BÖLÜM – 1

Ağ güvenliği nedir?

Bilgisayarların içerisindeki kaynakların, dosyaların, verilerin çalınmaya değiştirilmeye, izlenmeye, izinsiz kullanılmasına v.b karşı korunması önemli bir sorundur.

Bilgisayarlardaki kaynakları, dosyaları ve veriyi korumak ve saldırıları engellemek için tasarlanmış sistem ve araçlara; “Bilgisayar Güvenlik Sistemleri “denir.

Bilgisayar ağlarında ise; verinin bir yerden bir yere iletilmesi sürecinde de güvenlik gerekir. Aslında ağa bağlı bulunma sürecinde veri hem iletilirken, hem statik halde iken ağdaki saldırganlara karşı savunmasızdır.

Dolayısıyla bu durumda koruma, (Güvenlik açıklarının giderilmesi) ağdaki tüm birimleri (veri, bilgisayarlar ve ağ aktif cihazları) kapsamalıdır.

Bu kavram ise; “Ağ Güvenliği Sistemleri “ dir.

Ağ Güvenliği = Bilgisayar Güvenlik sistemi + İletişim Güvenliği

Ağ güvenliğini sağlayabilmek için hem ağdaki bilgisayarların hem de ağın güvenliğinin sağlanması gerekir.

Bilgisayar Güvenliği, veriyi korumak ve saldırganları (hacker) engellemek için alınacak tedbirlerin tümünü içerir.

Ağ Güvenliği ise daha çok iletişimin güvenliği ile ilgilenir.Ağ güvenliği çözümlerini;

Kriptografik Sistem tabanlı

çözümler olarak ikiye ayırmak mümkündür. Sistem tabanlı çözümler kriptografik işlemler içermeyen, sistem bilgilerini kullanarak

güvenliği sağlamaya çalışan çözümlerdir. Bunlara örnek olarak yerel ağı dışarıdan gelecek saldırılardan korumayı amaçlayan

güvenlik duvarları ve olası başarılı saldırıları anlamaya yönelik sızma denetim sistemleri verilebilir.

Ağ Erişim Güvenlik Modeli (Sistem Tabanlı Çözüme Örnek)

Bilgi sistemlerine (ağlara, Bilgisayarlara, Serverlara v.b) istenmeyen erişimin engellenmesi işlemidir.

Bu modeli için: Kullanıcıları tanıyan uygun bir ağ geçidi denetleyici seçmek (pasword temelli erişim,

erişim yetkisi ve seviyesi belirleme )Dahili Güvenlik Kontrolü uygulaması (Sistemi devamalı izleyerek anormal olayları sezmek

ve tehditleri önceden belirleyebilmek- STS v.b)

Bir Ağ Güvenliği Modeli (Kriptografik çözüme örnek)

Gönderici ve alıcı mesajları gizli olarak iletirken, güvenli bir üçüncü şahıs gizli bilgilerin dağıtıcısı olarak hizmet vermekte, her iki taraf arasında noter görevi görmektedir.

Kriptografik Çözüm mimarisiBu genel güvenlik mimarisi güvenlik servislerinin tasarımında dört temel işi

göstermektedir. Güvenlik ilişkili dönüşümler için bir algoritma tasarımı Algoritma ile kullanılacak gizli bilginin üretimi Gizli bilginin dağıtımı ve paylaşımı için yöntem geliştirme Güvenlik algoritmasını ve güvenlik servisini sağlayacak gizli bilginin kullanımını

sağlayacak protokol belirleme

SALDIRI(ATTACK) , TEHDİT(Thread), SALDIRGAN (Hacker)?TEHDİT: Belirli durum veya olayın oluştuğu anlarda, güvenlik fonksiyonunun yerine

getirilmesini engellemeye hazır, potansiyel bir güvenlik bozucusudur.SALDIRI: Sistemin güvenlik servislerini etkisiz hale getirmeyi amaçlayan, akıllı bir

tehditten oluşturulan ani bir hucum (Attack)’tır.SALDIRGAN: Saldırgan , ağ üzerinde ki genelde bazı servisler veren makinalara; hiçbir

hakkı olmadan erişip zarar veren kişidir. Bilgi hırsızı olarak ta tarif edilir.İki tip saldırgan vardır.

1-Kötü niyetli saldırganlar: Sisteme zarar vermek için saldırırlar.2-Kötü niyetli olmayan Saldırganlar: Çok fazla zararlı olmayan tiptir. Sisteme genellikle

eğlenmek için girereler.

Saldırganlar

İstatistiki raporlara göre saldırıların çoğunun firma içerisinden yapıldığı tespit edilmiştir. İçeriden gelen saldırı sistem sadece dışarıdan korumalıysa çok zarar verici olabilmektedir. Saldırılar genellikle eğlence, kendini göstermek ya da sisteme zarar vermek amacıyla

yapılmaktadır. Kötü niyetli saldırganlar sisteme gerçekten zarar vermek amacıyla girerler. Açığını buldukları

sisteme verebilecekleri en büyük zararı verirler. Genellikle ekip halinde çalışırlar. Bilgisayar korsanları, casuslar, teröristler ve profesyonel suçlular bu gruba girer.

Kötü niyetli olmayan saldırganlar ise genelde meraklı olarak adlandırılırlar ve eğlence amacıyla saldırıda bulunurlar.

Saldırganlar ve amaçları

Saldırı karmaşıklığı ve Saldırganın Teknik Bilgisi

En Kötü Şöhrete Sahip Bilgisayar Korsanları John Draper: 'Bilgisayar Korsanı' terimiyle anılabilecek olan ilk insanlardan

birisidir. 1970'li yıllarda John Draper, 'Cap'n Crunch' mısır gevreği kutusundan

çıkan bir oyuncak düdüğü kullanarak, telefon hatlarını kırmayı başarmış ve sayısız telefon görüşmesi yapmıştır.

John Draper 1972 yılında, telefon şirketinin oldukça garip olan faturalarını incelemesi üzerine, yakalanmış ve 2 ay hapis cezasına çarptırılmıştır.

Kevin Mitnick: Her ne kadar Kevin Mitnick, bilgisayar korsancılığı

radarına 1981 yılında (Daha 17 yaşındayken) girmiş olsa da, 1983 senesine kadar çok önemli bir suç işlemeyip, dikkatleri üzerine çekmemiştir.

Kevin Mitnick, USC (University of South Carolina / Güney Carolina Üniversitesi)'nde öğrenim görürken, ARPANet sistemine giriş yapabildi. ARPANet sistemine girebilmesi Kevin Mitnick'e, Pentagon'un ve Savunma Departmanı'nın tüm gizli dosyalarına erişebilme imkanı sağladı. Kevin Mitnick, burada bulunan verilerin hiç birisini çalmadı. Bu, onun için bir şöhret meselesiydi. Sistem yöneticileri olayların farkına varınca, Kevin Mitnick USC kampüsünde tutuklandı ve çocuk ıslahevinde, kısa süreli bir ceza süreci yaşadı.

Kevin Mitnick'in işlediğine karar verilen suçlardan ilki, yasal olmayan bir şekilde bir bilgisayar sistemine giriş yapmaktı. Bu olay ise, onun ikinci defa tutuklanmasına neden oldu.

Fakat iki defa tutuklanmasına rağmen Kevin Mitnick, sürekli olarak kendini FBI'ın radarında tutmaya devam etti ve o zamandan bu yana, bir çok soruşturma, dava ve tutuklama olayının baş aktörü olmaya devam etti.

Robert Morris : 23 yaşındaki Cornell mezunu Robert Morris, 1988 yılında daha

sonraları 'Morris Worm' (Morris Solucanı) adıyla anılmaya başlanan ve 99 satırdan oluşan bir kodlama yazmıştı.

Bu kodlama, tüm ülkedeki bilgisayarlara bulaşıp yayılarak, bilgisayarların tamamen çökmesine neden olmuştu.

Robert Morris, kendisinin yazdığı bu kodun orijinal amacının, o anda internete bağlı olan bilgisayarları sayarak, internetin tahmini genişliğinin belirlenmesi olduğunu söylemişti.

Robert Morris 1989 yılında tutuklandıktan sonra, 1986 yılında yürürlüğe girmiş olan 'Bilgisayar Dolandırıcılığı ve Suiistimal Eylemi' suçuyla yargılanan ilk kişi oldu.

Robert Morris bu suçla yargılandıktan sonra, şartlı olarak tahliye edildi, kamu hizmeti cezasına ve 10.000 dolarlık bir para cezasına çarptırıldı.

Kevin Poulsen: 24 yaşındaki Kevin Poulsen, 1989 yılında bilgisayar ve

telefon sunucularına izinsiz giriş yapmaktan tutuklandığı zaman, zaten belli bir süredir FBI'ın takip ettiği bir bilgisayar korsanıydı.

Los Angeles'taki bir radyo istasyonu olan 'KISS-FM', bir telefon bağlantısı yarışması düzenlemişti.

Bu yarışma sonucunda radyo istasyonu, telefonla programa bağlanan 102. kişiye bir 'Porsche 944-S2' marka araba hediye edecekti.

Kevin Poulsen ise, radyo istasyonunun telefon santrali hatlarının kontrolünü eline geçirerek, tüm gelen aramaları bloke etmeye başladı.

Bu sayede kendisinin, programa bağlanan 102. kişi olmasını garantileyerek araba ödülünü kazandı.

Kevin Poulsen, ismi açıklanmayan bir kişinin verdiği bilgiler sayesinde, 1991 yılında Los Angeles'ta bulunan bir süper markette yakalanarak tutuklanmıştır.

Vladimir Levin:

Vladimir Levin, CitiBank'ın analog kablo transfer ağına gizli bir şekilde giriş yaparak, birkaç tane büyük kurumsal banka hesabının, kullanıcı adını ve şifrelerini ele geçirmeyi başarabildi.

Vladimir Levin daha sonra, Amerika'da, Finlandiya'da, Hollanda'da, İsrail'de ve Almanya'da bulunan diğer banka hesaplarına, CitiBank'ın hesaplarından 10.7 milyon dolarlık bir para transferi yaptı.

Vladimir Levin daha sonra, 1997 yılında Amerika'ya iade edildi ve Amerika'da, üç yıllık bir hapis cezasına çarptırıldı. Ayrıca CitiBank'a, tazminat ödemesine karar verildi.

David Smith: Dünya'ya bir virüsü yaymaya çalışan ilk bilgisayar korsanıdır.1999 yılında Davis Smith isimli bir bilgisayar korsanı, 'Melissa

Solucanı' isimli bir virüsü Amerika'nın New Jersey eyaletinde bulunan bir bilgisayardan, çalınmış bir 'AOL' hesabını kullanarak serbest bıraktı. Bu solucan otomatik olarak kendini, kullanıcının 'Outlook' adres defterinde bulunan, ilk 50 kişiye yollamaya başladı.

Bu solucan, tüm Dünya çapında 300'ün üstünde büyük firmayı etkiledi. Etkilenen bu firmalar arasında 'Microsoft, Intel ve Lucent Technologies' gibi firmalar da bulunuyordu. Bu solucan, neden olduğu aşırı e-posta trafiği ve bu e-postaların kapladığı geniş yerlerden dolayı, bu büyük firmaların tüm e-posta veri yollarını kapamak zorunda kalmalarına neden oldu. Bu da yaklaşık olarak, 80 milyon dolara ulaşan bir finansal zarara neden oldu.

David Smith mahkemede suçlu bulunduktan sonra, hapis cezasına çarptırıldı. Fakat David Smith, yeni yayınlanmaya başlayan virüsleri ve bu virüsleri yazan kişileri

bulması için FBI'a gizli olarak yardım etmeye karar verdiği zaman, çarptırıldığı hapis cezası 20 aylık bir süreye düşürüldü.

Jonathan James: 1999 yılında 15 yaşında olan Jonathan James, Alabama'da bulunan Marshall

Uzay Uçuş Merkezi'nden (Marshall Space Flight Center) çalınmış olan bir şifrenin yardımıyla, NASA'nın bilgisayarlarına gizli bir şekilde giriş yapmayı başarmıştır. Değeri 1.7 milyon dolar olan kaynak kodları ele geçirmiştir.

Bunun sonucunda ise NASA, 1999 yılının Temmuz ayında birkaç hafta boyunca, tüm bilgisayar ağını kapatmak zorunda kalmıştır.

Yargılandığı zaman 16 yaşına girmiş olan Jonathan James; 6 aylık bir hapis cezasına çarptırılmış ve 18 yaşına girene kadar, şartlı tahliye halinde gözetim altında tutulmuştur.

Mike Calce: 2000 yılının Şubat ayında Mike Calce, içlerinde Amazon, eBay,

E*TRADE ve Dell gibi büyük firmaların bulunduğu, 11'den fazla önemli web şirketini derinden etkileyen, bir hizmet dışı bırakma saldırısı başlatmıştır.

Mike Calce bu saldırıyı, 52 farklı ağda bulunan 75 tane bilgisayarı kullanarak başlatmıştır.

Bu saldırının, 1.7 milyar Kanada doları (Yaklaşık olarak 1.6 milyar Amerikan doları) değerinde bir parasal zarara neden olduğu tahmin edilmektedir.

2001 yılında mahkemede yargılanan Mike Calce, 8 ay boyunca tutuksuz gözaltında tutulma, sınırlı internet kullanımı, küçük miktarda bir para cezası ve bir yıl süreyle şartlı tahliye takibi cezasına çarptırılmıştır.

Saldırılar ,Servisler, Mekanizmalar

Korunacak Varlıklar

1- Veriler : Gizlilik, Güvenlik, Erişilebilirlik.2-Kaynaklar : Public’e açık ağlarda riske atılmış olan varlıklardan biriside bilgisayarlardır.3-Saygınlık : Kurumların güvenlik seviyeleri bir saygınlık ölçüsüdür.

Saldırı Türleri ve Saldırıların Sınıflandırılması Saldırganlar sisteme ağ üzerinden ulaşabilecekleri için ağa bağlı cihazlar her zaman

saldırıya açık durumdadır. Saldırganın yapacakları hedef makinaya ulaşmak, yazılım ve/veya donanıma zarar

vermek şeklinde olabilir. Saldırgan istediği verileri alabilir yada kullanılamaz hale getirebilir. Bilgisayar ve ağ saldırıları için çeşitli sınıflandırmalar yapılmıştır.

Süreçsel SınıflandırmaInternet'te gerçekleştirilen veri transferi ile ilgili güvenlik sorunları dört kategoriye

sokulabilir. Engelleme Dinleme Değiştirme Oluşturma (üretim)

Engelleme: Sistemin bir kaynağı yok edilir veya kullanılamaz hale getirilir. Donanımın bir kısmının bozulması, iletişim hattının kesilmesi veya dosya yönetim sisteminin

kapatılması gibi….

Dinleme: İzin verilmemiş bir taraf bir kaynağa erişim elde eder. Yetkisiz taraf, bir şahıs, bir program veya bir bilgisayar olabilir. Ağdaki veriyi veya dosyaların kopyasını alabilir.

Değiştirme: İzin verilmemiş bir taraf bir kaynağa erişmenin yanı sıra üzerinde değişiklikte yapar. Bir veri dosyasının değiştirilmesi, ağdaki bir mesajın değiştirilmesi gibi…..

Oluşturma (üretim): İzin verilmemiş bir taraf , sisteme yeni nesneler ekler.

Ağ üzerinde sahte mesaj yollanması veya bir dosyaya ilave kayıt eklenmesi gibi….

Dinleme pasif bir saldırı türü olarak kabul edilmektedir. Engelleme, değiştirme ve oluşturma ise etkin(aktif) bir saldırı türü olarak görülmektedir.

İşlemsel Sınıflandırma Genel anlamda bir saldırı; yöntemler, kullanılan yollar ve sonuçları açısından düşünülebilir. Bilgisayar ya da bilgisayar ağına saldıran kişi, istediği sonuçlara çeşitli adımlardan geçerek

ulaşmak zorundadır.

Saldırıların GruplandırılmasıSaldırılar;

Saldırıda kullanılan yöntem

Saldırganın kullandığı yöntem Saldırının amaçladığı uygulamalar Saldırı sonucunda oluşan zararlar

Açısından değişik şekillerde gruplanabilir.

1. CERT GruplandırmasıComputer Emergency Responce Team (CERT) tarafından yapılmış olan saldırı türleri ve

gruplandırması ve açıklamaları şu şekildedir.

2.İletişim Protokollerini Kullanan Saldırılar IP sahteciliği (IP Spoofing) TCP dizi numarası saldırısı (TCP sequence number attack) ICMP atakları Ölümcül ping TCP SYN seli atağı (TCP SYN Flood Atatck) IP parçalama saldırısı (IP Fragmentation Attack) Internet yönlendirme saldırısı (Internet Routing Attack) UDP sahteciliği ve dinleme (UDP Spoofing and Sniffing) UDP potunu servis dışı bırakma saldırısı (UDP port Denial of Sevice attack) Rastgele port taraması (Random port scanning) ARP saldırıları (ARP attacks) Ortadaki adam saldırıları

3. IP SaldırılarıIP V4’te bulunan güvenlik eksikliklerinden faydalanılarak yapılan atak türleridir. Bazıları

şunlardır. Out of Band Nuke Land Teardrop Boink Smurf Suffer3 ……

4. İşletim Sistemine Özel Saldırılar Exploit olarak isimlendirilen bu saldırılar sistem tabanlı olarak çalışırlar. Yani Unix için yapılan bir exploit Windows için çalışmaz.

5. Uygulama Katmanı Saldırıları DNS, SMTP, NFS saldırıları Uzaktan giriş ile saldırılar URL sahteciliği Kötü niyetli java ve ActiveX uygulama parçacıklar Sistem log seli (güvenlik dosyasına çok sayıda giriş yapılarak log dosyasının

dolmasına ve sistemin kapatılmasına neden olur)

Ağ Güvenliği ile ilgili… *** Kimler savunmasızdır (vulnerable)?***Kimler saldırgandır (attacking)?***Saldırı Türleri nelerdir?

Kimler savunmasızıdır? (Who’s vulnerable?) Bir kuruluşta İş yapma sürecinde bilgisayarlar veya ağları kullanan herkes. Kuruluştaki bilgisayar sistemlerinde, şahsi bilgileri depolanmış herkes. Kuruluşla ilişkili olan yabancılar - müşteriler, kamu. Hem Sunucular, hem Son Kullanıcılar saldırılara maruz kalabilir. Web sunucuları, E-mail sunucuları, Dosya sunucuları, Haberleşme sunucuları, Ağ

aktif elemanları v.b. E-mail alan son kullanıcılar. Web sitesi ziyaretçileri, dosya indirme, online

hizmetlerden yararlananlar v.b.Aşağıdaki işlemleri yaparken Ağ güvenlik tehditlerine maruz kalırsınız.

E-mail kullanımıyla (e.g. viruses, worms) Web-browser kullanırken (e.g. malicious applets and scripts) Sadece bir ağa bağlanmak suretiyle (protocol hacks, breaking and entering)

Kimler Saldırır? (Who’s attacking?)İçeriden ve dışarıdan diye iki tiptir.

İçeriden gelen saldırılar. “İçeriden”’in anlamı; Orijini, içinde bulunulan LAN/İntranet içerisinden ve bilinen bir

kaynaktan anlamındadır. “Örnek çalışmalar, saldırıların büyük bir çoğunluğunun bir organizasyon içinden

kaynaklandığını göstermiştir. Aslında, bazı çalışmalar, bir organizasyonun içindeki bilgilere, % 70 oranında eski bir çalışan tarafından saldırıldığını göstermektedir.”

Bazan kasıt olmadan, bilmeden hasar (demage) verilir.İnsan hatalarıyla,

Sadece , ne yaptığını bilen insanlar için hiyerarşik ayrıcalıklar verilerek bu hatalar azaltılabilir.

People experimenting with things they’ve heard about“I was just testing this downloaded script....”Bazen hasarlar belirli bir amaçla yapılır.

Küskün insanların kötü niyetli saldırıları (Malicious attacks- Kötü niyetli saldırılar ). (Örneğin eski çalışanlar)

Birlikte çalışanlardan meraklı birinden gelen snoop ataklar. Şiddet olaylarından (Acts of vandalism)Casusluk için (Espionage)

Dış saldırılar…Dışarıdan gelen Saldırılar (Ataklar): “Dışarıdan”ın anlamı dahil olunan LAN/Intranet’in dışındaki herhangibir yerden ve

bilinmeyen bir kaynaktan veya kişiden anlamındadır. Bazen hasar (Demage) kasıt olmadan yapılır. Bazen hasar kasıtlı ve amaçlı olarak yapılır. Saldırganlar ne elde etmek isterler?

Sadece "ben yaptım!“ diye övünmek, için.o Bilgi hırsızlığı

Hizmet (servis) hırsızlığıo Gerçek varlıklar/para hırsızlığı

Tahrifat / vandalizmo Verilerin tahrip edilmesi veya yok edilmesi için.

Verilerin değiştirilmesi , yolsuzluko Bilgisayarlar tarafından kontrol edilen sistemlerde yolsuzluklar (telefon

sistemi, TV sistemleri, vb.) Hizmetlerin reddine (Deniel of service)

o Yukarıda listelenen saldırıları gerçekleştirmek için uzaktan aktif edilerek veya host olarak sizin makineniz kontrol edilerek kullanılabilir.

OSI Güvenlik Mimarisi X.800 Veri güvenliğinde sistematik bir yaklaşım olarak; ITU-T ( İnternational Telecomunication

Union - Telecommunication Standardization Sector ) kuruluşunun X.800 olarak adlandırdığı standartlara uyulur.

Özellikle X.800, güvenlik servisleri, güvenlik mekanizmaları, saldırı tipleri v.b. güvenlikle ilgili genel açıklamaları belirtir. 800—816 v.b farklı standarları da kapsar.

X.800 Aynı zamanda yedi katmanlı OSI Temel Referans Modelinde güvenlik hizmetlerinin uygulanması içinde uygundur.

X.805 StandartıITU-T �enin X.805 standartı ise, “Uçtan uca haberleşme hizmeti sağlayan iletişim

sistemleri için güvenlik mimari yapısını”� tarif eder.

X.805’in tarif ettiği üç ana konuGüvenlik mimarisi üç temel sorunu gidermek içindir.

1- Hangi tehditlere karşı ne tür bir koruma gereklidir?2-Korunması gereken tesis ve farklı ağ donanım gurupları nelerdir?3- Korunması gereken ağ faaliyetlerinin farklı türleri nelerdir?

Uçtan-Uca İletişim Sistemleri için Güvenlik Mimarisi X.805Bu güvenlik mimarisi iki temel kavram üzerine kurulmuştur. Katmanlar (Layers) ve

Düzlemler(Plains). Bir güvenlik düzleminde, üç güvenlik katmanı da kullanılır.

Güvenlik Katmanları (Security Layers)

İlk eksen, uçtan uca ağ oluşturmada kullanılan ağ elemanları ve sistemleri için gerekli. Güvenlik Katmanlarını tarif eder.

Hiyerarşik bir yaklaşımla güvenlik gereksinimleri katmanlara bölünerek tarif edilir. Her katmanda güvenlik açıkları farklıdır ve bu nedenle , her katmanın ihtiyaçları,

karşılanmak için tarif edilmelidir.Altyapı (İnfrastructure - Çevresel) katmanı ; ağ iletim tesislerinin yanı sıra , bireysel ağ

elemanları (Router, Server v.b)’ seviyesinde güvenliği tarif eder.

Servisler (Service –hizmet) katmanı ; Müşterilere sunulan ağ servislerinin güvenliğini tarif eder. Bu servisler, kiralık hat hizmetleri gibi temel bağlantı tekliflerinden, ansal mesajlaşma servisine kadar geniş bir yelpazedir.

Uygulamalar (Applications) katmanı ; müşteriler tarafından kullanılan ağ tabanlı uygulamalar için gerekli ihtiyaçları tarif eder. Bu uygulamalar, e-posta gibi basit veya high-end video transferleri ,görselleştirme, ya da otomobil tasarımı için kullanılan ağ uygulamaları olabilir.

Üç Güvenlik Katmanı (Three Security Layers)

Örnek :IP Ağlarında Güvenlik katmanı uygulamasıInfrastructure Security Layer (Altyapı güvenlik katmanı)

– Bireysel Routerlar, server’lar– İletişim linkleri

Services Security Layer (Servis güvenlik katmanı)– Temel IP taşıma (transport)– IP destek servisleri ( DNS, DHCP v.b)– Protokol üstünde çalışan servisler: (VPN, VoIP, QoS, v.b)

Applications Security Layer (Uygulama güvenlik hizmetleri)– Temel ve esas uygulamalar (FTP, web erişimi, e-mail v.b)– Üst-düzey uygulamalar (e-ticare, e-iş v.b)

Güvenlik Düzlemleri (Security Planes) X.805 güvenlik mimarisi, bir ağ üzerinde yer alan koruma faaliyetleri için, önceden tarif

edilen 3 güvenlik katmanının da üzerinde çalışabildiği, üç Güvenlik Düzlemini (Three planes) tanımlar.

