network staj defteri

1

Genel İzlenimler

Provus, 2001 yılında bankalara kart, işyeri ve ATM operasyonları konularında, ayrıca bankalar

yanında farklı sektörlerden fimalara baskı/zarflama ve kart kişiselleştirme hizmetleri konularında

dış kaynak kullanım hizmeti verme amacıyla kuruldu.

Provus, 1976 yılında kurulmuş ve Türkiye’ye ödeme sistemlerini getirerek bu sektörün

gelişmesinde birçok ilke imza atmış olan AKK’yı 2005 yılında satın alarak her iki şirketin

altyapı hizmet ve deneyimlerinin birleşiminden oluşan sinerjiyle hızla büyüyüp sektöründe

Türkiye’nin öncü ve lider kuruluşu oldu. Hızlı büyümesi ve büyümeye açık bir sektörde

yeralması nedeniyle birçok yatırımcının ilgi odağı olan Provus 2007 yılında Türkiye’nin en

başarılı özel girişim sermayesi kuruluşlarından olan Türkven tarafından %70 oranında satın

alınarak büyüme ve gelişmesine önemli bir ivme kazandırdı.

Günümüzde 6 ülkede faaliyet gösteren Provus, yurtdışında da büyümeyi hedefledi ve bu amaçla

ilk operasyon merkezini Romanya’da kurdu ve kısa zamanda bu ülkede de birçok bankaya

hizmet verir duruma geldi.

PROVUS bugün, 240 kişilik konusunda uzman ve deneyimli kadrosu, güvenliği uluslararası

kuruluşlarca onaylanmış altyapısı (PCI, Vendor Sertifikasyonu) ile yurtiçi ve yurtdışından 59

müşteriye hizmet vermekte ve 5.000.000 kart, 100.000 POS ve 5.500 ATM PROVUS

altyapısından hizmet almaktadır.

Faaliyet Alanlarımız ve Altyapımız;

Kredi Kartı Operasyonu

POS ve İşyeri Operasyonu

ATM Operasyonu

Müşteri Bağlılık Uygulamaları

Doküman Baskı ve Zarflama

Kart Kişiselleştirme

Staj Yapanın İmzası Staj Yetkilisinin İmzası

2

PROVUS faaliyet alanlarına giren konularda hizmet vermek için gerekli yetki ve onaylara

sahiptir ve güvenlik PROVUS için en önemli ve öncelikli konudur. PROVUS tarafından güvenli

hizmet vermek için gerekli sertifikasyonlar tamamlanmış olup, ek güvenlik önlemleri ile de

güvenlik katmanları arttırılmıştır.

Güvenlik

VISA Fiziksel Güvenlik Onayı

VISA Mantıksal Güvenlik Onayı

MasterCard Fiziksel Güvenlik Onayı

MasterCard Mantıksal Güvenlik Onayı

PCI (Payment Card Industry Data Security Standardı)

Yıllık ortalama 10 denetleme (Müşteri, Visa, MasterCard)

Periyodik personel risk araştırması ve güvenlik sözleşmesi

Onay ve Yetkiler

MasterCard Member Service Provider (MSP) Yetkisi

VISA net Processor Yetkisi

BKM Servis Sağlayan Kurum

MasterCard ve Visa Vendor Sertifikasyonu

EMV onaylı ATM, POS ve Kart Yönetim Altyapısı

PCI (Payment Card Industry Data Security Standardı)

JCB Card Acquirer Yetkisi

3D Secure Sanal POS Acquiring


3

Yapılan İş ve Özeti:

Stajımın bir bölümünde genel ağ yapıları, ağ teknolojileri , internet protokolleri, LAN

bağlantıları ve Cisco firmasının router ve switchleri ile ilgili teorik ve pratik çalışmalar

yaptım.

Network ( Ağ )

Network (Ağ), ses, video ve bilgisayar verilerinin iletişim için kablolu veya kablosuz

hatlar aracılığıyla aktarımını sağlayan sistemdir. Ağlar çok çeşitli boyutlarda olabilir. İki

bilgisayardan oluşan basit ağlardan milyonlarca aygıtı bağlayan ağlara kadar pek çok boyutta

ağ olabilir. İnternette bu bağlamda birbirine bağlı binlerce ağdan oluştuğu için “ağların ağı”

olarak ifade edilebilir. Ağı oluşturan bir çok bileşen vardır. 4 ana kategoride bunlar:

• İstemciler : Doğrudan ağ üzerinden ileti gönderip alan cihazlardır. (Defter içinde

konak bilgisayar olarakta geçer)

• Paylaşılan çevresel aygıtlar: Istemcilere bağlı paylaşılan cihazlar (yazıcı,webcam,

tarayıcı)

• Ağ iletişim cihazları: İstemcileri birbirine bağlar ve trafiği yönetir. (Switch,router,

vb.)

• Ağ iletişim ortamı: Bağlantı burdan sağlanır kablolu veya kablosuz ortamlar

vardır.

Kısaca Network Terimleri

Switch: Bilgisayarların ve diğer ağ öğelerinin birbirlerine bağımsız veri alışverişi yapmasına

olanak veren a ğ don a n ı ml a r ı nd a n bi ridir. OSI modelinin 2. Katmanında yer alır.

Router: İki ağın birbirine bağlanmasını sağlayan ağ donanımıdır.

Hub: İçerisinde tüm portları birbirine bağlayan kablolardan oluşmuş bir cihazdır ve

kablolardan taşınan bilgiyi anlama kapasitesine sahip değildir. Yalnızca bir porttan gelen

paketleri diğer bütün portlara yayın (boardcast) şeklinde iletir.

Sunucu: Nilgis a y a r a ğl a r ınd a , diğer ağ bil e ş e nl er inin ( kullanıcıların) erişebileceği,

kullanımına ve/veya paylaşımına açık k a y n a kl a r ı b arındıran bilgi s a y a r bi rimi.İstemci karşıtı.

Çerçeve (frame): Bir ses ya da görüntü d a t a sınd eki en küçük anlamlı parcaya verilen isim.

(Burda bahsedilen ethernet katındaki)


http://tr.wikipedia.org/w/index.php?title=A%C4%9F_donan%C4%B1m%C4%B1&action=edit&redlink=1

http://www.eksisozluk.com/show.asp?t=data

http://tr.wikipedia.org/wiki/Bilgisayar

http://tr.wikipedia.org/wiki/Kaynak

http://tr.wikipedia.org/w/index.php?title=Bile%C5%9Fen&action=edit&redlink=1

http://tr.wikipedia.org/wiki/Bilgisayar_a%C4%9Flar%C4%B1

4

Broadcast : İstemcilerin birbirileri arasında gönderdikleri iletilere yayın denir. MAC

adresleri üzerinden gerçekleşir. Tek seferde bir tane hedef MAC adresi kullanılır. Eğer MAC

adres, FFFF.FFFF.FFFF şeklinde ise yayın bütün kullanıcılara ulaşır ve buna çoklu yayın

denir.

