplan balant ekline gre, Uzaktan Eriim Sanal zel A (Remote Access VPN) ve Alandan Alana Sanal zel A (Site-to-Site VPN) olmak zere iki tip VPN teknolojisi bulunmaktadr. Uzaktan Eriim Sanal zel A; genel kullanma ak ada yer alan istemcinin, uzak aa gvenli bir ekilde balant gerekletirmesini salamaktadr. Alandan Alana Sanal zel A ise iki a arasnda mevcut internet altyaps kullanlarak, adanm hat kullanmna ihtiya duyulmadan, gvenli balant kurulmasn salamaktadr. VPN ile gvenli a iletiimi eitli protokoller ve uygulamalar kullanlarak an farkl katmanlarnda gerekletirilebilmektedir. Bu uygulamalar arasnda yer alan IPsec OSI a (network) katmannda, TLS/SSL ve SSH ise OSI iletim (transport) ve uygulama (application) katmanlarnda almaktadr. IPsec a katmannda alt iin adaki herhangi bir trafiin gvenliinin salanmas iin kullanlabilmektedir. letim ve uygulama katmanlarnda alan TLS/SSL ve SSH gibi protokollerin kullanlabilmesi iin, ilgili uygulamann bu protokolleri desteklemesi gerekmektedir.
dorulanmakta ama yeni retilen paket bal dorulanmamaktadr. AH ise her iki kipte de btn paketi dorulamaktadr. ESP ek bal sadece -ifreleme veya sadece-dorulama yapacak ekilde kullanlabilir. Ancak dorulama yaplmadan ifreleme gvenli olmad iin nerilmemektedir. ESP ve AH ek balklarnn birlikte kullanlmas ile ilgili daha detayl bilgi v e gvenlik nerileri RFC 2406da yer almaktadr. IPv6 protokol ile IPsec desteinin getirilmi olmas, IPv6 alarnn tamamnda IPsec kullanlaca ynnde yanl bir ngr oluturmaktadr. Bu yanl ngr ile IPv6 alarnn IPv4 alarndan daha gvenli olaca ne srlmektedir. IPsec destei zorunlu olmasna ramen tm IPv6 alarnda IPsec kullanm , ynetilebilirlik ve cihazlarn ilem gc asndan mmkn gzkmemektedir. IPsec kullanm ortadaki adam ve paket koklama saldrlarna kar a gvenli hale getirmektedir. Ancak ESP ve AH kullanlan bir ada ynetilebilirlik (paket tabanl politika uygulanamamas, an izlenememesi, adaki problemlerin tespit edilememesi, giderilememesi) ve gvenlik (derin paket incelemesinin mmkn olmamas, ifrelenmi pakete anti virs taramas yaplamamas) problemleri oluturmaktadr. Saldrnn IPs ec kullanan bir istemciden kaynaklanmas da mmkndr (trojan, solucan vb. zararl yazlmlar). IPsec ada iki yntem kullanlarak uygulanabilir. Yntemlerden ilki olan transport kipinde IPsec kullanarak iletiim salayan u noktalar birbiriyle dorudan balantldr. Bu yntemde orijinal IPv6 bal ifrelenmedii veya deitirilmedii iin ynlendirme kurallarnda bir deiiklik olmaz. ESP, paket bal dndaki blm ifrelemekte ve/veya dorulamaktadr. AH ise IPv6 bal dhil tm paketi dorulamaktadr. Paket balnda yer alan IP adresleri ve port numaralar deitirilirse paket btnlk deeri deieceinden dorulama gerekleemez. Transport kipinde ESP ve AH kullanm paket rnekleri srasyla ekil 15 ve ekil 16da verilmitir.
Tnel kipi, IPsec uygulamasnda ikinci yntemdir. Tnel kipinde istemciden istemciye yolun bir blmnde yer alan iki a cihaz arasnda tnel oluturulur. Arasnda tnel oluturulan cihazlar gvenlik a geidi (security gateway) olarak adlandrlmaktadr. Bu kipte IP paketi
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 48 / 100
yeni bir IP bal oluturularak sarmalanr. ESP tnel kipinde kullanldnda yeni bir IP bal oluturulur. Orijinal IP bal ifrelenen ksmda kalr ve yeni oluturulan balk ile sarmalanr. AH tnel kipinde kullanldnda ise orijinal balk hem sarmalanm pakette, hem de sarmalayan pakette kullanlr. Bu durumda AH tm paket iin dorulama gerekletirir. Tnel kipinde ESP ve AH kullanm paket rnekleri srasyla ekil 17 ve ekil 18 de verilmitir.
IPv6 El Kitab
Sayfa 49 / 100
IPv6 El Kitab
Sayfa 50 / 100
ekil 20da yer alan rnek a yapsnda grld zere ikili yn yntemini kullanan istemci A; IPv4 istemci C ile IPv4 protokol zerinden, IPv6 istemci D ile IPv6 protokol zerinden haberleebilmektedir.
kili Yn Alarda IP Srmnn Seimi kili yn yntemini kullanan alarda DNS sunucular IP kaytlar iin A (IPv4) ve AAAA (IPv6) kayd tutmaktadr. Bu nedenle DNS sunucular istemcilerin alan adlar iin yapt sorgulara hem IPv4 hem de IPv6 adres bilgisi dnmektedir. A cihazlarna ikili yn destei verilmesi durumunda varsaylan iletiim protokol IPv6dr. Bu nedenle ikili yn destekli istemciler, herhangi bir adrese balanmak istediklerinde balanlan adrese ait IPv6 alan ad kaydnn bulunmas durumunda balant IPv6 zerinden gerekletirilmeye allr. IPv6 alan adnn bulunamamas veya IPv6 zerinden balanlamamas durumunda sunucuya IPv4 zerinden balanlr.
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 51 / 100
kili Yn Bileenleri
kili Yn stemci kili yn istemci, hem IPv4, hem de IPv6 adresine sahiptir. Bunun iin istemcinin a katmannda hem IPv4 hem de IPv6 destei bulunmas gereklidir. Windows Vista, Windows 7, FreeBSD, Debian, Ubuntu iletim siste mlerinde iki protokol destei varsaylan olarak gelmektedir. FreeBSDde IPv6 desteini aktif hale getirmek i in ipv6_enable=YES satr /etc/rc.conf dosyasna eklenmelidir. Windows XP SP2 ve sonraki srmlerinde IPv6 desteini aktif hale getirmek iin netsh interface ipv6 install komutu kullanlmaldr. kili yn istemcilerde ynlendirme her iki protokol iin ayr ayr ayarlanmaldr. Farkl iletim sistemleri iin IP adresi atama ve varsaylan ynlendirme ile ilgili ayarlar ilerleyen blmlerde verilmitir. kili Yn Ynlendirici kili yn ynlendiriciler hem IPv4 ana hem de IPv6 ana balant salamaktadr. kili yn ynlendiricilerde her iki protokoln ayn anda almas nedeniyle, gvenlik ve ynetim asndan baz hususlara dikkat edilmelidir. kili yn ynlendiriciler her iki protokol iin de gncel ynlendirme tablolarn oluturacak ekilde yaplandrlmaldr. Ayn zamanda her iki protokol iin de gvenlik kurallar oluturulmal ve gncellenmelidir. kili yn yaplandrma rnekleri ilerleyen blmlerde verilmitir.
kili Yn Yaplandrmas
Cisco IOS Cisco IOS iin IPv4 ve IPv6 adres yaplandrmalar aada verilmitir. Bu yaplandrmalara ek olarak IPv4 ve IPv6 ynlendirme bilgisi statik olarak girilebilir veya ynlendirme protokollerinden biri kullanlabilir.
interface Vlan26 ip address 172.16.30.17 255.255.255.248 ipv6 address 2001:db8:1::6/125 ipv6 enable !
IPv6 El Kitab
Sayfa 52 / 100
FreeBSD FreeBSD iletim sistemine IPv4 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig fxp0 inet 172.16.30.211 netmask 255.255.255.248 /sbin/route add default 172.16.30.209
FreeBSD iletim sistemine IPv6 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig fxp0 inet6 2001:db8:1:1::2/64 /sbin/route add -inet6 default 2001:db8:1:1::1
Linux Linux iletim sistemine IPv4 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig eth0 inet 172.16.30.5 netmask 255.255.255.0 /sbin/route add default gw 172.16.30.1
Linux iletim sistemine IPv6 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig eth0 add 2001:db8:1:1::3/64 /sbin/route add --inet6 default gw 2001:db8:1:1::1
Windows XP Windows XP iletim sistemine grafik arayz kullanlarak A Balantlarm balndan IPv4 adres ve varsaylan a geidi ayarlar yaplabilir. Komut satr kullanlarak ise aada verilen komut kullanlarak IPv4 adres ve varsaylan a geidi atama ilemi gerekletirilebilir.
netsh interface ip set address "Local Area Connection" static 192.168.0.2 255.255.255.0 192.168.0.1
Windows XP iletim sisteminde, ilk kurulumda IPv6 destei yer almamaktadr. IPv6 desteinin kullanlabilmesi grafik arayz kullanlarak A Balantlarm balnda yer alan ilgili a balants zelliklerinden yklenebilmektedir. Bir baka yntem ise komut satrndan netsh interface ipv6 install komutu altrlarak IPv6nn aktif hale getirilmesidir. IPv6 yaplandrlmas komut satrnda netsh interface ipv6 add address InterfaceNameOrIndex IPv6Address
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 53 / 100
komutu kullanlarak yaplabilmektedir. InterfaceNameOrIndex parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. IPv6 adres ve varsaylan a geidi yaplandrlmasnn komut satrndan yaplabilmesi iin gerekli komutlar srasyla aada verilmitir.
netsh interface ipv6 install netsh interface ipv6 set address Local Area Connection 2001:db8:1:dede::23 netsh interface ipv6 add route ::/ "Local Area Connection"
Windows 7 / Vista Windows XP den farkl olarak, Windows 7 / Vista iletim sistemlerinde IPv6 destei kurulumda otomatik olarak gelmektedir. IPv4/IPv6 ayarlar grafik arayz veya komut satrnda netsh interface ipv6 add address InterfaceNameOrIndex IPv6Address komutu kullanlarak yaplabilmektedir. InterfaceNameOrIndex parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. IPv4/IPv6 adres ve varsaylan a geidi yaplandrlmas komut satrndan yaplabilmesi iin gerekli komutlar srasyla aada verilmitir.
netsh interface ip set address "Local Area Connection" static 192.168.0.2 255.255.255.0 192.168.0.1 netsh interface ipv6 set address Local Area Connection 2001:db8:1:dede::23 netsh interface ipv6 add route ::/ "Local Area Connection"
IPv6 El Kitab
Sayfa 54 / 100
6to4 gei ynteminde kullanlan adres yaps ekil 21de verilmitir. Bu adres yapsnda ilk 16 bit, 6to4 neki (2002) olarak belirlenmitir. 17. ve 32. bitler arasnda, kullanlan 6to4 ynlendiricinin IPv4 adresinin onaltlk dzende gsterimi (IPV4ADDRR) yer almaktadr.
6to4 gei ynteminin avantaj ve dezavantajlar aada zetlenmitir. Avantajlar: Kurulan tnelin kullanm geerli oturum sonlandnda biter. 6to4 yntemi kullanan ve ynlendirici ilanlarn kabul ederek otomatik ayarlanabilen bir istemci zerinde ek herhangi bir ayar yapmaya gerek yoktur. 6to4 tnelleri dinamik olduu iin servis salayc tarafnda nakledici ynlendirici yaplandrlmas, birden fazla istemcinin bu hizmeti kullanmas iin yeterlidir.
Dezavantajlar: NAT arkasnda kalan istemciler, NAT cihaz ile 6to4 ynlendirici ayn cihaz deilse, bu yntemi kullanamaz. 6to4 a ierisinde /48 adres blou kullanlmaktadr. Bir 6to4 anda daha fazla adres kullanlamaz. Servis salayclar ok noktadan tek noktaya alan dinamik tnellerden geen trafii takip etmekte zorlanabilir. 6to4 IPv6 adres neki, geerli IPv4 adresinden tretilmektedir. Bu nedenle yaln IPv6 kullanmna geildiinde an yeniden adreslenmesi gerekmektedir.