Bu Güvenlik Düzlemleri, networkle ilgili yönetim faaliyetleri, ağ kontrolü ve sinyalizasyon faaliyetleri ve son kullanıcı faaliyetlerinin gerektirdiği özel güvenliği tarif eder.

Güvenlik düzlemi kavramı; netwok aktivitelerinin biribirinden bağımsız olarak korunması için (etkilenmemesi için) gerekli olabilir.

Örnek: Son kullanıcı seviyesi güvenlik düzleminde ki güvenlik tavizi, Yönetimsel güvenlik düzlemiyle ilgili işlevleri etkilemez.

Bu güvenlik düzlemleri;(1) Yönetim düzlemi : Son kullanıcıya veya bir ağa, Operasyonlar, Yönetim, Bakım v.b

faaliyetlerin sağlanmasıyla ilgilidir.(2) Kontrol düzlemi : Uçtan-Uca haberleşen bir ağdaki marka bağımsız değişik

teknolojiler için haberleşme işaretlerinin kontrolu ile ilişkilidir. (3) End-User (Son kullanıcı) düzlemi: Bu düzlem, bir ağın, müşteri tarafından kullanımı

ve erişiminin güvenliğini tarif eder. Bu düzlem ayrıca; son kullanıcı veri akışının güvenliği ile de ilgilidir.

Üç Güvenlik Düzlemi

Network güvenliği mimarisini tanımlamak için; İki eksenli olarak Güvenlik Katmanları ve Güvenlik Düzlemlerinin yanısıra (3 Güvenlik düzlemi ve 3 Güvenlik Katmanı) , sekiz adet Güvenlik Boyutları ( Security dimension-Güvenlik serisleri) tanımlanır.

Güvenlik mimarisi açısından bakıldığında, bu güvenlik boyutları; uygun katmanlar ve düzlemler arasında oluşan 3x3 matrisinin her hücresine uygulanabilir güvenlik servislerini

ve gerekli önlemler tanımlar. Güvenlik boyutlarının tarfileri X.8010-16 arasında çerçeve olarak tanımlanmıştır.

Nedir bu güvenlik boyutları (Güvenlik Servisleri) ?

8 adet Güvenlik Boyutu, Ağın güvenlik açıklarının bütününü kapsar.

Güvenlik Servislerinin OSI 7 katmanıyla ilişkisi

Güvenlik MekanizmalarıGüvenlik servislerinin gereğini yerine getirmek için kullanılan yöntemlerdir.

Şifreleme Mekanizmaları(Encipherment Mechanisms)• veri gizliliği hizmet verirler.• Asimetrik / Simetrik algoritmalar

Sayısal İmzalar (Digital Signatures)• Islak imzanının, elektronik ortamdaki sayısal eşdeğeridir.• Genellikle asimetrik şifreleme uygulayanır.

Erişim Kontrol Mekanizmaları (Access Control Mechanisms)• Doğrulanmış kimlik bilgilerini kullanarak , bir varlığa veya varlıkla ilgili bilgilere erişim

kontrol hizmetlerinin sağlanması.

Veri Bütünlüğü Mekanizmaları (Data Integrity Mechanisms):• Veri bütünlüğünün sağlandığını kanıtlamak için, değişik ispat algoritmalarını kullanmak.• Mesaj kimlik doğrulama kodları (MAC), dijital imzalar v.b

Kimlik doğrulama mekanizmaları (Authentication Mechanisms):• Temel bir kimlik temini, kimlik doğrulama hizmetleri sağlanması.• Ortak anahtar altyapısı (PKI - public key infrastructure) gibi şifreleme teknikleri ve güven altyapısı dayanarak.

Trafik-Dolgu Mekanizmaları (Traffic-Padding Mechanisms) • Trafik analizi saldırılarına karşı koruma sağlama

Yönlendirme Kontrol Mekanizması(Routing Control Mechanisms)• Belirlenmiş yollardan dinamik veya statik olarak, iletişim veri için belirli bir güzergah

seçimi izini.

Güvenlik servisleri ve mekanizmalarının ilişkileri

Ağ Güvenliğine karşı ataklar Eavesdropping Attacks : Gizlice dinleme Saldırıları

Logon Abuse Attacks:Oturum İstismarı Saldırılar Spoofing Attacks : Bilgi sızdırma saldırıları Intrusion Attacks: İzinsiz Giriş Saldırılar Hijacking Attacks : Kaçırma (Korsanlık) Saldırıları Denial-of-Service (DoS) Attacks: Hizmetlerin durudurulması saldırıları. •SYN Attack : •Ping of Death : Ölümcül ping Application-Level Attacks : Uygulama seviyesi atakları.

ITU-T X.800 ile tarif edilmiş Threat (Tehdit) Modeli

Güvenlik Boyutları ve Tehdidlerin kapsanması

Ağ Güvenlik politikasıKurumların kendi kurmuş oldukları ve İnternet’e uyarladıkları ağlar ve bu ağlar üzerindeki

kaynakların kullanılması ile ilgili kuralların genel hatlar içerisinde belirlenerek yazılı hale getirilmesi ile ağ güvenlik politikaları oluşturulur.

Güvenlik politikasının en önemli özelliği yazılı olmasıdır ve kullanıcıdan yöneticiye kurum genelinde tüm çalışanların, kurumun sahip olduğu teknoloji ve bilgi değerlerini nasıl kullanacaklarını kesin hatlarıyla anlatmasıdır.

Ağ güvenlik politikaları, kurumların yapılarına ve gereksinimlerine göre değiştiğinden bir şablondan söz etmek mümkün değildir. Bu rada bildiride politikası oluştururken dikkat edilmesi gerekenler belirtilmiştir. Ağ güvenliğinin sağlanması için gerekli olan temel politikalar aşağıda sıralanmıştır :

1. Kabul edilebilir kullanım (acceptable use) politikası2. Erişim politikası3. Ağ güvenlik duvarı (firewall) politikası4. İnternet politikası5. Şifre yönetimi politikası6. Fiziksel güvenlik politikası7. Sosyal mühendislik politikası

1.1. Kabul Edilebilir Kullanım (Acceptable Use) Politikası Ağ ve bilgisayar olanakların kullanımı konusunda kullanıcıların hakları ve sorumlulukları

belirtilir. Yazılacak politikada temelde aşağıdaki konular belirlenmelidir .

· Kaynakların kullanımına kimlerin izinli olduğu,· Kaynakların uygun kullanımının nasıl olabileceği,· Kimin erişim hakkını vermek ve kullanımı onaylamak için yetkili olduğu,· Kimin yönetim önceliklerine sahip olabileceği,· Kullanıcıların hakları ve sorumluluklarının neler olduğu,· Sistem yöneticilerin kullanıcılar üzerindeki hakları ve sorumlulukların neler

olduğu,· Hassas bilgi ile neler yapılabileceği.

Türkiye’de üniversitelerin İnternet bağlantısını sağlayan Ulakbim’in kabul edilebilir politikası için araştırınız.

1.2. Erişim Politikaları: Erişim politikaları kullanıcıların ağa bağlanma yetkilerini belirler. Her kullanıcının ağa

bağlanma yetkisi farklı olmalıdır. Erişim politikaları kullanıcılar kategorilere ayrıldıktan sonra her kategori için ayrı ayrı belirlenmelidir.

Bu kategorilere sistem yöneticileri de girmektedir. Sistem yöneticisi için erişim kuralları belirlenmediği takdirde sistemdeki bazı kurallar sistem yöneticisinin yetkisine bırakılmış olacağından, bu sistem üzerinde istenmeyen güvenlik açıkları anlamına gelebilecektir.

1.3. Ağ Güvenlik Duvarı (Firewall) Politikası: Ağ güvenlik duvarı (network firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak

görev yapan ve İnternet bağlantısında kurumun karşılaşabileceği sorunları çözmek üzere tasarlanan çözümlerdir.

Ağın dışından ağın içine erişimin denetimi burada yapılır. Güvenlik duvarları aynı zamanda performans arttırıcı ve izin politikası uygulayıcı amaçlar için de kullanılırlar. Bu çözümler yazılım veya donanımla yazılımın bütünleşmesi şeklinde olabilir.

Güvenlik duvarı aşağıda belirtilen hizmetlerle birlikte çalışarak ağ güvenliğini sağlayabilmektedir

· Proxy: Proxy bir bağlantı uygulamasında araya giren ve bağlantıyı istemci (client) için kendisi gerçekleştiren bir hizmettir. Proxy’nin kullanımı, uygulama temelli (application-level) güvenlik duvarı olarak da adlandırılabilir. Bu tür bir uygulama aynı zamanda kimlerin bu hizmetleri kullanacağını belirlemek ve performans amaçlı olarak bant genişliğinin daha etkin kullanılmasını sağlamak için de kullanılır.

. Anti-Virus Çözümleri: HTTP, FTP ve SMTP trafiğini üzerinden geçirerek virüs taramasını yapmayı ve kullanıcıya gelmeden önce virüslerden temizlemeyi hedefleyen sistemlerdir.

· İçerik Süzme (content filtering): Çeşitli yazılımlarla ulaşılmak istenen web sayfalarını, gelen e-posta’ları süzmeye yarayan sistemlerdir.

· Özel Sanal Ağlar (Virtual Private Network-VPN): Ortak kullanıma açık veri ağları (public data network) üzerinden kurum ağına bağlantıların daha güvenilir olması için VPN kullanılmaktadır. İletilen bilgilerin şifrelenerek gönderilmesi, Genel/Özel (Public/Private) anahtar kullanımı ile sağlanır. VPN kullanan birimler arttıkça daha sıkı politika tanımları gerekli hale gelmektedir.

· Nüfuz Tespit Sistemleri (Intrusion Detection Systems-IDS): Şüpheli olayları, nüfuz ve saldırıları tespit etmeyi hedefleyen bir sistemdir. IDS, şüpheli durumlarda e-posta veya çağrı cihazı gibi yöntemlerle sistem yöneticisini uyarabilmektedir. Bu servislerin hepsinin konfigürasyonu ve kullanacakları kuralların belirlenmesi güvenlik politikasına uygun olarak yapılmalıdır.

1.4 İnternet politikası Kurum bazında her kullanıcının dış kaynaklara yani İnternet’e erişmesine gerek yoktur.

İnternet erişiminin yol açabileceği sorunlar aşağıdaki gibidir : Zararlı kodlar: Virüs veya truva atı (trojan) gibi zararlı yazılımların sisteme girmesine yol

açabilir. Virüslerden korunmak için her kullanıcının makinasına bir antivirüs yazılımının kurulmasını sağlamak veya İnternet (http, email, ftp) trafiğini sunucu(lar)da tarayıp temizledikten sonra kullanıcıya ulaştırmak gibi önlemler alınabilir. Sistemde güvenlik açıklarına neden olacak truva atlarını engellemek için güvenlik duvarlarında kesin kurallar konulmalıdır.

Etkin Kodlar: Programların web üzerinde dolaşmalarına olanak sağlayan Java ve ActiveX gibi etkin kodlar saldırı amaçlı olarak da kullanılabilmektedir. Java, denetim düzenekleri ile bu tür saldırıların gerçekleşmesini önleyen bazı olanaklar sunmasına karşın ActiveX için aynı şeyden söz etmek mümkün değildir. Bu nedenle bu kodların kullanıma ilişkin ayarlar İnternet tarayıcısı üzerinde yapılmalıdır.

Amaç dışı kullanım: İnternet hattı, kurumun amacı dışında da kullanılabilmektedir. Film, müzik gibi büyük verilerin İnternet’ten çekilmesi hat kapasitesini gereksiz yere dolduracağından kurumun dış kaynaklara erişim hızında yavaşlamalara yol açabilecektir.

Zaman Kaybı: İnternet ortamında gereksiz web sitelerinde zaman geçirmek kurum çalışanlarının iş verimini azaltabilir. Bunu engellemek için kurum politikasında bazı kullanıcılara İnternet erişimi verilmeyebilir veya İnternet erişimi öğle molası gibi belirli saatlerle kısıtlanabilir.

Farklı bir çözüm ise web erişimini denetim altına almak ve ulaşılabilecek web sitelerini belirlemektir. Bu denetimler farklı kullanıcı gruplarına farklı şekillerde uygulanabilir. Kurumda dış kullanıcılardan (çalışanlar, ortaklar, müşteriler veya diğerleri) kimlerin kurum ağındaki hizmetlere erişebilecekleri ve ne tür erişim haklarına sahip oldukları tanımlanmalıdır.

1.5. Şifre Yönetimi PolitikasıŞifreler kullanıcıların ulaşmak istedikleri bilgilere erişim izinlerinin olup olmadığını

anlamamızı sağlayan bir denetim aracıdır. Her hesap için ayrı bir şifre kullanılmalı ve şifreler sık sık değiştirilmelidir .

Kurumlar güvenlik politikalarında şifre seçimi ile ilgili aşağıdaki kısıtlamları belirleyebilmektedirler:

· Şifrenin boyutu ve içeriği: Kurum, sistemlerde kullanılacak şifrenin uzunluğunu (en az 7-8 karakter) ve içeriğinin ne olması gerektiğini (rakam ve harflerin birer kombinasyonu) belirleyebilmektedir.

· Süre dolması (eskime) politikası: Süresi dolan şifreler kullanılamamakta ve kullanıcılar yeni şifre almak zorunda kalmaktadır. Böylece şifreler üzerinde bir denetim düzeneği kurulmuş olmaktadır.

· Tek kayıt ile herşeye erişim (Single Sign On-SSO) politikası: Kullanıcı, tek bir şifre ile ağ üzerindeki kendisine erişim izni verilen bütün uygulamalara ulaşabilmektedir. Kullanıcının birçok şifreyi birden hatırlamak zorunluluğu olmadığı için son kullanıcılar için kullanışlıdır.

1.6. Fiziksel Güvenlik PolitikasıBilgisayar veya aktif cihazlara fiziksel olarak erişebilen saldırganın cihazın kontrolünü

kolaylıkla alabileceği unutulmamalıdır. Ağ bağlantısına erişebilen saldırgan ise kabloya özel ekipmanla erişerek (tapping) hattı

dinleyebilir veya hatta trafik gönderebilir. Açıkça bilinmelidir ki fiziksel güvenliği sağlanmayan cihaz üzerinde alınacak yazılımsal

güvenlik önlemlerinin hiç bir kıymeti bulunmamaktadır. Kurumun ağını oluşturan ana cihazlar ve hizmet sunan sunucular için alınabilecek fiziksel güvenlik politikaları kurum için belirlenmelidir.

1.7. Sosyal Mühendislik PolitikasıSosyal mühendislik, kişileri inandırma yoluyla istediğini yaptırma ve kullanıcıya ilişkin

bilgileri elde etme eylemidir. Sistem sorumlusu olduğunu söyleyerek kullanıcının şifresini öğrenmeye çalışmak veya teknisyen kılığında kurumun içerisine fiziksel olarak sızmak veya çöp tenekelerini karıştırarak bilgi toplamak gibi değişik yollarla yapılabilir.

Kurum çalışanları kimliğini kanıtlamayan kişilere kesinlikle bilgi aktarmamalı, iş hayatı ile özel hayatını birbirinden ayırmalıdır.

Kurum politikasında bu tür durumlarla ilgili gerekli uyarılar yapılmalı ve önlemler alınmalıdır

2.KURUMUN İHTİYAÇLARININ BELİRLENMESİ

• Güvenlik Politikalarının oluşturulması sırasındaki ilk adım olarak bu politikanın kurumun hangi gereksinimlerine yönelik oluşturulacağı belirlenmelidir.

• Politikanın oluşması için aşağıdaki aşamalar yerine getirilmelidir ; 1. Korunacak nesnelerin belirlenmesi:2. Kime karşı korumanın yapılacağının belirlenmesi:3. Bilgileri saklama yönteminin belirlenmesi:4. Bilgilerin arşivlenmesi ve yedeklenmesi:5. Kurum içerisinde sorumlulukların belirlenmesi:6. Yaptırım gücünün belirlenmesi:

3. RİSK ANALİZİ ve GÜVENLİK MATRİSLERİNİN OLUŞTURULMASIRisk analiziyle kurumun ağına, ağ kaynaklarına ve verilere yapılabilecek saldırılarla

oluşabilecek riskler tanımlanır. Amaç değişik ağ bölümlerindeki tehdit tahminlerinin belirlenmesi ve buna uygun bir düzeyde güvenlik önlemlerinin uygulanmasıdır.

Oluşabilecek tehditin önemine ve büyüklüğüne göre üç düzey kullanılabilir; Düşük Risk, Orta Risk, Yüksek Risk. Riskler tanımlandıktan sonra sistemin kullanıcıları tanımlanmalıdır. Kullanıcı türleri aşağıdaki gibi sınıflandırılabilir .

· Yöneticiler: Ağ kaynaklarını yönetme sorumluluğundaki iç kullanıcılar.· Öncelikliler (priviliged): Kullanıcılardan daha fazla erişim hakkına gereksinim duyan iç

kullanıcılar.· Kullanıcılar: Genel erişim hakkına sahip iç kullanıcılar.· İş Ortakları: Bazı kaynaklara erişim gereksinimi duyacak dış kullanıcılar.· Diğer: Dış kullanıcılar veya müşteriler.

Ayrıca kurum kullandığı IP/IPX ağlarını ve hangi alt ağların (subnet) hangi alt bölümler için kullandığını belirlemesi gerekmektedir. Bölümlerin hangi diğer bölümlere hangi protokoleri kullanarak erişim yapacağı da güvenlik matrisi ile belirlenebilmektedir.

Bu tür çizelgeler daha ayrıntılandırılarak birimlerin kendi içlerinde sunucu(server), protokol, kişi tabanlı erişim tanımlamaları da yapılabilir

Sistem Güvenlik Seviyeleri

• Sistemlerin içerdikleri donanım ve yazılımlara göre güvenlik seviyeleri belirlenmiş ve standartları oluşturulmuştur.

• Güvenlik seviyelerinde çeşitli fiziksel korumalar, işletim sistemini güvenli hale getirme gibi işlemler bulunur.

• 1985 yılında DoD (Department of Defence) tarafından yayınlanan TCSEC Trusted Computer System Evaluation Criteria) yayınında dört güvenlik seviyesi ve alt sınıfları belirtilmiştir.

D seviyesi

D1 Seviyesi Mevcut en düşük güvenlik olanaklarını sunar. Bu seviyede bir güvenliğe sahip sistem bütün olarak güvensizdir. Donanım elemanları için herhangi bir koruma mekanizması yoktur. İşletim sistemi kolaylıkla ele geçirilebilir ve istenen amaca uygun bir şekilde kullanılabilir. Sistem kaynaklarına yetkili kişilerin ulaşmasını denetleyecek bir erişim kontrol sistemi

yoktur. MS-DOS, MS-Windows 3.1/95/98 ve Apple Macintosh bu sınıftadır. Sistem Güvenlik Seviyeleri

C seviyesi C1 ve C2 olmak üzere iki alt güvenlik seviyesine ayrılmıştır. Bu seviye güvenlikte kullanıcı için hesap tutma (account) ve izleme (audit) yapılmaktadır.C1 seviyesi:

Sınırlı bir güvenlik koruması vardır. Daha çok kullanıcı hatalarından sistemi korumak için gerekli tanımlamaları vardır. Dışarıdan gelecek saldırılara karşı koruma mekanizmaları yoktur. Ayrıca donanım için bazı güvenlik mekanizmaları bulunmaktadır. Donanım elemanlarına

istenmeyen kişilerin ulaşması zorlaştırılmıştır. Erişim kontrolü kullanıcı adı ve parolasına göre yapılmakta ve hakkı varsa sisteme

alınmaktadır. UNIX ve IBM MVS (Multiple Virtual Storage) bu sınıfa örnektir.

C2 seviyesi: C1 seviyesine göre daha güvenli hale getirilmiştir. Bu seviyede kaynaklara kontrollü erişim sağlanabilmektedir. Yani erişimler için sadece geçerli haklar göz önünde bulundurulmayarak sonradan yapılan

yetkilendirilmelerde kontrol edilir. Bunun için de sistemde yapılan her iş için kayıt tutulur. Yapılan işlemlerin kontrol edilmesi ve kayıt edilmesi C1’de ortaya çıkabilen güvenlik

problemlerini ortadan kaldırmaktadır. Fakat fazladan yapılan kontrol ve kayıt işlemleri işlemci zamanını harcayacak ve diskten alan

alacaktır. Güvenlik arttıkça kaynaklara erişimdeki hız düşecektir. Bu seviyeye örnek sistemler Windows NT 4.0 ve Digital Equipment VAX/VMS 4.x ‘tir.

B seviyesi Üç alt güvenlik seviyesine ayrılır. Zorunlu erişim denetimi kullanılır. Sistemdeki her nesnenin güvenlik seviyeleri tanımlanır. Sistem Güvenlik Seviyeleri

B1 seviyesi: Çok katmanlı güvenlik yapısı kurulmasını sağlar (gizli, en gizli vb.) Sistemde güvenliği sağlanacak nesnelerin diğerlerinden kesinlikle ayrılması

gerekmektedir bu nesneler manyetik ortamlarda saklanır. Bu seviyeye örnek olarak OSF/1, AT&T V/MLS, IBM MVS/ESA sistemleri

verilebilir. B2 seviyesi:

Bu seviyedeki güvenlik için sistemdeki tüm nesnelerin (birimlerin) etkilenmesi gerekir.

Disk ile saklama birimleri veya terminaller bir ve ya daha fazla olabilecek güvenlik seviyesi ile ilişkilendirilebilir.

Güvenlik düzeyi yüksek bir cihaz ile düşük bir cihazın haberleşmesinde problem çıkacaktır, bunlara dikkat edilmesi ve çözülmesi gereklidir.

Bu seviyeye örnek olarak Honeywell Information System’in Multics sistemi ve Trusted XENIX verilebilir.

B3 seviyesi: Güvenliği donanımların uygun kurulumlarıyla sağlamaya çalışan yöntemi içerir. B2

seviyesine göre daha sağlam ve ciddi bir sistem tasarımı vardır. Güvenlik yönetimi, güvenli kurtarma ve saldırı ya da oluşan zararların sistem yöneticisine bildirilmesi gibi özellikleri içerir.

Bu seviyeye örnek olarak Honeywell XTS-200 verilebilir. A seviyesi

A1 tek seviyesini içerir. En üst güvenliği sunan seviyedir. Donanım ve yazılım açısından dizayn, kontrol ve doğrulama işlemlerini içerir. Daha önce bahsedilen güvenlik seviyelerindeki tüm bileşenleri içerir. Bir sistemin dizayn, geliştirme ve gerçekleştirme aşamalarında güvenlik isteklerinin

sağlanması beklenir. Her aşamayla ilgili olarak dökümantasyonun da yapılması gerekmektedir.

Ağ Güvenliği (Seçmeli)

Ders Öğretim Programı

Hedefler

Ağ Güvenliği dersinin amacı öğrencilerin bilgisayar ağlarındaki iletişimin nasıl güvenli bir şekilde yapılacağı, gönderilecek verilerin gizliliğinin ve bütünlüğünün nasıl korunacağı, ağlara karşı yapılan saldırılar ve değişik türdeki iletişim ağlarında güvenliğin nasıl sağlanacağı hakkında bilgi sahibi olmalarını sağlamaktır.

Müfredat

Ağ Güvenliğine Giriş ve Temel Kavramlar, Risk Değerlendirmesi, Güvenlik Politikası, Tehditlerin Sınıflandırılması. Parolalar, Erişim İzinleri. Şifreleme Teknikleri, Geleneksel Yöntemler, Açık Anahtar Yöntemleri, Asıllama, Sayısal

İmza, Protokollar, Tcp/Ip Protokol ve Hizmetlerinde Güvenlik, Güvenlik Duvarları Sanal Özel Ağlar Saldırı Tespit Sistemleri, ARP Protokolüne Yönelik Saldırılar, DNS Protokolü ve Güvenliği Ağ ve Hizmetlere Yönelik Saldırılar Koordineli-Dağıtık Saldırılar Ağ Bilgi Toplama Teknikleri Kablosuz Bilgisayar Ağları ve Güvenliği.

BÖLÜM – 2Günümüz ağ ortamında yaygın tehditler

Virüs: Belleğe yerleşerek, çalışan programlara kendisini ekleyebilen ve sürekli çoğalabilen zararlı programcıklardır.

Bilgisayar virüsleri, bilgisayarın çalışmasını engelleyecek, verileri kaybedecek, bozacak veya silecek ya da kendilerini Internet üzerinden diğer bilgisayarlara yayarak yavaşlamalara neden olacak şekilde tasarlanmışlardır.

Virüs’ler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir (Melisa, CIH, Gauss). yazılım programlarıdır.