Ağ Topolojileri

Birkaç bilgisayardan oluşan basit bir ağda, çeşitli bileşenlerin tamamının bağlanma

şeklini görselleştirmek kolaydır. Ağ büyüdükçe, her bileşenin konumunu ve ağa bağlanma

şeklini takip etmek daha da zorlaşır. Bunun için fiziksel ve mantıksal ağ haritaları

çıkarılır.Fiziksel harita istemciun bulunduğu yeri ve ağa bağlanma şeklini, kabloların

döşendiği yerleri ve ağ araçlarını gösterir. Mantıksal harita ise istemciları fiziksel konumlarını

dikkate almadan adlarını,IP adreslerini, kullandıkları ağları göz önüne alarak oluştrulur.

Fiziksel topolojide ağ bileşenlerinin birbirine bağlanma şekline göre 6 türdür. Bunlar: Bus,

Ring, Yıldız (star), Gelişmiş Yıldız( extended star), Mesh (ağ) ve Ağaç (Hierarchical Tree)

topolojisidir. Özellikle Provus gibi yüzlerce bilgisayarın bulunduğu şirketlerde topoloji

haritaları daha büyük önem kazanmaktadır. Fiziksel olarak Provus’ta Gelişmiş Yıldız

(Extended Star) ve Ağaç (Hierarchical Tree) benzeri bir topoloji kullanılmaktadır. Sistemin

merkezinde (veya başında) ana switch bulunmaktadır . Ana switch diğer daha küçük ağları

yöneten başka switchlere bağlıdır.

Tüm ağların amacı bilgiyi iletmek ve yöntem sağlamaktır. Bu yöntemin içinde 3

önemli öğesi vardır : Kaynak , kanal ve hedef. Bunlar modern ağ sistemlerinde ağ trafiği

yönetiminde kullanılan protokollerinde temel bileşenleridir. Protokoller bilgisayarların


5

haberleşmesi için bir dizi kural getirir ve iletinin iletilme ve teslim edilme şeklinin

ayrıntılarını tanımlar:

İleti biçimi, İleti boyutu, Zamanlama, Kapsülleme, Kodlama, Standart ileti düzeni

İlk zamanlarda satıcı kurumlar ağ cihazları için kendi protokollerini kullandı ancak bu

ağlar yaygınlaşmaya başlayınca iletişim sağlanamadı ve farklı satıcıların ağ ekipmanlarının

çalıştırılacağı kuralları tanımlayan standartlar geliştirildi. Standartlar ağ iletişimine birçok

şekilde yarar sağlar: Tasarımı kolaylaştırır, ürün gelişimini basitleştirir, rekabeti artırır, tutarlı

arabağlantılar sağlar, eğitimi kolaylaştırır, müşteriler için daha fazla satıcı seçeneği sunar. Son

olarak ise XEROX firmasının 1973 te geliştirdiği Ethernet teknolojisi standart olarak kabul

edilir ve geliştirilir.

Yerel ağların en yaygın protokol Ethernettir. Ethernet protokolü, yerel ağ üzerinde

iletişimin birçok yönünü tanımlar, bunlardan bazıları şunlardır: ileti biçimi, ileti boyutu,

zamanlama, kodlama ve ileti düzenleri.

Ethernet ağlarında kaynak ve hedef bilgisayarları tanımlamak için her bilgisayarın

ethernet arayüzüne üretim aşamasında fiziksel bir adres atanır : MAC adresi. MAC adres her

bilgisayar için eşsiz bir koda sahiptir.

Ethernette kanal olarak ise kablo kullanılır. Bu kablo çeşidi bakır ve fiber optik bir

kablo olabilir.

Ethernet ağında bir istemci iletişime geçtiğinde, hedefin ve kendisinin MAC adresini

içeren bir çerçeve (frame) gönderir. Hedef çerçevenin kodunu çözer ve hedef MAC adresini

okur. Hedef MAC adresi, NIC'de (Ağ Arayüz Kartı) yapılandırılmış adresle aynıysa, NIC

iletiyi işler ve gerekli uygulamanın kullanması için saklar, aynı değilse yok sayar.

Bilgisayarın MAC adresine Windows ortamında komut satırına ipconfig/all işletilerek

ulaşılabilir.

Ancak Ethernetin MAC adresleriyle iletişimi global olarak düşünüldüğünde yüz

milyonlarca istemcinin bulunduğu bir ağ için yetersiz hatta imkansız kalmaktadır. Bunun için


6

büyük ağları, küçük ve daha yönetilebilir bölümlere ayırmak daha iyidir. Büyük ağları

ayırmanın bir yolu, hiyerarşik tasarım modelini kullanmaktır. Hiyerarşik ve katmanlı tasarım,

verimliliğin artmasını, işlevin en iyi duruma getirilmesini ve hızın yükselmesini sağlar. Var

olan ağların başarımı etkilenmeden ek yerel ağlar eklenebildiği için, bu tasarım ağın gerektiği

şekilde ölçeklendirilmesini de sağlar. Hiyerarşik tasarımda üç temel katman bulunur:

• Erişim Katmanı : Yerel bir Ethernet ağında istemcilara bağlantı sağlar. Bu katmanda

istemci, hub, switch gibi ağ cihazları kullanılır. Kullanıcılar paylaşılan dosyalara,

yazıcılara bu katmandan erişebilir.

• Dağıtım Katmanı : Daha küçük yerel ağların birbirine bağlanmasını sağlar. Bu

katmanda daha güçlü switchler ve routerlar kullanılır

• Çekirdek Katmanı : Dağıtım katmanı cihazları arasında yüksek hızlı bağlantı sağlar.

Bu katmanda çok güçlü ve çok hızlı switch ve routerlar kullanılır.

Hiyerarşik tasarımda istemciun konumunu belirlemek için IP adreslemesi kullanılır.

IP Adresi

Bu adres, istemciun bulunduğu yer temel alınarak mantıksal olarak atandığından,

mantıksal adres olarakta bilinir. IP adresi veya ağ adresi, yerel ağ temel alınarak her bir konak

bilgisayara ağ yöneticisi tarafından atanır. İnternet'teki diğer cihazlarla iletişim kurmak için

bu adresin düzgün biçimde yapılandırılmış ve benzersiz olması gerekir.

