- Katılım
- 15 May 2013
- Konular
- 971
- Mesajlar
- 6,650
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 12 Gün
- MmoLira
- 22,212
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
Windows ve EUI-64
Windows Vista ve Windows Server 2008'den önce, Windows sunucuları Arayüz Tanımlayıcıları (EUI-64) oluşturmak için yalnızca MAC adreslerini kullanıyordu. Küresel olarak benzersiz adresler ve bağlantı yerel adresleri, segmentin öneki artı sunucunun fiziksel adresinden oluşturulan EUI-64 tanımlayıcısı kullanılarak oluşturuluyordu. Ağ güvenliğinin artmasıyla birlikte, bunun bir güvenlik açığı olduğu tespit edildi çünkü bir IPv6 adresi, fiziksel ekipmanı benzersiz bir şekilde tanımlayan bir MAC adresine kolayca bağlanabilir.
Örneğin, X:X:X:X::/64 küresel önekine sahip bir IPv6 ağına bağlanan bir dizüstü bilgisayara sahip bir kullanıcıyı düşünün. SLAAC aracılığıyla, kullanıcının dizüstü bilgisayarı X:X:X:X:EUI-64 küresel olarak benzersiz bir adres oluşturacaktır. Kullanıcının başka bir yere gidip Y:Y:Y:Y::/64 küresel önekine sahip başka bir IPv6 ağına bağlandığını varsayalım. Kullanıcının dizüstü bilgisayarı, Y:Y:Y:Y:EUI-64 şeklinde küresel bir tekil adres oluşturur; kullanıcı Z:Z:Z:Z::/64 ağına bağlanırsa, Z:Z:Z:Z::EUI-64 IPv6 adresini alır ve bu böyle devam eder. Bunun, kullanıcının izlenmesi için bir fırsat yarattığını açıkça görebilirsiniz, çünkü nereye giderse gitsin ve hangi ağa bağlanırsa bağlansın, dizüstü bilgisayarının oluşturduğu küresel olarak benzersiz IPv6 adresinin ikinci yarısı her zaman aynıdır. Birisi dizüstü bilgisayarının EUI-64 arayüz tanımlayıcısını biliyorsa, kullanıcı hiçbir ağa anonim olarak bağlanamaz. Bu, birçok farklı şekilde kolayca istismar edilebilir; örneğin, web siteleri ve uygulamalar belirli bir cihaza veya kullanıcıya farklı IPv6 adresleri atayabilir.
Şirketler bunu fark etti ve kullanıcı gizliliğini iyileştirmeye yardımcı olan iki kavram geliştirdi: Rastgele Arayüz Tanımlayıcıları ve Geçici IPv6 adresleri. İlk terimin ne olduğuna bakarak başlayalım.
Rastgele Tanımlayıcılar Oluşturma
Rastgele Tanımlayıcılar oluşturma özelliği, SLAAC (Durumsuz Adres Otomatik Yapılandırması) için gizlilik uzantısının bir parçası olarak sunulmuştur. Windows Vista'dan sonra bu özellik varsayılan olarak etkinleştirilir, bu nedenle bir Windows ana bilgisayarı SLAAC ile bir IPv6 adresi oluşturduğunda, her zaman Rastgele Arayüz Kimliği kullanır.
Windows 10 ana bilgisayarının Fiziksel adresini ve Bağlantı Yerel adresini gösteren ipconfig /all komutunun çıktısının bir bölümüne bakalım. MAC adresinin 00-0A-12-34-56-78 olduğunu görebilirsiniz ve bu nedenle PC1, bağlantı yerel adresini oluşturmak için EUI-64 kullanıyorsa, bu adres fe80::20a:12ff:fe34:5678 olmalıydı.
Açıkçası, mevcut yerel bağlantı adresi MAC adresi kullanılarak değil, rastgele bir arayüz tanımlayıcısı kullanılarak oluşturuluyor. Bunun nedeni, Rastgele Tanımlayıcılar özelliğinin varsayılan olarak etkinleştirilmiş olmasıdır. Bunu, PowerShell komutu get-netipv6protocol veya Windows Komut İstemi'nde netsh interface ipv6 show global komutunu kullanarak kontrol edebiliriz.
