TOPIC:

TCP/IP (Transmission Control Protocol/Internet Protocol) protokol ailesi 1969 yılından beri kullanılmaktadır. 1981 yılında RFC(Request For Comments) 791’le yayınlanmış olan IPv4 protokolü bazı değişikliklerle günümüze kadar internet trafiğini başarılı olarak taşımıştır. Fakat IPv4 tasarlanırken o günün koşulları içerisinde adres uzayı, servis kalitesi ve güvenlik önlemleri yetersiz kalmıştır[1].

IPv4 adres sayısı açısından çok önemli sıkıntılar çıkmaya başlamıştır ve bu sıkıntıların ilerleyen yıllarda daha ciddi boyutlara ulaşacağı öngörülmektedir. Örneğin, son yıllarda Dünya’da hızlı gelişen ülkelerin başında gelen Çin’de IPv4 adres almaya çalışan kişi ve kurumların sayısı çok ciddi boyutlara ulaşmıştır. Ancak IPv4 adres sayısı az olduğundan dolayı Çin’de yaşanan talebin karşılanmasında zorluklar yaşanmaktadır. IPv4 adresler 32 bit uzunluğundadır. 32 bitlik adreslerle 2^32= 4,294,967,296 tane farklı adres üretilebilir. Bu adreslerin bir kısmı iç ağ kullanımları, yerel çevrimler (loopback), çokluyayın (multicast) ve araştırmalar için kullanılmaktadır. Bunun yanında IPv4 adres dağıtımında etkili bir yöntem izlenmediğinden yeni kullanımlar için IP adresleri hızla tükenmektedir. Diğer taraftan internete bağlı makinelerin hızla artması ve yeni uygulamaların (3G, 4G, VoIP, GPRS, IPTV, NGN) devreye girmesi, IP adresi ihtiyacını da artırmaktadır. IP adreslerinin etkin kullanımı için süreç içerisinde değişken boyutlu alt ağ maskesi, ağların alt ağlara bölünmesi, ağ adres çevrimi (Network Address Translation) gibi çözümler üretilse de bunlar bazı sorunları da beraberinde getirmiştir. Bu yüzden her bir cihazın kendi gerçek IP adresini kullanabilecek yeni uygulamaları (3G, 4G, VoIP, GPRS, IPTV, NGN) problemsiz olarak destekleyecek IP adresleme mekanizmasına ihtiyaç vardır.

IPv4 adres sayısının yetersiz olması, ileri, gelişmekte olan ve nüfusun fazla olduğu ülkelerde hissedilmeye başlanmıştır. Bunlar arasında Çin, Japonya, Hindistan ve Güney Kore başta gelmektedir. IPv4 adreslerinin başlangıçta küresel olarak adil dağıtılmaması, sorunun büyük kısmını oluşturmaktadır. Örneğin IPv4 adreslerinin ilk dağıtılmaya başlandığı yıllarda ABD’de ayrı ayrı Stanford ve MIT üniversitelerinin sahip olduğu IP adres sayısı, Çin’in ülkesel olarak sahip olduğu IP adres sayısından daha fazlaydı. Amerika Birleşik Devletleri küresel olarak IPv4 adreslerinin %37’den fazlasına hâkim durumdadır. Bu IPv4 adreslerinin ilk dağıtılmaya başlandığında bu oran %55’ti. İnternetin yaygınlaşmasıyla birlikte IPv4 adreslerinin daha dengeli dağıtımı için çeşitli politikalar geliştirilmiştir. Türkiye IP adreslerinin %0.42’sine sahiptir. Nüfuslar karşılaştırıldığında ve teknolojik gelişmelerin artık sınır tanımadığı düşünüldüğünde bu tablonun biran önce düzeltilmesi gerektiği görülebilir. IPv6 ile bu adres kıtlığının çözülmesi ve hâlihazırda çalışan ilgili küresel otoritelerce adres dağıtımı daha sistematik olarak yönetilmesi beklenmektedir.

IANA (Internet Assigned Numbers Authority) kontrolünde bulunan IPv4 adreslerinin Haziran 2011’e kadar biteceği, IANA’dan adresleri alan ISS (Internet Servis Sağlayıcı)’lerin elinde bulunan adreslerin de 2012 yılında biteceği tahmin edilmektedir. Bu tahminleri destekleyen unsurlar aşağıdaki gibi verilebilir:

Amerika Birleşik Devletleri Kamu Kurumları, NASA, Savunma Dairesi ve benzeri kuruluşlar 30 Haziran 2008’de resmi olarak IPv6’ya geçmiş olacağını duyurmuştur. Windows Vista IPv6 teknolojisini desteklemektedir. Bu desteğin IPv6 geçişini hızlandıracağı tahmin edilmektedir. Şubat 2007’de 2 milyon Windows Vista lisansının satıldığı belirtilmiştir. Bu durum IPv6’nın kısa zamanda en azından uç birimlerde yaygın olarak hazır olacağını açıkça ortaya koymaktadır.

IMS, NGN, Wimax, Wi-Fi, 3G, IPTV kurulumları ve servisleri gün geçtikçe artmaktadır. Terminal çeşitliliği ve sayısı hızla artmaktadır. Örneğin, Strategy Analytics şirketinin bir araştırmasına göre 2010’da 3G kullanıcı sayısının 1 Milyarı geçeceği öngörülmektedir. Bu sayının da telsiz iletişim terminallerinin sadece 1/3’ünü oluşturacağı tahmin edilmektedir.