IP adresi, bir konak bilgisayarın Ağ arayüzü bağlantısına atanır. Bu bağlantı genellikle

cihaza takılı bir ağ arayüz kartıdır (NIC). Ağ arayüzlerine sahip son kullanıcı cihazlarına

ilişkin örnekler arasında iş istasyonları, sunucular, ağ yazıcıları ve IP telefonları yer alır. Bazı

sunucularda birden çok NIC bulunabilir ve her NIC kendi IP adresine sahiptir. IP ağına

bağlantı sağlayan yönlendirici arayüzlerinin de bir IP adresi vardır.

İnternet üzerinden gönderilen her paket, bir kaynak ve bir hedef IP adresine sahiptir.

Ağ iletişim cihazları, bilginin hedefe ulaşmasını ve yanıtların kaynağa geri dönmesini

sağlamak için bu bilgilere gereksinim duyar.

IP adresleri iki bölümden oluşur. Bu bölümlerden biri yerel ağı tanımlar. IP adresinin

ağ bölümü, aynı yerel ağa bağlı tüm konak bilgisayarlarda aynıdır. IP adresinin ikinci bölümü

tek bir konak bilgisayarı tanımlar. Aynı yerel ağ içinde, IP adresinin konak bilgisayar bölümü

her bir konak bilgisayar için benzersizdir.


7

IP Adresinin Yapısı

IP adresi 2 tabanında 32 bitlik bir seridir. Genelde 10 tabanında 4 adet 8 bitlik bytelar

halinde gösterilir. Mesela;

11000000101010000000000100000101 = 192.168.1.5 ‘e tekabül eder.

32 bitlik bu bu IP adresi Ipv4 diye tanımlanır. 4 milyardan fazla IP adresi alınabilir.

Yaygın olan budur ancak artık yetersiz gelmeye başlamıştır. Bunun için Ipv6 kullanmaya

başlanmıştır.

IP Adresinin Bölümleri

Mantıksal 32 bit IP adresi hiyerarşik olup iki bölümden oluşur. İlk bölüm ağı, ikinci

bölüm ise ağdaki bilgisayarı tanımlar. IP adresinde her iki bölümün de bulunması gerekir.

Örneğin, bir konak bilgisayarın IP adresi 192.168.18.57 olduğunda, ilk üç sekizli

(192.168.18) adresin ağ bölümünü ve son sekizli (57) konak bilgisayarı tanımlar. Ağ bölümü

her bir benzersiz konak bilgisayar adresinin bulunduğu ağı gösterdiğinden, bu hiyerarşik

adresleme olarak bilinir. Yönlendiricilerin her bir konak bilgisayarın konumunu bilmek yerine,

yalnızca her bir ağa nasıl ulaşılacağını bilmeleri gerekir.

Bilgisayarların IP adresindeki hangi bölümün ağ, hangi bölümün konak bilgiayar

olduğunu anlaması için alt ağ maskesi (subnet mask) kullanılır. Alt ağ maskesinin her bir bit'i

soldan sağa IP adresinin bit'leriyle karşılaştırılır. Alt ağ maskesindeki 1'ler ağ bölümünü, 0'lar

konak bilgisayar bölümünü temsil eder. Yukarıdaki örnek için alt ağ maskesi 255.255.255.0

dır. Provus’ta ise benim oturduğum bilgisayar için alt ağ maskesi 255.255.254.0 dır. Yani

burdaki 254 ten anlayabiliriz ki 8 bitin ilk 7 si bir son bit ise 0 dır. Yine basit bir hesapla bağlı

olduğum switch en fazla 2*255-2 = 508 tane istemciye bağlanabilir. Çıkarılan 2 nin sebebi

switchin kendi IP adresi ve toplu yayın adresidir( bütün değerlerin 1 olması).

IP Adresi ve Varsayılan Alt Ağ Maskeleri

IP adresleri 5 sınıfa ayrılır: A, B, C, D, E.

A, B, C ticaridir. D sınıfı çoklu yayın ve E sınıfı ise deneysel amaçlı kullanılır.

C sınıfı küçük ağlar için kullanılır.Ağ kısmı üç sekizli,istemci kısmı bir sekizli bulunur.

1.sekizlinin aralığı 192 ile 223 arasındadır. Varsayılan alt ağ maskesi 255.255.255.0 dır.

B sınıfı orta büyüklükteki ağlar için kullanılır.Ağ bölümü iki ve istemci bölümü 2

sekizliden oluşur. 1.sekizlinin aralığı 128 ile 191 arasındadır. Varsayılan alt ağ maskesi

255.255.0.0 dır.

A sınıfı büyük ağlar için kullanılır.Ağ bölümü bir ve istemci bölümü üç sekizliden

oluşur. 1.sekizlinin aralığı 1 ile 127 arasındadır. Varsayılan alt ağ maskesi 255.0.0.0 dır.


8

Provus B sınıfı IP ye sahiptir. Varsayılan alt ağ maskesi 255.255.0.0 dır.

DHCP (Dynamic Host Configuration Protocol)

IP adresleri statik veya dinamik olarak atanabilir. Statik atamada, ağ yöneticisinin

konak bilgisayara ilişkin ağ bilgilerini manuel olarak yapılandırması gerekir. Bu yapılandırma

minimum ölçüde konak bilgisayar IP adresini, alt ağ maskesini ve varsayılan ağ geçidini içerir.

Dinamik atama: Yerel ağlarda, kullanıcı sayısının sık sık değiştiği görülür. Dizüstü

bilgisayarları olan yeni kullanıcılar gelir ve bağlantıya ihtiyaç duyarlar. Diğerlerinin ise

bağlanması gereken yeni iş istasyonları vardır. Ağ yöneticisinin her iş istasyonuna IP adresi

ataması yerine IP adreslerinin otomatik olarak atanması daha kolaydır. Bu, Dinamik Konak

Bilgisayar Yapılandırma Protokolü (DHCP) olarak bilinen bir protokol kullanılarak yapılır.

DHCP, IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve diğer yapılandırma bilgileri

gibi adresleme bilgilerini otomatik atama mekanizması sağlar.

Ağ destek personelinin iş yükünü hafifletip giriş hatalarını ortadan kaldırdığı için,

büyük ağlarda konak bilgisayarlara IP adresi atama konusunda tercih edilen yöntem genellikle

DHCP'dir.

DNS (Domain Name System)

İnternet'teki hizmet barındıran tüm sunucuların IP adreslerinin tamamını hatırlamak

mümkün değildir. Bunun yerine, bir adı IP adresiyle ilişkilendirerek sunucuları bulmak daha

kolaydır.

