AĞ GÜVENLİĞİ
AĞ GÜVENLİĞİ
Amaç:
Bu bölümde ağ yapıları ile ağ yapılarına zarar verebilecek muhtemel saldırılar ve alınması gereken güvenlik önlemleri öğrenilecektir. Ayrıca bu bölümde ağ güvenlik riskleri ve risk politikaları oluşturularak güvenlik eğilimleri ve analizler detaylandırılacaktır.
Hedef:
Bu dersi başarıyla tamamlayan öğrenciler, aşağıdaki konular hakkında bilgi sahibi olacaktır:
- Fiziksel ağ ve ağ protokolleri
- Ağ güvenliğinin temelleri,
- Ağ güvenlik mimarisi ve güvenlik modelleri,
- Ağ güvenlik teknolojisi,
- Ağ güvenliği organizasyonu,
- Hukuk, gizlilik ve etik konular,
1.1 Fiziksel Ağ ve Ağ Protokolü
Ağ (Network), birden fazla cihazın veri paylaşımında bulunmak için oluşturduğu yapıya denilmektedir. Bilgisayar ağları insanların bilgiye kolay ulaşımını sağlamaktadır. Aynı lokasyondaki cihazlar Yerel Ağ Bağlantısı (Local Area Network (LAN) yapısını oluşturmaktadır. Bir kurumda ya da evde bulunan birkaç bilgisayarın, yazıcının ve mobil cihazların birbirine bağlanması yerel ağ bağlantısına örnek olarak gösterilebilir. Farklı mekanlarda bulunan fiziki yada coğrafi olarak birbirlerinden uzak bilgisayarların oluşturduğu ağ yapısına ise Geniş Ağ Bağlantısı (Wide Area Network (WAN) adı verilmektedir.
Şekil 1-1 LAN – WAN
Ağ kavramı sadece bilgisayarlara özgü değildir. Çevremizde her gün birçok cihaz farklı kanallar ile birbirilerine bağlanmakta ve çok çeşitli veri alışverişleri yapmaktadır. Ağa bağlı olan cihazlar kendi aralarında veri alış verişi yaparken bazı temel protokoller kullanılmaktadır.
OSI modelinde veri öncelikle uygulama katmanından fiziksel katmana ilerlemektedir. Daha sonra veri elektriksel sinyallere çevrilerek hedefine ulaşmaktadır. Veri yolculuğu boyunca direk olarak kaynak cihazdan (source) hedeflenen (destination) cihaza doğru ilerlemez. Süreç içerisinde verileri gidecekleri tarafa yönlendiren birçok yazılım ve donanım bulunmaktadır. Bu hizmet ve servislerin bir kısmına bu bölümde yer verilecektir.
Bilgisayar ağları, internet dünyasının atasını oluşturmaktadır. İnternet, veri transferinin hızlı ve kolay bir şekilde yapıldığı ve veriye kolay erişim sağladığı büyük bir veri deposudur. İnternetin yaygınlaşması ile birlikte kullanılan iletişim yapıları da büyük bir değişiklik göstermiştir. İletişim ve haberleşme, yöntemleri farklı olsa da çok eski zamanlarda başlamış ve günümüz internet’ine kadar birçok değişiklikler geçirmiştir. Bu değişim yolculuğu hala devam etmektedir. Telefon santralleri veya radyo sistemleri yapısı gereği sadece tek bir hizmet için kullanılmaktadır. Oysaki internet birçok farklı uygulamanın iletişimi için farklı katman, modeller ve sistemlerden oluşmaktadır. Bu bölümde bu tanımlara özet olarak yer verilecektir.
1.1.1 OSI Katmanı
ISO (International Organization for Standardization) tarafından ağ ürünlerinin birbirileri ile sağlıklı iletişim kurabilmeleri için OSI (Open Systems Interconnection) adı verilen bir model geliştirilmiştir. Ağ bünyesindeki donanımsal ve yazılımsal cihazların kendi içerisindeki standardını sağlamak için kullanılan OSI, aynı zamanda iletişimdeki karmaşıklığı da azaltmaya çalışmıştır. OSI modeli ile her hangi bir cihazın çalışma prensipleri kolaylıkla anlaşılabilmektedir. Gerek local ağın içerisinde gerekse LAN dışında verinin hareketi için OSI katmanlarından geçmesi gerekmektedir. OSI modelinde amaç ağ topolojisi, tasarım ve protokollerinin ağın bir parçası gibi çalışmasını sağlamaktır.