Hali hazırda kullanılan IPv4 protokolü tasarlanırken daha çok veri taşıyacağı düşünülerek ona uygun bir protokol yapısı geliştirilmiştir. Bu yapıda daha çok verilerin bir noktadan başka bir noktaya hatasız bir şekilde iletilmesi göz önüne alınmıştır. Zamanla internet üzerinden veri trafiği dışında ses, görüntü gibi karakteristik olarak farklı türdeki bilginin taşınması ihtiyacı ortaya çıkmıştır. Bu veri ve ses trafikleri bilginin hatasız iletilmesinden çok, belli bir zaman içerisinde karşı hedefe varmasını hedefler. Bu da internet yapısında farklı servisler için farklı önceliklendirmeleri (Quality of Service) gerektirir. IPv4’te çok sınırlı yeteneklere sahip bir önceliklendirme mekanizması vardır, fakat bu özellik internet üzerinde çalışmamaktadır. Daha sonradan eklenen bazı araçlarla servis kalitesi ayarlanmaya çalışılsa da servis kalitesi içerisine gömülü bir protokolün etkinliği seviyesinde olmamıştır. Farklı servisler için farklı önceliklendirmeleri destekleyecek bir protokole ihtiyaç vardır.

TCP/IP protokol ailesi ARPANET projesi çerçevesinde geliştirilirken daha çok protokolün hatasız çalışması hedeflenmiştir. Bu yüzden veri bağlama katmanında ve iletim katmanında hata kontrolü yapılmaktadır. Fakat protokol ailesinin yapısında güvenliğe karşı bir önlem alınmamıştır. İnternetin yaygın olarak kullanılmasıyla bilerek ya da bilmeyerek kullanıcılar bilgisayarların sürekliliğine, gizliliğine ve bütünlüğüne zarar vermişlerdir. Ağ üzerinde yapılan bu ataklara ya da yanlış kullanımlara karşı güvenlik duvarı, kimlik doğrulama, yetkilendirme, izleme, saldırı tespit/önleme sistemleri gibi çözümler geliştirilmiştir. Günümüzde çok sayıda yeni atak ve bu ataklara karşı güvenlik önlemleri ortaya çıkmaktadır.

IPV6'NIN TEKNİK ÖZELLİKLERİ
IPv6 protokolü, IETF (Internet Engineering Task Force) tarafından yayınlanmış olan bir dizi RFC dokümanı vasıtasıyla tanımlanmıştır. Bu RFC'lerin en temel olanlarına IETF IPv6 Çalışma Grubu sayfasından ulaşılabilir[2].

IPv6'yı IPv4'ten ayıran en önemli özellik 128 bitlik genişletilmiş adres alanıdır. Bu genişlemenin sağlamış olduğu teorik adreslenebilir düğüm sayısı 340,282,366,920,938,463,463,374,607,431,768,211,456'dır. Böylesine geniş bir adres alanının şu an yaşanan adres sıkıntısını çözmesinin yanında, İnternet uygulamalarında yeniliklere de yol açması beklenmektedir. Öte yandan, IP üzerinde yapılan değişiklikler sadece bununla da kalmayıp, protokolün tam anlamıyla tekrar gözden geçirilmesi ve yenilenmesi de söz konusu olmuştur. Bunlar arasında basitleştirilmiş ve 64 bitlik işlemcilere göre düzenlenmiş paket başlığı, paket bölünmesinin sadece uç noktalarda yapılacak olması yönlendiricilerin veri trafiğini daha seri bir şekilde işleyebilmesi için yapılan değişikliklerdir. Temel IP başlığının yanı sıra ihtiyaca göre eklenebilir uzantı başlıklarının tanımlanabilmesi protokolün esnekliğini arttıran bir faktör olmuştur. Güvenlik için IPsec (IP security protocol ) şartı da IPv6 ile gelen özellikler arasında yer alır [3].

IPv6 adresleri bağ içi (link-local) ve evrensel (global) olmak üzere iki çeşittir. Bağ içi adresler sadece özel amaçlarla kullanılır ve bu adresleri taşıyan paketler yönlendiriciler tarafından asla diğer bağlara iletilmezler. IPv4'te sıkça kullanılan genel yayın (broadcast) adresleri, görevleri çoklu yayın (multicast) adresleri tarafından üstlenildiği için IPv6 mimarisinde yer almaz. Herhangi birine yayın adresleri (anycast) IPv6'nın getirmiş olduğu yenilikler arasındadır. Bu tip adreslere gönderilen paketler, bu adresi kullanan birden çok düğümden sadece birine varacak şekilde yönlendirilir. Kullanımda birden çok düğümün aynı adresi paylaşması açısından çoklu yayın adreslerine benzemekle birlikte, paketin sonunda sadece tek bir düğüme ulaşması açısından tekli yayını andırırlar.

Otomatik adres yapılandırması IPv6'nın getirmiş olduğu önemli yeniliklerdendir. Ağ üzerindeki adres atama görevini üstlenmiş bir DHCP(Dynamic Host Configuration Protocol) ya da PPP (Point to Point Protocol) sunucusu olmaksızın ağa bağlı düğümlerin kendilerince adres edinmelerine olanak tanır. Bununda temelinde ağdaki yönlendiricilerin gerekli adres bloğunu anons etmeleri ve düğümlerin de bu bloğa kendilerinden 64 bitlik bir değer eklemeleriyle adres oluşturmaları yatar. Bu şekilde oluşturulan adreslerin kullanılmadan önce tekillik testinden geçirilmesi gerekir. Düğümler başkaları tarafından kullanılmadığına kanaat getirdikleri adresi kullanıma alabilir.