Worm (Solucan): IP adreslerini rastgele tarayarak, internete bağlı kullanıcıların yerel ağ için paylaşıma açık dosyalar olup olmadığınıa bakarlar. Yazmaya açık dosya bulduğunda kendisini oraya yazar.Worm bir sızma ve çoğalma mekanizmasıdır.

Worm’lar, Virüs’lerin kullandıkları yöntemlere ek olarak, uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir ve bu şekilde de yayılabilir (Code Red, Nimda, Sasser, Blaster).

Solucanlar yayılmak için bir "taşıyıcı" programa veya dosyaya gereksinim duymadıklarından, sisteminizde bir tünel de açabilir ve başka birinin uzaktan bilgisayarınızın denetimini eline geçirmesini sağlayabilir.

Trojan (Truva atları): Bulaştıkları bilgisayarlardaki şifreleri ele geçirmek üzere tasarlanmışlardır. Virüslerden ayrıldıkları temel nokta, verilere zarar vermekten çok casusluk yapmalarıdır.

Trojanlar sonradan bilgisayarımıza girerek, yazarı tarafından belirtilen portu açan veya yazarın belirlediği bir mail adresine veya v.b yazarın istediği bilgileri aktaran programlardır (Kredi kartı no, key log’ları, dosya bilgilerimiz v.b v.b).

Trojan’lar ancak ilgili uygulama çalıştırıldığında etkili olmaktadır (Netbus, Subseven).

Denial of Service Atakları

DoS ( Denial of Services - Servis Dışı Bırakma) atakları temel olarak sistem kaynaklarını veya bant genişliği tüketerek servislerin hizmet dışı bırakılmasıdır. Bu atakların amacı bilgiyi çalmak değildir. Bu atakları 3 başlıkta toplamak mümkündür.

1. DoS - Denial Of Service : -Paket direk olarak hedef sistem gönderilir. -Tek bir kaynaktan tek bir hedefe yöneliktir.

2. DDoS - Distributed Denial of Service : -Zombi kaynaklardan tek bir hedefe çoklu ataklardır. -Anlık gönderilen paket sayısı zombilerin sayısı ile doğru orantılıdır. -Çoğunlukla saldırıyı yapan kaynak tespit edilemez.

3. DRDoS - Distributed Reflective DoS: -DDoS'tan farklı olarak daha sık ataklar için ek ağlar kullanır

4 çeşit DoS atağı vardır:1. TCP/IP uygulamasındaki kusurları istismar eden ataklar: Örneğin Ping of Death ve

Teardrop.Ping-of-Death :Çok büyük boyuttaki (genelde 65,536 dan daha büyük) ICMP paketleri

direk olarak hedefe gönderilir. Paketin büyüklüğüne göre sistemin donmasına, çökmesine yada reset atmasına sebep olabilir.

TearDrop :Parçalanmış UDP paketleri bozuk ofsetler ile hedefe gönderilir. Hedef paketleri tekrar birleştirmeye çalıştığında bozuk veya hatalı bir paket üretmiş olur ve sistem çöker.

2. TCP/IP’deki zayıflıkları kullanan ataklar. Örneğin SYN Flood ve LAND atakları.SYN Flood :TCP'nin 3 yollu handshake açığını kullanır. Kaynak (Saldıran) SYN

paketlerini hedefe gönderir.(1. el sıkışma) .Hedef SYN paketine SYN ACK olarak cevap verir (2. el sıkışma). Saldıran (Kaynak) gelen

pakete cevap vermeden yeni bir SYN paketi yollar ve hedef sürekli cevap bekler konumda kalır. Land Attack :Kaynak ve Hedef adresi değiştirilmiş paketlerdir. Paket içerisindeki kaynak

ve hedef gönderilecek hedef adresidir. Paket hedefe ulaştığında hedef kendi paketini sürekli cevaplayarak çöker.

3. Brute-force atakları: web yazılımlarının login kısımlarına yapılan deneme yanılma yöntemidir. Bu işlem yazılmış olan programları kullanılarak otomotik bir şekilde yapılır. Sürekli login sayfasına atak yapılıarak deneme yanılma yöntemiyle bir kullanıcı adına ait şifreyi bulmak ve yönetimi ele geçirmektir. Bu tip ataklar networkü gereksiz data ile istila ederler. Örneğin Smurf atağı.

Smurf :ICMP paketlerindeki kaynak adresi değiştirir. ICMP paketlerini zombilere gönderir. Zombiler paketleri hedefe yollar. Hedef kendisinin göndermediği bir sürü cevap mesajları alarak şişer.

4. IP Spoofing (IP Sahtekarlığı) : Sistemlere girmek için, saldırganın kimliğini gizleyebilmesi için veya DoS atağının etkisini büyütmek için kullanılır. Saldırganın kendisini gizleyebilmesine sebep olan şey, HTTP, DNS gibi Internet servislerinde, IP numaralarını doğrulayacak bir denetim (authentication) bulunmamasıdır. IP spoofing’de, saldırgan, IP paketlerine kendi gerçek IP numarası yerine, var olmayan bir IP numarasını veya kurban sitenin numarasını koymaktır. Zombiler veya kurban siteler bu paketlerdeki gönderen IP numarasını doğrulayamadıkları için saldırgan kendisini gizleyerek istediği siteye saldırabilmektedir. Bu saldırının temel alındığı DDoS saldırıları SYN-flood , smurf v.b

 İntrusion Attacks ( Sızma Atakları)

Bir ağ ortamında, ağ kaynaklarına izinsiz erişim yapan veya yapmaya çalışan, sistemi kötüye kullanan kişiler saldırgan kapsamındadır. Bunlara cracer veya hacker denir.

Saldırısını sonuçlandırarak sisteme girmeyi başaran saldırgana ise sızan-nüfüz eden (intruder) olarak tanımlanır. Sızma işleminin sonucunda; sistemde yetkisiz kullanım, kaynaklara izinsiz erişim, bilgi çalınması, sadece sistemi meşgul ederek servis dışı kalması gibi kötü olaylar oluşur.

Sisteme sızma için gerçekleştirilen ataklara ise intrusion attacks denir.

İLLEGAL CONTENT (yasadışı içerik)Yasadışı içerik tanımı ülkeden ülkeye değişir. Özellikle internet üzerinden yapılan illegal

içerikli en yaygın yayınlardan bazıları ; • Pornografi görüntüleri ve web siteleri• Yasadışı faaliyet sohbet odaları • Online nefret ve yabancı düşmanlığı web siteleri

ZOMBİ’ler (İç atak)Zombiler genellikle güvenliği zayıf olan sistemlere yerleştirilirler. Hack'lenen sisteme

yerleştirilen zombiler, belirli bir porttan (1524 tcp, 27665 tcp, 2744 udp, 31335 udp, 33270 tcp) gelecek olan DDoS isteklerini gerçekleştirirler.

Unix , Linux, Windows tabanlı sistemlerde zombiler kullanılmaktadır. DDoS ataklarını gerçekleştirirken yakalanmamak için "zombi" (küçük programcıkları)

kullanılır.

SQL İnjection (SQL Atakları)Sql Injection atakları, web uygulamalarında yer alan veri girişleri için kullandığımız

TextBox form elemanlarının içine yazılan bazı sql komut deyimlerinin yazılması ile olur. Web uygulamalarının en zayıf bölümü kullanıcı girişlerinin yapıldığı ve sonucunda

yetkilendirme yapıldığı bölümlerdir. Buradan yapılan kaçaklar ile veri tabanında istenmeyen işlemlerin yapılması sözkonusudur.

İçeriğin Kanunsuz olarak ele geçirilmesi (Unlawful capture of content)DNS Önbellek zehirlenmesi, bir DNS sunucusuna yetkisiz bir kaynaktan veri yüklenmesine

verilen genel isimdir. Hatalı yazılımla, yapılandırma hatalarıyla ya da DNS protokolünün açıklarıyla başarıyla iletilen özgün olmayan veri, saldırılan sunucunun önbelleğine gelir ve böylece önbellek “zehirlenmiş” olur.

Bu tür saldırılar, sorgu yapıldığında asıl yanıt vermesi beklenen DNS sunucusundan önce saldırganın yanıt vermesi esasına dayanır.

Spyware (Casus) programlar bilgisayarınızda casusluk yapmak için yaratılmış programlardır. Tam anlamı ile virüs olarak adlandırılamayan bu programların temel amaçları kuruldukları bilgisayarda bilgi toplamak ve bu bilgileri bu programları yaratan kişilere göndermektir. Spyware (casus) programların tehlikeli olan türevleri sizin bilgisayar ve/ya internet ayarlarınızı kendi istedikleri gibi değiştirirler ve sizleri kendi istedikleri sitelere yönlendirirler.

Redirect (URL-Redirect): Bir URL’e gelenleri başka bir URL’e iletme işlemi yönlendirmedir. Birçok sebep için yönlendirmeler kullanılmaktadır.

Dns Poisioning (DNS zehirlenmesi): Yanlış DNS bilgileri Birincil DNS sunucuya tanıtılır. Tüm istekler değiştirilmiş DNS sunucusuna yönlendirilir

AĞ güvenliğine katmanlı bakış

Level 1- Çevresel (Bütünsel) Güvenlik seviyesi Çevresel güvenlik, güvenli olmayan ağlarda savunmanın ilk basamağıdır. Çevresel güvenlik ,bir ağı korumak için ilk (giriş) ve son(çıkış) temas noktası olarak

değerlendirilir. İç ağın dış ağdan ayrıştığı bir yer olarak değerlendirilir. Ağın dünyaya açıldığı kapısıdır. Çevresel (perimeter) güvenlik bir veya birkaç firewall’dan ve bölgelerden oluşur. Network’te çevresel güvenlik için, FİREWALL, Ağ Tabanlı anti-virüs yazılımları, VPN

şifreleme gibi teknolojiler kullanılır.

Firewall - Güvenlik duvarı Firewall - Güvenlik duvarı, genellikle bağlı bir sunucu üzerinde yüklü bir yazılımdır veya

donanımsal bir kutudur. İç ve dış ağı biribirnden ayıran noktadır. Genellikle iç ağı dış ağdan korur. Güvenlik duvarı üç genel işlevleri gerçekleştirir;

1) Trafik kontrol, 2) Adresi çevirisi (NAT), 3) VPN (Virtual Private Network) sonlandırma.

Güvenlik duvarı, gelen ve giden trafikteki hedef ve kaynakları inceleyerek sadece izin verilen trafiğin akışını sağlar.

Ayrıca, güvenlik duvarları iç IP adreslerini farklı IP adreslerine çevirerek iç ağı Internetten koruyabilir.

Güvenlik duvarı, VPN tünelleme işlemini yaparak, genel bir ağ üzerinden şifreli bir yol elde edilmesini sağlayabilir.

Bu yetenekleri, bir güvenlik duvarını ağ güvenliği için bir vazgeçilmez parça yapar.

Ağ tabanlı anti-virüs (Network-based anti-virus) DMZ’de Yüklü, ağ tabanlı anti-virüs yazılımı gelen ve giden e-posta mesajını içeriği bilinen

bir virüs profilleri bir veritabanı ile karşılaştırır. Ağ tabanlı antivirüs ürünleri, şüpheli ve virüslü e-posta mesajları karantinaya alır ve virüslü

e-posta trafiğini engeller. Bu durumu alıcılara ve yöneticilere bildirir. e-posta sunucusu üzerinde yapılan bir Ağ tabanlı anti-virüs koruması, bireysel masaüstü

bilgisayarlar için bir tamamlayıcı etkendir. Bu işlem e-posta ile giren bir virüs ile enfekteyi ve virüslü e-maili’in ağ üzerinden

yayılmasını önler. Etkin çalışması için, veritabanının güncel virüsleri tanıması gerekir.

Özel Sanal Ağ (Virtual private network (VPN)) VPN - Sanal özel ağ (VPN), dizüstü bilgisayarlar, ve hedef ağ gibi uzak cihazlar arasında

güvenli bir bağlantı oluşturmak için yüksek düzey bir şifreleme tekniği kullanır. Aslında özel ağın güvenliğine ve gizliliğine yaklaşılan bir uygulamadır. Internet(Genel bir ağ)

üzerinden şifreli bir haberleşme şekli olarakta düşünülebilir. VPN tüneli, DMZ içinde bir VPN-etkin yönlendirici, güvenlik duvarı, ya da sunucu

üzerinden sona erdirilir.

Çevresel güvenlikle ilgili

Kullanılan ağın karmaşıklığı, çevresel güvenlik teknolojilerinin etkinliğini etkiler. Yani Birden fazla dış bağlantı durumu, büyük olasılıkla birden fazla güvenlik duvarını ve anti-virüs yazılımlarını gerektirebilir.

Karmaşık mimarinin tek bir noktadan korunabilmesi için kullanılan teknolojilerde mevcuttur.

Çevresel güvenliğin pozitifleri İyi kurulmuş ve konfigüre edilmiş çevre düzey teknolojileri, uzun yıllar kullanılabilir ve iyi

IT profesyonellerinin yetenekleri ve işletme bilgilerine gereksinim duyar. Aynı zamanda onların tecrübesinide arttırır.

Bunun için , üreticiler makul fiyatlı, etkin uygulamalı yazılım ve donanım seviyesinde çözümler geliştirip sunuyorlar.

Çevresel güvenlikle ilgili olarak Dikkat edilecek konular Bir anti-virüs yazılımı, veritabanında olmadığı sürece bir virüsü tespit edemez. VPN etkili şifreleme, sağlamasına karşın , şifreleme gibi, BT personelinin idari bir yük

bindirip tuşları ve kullanıcı gruplarının sürekli olarak yönetilmesi gerekir. Ayrıca VPN'ler sizi enfekte olmuş cihazlardan koruyamaz, veya VPN bağlantısı kullanarak,

kötü niyetli trafiği önleyemezsiniz. DMZ’de bulunan cihaz türleri de önemli bir faktördür. Ayrıca ağda yaptığınız işin önemide

bu cihazlarla ilgilidir. Işiniz önemi ve kritikliği ne kadar yüksek ise , çevresel güvenlikten daha sıkı güvenlik önlemleri ve politikaları ve cihazları uygulanmalıdır.

Level2- Ağ güvenlik seviyesi Katmanlı yapıdaki ağ güvenliği seviyesi; biribiriyle iletişim içindeki LAN ve WAN

sistemlerini kasdeder. Uzak LAN’ların FrameRelay v.b servislerle biribirine bağlantısı buna dahildir.

Çoğu ağlar bugün oldukça saldırıya açık bir yapıdadır. Ağ içine sızıp hiçbir engele takılmadan istediğiniz işlemi yapabilirsiniz.

Bu durum internete bağlı orta ölçekli ağları saldırganların kolay ve cazip bir hedefi haline getiriyor.

Ağ seviyesinde güvenlik için,a-) IDS (Saldırı tespit sistemleri), b-)Güvenlik açığı yönetimi, c-) ağa erişim teknolojileri,d-) Erişim kontrol ve kimlik doğrulama teknolojileri kullanılabilir.

Level 2: IDS-IPS’ler

Saldırı Tespit Sistemleri (Intrusion detect sysytems – IDS -STS ) ve Saldırı Önleme Sistemleri (Intrusion Prevention systems- IPS-SÖS) , ağınızdaki hareketli trafik analizi açısından güvenlik duvarı ‘na oranla çok daha fazla ayrıntı verir.

IDS’ler saldırıları uyarır. IPS’ler saldırıları belirler ve engeller. IDS ve IPS cihazları, çalışma prensibi olarak anti-virüs sistemine benzerdir. Yani trafik analizi

ve paketler bilinen saldırı profillerinin tutulduğu veritabanı ile karşılaştırılır. Anti-virüsler dosyaları, IDS’ler paketleri inceler.

Level 2: Güvenlik açığı yönetimi İki farklı fonksiyonu gerçekleştirir.

1- Ağı güvenlik açıkları için sürekli tarar.2- Güvenlik açıklarının giderilmesi sürecini yönetirler.

Güvenlik açıklarını giderici gelişmiş cihazlar piyasada mevcuttur. Güvenlik açığı yönetici cihazları korsanlardan önce güvenlik açıklarını bulup

giderebilmelidir. Daha çok bilinen açıkların var olup olmadığı konusunda etkendirler.

Level 2: Network access control

Ağ erişim kontrol çözümleri, önceden tanımlanmış ve müsaade edilmiş ağ uç noktalarına (Sunucular, network cihazları v.b) girişleri kontrol etmek üzerinedir.

Bu da ağ üzerinden 'içerden' saldırıya uğrayabilecek, tehlikeye açık masaüstü ve dizüstü bilgisayarlar, yüklenici makineleri, VPN ve RAS aygıtlarını korumak içindir.

Level 2: Access control/authentication Erişim kontrol / kimlik doğrulama , Ağa Erişmek isteyen kullanıcılar için kimlik doğrulama

kontrolu gerektirir. Erişim kontrolu üç aşamalı olarak gerçekleştirilebilir. Bu kontrol hostlar için de kullanılır.

1- Tanımlama (Identification)2- Kimlik Sınama (Authentication)3- Yetkilendirme (Authorization)

Kimlik Doğrulama genellikle RADIUS, LDAP, ya da Windows Active Directory’deki kullanıcı bilgilerine karşı gerçekleştirilen erişimler için yapılır.

Ağ güvenlik seviyesinin pozitifleri IDS, IPS, ve güvenlik açığı yönetim teknolojileri, gerçekleştirmek ağ tehditleri ve güvenlik

açıklarının analizleri için önemli ve yeni analizlerin başarılmasına yol açar. Güvenlik duvarı sonuçta, hedefe ait trafikğe izin veren veya vermeyen kaba bir analiz

yöntemi olmakla beraber, IPS ve IDS araçları çok daha derin bir analiz yapar ve dolayısıyla daha iyi koruma sağlar.

Bu ileri teknolojiler sayesinde, bir legal network trafiğindeki gömülü ataklar, ki onlar bir güvenlik duvarı üzerinden - tespit edilebilir ve hasar meydana getirmeden önce potansiyel olarak - iptal edilebilir.

Güvenlik Açığı yöneticileri, bir ağdaki güvenlik açıklarını kontrol sürecini otomatikleştirmek için kullanılırlar.

Bu tür kontroller manuel olarak yapılsaydı – güvenliği sağlamak için gerekli olan çalışma- pratik olmazdı. Ayrıca, ağlar dinamiktir. Yeni cihazlar, uygulama yükseltmeleri ve yamalar, ve kullanıcı ekleme ve çıkarma, yeni güvenlik açıkları tanıtmak v.b.

VA (Vulneratibilty assestment – Güvenlik açığı değerlendirme) araçları, yeni tanıtılan ağ için sık sık ve iyice güvenlik açıkları taraması sağlar.

Ağ erişim kontrolü çözümleri, ağ içine tehlikeli bir arka kapıları kapatmak açısından da çok önemlidir.

DİKKAT EDİLECEK HUSUSLAR Ağ düzeyi güvenlik önlemlerinin başarısı biraz dahili ağ bağlantı hızına bağlıdır. Çünkü, IDS

/ IPS, güvenlik açığı yönetimi ve ağ erişimi/ kimlik kontrol araçları korunacak ağların kaynaklarını tüketir.

Artan bağlantı hızları , genel ağ performansı üzerinde bu koruma performansını düşürür. Bu teknolojilerin uygulanmasında geliştirilmiş güvenlik ve fiyatlandırma ilişkisini düşünmek

gerekir. Bu ürünlerin çoğu sürekli olarak yönetilmesi gereken, kullanım kolaylığı , etkin bir şekilde

gerçekleştirme, ağ üzerinde rahat hareket, ölçeklenebilme gibi özellikleri gözetilmelidir.

Level3- Host Güvenliği

Katmanlı güvenlik modelinde, Host seviyesi ile bireysel cihazlar, sunucular, masaüstü bilgisayarlar, switchler, routerlar gibi cihazların güvenliği kasdedilir.

Host seviyesi güvenliği; Host tabanli saldırı tespit sistemleri (IDS), Host-tabanlı güvenlik açığı değerlendirmesi (VA), Network erişim kontrolu, anti-virüs yazılımları, Erişim kontrolü / kimlik doğrulama gibi teknolojilerle sağlanır.

Host-based intrusion detection systems (IDS) (Host temelli saldırı tespit sistemleri (IDS))

Ana bilgisayar tabanlı(host) IDS'ler, ağ IDS'lerine benzer şekilde çalışırlar. Tek farkı biri ağ trafiğini biri host trafiğini izler.

Ana bilgisayar tabanlı IDS'ler belirli operasyonel özellikleri , ince ayarlanma özelliği ile doğru uygulandığında yüksek dereceli güvenik sağlar.

Host-based vulnerability assessment (VA)(Host-tabanlı güvenlik açığı değerlendirme (VA))

Host-tabanlı VA araçları, güvenlik açıkları için tek bir ağ aygıtını tarar. Host-tabanlı VA araçları ince ayarlı ve son derece doğru monitör cihazlarıdır. Bunlar son derece doğru olarak ve en az performansla host kaynaklarını tararlar. Sadece Host cihazları için üretildiklerinden, düzgün bir şekilde yönetildiklerinde mükemmel

bir kapsama alanı sunarlar.

Ağ erişim kontrolu – (Network access control) Ağ erişim kontrol çözümleri çifte görev üstlenirler. Hem ağ korunması olarak (önceki

bölümde) hemde bireysel host cihazları için. Bu çözümler, ana makinayı, zararlı uygulamalar ve enfeksiyonlar için sürekli kontrol eder. Bir çeşit anti-virüs, bireysel firewall gibi güvenlik tedbirlerini ve güncelliğini’de denetler.

Anti-virus Ağ tabanlı anti-virüs araçlarının yanısıra; Cihaza özel bir anti-virüs uygulamaları, host’lar

için önemli bir defans uygulamasıdır..

Access control/authentication (Erişim Kontrol/Kimlik Doğrulama) Kontrol / kimlik doğrulama, erişim kontrolü tedbirleri , cihaz düzeyinde, cihaza yetkili erişimi

hakkı sağlayan en iyi uygulamadır. Sadece yetkili kullanıcılar için, yüksek düzeyde bir güvenlik sağlanır.

Level3- Host Güvenliği seviyesinin pozitifleri Host tabanlı güvenlik teknolojileri; tek bir cihazın fonksiyonel karekteristiğini karşılamak için

konfigüre edilebidiklerinden mükemmel koruma sağlarlar. Host ortamı, yöneticilere ,Onların hassasiyeti ve yanıt hızlı, güvenli çalışmasını sağlamak

için cihaz ayarlarını güncelleştirme için izin verir.

DİKKAT EDİLECEK HUSUSLAR

Kendi giderleri ve işletme masrafları söz konusu olduğundan; host tabanlı güvenlik cihazları mantıklı dağıtılabilir olmalıdır.

Genel bir kural olarak, önemli kuruluşlar bu önlemleri almadan önce, sadece 'taç mücevherlerinin‘ bulunduğu kendi özel ağ yapılarını kurarlar.

Bu kuralın istisnası, bir ağ erişim kontrolü çözümü, genellikle her masaüstü ve çıkış arasında görev yapacak bir dizüstü ağa erişim sağlamak için çalıştırılır..

LEVEL 4: APPLICATION SECURITY (Uygulama seviyesi güvenlik) Uygulama düzeyinde güvenlik, şu anda büyük bir ilgi alanıdır. Çünkü Kötü korunan

uygulamalar gizli verilere ve kayıtlara kolay erişim sağlar. Acı bir gerçektir ki; birçok programcı programını yazarken güvenlik kodlamasını aklına bile

getirmemektedir. Çoğu kimsede yazdığı programın saldırılara karşı güçsüz olduğunu bildiği halde tedbir

düşünmez. Uygulamalar, Web‘e müşteriler tarafından erişim için konuyor. Satış gücü, müşteri ilişkileri

gibi kolaylıklar sağlayabilen bu uygulamalar, saldırganlar için hazır bir hedef sağlayabilir. Bu nedenle, özellikle her biri için kapsamlı bir güvenlik stratejisi empoze etmek, önemli bir

güvenlik uygulamasıdır. Uygulama zırhı (Application shield), Erişim kontrol/Kimlik denetlemesi, Giriş Doğrulama

(Input validation) gibi teknolojiler bu katmanda koruma sağlamak içindir.

Application shield (Uygulama Zırhı) Uygulama seviyesi güvenlik duvarı olarak görülebilir. Bu gelen ve giden legal istekler için uygulama izininin verilmesini sağlar. Genellikle Web sunucuları, e-posta sunucuları, veritabanı yüklü sunucular, ve benzeri

makinelerde uygulama koruması için en uç cihazlar ile bütünleşik kullanıcılar için yapılır. Bir uygulama kalkanı, ana cihazdan beklenen işlevselliğin ince bir şekilde ayarlanmasıdır. Örneğin, bir e-posta sunucusundaki uygulama kalkanı muhtemelen gelen bir e-posta iletisi

yasaklamak için yapılandırılabilir değildir. Çünkü otomatik olarak, herhangi bir yürütülebilir başlatıyor tipik veya Email işlevini gerekli .