6to4 ynlendiricinin 6to4 ana bal arayzne 2002::/16 nekine sahip 6to4 adresi atanmaldr. Bu adres 2002:IPV4ADDRR::/48 nekini iermektedir. Bu arayz ile 6to4 istemcilerin IPv6 adresi alrken kullanacaklar nek 6to4 ana duyurulmaktadr. rnein; 6to4 ynlendiricinin IPv4 arayznde 172.16.30.193 adresi kullanlmakta ise bu adresin onaltlk dzende gsterimi ac10:1ec1 eklindedir. Alt alan a ekinin baba olduu durumda 6to4 arayznden duyurulacak nek 2002:ac10:1ec1:baba::/64 eklinde olacaktr. NOT: 6to4 a kurabilmek iin IPv4 ana eriebilen ve kresel IPv4 adresine sahip bir ynlendirici kullanlmaldr. NAT arkasnda yer alan ve sanal IP adresine sahip bir bilgisayar, eer protokol 41 o bilgisayara ynlendirilmise bu yntemi kullanabilir. Bu durumda tek bir istemci kullanlabilir. 6to4 istemci 6to4 istemci, 6to4 ynlendirici tarafndan duyurulan 2002:IPV4ADDRR:SUBNETID::/64 nekine sahip IPv6 adresini oluturur ve kullanr. 6to4 istemci aa balanrken a adresini kendisi oluturur ve varsaylan ynlendirici adresini de ynlendirici ilan ile otomatik olarak alr. 6to4 anda, istemci zerinde herhangi bir sarmalama veya sarmalama ama ilemi yaplmamaktadr. 6to4 istemci/ynlendirici Bir ada hem 6to4 istemci hem de 6to4 ynlendirici gibi alan cihazlar da bulunabilir. Windows Vista iletim sistemi 6to4 istemci uygulamas istemci/ynlendirici uygulamasna rnek olarak verilebilir. 6to4 istemci/ynlendirici cihazlar 6to4 istemcilerinden farkl olarak sarmalama ve sarmalama ama ilemleri kendi stlerinde gerekletirirler. Baka bir deyile tnel 6to4 istemci/ynlendirici ile 6to4 nakledici ynlendirici arasnda kurulmaktadr. 6to4 nakledici ynlendirici 6to4 nakledici ynlendirici, 6to4 ve IPv6 alar arasndaki iletiim salamak iin kullanlr. 6to4 nakledici ynlendiricilerde bir adet 6to4 adresine sahip arayz ve bir adet IPv6 adresine sahip arayz bulunmaldr. Nakledici/ynlendirici kullanm ile ilgili tanmlar RFC 3068de verilmitir. RFC 3068 en yakn nakledici ynlendiricinin bulunabilmesi iin IPv4 herhang i birine gnderim (anycast) adresi olarak 192.88.99.1 adresinin kullanlmasn nermektedir. 192.88.99.1 herhangi birine gnderim adresinin 6to4 nakledici ynlendirici adresi olarak kullanlmas ile 6to4 ynlendiricilerin kendilerine a zerinden en yakn 6to4 nakledici ynlendiricinin adresini bulmas amalanmtr. En yakn 6to4 nakledici iletim sistemine gre traceroute ya da tracert komutu ile tespit edilebilir.
IPv6 El Kitab
Sayfa 56 / 100
[root@R1BSD ~]# traceroute 192.88.99.1 traceroute to 192.88.99.1 (192.88.99.1), 64 hops max, 40 byte packets 1 172.16.30.17 (172.16.30.17) 0.726 ms 1.827 ms 1.878 ms 2 172.16.0.157 (172.16.0.157) 0.179 ms 0.157 ms 0.181 ms 3 172.16.0.14 (172.16.0.14) 0.590 ms 0.563 ms 0.480 ms 4 172.16.10.250 (172.16.10.250) 6.676 ms 6.746 ms 6.774 ms 5 62.40.125.153 (62.40.125.153) 17.256 ms 17.203 ms 17.157 ms 6 62.40.112.193 (62.40.112.193) 29.942 ms 29.899 ms 29.930 ms 7 62.40.112.41 (62.40.112.41) 37.626 ms 37.580 ms 37.627 ms 8 62.40.112.38 (62.40.112.38) 45.316 ms 45.470 ms 45.418 ms 9 62.40.124.34 (62.40.124.34) 47.410 ms 45.773 ms 45.816 ms 10 188.1.145.197 (188.1.145.197) 49.306 ms 49.764 ms 49.210 ms 11 188.1.145.166 (188.1.145.166) 49.413 ms * 49.827 ms
ekil 22de iki 6to4 ann haberlemesi rnek a yaps zerinden gsterilmitir. Bu a yapsnda farkl 6to4 alarnda yer alan 6to4 istemcileri A ve Dnin, 6to4 ynlendiriciler B ve C araclyla IPv4 a zerinden haberlemesinde gerekleen aamalar aada aklanmtr. A , Bnin 6to4 arayznden gnderdii ynlendirici ilan ile 2002::/16 nekine sahip IPv6 adresi ve Bnin 6to4 adresini alr. A, oluturduu IPv6 paketini Bye iletir. 6to4 arayznden IPv6 paketini alan B, IPv6 var adresinden, IPv4 var adresini karr. IPv6 paketini IPv4 paketine sarmalar ve sarmalanm paketi IPv4 arayzn kullanarak IPv4 ana gnderir. Sarmalanm paketi alan C paketi aar. IPv6 paketini, 6to4 arayznden 6to4 ana gnderir. D ald IPv6 paketini iler ve ayn yolu kullanarak pakete cevap verir.
IPv6 El Kitab
Sayfa 57 / 100
6to4 ann IPv6 a ile haberlemesi ekil 23de verilen rnek a yapsnda; Ann (6to4 istemci), D (IPv6 istemci) ile haberlemesi gsterilmitir. Bu haberlemede IPv6 paketinin IPv4 paketine sarmalanmas ve IPv4 a zerinden Cye (6to4 nakledici ynlendirici) iletilmesini, B (6to4 ynlendirici) salamaktadr. IPv4 paketine sarmalanm IPv6 paketinin sarmalamasnn almasn ve IPv6 paketinin IPv6 ana iletilmesi C (nakledici ynlendirici) dmnde gereklemektedir.
Haberleme esnasnda gerekleen admlar aada detayl olarak aklanmtr. A , Bnin 6to4 arayznden gnderdii ynlendirici ilan ile 2002::/16 nekine sahip IPv6 adresi ve Bnin 6to4 adresini alr. Oluturduu IPv6 paketini Bye iletir. 6to4 arayznden IPv6 paketini alan B, 192.88.99.1 adresini kullanarak en yakn nakledici ynlendiricinin (Cnin) IPv4 adresini renir. Tnelin biti noktas olarak bu IPv4 adresini kullanr. Baka bir deyile IPv6 paketini sarmalad IPv4 paket balndaki var IPv4 adresi, Cnin IPv4 adresidir. IPv4 arayznden sarmalanm paketi alan C, paketin sarmalamasn aar. IPv6 paketini, IPv6 arayzn kullanarak IPv6 ana gnderir. D ald IPv6 paketini iler. Cevab kendisine en yakn nakledici ynlendirici ( E ) zerinden gnderir. En yakn nakledici ynlendirici, paketin gelirken zerinden getii nakledici ynlendirici olmayabilir.
6to4 istemci/ynlendirici cihazlarn 6to4 ve IPv6 alar ile haberlemesi 6to4 istemci/ynlendirici cihazlarnn da 6to4 alar ve IPv6 alar ile haberlemesi 6to4 istemcilerin haberlemesine benzer ekilde gereklemektedir. 6to4 alarnn 6to4 ve IPv6 alar ile haberlemesi durumlarndan farkl olarak sarmalama ve sarmalama ama ilemleri 6to4 ynlendirici yerine, 6to4 istemci/ynlendirici zerinde gerekletirilmektedir.
IPv6 El Kitab
Sayfa 58 / 100
6to4 Yaplandrmas
Bu blmde IPv4 balants bulunan ularn 6to4 yntemini kullanarak dier 6to4 alarna ve IPv6 alarna balanmalar iin yaplandrma bilgileri yer almaktadr. FreeBSD FreeBSD iletim sistemi varsaylan ayarlaryla ynlendirici ilanlarn kabul etmemektedir. 6to4 ana yerletirilen FreeBSD istemcinin, otomatik 6to4 adresi almas iin, 6to4 ynlendiricinin duyurduu ynlendirici ilann kabul etmesi gerekmektedir. FreeBSD iletim sisteminin ynlendirici ilanlarn kabul etmesi iin gerekli komut aada verilmitir.
sysctl w net.inet.ip6.accept_rtadv=1
IPv4 anda yer alan, kresel IPv4 adresine sahip FreeBSD istemcinin 6to4 yntemini kullanarak IPv6 ana balanabilmesi iin istemci/ynlendirici olarak ayarlanmas gerekmektedir. Bu, FreeBSD zerinde tanmlanan tnel arayz ile IPv4 paketine sarmalanm IPv6 paketlerinin 6to4 nakledici ynlendirici zerinden IPv6 ana iletilmesi ile gerekletirilmektedir. FreeBSD iletim sisteminde tnel kurulumu iin komut rnei aada yer almaktadr. Bu rnekte yer alan 172.16.30.211 iletim sisteminin IPv4 adresidir. Bu rnekte 6to4 nakledici ynlendirici olarak en yakn nakledici ynlendiricinin cevap verdii 192.88.99.1 herhangi birine gnder adresi kullanlmtr. 2002:c18c:1ed3::1/128 istemciye atanm 6to4 adresidir. 6to4 adresinde yer alan c18c:1ed3, IPv4 adresinin onaltlk tabanda gsterimidir.
ifconfig gif0 create ifconfig gif0 tunnel 172.16.30.211 192.88.99.1 ifconfig gif0 inet6 alias 2002:c18c:1ed3::1/128 route add -inet6 default -interface gif0
Linux 6to4 ana yerletirilen Linux iletim sitemine sahip istemci, ynlendirici ilanlarn kabul etme zellii almsa, otomatik olarak 6to4 adresi alacak ve IPv6 ana balanacaktr. IPv4 ana yerletirilen Linux iletim sistemine sahip istemciye IPv6 balants salayabilmek iin, iletim sistemine tnel arayz tanmlamak gerekmektedir. Tnel arayz yaplandrmas iin gerekli komutlar aada verilmitir. Bu rnekte 172.16.30.212 istemcinin IPv4 adresidir. IPv4 adresinin onaltlk tabanda gsterimi kullanlarak oluturulan 2002:c18c:1ed4::1 adresi tnel arayzne atanmtr. Verilen rnek komutlarn son iki satr ynlendirme ayarlarn iermektedir. rnekte IPv6 trafii (2000::/3) 172.16.30.214 nakledici ynlendiricisine iletilmektedir. Son satrdaki komut kullanlrsa, IPv6 trafii en yakn nakledici ynlendirici (192.88.99.1) kullanlarak IPv6 ana iletilecektir.