IP protokol başlığında ise büyük değişiklikler olmuştur. IPv4'te var olan protokol başlık büyüklüğü, kimlik bilgisi, paket parçası bilgisi, başlık sağlama toplamı kaldırılmış, IPv6 başlığına yeni olarak akış bilgisi eklenmiştir. Tipik 20 bayt genişliğindeki IPv4 başlığının yerini 40 baytlık IPv6 başlığı almıştır. Temel IPv6 başlığına ek olarak, kendince özel amaçlara yönelik yönlendirme, paket bölmesi, şifreleme ve mobil uzantı başlıkları tanımlanmıştır. Zaman içerisinde ihtiyaç oldukça bunlara yenilerinin eklenmesi de mümkün kılınmıştır.

Yönlendirme alanında temel prensiplerde bir değişiklik olmamakla birlikte var olan RIP (Routing Information Protocol), OSPF(Open Shortest Path First), IS-IS(Intermediate System-Intermediate System), MP-BGP (Multi Protocol- Boarder Gateway Protocol), PIM-SM(Protocol Independent Multicast - Sparse-Mode), PIM-SSM(Protocol Independent Multicast Source Specific Multicast) gibi protokoller IPv6 adreslerini işleyebilecek şekilde güncellenmiştir. Çoklu yayın için kullanılan IGMP(Internet Group Management Protocol)'nin yerini yeni geliştirilen MLD(Multicast Listener Discovery) almıştır.

Alan adlarının kaydından sorumlu DNS(Domain Name Service), IPv4 adreslerin yanı sıra IPv6 adreslerini de barındıracak şekilde düzenlenmiştir. IPv4 adresleri A tipi kayıtlarda saklanırken, AAAA tipi kayıtlar IPv6 adreslerine tahsis edilmiştir. IPv6'yı destekleyen bir DNS sunucusu üzerinde bir alan adı aynı zamanda hem IPv4 hem de IPv6 adreslerine atanabilir.

IPv4'ün hareketlilik protokolü Mobil IPv4'e karşılık olarak Mobil IPv6 geliştirilmiştir. Aralarında uygulamada öne çıkan faklılıklar olmasına rağmen bu iki protokol ana hatlarıyla birbirlerine benzemektedir.

IPV6’YA GEÇİŞ VE IPV4-IPV6 UYUMLULUĞU
IPv6’ya geçiş son yıllarda özellikle Asya ve Avrupa’da artmıştır. IPv6 pek çok önemli özelliği de beraberinde getirmektedir. Bu özelliklerden en önemlisi IP adres uzayının oldukça artmasıdır. Ancak IP adres uzayındaki bu artış değişik adres şekillerinin ve ifadelerinin ortaya çıkmasına sebep olmuştur. Bu durum sadece ağ katmanını değil aynı zamanda uygulamaları da etkilemektedir.

Halen IPv4 ağları ile çalışan organizasyonlar, IPv6’ya sorunsuz olarak kolay bir şekilde nasıl geçilebileceğini araştırmakta ve IPv6’ya geçiş planları yapmaktadır. IPv6’ya geçişte en kolay ve etkili yol, hâlihazırda var olan IPv4 ağlarına IPv6 ile çalışan cihazlar eklemek ve zaman geçtikçe IPv6 ağırlığını artırarak nihayetinde bütün ağların IPv6 ile çalışır hale gelmesini sağlamaktır. Yani IPv4 ağlardan tamamen IPv6 ağlara geçiş keskin bir zaman aralığı değil, uzun vadeli bir süreç olacaktır.

Geçiş Teknolojileri

IPv6’ya geçişte pek çok teknoloji kullanılabilir. Genel olarak bu teknolojiler [7]:

İkili Yığın (Dual Stack): Ağ cihazlarında hem IPv4, hem de IPv6’nın birlikte çalışması

Tünelleme: IPv6 paketlerin IPv4 paket formatına dönüştürülerek, IPv4 ağ üzerinden gönderilmesi

Dönüşüm: Ağ geçidi veya yönlendirici tarafından yapılan adres ve port dönüşümü

İkili Yığın Yaklaşımı

İkili yığın teknolojisinde, ağ cihazlarında hem IPv4 hem de IPv6 desteklenmektedir. Böylece IPv4-IPv4 iletişimler ve IPv6-IPv6 iletişimler aynı ağ üzerinden gerçekleşmektedir. Bu teknolojinin uygulanabilmesi için yönlendirici gibi ağ katmanında çalışan ağ cihazları ve son kullanıcı bilgisayarları hem IPv4 hem de IPv6 teknolojisini desteklemelidir. Bu cihazlarda hem IPv4 hem de IPv6 adresi ayarlanabilmektedir. Örneğin bir ağ yöneticisi IPv4 adreslerin, IPv4 ile çalışan DHCP üzerinden dağıtımını sağlayabilir. Aynı zamanda IPv6 adreslerin otomatik olarak ayarlanması gerçekleştirilebilir.