Access control / authenticationErişim kontrol / kimlik doğrulama teknolojisi - ağ ve host seviyesinde olduğu gibidir.Kimlik doğrulama, yalnızca yetkili kullanıcıların erişebildiği uygulamadır.

Input Validation (Giriş Doğrulama) Giriş doğrulama tedbirleri , ağın üzerinde seyahat eden uygulama girişlerini denetlemek ,

doğrulamak içindir. Bu Web tabanlı giriş için hayati önem taşır. Genel olarak, Web sunucusu ile herhangi bir etkileşim için güvenli olmalıdır. Bir örnek olarak, bir posta kodu alanı olan bir Web formu düşünün. Sadece bu alanda kabul

edilebilir bir giriş, beş karakter olmalıdır. Yalnızca rakam. Diğer tüm giriş engellenmeli ve bir hata mesajı üretilmelidir. Giriş doğrulama birden fazla seviyelerde sağlanabilir.

Uygulama güvenlik düzeyinin pozitifleri.

Uygulama düzeyinde güvenlik önlemleri, genel güvenliğini artırmak ve uygulamaları daha iyi kontrol etmek için izin verirler.

Ayrıca birçok eylemleri izlemek, kaydedebilmek için daha yüksek düzeyde bir hesap sağlanır

Uygulama güvenlik düzeyinde dikkat edilecekler. Kritik noktalar için uygulamaları öncelik ve uzun vadeli planlama. Uzun vadeli planlama kontrollü bir şekilde güvenlik önlemleri sağlar. Ağınız büyüdükçe ve ek masrafları ortadan kaldırır güçlendirme muhtemelen gerekecektir.

LEVEL 5: DATA SECURITY (Veri Güvenliği) Veri düzeyi güvenlik, bir şifreleme politikası gerektirir. Network’te seyahat eden Şifrelenmiş veri diğer güvenlik önlemleri aşılmış olsa bile güvenlik

sağlayan bir yöntem olarak görülebilir. Güçlü şifreleme programı, özel verileri korur. Veri güvenliği, organizasyon çapındaki güvenlik politikalarına son derece bağımlıdır. Verilere erişimi kimin idare edeceği, kullanıcılar hangi yetkilere sahip olacağı, kendi

bütünlüğü v.b Şifreleme , erişim kontrol / Kimlik doğrulama teknolojileri bu sevide koruma işlemi yapan

teknoloji…

Encryption (Şifreleme) Veri şifreleme programları yaygın olarak , veri, uygulama ve işletim sistemi seviyelerinde

uygulanmaktadır. Tüm şemalarda, veriye erişebilmek için şifreleme / şifre çözme anahtarlarını gerekir. Ortak şifreleme stratejileri PKI, PGP, RSA Kriptografi, veriyi yalnızca okuması istenen şahısların okuyabileceği bir şekilde saklamak ve

göndermek amacıyla kullanılan bir teknolojidir. Şifreleme, iletişim sırasında verinin güvenliğini sağladığı gibi, değiştirilmesini önleyici bir

tedbirdir (İçerik tabanlı koruma). Şifreleme de veriler şifrelenerek anlamsız hale getirilip hedefe gönderilir. Hedefte ise tam tersi işlem yapılarak (Deşifreleme) orijinal haline çevrilir.

TCP/IP protokolu verinin doğru adresi bulup ulaşmasını ön plana aldığından ağ güvenliği konusu pek düşünülmez. Bu protokol, paket verilerini açık metin olarak gönderir. Dolayısıyla, ağda dinleme yapan bir nokta bu verilerin içeriğini görebilir veya değiştirme işlemi yapabilir.

Aşağıda bazı açık metin(Clear text ) kullanan protokollar görülmektedir.

Şifreleme, bu açıkları büyük ölçüde giderebilirÖdev: Simetrik ve Asimetrik algoritma kullanılan şifreleme tekniklerinin incelenmesi

(Rapor ve en az 25 slayt’lık sunu)

Kriptografi’de veri, matematiksel yöntemler kullanılarak kodlanır ve başkalarının okuyamayacağı hale getirilir. Bu matematiksel kodlamaya “kripto algoritması” adı verilir.

Bir şifreli haberleşme için mekanizma aşağıdakilerden oluşur.1-Şifreleme Algoritması2-Deşifreleme Algoritması3-Anahtar

Kripto sistemleri,Gizlilik, Veri Bütünlüğü, Kimlik Sınaması ve İnkâr Edememe hizmetlerinde kullanılır.

Sayısal İmza ve PKI Sayısal imza , Kimlik Sınaması ve Veri Bütünlüğü prensiplerinin gerçekleştirilmesinde

kullanılırlar (İçerik Tabanlı Güvenlik). Bir sayısal imza, şifrelenmiş bir özet (hash) değeridir. Sayısal imzalar yardımıyla, alıcı taraf

göndericinin kimliğinin sınamasını yapar ve göndericinin kim olduğundan tam olarak emin olur.

Bunun yanında, sayısal imza teknolojisi, gönderilen verilerin bütünlük sınamasında da kullanılabilir.

Sayısal imzalar, gerçek hayatta kullanılan ve elle atılan imzanın (ıslak imzanın) bilişim dünyasındaki karşılığı olarak görülebilir.

Bir sayısal imza, imzaladığı içeriğin, imzalandığı andan itibaren değişmediğinin kanıtlanmasında kullanılabilir

Ödev: sayısal İmza teknolojisi, yapısı Algoritmaları?Sayısal İmza oluşturma Süreci

Erişim kontrol / kimlik denetimi (Access control/authentication) Erişim kontrol /Kimlik denetimi; ağ, host ve uygulama düzeyinde kimlik doğrulaması,

yalnızca yetkili kullanıcıların verilere erişimi için kullanılır.

pozitifleri Şifreleme, verileri korumak için kanıtlanmış bir yöntem sağlar. Davetsiz misafirlerin bilgisayarınızdaki tüm diğer güvenlik önlemlerinden sonra şifrelemeyle

koruyan bir son, etkili bir bariyer sağlar. Özel bilgi ve fikri mülkiyet.

Dikkat edilmesi gereken husular Verileri Şifrelemek ve deşifrelemek işlemleri, önemli performans etkilerine (negatif yönde)

neden olabilir. Ayrıca, anahtar yönetimi, büyük bir idari yük haline gelebilir veya kuruluşlar büyüdükçe bu

işlemler dahada karmaşıklaşır. Derinlemesine veri şifreleme dikkatle yönetilmesi gerekir. Şifreleme anahtarları etkilenen tüm

cihazlar için senkronize olmalıdır.

Örnek Bir banka, müşterilerine internet bankacılığı hizmeti sağlamak istiyor. Bu hizmetler; önceden programlanmış web sayfaları ve uygulamalarıdir. Her müşteri, kendi hesabına erişmek için bir id ve şifre bilgisine sahiptir.

- Tehditler (Threads) nelerdir?- Önlemek için güvenlik mekanizmaları nelerdir?- Güvenlik Servisleri nelerdir?

Örnek bir senaryo

Güvenlik Atakları Pasif Ataklar – İletişimin dinlenmesi veya izlenmesi (eavesdropping on, or monitoring of,

transmissions to)– Mesaj içeriklerinin elde edilmesi için– Ağ trafiğini izlemek veya durdurmak

Aktif Ataklar: – Veri akışının değiştirilmesi – Bir olayın diğerlerinden maskelenmesi.– Bir mesajın uydurulması (fazladan) – Önceki mesajların tekraralanması– Yoldaki mesajların değiştirilmesi – Servilerin aksatılması.

Tehditler

Saldırı Hedefleri

Müşteri bilgisayarı - DoS- Kötü amaçlı kodları: Virüs, Worms- Saldıran bilgisayarın kontrolünü alabilir

Müşteri - Web Sunucu iletişim - Dinleme- Man-in-the-middle- mesajları, değiştirme, ekleme ve silme- Session Hijacking- DoS: SYN saldırı

Internet Altyapısı - Dinleme- BGP saldırıları- Router OS saldırılar- DoS

Web Sunucusu - Yığın (Stack) parçalanması- Taşınabilir programlar- IP spoofing- Güvensiz Hizmetler- Kötü amaçlı kodları: Virüs ve solucanlar- DoS: SYN saldırısı, ping sel.

Banka Network ve Sunucular - Erişmek için arka kapı kullanımı.- Dinleme, Man-in-the-middle: Bankacılık Server Web Server- Session Hijacking- DoS- DNS saldırısı- Diğer sunucuların güvensiz servisleri kullanması- Diğer sunuculara kötü niyetli kodların yüklenmesi.

DNS sunucuları - DNS önbellek zehirlenmesi- DNS DoS atakları

Müşteri Bilgisayarındaki önlemler Fiziksel güvenlik

• Güçlü Şifreleme• OS(İşletim sistemi) güvenlik yamaları• Uygulama güvenlik yamaları• Güvensiz hizmetlerin yerine göre iptali.- Telnet, ftp, nfs- Rpc, uzaktan komutları (rlogin, rsh, ...)- Dns, web

Tarayıcı (Browser) konfigürasyonu: - Cep telefonu kodları otomatik olarak kabul etmemek

- Varsayılan olarak güçlü kripto algoritmaları Seçimi• Personel Güvenlik Duvarı- İsviçre peyniri değildir!!! dikkatli bir şekilde yapılandırılmış olması gerekir

Virüs koruma ve tarayıcılar

Müşteri-Web Sunucu iletişimi için önlemler Kimlik Doğrulama

- UserID / Password: "Bildiğiniz"- İstemci Sertifikası: "Size verilen“

- Çalıntı istemci sertifikalarını önlemek için;Kısa yaşam süresi, Kullanışlı değil!

• Ön sertifikalı Kullanıcı Kimliği (ID) : Aşağıdaki şatlarda kabul edilir.»Yetkisi kontrol edilir»Son kullanma tarihi kontrol edilir»Kara liste kontrol edilir. (sertifika iptal listesi)»Kullanıcının doğruluğu, sertifikayla ilişkili özel anahtardaki kendi bilgisi ile kanıtlanır.- Kullanıcı, sertifikada saklanan kullanıcı kimliği ile eşleşen bir kullanıcı ID’si ve doğru

şifreyi girmişse;- Sunucu bunu onaylar: Bir oturum zamanlık anahtar üretir. (Gizliliği sağlayan şifre

veya özel anahtarın üretilmesinin istenmiyorsa ) Gizlilik ve Bütünlük (Confidentialty ve integrity )- Anahtar değişimi;

• Kimliği doğrulanan, kimlik doğrulama işlemi sürecinin bir parçası olmalıdır. • Sadece “Bir oturum yaşam sürelik” olmalıdır.

- Güçlü kripto algoritmaları;• Müşteri ve banka tarafında erişim kontrolu için.

Müşteri-Web Sunucu iletişimi

Internet Altyapısı için düzenlemeler Router OS düzeltmeleri

Güvensiz yönlendiriciler servisler Saldırı Tespit Sistemleri Erişim listeleri Omurga güvenlik duvarları Güvenli BGP Alternatif bağlantılar ve yollar Dikkatli sistem yöneticileri için: aksilikler oluşamaz!!!!!!!!!!!!!

Şirket Ağının Korunması Router, anahtar ve sunucuların Fiziksel güvenliği. Router, switch, dosya ve uygulama sunucusu

- OS güvenlik düzeltmeleri- Uygulama güvenlik düzeltmelerini

Güvensiz dosya ve uygulama sunucuları servisler Virüs koruma ve istemciler ve sunucular üzerindeki tarayıcılar Arkakapıları yoketmek

- DMZ Erişim sunucularının güvenlik duvarları arkasında- VPN / IPSEC, bir kez şifreler ve erişim kontrol Belgesi- Erişim kontrolleri

Dahili istemci-Sunucu iletişiminde kimlik doğrulama ve gizliliğin - IPSEC- Kerberos- Ithal uygulaması ile dikkatli olun

Bankacılık sunucuları için Firewall koruması Dikkatli sistem ve ağ yöneticileri, aksilikler. Olmaz!!!!!! Güvenli DNS Intrusion Detection System

WEB Server Koruması Fiziksel güvenlik OS güvenlik düzeltmeleri Uygulama güvenlik düzeltmelerini Güvensiz hizmetleri tanıma Virüs koruma ve tarayıcılar Güvenli müşteri erişimi

- SSL- sunucu sertifikası- Zayıf olanları silme, varsayılan olarak güçlü bir kripto fonksiyonlarının ayarı

Yerel depolama yok- Bankacılık ve finansal veriler- Güvenlik ile ilgili kritik bilgileri

Güvenlik duvarı arkasında De militarize Zone (DMZ) bulundurulması

Güvenli Web sunucusu banka sunucu iletişimi- IPSEC- İşlem tabanlı kimlik doğrulama, işlem çift kontrolleri

Secure DNS

DNS Sunucularda durum En son BIND sürümleri, güvenlik yamaları DNS yapılandırması

- Zone aktarımı yapmayınız.- DNS sunucularında OS, Uygulama, güvensiz hizmetlerini takip ediniz.

DNS DMZ güvenlik duvarı arkasında olmalı Secure DNS Dikkatli sistem yöneticileri hiçbir aksilikle karşılaşmazlar!

Sonuç Resim

BÖLÜM – 3

3- OSI MODELİ KATMANLAR-AÇIKLAR-SALDIRILAR-ÖNLEMLERFiziksel + Veri Bağı KatmanıAçıklar-Saldırılar-Önlemler

ISO/OSI VE TCP/IP katmanlı yapı

OSI Referans Modeli

Mesajların katmanlarda gösterilimi

Fiziksel Katmanda Gizlilik/Bütünlük Fiziksel Çevreden kaynaklanabilen sorunlar (Açıklar) Ağ ortamının çok katlı binalarda oluşturulması veya herkesin ulaşabileceği yerlerden

geçmesi. Ağ cihazlarının konulduğu oda veya kabinlerin güvenlik altına alınmaması. Herkesin erişebileceği bir ağ altyapısı veya elektrifikasyon altyapısı. Elektromanyetik ortam Elektrik Kesintilerine karşı önlemler (KGK’lar) Tehdit: Ağ hizmetlerinin verilememesi, verilerin dinlenmesi, değiştirilmesi yok edilmesi

ihtimalinin varlığı.

THİN ETHERNET (çok az kullanılmaktadır) Tek bir kablo ile iletişimin sağlanması

Güvenlik Açığı: Tüm cihazlar için bilgi yayını.Tehdit: Bilgi Sızıntı, Yanlış KullanımGüvenlik Açığı: Bir kablo arızası ağı devre dışı bırakır.Tehdit: Denial of Service

Kolay yükleme ve ek aygıtlar takabilmeGüvenlik Açığı: Herkes ağa dahil olabilir.Tehdit: Yanlış kullanım.

UTP ve Hub Hub ve cihaz arasındaki ortam tek bir kablodur. Ek cihazlar sadece hub’a eklenebilir. Ayırma / kablo kopması nadiren diğer aygıtları etkiler Kolay kurulum

o Kablonun indüktansından dolayı veri işaretleri etkilenebilir. o Ethernet kablosuna, herhangi bir yerden girilerek bilgiler dinlenebilir. o Uygun kablo kullanılmamışsa, Kablo bir manyetik alandan geçiyorsa veri

işaretlerinde bozulmalar olabilir.

HUB HUB’da veri herkese (Broadcast) yayınlanır.

Güvenlik Açığı: tüm cihazlar için bilgi yayını.Tehdit: Bilgi kaçağı, Yanlış Kullanım

Güvenlik Açığı: Herkes hub'a takabilirsiniz.Tehdit: Yanlış kullanın.

Fiziksel Katmandaki diğer medya Radyo frekanslı dalgalar ( Wireless LAN)

- Ağ iletişimi kullanılan radyo dalgaları 1-20GHz arasındaki mikrodalgalardır. Bu işaretler taşıyıcı işaretlerdir .

- Radyo sinyalleri, girişime, tahribata, dinlenmeye uygundurlar.- Bulunduğu yayın alanında izinsiz dinlemelerin (Jamming) engellenmesi çok zordur.- Eğer taşıyıcının frekansı aralıklı olarak değiştirilirse, bilginin başkası tarafından

dinlenmesi engellenmiş olabilir. Fiber Optik

- Hub ve cihaz arasındaki kablo tek ortamdır.- Kablo kurulumu ve çekilmesi zordur. Ek yapılması zordur.- Çok yüksek hızlarda çalışır.- Dinlenmesi zordur.- Magnetik ortamdan etkilenmez.

OSI’de medya ve HUB’ın yeri

Veri Bağı Katmanı Fonksiyonları Ağ katmanına ara servisi sağlanması Çerçeveleme işlemi İletim hatalarının sezilmesi ve kontrolu Veri akışının düzenlenmesi

o Yavaş Alıcılar hızlı göndericiler tarafından sıkıştırılmaz. Ortama erişimin kotarılması (fiziksel adresleme), Fiziksel katmandaki bit dizisi akışını anlamlı bit guruplarına (Çerçeve-Frame) dönüştürme

IEEE 802 Standartları

IEEE 802 bir LAN standartıdır. Bu standartta LLC katmanı ve değişik MAC alt katmanlar tanımlanır.

802.3 Ethernet 802.4 Token Bus 802.5 Token Ring 902.11 Wireless LAN Ethernet Çerçeve Formatı

Ethernet Çerçeve Formatı

Ethernet Adresi

MSB 0 ise Unicast adres (Tek istasyon)1 ise Multicast veya Broadcast

Adres bitlerinin hepsi 1 ise Broadcast’ adrestir. Her ağ kartı MAC adres olarak adlandırılan 46 bitlik bir seri numarasına sahiptir Üretici firma

bu numarayı kart içerisine kaydeder.- MAC çerçevesinin hedef ve kaynak adres alanları 48 bittir. - En önemli bit 0’a set edilir. Ve bir sonraki bit 1’e set edilirse adres bir grubu gösterir

(multicasting)- Eğer bütün bitler 1’e set edilirse çerçeve bütün hostları tarif eder ve broadcast olarak

adlandırılır.- Eğer en önemli 2 bit 0’a set edilirse o zaman MAC adresleri bir tek hostu gösterir.

LANLAR’DA Adresleme

Bir Ağ içerisindeki iki bilgisayarın biribirleriyle haberleşebilmesi için Fiziksel Adreslerinin bilinmesi gerekir.

Fiziksel Adresleme Ağdaki cihazların değişmez gerçek adresleri olarak tarif edebiliriz. NIC kartlarının

belleklerinde yazılırlar. Ethernet teknolojisinde 48 bit uzunluğunda MAC (Media Acces Control)dır.

Veri bağı katmanında adresleme sağlanır. Aynı ağ içerisinde bu adreslemeye göre çerçeveler yerine ulaşır.

SWİTCH’ler Veri bağı katmanının en önemli görevlerinden biriside lokal adresleme yapmaktır. Bu

katmanda bu işi Switch’ler yapar.- Fiziksel Adreslere (MAC v.b) göre.

Ethernet, paketleri herkese yayınlar.- 2. katmanda paket süzme işlemi;- Hangi MAC adresi switc’hin hangi portunun arkasında olduğunun öğrenilmesi.- Paketi sadece uygun porta geçirme işlemi.

Switch işlemleri Bir çerçeve Switc’he geldiğinde

- Switch, tablosundan bu çerçevenin gideceği hedef adresin hangi portta olduğuna bakar. İlgili porta çerçeveyi gönderir.

Switch’lerin (Transparent v.b) MAC tablolarının nasıl doldurduklarının hatırlayınız????????

Switc’ler akıllı cihazlardır.- Traffik izleme, fiziksel adres bazında yönlendirme ve uzaktan konfigüre

edilebilme özelliğine sahiptir.

Switch 2.katman cihazıdır.

Switch’ler• Switch’ler veriyi sadece hedef alıcıya (Fiziksel adrese) gönderir. Switch’in üzerinde bir

adres-port tablosu tutulur. Buna CAM (Content Addressable Memory) de denir. Örnek: Cisco 3550 serisi switch MAC adres tablosunda 8192 tane MAC adresi bulundurabilmektedir.

• MAC adresleri MAC adres tablosunda belirli bir süre (Örneğin 300 saniye) tutulur sonra silinir.

Switch’lerde güvenlik AçıklarıAnahtarlama cihazlarının önemli bir zafiyeti, anahtarın MAC adres tablosunun dolması

durumunda ortaya çıkmaktadır.Gelen çerçevenin (frame) hedef MAC adresi anahtarın MAC adres tablosunda bulunduğu

takdirde anahtar bu çerçeveyi ilgili porta gönderecektir. Fakat anahtara gelen çerçevenin hedef MAC adresi, anahtarın MAC adres tablosunda bulunmadığı durumlarda, anahtar çerçeveyi tüm portlarına yollayacaktır.

Bu da saldırganın, anahtar üzerinde herhangi bir port yönlendirmesi yapmadan, sadece anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği dinleyebilmesine yol açacaktır. Bu durum ayrıca anahtarın performansına da olumsuz etki edecektir.

Koruma?• Switchlerde fiziksel güvenlik

• Switchler çok sayıda gelen çerçeve süresince (su baskını) hata yapabilirler.– Tehdit: Denial of Service

Önlem:1. Switch Tablosuna statik olarak MAC adresleri ekleyebiliriz.

2. MAC adres tablosunda bir port karsisina gelebilecek maksimum MAC adres sayisini belirli bir sayida sinirlayabiliriz.3. Belirledigimi kurallarin disina çikildiginda switchin önlem almasini saglayabiliriz.• Not: Bunun için Switch’in Acces portu olmalı ve yönetilebilir Switch olmalıdır.

IP Adresleme IP adresleri 32 bit uzunluğundadır. (IPV4) Örnek.

- 62.49.67.170 RFC 1918’e göre aşağıdaki ağ adresleri özel ağlarda kullanılmak için ayrılmışlardır.

- 10.0.0.0 to 10.255.255.255- 172.16.0.0 to 172.31.255.255- 192.168.0.0 to 192.168.255.255

IP Adresten Ethernet Adresine dönüş Address Resolution Protocolü (ARP)

- 3.katman protokolüdür.- P adreslerin MAC karşılıklarını haritalar.- Ağ katmanı, bir çerçeve hazırlanırken ARP’yi kullanır.

ARP Sorgusu- 192.168.0.40 kimdir? 192.168.0.20 cevap verir.

ARP Cevabı- 192.168.0.40 ‘nin MAC’ı 00:0e:81:10:19:FC

ARP cache’ları hızlı çalışma için gereklidir.- Önceki ARP cevaplarını kayıt eder.- En eski sorgular silinir.

İkinci Katman Saldırıları• Ağ saldırıları denince öncelikle OSI’nin üçüncü (Ağ Katmanı) ve daha yukarı katmanlarıyla

ilgili ataklar akla gelmektedir. Fakat ikinci katman atakları da en az üst katmanlara yönelik yapılan ataklar kadar etkili olabilmektedir.

• İkinci katman atakları yerel alan ağlarının içinden (LAN) yapıldığı için güvenlik duvarı ya da saldırı engelleme / tespit etme sistemleri tarafından engellenememektedir / tespit edilememektedir. Çünkü bu sistemler genellikle üçüncü ve daha üst katmanların güvenliği için tasarlanmıştır.

• Ayrıca saldırı tespit veya engelleme sistemleri genellikle dış ağdan iç ağa gelebilecek saldırıları tespit ya da engellemek için kullanılmaktadır. Bu sistemlerin iç ağda yer alan bir saldırganın, yine iç ağda yer alan anahtarlara yapılacak saldırıları tespit edebilme / engelleme gibi bir şansı yoktur.

• Ağ güvenliği tüm OSI katmanlarının güvenliğinin ele alınmasıyla asıl amacına ulaşacaktır. Üst katmanların güvenliğinin alınıp, ikinci katman güvenliğinin ele alınmaması ağ güvenliğinin tam anlamıyla anlaşılamadığını gösterir.

1. MAC Adres Atağı Switchler, portları arasındaki iletişimi üzerlerindeki MAC adres tablolarına bakarak yapar.

MAC adres tablosunda; port numarası, porta bağlı olan bilgisayar(lar)ın MAC adres(ler)i ve ilgili portun hangi VLAN’e ait olduğu gibi bilgiler yer alır.

Anahtar, portlarına gelen bir çerçevenin (frame) hedef MAC adres kısmına bakarak bu hedef MAC adresinin kendi MAC adres tablosunda olup, olmadığına karar verir. MAC adresini tabloda bulursa çerçeveyi ilgili porta gönderir. Yapılan bu işleme switching denir. Tüm ikinci katman anahtarları bu prensibe göre çalışır.

Anahtarlama cihazlarının önemli bir zafiyeti, MAC adres tablosunun dolması durumunda ortaya çıkar. Anahtarların MAC adres tablolarının kapasitesi, cihazın marka, model ve donanımına bağlı olarak değişebilir.