IPv6 El Kitab
Sayfa 59 / 100
ip tunnel add tun6to4 mode sit remote any local 172.16.30.212 ttl 64 ip link set dev tun6to4 up ip -6 addr add 2002:c18c:1ed4::1/128 dev tun6to4 ip -6 route add 2000::/3 via ::172.16.30.214 dev tun6to4 metric 1 #ip -6 route add 2000::/3 via ::192.88.99.1 dev tun6to4 metric 1
Aada, eski Linux srmlerinde yer alan sit0 arayz kullanlarak yaplan 6to4 ayar gsterilmitir.
ifconfig sit0 up ifconfig sit0 add 2002:9d3c:0001::1570:6000:0001/48 route -A inet6 add 2000::/3 gw ::192.88.99.1 dev sit0
Windows XP Windows XP iletim sistemi ykl bilgisayarlar 6to4 arayznn yaplandrmasn istemcinin kresel IPv4 adresine sahip olduu fakat dorudan IPv6 balantsna sahip olmad durumlarda otomatik olarak gerekletirmektedir. Otomatik yaplandrmada tek yaplmas gereken 6to4 varsaylan ynlendirici tanmn yapmaktr. Aada gsterilen komut ile, 172.16.30.214 IPv4 adresi varsaylan nakledici ynlendirici olarak tanmla nmaktadr. Statik nakledici ynlendirici yerine, en yakndaki 6to4 nakledici ynlendirici kullanlm ak istenirse adres 192.88.99.1 olarak tanmlanmaldr.
netsh int ipv6 6to4 set relay 172.16.30.214
Windows Vista / Windows 7 Kresel IPv4 adresine sahip Windows Vista ve Windows 7 iletim sistemleri eer IPv6 balantsna sahip deilse, 6to4 arayzn otomatik olarak yaplandrmaktadr. Bu yaplandrmada varsaylan a geidi olarak en yakn 6to4 nakledici ynlendiricinin cevap verdii 192.88.99.1 (6to4 herhangi birine gnderim adresi) kullanlmaktadr.
netsh int ipv6 6to4 set relay 192.88.99.1
IPv6 El Kitab
Sayfa 60 / 100
Bu adres yapsnda ilk 32 bitlik Teredo neki 2001::/32 olarak belirlenmitir. kinci 32 bitlik blmde Teredo sunucusuna ait IPv4 adresinin onaltlk dzende gsterimi yer almaktadr. 16 bitlik bayraklar blm adres tipini ve NAT yapsn belirtmektedir. Son 48 bit istemciye ulaacak olan NAT cihaznn kresel IPv4 adresini ve istemcinin dinledii Teredo portuna ulaacak NAT cihaz portu bilgisini iermektedir. Port bilgisi ieren 16 bitlik blm, NAT cihaz port numaras ile FFFFFFFF arasnda XOR (Bitsel zel Veya) ilemi uygulanarak bulunur. Benzer ekilde son 32 bitlik blm de NAT cihaznn kresel IPv4 adresinin bitlerinin onaltlk dzendeki karl ile FFFFFFFF arasnda XOR (Bitsel zel Veya) ilemi uygulanarak hesaplanr. Teredo istemci zerinde, kullanlacak Teredo sunucunun adresi tanmlanr ve Teredo istemci IPv6 adresi almak iin tanmlanm Teredo sunucuyu kullanr. Aada bu adres yapsna bir rnek verilmitir.
Teredo sunucu IPv4 adresi: 65.55.158.116 Onaltlk gsterimi: 41379e74 Teredo istemciye ulaacak NAT cihaz IPv4 adresi: 172.16.30.213 Onaltlk gsterimi: C18C1ED5 C18C1ED5 XOR FFFFFFFF = 3e73e12a stemci Teredo uygulamas portuna ulaacak NAT cihaz portu: 32767 Onaltlk gsterimi: 7fff 7fff XOR FFFF = 8000 Teredo istemci IPv6 adresi. 2001:0:4137:9e74:8000:fb9b:3e73:e12a
NOT: Teredo nakledicinin, istemcinin hangi NAT cihaznn arkasnda olduunu bilmesi iin NAT cihaznn IPv4 adresi ve port numaras IPv6 adresine gmlmtr. Ancak baz NAT
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 61 / 100
cihazlar, paketin UDP verisi iinde geen tm NAT cihaz kresel IPv4 adreslerini, istemcinin yerel IP adresi ile otomatik olarak deitirmektedir (SIP veya H.323). Bu ekilde bir deitirme ile nakledici, NAT cihaznn kresel IPv4 adresine eriemeyecektir. Bu kayb engellemek iin kresel IPv4 adresi ve port numaras IPv6 adresi iine gmlrk en XOR ilemine tabi tutulmaktadr.
IPv6 El Kitab
Sayfa 62 / 100
1. C Teredo nakledicisi; istemci Aya IPv6 paketi gnderecei zaman, ncelikle Ann IPv6 adresinden Ann ilikili olduu Teredo sunucusunun IPv4 adresini renir. C, NAT yapsn renmek iin Bye IPv6 balon paketi gnderir. 2. Teredo Sunucusu B, kendisine gelen balon paketi Aya iletir. 3. Bylece NAT arkasndaki A Teredo istemcisi ile C Teredo nakledicisi arasnda tnel kurulur. Balon (Bubble) paketleri, Teredo istemciler ve Teredo naklediciler tarafndan NAT yapsn renmek amacyla kullanlan ve sadece IPv6 bal ile bo veri ksm ieren IPv6 paketleridir. Bu iletiimde kritik nokta, Ann durum denetimli (stateful) cihazlarn (NAT, gvenlik duvar vs.) arkasnda olmasdr. Bu durumda C ile A arasnda iletiim salanabilmesi iin Ann durum bilgisi tutan cihazlarda oturum bilgisi oluturmas gerekir. Bu durum hole punching olarak adlandrlmaktadr.
IPv6 El Kitab
Sayfa 63 / 100
IPv4 andaki A Teredo istemcisi, D IPv6 istemcisi ile balant kurmak istediinde kullanlacak Teredo nakledicinin IPv4 adresini ve port numarasn renmek iin B Teredo Sunucusunu kullanr. ekil 26da verilen a yapsnda Ann D ile iletiiminde gerekleen admlar aada belirtilmitir. 1- A, hedef IPv6 adresi D olan bir ICMPv6 Echo Request paketi (ping 6) oluturur. Bu paketi IPv4 paketine sarmalar ve Teredo sunucusu zerinden yollar. 2- B, kendine gelen IPv4 paketinin sarmalamasn aar. Sarmalamay aarak, ICMPv6 paketini Dye iletir. 3- D, kendisine gelen pakete cevap olarak ICMPv6 Echo Reply paketi oluturur ve kendisine en yakn Teredo Nakledici ile bu paketi gnderir. 4- C Teredo nakledicisi, bir nceki blmde anlatlan ekilde Ann IPv4 adresini bularak, A ile kendi arasnda IPv4 tneli oluturur ve paketi iletir.
Teredo Yaplandrmas
Bu blmde farkl iletim sistemleri iin Teredo yaplandrmasna yer verilmitir. Ayrca FreeBSD ve Linux iletim sistemlerinde kullanlan ak kaynak kodlu Teredo uygulamas Miredonun yaplandrlmas anlatlmtr. Miredo Miredo uygulamas, FreeBSD srm 5.5ten itibaren ve Linux (ekirdek 2.4 ve 2.6) iletim sistemleri ile almaktadr. Miredo uygulamas kullanlarak bir bilgisayar, Teredo istemci,
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 64 / 100
nakledici veya sunucu olarak yaplandrlabilir. Her durum iin de Linux kullanlyorsa TUNTAP ve IPv6 ekirdek modlleri yklenmi olmaldr. Performans artrm iin Miredonun kulland dinamik ktk ktphanesi Judynin de kurulmas nerilmektedir. FreeBSD portlarndan kurulum yapldnda Judy otomatik olarak yklenmektedir. Teredo Nakledici Yaplandrlmas Teredo nakledici kresel bir IPv4 ve IPv6 adresine sahip olmaldr. Arayzler aras paket iletimi alm olmaldr. FreeBSD iin arayzler aras IPv4 ve IPv6 paketlerinin iletilmesini aktif hale getirmek iin gerekli komutlar aada belirtilmitir.
sysctl w net.inet.ip.forwarding=1 sysctl w net.inet6.ip6.forwarding=1
/usr/local/etc/miredo/miredo.conf dosyasnn rnek ierii aada verilmitir. Bu ayar dosyasnda yer alan DIR_IPv4_PUBLIC, Teredo nakledicinin kresel IPv4 adresini temsil etmektedir. Prefix parametresi ile 2001:: /32 neki Teredo istemcilerine duyurulmaktadr.
RelayType relay InterfaceName teredo BindAddress DIR_IPv4_PUBLIC BindPort 3545 Prefix 2001:0:: InterfaceMTU 1280
Teredo Sunucu Yaplandrmas Teredo sunucusu, NAT mimarisini tanmlayabilmek iin kullanlan, iki tane kresel IPv4 adresine sahip olmaldr. Bu iki IPv4 adresinin ardk olmas nerilmektedir. ki IPv4 adresi ayn arayz zerinde veya iki farkl arayz zerinde tanmlanabilir. Teredo sunucusuna bir adet IPv6 adresi atanmal ve Teredo sunucusunun IPv6 balants salanmaldr. Miredo uygulamas, Teredo sunucu kurmak iin kullanldnda /usr/local/etc/miredo/miredo-server.conf dosyas aada verilen satrlar iermelidir. DIR_IPv4_PUBLIC_1 ve DIR_IPv4_PUBLIC_2 Teredo sunucunun sahip olduu kresel IPv4 adreslerini temsil etmektedir.
Prefix 2001:0:: InterfaceMTU 1280 ServerBindAddress DIR_IPv4_PUBLIC_1 ServerBindAddress2 DIR_IPv4_PUBLIC_2
Son adm olarak /usr/local/sbin/miredo-server komutu root kullancs ile altrlarak Teredo sunucusu altrlr.
IPv6 El Kitab
Sayfa 65 / 100
Teredo stemci Yaplandrmas FreeBSD ve Linux FreeBSD ve Linux iletim sistemlerinin Teredo istemci olarak almas iin Miredo kullanlabilir. Miredo kurulumu ile ilgili bilgiler Teredo Yaplandrmas bal altnda verilmitir. Miredo kurulduunda varsaylan yaplandrma dosyas /usr/local/etc/miredo/miredo.conf teredo istemci modunda, Teredo sunucusu olarak teredo.remlab.net sunucusunu kullanacak ekilde yaplandrlmtr. Varsaylan sunucu, ServerAddress parametresi ile deitirilebilir. Windows XP Windows XP iletim sistemi kullanan istemciler iin Teredo sunucusu aadaki gibi tanmlanr.
nets hint ipv6 set teredo client teredo_server refresh_interval client_port
Verilen komutta yer alan deikenlerin temsil ettii deerler aada aklanmtr: teredo_server: Kullanlacak Teredo sunucusu. refresh_interval: Saniye cinsinden istemci gncelleme aral. client_port: Teredo istemci tarafndan kullanlacak port numaras.
stemcinin Microsoftun Teredo sunucusunu kullanacak ekilde yaplandrlmas iin kullanlan komut aada yer almaktadr.
netsh int ipv6 set teredo client teredo.ipv6.microsoft.com
Not: Windows XP SP3 zerinde yaplan testlerde, Teredo arayz ve Teredo sunucu yaplandrlmas ncesinde 6to4 arayz kullanm d braklmaldr. Windows Vista / Windows 7 IPv6 balantsna sahip olmayan ve sanal IPv 4 adresine sahip Windows Vista ve Windows 7 iletim sistemleri Teredo arayzn otomatik olarak yaplandrmaktadr. Varsaylan Teredo sunucusu olarak teredo.ipv6.microsoft.com adresi ayarlanmaktadr. Bu sunucu ile ilikilendirilmi IPv6 adresi istemciye otomatik olarak atanmaktadr. Bu sunucudan farkl bir Teredo sunucusu kullanlmak istenirse aadaki komut kullanlabilir.
netsh int ipv6 set teredo client teredo.ipv6.net.tr
IPv6 El Kitab
Sayfa 66 / 100
TRT ynteminin avantaj ve dezavantajlar aada belirtilmitir. Avantajlar Yaln IPv6 ve yaln IPv4 kullanan ularda ek bir ayarlama gerekmemektedir. IPv6 dan IPv4e balk evirme prensibi ile alan evirme yntemleri pathMTU ve paralama ilerini gerekletirmelidir. TRT yntemi bir st katmanda gerekletii iin bu durum sz konusu deildir. Dezavantajlar TRT durum bilgisini tutan bir sistemdir. TRT ynlendirici zerinde o an haberleen ularn bilgisini tutmaktadr. ki ucun oturumu tek bir TRT ynlendiricisi zerinden gereklemektedir. Bu da TRT ynlendiricisini tek noktada arza tehdidine kar ak hale getirmektedir. Paket bal deitii iin IPsec ile utan uca gvenlik ve dorulama yntemleri TRT ile kullanlamamaktadr.