Ortak bir ağ altyapısında çalışan IPv4 ve IPv6 teknolojisinin ikili yığınla çalışan cihazlarda uygulanması, hem IPv4 hem de IPv6’nın aynı fiziksel bağlantılardan iletilmesini gerektirmektedir. Dolayısıyla ethernet ve ikinci katmanda çalışan diğer teknolojiler hem IPv4 hem de IPv6’yı desteklemelidir. IPv4 ve IPv6’yı destekleyen cihazların her iki teknolojiyle de çalışabilmesi için bu tür fiziksel bağlantıları da desteklemesi gerekmektedir. Bu yaklaşım Şekil 1’de gösterilmektedir.

IPv6_ve_IPv4_birlikte.png
Şekil 1 – IPv6 ve IPv4’ün birlikte çalışması

Bu mimariyi gerçekleştirebilmek için yönlendiricilerin IPv6’yı desteklemesine yönelik sürüm yükseltme işlemlerinin yapılması gerekir. RFC 4554, yönlendiricilerde yapılması gereken bu sürüm yükseltme işlemi yapılmadan VLAN kullanılarak IPv6’nın nasıl uygulanabileceğini tanımlamaktadır. Bu tanımlamaya göre ikinci katmanda çalışan anahtarlar IPv6 paketlerini yönlendiricilere gönderebilmektedir. IPv6’yı destekleyen bir yönlendirici ile anahtarın birlikte çalışabilmesi için anahtarda IPv6 VLAN ayarlanabilmektedir. IPv6 veya ikili yığınla çalışan diğer cihazlar daha sonra bu VLAN’a atanabilir. Bu yaklaşım Şekil 2’de gösterilmektedir.

VLAN_destekli_IPv4_ve_IPv6.png
Şekil 2 – VLAN destekli IPv4 ve IPv6 ağlar

Tünelleme Yaklaşımı

IPv4 üzerinden IPv6 paketlerini veya IPv6 üzerinden IPv4 paketlerini iletmek için kullanılabilecek pek çok tünelleme teknolojisi bulunmaktadır. Bu teknolojiler genel olarak ayarlanmış ve otomatik gibi iki şekilde ifade edilebilir. Ayarlanmış tüneller önceden tanımlıdır.

Genel olarak IPv6 paketlerinin IPv4 ağı üzerinden tünellenmesi, her bir IPv6 paketin başına IPv4 başlığı eklenmesiyle gerçekleştirilir. Bu işlemle birlikte tünellenmiş IPv6 paketlerinin IPv4 cihazlar tarafından iletilmesi sağlanır. Tünelin başlangıç ve bitiş noktaları yönlendirici veya son kullanıcı olabilir. Kaynak IPv4 adresi olarak tünel başlangıcındaki cihazın IPv4 adresi, hedef IPv4 adresi olarak da tünel bitişindeki cihazın IPv4 adresi verilir. IPv4 başlığın protokol numarası kısmı ikili düzende 41 olarak ayarlanır. Bu sayı IPv6 tünellemeyi ifade etmektedir. Tünelin çıkış noktası IPv4 başlığını açarak IPv6 paketi ortaya çıkarır ve gerekli yönlendirmeleri yaparak bu paketin hedefine ulaşmasını sağlar.

IPv4_baligi_eklenmesi.png
Şekil 3- IPv4 başlığı eklenmesi

Ağ ve Port Adres Dönüşümü Yaklaşımı

IPv6 paketleri, IPv4 paketlere veya IPv4 paketleri IPv6 paketlere dönüştürerek iletmek mümkündür. Bu dönüşümler Ağ Adres Dönüşümü ve Port Dönüşümü (PT) ile yapılır.

Ag_ve_port_adres.png
Şekil 4 – Ağ ve port adres dönüşümü

Geçiş Teknolojilerinin Karşılaştırılması

İkili yığın yöntemi kullanımı kolay ve esnek bir çözümdür. Ancak bu yöntem IPv4 ve IPv6 yığınlarını bir arada çalıştırmak zorundadır. Bu yüzden daha çok hafıza ve işlemci gücü gerektirmektedir. Ayrıca bu yöntemde kullanılan uygulamaların, bilgisayarların IPv4’le mi yoksa IPv6’yla mı çalıştığını tespit edebilmesi gerekir.

Tünelleme yöntemi, herhangi bir ISS desteği olmadan ve kullanılan ISS IPv6 protokolünü desteklemiyorsa bile, IPv6 protokolüyle iletişim yapılabilmesini sağlar. Bütün bir ağda sadece iki bilgisayar IPv6 teknolojisi içeriyorsa, IPv4 ağı üzerinden bu iki bilgisayarın IPv6 ile haberleşebilmesi tünelleme yöntemiyle mümkündür. Bu yöntemin olumsuzlukları, diğer tünelleme mekanizmalarında olduğu gibi, tünel giriş ve çıkış noktalarında çalışan cihazların fazladan iş yapması ve tekil arıza noktaları içermesidir.

Dönüşüm yöntemleri ise sadece özel ihtiyaçlar halinde kullanılır. Bu yöntem, IPv6 teknolojisiyle gelen bazı özelliklerin kullanılamamasına sebep olmaktadır.