Etki Alanı Adlandırma Sistemi (DNS), konak bilgisayarların belirli bir sunucunun IP

adresini istemek için bu adı kullanmasını sağlar. DNS adları, İnternet'te belirli üst seviyeli

grup veya etki alanları içinde kayıtlı ve düzenlenmiş durumdadır. İnternet'teki en yaygın üst

seviyeli etki alanlarından bazıları .com, .edu ve .net'tir.

Ağ Adresi Çevirisi (NAT)

Provus’ın ana yönlendiricisi ISP'den(Vodafone.Net) genel bir adres alır ve bu adres

yönlendiricinin İnternet'te paket gönderip almasını sağlar. Bunun sonucunda da yerel ağ

istemcilerine özel adresler sağlar. İnternet'te özel adreslere izin verilmez, yerel istemcilerin

İnternet'te iletişim kurmasını sağlamak için, özel adreslerin benzersiz genel adreslere

çevrilmesi gerekir.

Özel adresleri İnternet'te yönlendirilebilir adreslere dönüştürme işlemine Ağ Adresi

Çevirisi (NAT) adı verilir. NAT işlemiyle, özel (yerel) bir kaynak IP adresi, genel (global) bir


9

adrese çevrilir. Gelen paketler için de işlemin tersi gerçekleşir. Yönlendirici, NAT işlemiyle

birçok dahili IP adresini aynı genel adrese çevirebilir.

Yalnızca başka ağları hedefleyen paketlerin çevrilmesi gerekir. Bu paketler,

yönlendiricinin, kaynak bilgisayarın özel IP adresini kendi genel IP adresiyle değiştirdiği ağ

geçidi üzerinden geçmelidir.

Dahili ağdaki her konak bilgisayarda atanmış benzersiz bir özel IP adresi olsa da,

konak bilgisayarların yönlendiriciye atanmış, İnternet'te yönlendirilebilir tek bir adresi

paylaşması gerekir.

Özel adresler yalnızca yerel ağda göründüğünden ve ağ dışındaki kişiler bu adreslere

doğrudan erişim kazanamadığından, özel adres kullanımı bir güvenlik önlemi sağlar.

Erişim Katmanı

Hub (Dağıtıcı): İçerisinde tüm portları birbirine bağlayan kablolardan oluşmuş bir

cihazdır ve kablolardan taşınan bilgiyi anlama kapasitesine sahip değildir. Yanlızca bir

porttan gelen paketleri diğer bütün portlara yayın (boardcast) şeklinde iletir. Bu yüzden

fiziksel katmana dahildir. Dağıtımlarda eşit paylaşım yapılır. Aynı anda iki ileti aldığında

bozuk mesaj yollar (çatışma). Aldığı mesajları yayın şeklinde (yani tüm kullanıcılara yollar)

ilettiği için bant genişliğini gereksiz yere çok tüketir ve bu nedenle tercih edilmez.

Switch (Anahtar): Hub gibi switchde birden çok konak bilgisayarı ağa bağlar. Ancak

hubdan farklı olarak çerçevelerin kodlarını çözer ve iletinin hedef MAC adresini okuyabilir.

Switchdeki bir tabloda (MAC adresi tablosu denir), tüm etkin bağlantı noktalarının bir listesi

ve bunlara bağlı istemci MAC adresleri bulunur. istemcilar arasında bir ileti gönderildiğinde,

anahtar, hedef MAC adresinin tabloda olup olmadığını kontrol eder. MAC adresi tablodaysa,


10

anahtar, kaynak ve hedef bağlantı noktaları arasında devre adı verilen geçici bir bağlantı

oluşturur. Bu yeni devre, iki istemciun üzerinde iletişim kurabileceği adanmış bir kanal sağlar.

Anahtara bağlı diğer istemci bu kanaldaki bant genişliğini paylaşmaz ve kendi adreslerine

yönelik olmayan iletileri almaz. Konak bilgisayarlar arasındaki her yeni iletişim için yeni bir

devre oluşturulur. Bu ayrı devreler, çatışma oluşmadan aynı anda birçok iletişimin

gerçekleşmesine izin verir. MAC tablosu kaynak adreslerinden gelen iletilere göre sürekli

güncellenir.

Gönderen kaynak istemcita ,hedef istemciun MAC adreside iletiye eklemesi gerekir.

Ancak sadece IP adresi bulunuyorsa hedef istemciun MAC adresi için ARP(Adres

Çözümleme Protokolu ) denilen IP protokolu kullanılır.

ARP’de bilinmeyen MAC adresi için üç adımlık şu yol izlenir:

1.Gönderen bilgisayar, yayın MAC adresine yönelik bir çerçeve oluşturup gönderir.

Çerçevenin içinde, amaçlanan hedef bilgisayarın IP adresinin bulunduğu bir ileti yer alır.

2. Ağdaki her bilgisayar yayın çerçevesini alır ve iletinin içindeki IP adresini kendi

yapılandırılmış IP adresiyle karşılaştırır. Aynı IP adresine sahip olan bilgisayar, MAC

adresini başlangıçtaki gönderen bilgisayara geri gönderir.

3. Gönderen bilgisayar iletiyi alır ve MAC adresi ile IP adresi bilgilerini ARP tablosu

adı verilen bir tabloda saklar.

Provus’ta Cisco firmasının Catalyst 4500 ve Catalyst 6500 modelleri kullanılmaktadır.

Dağıtım Katmanı

Ağlar büyüdükçe genellikle bir yerel ağın fiziksel konum, güvenlik ve uygulama

gereksinimleri gibi ölçütlere göre birden çok Erişim Katmanı ağına bölünmesi gerekir.

Dağıtım Katmanı, bu bağımsız yerel ağları bağlar ve aralarındaki trafiği denetler. Bu

katman, yerel ağda konak bilgisayarlar arasındaki trafiğin yerel kalmasını sağlamaktan


11

sorumludur. Yalnızca diğer ağları hedefleyen trafik iletilir. Dağıtım Katmanı, güvenlik ve

trafik yönetimi için gelen ve giden trafiği de filtreleyebilir.

Dağıtım Katmanını oluşturan ağ iletişim cihazları, tek tek bilgisayarları değil, ağları

birbirine bağlamak üzere tasarlanmıştır. Ayrı ayrı bilgisayarlar dağıtıcı ve anahtar gibi Erişim

Katmanı cihazları üzerinden ağa bağlanır. Erişim Katmanı cihazları da, yönlendirici(router)

gibi Dağıtım Katmanı cihazı üzerinden birbirine bağlanır. Provus’ta da müşteri

temsilcileri bilgisayarları bir switche , o switchte bir üst departmana bağlıdır. Bu şekilde

hiyerarşik bir düzende dağılmıştır.