IPv6 El Kitab
Sayfa 67 / 100
TRT A Yaps
Yaln IPv6 ve yaln IPv4 iki istemcinin TRT ynlendiricisi araclyla haberlemesi ekil 28deki rnek a yaps zerinden anlatlmtr: 1- A, oluturduu IPv6 paketini hedef adresine ( TRT neki + Cnin IPv4 adresi ) gnderir. rnein: TRT anda 2001:db8:13:eeee::/96 kullanld durumda 172.16.30.219 adresli IPv4 istemciye balant kurmak isteyen IPv6 istemcisi, veri paketlerini 2001:db8:13:eeee::172.16.30.219 hedef adresine gnderir. 2- TRT nekini ieren paketi alan B, oturumu tutar ve IPv4 ana yeni bir oturum aar. IPv6 andan gelen paketi, yeni bal ile IPv4 ana iletir. 3- C, kendisine gelen IPv4 paketini alr ve cevabn B ye gnderir. 4- B, nceki durum bilgisine gre gelen paketi daha nceden alm oturum araclyla A ya gnderir.
Faithd Yaplandrmas
Faithd BSD iletim sistemleri iin yazlm bir TRT eviri yntemi uygulamas olup, IPv6 ile IPv4 istemciler arasnda TCP balantlarnn ynlendirilmesini salar. IPv4 ile IPv6 alar arasnda eviri yapmak iin FreeBSD iletim sisteminde faith sanal arayz kullanlmaktadr. faith arayznn aktif olmas iin ekirdekte aada belirtilen satr yer almaldr.
device faith # IPv6-to-IPv4 relaying (translation)
Faithd uygulamas, faith arayzne gelen TRT nekine sahip trafii dinler ve protokoller arasnda ynlendirilmesini salar.
IPv6 El Kitab
Sayfa 68 / 100
Aada yer alan satrlar /etc/rc.local dosyasna eklenmelidir. Bu ayarlar ile ynlendirme tablosunun bozulmamas iin ynlendirme ilan kabul opsiyonu kapatlmakta; arayzler aras IPv6 paketi iletimi almakta ve faith arayz aktif hale getirilmektedir.
/sbin/sysctl net.inet6.ip6.accept_rtadv=0 /sbin/sysctl net.inet6.ip6.forwarding=1 /sbin/sysctl net.inet6.ip6.keepfaith=1
sonra
bu
neke
sahip
trafik,
TRT
ynle ndiricisine
nek tanm yapldktan sonra hangi protokollerin evirisinin yaplaca belirlenmelidir. evirisi yaplacak protokolleri belirtmek iin iki yntem bulunmaktadr. Yntem 1: faithd evrilecek olan protokol iin manel olarak altrlr. Bu aada yer alan satrlarn /etc/rc.local veya /usr/local/etc/rc.d/faithd.sh benzeri bir balang betiine eklenmesi ile gerekletirilebilir.
/usr/sbin/faithd http /usr/sbin/faithd ftp /usr/libexec/ftpd ftpd -l # http trafigini evirir # ynlendirilmemi FTP trafiini evirir
Yntem 2: Bu yntemde ise evrilecek protokol /etc/inetd.conf dosyasna iine yazlr. Bu yntem iin rnek satr aada belirtilmitir.
ftp stream tcp6/faith nowait root /usr/sbin/faithd ftpd -l
IPv6 El Kitab
Sayfa 69 / 100
dndrmektedir. DNS64 ile kullanlan neki ieren paketler NAT64 cihazna ynlendirilir ve burada paketlerin IPv6 IPv4 evirimi gerekletirilir. ekil 29da NAT64/DNS64 kullanm gsterilmitir. Yaln IPv6 anda yer alan istemci IPv4 anda yer alan bir sunucuya ulamak istediinde, IPv4 sunucunun AAAA kaydn DNS64 sunucusuna sormaktadr. IPv4 sunucunun AAAA kayd olmad iin DNS64 sunucusu belirlenen nek ile bir IPv6 adresi retir ve cevap olarak dndrr. Varsaylan olarak 64:FF9B::/96 neki kullanlmaktadr. Bu nek NAT64 eviri cihazna ynlendirilmektedir. Bu aamadan sonra iletiim NAT64 cihaz zerinden devam etmektedir.
NAT64/DNS64 yntemi uygulamas Ecdysis projesi ( http://ecdysis.viagenie.ca ) kapsamnda yazlan betikler ve yamalar ile kullanlabilmektedir. Ecdysis web sayfasnda verilen yamalar kullanlarak Unbound ve Bind ak kaynak kodlu DNS sunucular, DNS64 sunucusu olarak ayarlanabilmektedir. Ayrca yine proje sayfasnda verilen perl betii kullanlarak DNS64 uygulamas altrlabilir. Proje kapsamnda yazlm Linux ekirdek modl veya OpenBSD pf yamas kullanlarak NAT64 evirici altrlabilmektedir.
Sonuta oluan adresi ulalmak istenen IPv4 sunucunun IPv6 adres kayd olarak istemciye dnmektedir. Ubuntu 10.10-server zerinde yaplan testlerde betiin almas iin libio-socket-inet6-perl, libnet-dns-perl, libnetaddr-ip-perl paketlerinin kurulmasnn gerekli olduu grlmtr. Ek olarak betiin 53 numaral portu dinleyebilmesi iin root kullancs ile altrlmas gerekmektedir. Betik iinde my $PREF64 = "64:FF9B::/96"; satr deitirilerek DNS64 neki ayarlanabilmektedir. Bu nekin /96 veya daha ksa bir a maskesine sahip olmas gerekmektedir. Betik varsaylan olarak sistemde tanmlanan DNS sunucular kullanmaktadr. Kullanlan DNS sunucular betik iinde yer alan my @NAMESERVERS = qw(2001:afaf::301 192.168.10.10); satr ile dzenlenebilmektedir. Dns64.pl betii iinde gerekli ayarlamalar yapldktan sonra aada gsterildii ekilde altrlp test edilebilir. Test iin AAAA kayd olmayan bir alan ad kullanlmaldr. Sonuta dnen cevabn AAAA kayd blm nek ve IPv4 sunucu adresini ierecektir.
# ./dns6to4.pl & # dig @localhost kazan.ulakbim.gov.tr AAAA .... ;; ANSWER SECTION: kazan.ulakbim.gov.tr. 3600 IN AAAA 64:ff9b::c18c:5324
Betik yava almakta ve birden fazla istei ayn anda ileyememektedir. NAT64/DNS64 yntemi deneme amal altrldnda kullanlabilir. Bind: Bind uygulamas DNS64 yamas ile veya yamalanm Bind kaynak kodu Ecdysis web sayfasndan indirilip derlenerek DNS64 sunucusu olarak altrlabilmektedir. Bind uygulamas kurulduktan sonra ayar dosyasnda (named.conf veya named.conf.options) DNS64 neki ayarlanmaldr. rnek aada gsterilmitir. nek a maskesi /96 veya daha ksa olmaldr.
options { dns64-prefix 64:FF9B::/96; }
Bind uygulamas iin gerekli ayarlamalar yapldktan sonra bind uygulamas altrlp, AAAA kayd olmayan bir alan ad iin sorgu gnderilerek uygulama test edilebilir. rnek uygulama aada verilmitir.
# named -c /etc/bind/named.conf # dig @localhost kazan.ulakbim.gov.tr AAAA ;; ANSWER SECTION: kazan.ulakbim.gov.tr. 3527 IN AAAA 64:ff9b::c18c:5324
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 71 / 100
Unbound: Unbound uygulamas DNS64 yamas ile veya yamalanm Unbound kaynak kodu Ecdysis web sayfasndan indirilip derlenerek DNS64 sunucusu olarak altrlabilmektedir. Unbound uygulamasnda DNS64 zelliini aktifletirilmesi iin unbound.conf dosyasnda module-config ve dns64-prefix deerleri ayarlanmaldr. module-config zellii deeri dns64 ile balamaldr. Ayar dosyasnda dns64-prefix deeri ile DNS64 neki tanmlanmaldr. ki ayar rnek aada verilmitir. DNSSEC kullanlmyor ise module-config zelliinde yer alan validator deeri kaldrlabilir. nek iin belirtilen a maskesi /96 veya daha ksa olmaldr.
module-config: "dns64 validator iterator" dns64-prefix: 64:FF9B::/96
Unbound uygulamas iin gerekli ayarlamalar yapldktan sonra Unbound uygulamas altrlp, AAAA kayd olmayan bir alan ad iin sorgu gnderilerek uygulama test edilebilir. rnek uygulama aada verilmitir.
# unbound -c unbound.conf # dig @localhost kazan.ulakbim.gov.tr AAAA ;; ANSWER SECTION: kazan.ulakbim.gov.tr. 3527 IN AAAA 64:ff9b::c18c:5324
NAT64 IP evirici
NAT64 IP eviricisi Ecdysisi projesi kapsamnda TCP, UDP ve ICMP paketlerini IPv6 IPv4 protokolleri arasnda evirecek ekilde yazlmtr. NAT64 evirici Linux kernel modl veya OpenBSD pf kullanlarak uygulanabilir. alan linux ve Fedora RPM paketleri ile uygulanm NAT64 yntemlerine Ecdysis web sitesi zerinden eriilebilir. Linux Modl: Linux modlnn altrlabilmesi iin ekirdek versiyonu 2.6.31 veya daha yksek olmaldr. Ecdysis web sitesinden ekirdek modl indirilerek derlenmelidir.
# make # make install
Ubuntu 10.10 server zerinde Linux modl derlendikten sonra depmod -a komutu altrlarak modl listesinin gncellenmesi gerekmektedir. Modl derlendikten sonra nat64-config.sh dosyas deitirilerek kullanlacak IPv4 adresi, NAT64 neki ve NAT64 neki a maskesi ayarlar yaplabilir. NAT64 uygulamas nat64config.sh betiine kullanlacak IPv4 adresi belirtilerek altrlabilir.
# ./nat64-config.sh 10.10.10.1
IPv6 El Kitab
Sayfa 72 / 100
Betik altrldnda ekirdek modln aktif hale getirecek, NAT64 arayzn oluturacak, NAT64 neki iin gerekli ynlendirme bilgisini ynlendirme tablosuna ekleyecek ve IPv4, IPv6 paket iletme zelliklerini aacaktr. OpenBSD PF: pf uygulamasna NAT64 destei, Ecdysis web sitesinde yer alan altrlabilir datm veya kaynak kodlarn ieren datm kullanlarak yalabilir. altrlabilir datm kullanldnda, install.sh betii altrlmaldr. Bu betik ekirdek, pfctl , systat, tcpdump aralarn gncellemekte ve eski srmlerini .old uzants ile yedeklemektedir. Kaynak kodu ieren datm kullanldnda OpenBSD derleme ve ykleme ilemleri gerekletirilmelidir. Pfe NAT64 destei verildikten sonra Tablo8de verilen satr pf ayar dosyasna (rn: /etc/pf.conf) eklenmelidir. PREFIX deikeni, kullanlacak NAT64 neki (rn: 64:FF9B::/96) olarak tanmlanmaldr. a.b.c.d yerine kullanlacak NAT64 IPv4 adresi yazlmaldr. NAT64 paketleri iin bu kuraldan baka kural eklenmesi tutarl olmayan sonular verdii iin nerilmemektedir.
nat64 from any to PREFIX -> a.b.c.d
Karlalan Problemler
eviri yntemi olan NAT64/DNS64 kullanmnda baz problemlerle karlalmaktadr. DNS64 kullanm ile DNSSec kullanmnn uyumlu olmad durumlar bulunmaktadr. Eer DNSSec dorulamasn istemci gerekletiriyor ve istemci DNS64 uygulamasndan haberdar deilse, AAAA kaytlarndaki IP adresleri nek ile retildii iin dorulanamayacaktr. stemci DNS64 uygulamasndan haberdar ise v e gelen AAAA kaydn A kaydna evirip dorulamay gerekletirise bu problem dzeltilebilmektedir. Bir dier zm ise DNSSec in istemci yerine DNS sun ucusunda gerekletirilmesidir. DNS64 sunucusu AAAA kaydn retmeden nce dorulama yapacandan belirtilen problem ile karlalmayacaktr. Web sayfalarnda bulunan ve IP adresi kullanlarak verilen balantlara eriilememektedir. DNS64 yamas, AAAA kaydna bo cevap dnen sorgular iin neki kullanarak AAAA kayd retmektedir. Eer bir alan ad sorgusuna hata mesaj dnyorsa DNS64 bu adres iin AAAA cevabn IPv6 istemcisine dnememektedir. Paket veri ksmnda IPv4 adreslerini tayan (FTP, SIP vb.) ve kendi protokolne sahip uygulamalar bu yntem ile almamaktadr.