Her bir dönüşüm yöntemi çeşitli artılar ve eksilere sahip olmasına karşın uygulanacak ağın durumu hangi yöntemin seçileceğinde önemli bir rol oynamaktadır. Etkin bir geçiş yöntemi için ağ analiz edilmeli, ihtiyaçlar belirlenmeli ve ona uygun bir geçiş yöntemi seçilmelidir.

IPV6 TEKNOLOJİSİNDE MEVCUT DURUM
Dünyadaki Mevcut Durum

IPv6 teknolojisinin uygulanmasında ilk adım olarak 1999 yılında kurulan IPv6 forumu dikkat çekmektedir. IPv6 forumunun görevi genel olarak internet kullanıcılarını IPv6 teknolojisinin avantajları konusunda bilgilendirmek ve bu protokolün dünyada yaygınlaşmasını sağlamaktır. IPv6 forumunun üyeleri arasında donanım/yazılım üreticileri, sektöründe lider telekomünikasyon firmaları, internet servis sağlayıcılar, internet çözüm üreticileri, danışmanlık şirketleri, Ar-Ge enstitüleri gibi pek çok kuruluş ve organizasyon yer almaktadır.

Dünyanın değişik bölgelerinde IPv6 teknolojisinin durumu, teknolojinin geleceğine dair ümit verici olmakla birlikte, gelecekte bilişim dünyasında yaşanacak gelişmelerin de habercisidir.

6NET projesi IPv6 sürümü ile internetin büyümesini ve IPv6’ya geçişi göstermek için Avrupa Birliği tarafından oluşturulmuş 18 milyon Euro bütçesi olan üç yıllık bir projedir. Projeye üniversite, araştırma ve özel sektörden otuz beş kurum katılmıştır. Proje 2002 yılında başlamış ve 30 Haziran 2005’te kapatılmıştır [5]. Bu proje ile ilgili dokümantasyon ve konu ile ilgili kılavuzlar www.6net.org/ adresinden izlenebilir. 6NET projesi iki buçuk yıl süreli başka bir Avrupa Birliği projesi olan DISS ile devam etmiştir. DISS projesinde hedefler: IPv6 kurulum ve geçiş planları konusunda bilgi değişiminin sağlanması, IPv6 konusunda çalışmalar yapan Çin ve Hindistan’la bilgi değişimi sağlamak, IPv6 konusunda elde edilen bilgi ve birikiminin etkin olarak yayınlanmasını sağlamak, Avrupa Birliği’ne üye ve katılacak ülkelerin araştırma geliştirme faaliyetlerini ilerletmek, IPv6 konusunda mükemmeliyet merkezleri oluşturmak olarak tanımlanmıştır. Proje Eylül 2007’de tamamlanmıştır. Fransa’nın başkenti Paris ve Belçika’nın başkenti Brüksel’de kurdukları laboratuarlarla IP ürünlerinin uyumluluk testlerine ve kurumları bilinçlendirme faaliyetlerine devam etmektedirler [6].

www.go6.net IPv6 konusunda bilgi vermek amacıyla kurulmuş bir internet sitesidir. IPv6form, Hexago ve VSNL International tarafından desteklenmektedir.

ABD: ABD hükümeti sivil ve askeri bütün kuruluşların uyması gereken, 30 Haziran 2008’e kadar IPv6’ya geçiş konusunda bir kanun yayınlamıştır [7]. Bu kanun ABD’de IPv6’nın hızlı bir şekilde yaygınlaşmasını sağlamaktadır.

Kanada: Kanada’da faaliyet gösteren Viaginie kuruluşu, IPv4 bilgisayarlarının IPv6 ağa bağlanabilmesi için bir tünel sunucusu geliştirmiştir. ABD ve bazı ülkelerle IPv4 tüneller üzerinden yerel IPv6 ağa bağlantı kurulmuştur. Kanada’da ayrıca IPv6 destekleyen kök DNS sunucusu DNS sorgularına cevap vermektedir.

Japonya: Japonya’da bulunan tüm ISP’ler IPv6 servislerine başlamıştır. IIJ (Internet Initiative Japan) kuruluşu 1998’de tünelleme yoluyla ilk IPv6 servisini kurmuştur. Bu servisi halen yaklaşık 100 müşteri kullanmaktadır. NTT Telekomünikasyon şirketi 2001 yılında ilk ticari IPv6 servisini hizmete sokmuştur. Hitachi, Fujitsu, NEC, Furukawa Electric, Yamaha gibi önemli yönlendirici üreticileri IPv6 protokolünü destekleyen yönlendiriciler geliştirmiştir. Powered Com, Japan Telekom, KDDI gibi önemli servis sağlayıcılar mobil telefon, çevrimiçi oyun, sağlık gibi sektörlerde IPv6 teknolojisini deneme çalışmalarına başlamıştır.

Tayvan: Tayvan'da 7 büyük internet servis sağlayıcısı IPv4-IPv6 geçişi için kurumlara donanım dağıtmış ve IPv6 ile çalışan binlerce VoIP telefonu kamu çalışanlarına verilmiştir. Arabalar, kampüsler ve kişisel elektronik cihazlar için IPv6 teknolojisi kullanılmaya başlanmıştır. Tayvan en detaylı IPv6 projelerinden birini yapmaktadır.

Güney Kore: Diğer bir Asya ülkesi olan Güney Kore'de faaliyet gösteren Kore Telekom yeni bir IPv6 denemesi başlatmıştır. Kore hükümeti bu deneme için maddi destek sağlamaktadır.