Şekil 1-2 OSI Modeli
1.1.2 TCP/IP ve DoD Modeli
İletim Kontrol Protokolü (Transmission Control Protocol) veri bütünlüğünü sağlamak ve askeri amaçlar ile kullanılmak üzere Department of Defense(DoD) tarafından tasarlanmıştır.
DoD modeli temel olarak 7 katmanlı OSI modelinin yoğunlaştırılmış bir versiyonudur ve sadece dört katmandan oluşmaktadır.
Şekil 1-3 OSI Modeli ve DoD Modeli
1.1.3 IP Adresleme Sistemi
Bilgisayar ağlarının oluşturulması aşamasında yapılması gereken ilk işlem ağ üzerinde bulunan tüm noktalara internet adresinin atanmasıdır. TCP/IP ağlarının oluşumu sırasında izlenen bu metoda “IP adresleme mekanizması” adı verilmektedir. IP adreslerinin atanma sürecinde dikkat edilmesi gereken bazı hususlar bulunmaktadır. Ataması yapılan IP adresinin aynı ağ içerisinde benzeri olmamalıdır. Aynı zamanda IP adresinin aynı ağ üzerindeki diğer cihazlara atanan IP’ler ile tutarlılık göstermesi gerekir. Günümüzde genellikle 32 bitlik IP sistemi kullanılmaktadır [2].
Şekil 1-4 Internet adress (IP)
IPv4 adreslerinin çok hızlı tükenmesi ile birlikte (Internet Engineering Task Force) tarafından çalışmalar yapılmış ve IPv6 yani 128 bitlik IP adresi tanımlanmıştır. IPv6’nın asıl hedefi kullanılabilir adres sayısını önemli ölçüde artırmak olsa da diğer en önemli katkısı paket yönlendirme mekanizmasına da işlevsellik kazandırmasıdır. Günümüzde yeni üretilmiş cihazlar IPv6 yı desteklemektedir.
1.1.4 Donanımsal Ağ Ürünleri
Donanımsal Ağ ürünleri ağ sisteminin oyuncuları olarak ifade edilebilmektedir. Fiziksel bağlantıların yapılması için kullanılan birçok cihazdan meydana gelmekte olup en sık kullanılanları aşağıdaki şekilde özetlenebilmektedir.
1.1.4.1 Ağ Kablolama
Kurulan ağ yapısında veri transfer etmek için kullanılmaktadır. Hızlarına ve yapısına göre birbirinden ayrılırlar. En çok kullanılan kablo çeşitleri CAT6 (1000 mps.), CAT7 (1000 mps.), ve fiber kablodur. Günümüzde kurumlar iç iletişimde de fiber kabloyu tercih etmektedirler.
Şekil 1-5 CAT 6 Cable
1.1.4.2 Tekrarlayıcı (Repeater)
Çekilen kablo mesafesinden daha uzak bir alan ile bağlantı sağlanmak istendiğinde araya tekrarlayıcı koyularak koblo sinyalinin güçlendirilmesi sağlanmaktadır. Tekrarlayıcılar kablosuz sistemlerde sinyal seviyesinin yeterli çekim gücüne sahip olmadığı durumda sinyal seviyesini artırmak amacı ile kullanılmaktadır [3].
Şekil 1-6 Tekrarlayıcı (Repeater)
1.1.4.3 HUB
En temel ağ bileşenidir. Cihazların ağa bağlantısı için kullanılmaktadır. Herhangi bir porta gelen veriyi diğer portlara aktarır. Üzerindeki port sayısıyla isimlendirilir. Günümüzde ağyapılarında kullanmak için tercih edilmemektedir[4].
Şekil 1-7 HUB
MEB