IPv6 El Kitab
Sayfa 73 / 100
portlarn engellenmesi, bu sunucunun zerinde alan dier yazlmlarda ortaya kabilecek bir zaafiyetin gvenlik riski oluturmasn engeller. rneklerden de anlalabilecei zere paket filtrelemek, allan uygulamalarn net olarak tanmlanabildii durumlarda kullanlabilir. Gvenlik duvarlar, protokollerin zelliklerine gre yaplandrlabilir. TCP ve UDP protokollerinin farkl kaynak ve hedef port numaralar olabilir. ICMPnin tip ve kod alanlar bulunmaktadr. Bu alanlar kullanlarak eriim denetiminin salanmas mmkndr. Ayrca TCP, tasarm gerei iletiimi takip eden durum denetimine sahip olduundan, durum denetimli gvenlik duvar yaplandrlmas mmkn olmaktadr. letiimin balayaca tarafn seilerek, izin verilen iletiimin haricinde gelen paketlerin reddedilmesi, esnek ve daha doru bir gvenlik duvar yaplandrmasn salamaktadr. Paket filtreleme rneinde verilen, i adaki bilgisayarlarn dosya paylam portunun engellenmesi yerine, ieriden balayan iletiime izin verilmesi ve bunun haricindeki tm paketlerin reddedilmesi, hem i adaki bilgisayarlarn baka portlarnda alabilecek uygulamalar nternetten korumakta, hem de paket filtreleme ile engellenen portlarn da kullanlabilmesini salamaktadr. Benzer ekilde, kurumsal web sunucusunun web servisinin verildii portlara dardan gelen iletiime izin verilmesi ve bunun haricindeki tm paketlerin reddedilmesi, iletiim durumu dnda web portlarna gelebilecek paketleri de engelleyecei iin daha gvenli olmaktadr. Gnmzde gvenlik duvar kavram, ou son kullanc tarafndan da bilinmektedir. Ev alarnn balantsnda kullanlan modem ve ynlendirici cihazlar zerinde, genellikle gvenlik duvar bulunmaktadr. Ayrca istemciler zerinde de Windows Firewall, Zone Alarm gibi kiisel gvenlik duvarlar kurulumu yaplmaktadr. IPv6 geiinde dikkat edilmesi gereken bir dier konu da, eski gvenlik duvar alkanlklarndan farkl olarak IPv6 da gerek IP adresi kullanlmas sebebiyle kural listelerinin yeniden yaplandrlmas gerektiidir. IPv4 de adres kstll sebebiyle kullanlan NAT yaps, NAT ierisinde yer alan istemcilere nternet zerinden dorudan eriimi zel bir tanm yaplmamsa engellemekte idi. Dolaysyla NAT ierisinde yer alan istemciler, NAT yaps gerei durum korumal gvenlik duvar (stateful firewall) korumasnda gibi korunakl idiler. Kullanmak istedikleri zel port veya proto koller iin NAT zerinde port elemesi yaparak i adaki istemciye ynlendirmekte idiler. Her iki srm iinde gerek IP kullanmnda durum korumal gvenlik duvar yaplandrlmal, servis verilecek uygulamalar iin ise bu gvenlik duvarnda gerekli izinler verilmelidir. Sz konusu durumun ilk ortaya k, IPv4 zerinden tnel ile IPv6 ana balanlmas teknii olan Teredo zelliinin baz iletim sistemlerinde varsaylan olarak kurulu gelmesi ile olmutur. NAT arkasnda olan ve dolaysyla tm portlar IPv4 nternete kapal olan istemciler zerinde otomatik kurulan Teredo ile IPv6 ana korunmasz, IPv4 gvenlik duvarlarnn haricinde tm portlar ak olarak eriilir balanmaya balamtr. Baz ev tipi ynlendiricilerin zerinde de Teredo zelliinin ak olmas ile durum ciddiyet kazanm, gvenlik uyarlar yaynlanmtr (http://web.nvd.nist.gov/view/vuln/detail?vulnI d=CVE2007-1338). Bu gvenlik ann sonucu olarak gvenlik duvarlarnda IPv6 desteinin
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 75 / 100
verilmesi ve IPv6 iin kural listelerinin yaplmas, en azndan durum korumal engellenmesi eklinde tavsiyeler yaynlanmtr. Durum korumal gvenlik duvarlarnn ynettii istemci-sunucu mimarisindeki iletiimin yan sra, istemciler arasnda kontrol-veri protokolleri de gnmz uygulamalar arasnda yer almaktadr. Aktif FTP, BitTorrent, baz sohbet programlar, SIP (VoIP protokol), RTSP (ses ve grnt aktarm) gibi rnekleri olan bu tarz istemciden istemciye (peer-to-peer) uygulamalarn gvenlik asndan ynetimi zorlamaktadr. Bu protokoller iin gvenlik duvarlarnda izin verilebilmesi, durum korumal gvenlik duvarnda adres/port delikleri almas ile mmkn olabilmekte, bu durum da yine gvenlik zaafiyetine sebep olmaktadr. NAT yapsnda da geerli olan ve port elemesi ile alabilen bu durum uygulama seviyesi a geitleri (ALG - Application Layer Gateway) kullanm ile gzlenebilmektedir. Uygulama seviyesi gvenlik duvarlar, saldr tespit sistemleri ile bu gibi protokollerin trafii incelenerek gvenlik sorunu olaca dnlen paketler drlr, gerekirse iletiim tamamen kesilebilir.
iin henz bir atama yapmamtr. Ayrca 200 ve 201 numaral mesaj tipleri de deneyler iin ayrlmtr. Bu tiplerdeki ICMPv6 mesajlarnn filtrelenmesi gerekmektedir. Tip 138 Ynlendiricileri Yeniden Numaralandrma ve Tip 139, 140 Dm Bilgisi Sorgusu ve Cevab mesajlarna zel ilgi gsterilmeli ve bu mesaj tipleri ile ilgili ada zel uygulamalar yaplmyorsa, snr gvenlik cihazlarnda engellenmelidir. ICMPv6 tip numaralar Blm 1: IPv6 Temelleri ve Yaplandrmas, ICMPv6 balnda aklanmtr. IPv6 iletiiminin salkl yaplabilmesi iin kesinlikle engellenmemesi gereken ICMPv6 mesaj tipleri ve isimleri Tablo 6da verilmitir.
Tablo 6. zin Verilmesi Gereken ICMPv6 Tipleri Mesaj Tipi Mesaj Ad 1 Hedef Eriilemez 2 Paket ok Byk 3 Zaman Am 4 Parametre Problemi 133 Ynlendirici Talebi 134 Ynlendirici lan 135 Komu Talebi 136 Komu lan
Hedef IPsi bir oklu gnderim grubu olan paketlerin kendi kapsama alanlar dndaki alanlara geiine izin verilmeden gvenlik duvar veya ynlendiricilerde drlmeleri gerekmektedir. Bu kstlamann yaplmad IPv6 alarnda hedef adresi oklu gnderim grubu olan ICMP paketleri ile saldr ncesi keif almalar, IPv4 alarndan ok daha kolay bir ekilde gerekletirilebilir.
Uzant Balklar
Uzant balklar a gvenlii iin dikkatle incelenmeli, gvenlik a oluturabilecek zellikler engellenmelidir. rnein dolalabilirlik bal, eer i ada dolalabilirlik destei verilmiyo r ise engellenebilir. Baz uzant balklar ise kesinlikle engellenmelidir. Ynlendirme bal RH, RFC2460 belgesinde tanmlanm olup, Tip 0 kullanmnda tespit edilmi gvenlik aklar bulunmaktadr. Tip 0 kaynan yollad paketin rotasn tanmlamasn salar ve IPv4 paketleri iin yaplan Gevek Kaynak Ynlendirmesi (Loose Source Routing) ile ayn zellikleri tamaktadr. Tip 1 kullanm d olarak tanmlanm, Tip 2 ise Dolalabilirlik uygulamas iin Tip 0 filtrelemesi amacyla tanmlanmtr. kan gvenlik aklarndan dolay Tip 0n IPv6 cihazlarda ilenmemesi, ayrca a cihazlarnda ise drlmesi kesinlikle nerilmektedir. Baz cihaz ve iletim sistemlerinde RH iin girilebilecek komutlar, Tablo 7de verilmitir.
IPv6 El Kitab
Sayfa 77 / 100
FreeBSD
OpenBSD
Tablo 7 . letim Sistemleri RH Tip 0 Durumu Yntem no ipv6 source-route Henz aklanm bir engelleme bulunmamaktadr. Kernel 2.6 dan itibaren kaldrlmtr. Ynlendirici olmas durumunda paketleri engellemek iin, kural listesinin bana aadaki kurallar eklenir: ip6tables -A INPUT -m rt--rt-type 0 -j DROP ip6tables -A FORWARD -m rt--rt-type 0 -j DROP ip6tables -A OUTPUT -m rt--rt-type 0 -j DROP Kernel 6.2den itibaren kaldrlmtr. Eski ekirdekler iin yama: http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/netinet6/route6.c.diff?r1=1.12& r2=1.13 sysctl net.inet6.ip6.rthdr0_allowed=0 OpenBSD 4.0-stable iin yama: ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/012_route6.patch OpenBSD 3.9-stable iin yama: ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/012_route6.patch
engelleyin (durum korumas). Sunucularn servis portlarna izin verirken, DoS saldrlarndan korunmak iin, balant limiti, servis verilen IP aral gibi kstlamalar uygulayn. 8. oklu gnderim adreslerini belirleyerek, kapsam dndan gelen veya kapsam dna kan paketleri engelleyin. 9. ICMPv6 balklarndan sadece gerekli olanlarna izin verin, kalann engelleyin. 10. adaki tm IP adreslerinin dar doru durum korumal iletiim balatmasna izin verin.
ICMPv6 Filtresi
Korumac bak as ile ICMPv6 mesajlarna nasl davranlaca hakknda neriler, Tablo 8de verilmitir. Uygulamada anzn ihtiyalar gznnde bulundurularak sadece belirli tiplere izin verilmeli, geri kalanlar engellenmeli, en azndan limitlenmelidir. lk 4 tip ICMPv6 mesaj Tablo 6da izin verilmesi egreken ICMPv6 tipleri olarak nitelendirilse de, anzn dardan tespit edilmesine sebep olduklar iin kapatlmas, en azndan limitlenmesi nerilmektedir.
ICMPv6 Tipi Hedef Eriilemez Paket ok Byk Zaman Am Tablo 8. ICMPv6 Filtre nerileri eriye Darya Aklama zin ver Engelle An haritasn karmak ve tespit etmek iin kullanlabilir. Darya doru sadece gvenilir alara izin verilmelidir. zin ver zin ver An salkl almas iin gereklidir. zin ver Engelle zin verilmesi gerektii nerilse de, an haritasn karmak ve tespit etmek iin kullanlabilir. Darya doru sadece gvenilir alara izin verilmelidir. an haritasn karmak ve tespit etmek iin kullanlabilir. stemciler iin engellenmelidir, a cihazlar iin alabilir. an haritasn karmak ve tespit etmek iin kullanlabilir. stemciler iin engellenmelidir, a cihazlar iin alabilir. an haritasn karmak ve tespit etmek iin kullanlabilir. stemciler iin engellenmelidir, a cihazlar iin alabilir. ada ihtiya duyulur, darya engellenebilir. An salkl almas iin gereklidir. An salkl almas iin gereklidir. An salkl almas iin gereklidir. Uygulamada henz kullanm alan az olduundan, kapatlabilir. Uygulamada henz kullanm alan az olduundan, kapatlabilir. Dolalabilirlik destei vermedi iseniz, kapatlmaldr.