Router (Yönlendirici)

Yönlendirici, yerel ağı başka yerel ağlara bağlayan bir ağ iletişim cihazıdır. Ağın

Dağıtım Katmanında yönlendiriciler trafiği yönlendirir ve ağ işleminin verimliliği açısından

kritik olan diğer işlevleri gerçekleştirir. Anahtarlar gibi yönlendiriciler de kendilerine

gönderilen iletilerin kodunu çözüp iletileri okuyabilir. Ancak yalnızca MAC adresi bilgilerini

içeren çerçevelerin kodunu çözen (kapsül açma işlemini gerçekleştiren) anahtarlardan farklı

olarak, yönlendiriciler çerçeve içinde kapsüllenmiş paketin kodunu çözer.

Paket biçiminde, hedef ve kaynak konak bilgisayarların IP adresleri ve bu konak

bilgisayarların arasında gönderilen iletilerin verileri bulunur. Yönlendirici, hedef IP adresinin

ağ bölümünü okur ve bağlı ağlardan hangisinin iletiyi hedefe yönlendirmek için en iyi yol

olduğunu bulmak üzere bu bölümü kullanır.

Kaynak ve hedef konak bilgisayarların IP adreslerinin ağ bölümü birbiriyle aynı

olmadığında, iletiyi iletmek için yönlendiricinin kullanılması gerekir. 1.1.1.0 ağında bulunan

bir konak bilgisayarın 5.5.5.0 ağındaki bir konak bilgisayara ileti göndermesi gerekirse, konak

bilgisayar iletiyi yönlendiriciye iletir. Yönlendirici iletiyi alır ve hedef IP adresini okumak

için iletiyi kapsül açma işlemini gerçekleştirir. Ardından iletiyi nereye ileteceğini belirler.

Paketi yeniden bir çerçeveye kapsüller ve çerçeveyi hedefine iletir.

Yönlendirici üzerindeki her bağlantı noktası veya arayüz farklı bir yerel ağa bağlanır.

Her yönlendiricide yerel olarak bağlı tüm ağların ve bu ağları bağlayan arayüzlerin bir tablosu

bulunur. Bu yönlendirme tablolarında, yönlendiricinin yerel olarak bağlı olmayan diğer uzak

ağlara ulaşmak için kullandığı rotalar veya yollar hakkında bilgiler de yer alabilir.

Yönlendirici bir çerçeve aldığında, hedef IP adresini içeren pakete ulaşmak için

çerçevenin kodunu çözer. Hedefin adresini, yönlendirme tablosunda bulunan ağların tümüne

eşleştirir. Hedef ağ adresi tabloda bulunuyorsa, yönlendirici paketi göndermek için yeni bir


12

çerçeveye kapsüller. Hedef ağa giden yolla ilişkilendirilmiş arayüzden yeni çerçeveyi iletir.

Paketleri hedef ağına iletme işlemine yönlendirme denir.

Hedef bilgisayar, yönlendiriciye yerel olarak ise, bu hedef MAC adresi, gerçek

bilgisayarın MAC adresidir. Yönlendiricinin paketi başka bir yönlendiriciye iletmesi gerekirse,

bu durumda yönlendirici bağlı yönlendiricinin MAC adresini kullanır. Yönlendiriciler bu

MAC adreslerini ARP tablolarından alır.

Yönlendirici arayüzleri, yayın MAC adresine yönelik iletileri iletmez. Bunun sonucu

olarak da, yerel ağ yayınları diğer yerel ağlara yönlendiriciler üzerinden gönderilmez.

Provus’ta router yerine router özelliğide olan switchler kullanılıyor.

Varsayılan Ağ Geçidi ( Default Gateway)

Gönderen bilgisayar iletiyi farklı bir ağdaki bilgisayara yollayacaksa router kullanması

gerekir. Bunun için pakete hedef bilgisayarın MAC adresini eklerken, çerçeveyi kapsüllerken

routerın MAC adresini ekler. Routerın IP adresi TCP/IP protokolünde kullanılan varsayılan ağ

geçidi adresidir. Gönderen bilgisayar ARP ile de routerın MAC adresini öğrenebilir.

Yerel Ağ (LAN)

Yerel ağ, bir yerel ağı ya da tek ve aynı yönetimsel denetim altında birbirine bağlı

yerek ağları ifade eder. Ethernet veya kablosuz protokolleri kullanılabilir.

İnternet

İnternet, yaygın standartları kullanarak bilgi alışverişi yapmak üzere işbirliği halinde

olan, dünya çapında bir bilgisayar ağları topluluğudur. İnternet kullanıcıları, telefon kabloları,

fiber optik kablolar, kablosuz iletimler ve uydu bağları aracılığıyla çeşitli biçimlerde bilgi

alışverişi yapabilir. İnternet, dünyanın her ülkesinden kullanıcıları birbirine bağlayan ağlardan

oluşan ağdır.


13

ISP (Internet Servis Sağlayıcıları)

İnternet'e bağlantı ve erişim desteği sağlayan bir şirkettir. internet erişimine sahip

olmak için mutlaka ISP gereklidir. Konak bilgisayar olmadan kimse İnternet'e erişemediği

gibi ISP olmadan da kimse İnternet'e erişemez. Callus için ISP desteği Vodafone.Net

tarafından sağlanmaktadır.

POP (Point of Presence)

Bilgisayar ve yerel ağların her biri, bir Bulunma Noktasına (POP) bağlanır. POP,

ISP'nin ağı ile POP'un hizmet verdiği belirli coğrafi bölge arasındaki bağlantı noktasıdır. ISP

içinde yüksek hızlı yönlendirici ve anahtarların oluşturduğu ağ, çeşitli POP'lar arasında veri

taşır. Bir bağ arızalandığında veya aşırı trafikle yüklenip tıkandığında, veriye alternatif rotalar

sağlamak için birden çok bağ POP'ları birbirine bağlar.

ISP'ler kendi ağlarının sınırları ötesine bilgi göndermek için başka ISP'lere bağlanır.

İnternet, ISP POP'larını ve ISP'leri birbirine bağlayan çok yüksek hızlı veri bağlarından

oluşmuştur. Bu arabağlantılar, İnternet Omurgası olarak bilinen çok büyük ve yüksek

kapasiteli ağın parçasıdır.