Çin: IP adres sayısından fazla insanın yaşadığı tek ülke Çin’dir. Bu yüzden Ipv6’ya geçiş Çin’de oldukça önemsenen bir konudur. Çin hükümeti yıllardır IPv6 çalışmaları için maddi destek ve fon sağlamıştır ve sağlamaya devam etmektedir. Çin’de göze çarpan başka bir olay IPv6 teknolojisiyle oluşturulan Çin Yeni Nesil Internet CNGI(China Next Generation Internet ) projesinin başlamış olmasıdır. Çin'de IPv6 teknolojisinin yaygınlaşması için itici güç olmuş ve IPv6 için en büyük test Pekin olimpiyatlarında yapılmıştır. Kamera ve ışık sistemi IPv6 ile kontrol edilmiştir. %10 civarında bir enerji tasarrufu ağlanmıştır.

Ülkelerin yanında birçok organizasyonda IPv6’ya geçiş ve yeni ürünlerin IPv6 protokolü ile uyumlu çalışacak şekilde üretilmesi konusunda açıklamalar yapmışlardır. Aşağıda bunlara ait bir kaç örnek verilmiştir [8].

3GPP, IMS ürünleri için özellikle IPv6 kullanılmasını zorunlu tutmuştur (www.3gpp.org ).

Telecommunications Industry Association (TIA), 3G Multimedya System (IMS)’i Next Generation Networks platformu olarak seçmiştir.

Eylül 2000’de Japonya başbakanı IPv6’yi e-Japan 2005’in kritik parçası olarak tanımlamıştır. Japon hükümeti IPv6 uyumluluğunu yapan şirketlere vergi kolaylıkları sağlamıştır.

Şubat 2001’de Güney Kore hükümeti IPv6’ya desteğini açıklamıştır.

2003 Haziran’da ABD savunma bakanlığı Haziran 2008’e kadar IPv6’ya geçişi zorunlu tutmuştur. 2005 Haziran’da Beyaz Saray Yönetim Ofisi (White House Office of Management (OMB)) devlet kurumlarının 2008’e kadar olan geçişin temel adımlarını tanımlamasını istemiştir. (www.whitehouse.gov/omb/memoranda/fy2005/m05-22.pdf ). Geçişlerin bir kısmı yapılmış bir kısmı da yapılmaktadır.

Avrupa Uzay Ajansı IPv6’ya desteğini ilan etmiştir.

The Japanese Intelligent Transport System (ITS) projesi ve Avrupa Car2Car konsorsiyumu gelecek Car2car uygulamalarında IPv6’nın kullanımını tavsiye etmişlerdir.

The Digital Video Broadcasting (DVB-S) konsorsiyumu IPv6’ya geçişe karar vermiştir.

Çin hükümeti China Next Generation Internet (CNGI)’i kurmuş ve parasal olarak desteklemiştir. Çin’in internet omurgası IPv6 olarak tasarlanmıştır.

GRID kendi Globus Toolkit 4 ürününü IPv6 uyumlu hale getirilmiştir. (www.gridtoday.com/05/0117/104472.html )

TÜRKİYE’DEKİ MEVCUT DURUM

Türkiye IPv6 teknolojisi bakımından diğer ülkelere göre, özellikle Uzakdoğu ülkelerine göre geride kalmıştır. Türkiye’de henüz IPv6 teknolojisini destekleyen ürünlerin uyumluluk testlerini yapabilen, IPv6 geçişi için test ortamları hazırlayıp geçiş planları çıkaran, ürünlerin IPv6 performansını değerlendirebilen, IPv6 güvenli yapılandırma kılavuzlarını çıkaran bir kurum ya da kuruluş yoktur.

Türkiye’de IPv6 ürünlerinin uyumluluk, güvenlik ve geçiş testlerini yapan bir laboratuar olmaması yanında bazı kurumlar kendi IPv6 geçiş çalışmalarını başlatmıştır. Üniversitelere internet servisi sağlayan ULAKBİM ( Ulusal Akademik Ağ ve Bilgi Merkezi) kendi bünyesinde ve hizmet verdiği bazı üniversitelerde IPv6 geçişi çalışmaları yürütmektedir. ULAKNET, Avrupa Akademik Ağı GEANT bünyesinde IPv6 teknolojisiyle çalışan ağa da erişim sağlamaktadır. Üniversiteler ve ULAKBİM arasında ULAK6NET kurulmuştur. 13 üniversite çeşitli seviyelerde ULAK6NET’e destek vermektedir. Üniversitelerin IPv6 teknolojisindeki durumları sekiz seviye ile tanımlanmaktadır. Üniversitelerin tamamı, şartı “IPv6 adresi almak” olan birinci seviyeyi gerçekleştirmiştir. 2 üniversite ise şartı “www,smtp,ftp,dns servislerini IPv6’dan hizmet verir hale getirmek” olan beşinci seviyede bulunmaktadır. Ayrıca bir üniversite, şartı “bir yerel alan ağında sunucularda en az 3 adet deneme servisi vermek” olan dördüncü seviyede, bir üniversite de, şartı “güvenlik duvarını IPv6 destekler hale getirmek” olan üçüncü seviyede bulunmaktadır [9]. ULAKBIM IPv6’yı yaygınlaştırma çalışmalarını sürdürmektedir.