2 3
zin ver
128
129
Engelle zin ver zin ver zin ver zin ver Engelle Engelle Engelle
Engelle zin ver zin ver zin ver Engelle Engelle Engelle
IPv6 El Kitab
Sayfa 79 / 100
rnek Yaplandrmalar
Linux IP6TABLES:
ip6tables -A FORWARD -i eth0 -p tcp -d 2001:a98:1f:4::2 --dport 22 -j ACCEPT ip6tables A INPUT i eth0 p tcp d 2001:a98:1f:4::2 --dport 22 -j DROP ip6tables A INPUT p tcp d 2001:a98:1f:4::2 --dport 80 -j ACCEPT
Multicast Filtreleme
Linux IP6TABLES:
# Join mesaj limiti ip6tables -t mangle -A PREROUTING -i eth0 -p pim -m pim6 --pim6-type join -m limit --limit 1/minute # Join/Prune mesajlar ip6tables -t mangle -A PREROUTING -i eth0 -p pim -m pim6 --pim6-type join --pim6-group ff0e:abcd::/32 -j DROP ip6tables -t mangle -A PREROUTING -i $eth0 -p pim -m pim6 --pim6-type join,prune --pim6-group ff0e::/16 -j PIMRELAY # Register mesaj limiti ip6tables -t mangle -A PREROUTING -p pim -m pim6 --pim6-type register -m limit --limit 10/second # Register mesajlar ip6tables -t mangle -A PREROUTING -i $eth0 -p pim -m pim6 --pim6-type register --pim6-reg-group ff3e:30:2001:388:c035::/96 -j PIMRELAY
IPv6 El Kitab
Sayfa 80 / 100
# Once yuklu kurallari temizle: ###################################### ip6tables -F INPUT ip6tables -F FORWARD ip6tables -F OUTPUT ip6tables -F
# Ana zincirleri kur: ###################################### ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP
# localhost trafigine tum protokoller icin izin ver: ###################################### ip6tables -A INPUT -s ::1 -d ::1 -j ACCEPT
# ICMPv6 GELEN - izin verilecek tipler: ###################################### ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
IPv6 El Kitab
Sayfa 81 / 100
# ICMPv6 GELEN - limitlenerek izin verilecek tipler: ###################################### ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit 900/min -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit 900/min -j ACCEPT
# ICMPv6 GELEN - Sicrama limiti 255 ise izin verilecek tipler: ###################################### ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT
# ICMPv6 GELEN - uymayan paketleri dusur: ###################################### ip6tables -A INPUT -p icmpv6 -j LOG --log-prefix "filtrelenen ICMPv6" ip6tables -A INPUT -p icmpv6 -j DROP
# ICMPv6 GDEN - Disariya dogru izin verilecek tipler: ###################################### ip6tables -A OUTPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
# ICMPv6 GDEN - Yerel agda Komsu Kesfi paketlerini limitle: ###################################### ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
# ICMPv6 GDEN - RA ve Redirect paketlerini filtrele # Yonlendirici olarak calisan sistemlerde acik olmali ###################################### ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "ICMPv6 RA" ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j LOG --log-prefix "ICMPv6 redirect" ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j REJECT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j REJECT
# ICMPv6 GDEN - Geri kalan tum paketlere izin ver: ###################################### ip6tables -A OUTPUT -p icmpv6 -j ACCEPT
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 82 / 100
# ICMPv6 GDEN Yonlendirmeyi filtrele ###################################### ip6tables -A FORWARD -p icmpv6 -j REJECT # TCP Kurallar # Bildirilen portlari filtrele ###################################### ip6tables -A INPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-eq 255 -j REJECT ip6tables -A OUTPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-eq 255 -j REJECT ip6tables -A INPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-lt 255 -j DROP ip6tables -A OUTPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-lt 255 -j DROP
# Durum tespitli kurallar ###################################### ip6tables -A OUTPUT -p tcp -j ACCEPT ip6tables -A OUTPUT -p udp -j ACCEPT ip6tables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT # TCP ve UDP servis portlari ve DoS korumasi ###################################### for port in $TCP_ACIK; do $ip6tables -A INPUT -p tcp --dport $port -m state --state NEW \ -m recent --set --name "$port" $ip6tables -A INPUT -p tcp --dport $port -m state --state NEW \ -m recent --name "$port" --update --seconds 60 \ --hitcount $MAX_SYN -j DROP $ip6tables -A INPUT -p tcp --dport $port -j ACCEPT done for port in $UDP_ACIK; do $ip6tables -A INPUT -p udp --dport $port -j ACCEPT done
# NEW,INVALID etiketli paketleri filtrele (durum korumasi) ###################################### ip6tables -A INPUT -m state --state NEW,INVALID -j DROP
# TCP ve UDP Yonlendirmeyi kapat ###################################### ip6tables -A FORWARD -p tcp -j REJECT ip6tables -A FORWARD -p udp -j REJECT
IPv6 El Kitab
Sayfa 83 / 100
Cisco IOS
ipv6 access-list sinir-yonlendirici-giris remark belirli ICMP tiplerine giris yonunde izin ver permit icmp any 2001:a98:60::/48 destination-unreachable permit icmp any 2001:a98:60::/48 packet-too-big permit icmp any 2001:a98:60::/48 parameter-problem permit icmp any 2001:a98:60::/48 echo-reply remark uzak agdan pinglenmesine izin ver permit icmp 2001:a98:20::/48 2001:a98:60::/48 echo-request remark RD Haric, ND ve MLD ICMP tiplerine izin ver permit icmp any any nd-na permit icmp any any nd-ns permit icmp any any mld-query permit icmp any any mld-reduction remark kalan ICMPleri engelle, kalan herseyi ac deny icmp any any log permit any any
IPv6 El Kitab
Sayfa 84 / 100
Sonrasnda snmpd balatlmadan nce /etc/snmpd.conf ayar dosyasnda baz deiiklikler yaplmas gerekmektedir. Bu deiiklikler ile sunucudan sorgu yapacak istemcilerin gvenlik amacyla kullanaca community deerinin deitirilmesi gerekmektedir. Deiikliklerden sonra ayar dosyasnn hali u ekilde olacaktr:
syslocation "Grup No" syscontact "System Admin" sysservices 0 rocommunity6 ulakbim rocommunity ulakbim
Snmpd hem IPv4 hem de IPv6 dinleyebilmesi iin IPv6 ve IPv4 trafii udp 161 portunu dinleyecek ekilde altrlr. Kovan her yonlendirici icin aadaki komut ve argumanlar ile snmpd caltrr.
$/usr/local/sbin/snmpd -c /etc/snmpd.conf udp6:161 udp:161
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 85 / 100
Cisco Cisco ynlendiricilerde aadaki satrlar eklenerek cihazn ulakbim community deeri ile yaplan sorgulara cevap vermesi salanr.
snmp-server community ulakbim RO 100 snmp-server ifindex persist snmp-server location Ankara-Turkiye snmp-server contact Admin admin@xyz.gov.tr
Bu ayarlarda ilk satrda yer alan RO snmp istemcilerinin sadece okuma iin (Read Only) eriebilmesini salarken 100 ise bu eriimde uygulanacak eriim kont rol listesi (Access Control List - ACL) gstermektedir. 100 nolu ACLde sadece SNMP istemcisi olarak kullanlacak cihazlara izin verilmesi gvenlik asndan nemli bir tedbir olacaktr. Monitr Makinesine MRTG Kurulumu Kurulacak MRTGnin oluturduu grafiklerin izlenmesi iin ncelikle monitr cihaznda bir web sunucusu almaldr. Linux tabanl bir monitr sunucusunda iin Apache web sunucusunun kurulumu u ekilde yaplabilir:
$ apt-get update $ apt-get install build-essential $ apt-get install apache2
Bu sorunun Evet olarak cevaplanmas sonucunda kurulum balayacak ve oluturulacak ayar dosyasnn izinleri iin ekil 30daki ekran belirecektir.
IPv6 El Kitab
Sayfa 86 / 100
Evet cevab mrtg.conf dosyasn 640 izinleri ile oluturacakken Hayr cevab bu izinin 644 olarak belirlenmesini salayacaktr. Bu ayar dosyasnn hat kullanm hakknda bilgi veren baka programlar tarafndan kullanlmas dnlmyor ve ileride bahsedilecek cron ayarlar sadece root iin yaplacaksa bu seenekte Evet cevabnn verilmesi nerilmektedir. Kurulum aamasnda ve sonrasnda kontrollerin yaplabilmesi iin gerekli komutlar barndran snmp paketinin monitr makinesinde kurulmas gerekmektedir.
$apt-get install snmp
MRTG ve SNMP nin BSD tabanl sunucularda kurulmas iin aadaki komutlar kullanlabilir:
$ cd /usr/ports/net-mgmt/net-snmp ; make -DBATCH -DWITH_IPV6 install clean $ cd /usr/ports/net-mgmt/net-snmp && make -DBATCH -DWITH_IPV6 install $ cd /usr/ports/net-mgmt/mrtg/&& make -DBATCH -DWITH_IPV6 -DWITH_SNMP install clean
Daha sonra SNMP ile trafik verilerini ekip MRTG ile grafik haline getirmek istediimiz ynlendirici ile SNMP iletiiminin salk olduunun kontrol iin snmpwalk komutu kullanlabilir. Burada dikkat edilmesi gereken konu 2001:a98:1f:f0::1 adresli ynlendiricide belirlenen SNMP srm ile monitr makinesinde sorgu iin kullanlan ve v parametresinden sonra verilen srmn ayn olmasdr. Ayrca aadaki sorguda yer alan community_string deeri bir nceki blmde ynlendiricilerde belirlenen deerle ayn olmaldr.
$snmpwalk -v 2c -c ulakbim udp6:[2001:a98:1f:f0::1] $snmpwalk -v 2c -c ulakbim 10.1.4.1
IPv6 El Kitab
Sayfa 87 / 100
Ynlendirici ve monitr arasndaki SNMP iletiimi dorulandktan sonra MRTG iin ayar dosyasnn yaplandrmasna geilebilir. MRTGnin ayar dosyalarn reten " configmaker" ve web sayfalarn reten "indexmaker" betikleri bulunmaktadr. MRTGye ait configmaker betiini kullanlarak ynlendiricilere balanlr, ynlendirici zerindeki arayzlere ait bilgiler ekilir ve bu bilgilerden MRTGnin grafik oluturmak iin kullanaca ayar dosyas olan mrtg.conf oluturulur. Yine MRTGnin indexmaker betii de oluturulan ayar dosyasn okuyarak MRTG grafiklerinin grntlenebilmesini kolaylatran web dizin ve dosya yapsn oluturur.
$which cfgmaker /usr/bin/cfgmaker $/usr/bin/cfgmaker --enable-ipv6 --global "Options[_]: growright, bits" --global "WorkDir: /var/www/mrtg" ulakbim@10.1.4.1 > /usr/local/etc/mrtg.conf $mkdir /var/www/mrtg $/usr/bin/indexmaker --title "Hat Kullanim Grafikleri" /usr/local/etc/mrtg.conf -output /var/www/mrtg/mrtg.html $ls -la /var/www/mrtg/mrtg.html -rw-r--r-- 1 root root 3595 2011-04-12 12:28 /var/www/mrtg/mrtg.html
IPv6 El Kitab
Sayfa 88 / 100
Crontab her 5 dakikada bir MRTGyi ilgili ayar dosyas ile altrmak ve grafikleri gncellemek zere deitirilir. Aadaki satrlarn crontaba yazlmas gerekmektedir.
5,10,15,20,25,30,35,40,45,50,55 * * * * env LANG=C /usr/bin/mrtg /usr/local/etc/mrtg.conf
Kurulum tamamlandktan sonra Monitr cihaznn web sayfasna balanlarak MRTG grafiklerine ulalabilir. http://[2001:a98:1f:f0::4]/mrtg/mrtg.html adresi grntlendiinde aadaki anasayfa ile karlalacaktr.
ekilden de grlecei zere ynlendirici zerinde bulunan 5 arayz iin (em0, em1, em2, em3 ve em4) trafik bilgileri dzenli olarak ekilmekte ve grafiksel olarak g sterilmektedir. Bu arayzlerden herhangi birisi iin oluturulan uzun sreli grafikler ve detaylar iin ana sayfadaki gnlk grafiklere tklamak yeterli olacaktr.