Windows ana bilgisayarının varsayılan davranışını değiştirmek ve Rastgele Tanımlayıcıları devre dışı bırakmak için PowerShell'de aşağıdaki komutu kullanabiliriz. Bu özelliği devre dışı bırakmak, aşağıdaki örnekte görebileceğiniz gibi Windows'un Arayüz Kimliği için EUI-64 kullanmasını sağlar.
Dikkat edin, artık yerel bağlantı adresi MAC adresinden oluşturuluyor ve tam olarak beklediğimiz değer.
Geçici IPv6 Adresleri
SLAAC için Gizlilik Genişletmesinin bir parçası olan bir diğer önemli kavram, Geçici IPv6 adreslerinin kullanımıdır. Geçici adreslerin ardındaki fikir, nispeten kısa bir ömre sahip ve anonim giden bağlantılar için kullanılabilen rastgele oluşturulmuş bir genel IPv6 adresine sahip olmaktır. Her yeniden başlatmada, IPv6 yığınının açılıp kapatılmasında veya Tercih Edilen Ömür sona erdiğinde, bu geçici adres Rastgele Arayüz Tanımlayıcısı kullanılarak yeniden oluşturulur. Bu nedenle, farklı giden bağlantılar farklı Geçici IPv6 adreslerinden başlatılabilir; bu da genel IPv6 adresini fiziksel ekipman/kullanıcıyla ilişkilendirerek birinin kullanıcıyı izleme riskini en aza indirir.
Elbette, gelen bağlantılar değişmeyen gerçek Genel IPv6 adresine yapılır. Ancak, tipik bir İnternet kullanıcısı senaryosunda, tüm bağlantılar kullanıcının makinesi tarafından bir İnternet hizmetine doğru başlatılır (istemci-sunucu iletişimi).
Bu özelliğin varsayılan olarak etkinleştirilmiş olup olmadığını, PowerShell'in get-netipv6protocol komutunu veya Komut İstemi'nin netsh interface ipv6 show privacy komutunu kullanarak doğrulayabilirsiniz.
Bazı durumlarda, aynı anda birden fazla (yüzlerce olabilir) Geçici IPv6 Adresi görebilirsiniz. Bu, bir adresin Maksimum Tercih Edilen Ömrü dolduğunda ancak bu belirli adresi kullanan bir bağlantı hala açık olduğunda gerçekleşir. Bu durumda, başka bir Geçici IPv6 adresi oluşturulur, ancak eski adres tüm açık bağlantılar kapatılana kadar silinmez. Farklı ömür sürelerinin ne anlama geldiği hakkında daha fazla bilgi Şekil 3'te görülebilir.
Windows 10'da Genel IPv6 Adresi Yapılandırma
Windows 10 sunucularına IPv6 adresi atamak için üç yöntem vardır:
Yöntem 1: Sunucuyu manuel olarak yapılandırma.
Yöntem 2: SLAAC ve Durumsuz DHCPv6 sunucusu kullanma.
Yöntem 3: Durumlu DHCPv6 sunucusu kullanma.
Manuel Adres Ataması
Manuel yapılandırma oldukça basittir. Ağ Bağdaştırıcıları Ayarları'na gidip İnternet Protokolü Sürüm 6 Özellikleri altında her şeyi Şekil 4'te gösterildiği gibi yapılandırıyoruz. Bu yaklaşım SOHO ağları için geçerlidir, ancak büyük ağ ortamları için ölçeklenebilir bir çözüm değildir.
Dinamik Adresleme
Windows'un IPv6 ayarlarını nasıl yapılandıracağına otomatik olarak karar vermesini sağlamak için, varsayılan ayarlar olan "IPv6 adresini otomatik olarak al" seçeneğini bırakıyoruz. Bu yaklaşımı kullanırken, dinamik adresleme türü, segmentteki Varsayılan Yönlendirici tarafından gönderilen Yönlendirici Reklamları tarafından belirlenir. Otomatik Yapılandırma Bayraklarına bağlı olarak, ana bilgisayar SLAAC artı Durumsuz DHCPv6 mı yoksa Durumlu DHCPv6 mı kullanacağını bilir.
