Ağ yöneticilerinin yıllardır düzeltmeyi, telafi etmeyi ya da yeniden düzenlemeyi öğrendiği TCP/IP’nin sayısız “özelliklerinden” Ping of Death (Ping’in Ölümü), kaynak yönlendirme, bulunduğu yer belli olmayan güvenlik duvarı ve IP kandırmacası gibi sorunları hatırlayın.
Ticari yaygın internetin şafağında, 1994 yılında TCP/IP ile çalışmaya başladım. TCP/IP ile çalıştığım yıllarda, şu anda TCP/IP’nin en yaygın sürümü olan IPv4 tarafından içerik olarak kısıtlı adres alanının korunmasını amaçlayan Sınıfsız Alanlar Arası Yönlendirme (Classless Inter-Domain Routing –CIDR) tanıtıldı.
Aslında IPv4 1980’de RFC 760 içinde resmiyet kazandı ve daha sonra 1981 yılında RFC 791 ile yeniden şekillendirilerek şu anda kullandığımız halini aldı. IPv4 birçok konuda sıkıntılar getirse de esas olarak gözümüze batan iki önemli konudan muzdarip oldu.
TCP/IP çoğu çekirdek internet protokolü gibi “dost canlısı” bir çevrede kullanılmak için tasarlanmıştı.
Protokolün tasarım aşamasında internetin gelişimi öngörülemedi.
Son 15 yıldır ve bugün karşılaştığımız konuların başında güvenlik çalışmalarının hep sonradan, ya işlem sırasında ya da internet tam anlamıyla çalışırken düşünülmüş olması geliyor. Ayrıca tüm adres alanlarını kullandık bile. Son IPv4 alanları da 2011 yılının 3 Şubat’ında tahsis edildi.
IPv6’ya, internet çağı için tasarlanmış bir protokole girin… Fikir aşamasında güvenlik hesaba katılarak tasarlanmış bir protokol. Alınabilecek adres alanı elbette artıyor. IPv4’e göre hem de tam 4 milyar kat daha fazla adres bizleri bekliyor. Ayrıca IPv6 IPSec, şifreleme ve çoktan beri ihtiyaç duyulan TCP/IP ile bütünlüğü içeriyor. Bunların hepsi elbette iyi, değil mi?
Pek değil aslında. Bundan dört yıl kadar öncesinde Philippe Biondi ve Arnaud Ebalard IPv6’nın canlandırmasını yaptıklarında IPv6 “yönlendirme başlığının” esrarengiz şekilde IPv4’teki “kaynak yönlendirme” ile benzerlik gösterdiğini ortaya koydu. Bir özellik, IP yığınlarında önce yöneticiler sonra da sağlayıcılar tarafından evrensel olarak yok sayılmış birçok güvenlik sancısına sebep oldu. Görünen o ki, standartların belirlenmesine rağmen geçmişten hiçbir ders alınmamış.
Şimdi IPv6 uyumlu yazılmış sayısız uygulamalar ve içlerine uyumlu yazılım yüklenmiş binlerde çeşit donanımı düşünün. Binlerce açığa gebe milyonlarca satır kod. 1994 yılında doğru olduğunu ve takip etmemiz gerektiğini öğrendiğim IPv4 standartlarında sadece bir sağlayıcıda gördüğüm TCP/IP yığın yenilemelerini sayamıyorum bile.
Kurumlar için mesaj oldukça açık aslında. Şimdiden yapacaklarınızı planlayın, sağlayıcılarınıza doğru soruları yönlendirin ve BT ile güvenlik ekiplerinizin IPv6 geçiş planlarının olduğuna emin olun. Ölçümlenebilir güvenlik duvarları, VPN’ler, IPS ve kalem testleri gibi kavramların oturması için v4 ve v6 bir süre aynı paralelde çalışırken suçlular zirvede yer alacaktır.