IPv6 El Kitab
Sayfa 89 / 100
ekil 33de grlen bilgilerden bazlar ya da tm sistemler hakknda hassas bilgiler ierdiinden gizlenmek istenebilir. Bu durumda configmaker tarafndan otomatik oluturulan /usr/local/etc/mrtg.conf dosyasnda deiiklik yaplarak gizlenmek istenen bilgilerin silinmesi gerekmektedir.
Bu blmde a ynlendirici cihazlarnn oluturduu ve zerinden geen trafie ait izleri barndran ak izinin (flow) depolanmas ve incelenebilmesi iin yaplmas gerekenler anlatlmaktadr. Bu izlerin tutulmas a trafiinin detayl incelenmesi ve kaynak kullanmlar konusunda lmler yaplabilmesini salamaktadr. Ayrca kurulumu anlatlacak olan NfSen ile de bu izlerin bir arayz yardmyla detayl analizi yaplabilmektedir. Cisco tarafndan gelitirilmi ak bir protokol olan NetFlow, IP trafii kaytlarnn toplanmasn salar. NetFlow kaytlar 5 temel ierikten oluur: Kaynak IP adresi, hedef IP adresi, kaynak kaps (PORT) ve hedef kaps (PORT) ve protokol. rnek Kayt:
Date flow start Duration 2011-03-29 06:34:01.571 4294967.295 2011-03-29 06:34:01.571 4294967.295 2011-03-29 06:34:02.664 4294967.295 2011-03-29 06:34:02.664 4294967.295 Proto UDP UDP UDP UDP Src IP Addr:Port 2001:470:0:f0::2.59555 -> 2001:a98:10::251.53 -> 2001:470:0:fa::2.15780 -> 2001:a98:10::252.53 -> Dst IP Addr:Port 2001:a98:10::251.53 2001:470:0:f0::2.59555 2001:a98:10::252.53 2001:470:0:fa::2.15780 Packets Bytes 1 91 1 206 1 93 1 140
IPv6 El Kitab
Sayfa 90 / 100
Bir sonraki adm, ak izi toplamak istediimiz ynlendirici arayzlerinde gerekli ayarlarn yaplmasdr.
Router#conf t Router(config)#interface FastEthernet0/0 Router(config-if)#ipv6 flow ingress Router(config-if)#ipv4 flow ingress
nemli Not: Bu analizlerin yaplaca birok ada ynlendirici ile kaytlarn tutulaca makine (rneimizde 10.1.4.4 IP'li) arasnda gvenlik duvar bulunmaktadr. Bu durumun geerli olduu alarda, gvenlik duvar zerinde gerekli izinlerin tanmlanmas nemlidir. Yukardaki rnekte ak izi verileri iin kaynak IP adresi ynlendiricinin Loopback0 arayz tanmlanmtr. Bu ilem iin ip flow-export source Loopback0 komutu kullanlmtr. Gvenlik duvar zerinde ise, kaynak adresi Loopback0, hedef adresi 10.1.4.4 ve hedef UDP portlar 9995-9999 arasnda yer alan olan paketler iin izin kurallar yazlmtr. BSD ve Unix A BSD ya da Unix tabanl ynlendiricilerden ya da gvenlik duvarlarndan ak izi alnmas iin softflowd program kullanlmaktadr. Linux iletim sistemi Debian srm iin rn ek kurulum aada verilmitir.
$ apt-cache search softflowd softflowd - Flow-based network traffic analyser $ apt-get install softflowd
Softflowd FreeBSD portlarnda yer almaktadr ve kolayca kurulumu yaplabilmektedir. rnek kurulum komutlar aada verilmitir.
$cd /usr/ports/net-mgmt/softflowd $make install
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 91 / 100
Softflowd kurulduktan sonra zerindeki arayzlerden geen trafie ait izlerin aktarlmas iin aada verilen komutlar altrlr. Burada interface a izi kayd alnacak arayz, MonitorIPv6address bu kaytlarn aktarlaca sunucu ve port_number kaytlarn aktarld sunucunun dinledii portu gstermektedir. IPv6:
/usr/local/sbin/softflowd -v 9 -i interface -m 1000 -n[MonitorIPv6address]:port $/usr/sbin/softflowd -v9 -i em0 -m 1000 -n[2001:a98:1f:f0::4]:9995 $/usr/sbin/softflowd -v9 -i em1 -m 1000 -n[2001:a98:1f:f0::4]:9996 $/usr/sbin/softflowd -v9 -i em2 -m 1000 -n[2001:a98:1f:f0::4]:9997 $/usr/sbin/softflowd -v9 -i em3 -m 1000 -n[2001:a98:1f:f0::4]:9998 $/usr/sbin/softflowd -v9 -i em4 -m 1000 -n[2001:a98:1f:f0::4]:9999
IPv4:
$/usr/local/sbin/softflowd -v 9 -i em0 -m 100000 -n10.1.4.4:9995 $/usr/local/sbin/softflowd -v 9 -i em1 -m 100000 -n10.1.4.4:9996 $/usr/local/sbin/softflowd -v 9 -i em2 -m 100000 -n10.1.4.4:9997 $/usr/local/sbin/softflowd -v 9 -i em3 -m 100000 -n10.1.4.4:9998 $/usr/local/sbin/softflowd -v 9 -i em4 -m 100000 -n10.1.4.4:9999
1-PHP e Apache PHP ve Apache programlarnn kurulumu iin aadaki komutlar kullanlr.
$ apt-get update $apt-get install build-essential $ apt-get install apache2 $ apt-get install php5 php5-cli
IPv6 El Kitab
Sayfa 92 / 100
Kurulum tamamlandktan sonra,.php dosyalarnn sunucu tarafndan ilenebilmesi iin /etc/apache2/mods-available/dir.conf dosyasnda deiiklik yaplmas gerekmektedir. Dosyann son hali u ekilde olmaldr:
<IfModule mod_dir.c> #DirectoryIndex index.html index.cgi index.pl index.php index.xhtml index.htm DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml </IfModule>
Kurulumun salkl olmas iin sunucu zerinde kurulu Perl srm 5 ve zeri olmaldr. Bu nedenle perl version komutu altrlarak srm kontrol edilmeli, daha eski bir srm var ise yeni srm kurulumu yaplmaldr. Nfdump baz Perl modllerine ihtiya duymaktadr, aada verilen modllerin kurulumu yaplmaldr.
$perl -MCPAN -eshell cpan> install Mail::Header cpan> install Mail::Internet
4-Nfsen Adm adm Nfsen kurulumu ve ayarlarnn bulunduu belgelere http://nfsen.sourceforge.net/ adresinden ulaabilirsiniz. Nfsen iin belgenin hazrland tarihte en gncel srm olan 1.3.5i aadaki adresten edinebilirsiniz. http://sourceforge.net/projects/nfsen/files/stable/nfsen-1.3.5/nfsen-1.3.5.tar.gz/download Nfsen kurulumuna gemeden nce kaynak arivi almal ve varsaylan olarak gelen ayar dosyas nfsen.conf adyla kopyalanmaldr.
$tar zxvf nfsen-1.3.5.tar.gz
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 93 / 100
lgili ayar dosyasnda aadaki deiiklikler yaplmaldr. Bu ayarlarn yaplmas iin vi editr kullanlabilir.
$ vi etc/nfsen.conf $BASEDIR = "/data/nfsen"; $HTMLDIR = "/var/www/nfsen/"; $PREFIX = '/usr/bin'; $USER = "www-data"; $WWWUSER = "www-data"; $WWWGROUP = "www-data"; %sources = ( 'kaynak1' => { 'port' => '9995', 'col' => '#0000ff', 'type' => 'netflow' }, 'kaynak2' => { 'port' => '9996', 'col' => '#ff00ff', 'type' => 'netflow' }, 'kaynak3' => { 'port' => '9997', 'col' => '#ffff00', 'type' => 'netflow' }, 'kaynak4' => { 'port' => '9998', 'col' => '#00ff00', 'type' => 'netflow' }, 'kaynak5' => { 'port' => '9999', 'col' => '#00ffff', 'type' => 'netflow' }, ); :wq (deiiklikleri kaydederek kn)
Not: %sources blmnde, Netflow bilgisini yollayan kaynaklarn ve ak izlerinin gnderildii port numaralarnn girilmesi gerekmektedir. rnekte 5 ayr a cihazndan gnderilen a kaytlar iin gerekli tanmlar yer almaktadr. Bu dosyadaki deiiklikleri kayt ettikten sonra Nfsen kurulumu yaplabilir. Kurulum iin aadaki komut kullanlr.
$./install.pl etc/nfsen.conf
Sonrasnda Nfsenin kullanaca php ve html dosyalar, nfsen.conf dosyasnda belirlediimiz hedef dizinlere kopyalanacak veya oluturulacaktr. Bu komut sonrasnda nfsen.conf dosyasnn CONFDIR altnda da konduunu bir kontrol edelim.
$ls -la /data/nfsen/etc/nfsen.conf -rw-r--r-- 1 root www-data 9335 2011-03-25 14:27 /data/nfsen/etc/nfsen.conf
Nfsen index dosyas otomatik olarak oluturulmadndan aadaki komut ile bu sorun giderilebilir.
$echo -e "<?php\n\theader(\"Location: nfsen.php\");\n?>" >
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 94 / 100
/var/www/nfsen/index.php
Nfsenin doru bir ekilde balatldn ve ynlendirici tarafndan yollanan kaytlarn saklanmaya balandn dorulamak iin aadaki komutlar kullanlabilir.
$cd /data/nfsen/profiles-data/live/kaynak1/ $ls -la nfcapd.current -rw-r--r-- 1 www-data www-data 276 2011-03-31 10:25 nfcapd.current
Nfcapd.current dosyas en gncel trafik izlerinin sakland dosyadr ve eer ak izleri doru bir ekilde saklanyorsa bykl artmaldr. Bu dosya her 5 dakikada bir yine /data/nfsen/profiles-data/live/kaynak1 dizini altnda oluturulmu olan yl/ay/gn eklindeki dizine nfcapd.ylaygunsaat formatnda kopyalanacaktr.
$cd /data/nfsen/profiles-data/live/kaynak1/2011/03/31 $ls nfcapd.201103310000 nfcapd.201103310145 nfcapd.201103310330 nfcapd.201103310515 nfcapd.201103310700 nfcapd.201103310845 nfcapd.201103310005 nfcapd.201103310150 nfcapd.201103310335 nfcapd.201103310520 nfcapd.201103310705 nfcapd.201103310850 nfcapd.201103310010 nfcapd.201103310155 nfcapd.201103310340 nfcapd.201103310525 nfcapd.201103310710 nfcapd.201103310855 nfcapd.201103310015 nfcapd.201103310200 nfcapd.201103310345 nfcapd.201103310530 nfcapd.201103310715 nfcapd.201103310900 nfcapd.201103310020 nfcapd.201103310205 nfcapd.201103310350 nfcapd.201103310535 nfcapd.201103310720 nfcapd.201103310905 nfcapd.201103310025 nfcapd.201103310210 nfcapd.201103310355 nfcapd.201103310540 nfcapd.201103310725 nfcapd.201103310910
Nfsenin bilgisayar her aldnda balatlmas iin /data/nfsen/bin/nfsen start satrnn eklenmesi gerekmektedir.
/etc/rc.local
dosyasna
Eer locked deeri 1 ise aadaki komut ile tekrar analiz balatlabilir.
$./nfsen -m live -U
Tm nfsen komutlar /data/nfsen/bin altnda altrldndan bu dizini genel yola (PATH) eklemek faydal olabilir:
$export PATH=$PATH:/data/nfsen/bin
Yeni kaynaklarn a izlerinin depolanmas ve ilenmesi istendiinde /data/Nfsen/etc/nfsen.conf dosyasnda deiiklik yaplmas gerekmektedir. Bu deiiklerin geerli olmas iin nfsen.conf dosyas kayt edildikten sonra aadaki komut ile Nfsen yeniden yaplandrlmaldr.
$/data/nfsen/bin/nfsen reconfig
IPv6 El Kitab
Sayfa 96 / 100
IPv6 El Kitab
Sayfa 97 / 100
Buradan bir kaynak setikten sonra Filter blmde zel olarak ilgilenilen bir kayt blm iin (IP adresi, arayz, AS, Port v.s) filtreleme yaplabilir. Bu alann kullanm ekli Nfdump verisinin kullanm ekli ile ayndr. Aadaki adres filter blmnde ayklama ile ilgili detaylar iermektedir. (http://nfdump.sourceforge.net/) Baz alanlar iin filtreleme yntemleri yledir. Balklarn altnda verilen komutlar teker teker ya da birlikte Filters blmne yazlarak ilgili bala gre filtreleme yaplabilir. Filtreleri beraber uygulamak iin aadaki yazm ekli kullanlabilir.