Anahtara gelen çerçevenin hedef MAC adresi, anahtarın MAC adres tablosunda bulunmadığı durumlarda, anahtar çerçeveyi (frame) tüm portlarına yollayacaktır. Peki bu nasıl gerçekleşir?

Anahtarın MAC adres tablosunun tamamen dolu olduğunu düşünelim ve anahtarın, beşinci portuna bağlı bir bilgisayardan gönderilen çerçevenin (frame) hedef MAC adresinin, anahtarın MAC adres tablosunda bulunmadığını düşünelim. Bu durumda anahtar, beşinci portundan gelen çerçeveyi (frame) diğer tüm portlarına yollayacaktır. Bu da ilgili beşinci porttan çıkan tüm bilginin diğer portlara da gönderilmesi sonucunu doğuracaktır.

Bu da saldırganın, anahtar üzerinde herhangi bir port yönlendirmesi yapmadan, sadece anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği dinleyebilmesine yol açacaktır. Ayrıca anahtarın performansı da düşecektir.

Switch tablolarını sahte MAC adresleriyle doldurmak(MAC FLOODİNG)Buna MAC flooding (MAC taşması) atağı’da denir. Aşağıda normal bir switching tablosu

verilmiştir.

Anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurabilecek yazılımlar mevcuttur. Anahtara bu yazılımlar ile saldırılıp MAC adres tablosu sahte adreslerle doldurulabilir. Bu saldırıdan sonra anahtarın MAC adres tablosu aşağıdakine benzer bir durumda olacaktır. Saldırganın portunun GigabitEthernet3/33 olduğunu düşünüyoruz.

ÇÖZÜM: Bu saldırıdan korunmanın yolu çok basittir: MAC adresi kilitlemesi ( belirli bir MAC adresini kayıtlı bir IP adrsine eşleştirme). Ancak bunun için elimizdeki

anahtarın MAC adres kilitlemesi özeliğinin olması gerekmektedir. Anahtarlarımızın portlarına MAC adresi kilitlemesi uygularsak bu olası saldırıdan kurtulmuş

oluruz. Aşağıda Cisco anahtarlar için MAC adresi kilitlemesi örnek konfigürasyon satırları bulunmaktadır:

(Aşağıdaki konfigürasyonlar sizin sistemlerinize uygun olmayabilir.) CISCO konfigürasyonu Anahtar(config)#interface range GigabitEthernet 3/2 – 48 Anahtar(config-range)# switchport mode access Anahtar(config-range)# switchport port-security Anahtar(config-range)# switchport port-security maximum 3 Anahtar(config-range)# switchport port-security violation restrict Anahtar(config-range)#switchport port-security mac-address sticky

VLAN (Virtual LAN)

VLAN’lar Farklı veya aynı swithclerin (2.Katman) farklı portlarına bağlı hostlar ile bir broadcast domaini (farklı Subnet’te denebilir) oluşturmasına izin verir.

Farklı VLAN’lere üye olan bilgisayarlar ağ üzerinden birbirlerine erişemezler. Bir VLAN’in ARP isteği diğer VLAN’lere normalde hiçbir şekilde ulaşamaz. Çünkü herbir VLAN farklı bir “broadcast domain”idir.

VLAN’lerin birbirlerine erişebilmeleri için, VLAN arayüzleri oluşturmak, bu arayüzlere birer IP numarası vermek ve sonrasında da “Inter-VLAN routing (VLAN’ler arası yönlendirme)” yapmak gerekir.

Bunun için de ya bir yönlendiriciye ya da yönlendirici özelliği bulunan bir anahtarlama cihazına ihtiyaç vardır. 

VLAN atlama (Hopping) atağı

Fakat anahtarlar üzerinde bazı güvenlik önlemleri alınmadığı takdirde VLAN’ler arası geçiş sağlanıp, bir VLAN’e bağlı bir bilgisayar, kendi VLAN’inin haricinde farklı bir VLAN’de yer alan başka bir bilgisayara erişebilmektedir.

Saldırganın, bağlı bulunduğu anahtardan farklı bir anahtar üzerinde kendi VLAN’i haricindeki, normalde erişememesi gereken bir VLAN’e erişmesine VLAN atlama atağı denmektedir.

VLAN atlama atakları ikinci katmanda (Layer 2) gerçekleştirildiği için IP tabanlı (Layer 3) saldırı tespit ya da engelleme sistemleri tarafından yakalanmaları mümkün değildir.

2. VLAN Hopping AtaklarıAnahtar Sahtekarlığı (Switch Spoofing)

Bu atak türü, Cisco marka anahtarlara yönelik bir ataktır. Cisco anahtarlarının portları ya “access port” ya da “trunk port” olarak tanımlanabilirler. “access port”, bir adet VLAN’e atanmış port olarak bilinir. “access port”ların, bağlı bulundukları VLAN haricindeki diğer VLAN portlarına erişimi yoktur. “trunk port” ise anahtar üzerinde yer alan tüm VLAN’lere üyedir ve farklı anahtarlar üzerinde tanımlı olan farklı VLAN’lere üye portların birbirleriyle iletişimini sağlar.

Anahtarlar arasındaki trafiğin ayırt edilebilmesi için “trunk port”, üzerinden geçen çerçevelere (frame) bir etiket ekler. Bu etiketleme mekanizması iki türlü yapılır. Bunlardan birisi IEEE 802.1q ve diğeri de sadece Cisco anahtarlarda çalışabilen ISL (InterSwitch Link) etiketlemesidir.

Anahtarlar arası VLAN erişiminin sağlanması için anahtarları birbirine bağlayan “trunk port”ların aynı etiketleme türüne sahip olması gereklidir. (Karşılıklı bağlanmış olan “trunk port”ların ya IEEE 802.1q ya da ISL etiketli olması gereklidir.)

Bu ön bilgilendirmeden sonra şimdi de anahtar kandırma atağının nasıl yapıldığını inceleyelim:

Cisco anahtarların portları beş modda çalışırlar: “on”, “off”, “desirable”, auto” ve nonegotiate”. Cisco anahtarların portları ön tanımlı (default) olarak “dynamic desirable” modundadırlar. Bu da şu anlama gelmektedir: Bu portun karşısındaki port “access port” ise port kendisini otomatik olarak “access port” olarak tanımlayacaktır. Karşısındaki portun modu “on”, “auto” ya da “dynamic desirable” ise port kendisini “trunk port” olarak tanımlayacaktır.

Şimdi; bir saldırgan “dynamic desirable” modundaki bir porta kendisini “trunk port”muş gibi gösteren bir bilgisayar bağlandığı takdirde anahtarın ilgili portu “trunk port” olacaktır. Böylece saldırganın bilgisayarı tüm VLAN’lere erişebilecek duruma gelecektir. Çünkü bütün VLAN’lere gidecek olan çerçeveler (frame) saldırganın portuna da gelecektir. Saldırgan, bu sayede bütün VLAN’lere giden trafiği dinleme imkanına sahip olacaktır.

b) Çift Etiketleme (Double Tagging)

Bu saldırının anlaşılabilmesi için “native(yerel) VLAN” ve IEEE 802.1q kavramlarının iyi bilinmesi gereklidir. Bu kavramları biraz açıklamaya çalışalım:

Normalde anahtar üzerindeki her bir port sadece bir VLAN’e üye yapılabilir. Bir porttan birden fazla VLAN’e iletilm için ilgili porta IEEE 802.1q tanımlamasının yapılması gereklidir. IEEE 802.1q tanımı yapılmış olan port, kendisine gelen çerçevenin “MAC adresi” ve “EtherType” alanlarının arasına 32-bitlik bir başka alan ekler. Bundan da anlaşılabileceği üzere, IEEE 802.1q tanımı, aslında bir etiketlemeden (tagging) ibarettir. IEEE.802.1q portu, sadece etiketlenmiş (tagged) çerçeveleri iletir. Etiketlenmemiş (untagged) çerçeveler IEEE 802.1q portundan geçemezler.

Bunun istisnası “native VLAN”e üye olan çerçevelerdir. IEEE 802.1q portuna gelen ve “native VLAN”e üye olan çerçeveler, herhangi bir etiketlenme yapılmaksızın IEEE 802.1q portu üzerinden karşıdaki anahtara iletilirler.

Karşılıklı bağlanmış olan anahtarlar arasında VLAN iletişiminin yapılabilmesi için karşılıklı olarak bağlanmış bu anahtarların IEEE 802.1q portlarının “native VLAN” numaralarının aynı olması gereklidir.

IEEE 802.1q portuna etiketlenmemiş çerçeve gelirse bu çerçeveler “native VLAN”e üye kabul edilirler. Özetle, IEEE 802.1q tanımı yapılmış olan portlar “native VLAN” için normal bir port gibi davranır.

“native VLAN” özelliği çift etiketlenmiş VLAN atlama saldırılarına açıktır. Şimdi çift etiketleme saldırısının nasıl yapıldığına bakalım:

Herhangi bir tanımlama yapılmadığı takdirde, bir IEEE 802.1q portunun “native VLAN” numarası “1”dir (VLAN 1). Saldırgan, oluşturmuş olduğu çift VLAN etiketli çerçevenin, dış VLAN etiket numarasına “native VLAN”in numarasını verir. İç VLAN etiket numarası olarak da hedef anahtarda yer alan hedef VLAN’in numarasını verir.

örnekle açıklayalım: Saldırgan, kendisini “native VLAN”e üyeymiş gibi gösteren bir çerçeve oluşturur. Tabii ki

bu saldırıyı yapabilmesi için saldırganın, bağlı olduğu anahtarın “native VLAN” numarasını bilmesi gereklidir. Yukarıda da belirtildiği gibi “native VLAN” için herhangi bir tanım yapılmamışsa, VLAN 1 “native VLAN”dir ki “native VLAN” numarası da anahtarlarda genellikle değiştirilmemektedir.

Bu durumda saldırgan kendisinin VLAN 1’de olduğunu belirten bir çerçeve oluşturur. Bu çerçeveye 32-bitlik bir etiket ekler (IEEE 802.1q etiketi). Bu ilk etiketin içindeki VLAN değerine de (VID) “1” verir.

Bundan sonra saldırgan, çerçeveye ikinci bir 32-bitlik etiket daha ekler. Bu etiketin içine de saldırıyı yapacağı VLAN’in numarasını yazar. Bu şekilde saldırgan çift etiketli bir çerçeve oluşturmuş olur. (Bu şekilde özel çerçevelerin (frame) oluşturulabildiği programlara internet üzerinden ulaşmak zor değildir.)

Önlem Anahtar kandırma (switch spoofing) atağını engellemek için anahtarın portlarından DTP

(DynamicTrunking Port) özelliğini kaldırmak gerekir. IEEE 802.1q portuna ihtiyacımız olduğu takdirde bunun manuel olarak yapılması tavsiye

edilir. Aşağıdaki komut satırı girilmek suretiyle anahtarın portlarından DTP kaldırılmış olur:ANAHTAR(config)# interface range FastEthernet 0/1 – 24ANAHTAR(config-if)# switchport mode access

Çift etiketleme atağından korunmak için de aşağıdaki maddeler tavsiye edilir:1. “native VLAN”i kullanıcılar için kullanmayın,

2. “default VLAN” numarasına “1”den farklı bir değer verin ve bu VLAN’i kullanıcılar için kullanmayın,

3. Kullanılmayan portları kapatın ve bu portları “default VLAN” haricinde başka bir VLAN’e dahil edin.

3. Sahte MAC (MAC Spoofing) Atağı Bu atak türünde saldırgan, anahtara gönderdiği çerçevelerin (frame) içerisindeki “kaynak

MAC adres” kısmına, dinlemek istediği bilgisayarın MAC adresini yazar. Anahtar MAC adres tablosunu bu duruma göre günceller. Böylece anahtarın MAC adres

tablosunda, saldırganın bağlanmış olduğu anahtarın portu için iki adet MAC adresi yer almış olur. (Saldırganın MAC adresi ve hedef bilgisayarın MAC adresi) Hedef bilgisayara gönderilen çerçeveler de (frame) de böylece saldırganın bilgisayarına gönderilmiş olur.

Hedef bilgisayar ağa paket gönderene kadar bu durum devam edecektir.

4. Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı Normalde ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini

öğrenmek için anahtara ARP isteği (ARP request) paketi gönderir ve anahtar bu paketi tüm portlarına gönderir. Sadece paketin gönderileceği hedef bilgisayar bu ARP isteğine cevap verir. Paketi gönderen bilgisayar da bu IP – MAC eşleşmesini kendi ARP tablosunda tutar.

Sahte ARP ataklarında saldırgan, paketin gönderileceği bilgisayarın yerine ARP isteğine cevap verir. Böylece paketi gönderen bilgisayarın ARP tablosunda (IP – MAC eşleşmesi tablosu) saldırgan bilgisayarının IP ve MAC adresleri bulunacaktır. Böylece hedefteki bilgisayar gönderilecek olan paketler saldırganın bilgisayarına gönderilir.

Saldırgan varsayılan ağ geçidinin (default gateway) yerine ARP isteklerine cevap verecek olursa da, ağdan dışarı çıkacak olan tüm paketler, varsayılan ağ geçidi (default gateway) yerine saldırganın bilgisayarı üzerinden dışarı çıkacaktır. Böylece saldırgan hem ağdan çıkan tüm paketleri dinleyebilecektir hem de bilgisayarının donanım özelliklerine bağlı olarak ağda performans düşüklüğüne sebep olacaktır.

PROTOKOLLAR VE BUNLARA YAPILAN SALDIRILARARP PROTOKOLU VE YÖNELİK SALDIRILAR:

Adres Çözümleme Protokolü (ARP) Fiziksel (Ethernet MAC) arayüz adresi ile ağ IP adreslerini eşleştirme için kullanılır.

Veri bağı katmanında Broadcast yayın yoluyla işlem yapar. Bu protokolda ençok kullanılan ARP istek (Request) ve ARP Cevap (reply) paketleri’dir. Bilinen MAC adresine karşılık gelen IP adresi ise RARP protokolu ile gerçekleşir. RARP protokolu daha çok ağa bağlı fakat HARD Diskİ olmayan bilgisayarların ağa dahil

olduktan sonra kendi IP No’larnı bulmak için kullanılan protokoldur. (HD’si olan bilgisayarlar kendi IP adreslerini kendi HD’leri üzerinde barındırılar))

Bunun için ortamda RARP veritabanı tutucu bilgisayarlar olmalıdır. RARP protokolu sunucu-istemci etkileşimi ile çalışırlar.

• ARP protokolu IP protokolu altında çalışır. ARP paketleri sadece bulundukları ağ içerisinde yayın yapabilir.

• ARP isteğinden önce, bilgisayarlar kendi ARP tablolarına bakarlar.

• Bilgisayarlar genellikle ilk açıldıklarında ağa dahil olduktan sonra ARP Broadcast paketi yayınlarlar: Niçin?-Aynı ağ içerisindeki IPV4 IP çakışmalarını belirlemek için.-Başka bilgisayarlardaki ARP tablolarının güncellenmesi

ARP Sorgusu & ARP Cevabı

ARP Güvenlik kusurlarıARP protokolunun işleyişi ve tasarım mekanizmasından dolayı önemli kusurlardan bazıları; ARP önbellekleri kapasitesinin sınırlı oluşu.

- ARP önbellekleri bir şekilde lüzumsuz olarak doldurulabilir. ARP Kimlik Doğrulama eksikliği

- ARP cevapları, genellikle kabul edilen ve alınanın kim olduğu fazla önemsenmeden önbelleğe alınır.

- Meşru ve gayri meşru mesajları ayırt etmek için hiçbir yöntem yoktur.Kimli doğrulama eksikliğinden dolayı; Geçersiz ARP cevapları: Bir ARP sorgusuna ki bu bir broadcast yayındır.

- Alakasız kimseler cevap verebilir. Bu durumda sorgulanan IP’ye ilgisiz kiiler kendisini eşleştirebilir.

Karşılıksız - Sebepsiz (Gratuitous) ARP cevapları: - Sorgu olmadan, saldırganın yönlendireceği ağın eşleştirilmesini sağlayan ARP

cevaplarının ön belleğe yazılabilir olması.

ARP Güvenlik Açıkları ARP spoofing (ARP Kimlik Sahtekarlığı- ARP taklidi) Sebepsiz, nedensiz ARP işlemleri. Orijini doğrulanmayan ARP yanıtları. Kötü niyetli bir cihaz herhangi bir MAC adresini talep edebilir.

ARP Saldırıları ARP önbelleklerindeki mevcut adreslerin değiştirilmesi

- ARP sahtekarlığı (ARP spoofing, ARP flooding, ARP poisoning) saldırısı lokal ağlarda gerçekleştirilebilen bir saldırıdır.Bu saldırı, üç şekilde gerçekleştirilmektedir:

- Birincisi; hedef bilgisayarın ARP tablosunun yanlış bilgilerle dolmasını sağlayarak, hedef bilgisayarın göndereceği paketlerin saldırganın istediği adreslere gitmesini sağlamak.

- İkincisi; hedef bilgisayarın göndereceği tüm paketlerin, saldırganın bilgisayarı üzerinden geçmesini sağlamak (Man in the Middle).

- Üçüncüsü de; hedef bilgisayarın, paketlerini bir başka bilgisayara göndermesini sağlayarak bu bilgisayara servis dışı bırakma (Denial of Service) saldırısı yapmak şeklindedir.

ARP Önbelleğinin aşırı kalabalık olması- Bazı uygulamalardaki hedef, çok sayıda gereksiz ARP yanıtları gönderilerek ARP

belleğinin doldurulmasıdır.- Bu durumda önbellek maksimuma erişir. Switchler ya HUB gibi çalışır. Veya tekrardan

öğrenme moduna girer.

Paketlerin Monitor edilmesi (Sniffing) HUB’lar bir portundan gelen paketleri diğer paketlere broadcast yaparlar. Bunun anlamı aynı

Hub’ı paylaşan bilgisayarların paketleri monitor etmesine sebep olur. Switch’ler ise gelen paketin “Hedef MAC adresini” inceleyerek o paketi yalnızca ilgili porta

yönlendirirler. Bu iş için oluşturdukları “MAC Adresi-Port no’ tablolarını kullanırlar. Switch kullanılan ağlarda, bu sayede bilgisayarların biribirlerine giden paketleri monitor etme

olasılığı bir ölçüde önlenebilir. Switchler her ne kadar dinlenmemek üzere tasarlansa da değişik yöntemlerle bu durum

aşılabilir. Gelişmiş switchler’de (kontrol edilebilir SWitch’ler) bu dinlenme problemi aşılabilir. Gelişmiş olmayan switchler’in dinlenmesi için değişik yöntemler uygulanır. Bunlardan en

önemlisi ARP Tablo(önbellek) zehirlenmesidir. ARP Tablo Zehirlenmesi ( ARP SPOOFİNG – Cache Poisoning) : Bu yöntem, Ortadaki

Sessiz Adam - Man in the Middle- saldırısı şeklinde etkisini gösterir. Saldıgan haberleşen iki bilgisayar arasına kendisini yerleştirerek bir köprü gibi veri akışının

kendisi üzerinden sağlanmasını sağlar. Böylece gelen paketleri okuyan saldırgan paketleri iki makine arasında yönlendirir. Ortadaki adam ile DNS zehirlenmesi de yapılır.

Man-in-the-Middle Saldırıları: Bu tür saldırılarda saldırgan kurban ile kurbanın gitmek istediği hedef noktası arasına girerek bütün iletişimi istediği gibi kontrol eder. Bu saldırılar birçok değişik şekilde karşımıza çıkabilir.(ARP Zehirlenmesi, DNS Ön Bellek Zehirlenmesi vb.)

ARP Tablo Zehirlenmesinden (ARP Spoofing) önceBağlantı yapan iki makine A, B olsun. C Saldırgan olsun. Makinaların IP-MAC adres

ikililerini değiştirmek amacıyla C Taklit edilmiş ARP Yanıt paketi gönderir.

ARP Spoofing’den sonra Bağlantı yapan iki makine A, B olsun. C Saldırgan olsun. Makinaların IP-MAC adres

ikililerini değiştirmek amacıyla C Taklit edilmiş ARP Yanıt paketi gönderir (Sebepsiz ARP).

ARP Spoofing’in Etkisi (Ortadaki Adam etkisi)Her iki bilgisayar arasındaki veriler, artık saldırgan üzerinden olacağından, saldırgan

veriler üzerinde oynayabilir. Hatta haberleşen iki bilgisayar

Ortadaki adam etkisi ile iki bilgisayarın biribirleriyle haberleşmesi sürecinin saldırganın bilgisayarından geçmesi durumunda, bu iki bilgisayar arasındaki kurulacak üst seviye işlemlerinin de , örneğin “Bağlantıya yönelik saldırı” ele geçirilmesi söz konusudur. Bu işlem iki makine arasındaki iletişimde TCP katmanında bağlantı sıra numarasını kullanarak bağlantı içerisine veri gönderebilir.

Toplu yayın (Broadcast) Saldırısı Eğer ARP tablosu içerisindeki belirli bir IP adresine karşılık gelen MAC adresi, ARP spoofing

(taklit ARP yanıtı) mesajı yoluyla değiştirilip FF.FF.FF.FF.FF.FF ile değiştirilirse, bu bilgisayara gönderilecek paketler tüm noktalar tarafından monitör edilebilir okunabilir.

Eğer bir bilgisayarın ARP tablosunun içindeki ağ geçidinin IP’sine karşıkıl gelen MAC adresi toplu yayın adresi olarak değiştirilirse, bu bilgisayarın dış dünya ile olan bağlantısı rahatlıkla izlenebilir.

TAKLİT ARP REPLY PAKETİ OLUŞTURMAK

ARP PROTOKOLU İLE DOS Saldırıları Taklit edilmiş “ARP yanıt Paketi” kullanarak tablo içerisinde varolmayan MAC adresi

değerlerine karşılık gelen IP adrteslerine sahip olan girdiler yapılır. Böylelikle tablo içerisinde yer alan IP adresine gönderilecek datagramlar hedeflerine varamaz. Bu durum ağı meşgul eder hem de MAC adresi değiştirilmiş bilgisayarla olan iletişim sonlandırılmış olur.

ARP SALDIRILARINA KARŞI ÖNLEMLER Eski bir protokol olan ARP’ın çalışma yapısından (Tablosunun düşük kapasiteli olması, ARP

mesajları için herhangi bir durum tablosunun tutulmaması, ARP’ta herhangi bir kimlik doğrulama mekanizması olmadığı için, bilgisayar gelen ARP mesajlarının doğru bilgisayardan gelip-gelmediği kontrol edemeyecektir. Tüm bilgisayarlar kendisine gelen ARP mesajlarıyla ARP tablosunu herhangi bir kontrole tabi tutmadan güncellemek durumundadır v.b) kaynaklanan bu sorunların protokol bazında bir çözümü bulunmamaktadır.

Alınacak tedbirlerden ilki ARP tabloları içerisine statik girdiler yaratmaktır. Bu statik değerler saldırı sonucunda değişmeyeceği için belirli bir düzeyde güvenlik sağlanmış olur. Ancak bu yöntem ağdaki tüm bilgisayarların ARP tablolarına manuel olarak “ IP-MAC adresi” tanımlaması yapmaktır. Mantıklı değildir. Kaldı ki Windows işletim sistemi, ARP tablosu içerisindeki statik eşleşmeleri kabul etmeyebilir. Aldığı Yanıt paketleri ile tabloyu değiştirebilir.

ARP’ nin açıklarından yararlanılarak yapılan saldırıları SWİTCH cihazları üzerinde alınacak bazı önlemlerle kapatmak mümkündür.

Çözüm -1 Switch’lerin IP adresi – MAC adresi eşleşmelerini (ARP tablosu) port bazında tutmalarıdır.

(Bu işlem gelişmiş yapıda switch’ler üzerinde gerçekleştirilebilir (VLAN özellikli switchler v.b) . Bu durumda SWİTCH, üzerinden akan ARP paketlerini sürekli olarak denetler. Geçerli veya taklit paketleri bulur. Buna “Dynamic ARP Inspection (DAI) –Değişken ARP denetimi- , Dynamic ARP Protection”denir. CİSCO Catalyst 4500 serisi Switch’de bu özellik vardır.

Switch üzerinde port bazındaki IP adresi – MAC adresi eşleştirmesi yapıldığından, saldırgan bağlı olduğu switch portundan farklı IP adresi – MAC adresi eşleşmelerine sahip olan ARP mesajları gönderemez.

Bu yöntem DHCP sunuculu sistemlerde uygulanır. DAI MAC adresi-IP adresi eşleşmelerini sürekli takip ederek “Ortadaki Adam” saldırılarının

önlenmesine yardım eder.

Çözüm – 2: Bir DHCP sunucusunun bulunmadığı bir ortamda (IP adreslerinin statik olduğu) IP adresi –

MAC adresi eşleşmelerinin anahtarlama cihazları üzerinde el ile birer birer yapılması gerekmektedir. Yani DHCP sunucusundan hazır olarak alınan IP adresi – MAC adresi eşleştirmelerinin switch’e el ile girilmesi gerekmektedir. Bunun için anahtarlama cihazları üzerinde ARP erişim kontrol listeleri (ARP access control lists - ARP ACLs) tanımlanır.