Unutmayın ki, hangi adresleme yönteminin kullanılacağına karar vermek ağ yöneticilerine ve şirketin politikasına bağlıdır. Windows açısından bakıldığında, SLAAC kullanarak bir IPv6 adresi oluşturabilir ve aynı anda DHCPv6 kullanarak başka bir adres alabilir. Bu, ana bilgisayarın en az iki global tekil adrese sahip olacağı anlamına gelir. Şekil 6'da böyle bir örnek gösterilmiştir.
İlk GUA adresi SLAAC aracılığıyla oluşturulmuş, ikincisi ise bir DHCPv6 sunucusundan alınmıştır.
Windows Vista ve Windows Server 2008'den önce, Windows sunucuları Arayüz Tanımlayıcıları (EUI-64) oluşturmak için yalnızca MAC adreslerini kullanıyordu. Küresel olarak benzersiz adresler ve bağlantı yerel adresleri, segmentin öneki artı sunucunun fiziksel adresinden oluşturulan EUI-64 tanımlayıcısı kullanılarak oluşturuluyordu. Ağ güvenliğinin artmasıyla birlikte, bunun bir güvenlik açığı olduğu tespit edildi çünkü bir IPv6 adresi, fiziksel ekipmanı benzersiz bir şekilde tanımlayan bir MAC adresine kolayca bağlanabilir.
Örneğin, X:X:X:X::/64 küresel önekine sahip bir IPv6 ağına bağlanan bir dizüstü bilgisayara sahip bir kullanıcıyı düşünün. SLAAC aracılığıyla, kullanıcının dizüstü bilgisayarı X:X:X:X:EUI-64 küresel olarak benzersiz bir adres oluşturacaktır. Kullanıcının başka bir yere gidip Y:Y:Y:Y::/64 küresel önekine sahip başka bir IPv6 ağına bağlandığını varsayalım. Kullanıcının dizüstü bilgisayarı, Y:Y:Y:Y:EUI-64 şeklinde küresel bir tekil adres oluşturur; kullanıcı Z:Z:Z:Z::/64 ağına bağlanırsa, Z:Z:Z:Z::EUI-64 IPv6 adresini alır ve bu böyle devam eder. Bunun, kullanıcının izlenmesi için bir fırsat yarattığını açıkça görebilirsiniz, çünkü nereye giderse gitsin ve hangi ağa bağlanırsa bağlansın, dizüstü bilgisayarının oluşturduğu küresel olarak benzersiz IPv6 adresinin ikinci yarısı her zaman aynıdır. Birisi dizüstü bilgisayarının EUI-64 arayüz tanımlayıcısını biliyorsa, kullanıcı hiçbir ağa anonim olarak bağlanamaz. Bu, birçok farklı şekilde kolayca istismar edilebilir; örneğin, web siteleri ve uygulamalar belirli bir cihaza veya kullanıcıya farklı IPv6 adresleri atayabilir.
Şirketler bunu fark etti ve kullanıcı gizliliğini iyileştirmeye yardımcı olan iki kavram geliştirdi: Rastgele Arayüz Tanımlayıcıları ve Geçici IPv6 adresleri. İlk terimin ne olduğuna bakarak başlayalım.
Rastgele Tanımlayıcılar Oluşturma
Rastgele Tanımlayıcılar oluşturma özelliği, SLAAC (Durumsuz Adres Otomatik Yapılandırması) için gizlilik uzantısının bir parçası olarak sunulmuştur. Windows Vista'dan sonra bu özellik varsayılan olarak etkinleştirilir, bu nedenle bir Windows ana bilgisayarı SLAAC ile bir IPv6 adresi oluşturduğunda, her zaman Rastgele Arayüz Kimliği kullanır.
Windows 10 ana bilgisayarının Fiziksel adresini ve Bağlantı Yerel adresini gösteren ipconfig /all komutunun çıktısının bir bölümüne bakalım. MAC adresinin 00-0A-12-34-56-78 olduğunu görebilirsiniz ve bu nedenle PC1, bağlantı yerel adresini oluşturmak için EUI-64 kullanıyorsa, bu adres fe80::20a:12ff:fe34:5678 olmalıydı.