Genel olarak Türkiye’de yer alan 20 kuruluş (ULAKBİM, SUPERONLINE, ESERTELEKOM, TÜRK TELEKOM, KOÇNET vb…) RIPE’tan IPv6 adres uzayı satın almıştır. Bunlardan sadece 3 tanesi aktif olarak kullanmaktadır.

Sonuç
Yakın gelecekte IPv4 adreslerinin bitecek olması, IPv6 protokolünün bünyesinde yeni özellikler barındırması, yeni teknolojilerin IPv6 destekli olarak gelmesi dünyada IPv6’ya geçişi hızlandırmaktadır. IPv6 protokolünün ortaya çıkmasıyla birlikte dünyadaki birçok ülke IPv6 geçiş çalışmalarına, üreticiler de IPv6 uyumlu ürünler üretme konusunda çalışmaya başlamışlar ve bu çalışmalar son yıllarda hız kazanmıştır.

Türkiye’deki kurum ve kuruluşların bir kısmı yeni teknolojileri desteklemesinden dolayı bir kısmı da adres sıkıntısından dolayı IPv6’ya geçmek durumunda kalacaklardır. Bunun için öncelikle Internet Servis Sağlayıcılar’ın sonra da interneti kullanan kurumların IPv6 altyapısını oluşturma çalışmalarına başlamaları gerekmektedir. Diğer taraftan ilgili kurumların IPv6 ve IPv6’ya geçiş, IPv6 güvenliği konularında kurum ve kuruluşlarda bilinç oluşturması gerekmektedir.

Dizayn hataları, üzerinde çok düşünülmemiş güvenlik açıkları, yeni geliştirilen malware uygulamaları ve bunlar gibi bir çok neden geliştirilen uygulamaların debug ve patching süresini maksimuma çıkartır. Bu debug seansları uzun zaman almasının yanında yazılımcıyı moral olarak da kötü etkiler. Dolayısıyla programın yapımına harcanılan bütçeyi bile geçebilecek yatırımlar yapılması zorunlu hale gelir.

Microsoft işte bu problemi halledebilecek sistematik bir yapı geliştirerek uygulamalarını daha program çıkmadan dışarıdan gelebilecek saldırılara karşı korumasını sağlamayı hedefliyor. Bu yapının ismi de SDL (Güvenlik Geliştirme Süreci) dir. SDL, Microsoft bünyesinde yazılım geliştirenler tarafından bilinmesi zorunlu olan bir yapıdır. Her sene bu sürece yeni eklentiler ilave edilir ve yazılımcılara bu yenilikler anlatılarak benimsenmeleri sağlanır.

Bir uygulamanın SDL sürecine dahil olup olamayacağı ise uygulamanın kullanımına göre değişir. Eğer bir uygulama İnternet erişimine ihtiyaç duyuyorsa ve önemli bilgiler içerebilecek türden bir programsa bu sürece dahil edilir. SDL ile üretilmemiş ancak daha sonra SDL’e geçirilme durumu olan uygulamalar ise Service Pack gibi yamalar sayesinde bu sürece dahil edilir.

Neden SDL?
SDL ürünün güvenlik maliyetini büyük oranda düşürüp daha az bütçe ile daha güçlü güvenlik sağlanmasına yardımcı olur. Microsoft’un 2002 Ocak ayından bu yana prensip haline getirdiği “Trustworty Computing” (güvenilir yazılımcılık) standardının bu alandaki güvenliği olumlu yönde etkilediği gibi bütçeyi de 7 ye 1 oranla düşürdüğü görülüyor.

2002ve.png
Şekil-1 Güvenlik Maliyeti
Bu adımlar basitçe şu şekilde sıralanır;

Eğitim

Analiz

Dizayn

Yapım aşaması

Doğrulama

Yayınlama (Release)

Bilgi toplama (Post-Release)

adimlar.png
Şekil-2 Adımlar
Eğitim

Eğitim daha önce de bahsettiğimiz gibi bütün çalışanların almak zorunda olduğu SDL süreci hakkında bilgilendirmedir. Süreç başlarken ve devam ederken sürekli yapılması gerekenleri yazılımcının bilmesi önemli olduğu için eğitim kısmı her sene SDL implementasyonu değiştiğinde önem kazanır.

Analiz

Dizayn kısmına başlanmadan önce durum analizi bu program kimler için yazılacak, hangi özelliklere dikkat edilecek, nasıl bir yol izlenecek gibi sorulara alt yapı oluşmasını sağlayan “beyin fırtınası” kısmıdır. Bu kısım aynı zamanda uygulamanın ortalama ne kadara mal olacağının da belli olduğu bölüm olur. Özellikle dikkat edilmesi gereken konular saldırı modellerini programın hangi bölümlerinde test edileceğinin karar verilmesidir. Bu modelleri düşünürken çok dikkatli olmak gerekir çünkü bundan sonra gelişen programı değiştirmek gerektiğinde ekstra maliyet çıkar.