Çözüm – 3:

Saldırı için bir başka çözüm de, anahtarlama cihazının portlarına birim zamanda gelen ARP mesajlarını sınırlamaktır. Bu şekilde, ARP servis dışı bırakma saldırılarının da (ARP DoS) önüne geçilmiş olunur. Bu özellik, sadece Cisco marka anahtarların bazı modellerinde aktif hale getirilebilmektedir.

BÖLÜM – 4

Network Katmanı (3.Katman) Güvenliği - 1TCP/IP protokol yapısı

Genel bakış

IP, ICMP, and Routing protokolları önemlidir. IP bağlantısız bir protokol olduğu için DOS saldırılarına açıktır. Saldırganlar tarafından IP protokoluna saldırılar için ICMP kullanılabilir. Routing protokolları data yığınlarına maruz kalırlar.

Ağ katmanı - IP Farklı Fiziksel segmentlerdeki (ağlardaki) bilgisayarlar arasındaki paketleri taşımak için

yapılması gerekenleri tarif eder. Bunun için kullanılan teknolojiler

o Routing (Yönlendirme)o Lower level address discovery ARP(Alt katman adresleri arama ve bulma- ARP) o Error Messages (ICMP) (Hata mesajlaşma)

IP Router’lar Router’lar ağ katmanında çalışırlar ve ağ adreslerine göre ağdaki paketleri yönlendirirler. Router’lar IP datagramlarının yerine teslimini direkt veya dolaylı olarak desteklerler. Hedefe varabilecek olası yolları kullanmak için Yönlendirme tablolarını kullanırlar. Bir datagram için 3 olası durum sözkonusudur.

o Doğrudan hedef Host’a gönderilme.o Bilinen hedef yolundaki bir sonraki router’a gönderilme.o Default Router’a gönderilme.

IP Routerlar, katman 3’te çalışırlar.

Router’lar

IP Saldırıları(Atakları) Spoofing (Kimlik Sahtekarlığı- Kimlik Adatması) Fragmentation (Parçalanma) Port Scanning (Port tarama) Redirection (Yeniden yönlendirme)

IP Spoofing (Yanıltma-Aldatma) Bu saldırının amacı bir makinenin IP adresini ele geçirmektir. Saldırgan bu iş için genelde iki

bilgisayar arasındaki güvenilir ilişkiden yararlanır. Internet veya ağa bağlı sisteminizle başka bir sisteme bağlanacaksınız, fakat bu bağlantın

sizin tarafınızdan yapıldığını gizlemek istiyorsunuz. Bunun için bağlantı sırasında kimliğinizi (ki TCP/IP protokollerinde kimliğiniz IP adresinizdir), yanlış gösteriyorsunuz. Bu IP spoofing işlemidir.

Bu saldırıyla, saldırgan, kendi IP paketlerinin sahtekarlığını yaparak ( nemesis v.b gibi programlar ile) diğer paketlerin arasınaki kendi paketinin kaynak IP alanını değiştirir.

Kaynak değiştirildiğinden, sahte pakete karşılık gelen cevaplar saldırganın makinesine gidemez. Spoof edilen makinaya gider.

Saldırganın bu cevabı kendi makinasına alabilmesi için kullandığı önemli teknik ”Kaynak yönlendirme-Source routing”’dir.

Yerel spoofing : Saldırgan(attacker) ve mağdur (victim-kurban) aynı alt ağdadır. Saldırgan, bir saldırı başlatmak için gerekli temel bilgi parçalarını bulmak amacıyla trafik

koklama (sniffing - izleyici) ile işe başlar. Blind spoofing: Saldırgan ile mağdur aynı altağ’da değildir. Daha karmaşık ve gelişmiş saldırıdır. Saldırının başarılması için gerekli bilgi miktarı mevcut değildir. Anahtar parametreleri

tahmin edilmelidir. Modern işletim sistemleri bu şekildeki saldırıları başlatmayı zor hale getirmek için, oldukça

rastgele sıra numaraları kullanır.

IP Katmanı genel Atak Tipleri

Paket bazlı ağ katmanındaki savunma sistemleri genelde IDS’lerledir. Saldırganlar ise bu yapıyı 3 tip genel atakla geçmek isterler.

1- Evasion attack (Atlatma Atakları):Bu ataklarda paketler hem IDS’ye hem de hedefe gönderilir. IDS bu paketleri reddeder

(dikkat atak olduğu için değil !!!!!) , hedef host kabul eder. IDS reddetiği, düşürdüğü bu paketlerin payload’ını kontrol etmediği için atak olup

olmadığına karar vermez. Böylece saldırgan, kötü niyetli trafiğin bir kısmını veya tamamını IDS’nin denetiminden

kaçırarak ağa göndermiş olur.

2- İnsertion attack (Araya koyma, Ekleme Atakları) : Bu ataklarda; hem son kullanıcıya hem IDS’ye gönderieln paketlerden, Son kullanıcının

kabul etmediği, IDS tarafından kabul edilenler olabilir. Paket sadece IDS’de geçerlidir. Bu durumu uygun kullanabilen saldırgan; uygun bir paket

trafiği ekleyerek imza analizi ile saldırı tespitindeki analizi önleyebilir (Son kullanıcı trafından kabul edilmeyen paket ile, o paket gurubunun saldırı olmadığı IDS’ye inandırılır.)

3- DOS(Deniel of Service) Atakları IDS veya sistem kaynaklarını tüketmek için veya tamamen devreden çıkarmak için yapılan

saldırılardır. Bu şekilde IDS gelen trafiğin hepsini analiz edemez hale gelir. DoS saldırısının en yaygın türü veya özelliği, istekleri ile mağduru bunaltmasıdır. Bu istekler bir seferde birden fazla kaynaktan gönderiliyor ise, buna dağıtık DoS (DDoS)

saldırısı denir.

Çok bilinen ataklardan bazıları

Time to live field attacks : IP başlığının TTL alanı bir paketin düşürülmeden önce, yönlendirildiği rota üzerinde kaç atlama yapabileceğini ifade ediyordu. Her yönlendirici kendisine gelen paketi yönlendirdiğinde TTL alanındaki değeri bir eksiltiyordu.

Buna göre , ağ yapısı (topolojisi) hakkında önceden bilgi sahibi olan saldırganlar, paketleri öyle ustalıkla düzenleyebilir ki paketler, ağdaki IDS’ler tarafından düşürülmeden önce (IDS tarafından TTL’den dolayı) hedef hosta normal (TTL değeri 0’lanmadan) gibi ulaşır.

Maximum transmission unit (MTU) : Saldirgan hedef host ile kendisinin kullandığı en düşük MTU değerini, "yol MTU Keşfi" olarak adlandırılan bir teknik ile öğrenebilir.

Eğer bu minimum MTU değeri IDS ile hedef host arasındaki bağlantıda geçerli ise; saldırgan b u minimum MTU değerinden daha büyük bir boyutlu paket yaratıp “Dont Fragment “ bayrağını 1 yapar. Böylece bu paketler IDS tarafından kabul edilir. Fakat daha düşük MTU’lu ağın başındaki router TARAFINDAN (hedef bilgisayar bu Router’ın arkasındaki ağdadır) tarafından reddedilir.

Bu bir “IDS insertion” atağıdır. Böylece, IDS bu paket gurubu için imza analizi yapamaz.

IP checksum verification : IP checsum doğrulaması yapmayan bir IDS sistemi (performans kaybı olmasın diye genlede yapmazlar), insertion ataklarına karşı duyarlıdır. Çünkü bu sistemler hedef host’un reddettiği paketleri kabul edip işleyebilirler.

IP checksum doğrulama, parçalanma (fragmentasyon) ) veya taşıma katmanı saldırıları ile birlikte kullanılır.

Paketlerin Parçalanması (IP fragmentation) Veri bağı katmanı kullanılarak gönderilebilecek en büyük datagramın boyutuna MTU

( Maximum Transmission Unit) denir. Değişik ağ teknolojilerindeki MTU’lar farklıdır. Paketlerin MTU’yu geçmeyecek şekilde ağlar arasında iletimin sağlamak için

boyutlandırılması işlemine parçalama (fragmentation). IP başlığı, parçalanan bu paketin tekrar birleştirilmesi için gerekli bilgileri parçaların her

birine aktarır. Paketlerin birleştirilme işlemi ara yönlendiricilerde yapılmaz. Son noktalar tarafından yapılır.

Parçalama (Fragmentation)Paketlerin, farklı MTU değerleri olan farklı ağlarda iletirken Parçalanması gerekebilir. Her

bir fragment kendi IP başlığını alır ve farklı bir yol üzerinden seyahat edebilir. Parçalanmış paketlerin hedefe ulaştığında doğru sırada birleştirilmesi gerekir. Paketler

hedefe ulaştığında tekrar birleştirilip orjinalinin elde edilmesi için her pakette bulunması gereken bazı alanlar vardır. Bunlar

Parçalanmış her paket datagramın hangi kısmını taşıdığını (Offset değeri) ve sırasını bilmelidir. Kendisinden sonra ek parça paket varsa bu alan flags[1], paketin kendisi son paket ise değer flags [none] olur.

Dikkat !!!!!!Parçalanmış paketlerde sadece ilk paket protokol başlık bilgisini(TCP, UDP, ICMP vs)

taşır.

Reassembly ( Tekrar Birleştirilme İşlemleri): IP protokolü belirtimindeki bazı belirsizlikler nedeniyle, özel durumlarda farklı parçalama işlemleri meydana gelebilir ve bu parçaların yeniden birleştirilmesi gerekir. Bu özel parçalama işlemleri;

Fragment retransmission (parçaların yeniden iletilmesi), Fragment overlays (parçaların üstüste gelmesi - bindirmeler) Fragments with non-neighbouring offsets.(Komşu olmayan ofsetli parçalar.) Eğer IDS işlemlerindeki parçalar, hedef hosttaki ile farklılıklar gösterir ise; bu durum

tutarsızlıklara yola açabilir. Dolayısıyla insertion ve evasion atakaları yapılabilir. Bu birleştirme sürecindeki olabilecek ataklar; Time out (Zaman aşımı) : Parçalanmış paket; yalnızca tüm parçalarının parçalanma zaman

aşımı süresi içinde alınmış ise yeniden birleştirilir. Hedef host ve IDS’de farklı zaman aşımı uzunluklarının kullanılması, saldırgana evasion

atak gerçekleştirmesine izin verebilir. TCP header division: TCP oturumunu izleyip ve parçalanmış paketleri yeniden birleştirmeyi

başaramayan IDS’ler, saldırgan tarafından oluşturulmuş daha küçük fragmentleri atlayabilirler. Bunlar TCP başlıkları ikiye üçe bölünmüş fragmentler olabilir.

Bu şekilde oluşmuş her bir bağımsız fragment, imzayla uyuşmaz dolayısıyla atak sayılmaz.

Fragmentation Atakları

Parçalanmış paketlerin üst üste çakışması (Overlay), saldırganlara IDS, Firewall ve Routerlarda eski paketlerin kaydırılması imkanını sunar.

Bir routerdan, windows temelli bir sisteme paket gönderildiğinde; Eğer alınan paket duplike bir paket ise;

o Router (veya IDS veya Firewall) en son gönderilen fragmenti tercih eder.o Windows orijinal (ilk gönderileni) tercih eder.

Saldırgan mesajını 3 parçaya böler. hem yönlendiriciye hemde windows tabanlı sisteme 1. ve 2. parçayı gönderir. Her ikisi de

parçaları kabul eder. Saldırgan 2 . Ve 3. parçaları gönderir. Yeniden gönderilen 2.parça ilki ile aynı boyut ve

offsettedir. Fakat payload’ı farklıdır (Saldırı imzası taşımaz). Windows 2. parçanın orijinalini (saldırı mesajı bundadır) kabul ettiği halde router (veya IDS)

yeniden (Son) gönderileni kabul eder. Dolayısıyla birleştirdiğinde bu mesajların saldırı olmadığına karar verir.

Parçalanmış paketler konusunda en sıkıntılı sistemler IDS/IPS’lerdir. Bunun nedeni bu sistemlerin temel işinin ağ trafiği inceleme olmasıdır. Saldırı tespit sistemleri gelen bir paketin/paket grubunun saldırı içerikli olup olmadığını anlamak için çeşitli kontrollerden geçirir. Eğer bu kontrollere geçmeden önce paketleri birleştirmezse çok rahatlıkla kandırılabilir.

Mesela HTTP trafiği içerisinde “/bin/bash” stringi arayan bir saldırı imzası olsun. IDS sistemi 80.porta gelen giden her trafiği inceleyerek içerisinde /bin/bash geçen paketleri arar ve bu tanıma uyan paketleri bloklar. Eğer IDS sistemimiz paket birleştirme işlemini uygun bir şekilde yapamıyorsa, saldırgan paket bölme araçlarından birini kullanarak /bin/sh stringini birden fazla paket olacak şekilde (1. Paket /bin, 2.paket /bash) gönderip IDS sistemini atlatabilir.

Parçalanmış Paket Oluşturma Araçları Paket parçalama işlemi normalde bizim (kullanıcılar) tarafımızdan yapılmaz. Ağlar arası

geçişleri sağlayan yönlendirici sistemler (router) gerektiğinde bu işlemi gerçekleştirir. Fakat internette bulunan çeşitli araçlar kullanılarak kendi isteğimize göre paketleri parçalayıp

gönderebiliriz. Bunları öğreniniz!!!!!!!!!!!!

Dikkat !!!!Parçalanmış paket saldırılarına sebep olan güvenlik açıklıkları uzun zaman önce işletim sistemi geliştirici firmalar tarafından kapatılmıştır fakat paket parçalama ile yapılan Firewall/IDS/IPS atlatma yöntemleri hala bazı sistemler üzerinde çalışabilmektedir.

Source Routing (Kaynak Rotalama) atakları: Source routing, TCP/IP suitinde paket göndericisine, netwokte paketi rotaya göre ilerletmek

için imkan veren bir seçenektir. Saldırganlar bu özelliği , belirli bir alt ağı ele geçirmek için yapacakları saldırı için

kullanabilirler. Şöyleki; saldırgan, gönderici adresini aldatarak, o paketi bir alt ağdan geliyormuş gibi set

edebilirler. Bunu önlemenin yolu, router’ın kaynak adresi hedef makinaya varmadan kimseye

göstermemesidir. Bu işlem Cisco cihazlarda “ no ip source-route” komutuyla yapılabilmektedir.

Evasion Attack (Atlatma Atakları) Bir saldırgan ilk fragmenti, timeout’u 15s olan IDS’ye ve timeout’u 30s olan hedef sisteme

gönderir. Saldırgan 15s ile 30 s arasında bir zamanda ikinci fragmenti gönderir. IDS 2.fragmenti iptal eder. Çünkü timeout’u 15 s’den büyüktür. Fakat hedef sistem bu

fragmenti kabul eder. Oysa bunun içinde bir atak olma ihtimali vardır. Böylece IDS atağı kayıt edemez. IDS atlatılmış olur.

Teardrop Saldırıları Teardrop, targa, NewTear, Nestea Bonk, Boink, TearDrop2, ve SynDrop gibi bazı saldırı

araçları, IP atakları için açıklara sahip makinaları çökertebilirler. Teardrop atağı IP paketlerinin tekrar birleştirilmesindeki zayıflıktan yararlanır. Mesaj, ağlar

arasında iletilirken genellikle daha küçük parçalar ayrılır. Herbir parça orjinal paket gibi görünür. Fakat offset alanları farklıdır. Teardrop programı bir dizi IP paket parçaları oluşturur. Bu parçalar örtüşen offset alanlarına sahiptir. Bu parçacıklar varış noktasında tekrar birleştirildiklerinde bazı sistemler çökebilir, durabilir veya kapanıp açılabilir. Teardrop saldırısı bir DOS saldırısıdır.

Overlapping, over-sized, payload paketler gönderilerek sistem bozulur.

Ping of Death Atağı

Ping of Death, IP paketlerine gömülü olarak ICMP ile gönderilen “echo request” mesajları ile yapılır. Bu mesajlar 65.535 bayt’tan daha büyük mesajlar halinde sürekli olarak gönerilirse Buffer kapasitesi küçük olan makinalarda buffer taşmasına sebep olarak makinanın çökmesine sebep olur. Ping of death bir DoS atağı çeşididir.

ICMP ATAKLARI ICMP mantıksal hataları teşhis ve bildirim için kullanılır. ICMP kimlik doğrulaması sunmaz. Böylece ICMP, ağdaki cihazları tarama ve istismar etmek için kullanılabilir. ICMP kullanımı ile, backdoor, port scan, redidirect trafik, echo gibi DoS atakları

düzenlenebilir.

ICMP Format

ICMP Echo Atakları Ping (ICM ile gerçekleşir) bombardımanı saldılarının amacı, büyük miktarda ICMP yankı

istek paketilerini ağa yollayarak bant genişliğini kullanıp ağ kaynaklarını tüketmektir. Alınan her ICMP yankı istek paketine karşılık, ICMP yankı cevap paketininde yayınlandığına

dikkat ediniz. Özellikle bant genişliği düşük olan ağlarda bu ataklar önemlidir.

Port Scanning ICMP, “hangi portların açık olduğunu keşfetmek için”, saldırganlar tarafından büyük oranda

kullanılır. Çünkü TCP protokolu gibi bağlantılı bir protokol olmadığından saldırganlar için paha

biçilmez bir araçtır. Bir bağlantı noktasına bir ICMP paket gönderilmesi ile portun açık olup olmadığını bildiren

bir yanıt alırsınız. Eğer port açık ise ; bir cevap gelmeyecektir. Eğer port kapalı ise ; ICMP tip3 code3 olan bir ICMP mesajı alınacaktır. (Hedef

ulaşılamaz, Port ulaşılamaz).

ICMP Nuke Atakları Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri

göndererek anlarlar. ICMP Nuke Atağı; Sahte adresler (spoof edilmiş) kullanarak, bir saldırgan; iki host

arasındaki düzgün iletişimi “Time Exceeded” (Type 11) veya “Destination Unreachable” (ICMP Type 3) mesajlarını her iki hosta’da göndererek, sanki hata varmış gibi gösterebilir, bozabilir.

Bu bir DOS atağıdır. Eski bir atak türüdür. ICMP Types and Codes ‘lar konusuna bir gözat.

ICMP Redirect Attack (ICMP yeniden yönlendirme atağı) Bir saldırgan; ICMP “redirect” mesajları göndererek, bir hedef router’a yönlendirilmiş

mesajları, IP adresi saldırganın adresi olan bir host’a forward eder.

ICMP Redirect Ataklarını ÖnlemeLinux işletim sisteminde, kernel’de değişiklik yaparak redirect mesajlarının kabul

edilmemesini sağlayabiliriz.root@router# echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects

ICMP Flood (ICMP Taşkını-Sel basması Bombardımanı) Ping Flood, bir ping (ICMP üzerinden yapılır) broadcast fırtınası yaratarak hedef sistemi

bunaltabilir. Bu bir DoS saldırısıdır. Linux’ta, ping –f kullanılarak herhangibir host’a bir taşkın oluşturulabilir.

root@router# ping –f 10.10.10.12 –c 1000ile 10.10.10.12 IP’li host’a 1,000 paket gönderilir.IP ping paketinin işleyişinden yararlanan “Smurf saldırıları” da ICMP FLOOD’un özel bir

halidir. Çok sayıda reply paketi ile hedefin gerçek trafiği alması engellenir. Smurf ataklarında; kurban bilgisayarın IP adresinden network'ün broadcast adresine Internet (ICMP) isteği (ping) gönderilir ve network üzerindeki bütün bilgisayarlardan kurban bilgisayara yanıt göndermesi sağlanır.

Ping Flood’dan korunma Ping flood, IPTable ‘ın konfigirasyonu ile “ICMP echo-request messages” larının sayısını

sınırlayarak durudurulabilir.

root@router# iptables –A FORWARD –p icmp –icmp-type echo-request –m limit –limit 10/s –j ACCEPT

(saniyede 10 tane gelen icmp echo request paketlerini kabul et)

root@router# iptables –A FORWARD –p icmp –icmp-type echo-request –j DROP(Icmp echo-request paketlerini düşür)

Not:iptables, Linux veya Unıx’te NAT’lama veya paket filtreleme için bir araçtır.

Ping of Death Ping of Death, IP paketlerine gömülü olarak ICMP ile gönderilen “echo request” mesajları ile

yapılır. Bu mesajlar 65.535 bayt’tan daha büyük mesajlar halinde sürekli olarak gönerilirse Buffer kapasitesi küçük olan makinalarda buffer taşmasına sebep olarak makinanın çökmesine sebep olur. Ping of death bir DoS atağı çeşididir.Windows komut satırından:

ping -1 65550 192.168.1.XLinux komut satırından:

ping -s 65550 192.168.1.X

Routing Protokollarına ataklar Distance-vector ve link-state routing protokolları özellikle DOS saldırılarına çok uğrarlar. RIP bir doğrulanmaz servis hizmeti olduğundan DoS saldırılarına karşı korumasızdır. Sahte RIP paketleri gönderilerek , ağ geçitleri ve hostların rotalarını değiştirmek ve onlardan

bilgi sızdırmak için yapılır. Saldırganlar, yönlendirme bilgisini, networkte yeniden yönlendirmek için (onun şifrelerini

analiz etmek için veya yolunu değiştirmek için veya zamanının değiştirmek için) değiştirebilir.

Routerlar ve Yönlendirme protokollarının Güvenliği Yönlendiriciler onların üzerinden akan protokolların güvenliği en temel olarak “paket

filtreleme işlemi” kullanılarak başarılabilir. Paket Filtreleme, Erişim Kontrol Listeleri (ACL) olsa bile konfigüre edilir.

ACL Trafik işleçleri nasıldır? Kaynak IP adresi: Geçerli veya izin verilen adres midir? Hedef IP adresi: Bu cihazdan gelen

paketleri almak için bu adrese izin var mı? Kaynak ve hedef portlar: TCP, UDP ve ICMP’yi içeren. TCP bayrakları : SYN, FIN, PSH’ı içeren.

Protokollar: , FTP, Telnet, HTTP, DNS, ve POP3 ‘ı içeren

Yön: Gelen veya giden trafiğe izin vermek veya reddetmek.

Arayüz: Belirli arayüzler sadece belirli trafiği kısıtlamak için kullanılabilir

BÖLÜM – 5

Ağ katmanı Saldırıları ve Koruma 2

YÖNLENDİRME Protokollarına VE Routerlara ATAKLAR Routerların (Yönlendiricilerin) görevlerini tekrar hatırlarsak; Yerel ağdan gelen paketleri filtrelemek : Paket filtreleme, network adresi (IP), servisi

ve protokolüne göre bilgi transferini kontrol etmektir. Yönlendirici bu kontrolleri ACL’ler (Access-Control List –Erişim Listesi) yardımı ile sağlar. ACL’ler kendisine gelen verinin kaynak, hedef ip adreslerine, bilginin gideceği port adresine veya kullanılmak istenen protokole göre kısıtlamalar yapabilmektedir.

Paketlerin nereye gideceğine karar vermek: Yönlendirici, kendine bağlı olan bilgisayarların network adreslerini tuttuğu gibi, kendisine bağlı veya kullanılan protokole göre bağımsız yönlendiricilerin network adreslerini de routing tablolarında tutmaktadır. Yönlendirici kendisine gelen paketlerin nereye gideceğini öğrendikten sonra bu adresi routing tablolarıyla karşılaştırarak hangi fizikselport’undan yollayacağına karar vermektedir.

Böylece ROUTER ,yerel ağları birbirine bağladığı gibi kurumun WAN’a bağlantı noktasını da oluşturmakta ve internet erişimini de sağlamaktadır.

IP Datagramların Yönlendirilmesi Farklı ağlar üzerindeki bilgisayarların haberleşmesi için ağlar arasında datagramların

yönlendirilmesi gerekir. Router’larda en az iki adet farklı ağa bağlanmak için iki ağ donanım arabirimi

bulunmalıdır. Routerlar datagramları yönlendirebilmek için hafızalarında IP Datagram yönlendirme

tabloları bulundurmalıdırlar. Bu tablolarda hedef ağa ulaşabilmek için uygun yönlendiricilerin bilgileri bulunur

Statik ve dinamik yönlendirme tablolarıİki şekilde yönlendirme tablosu oluşturulur. 1-Dinamik yapılandırma: Routarlar bünyelerindeki yönlendirme tablo algoritmalarını

çalıştırarak, komşularının durumuna göre en uygun ve hızlı yolları belirleyip tablolarını oluşturur ve güncellerler.

2- Statik yapılandırma : Hedef bilgisayar ağına bağlantı kurulabilmesi için tablo el ile doldurulur. Küçük ve yapısı değişmeyen ağlarda bu yöntem kullanılabilir.