Kod:
PS C:\Users\Administrator> ipconfig /all
Ethernet adapter Eth0:
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0A-12-34-56-78
Link-local IPv6 Address . . . . . : fe80::ec94:3519:1f19:711f%8(Preferred)Açıkçası, mevcut yerel bağlantı adresi MAC adresi kullanılarak değil, rastgele bir arayüz tanımlayıcısı kullanılarak oluşturuluyor. Bunun nedeni, Rastgele Tanımlayıcılar özelliğinin varsayılan olarak etkinleştirilmiş olmasıdır. Bunu, PowerShell komutu get-netipv6protocol veya Windows Komut İstemi'nde netsh interface ipv6 show global komutunu kullanarak kontrol edebiliriz.
Kod:
PS C:\Users\Administrator> get-netipv6protocol
DefaultHopLimit : 128
NeighborCacheLimit(Entries) : 256
RouteCacheLimit(Entries) : 4096
ReassemblyLimit(Bytes) : 67105632
IcmpRedirects : Enabled
SourceRoutingBehavior : DontForward
DhcpMediaSense : Enabled
MediaSenseEventLog : Disabled
MldLevel : All
MldVersion : Version2
MulticastForwarding : Disabled
GroupForwardedFragments : Disabled
RandomizeIdentifiers : Enabled
AddressMaskReply : Disabled
UseTemporaryAddresses : Enabled
MaxTemporaryDadAttempts : 3
MaxTemporaryValidLifetime : 7.00:00:00
MaxTemporaryPreferredLifetime : 1.00:00:00
TemporaryRegenerateTime : 00:00:05
MaxTemporaryDesyncTime : 00:10:00
DeadGatewayDetection : EnabledWindows ana bilgisayarının varsayılan davranışını değiştirmek ve Rastgele Tanımlayıcıları devre dışı bırakmak için PowerShell'de aşağıdaki komutu kullanabiliriz. Bu özelliği devre dışı bırakmak, aşağıdaki örnekte görebileceğiniz gibi Windows'un Arayüz Kimliği için EUI-64 kullanmasını sağlar.
Kod:
PS C:\Users\Administrator> set-netipv6protocol -RandomizeIdentifiers Disabled
PS C:\Users\Administrator>
PS C:\Users\Administrator> ipconfig /all
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0A-12-34-56-78
Link-local IPv6 Address . . . . . : fe80::20a:12ff:fe34:5678%8(Preferred)Dikkat edin, artık yerel bağlantı adresi MAC adresinden oluşturuluyor ve tam olarak beklediğimiz değer.
Geçici IPv6 Adresleri
SLAAC için Gizlilik Genişletmesinin bir parçası olan bir diğer önemli kavram, Geçici IPv6 adreslerinin kullanımıdır. Geçici adreslerin ardındaki fikir, nispeten kısa bir ömre sahip ve anonim giden bağlantılar için kullanılabilen rastgele oluşturulmuş bir genel IPv6 adresine sahip olmaktır. Her yeniden başlatmada, IPv6 yığınının açılıp kapatılmasında veya Tercih Edilen Ömür sona erdiğinde, bu geçici adres Rastgele Arayüz Tanımlayıcısı kullanılarak yeniden oluşturulur. Bu nedenle, farklı giden bağlantılar farklı Geçici IPv6 adreslerinden başlatılabilir; bu da genel IPv6 adresini fiziksel ekipman/kullanıcıyla ilişkilendirerek birinin kullanıcıyı izleme riskini en aza indirir.
Elbette, gelen bağlantılar değişmeyen gerçek Genel IPv6 adresine yapılır. Ancak, tipik bir İnternet kullanıcısı senaryosunda, tüm bağlantılar kullanıcının makinesi tarafından bir İnternet hizmetine doğru başlatılır (istemci-sunucu iletişimi).