Dizayn

Programın nasıl olacağının tam olarak belirlendiği adım olan dizayn adımı, yazılımın SDL çerçevesinde nasıl gelişeceğinin analiz bölümünde edinilen bilgiler ışığında planlanması olarak özetlenebilir. Ancak analiz bölümü yeteri kadar dikkatli yapılmamışsa dizayn hataları oluşabilir. Bir uygulamayı dizayn ederken analiz adımında programın hangi bölümünde kullanılacağı düşünülen saldırı modelleri tasarlanır, bu modellere karşı nasıl bir koruma sağlanacağı teknik bir şekilde ele alınır. Yazılımcılar kriptoloji veya başka yöntemler ile bu modellere karşı önlem alır. Burda saldırı modellerinden kasıt, uygulamanın açıkları veya uygulamanın sağlıklı çalışabilmesini etkileyebilecek olan etkenler olabilir. Bütün bunlar yapıldıktan sonra bir risk analizi yapılır, eğer hala açıklar bulunuyor ise, onlar içinde savunmalar geliştirilir ve bu adım başka açıklar kalmayana kadar tekrar edilir. Aynı zamanda uygulamayı dizayn ederken dikkat edilmesi gereken bir husus da uygulamanın işletim sistemi üzerindeki haklarının gerektiğinden daha fazla tutulmaması ve bu sayede uygulamanın açık verebileceği alanların daraltılmasıdır.

Yapım Aşaması

Kullanıcının isteğine göre değişebilecek güvenlik önlemlerinin düzeyini değiştirebilecek araçlar tasarlanması önemlidir. Bu araçların son kullanıcıya nasıl kullanıldığını anlatmak için bir dökümantasyon yapılması gerekir. Uygulama henüz dizayn aşamasındayken son kullanıcıyı bilgilendirebilecek bir dökümantasyon yazmak genelde pek mümkün olmaz. Program ancak geliştirilmeye başlanıldığında uygulamanın mimarisinde nasıl bir yol izleneceği belli olur. Yapılan güvenlik seçeneklerinin kullanıcıya aktarılması amaçlı bir dökümantasyon hazırlanarak kullanıcılara uygulama ulaştığında, güvenlik seçeneklerinin programın kullanılabilirliğini ne gibi durumlarda etkileyebileceğini anlatıp yapılan her hareketin nelere mal olabileceğini son kullanıcıya belirtir.

Dökümantasyonun yanı sıra uygulama kodunun içerisindeki kod yapısının da önemi yüksektir. Mesela, Kodun içerisinde kullanılan global pointerlar gibi değerleri kullanırken herzaman encoding algoritmaları kullanmak uygulamanın güvenliğini arttıracaktır. Son olarak, yapım aşamasında belirginleşebilecek bazı durumlar dizayn bölümüne ilave edilir ve tekrar analiz yapılarak uygulamaya eklenir.

Doğrulama

Uygalama gelişmeye ve bir şeyler oluşmaya başladığında uygulamanın güvenlik düzeyinin tasarlandığı gibi olup olmadığını kontrol etmek gereklidir. Bu iş için biraz maliyetli olan “fuzz” yada “fuzzing” test etme yöntemi kullanılarak daha kısa sürede yararlı sonuçlar alınması mümkündür. Her ne kadar fuzz yöntemi yararlı olsa da mutlaka kodun üzerinden “White-Box security code review” (kodun her satırına tek tek bakmak) yöntemi ile Kodun üzerinden geçerek olası açıkların bulunması sağlanır. Kodun uygulamada kullanıldıkları yere göre değerleri ölçülür ve ona göre daha değerli bölümlerdeki kodların incelenmesi daha düşük değere sahip olana göre daha dikkatli yapılır.

Belirli zaman aralıklarında projede çalışan bütün yazılımcılar security push denen daha önceden planlanmış bir “uygalamadaki açıkları bulma” eforuna girer. Bu Security Push sayesinde programdaki açıklar daha kolay bulunur ve düzeltilmesi için analiz edilir. Eğer projedeki saldırı modelleri sürekli güncelleniyor ise bu security push’ların aldığı zaman azalır ve daha temiz bir proje olur.

Yayınlama (Release)

Uygulamanın geliştirilmesi bittiğinde ve son kullanıcıya dağıtılmaya başlanmadan hemen önce uygulamanın güvenli olup olmadığının kontrol edilmesi ve herşeyinin güvenli olduğundan emin olunması gerekir. Yeni açıklar bulunursa kodda değişiklikler yapılması gerekebilir. Program kullanılmaya açık hale geldiğinde oluşabilecek güvenlik açıkları için alınması gereken önlemler ve açık oluştuğu zaman yapılacak işlerin ne şekilde yapılacağının planlanması yapılır. Unutulmamalıdır ki ne kadar iyi bir güvenlik planı yapılırsa yapılsın, uygulamada yeni açıklar bulunmasının olasılığı her zaman çok yüksektir.

Bilgi toplama ( Post – Release)

Uygulamanın bitmesi ve son kullanıcının eline geçmesiyle birlikte oluşabilecek olan güvenlik açıklarına her zaman hazırlıklı olunmalıdır. Bu açıklarısürekli yapılacak olan küçük patchler ile ve zamanla oluşacak daha büyük çaplı değişiklikleri ise service pack gibi büyük yenileştirmeler sayesinde giderilebilir.

Microsoft Güvenlik Geliştirme Süreci yazılımcının işini kolaylaştırmanın yanında, hem finansör için hem de son kullanıcı için gelişmeler sağlıyor. Yazılımcı programı debug etmeye daha az zaman harcarken finansör yatırımı projenin daha verimli kısımlarına yapıyor ve son kullanıcı hem güvenli hemde yüksek düzeyde donanıma sahip olan bir uygulama ile işlerini daha rahat halledebilecek hale geliyor.