IP datagram yönlendirme bilgilerinin routerlar arasında değişiminin etkin bir şekilde gerçekleşmesi için yönlendirme protokolları tanımlanmıştır. Bu protokolların devamlılığını sürdürebilmesi için mesaj değişiminin sürekli olması gerekir.

DATAGRAM Yönlendirme protokolları Otonom sistemlerin kendi içindeki, temel yönlendirme değişim bilgisi için kullandıkları

protokollara IGP( Interior Gateway Protokolu) denir. Otonom sistemler arasındaki haberleşme için kullanılan routerların temel yönlendirme

değişim bilgisi için kullandıkları protokollara EGP( Exterior Gateway Protokolu) denir.

Yönlendirme ProtokolleriIGP Protokollarından en çok bilinenleri– RIP (Routing İnformation Protocol - Yönlendirme Bilgi değişimi protokolu) :

Tablolarını güncellemek için Uzaklık Vektör (Distance Vector) Algoritması kullanır. – OSPF (Open Shortest Path First- İlk önce en kısa yolu seç): Tablolarını güncellemek

için Link State algoritmasını kullanırlar.

EGP Protokollarından en fazla bilineni;– BGP (BGP(Border Gateway protocol – Sınır geçit protokolu)

Yönlendiriciler arasında, yönlendirme bilgileri IP datagramlar aracılığı ile taşınır. Yönlendirme protokolları IP, TCP,UDP protokollarını kullanarak mesaj alış-verişini gerçekleştirir.

OSPF Protokolu : IP datagramalarını kullanarak RIP Protokolu : UDP protokolunu kullanarak; BGP protokolu: TCP protokolunu kullanarak

Yönlendirme bilgisi mesaj alış-verişini sağlarlar.

RIP Versiyon 1 Mesaj YapısıIP V4 ağları içerisindeki Routerların diğer routerlara erişimi için en iyi rotayı sağlayan

tablo bilgilerinin değişimi için kullanılan RIP mesajları UDP protokolunu kullanır.RIP’ı kullanan Routrelar, yönlendirme bilgilerini güncellemek ve yönlendiricilerden yönlendirme bilgilerini istemek için 520 nolu UDP portunu kullanırlar.

2 tip RIP protokol mesajı vardır.1-Yönlendirme bilgi yanıt mesajı2-Yönlendirme bilgi isteği mesajı

OSPF Genel Mesaj Başlığı

Routing Protokollarına ataklar Distance-vector ve link-state routing protokolları özellikle DOS saldırılarına çok uğrarlar. RIP bir doğrulanmaz servis hizmeti olduğundan DoS saldırılarına karşı

korumasızdır. Sahte RIP paketleri göndermek , ağ geçitleri ve hostların rotalarını değiştirmek ve

onlardan bilgi sızdırmak için yapılır. Saldırganlar, yönlendirme bilgisini, networkte yeniden yönlendirmek için (onun

şifrelerini analiz etmek için veya yolunu değiştirmek için veya zamanının değiştirmek için) değiştirebilir.

Router’ların GÜVENLİĞİ1. Fiziksel Güvenlik:Yönlendiriciler için ayrı bir oda ayırılamıyorsa en azından kilitli dolaplar (kabinet) içine

koyulmalıdır. Bu odanın enerjisi hiç kesilmemelidir . Bu UPS (Uninterupted power supply) kullanarak sağlabilmektedir. Yönlendirici yakınlarına şifre veya ip bilgileri gibi bilgileri yazmaktan kaçınmaktır.

2. Yönlendiriciye Erişim HaklarıYönlendiriciye kimlerin erişeceğinin bir politikayla belirlenmesi ve erişimlerin loglanması

gerekmektedir. Bu politikada; kimin konfigürasyon yedeklerini alacağının, kimin yeni bir parça alımında yönlendiriciye yerleştireceğinin, kimin logları düzenli takip edileceğinin açık bir şekilde belirtilmesi gerekmektedir. Temelde yönlendiricilere, kullanıcı (user) ve yönetici (enable) olarak iki çeşit erişim hakkı vardır. Kullanıcı modunda sadece kontroller yapılabilirken, yönetici modda ek olarak cihaz konfigürasyonu da yapılabilmektedir.

3.Şifrelerin GüvenliğiGünümüzde büyük oranda kırma (hacking) işlemi “password quessing” (parola tahmin

etme) yöntemiyle yapılmaktadır bu sebepten şifre seçimine gerektiği önem verilmelidir.Cisco yönlendiricilerde kullanıcı adı ve parolasının konfigürasyon dosyasında

gözükmemesi için “service password-encription” komutu kullanılmalı. Zayıf şifreleme algoritması kullanan “enable password” kaldırılmalı, MD5-tabanlı

algoritmayla şifreyi koruyan “enable secret” komutu kullanılmalıdır. “no enable password” komutu kullanılarak enable password’ler silinmeli yerine “enable secret yeni_şifreniz” ile yeniden şifreler girilmelidir

4.Erişim Protokollerinin GüvenliğiRouterlara fiziksel erişim konsol portundan yapılmaktadır. Bunun için fizikselgüvenliğin

sağlanması gerekmektedir. Diğer erişim yöntemleri olan HTTP, Telnet, SSH,TFTP, ve FTP kullanıldığında TCP/IP

protokolünün zayıflıklarına karşı önlem alınması gerekmektedir. Alınması gereken önlemler aşağıdaki gibidir.

a) Belirli IP’lerin Cihaza Erişimine İzin Vermek:Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir. Bu da erişim listesi

(access-list) yazılarak sağlanır. Örneğin Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin erişimine izin verilmesi ve diğer ip’lerin engellenmesi ve bu erişimlerin kaydının tutulması aşağıdaki erişim listesi ile sağlanmaktadır.

access-list 7 permit 200.100.17.2access-list 7 permit 200.100.17.3access-list 7 deny any logb) HTTP Erişimi:HTTP protokolü ile web arayüzünden erişim, cihaza interaktif bağlantı demektir.

Yönetilebilir cihazlarının birçoğunun üzerinde web sunucusu çalışır. Bu da 80 nolu portta bir web sunucunun kurulu beklediğini gösterir. HTTP servisi verilecekse bu ağ yönetimini sağlayan belirli IP’lere kısıtlı olarak verilmelidir. Cihaz güvenliği nedeniyle mümkün olduğunca bu tür web üzerinden yönetimin kullanılmaması gerektiği önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bileceği başka bir port üzerinden, örneğin “ip http server port 500” komutuyla 500 nolu portta çalıştırılabilecek şekilde ayarlanmalıdır.

c) Şifrenin Ağda Düz Metin Olarak İletilmesini Engellemek:HTTP, Telnet, SNMP protokolleri ile cihaza erişimde, doğrulama mekanizması ağda

şifrenin düz metin (clear text) şeklinde gönderimi ile sağlandığı için güvenlik açığı oluşmaktadır. Özellikle hub bulunan ortamlarda saldırganın ağ üzerinden dinleme (sniff) yoluyla iletilen bilgiyi elde etmesi mümkün olabilmektedir. Bunu engellemek için aşağıdaki önlemler alınabilir :

- - Telnet yerine Secure Shell (SSH) Erişimi Vermek: İletilen veriyi şifreleyen SSH protokolü mümkün olduğunca kullanılmalıdır.

- Güncel SNMP Versiyonlarını Kullanmak: SNMP Versiyon 1, düz metin doğrulama dizileri (string) kullandığından bu doğrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan öz (digest) doğrulama şeması kullanan, yönetim verilerine kısıtlı erişim sağlayan SNMP Versiyon 2 veya 3’ün kullanılması gerekmektedir.

- Doğrulama Mekanizmaları Sağlamak: Doğrulama mekanizması, onay sunucuları(Tacacs+, Radius …vb) kullanılarak yapılabilir. Cisco IOS’de doğrulama mekanizması “ip http authentication” komutuyla sağlanmaktadır.

5.Gereksiz Servisleri KapatmakYönlendiricide kullanılmayan servisler kapatılmalıdır. Örneğin kullanılmayan ve güvenlik

açığı oluşturabilecek TCP/UDP services echo, chargen ve discard kapatılmalıdır:no service tcp-small-serversno service udp-small-serversBu cihaza bağlı kişiler hakkında saldırgana bilgiler sağlayabilecek “finger” servisi de

kapatılmalıdır:no service fingerDaha önceden de belirtildiği üzere yönlendiricide web sunucusu da çalıştırılmamalıdır:no ip http server

6.İşletim SistemiYönlendirici için işletim sistemi (Operating System) seçilirken ağın ihtiyaclarına uygun ve

aynı zamanda donanımın desteklediği bir versiyon olmasına dikkat edilmelidir. Her ne kadar işletim sistemleri güvenlik testlerine tabi tutulup daha sonra piyasaya sürülüyorsa da daha

sonradan güvenlik açıkları bulunabilmektedir. Bu nedenden dolayı çıkan yamaları takip edip upgrade yapmak gerekebilmektedir.

AĞI ROUTER ile KorumakYönlendirici, bazı ağlarda yönlendirici görevinin yanı sıra güvenlik duvarı gibi çalışacak

şekilde de ayarlanabilmektedir. Bu güvenlik duvarı işlevi, basit bir paket filtreleme fonksiyonundan oluşmaktadır ve günümüzdeki güvenlik duvarlarına oranla oldukça ilkel kalmaktadır.

Yönlendiricinin temel görevinin yönlendirme (routing) olduğu unutulmamalı, bu tür bir güvenlik duvarı işlevinin cihazın performansını düşüreceği dikkate alınmalıdır.

Yönlendiriciyi aynı zamanda detaylı paket filtreleme özellikleri ile kullanmak, sadece küçük ağlarda veya güçlü omurga cihazlarının bulunduğu kampüs ağlarındaki iç yönlendiricilerde tercih edilmelidir.

Bu bölümde yönlendirici ile ağdaki bilgisayarlara gelebilecek saldırıların engellenmesi için bazı ipuçları verilecektir.

1. Riskli portları kapatmak:İnternet üzerindeki servisler, kullanıcılara hizmet götürebilmek için bazı sanal port

numaraları kullanırlar (örn: http için 80 numaralı port kullanılmaktadır). Saldırganlar veya kötü yazılımlar servislerin açıklarını kullanarak hizmet verilen port numarası üzerinden bilgisayar ağına sızabilirler.

Bunu önlemenin bir yolu riskli portları yönlendirici ile kısıtlamaktır. Riskli portların listesi [http://www.nsa.gov/snac/cisco/guides/cis-2.pdf] adresteki referansının 38 ve 39 sayfalarında listelenmiştir.

Aşağıdaki örnekte 445 nolu UDP portu ile finger servisi bloklanmaktadır: access-list 101 deny udp any any eq 445access-list 101 deny tcp any any eq fingeraccess-list 101 permit ip any anyTanımlı mail ve web sunucularını belirlemek ve bu sunucular dışında bu tür protokolleri

engellemek de mümkündür. Erişim listesi ne kadar kapsamlı olursa o kadar fazla işlemci gücü gerektirecek ve performans azalacaktır. O yüzden sık gelen paket türlerini erişim listesinde daha önde tutmak performansı arttıracaktır.

2.Bazı saldırı tekniklerine karşı önlemlerIP spoofing : Kötü niyeli kişi hattı dinler giden paketlerin kaynak ve hedef adresini alır.

Hedef adresini kendi ip’si yaparak kaynak adrese cevap verir. Böylece erişim listesine takılmadan bilgisayar ağına sızmış olur.

Bunu önlemenin yolu, yönlendiricinin kaynak adresi hedef makinaya varmadan kimseye göstermemesidir. Bu işlem Cisco cihazlarda “no ip source-route” komutuyla yapılabilmektedir .

Routing Protokole olan saldırılar: Saldırgan yönlendiricinin routing protokolünü bozmadan yollanan paketlerin bir kopyasının kendine de yollanmasını sağlayabilir veya protokolleri kaldırarak yönlendiricinin diğer yönlendiricilerle haberleşmesini kesebilir. Haberleşmenin yok olması, yönlendiricinin aldığı paketleri nereye göndereceğini bilmemesi ve servis dışı kalması(DoS) saldırısıdır. Bunu önlemenin yolu ise gönderilen ve alınan routing protokolu paketlerini filitrelemektir. Örneğin IGRP routing protokolünü filtrelemek için yazılmış ACL aşağıda verilmiştir.

router eigrpnetwork 200.100.17.0distribute list 20 out ethernet 0distance 255distance 90 200.100.17.0 0.0.0.255access-list 20 permit 200.100.17.0 0.0.0.255

Çıkış (Egress) ve Giriş (Ingress) Erişim ListeleriBu erişim listeleriyle yönlendiriciye gelen paketlerdeki kaynak IP adresleri kontrol

edilmektedir.Dış ağdan iç ağa gelen paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne giriş

(ingress) filtreleme denmektedir. Bu kontrolde gelen paketlerdeki ip’lerde internet ortamında kullanılmayan (rezerve edilmiş) adresler bulunduğunda bu paketler kabul edilmeyecektir.

Ağ adresimiz 200.100.17.0/24 ise, dış dünyadan böyle bir IP aralığına ait bir paket gelmemesi gerekmektedir. O zaman ingress kısıtlamaları aşagıdaki gibi olacaktır:

access-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 102 deny ip 200.100.17.0 0.0.0.255 anyaccess-list 101 permit ip any an

İç ağdan dış ağa giden paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne çıkış (egress) filtreleme denmektedir. Kendi ağ ip adresi aralığında olmayıp da internete çıkmak isteyen ip’ler kısıtlanmalıdır. Böylece kurumun ağı kullanılarak başka kurumlara yapılabilecek

kaynak IP adresi değiştirme tabanlı saldırılar engellenecektir. Bazı reserve edilmiş IP lerin kısıtlanması aşağıdaki gibidir:

access-list 102 permit ip 200.100.17.0 0.0.0.255 anyaccess-list 102 deny ip any anyÖrnekte dışardan gelen trafik ingress erişim listesi ile seri arayüzde, içeriden gelen trafik de

egress erişim listesi ile ethernet arayüzünde tanımlanmıştır.interface serial 0ip access-group 101 ininterface ethernet 0ip access-group 102 in

“Reverse Path” Kontrolü: Gönderdiğimiz paket “ethernet 0” arayüzünden gönderiliyor fakat cevabı “ethernet 1” arayüzünden geliyorsa bu işte bir yanlışlık var demektir. Bunu önlemek için geliş gidiş istatiğini tutan CEF routing tablolarından yararlanmak gerekmektedir. Bunu sağlamak için de seri arayüzde bu komutun uygulanması gerekmektedir.[21]

İp cef disributed!interface serial 0ip verify unicast reverse-path

Smurf attack: IP adresi kandırmacası ve broadcast (aynı subnetteki herkese yollama) ilkelerine dayanır. Saldırgan, saldırmayı hedeflediği bilgisayarın IP’sinden paket geldiğinin sanılması için, kaynak adresi bu IP olan “broadcast ping” paketleri oluşturur ve gönderir.

Gönderilen ping paketlerinin cevabı gerçekte bu IP’ye sahip olan bilgisayara gider ve orada gereksiz trafik yaratarak bilgisayarın ağa ulaşması engellenir. Bu olayı yönlendiriciden önlemenin bir yolu da yönlendiricideki arayüzlere

“no ip directed-broadcast” komutunu girmektir.[24]

ICMP (İnternet Control Message protocol) Protokolu IP protokolu bağlantısız bir protokol olduğundan, ağda seyahat eden datagramların iletim

ve teslimat sürecinde meydana gelen hataları, uyarı ve kontrol bilgilerinin alışverişi için ICMP protokolu kullanılır. Bu mesajlar ağ yöneticileri tarafından değerlendirilerek ağ içerisindeki aksaklıklar belirlenir.

o ICMP iletileri IP datagramları içerisinde Kapsüllenerek seyahat eder.

ICMP mesajları aşağıdaki fonksiyonlar içindir:o İstekler (Request)o Yanıtlar(Responses)o Hata mesajları : ICMP hata mesajı; başlık ve soruna neden olan IP datagram

payload’ının bir kısmını içerir ( ilk 8 byte).

ICMP Hata mesajları aşağıdaki durumlarda üretilir.o IP datagramların hedefe ulaşamaması durumundao Ağ geçitlerinin, datagramları hedefe yönlendiremeyecek kadar yoğun olmaları

durumundao Datagramların hedeflerine gidebileceği daha uygun bir yol olması durumunda.

Routerlar, datagramları yönlendirirken oluşabilecek problemleri bildirmek için ICMP mesajı üretebilirler.

Bilgisayarlar; protokol ve servis problemleri yaşadıkları zaman ICMP mesajı üretirler. Bilgisayar veya ağ testleri için veya ağdan bilgi elde etmek içinde ICMP mesajları

kullanılır. (Request ve Response) Sadece IP datagramlarla ilgili olaylarda ICMP mesajı üretilir. Parçalanmış IP datagramlarda oluşacak hatalarda sadece ilki için ICMP mesajı iletilir. ICMP mesajlarının seyahat ile ilgili problemler için ICMP mesajı üretilmez.

ICMP Mesaj Formatı

Çok kullanılan ICMP MesajlarıType0 Echo Reply (Yankı): hedefin ulaşılabilir olduğu denetimi için.3 Destination Unreachable: hedefin erişilemez olduğunu belirler4 Source Quench: Rotadaki router’ın çok yoğun olduğunu belirtir.5 Redirect: Routerlar rota belirlemek için kullanır.8 Echo Request11 Time Exceeded : Zaman aşımı- TTL’in 0’landığı bilgisi12 Parameter Problem : IP datagramda oluşan problemleri bildirir.13 Timestamp :Paketlerin iki nokta arasındaki gidiş geliş süreleri için.14 Timestamp Reply:15 Information Request16 Information Reply

En çok kullanılan mesaj türüdür (Echo 0 - 8) . “Yanıt-istek-yanıt” mesajları olarak bilinir. Ping komutunun kullandığı mesaj’dır.

Ping ile sorgulanan bilgisayara echo istek (8) ile bir miktar bilgi gönderilir. Hedef bilgisayardan ise kendisinin gönderdiği verinin aynısını içeren yankı yanıt (echo reply 0) ICMP mesajını göndermesini ister. Bu bildirim yapılmış ise iki nokta arasında iletişimin yapılabilir olduğu anlaşılır.

Zaman Damgası istek / cevap: saatleri senkronize etmek için kullanılır.

• Source quench (Sıkışık Ağ Trafiği): trafik yükleniminden hakkında bilgilendirmek için kullanılır

• Parametre sorunu: Bilgisayar veya router, başlık üzerinde IP datagramın iletilmesine mani bir durum olduğunu tespit ederse, datagramı yo edip karşıya bildirmesi içinir.

ICMP mesajlarını kullanan programlar Ping ve traceroute uygulamaları ICMP protokolunu kullanır. Ping: en çok kullanılan ağ analiz programlarından birisidir. Ping, hedef bilgisayara “yankı (echo) istek” mesajı gönderir. Eğer hedef bilgisayardan

“yankı(echo)” yanıtı gelirse, Ağ üzerinde erişilebilir olduğu anlaşılır. Ping her gönderdiği mesaj üzerine gönderilme zamanını ekler. Alınan yanıtı kullanarak

paket iletimi için geçen zamanı bulabilir. Traceroute: Datagramların hedeflerine ulaşıncaya kadar izledikleri rotanın belirlenmesi

için kullanılan bir analiz programıdır.

TCP/IP Zayıflıkları Ve ÇözümleriHedefe ulasan veri, IP paketlerinden olusmaktadır. Bu paketlerde:• Gizlilik (Confidentiality): Paketin seyrettigi yol boyunca içerigi okunmus olabilir.

Önlem: İçerigin sifrelenmesi. • Paket Dogrulama (Authentication): Paketin kaynak adresi degistirilmis olabilir

(Örn:spoof saldırıları). Önlem: Daha kuvvetli dogrulama yöntemlerinin kullanılması. • İçerik bütünlügü (integrity): Paketin içerigi degistirilmis olabilir.

Önlem: Daha gelismis data bütünlügü kontrollerinin yapılması.

ICMP ATAKLARI ICMP mantıksal hataları teşhis ve bildirim için kullanılır. ICMP kimlik doğrulaması sunmaz. Böylece ICMP, ağdaki cihazları tarama ve istismar etmek için kullanılabilir. ICMP kullanımı ile, backdoor, port scan, redidirect trafik, echo gibi DoS atakları

düzenlenebilir.

ICMP Format

ICMP Echo Atakları Ping (ICM ile gerçekleşir) bombardımanı saldılarının amacı, büyük miktarda ICMP yankı

istek paketilerini ağa yollayarak bant genişliğini kullanıp ağ kaynaklarını tüketmektir. Alınan her ICMP yankı istek paketine karşılık, ICMP yankı cevap paketininde

yayınlandığına dikkat ediniz. Özellikle bant genişliği düşük olan ağlarda bu ataklar önemlidir.

Port Scanning

ICMP, “hangi portların açık olduğunu keşfetmek için”, saldırganlar tarafından büyük oranda kullanılır.

Çünkü TCP protokolu gibi bağlantılı bir protokol olmadığından saldırganlar için paha biçilmez bir araçtır.

Bir bağlantı noktasına bir ICMP paket gönderilmesi ile portun açık olup olmadığını bildiren bir yanıt alırsınız.

Eğer port açık ise; bir cevap gelmeyecektir. Eğer port kapalı ise; ICMP tip3 code3 olan bir ICMP mesajı alınacaktır. (Hedef

ulaşılamaz, Port ulaşılamaz).

ICMP Nuke Atakları Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri

göndererek anlarlar. ICMP Nuke Atağı; Sahte adresler (spoof edilmiş) kullanarak, bir saldırgan; iki host

arasındaki düzgün iletişimi “Time Exceeded” (Type 11) veya “Destination Unreachable” (ICMP Type 3) mesajlarını her iki hosta’da göndererek, sanki hata varmış gibi gösterebilir, bozabilir.

Bu bir DOS atağıdır. Eski bir atak türüdür. ICMP Types and Codes ‘lar konusuna bir gözat.

ICMP Redirect Attack (ICMP yeniden yönlendirme atağı)

Bir saldırgan; ICMP “redirect” mesajları göndererek, bir hedef router’a yönlendirilmiş mesajları, IP adresi saldırganın adresi olan bir host’a forward eder.

ICMP Redirect Ataklarını ÖnlemeLinux işletim sisteminde, kernel’de değişiklik yaparak redirect mesajlarının kabul

edilmemesini sağlayabiliriz.root@router# echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects

ICMP Flood (ICMP Taşkını-Sel basması Bombardımanı) Ping Flood, bir ping (ICMP üzerinden yapılır) broadcast fırtınası yaratarak hedef sistemi

bunaltabilir. Bu bir DoS saldırısıdır. Linux’ta, ping –f kullanılarak herhangibir host’a bir taşkın oluşturulabilir.

root@router# ping –f 10.10.10.12 –c 1000ile 10.10.10.12 IP’li host’a 1,000 paket gönderilir.IP ping paketinin işleyişinden yararlanan “Smurf saldırıları” da ICMP FLOOD’un özel bir

halidir. Çok sayıda reply paketi ile hedefin gerçek trafiği alması engellenir. Smurf ataklarında; kurban bilgisayarın IP adresinden network'ün broadcast adresine Internet (ICMP) isteği (ping) gönderilir ve network üzerindeki bütün bilgisayarlardan kurban bilgisayara yanıt göndermesi sağlanır.

Ping Flood’dan korunma

Ping flood, IPTable ‘ın konfigirasyonu ile “ICMP echo-request messages” larının sayısını sınırlayarak durudurulabilir.

root@router# iptables –A FORWARD –p icmp –icmp-type echo-request –m limit –limit 10/s –j ACCEPT

(saniyede 10 tane gelen icmp echo request paketlerini kabul et)

root@router# iptables –A FORWARD –p icmp –icmp-type echo-request –j DROP(Icmp echo-request paketlerini düşür)

Not:iptables, Linux veya Unıx’te NAT’lama veya paket filtreleme için bir araçtır.

Ping of Death Ping of Death, IP paketlerine gömülü olarak ICMP ile gönderilen “echo request” mesajları ile

yapılır. Bu mesajlar 65.535 bayt’tan daha büyük mesajlar halinde sürekli olarak gönerilirse Buffer kapasitesi küçük olan makinalarda buffer taşmasına sebep olarak makinanın çökmesine sebep olur. Ping of death bir DoS atağı çeşididir.Windows komut satırından:

ping -1 65550 192.168.1.XLinux komut satırından:

ping -s 65550 192.168.1.X

BÖLÜM – 6

Ağ katmanında Güvenlik: IPSec(IP Security)

Bir ağın faklı katmanlarında güvenlikGüvenlik protokollarının fonksiyonları

• Bilginin bütünlüğü (integrity) ve gizliliği (confidentality), tarafların kimlik denetimi (authentication) ve ağ üzerindeki bağlantının garanti edilmesini sağlar.