Kod:
PS C:\Users\Administrator> get-netipv6protocol
DefaultHopLimit : 128
NeighborCacheLimit(Entries) : 256
RouteCacheLimit(Entries) : 4096
ReassemblyLimit(Bytes) : 67105632
IcmpRedirects : Enabled
SourceRoutingBehavior : DontForward
DhcpMediaSense : Enabled
MediaSenseEventLog : Disabled
MldLevel : All
MldVersion : Version2
MulticastForwarding : Disabled
GroupForwardedFragments : Disabled
RandomizeIdentifiers : Enabled
AddressMaskReply : Disabled
UseTemporaryAddresses : Enabled
MaxTemporaryDadAttempts : 3
MaxTemporaryValidLifetime : 7.00:00:00
MaxTemporaryPreferredLifetime : 1.00:00:00
TemporaryRegenerateTime : 00:00:05
MaxTemporaryDesyncTime : 00:10:00
DeadGatewayDetection : EnabledBu özelliğin varsayılan olarak etkinleştirilmiş olup olmadığını, PowerShell'in get-netipv6protocol komutunu veya Komut İstemi'nin netsh interface ipv6 show privacy komutunu kullanarak doğrulayabilirsiniz.
Kod:
C:\Users\Administrator>netsh interface ipv6 show privacy
Querying active state...
Temporary Address Parameters
---------------------------------------------
Use Temporary Addresses : enabled
Duplicate Address Detection Attempts: 3
Maximum Valid Lifetime : 7d
Maximum Preferred Lifetime : 1d
Regenerate Time : 5s
Maximum Random Time : 10m
Random Time : 6sBazı durumlarda, aynı anda birden fazla (yüzlerce olabilir) Geçici IPv6 Adresi görebilirsiniz. Bu, bir adresin Maksimum Tercih Edilen Ömrü dolduğunda ancak bu belirli adresi kullanan bir bağlantı hala açık olduğunda gerçekleşir. Bu durumda, başka bir Geçici IPv6 adresi oluşturulur, ancak eski adres tüm açık bağlantılar kapatılana kadar silinmez. Farklı ömür sürelerinin ne anlama geldiği hakkında daha fazla bilgi Şekil 3'te görülebilir.
Windows 10'da Genel IPv6 Adresi Yapılandırma
Windows 10 sunucularına IPv6 adresi atamak için üç yöntem vardır:
Yöntem 1: Sunucuyu manuel olarak yapılandırma.
Yöntem 2: SLAAC ve Durumsuz DHCPv6 sunucusu kullanma.
Yöntem 3: Durumlu DHCPv6 sunucusu kullanma.
Manuel Adres Ataması
Manuel yapılandırma oldukça basittir. Ağ Bağdaştırıcıları Ayarları'na gidip İnternet Protokolü Sürüm 6 Özellikleri altında her şeyi Şekil 4'te gösterildiği gibi yapılandırıyoruz. Bu yaklaşım SOHO ağları için geçerlidir, ancak büyük ağ ortamları için ölçeklenebilir bir çözüm değildir.
Dinamik Adresleme
Windows'un IPv6 ayarlarını nasıl yapılandıracağına otomatik olarak karar vermesini sağlamak için, varsayılan ayarlar olan "IPv6 adresini otomatik olarak al" seçeneğini bırakıyoruz. Bu yaklaşımı kullanırken, dinamik adresleme türü, segmentteki Varsayılan Yönlendirici tarafından gönderilen Yönlendirici Reklamları tarafından belirlenir. Otomatik Yapılandırma Bayraklarına bağlı olarak, ana bilgisayar SLAAC artı Durumsuz DHCPv6 mı yoksa Durumlu DHCPv6 mı kullanacağını bilir.
Unutmayın ki, hangi adresleme yönteminin kullanılacağına karar vermek ağ yöneticilerine ve şirketin politikasına bağlıdır. Windows açısından bakıldığında, SLAAC kullanarak bir IPv6 adresi oluşturabilir ve aynı anda DHCPv6 kullanarak başka bir adres alabilir. Bu, ana bilgisayarın en az iki global tekil adrese sahip olacağı anlamına gelir. Şekil 6'da böyle bir örnek gösterilmiştir.
İlk GUA adresi SLAAC aracılığıyla oluşturulmuş, ikincisi ise bir DHCPv6 sunucusundan alınmıştır.