Bağlantı Çeşitleri

Çevirmeli Bağlantı kurmak için ISP nin çevirmeli olarak aramak üzere bir modem ve

kamu erişimine normal telefon hattını kullanan biçimdir.Günümüzde pek kullanılmaz.

DSL normal telefon hatları üzerinden kullanıcılara yüksek bant genişliği sağlayan bir

teknolojidir. Download upload hızının farklı olduğu hatlara Asimetrik DSL (ADSL),

download ve upload hızlarının aynı olduğu DSL hizmetine SDSL denir. Callus bir çağrı


14

merkezi olduğu için gelen ve giden bağlantılar eşit derecede önemlidir ve simetrik DSL

bağlantı bulunmaktadır.

IP (İnternet Protokolü)

Bilgisayarların İnternet'te iletişim kurması için İnternet Protokolü (IP) yazılımını

çalıştırıyor olmaları gerekir. IP protokolü, topluca TCP/IP (İletim Denetim Protokolü/İnternet

Protokolü) olarak ifade edilen protokol gruplarından biridir. İnternet Protokolü (IP), verileri

taşımak için paketleri kullanır. İster İnternet'te video oyunu oynayın, ister bir arkadaşınızla

sohbet edin, e-posta gönderin veya Web'de arama yapın, gönderdiğiniz ya da aldığınız bilgiler

IP paketleri biçiminde taşınır.

IP, kaynak ve hedef IP adreslerinin yapısını tanımlar. Paketlerin bir konak bilgisayar

veya ağdan diğerine yönlendirilmesinde bu adreslerin nasıl kullanıldığını tanımlar.

IP paketinin başında, kaynak ve hedef IP adreslerini içeren bir başlık bulunur. Bu

başlık, paketin üzerinden geçtiği yönlendirici gibi ağ aygıtlarına paketi açıklayan denetim

bilgilerini içerir ve paketin ağ üzerindeki davranışının denetlenmesine de yardımcı olur. IP

paketi bazen datagram olarak da ifade edilir.

İletiler İnternet'te gönderilmeden önce paketlere bölünür. Ethernet ağları için IP paket

boyutu 64 ile 1500 bayt arasındadır ve bu paketler çoğunlukla kullanıcı verilerini içerir. 1 MB

boyutundaki tek bir şarkının indirilmesi için 600'den fazla 1500 baytlık paket gerekir.

Paketlerin her birinde bir kaynak ve bir hedef IP adresi bulunmalıdır.

Bir paket İnternet üzerinden gönderildiğinde, ISP, paketin ISP ağında bulunan yerel

bir hizmeti mi yoksa farklı bir ağda bulunan uzak bir hizmeti mi hedeflediğini belirler.

Ping Komutu

Ping komutunu Windows komut satırında kullanırsak, kaynak ve hedef arasındaki

uçtan uca bağlantıyı sınar. Sınama paketlerinin kaynaktan hedefe doğru gerçekleşirdiği

döngünün süresini ölçer ve iletimin başarılı olup olmadığını belirler. Ancak paket hedefe

ulaşmadığında veya yol üzerinde gecikme yaşandığında, sorunun nerede olduğunu

belirlemenin bir yolu yoktur.


15

Tracert

Kaynaktan hedefe giden rotayı izler. Paketlerin üzerinden geçtiği her yönlendiriciye

sekme denir. Yoldaki üzerindeki her bir sekmeyi ve her sekmede geçen süreyi görüntüler.

Paketin yol aldığı süre ve rota, bir sorun oluştuğunda paketin kaybolduğu veya gecikmeye

uğradığı yerin belirlenmesine yardımcı olabilir.

TCP UDP Taşıma Protokolleri

Ağ üzerinden kullanılabilen her hizmetin sunucu ve istemci yazılımında uygulanan

kendi uygulama protokolleri vardır. Uygulama protokollerine ek olarak, kaynak ve hedef

konak bilgisayarlar arasında iletileri adreslemek ve yönlendirmek için yaygın İnternet

hizmetlerinin tümü İnternet Protokolü'nü (IP) kullanır.

IP, paketlerin yapısı, adreslenmesi ve yönlendirilmesiyle ilgilidir. IP, paketlerin

tesliminin veya taşınmasının nasıl gerçekleştiğini belirtmez. İletilerin konak bilgisayarlar

arasında nasıl taşınacağını taşıma protokolleri belirtir. En yaygın iki taşıma protokolü, İletim

Denetim Protokolü (TCP) ve Kullanıcı Datagram Protokolü'dür (UDP). IP protokolü, konak


16

bilgisayarların iletişim kurmasını ve veri aktarmasını sağlamak için bu taşıma protokollerini

kullanır.

TCP, iletiyi kesim olarak bilinen küçük parçalara ayırır. Kesimler sırayla

numaralandırılır ve paketler halinde birleştirilmek üzere IP işlemine geçer. TCP, belirli bir

uygulamadan belirli bir konak bilgisayara gönderilen kesimlerin sayısını takip eder. Gönderen

belirli bir süre içinde alındı bildirimi almazsa, kesimlerin kaybolduğunu varsayarak kesimleri

yeniden iletir. İletinin tamamı değil, yalnızca kaybolan kısmı yeniden gönderilir. Bu

bağlamda TCP protokolü taahhütlü posta servisine benzetilebilir.

Alıcı konak bilgisayarda TCP, ileti kesimlerinin yeniden birleştirilip uygulamaya

gönderilmesinden sorumludur.

Verinin teslim edilmesini sağlamak için TCP'nin kullandığı uygulamalara örnek olarak

FTP (Dosya Aktarım Protokolü) ve HTTP verilebilir. FTP için port 21 , HTTP için ise port 80

kullanılır.

Bazı durumlarda TCP alındı bildirimi protokolüne gerek duyulmaz ve bu protokol

aslında bilgi aktarımını da yavaşlatır. Bu tür durumlarda UDP daha uygun bir taşıma

protokolü olabilir.

UDP, alındı bildirimi gerektirmeyen 'en iyi girişim' teslim sistemidir. Bu, posta sistemi

aracılığıyla normal bir mektup göndermeye benzer. Mektubun teslim edileceği garanti

edilmez, ancak bu ihtimal yüksektir.

UDP, ses, video ve IP üzerinden ses(VoIP) akışı gibi uygulamalarda tercih edilir.

Alındı bildirimleri teslim işlemini yavaşlatır ve yeniden iletim pek de istenen bir durum

değildir.