(Filtre1) and (Filter2) (Filtre1) or (Filtre2)
Protokol srm:
Ipv4 ipv4 Ipv6 ipv6
Protokol tipi:
TCP, UDP, ICMP, GRE, ESP, AH, RSVP yada PROTO <protokol_numaras>
IP Adresi:
Kaynak Ipsi iin: IP a.b.c.d Kaynak ya da hedef: HOST a.b.c.d
A Adresi:
NET a.b.c.d m.n.r.s (m.n.r.s a maskesi) NET a.b.c.d / num (Ya da / gsterimi ile)
Port Numaras:
PORT [operator] port_no (operator olarak =,>,< kullanlabilir)
Ynlendiricideki A Arayz:
[inout] IF arayuz_no (bana eklenecek in ya da out ile trafiin ynn debelirtebilirsiniz)
AS numaras
[SourceDestination] AS say
Ak izinin kayna ve zerinde uygulanacak filtreler belirlendikten sonra Process seenei seilerek kaytlar ilenebilir. Bu aamada da iki adet seenek bulunmaktadr: List ve Stat TopN (ekil 36 ve ekil 37). List seeneini seilen kaynaktan gelen ak izlerine hazrladnz filtrenin uygulanmasn ve sonularn grntlenmesini salamaktadr. Sonularda yer alacak izlerin saysn ve formatn belirlemenin yannda, ortaya kan bu izleri Aggregate blmnde setiiniz bir balk blmne gre (kap, hedefe ya da kaynak IP adresi) saydrlabilir. Bu seenein en temel kullanm belirli bir zaman aralnda bir IP adresine ait trafik izlerinin izlenmesidir. Ak izlerinin ilenmesinde ikinci seenek olan Stat TopN istatistik bilgilerini salamaktadr. Seilen zaman aralnda kaplar ya da IP adresleri oluturduklar flow, paket ya da trafik byklne gre listelenebilmektedir. Kaynak IP, hedef IP, Kap, AS numaras v.s. iin kacak istatistikler byte, a izi says, pps v.s. iin sralatlabilir.
IPv6 El Kitab
Sayfa 99 / 100
nemli Not: zerinde allan a ile ilgili tm trafiin bilgilerini barndran ak izlerinin tutulmas ve analiz edilmesi a ynetimi iin ok nemlidir. Bununla birlikte bu kaytlar hassas bilgiler ierdiinden a yneticileri dndaki kiilerin eriimine izin verilmemelidir. Bunun iin en pratik zm olarak .htaccess dosyas yardm ile web sunucusuna eriimi kullanc tabanl yapmaktr. Ayrca sunucuya ssh eriimini kstlamak iin gerekli tanmlar yaplmaldr.
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 100 / 100
KAYNAKLAR:
A. Conta, S. Deering, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification, RFC2463, Aralk 1998 Alan Ad Sunucusu DNS, http://en.wikipedia.org/wiki/Domain_Name_System, ubat 2011 tarihinde eriilmitir. Apache Web Sunucusu, http://httpd.apache.org/docs/2.0/tr/bind.html, ubat 2011 tarihinde eriilmitir. B. Carpenter, K. Moore, "Connection of IPv6 Domains via IPv4 Clouds", RFC 3056, ubat 2001 BIND Yaplandrmas, http://www.isi.edu/~bmanning/v6DNS.html, ubat 2011 tarihinde eriilmitir. Bradner, B., Mankin, A., The Recommendation for the IP Next Generation Protocol, RFC 1752, Ocak 1995 C. Hopps, "Routing IPv6 with IS-IS", RFC 5308, Eyll 2008 C. Huitema, "An Anycast Prefix for 6to4 Relay Routers", RFC 3068, Haziran 2001 C. Huitema, Teredo: Tunneling IPv6 over UDP through Network Addre ss Translations (NATs), RFC 4380, ubat 2006 Cisco, 6Bone Connection Using 6to4 Tunnels for IPv6, ubat 2011 tarihinde eriilmitir. D. Kegel, "NAT and Peer-to-Peer Networking", http://www.alumni.caltech.edu/~dank/peer-nat.html, Temmuz 1999 E. Davies, S. Krishnan, P. Savola, IPv6 Transition/Coexistence Security Considerations, RFC 4942, Eyll 2007 E. Nordmark, R. Gilligan, Basic Transition Mechanisms for IPv6 Hosts and Routers, RFC 4213, Ekim 2005 E.Nordmark, "Stateless IP/ICMP Translation Algorithm (SIIT)", RFC 2765, ubat 2000 G. Malkin, R. Minnear, "RIPng for IPv6", RFC 2080, Ocak 1997 Getting Connected with 6to4, http://onlamp.com/pub/a/onlamp/2001/06/01/ipv6_tutorial.html?page=3, ubat 2011 tarihinde eriilmitir. Information Sciences Institute University of Southern California, "Internet Protocol DARPA Internet Program Protocol Specification", RFC 791, Eyll 1981 Internet Protocol Version 6 Address Space, http://www.iana.org/assignments/ipv6address-space/ipv6-address-space.xml#note2, ubat 2011 tarihinde eriilmitir. IPv4 address exhaustion, http://en.wikipedia.org/wiki/IPv4_address_exhaustion, ubat 2011 tarihinde eriilmitir.
TBTAK ULAKBM, 2012 Sayfa 101 / 100
IPv6 El Kitab
IPv6 configuration for Windows, http://6to4.version6.net/?show_ip=172.16.30.213&lang=en_GB, ubat 2011 tarihinde eriilmitir. IPv6 configuration guide for FreeBSD users, http://www.kame.net/~suz/freebsd-ipv6config-guide.txt, ubat 2011 tarihinde eriilmitir. IPv6 Day, Teredo Servers, http://www.ipv6day.org/action.php?n=En.GetConnectedTeredo J. Amoss, D. Minoli, "Handbook of IPv4 to IPv6 Transition, Methodologies for Institutional and Corporate Networks", 2008 by Taylor & Francis Group J. Arkko, Ed., J. Kempf, B. Zill, P. Nikander, Secure Neighbor Discovery (SEND), RFC 3971, Mart 2005 J. Davies, TCP/IP Fundamentals for Microsoft Windows Chapter 15 IPv6 Transition Technologies, Kasm 2006, http://technet.microsoft.com/enus/library/bb727021.aspx J. Hagino, K. Yamamoto, An IPv6-to-IPv4 Transport Relay Translator, RFC 3142, Haziran 2001 J. Jeong, S. Park, L. Beloeil, S. Madanapalli, "IPv6 Router Advertisement Option for DNS Configuration", RFC 5006, Eyll 2007 Kamu Kurum ve Kurulular iin IPv6ya Gei Plan, http://www.resmigazete.gov.tr/eskiler/2010/12/20101208-7.htm, ubat 2011 tarihinde eriilmitir. M. Allman, S. Ostermann, C. Metz, "FTP Extensions for IPv6 and NATs", RFC 2428, Ekim 1998 Miredo : Teredo IPv6 tunneling for Linux and BSD, http://www.remlab.net/miredo, ubat 2011 tarihinde eriilmitir OpenBSD Manual Pages, faith - IPv6-to-IPv4 TCP relay capturing interface, http://www.openbsd.org/cgi-bin/man.cgi?query=faith&sektion=4, ubat 2011 tarihinde eriilmitir. P. Marques, F. Dupont, "Use of BGP-4 Multiprotocol Extensions for IPv6 Inter-Domain Routing", RFC 2545, Mart 1999 P. Nikander, Ed., J. Kempf, E. Nordmark, IPv6 Neighbor Discovery (ND) Trust Models and Threats, RFC 3756, Mays 2004 P. Savola, C. Patel, Security Considerations for 6to4, RFC 3964, Aralk 2004 P. Srisuresh, B. Ford, D. Kegel, State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs), RFC 5128, Mart 2008 Postfix E-Posta Sunucusu, http://www.postfix.org/IPV6_README.html, ubat 2011 tarihinde eriilmitir. Q. Zheng et al., A New Worm Exploiting IPv4-IPv6 Dual-stack Networks, Proc. 5th ACM CCS WORM07, Kasm 2007
TBTAK ULAKBM, 2012 Sayfa 102 / 100
IPv6 El Kitab
Quagga Routing Software Suite, GPL licensed IPv4/IPv6 routing software. http://www.quagga.net, ubat 2011 tarihinde eriilmitir. R. Coltun, D. Ferguson, J. Moy, A. Lindem, "OSPF for IPv6", RFC 5340, Temmuz 2008 R. Draves, Default Address Selection for Internet Protocol version 6 (IPv6), RFC 3484, ubat 2003 R. Hinden, S. Deering, Internet Protocol Version 6 (IPv6) Addressing Architecture, RFC3513, Nisan 2003 R.Droms,J.Bound, B.Volz, T.Lemon, C.Perkins, M.Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, Temmuz 2003 S. Kawamura, M. Kawashima, A Recommendation for IPv6 Address Text Representation, RFC5952, Austos 2010 S. Kent, R. Atkinson, Security Architecture for the Internet Protocol, RFC 2401, Kasm 1998 S.Deering, R.Hinden, "Internet Protocol, Version 6 (IPv6)Specification", RFC 2460, Aralk 1998 S.Thomson, T.Narten, "IPv6 Stateless Address Autoconfiguration", RFC 2462, Aralk 1998 Softflowd, Flow analiz arac, http://www.mindrot.org/projects/softflowd, ubat 2011 tarihinde eriilmitir. Source and Destination Address Selection for IPv6, ubat 2006, http://www.microsoft.com/technet/community/columns/cableguy/cg0206.mspx Tcpdump A trafii analiz arac, http://www.tcpdump.org, ubat 2011 tarihin de eriilmitir. The Faith TRT for FreeBSD and NetBSD, http://www.networkdictionary.com/Networking/Faith-TRT-FreeBSD-andNetBSD.php The IPv6 Portal, Connectivitiy Teredo, http://www.ipv6tf.org/index.php?page=using/connectivity/teredo, ubat 2011 tarihinde eriilmitir. The IPv6 Portal, Connectivity 6to4 configuration, http://www.ipv6tf.org/index.php?page=using/connectivity/6to4, ubat 2011 tarihinde eriilmitir. Ulusal IPv6 Protokol Altyaps Tasarm ve Geii Projesi Web Sitesi, http://www.ipv6.net.tr, , ubat 2011 tarihinde eriilmitir. W. Dale, IPv6 6to4 Relay Routing Service, http://helpdesk.doit.wisc.edu/ns/page.php?id=9462, Haziran 2009 RFC 1035, DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION, http://www.ietf.org/rfc/rfc1035.txt RFC 2671, Extension Mechanisms for DNS (EDNS0), http://www.ietf.org/rfc/rfc2671.txt
TBTAK ULAKBM, 2012 Sayfa 103 / 100
IPv6 El Kitab
RFC 2672, Non-Terminal DNS Name Redirection, http://www.ietf.org/rfc/rfc2672.txt draft-ietf-behave-dns64-06, DNS64: DNS extensions for Network Address Translation from IPv6 Clients to IPv4 Servers, http://www.viagenie.ca/ietf/draft/draft-ietfbehave-dns64-06.txt draft-ietf-behave-v6v4-framework-06, Framework for IPv4/IPv6 Translation, http://www.viagenie.ca/ietf/draft/draft-ietf-behave-v6v4-framework-06.txt draft-ietf-behave-v6v4-xlate-09, IP/ICMP Translation Algorithm, http://www.viagenie.ca/ietf/draft/draft-ietf-behave-v6v4-xlate-09.txt draft-ietf-behave-v6v4-xlate-stateful-08, Stateful NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers, http://www.viagenie.ca/ietf/draft/draft-ietf-behave-v6v4-xlate-stateful-08.txt http://tr.wikipedia.org/wiki/SNMP
IPv6 El Kitab