OSI Modeli

ISO Uluslararası Standartlar Örgütü tarafından geliştirilmiştir. TCP/IP modelinden

farklı olarak, bu model belirli protokollerin etkileşimini belirtmez. Geliştiricilerin ağ

iletişimine yönelik protokoller tasarlarken izleyeceği mimari olarak oluşturulmuştur. Ağlar

arası iletişimle de ilişkilendirilmiş tüm işlevler veya görevler yer alır. Yalnızca dört katmanı

olan TCP/IP modeliyle karşılaştırıldığında, OSI modeli, görevi daha belirli yedi grupta

düzenler. Daha sonra yedi OSI katmanının her birine bir görev veya görevler grubu atanır.


17

OSI başvuru modeli, tüm ağ teknisyenleri ve mühendisleri için ortak bir dil sağlar.

Gerçekleşen işlevleri ve OSI modelinin her katmanında çalışan ağ iletişimi cihazlarını

anlamak önemlidir.

OSI modelinin üst katmanları (5-7), belirli uygulama işlevleriyle ilgilidir ve genellikle

yalnızca yazılımlarda uygulanır. Bu katmanlarda ortaya çıkarılan sorunlar genellikle istemci

ve sunuculardaki uç sistem yazılım yapılandırma hatalarından kaynaklanır.

OSI modelinin alt katmanları (1-4), veri taşıma sorunlarıyla ilgilidir.

Ağ Katmanı (3. Katman) ve Taşıma Katmanı (4. Katman) genellikle yalnızca

yazılımlarda uygulanır. Uç sistemlerdeki yazılım hatalarına ek olarak, yönlendirici ve

güvenlik duvarlarındaki yazılım yapılandırma hataları da bu katmanlarda ortaya çıkan birçok

sorunun nedenini oluşturur. IP adresleme ve yönlendirme hataları 3. Katman'da meydana gelir.

Fiziksel Katman (1. Katman) ve Veri Bağı Katmanı (2. Katman), hem donanımlarda

hem de yazılımlarda uygulanır. Fiziksel Katman, ağ kablolaması gibi fiziksel ortamlara en

yakın olan katmandır ve bilgiyi ortama yerleştirmekten sorumludur. 1. Katman ve 2. Katman

sorunlarının çoğunun nedeni, donanım sorunları ve uyumsuzluklarıdır.

Ağ Araçları Fiziksel Gereksinimler

ISP ve büyük kurumlarda ağ kurulumu ev ve küçük işletmelerdekinden çok farklıdır.

Trafik çok büyüktür. Sunucular, bunların bağlı olduğu swichler, kesintisiz güç kaynakları en

büyük farklardandır. Anlık bir kesinti çok büyük kayıplara yol açabilir. Bu yüzden kesintisiz

güç kaynakları büyük önem taşır. Bunların yanında ısı ve nemde ağ sistemlerinde hesaba

katılan önemli bir etkidir. Sunucularda ,switchlerde yüksek işlem gücüne sahip ve sürekli


18

çalışan cihazlardır. Isının kontrol edilmesi burada önem arz etmektedir. Provus’ta da sistem

odalarında büyüklüğüne göre klima ile sürekli soğutma yapılmaktadır. Bunların dışında

kablolamada da ağ kurulumu ve sonrasında genişletme durumları için iyi bir strateji izlenmesi

gerekir. Mesela Provus’ta bilgisayarlar ile switch arasında patch blok denilen bir metotla

sistem odalarındaki kablo karışıklığı önemli ölçüde giderilmiştir. Bu sayede hangi bilgisayar

hangi kabloyla switche gidiyor kolay bir şekilde tespit edilebiliyor.

Kablolar 4.4

İletişimdeki önemli öğelerden birisinin kanaldır yani verinin iletim ortamı. Bu iletim

ortamı şirket içinde genelde kablolar üzerinden oluyor. İki tür fiziksel kablo bulunur. Metal

kablolar genellikle bakır olur ve bilgi taşımaları için bu kablolara elektrik darbeleri uygulanır.

Fiber optik kablolar cam veya plastikten yapılır ve bilgi taşımak için ışık parıltılarını kullanır.

Kablolarından kendi içinde hızına,sağlamlığına göre çeşitleri vardır. Şirket içinde

önemine göre ,ihtiyacına göre farklı kablolar kullanılır. Bunlar arasında Kategori 3 (UTP) tipi

kablo santralde telefon hatlarında , Kategori 6 ve 7 tipi switchler arasında veya switch ile

bilgisayarlar arasında kullanılmakta. Ana switch ile diğer switchler arasında ise mesela fiber

optik kablolar kullanılır.

Switch(Anahtar ) Yapılandırması

Anahtarları istediğimiz şekilde çalışması için ayarlarız. Bu ayarlamalar arasında

VLAN oluşturma, IP adresi atama, anahtara şifre atama, interface yapılandırması ve daha

fazlası vardır. Defterde kullandığım ekran görüntüleri Provus'ta çalışmayan bir

switch üzerinde yaptığım konfigürasyonu ve Cisco firmasının network ile uğraşanlar için

sunduğu ağ simülasyon programı (Ciscp Packet Tracer) görüntülerini kapsıyor. Cisco

Packet Tracer ile program üzerinde sanki gerçek bir switch yapılandırılıyormuş gibi

denemeler yapılabilir. Provus'ta yapılandırdığım anahtara bilgisayarımdan seri bağlantı

çektim ve HyperTerminal programı üzerinden bağlantı sağladım.

Cisco araçlarında konfigürasyon oldukça kolay öğreniliyor. Bilinmeyen komutlar için

"?" kullanımında olası komut listesi önümüze seriliyor böylece komut ezberlemek zorunda

kalmıyoruz. Diğer bildiğimiz komutlar içinde bir kaç harfini yazıp TAB tuşuna basıldığında

Cisco komutu getiriyor. Bu da konfigürasyon işlemleri hızlandırıyor.

Cisco anahtar için Cisco Packet Tracer üzerinde yazdığım komutlar aşağıdaki resimde

görülebilir. Yapılandırmada sırasıyla;

Enable ile konfigürasyona başlamak için,


19

Configüre terminal ile interfacelere (portlara) girmek için,

Hostname S1 ile switche isim vermek için,

Banner motd ile güvenlik amaçlı kullanıcıya mesaj,uyarı vermek için,

Enable password ile şifre girmek için

Line con 0 ile line con 0 portu için konfigürasyona başlamak için,

Interface vlan 1 ile Virtual LAN 1. Portuna girdim

Ip address ile vlan 1 portuna ip adresi atamak için

No shutdown ile komut işletilir enale gibi çalışır,

Exit ile bir üst (config) menüye dönmek için,

Ip default-gateway ile anahtarın varsayılan ağ geçidi değiştirilir,

Interface fa0/3 ile fast ethernet 0. Modülünün 3. Portuna erişim sağladım,

Speed 10 ile hız gigabite ayarladım ve

Duplex half ile aynı anda sadece veri gönderimi veya veri alma için kullandım.

Aşağıda show interfaces komutu çalıştırdıktan sonra aldığım ekran görüntüsü;


20

show mac-address-table komutu sonucu;


21

Bilgi Güvenliği

Staj süresince network ağlarının, sunucuların, yazılımların güvenlik açıkları ve

alınabilecek önlemler ile ilgili ve çalışanların bilgi kaçağını engellemesi için alması gereken

tedbirler ile ilgili araştırmalar yaptım ve dokümanlar hazırladım. Şirketteki bu dokümanlar

ISO 27001 bilgi güvenliği sertifikası almak için hazırlanıyor. Defterde bunlardan kısaca

örnekler vereceğim.

Router/Switch

Ilk olarak routerlarda (yada switch) fabrikadan çıkışta enable olarak gelen bazı

özellikler, modlar vardır. Bunların kullanılmayanları veya güvenlik tehditi oluşturanları

disable edilmelidir. Bunlardan bazılarını örnek vermek gerekirse;

� Router da DNS lookup yapılabiliyor mu? Kapalı mı?

Default açıktır birçok Router’da gerek duyulmamaktadır.

DNS (Domain Name System) servisi isim ve IP dönüşümü yapmaktadır. Yönlendirici

üzerinde istendiğinde isimle iletişim kurulmak isteniyorsa DNS tanımlanarak isim çözümleme

işlemi gerçekleştirilebilir.

Artık gerek yok çünkü DNS nin kendisi var� TCP small servers ve UDP small servers service disable mı?

Router(config)#no service udp-small-servers

TCP small servers

• Echo: telnet x.x.x.x echo bu komutla ne yazılırsa geri döndürür.• Chargen: telnet x.x.x.x chargen komutuyla ASCII verisi oluşturulur.• Discard: telnet x.x.x.x discard komutuyla ne yazılırsa yok sayılır.

x.x.x.x routerın IP adresi ile değiştirilir. Çoğu Cisco router small server bulundurur.

The UDP small servers :

• Echo: Gönderilen datagramı yükler.• Discard: Gönderilen datagramı yoksayar.

Bu servisler hedef sistem hakkında bilgi toplamak için kullanılabilir veya direk olarak UDPecho kullanılarak fraggle attack gerçekleştirilebilir.

Peki sadece IP adresi öğrenilerek nasıl bir atak yapılabilir?

Kandırıcı (Spoofer)

Kandırıcılar, saldırganın IP adreslerinin sahtelerini üretmek (IP kandırma, IP spoofing) amacıyla kullanılır Şirinler (Smurf, çizgi film) ve Fraggle (Muppet şov’daki yaratıklara verilen ad) saldırı. Saldırılmak istenen hedef makinenin adresi, paketi gönderen adres olarak


22

yazıldığı bir sahte paketin, bir yayın (broadcast) adresine gönderilmesi ile bu saldırı-lar başlatılır. Yayın bölgesinde var olan bütün makineler hedef makineye cevap paketlerini gönderir. Bu da hedef makinenin İnternet bağlantısına aşırı yük bindirir. IP kandırıcı dışında, başka isimle e-posta mesajı göndermeye yarayan e-posta kandırıcı ve bir web sitesinin sahtesinin yayınlanmasıyla yapılan web kandırıcı yöntemleri de bulunmaktadır

� Router da Cisco Discovery Protocol disable mı?

CDP komşu Cisco cihazların ip address, platform türü hakkında bilgi toplar.Eğer herhangibir

uygulama tarafından kullanılmıyorsa kapatılmalıdır.

Router(config)# no cdp run

Router(config-if)# no cdp enable

CDP ikinci katmanda çalışan ve Cisco cihazlarının birbirlerini tanımalarını sağlayan bir

protokoldür. CDP çerçevelerinin (frame) içerisinde cihazın adı (hostname), IP adresi, cihazın

modeli, cihazın işletim sistemi versiyonu gibi bilgiler yer almaktadır. Bu bilgiler ağ üzerinde

açık olarak, şifresiz bir şekilde gönderilmektedir. Cihazlara ait bilgilerin ağ üzerinden şifresiz

bir şekilde gönderilmesi sakıncalıdır. Cihazın markası ve modeli öğrenilmek suretiyle; o

marka ve modele has açıklıklar kullanılarak cihaza saldırı(lar) gerçekleştirilebilir. Cihazlardan

öğrenilmiş olan IP bilgileri kullanılarak da ağın topolojisi tespit edilebilir.

� Bootp server disable mı?

Router(config)#no ip bootp server

Default olarak router’lar başka routerlar için bootp server görevindedirler,bu diğer Routerların

o Routerdan boot edilmesini sağlar. Bu da o router üzerinde üzerindeki işletim sistemini (IOS)

kopyalayabileceğimiz anlamına gelir. Kötü niyetli bir kişi Router’ın üzeriden IOS’unu

kopyalayabilir. IOS verisyonunun açıklarından yararlanarak saldırmaya çalışabilir.

� Router da IP source routing disable mı?

Router(config)#no ip source-route

IP source routing, network paketlerinin hangi yoldan gideceğini belirten bir özelliktir.

Hacker’lar ip source özelliğini kullanarak paketlerin Firewall, IDS (Intrusion Detection

System) gibi güvenlik uygulamalarından bypass edilerek geçmesini sağlayabilirler.

Kaynak Yönlendirme (Source Routing) IP’nin bir özelliğidir. Bu özellik etkinleştirilirse paket

kendi yolunu belirleyebilir. Bu da birçok atak yapılmasına sebep olabilir. Yönlendiriciler

genellikle kaynak yönlendirmeyi desteklerler. Eğer paketler QoS (Quality of Service) gibi

özel bir amaçlar için belirli yollardan gönderilmiyorsa bu servis kapatılmalıdır.


23

Bu şekilde kapatılabilecek servislerin listesi

TCP Small Servers R0(config)#no service tcp-small- servers

UDP Small Servers R0(config)#no service udp-small- servers

Finger R0(config)#no service finger

Bootp R0(config)#no ip bootp server

NTP R0(config)#no ntp

DNS R0(config)#no ip dns server

CDP R0(config)#no cdp run

Telnet

SSH

R0(config)#line vty 0 903

R0(config-line)#transport input none

HTTP R0(config)#no ip http server

HTTPS R0(config)#no ip http secure- server

SNMP R0(config)#no snmp-server


network staj defteri

Documents