• İletişim içindeki tarafların kimlik doğrulamasını yapar.• Oturumları, masqurate (Maskeleme) , hijacking (Kaçırma-Çalma) ve DNS ataklarına karşı

koruma sağlar.n. Katmandaki koruma protokolu, n. ve daha üst katmanları korur..

Link katmanı güvenlik protokolları, hop -by hop temelli gizlilik (confidentality), bütünlük (integrity) ve kimlik doğrulaması (authentication) sağlar.• Mesajlar herbir orta düğümde deşifreleme/yeniden şifreleme işlemine tabi tutulur (Örn.PPT

protokolu). Ortadaki noktaların herbiri anahtarını komşusuyla paylaşır.• Bu şekilde datagramın çok büyük bir kısmı korunur.• Şifreleme, daha üst katmanlara transmit edilen datanın büyük bir kısmıyla ilgilidir.

End-to-end (Uçtan –uca) güvenlik protokollarında; Yalnızca her iki uçtaki host’lar encryption/decryption yapar. Ortadaki hostlar bu paketleri geçirir. (Örn.SSL/SSH)

• Paket başlıklarındaki yönlendirme bilgisini gizleyemezsiniz.• Yalnızca her iki uçtaki host anahtarları paylaşır.• Orta noktalarda mesaj okunamaz.• İnternet üzerinde yaygın olarak kullanılır. (SSL/SSH)

Ağ katmanındaki güvenlik protokolu, end to end (gateway- gateway veya (gateway) ağ geçidi-to-end) bir şekilde gizlilik, bütünlük, kimlik doğrulama ve tekrarlama saldırılarına karşı koruma sağlanabilir.

Firewall’lar ile uyumlu olabilir.IP başlığının gizliliği korunamaz. Üst katmanlarda daha geniş kapsamlı koruma şifrelemesi yapılır.

Transport katmanındaki güvenlik protokolu, end to end (oturum bazında) bir şekilde gizlilik, bütünlük, kimlik doğrulama ve tekrarlama saldırılarına karşı koruma sağlanabilir.

• Firewalleer ile uymludur.• IP başlığını değil bütün bir oturumu koruyabilir.• Bazen uygulama değişikliği gerekir.• SYN ataklarına karşı korumaz.

Uygulama katmanındaki güvenlik protokolu, end to end (oturum bazında) bir şekilde (uygulama dataları dahil) gizlilik, bütünlük, kimlik doğrulama ve tekrarlama saldırılarına karşı koruma sağlanabilir.

• Firewall’ler ile uyumludur.• Uygulama datası korunur, TCP başlığı korunmaz.• Uygulama değişikliklerine ihtiyaç duyar. • SYN ataklarına karşı korumaz.

The OSI Network ModeliISO/OSI ya karşılık TCP/IP

Ağ katmanı güvenlik protokolu - IPSec• IP v4 te bir güvenlik yoktur, yani IP Paketlerinin dinlenmesi halinde alınan paketler

içerisinden veriler okunabilmektedir. • IP Protokolü iletişimin temelini oluşturduğu için aslında IP Protokolünün güvenliği, veri

güvenliği manasına gelmektedir.

• IPSec , şifreleme güvenlik servislerini kullanarak; Veriyi kriptolayan (encryption), bütünlüğünü sağlayan (integrity) , kimlik doğrulaması (authentication) ve verinin IP networkleri üzerinden güvenli iletimini (Secure transmission) sağlayan bir protokollar topluluğu veya standarttır.

• IPSec, Standart IP paketlerine, Authentication Header (AH) ve Encapsulated Security Payload (ESP) ekleyerek network iletişimini güvenli hale getirir. Bu işlemler için üç alt protokol kullanır.

o IKE/ISAKMP (TCP/500, Anahtar Değişimleri ve Doğrulama)o ESP (Encapsulating Security Payload -İletişim İçeriğinin Filtresi) o AH (Authentication Header Başlık Bilgilerinin Filtrelenmesi)

• Uç sistemler, güvenli veri iletişimine başlamadan önce veriyi nasıl koruyacakları konusunda anlaşma yapmaları gerekir. Bu anlaşmaya Security Association (Uçlar arasında güvenlik antlaşması –SA) denir.

• Bu güvenlik anlaşmalarının yapılıp yönlendirilmesi için ; ISAKMP (Internet Security Association and Key Management Protocol Internet -Güvenlik İlişkilendirmesi ve Anahtar Yönetimi Protokolü ) ve IKE (Internet Key Exchange -Internet Anahtar Alış Veriş Protokolü ) kullanılır.

• IPSec Uçtan uca (end to end) güvenlik modelini kullanır; datayı gönderen ve alan uçlar aynı IPSec Policy’leriyle /Kriterleriyle yapılandırılır (aynı dili konuşmaları sağlanır ki anlaşabilsinler).

• Bu uç sistemler haricinde hiçbir sistem Network üzerinde yol alan bu datayı kullanamaz.• IPSEC protokolu ağ ve Transport katmanı arasında yer alır.• İnternet üzerinde güvenliğe ihtiyaç duyan birçok uygulama IPSec kullanır.• IPSec, protokol yığını her zaman kullanılmaz. Çünkü birçok uygulamalar SSL / TLS

kullanır.• Özel korumalı telsiz linklerine sahip kuruluşlar ise; MAC katmanında veya üst katmanlarda

ek koruma yapmayabilir.

IPSec Bileşenleri• Mimari: IPSec, IPv4 ve IPv6 için, kriptografi tabanlı güvenlik sağlamak üzere tasarlanmıştır.

Sunduğu güvenlik hizmetleri (servisleri) kümesi; o erişim denetimi,o bağlantıya yönelik olmayan doğruluk, o veri kaynağı doğrulaması, o tekrarlama saldırılarına karşı koruma, o gizlilik o sınırlı trafik akış güvenliği

Bu hizmetler IP ve üst katmanlar için IP katmanında sağlanır.

Authentication Header (AH - Doğrulama başlığı) :• İletim esnasındaki olası değişiklerin önüne geçmek için; • Replay saldırılarını engellemek için; • IP Paketinin bütünlüğünü korumak için ;

AH çeşitli algoritmalar kullanarak IP Paketine sıra numarası verir. IP Paketi hedefine ulaştığında aynı algoritma kullanılarak sıra numarası tespit edilir. Eğer IP paketi yolda bir şekilde değiştirildiyse (bir tek karakter bile değişse) sıra numarası farklı olacağından IP Paketi kabul edilmez. • AH söz konusu sıra numarasını IP paketinin Header kısmında bazı alanları değiştirerek yazar. • AH, IP payload’nı şifrelemez. • AH başlığı, IP başlığından hemen sonra gelir ve verinin kriptografik özetini ve kimliğini

içerir. • AH, IP başlığının kaynak ve alıcı adreslerini de korur.

Encapsulating Security Payload (ESP): • ESP’nin birincil görevi AH tarafından sıra numarası verilmiş IP paketlerini belirlenen

algoritmalar yardımıyla şifrelemek ve hedefte aynı algoritma yardımıyla deşifre etmektir. Bunu IP paketlerini kapsülleyerek yapar; ismini de ordan alır.

• ESP, DES, 3DES ve Blowfish gibi simetrik kriptolama algoritmaları ile çalışır. • IPSec’in kullanılabilmesi için, her iki ucun aynı protokolü, kriptolama algoritmalarını ve

anahtarlarını kullanmas ı gereklidir. IKE (Internet Key Exchange): İki IPSec ucu arasında güvenlik hizmetleri konusunda, ilişkilendirilmiş oldukları oturum doğrulaması ve kripto anahtarlarında uzlaşılmasını sağlar.

Güvenlik İlişkilendirmesi (Security Associattion, SA ): Tek yönlü bir IPSec oturumundaki tüm güvenlik bilgilerini tutan bir veri tabanı yapısıdır. SA, paketleri kimin gönderdiği, paketlerin nereye gittiği ve yük olarak ne taşındığı, veri paketlerine uygulanması gereken güvenlik tedbirleri, uygulanan şifreleme algoritması, anahtar tanımları, SA’nın yaşam süresi v.b bilgiler tutulur.

• Bir SA, üç parametre ile benzersiz olarak tanımlanır; 1-Alıcı IP adresi , 2- Güvenlik protokolü tanımlayıcısı,

3- Güvenlik Parametre Indeksi (Security Parameter Index, SPI). Alıcı IP adresi, SA için alıcı ucun IP adresidir. Güvenlik protokolü tanımlayıcısı ise AH (51) veya ESP (50) için protokol no’sudurSPI, genellikle SA’nın alıcı ucu tarafından seçilen, sadece o uçta yerel anlamı olan 32 bitlik

bir sayıdır. SA veritabanı içerisinde bir pointer gibidir.

• Kaynak IP adresi SA’yı tanımlamak için kullanılmaz. Çünkü SA, iki uç arasında tek bir yönde veri iletimi için yapılmış bir hizmet anlaşmasıdır. Eğer iki uç arasında IPSec kullanılarak iki yönlü veri iletimi gerçekleştirilecekse, her biri bir yön için, iki adet SA tanımlanmalıdır.

IPSec güvenlik protokol özeti • Authentication header (AH) (RFC 2042)

o integrityo protection against replayo authentication (also IP header)o encryption is not supported

• Encapsulating security payload (ESP)o confidentality (encryption)o integrityo protection against replayo authentication (of the ESP header and payload)

IPSec servisleri ve security protokolları

Security policy database (Güvenlik politikası veritabanı -SPD)Bir IPSec ucunda iki veri tabanı tutulur;

1- Güvenlik Politikası Veritabanı (Security Policy Database, SPD) 2- Güvenlik İlişkilendirmesi Veritabanı (Security Association Database, SAD).

Bir politika yöneticisi, uçtan dışarı ve içeri doğru tüm veri trafiği için güvenlik ihtiyaçlarını karşılayan bir güvenlik politikası kümesi düzenler. Bu politikalar SPD’ler içinde tutulur ve IP paketlerinin işlenmesinin yönetilmesi ve ihtiyaç duyuldukça SA’ların kurulması için kullanılr.

SPD, ne tür hizmetlerin sunulacağını tanımlayan politikalarladan oluşturulur. Hangi adreslere standart güvenlikte IPSec uygulanacağı, hangi adreslere yönelen trafiğin IPSec uygulanmadan geçirileceği belirlenir.

Genel olarak, SPD’deki girişler doğrultusunda, IP ve taşıma katmanı başlık bilgisine eşleştirilen IP paketleri üç işlem şeklinden birine göre seçilerek işlenirler.

Her paket ya IPSec’e göre işlenir, göz ardı edilir veya IPSec güvenlik hizmetleri uygulanmadan geçişine izin verilir.

IPSec mod’ları1- Taşıma modu (Transport mode)

• Genellikle istemciler arası kullanım içindir.• Uçtan uca IPSec kominikasyonu sağlar.• IPSec üst katmanda (TCP veya UDP) oluşturulmuş payload’ı korur. • Sistemdeki bütün hostlar, IPSec’i ve güvenlik algoritmalarını destekler.• Taşıma Mod’unda orijinal IP başlığı hemen hemen bozulmaz; IP taşıma verisi ve başlığı

arasında bir güvenlik başlığı eklenir.

2- Tunnel modu (Tunel Mod’u)• Paketler Gateway’lerde korunur.• Ağlar arası bağlantıda , IPSEC sunucusu ağ geçidi olur.• Hostlar genellikle bu işe dahil değildir.• Orijinal IP adresleride gizlenerek orijinal paketin tamamı güvence altına alınır. Yeni IP

başlığı, Gateway’in IP adresini içerir. • IP paketi başka bir IP paketinin taşıma verisi olmaktadır. Bu yöntemde içerdeki IP paketi,

başlığı ile birlikte kriptolanmakta, dış başlık ise bu kriptolanmış paketin ağ üzerinde, yönlendirilmiş olduğu ağa ulaştırılmasını sağlamaktadır.

Tunnel mode ve transport mode işlevleri

IPSec Doğrulama Başlığı (Authentication Header)IPSec Doğrulama Başlığı ( AH) protokolü paket başına doğrulamayı sağlamak için

kullanılır. Bu işlem, IP payload’ı için (Üst katman protokol başlığı ve verisi) veri doğruluğu, veri

kaynağı ve mümkün oldukça IP başlığının doğrulanmasıdır. Hangi kriptolama algoritmasının kullanıldığı ve anahtarlamanın nasıl gerçekleştirildiğine

bağlı olarak AH, ayrıca hizmet kaynağının kimlik reddini engellemeyi de sağlayabilir. Son olarak AH, Doğrulama başlığı, orijinal bir IP başlığını takiben eklenerek yeni bir IP

paketi oluşturulur. Bu işlem tekrarlama (reply) saldırılarına karşı da koruma sağlar.

Doğrulama Başlığının (HA) tarifiSonraki Başlık: Sekiz bitlik bu sahada, AH’den hemen sonraki protokol başlığı türü

belirtilir.Veri Yükü Uzunluğu: Sekiz bitlik bu saha 32 bitlik gruplar halinde AH’nin uzunluğunu

belirtir.Ayrılmış Saha: Gelecekteki kullanım için ayrılmıştır ve değeri sıfıra ayarlanmıştır.Güvenlik Parametreleri İndeksi: Alıcı IP adresi ile birlikte 32 bitlik bu saha SA’yı

tanımlar. SPI, SA’nın kurulması üzerine belirlenen rasgele bir sayıdır. Sıfır değeri SA’nın henüz kurulmadığını belirtirken, 1-255 değerleri gelecekteki kullanımlar için ayrılmıştır.

Sıra Numarası : 32 bitlik bu saha, paketin dizideki konumunu belirtir. SA kurulduğunda saha değeri sıfıra ayarlanır ve paketler gönderildikçe birer birer artırılır. Eğer tekrarlama saldırısı koruması etkin ise, bu değerin döngüye girmesine izin verilmez. Tüm sıra numarası değerleri kullanıldığında, yeni bir SA ve dolayısıyla bir anahtar kullanılmalıdır.

Doğrulama Verisi: Bu saha, karşılık gelen SA’da belirtilen doğrulama algoritması ve kripto anahtarı kullanılarak üretilmiş Doğruluk Kontrolü Değerini (Integrity Check Value, ICV) içerir. Bu sahasının uzunluğu sabit değildir ve kullanılan algoritma tanımına bağlıdır. Gönderen taraf bu veriyi IP paketini göndermeden önce hesaplar, alıcı da alımı gerçekleştirdikten sonra doğrulamasını sağlar.

End-to-end ve end-to-intermediate doğrulama

Transport mod’da kimlik doğrulama

Tünel mod’da kimlik doğrulama

IPSec ESP başlığı

ESP başlığı, çalışma şekline bağlı olarak, yeni bir IP veya biraz değiştirilmiş asıl IP paket başlığını takip eder. ESP uzantısı asıl IP paketinin sonunda yer alır ve onu ESP doğrulama segmeni takip eder. Eğer doğrulama uygulanmamışsa, ESP doğrulama segmenti eklenmez. Eğer kriptolama uygulanmışsa ESP başlığının sonunda, ESP uzantısının sonuna kadar olan bölüm kriptolanır. SPI, sıra numarası , sonraki başlı ve doğrulama verisi AH protokolünde tanımlandığı gibidir.

Taşıma Yükü (Payload): Bu saha paket tarafından taşınan asıl veridir ve türü Sonraki Başlık sahasında belirtilir.

Dolgu: Dolgu sahas 0-255 arasında rasgele olarak üretilmiş veriyi içerir vebirçok amaç için kullan labilir.

Dolgu Uzunluğu: Bu saha, kendinden hemen önce gelen dolgu Byte’ sayısını belirtir. Geçerli değerler 0-255 arasındadır ve sıfır değeri dolgu Byte’ı kullanılmadığını gösterir.

Taşıma Katmanı Güvenliği

Tünel Mode güvenliği

ESP encryption and authentication: transport mode

ESP encryption and authentication: tunnel mode

Temel Kombinasyonlar• IPSec mimarisi için 4 tane örnek verilmiştir. • Resimler logical and physical bağlantıyı gösterir.• Herbir SA ya AH veya ESP olabilir.• Host-to-host SA’lar ya transport veya tunnel modundadır. Belirtilmemiş ise tunnel

modundadır.

Basic Combinations – Case 1• Tüm Güvenlik IPSEC uygulanmış son sistemler için sağlanır.• Mümkün kombinasyonlar

a) AH transport moddadır.b) ESP transport moddadır.c) Bir transport modda, AH bir ESP tarafından takip edilir. d) Tunel modda a, b, c’nin herhangibirisi AH veya ESP’nin içindedir.

Basic Combinations – Case 2• Güvenlik sadece gateway’ler arasında sağlanır. Host’lar IPSEC gerçeklemesini sağlamaz.• VPN – Virtual Private Network• Yalnızca Tek bir tünele ihtiyaç vardır.

Basic Combinations – Case 3• 1.kombinasyona end-to end güvenlik kombinasyonun eklenmiş şeklidir.• Gateway-to-gateway tunnel ESP’dir.• Bireysel host’lar end-to- end IPSeec servislerini gerçekleştirebilir.

Basic Combinations – Case 4• İnternet kullanarak ve bir güvenlik duvarının arkasından ulaşan bir uzak hosta ulaşmak için

destek sağlar.• Sadece tünel modunda uzaktan ev sahibi ve güvenlik duvarı arasındaki gereklidir.• Bir ya da iki SA uzak host ve yerel host arasında kullanılabilir.

Ödev:• Bilgisayarınızda Vmware veya Virtual box ile herbirinde 2 sanal makine olan, biribirleriyle

haberleşebilen ( ancak fiziksel makinayla haberleşemeyecek) iki farklı ağ oluşturun.• Bu ağların herhangi birindeki bir sanal makianaya e-mail server kurun. • Diğer sanal makinaları ayarlayarak bu e-mail server’la haberleştirin. Bu makinalar e-

mailleşsin.• Bu ortamda IPSec olmadan gelen giden şifre bilgilerinin ve mail içeriğini ve trafiğini

izleemek için uıygun programlar bulup kullanın.• IPSec li bir ortamda ise (IPSec programını mail-serverde çalışacak şekilde yapılandırırarak)

bu izlemelerin olamayacağını gösterin.

BÖLÜM – 7

OSI 4.katman (Transport - İletim layer) Güvenliği

İletim katmanı protokollarıOSI modelinde, uygulamalar arasındaki iletişimi sağlayan katman transport katmanıdır. Bu

katman bünyesinde, TCP ve UDP gibi veri iletişimini farklı şekillerde sağlamak üzere iki protokol barındırır.• TCP (Transmission Control Protocol); bağlantıda olan iki ucun senkonize olarak

çalışmasını sağlar, hata denetimi yapar, güvenli veri akışını sağlar.• UDP(User datagram Protocol) ise iletişim içinde olan iki nokta arasında

senkronizasyon öngörmez, güvenilir olmayan veri akışı gerçekleştirir.• TCP ve UDP protokollerini kullanarak uzaktaki makinalara doğrudan veri iletimi

yapılamaz. Fakat aynı bilgisayarda çalışan uygulamalar arasında veri iletişimi yapılır.

TCP protokolu, iki uç arasında bağlantıya dayalı güvenilir bir veri akışı sağlanırken, UDP protokolunda gönderilen veri paketlerinin hedef bilgisayara ulaşacağı garanti edilemez. Akış kontrolu sağlanmaz.

UDP genellikle, gönderilen paketlerin sadece belirli bir aktif cihazı hedef aldığı uygulamalarda kullanılır.

TCP Protokolu TCP protokolu; bilgisayarlarda çalışan uygulamalar arasında; <İstemci IP adresi, Port No>, <Sunucu IP adresi, Port no> ikililerini temel alan bağlantı

kurar. Her TCP bağlantısı bu ikililerle ifade edilir. IP protokolu bağlantısızdır. Dolayısıyla gönderilen paketlerin yerlerine ulaştığını garanti

etmez. Bu açığı kapatmak için, bağlantılı ve güvenli veri akışını sağlayan TCP protokoluna ihtiyaç duyulur.

TCP protokolunu kullanan uygulamalar veri göndermeden önce bağlantı kurmak zorundadaırlar.

TCP , bağlantıda olan bilgisayarlar arasındaki güvenli veri iletişimini sağlayan, sanal devre mantığıyla çalışan bir protokoldur.

Hata denetimi yapar Güvenli veri iletimi sağlar. Bağlantıda olan bilgisayarlar arasında akış kontrolu sağlar. Çoklama (Multiplexing) yöntemiylee birden fazla bağlantıya izin verir. Sadece bağlantı kurulduktan sonra veri iletimi sağlar. Gönderilen mesaj parçaları için, önceli, güvenlik tanımlamaları yapılabilir.

Veriler, 8 bitlik guruplar halinde (bunlar 1 bayt’lık olabileceği gibi binlerce bayt’lık guruplar şeklinde de olabilir) işaretlenerek gönderilir. Örneğin bir TCP uygulamasının 1024 oktetlik bir veri yollaması gerekiyorsa, bu bilgiler 1024 tane 1 oktetlik veya 256 tane 4 oktetlik parçalar halinde gönderilebilir.

İşaretlenerek gönderilen her parça için, alıcı uçtan cevap beklenir. TCP gönderdiği her parçayı numaralandırır. Bu no’lar kullanılarak, verilerin gönderildiği sıra

ile alıcı tarafından alınması sağlanır. Gönderilen her veriye atanan dizi numarası sayesinde hangi verinin hedefe ulaşıp ulaşmadığı

kontrol edilir. Dizi no TCP başlığı kısmındadır. Alıcı ise TCP bağlantısı ile aldığı her pakete karşılık yeni bir mesaj parçasını göndericiye

bildirir. Bu mesajın başlığındaki ACK no’su ise gönderilmesi beklenen bir sonraki parçanın sıra numarasını da barındırır.

TCP protokolü her iki yönde de veri akışına imkan sağlar (yani her iki tarafta birbirlerine veri gönderebilirler. Gönderilen veriler byte(8 bitlik) gurupları şeklinde değerlendirilir.

Bağlantı kurulması < [ IP adres1, port no 1], [ IP adres2, portno2 ]> gibi iki uç nokta arasında gerçekleşir. Seçilen port no’lar uçlardaki uygulamalar tarafından farklı şekilde seçilmiş olabilir. Biribirleriyle aynı olma zorunluğu yoktur.

Yukarıdaki parametreler sayesinde bilgisayarlar arasında birden fazla TCP bağlantısı sağlanabilir.

PORT KAVRAMI Bir Hos’tun diğer host üzerindeki değişik servisleri kullanabilmesi için veya değişik

bilgisayarların aynı bilgisayardaki bir servisi kullanabilmesi için bu servisi tanımlayan adreslemeler vardır.

TCP protokolunda her uçta 216 tane farklı TSAP adresi tanımlıdır. Bu adreslere PORT denir. Uç düğümün 32 bitlik IP adresi ve 16 bitlik port adresinin beraber kullanılmasına soket no

denir. Bir soketin blok şeması aşağıda verilmektedir.

Transport (Ulaşım )Katmanı

Port atama (Multiplexing-Çoklama) Aşağıdaki şekil’de, Birinci olayda, A host`u, C host`una bir TCP segmenti gönderir. Bu

segment bir yüksek-seviye prosesi ile haberleşmek için bir TCP bağlantısı isteğidir. Burada SMTP`ye atanmış port 25 istenmektedir. Varış port değeri 25 olarak sabitlenmiştir. Ancak, kaynak port tanımlayıcısı bölgesel bir sorundur. Bir host cihazı iç işlemleri için herhangi bir uygun numara seçebilir.

İkinci bağlantı ise, (şekilde 2 rakamı ile gösterildi) SMTP`yi kullanmak üzere C host`una yapılmıştır. Neticede, varış portu 25 aynıdır. Kaynak port tanımlayıcısı farklıdır; bu durumda 401`e set edilmiştir. SMTP erişimi için iki farklı numaranın kullanılması A host`u ve C host`undaki iki oturum arasında bir karışıklık olmasını engeller.

Şekil de, bir önceki iki segmentin nasıl bağlantı kurduğu gösterilmektedir. A ve C host`ları tipik olarak TCP bağlantıları ile ilgili bilgileri port tablolarında saklarlar.

Dikkat edilirse bu tabloların kaynak ve varış değerleri arasında ters bir ilişki vardır. A host`unun port tablosunda, kaynaklar 400 ve 401, ve iki varış da 25`dir. C host`unda ise iki

kaynak da 25, ve varışlar 400 ve 401`dir. Bu suretle, TCP modülleri ileri ve geri haberleşebilmek için kaynak ve varış port numaralarını terslerler.

Başka bir host`un C host`una aynı kaynak ve varış port değerleri ile bir bağlantı isteği göndermesi olasıdır. Varış port değerlerinin aynı olması olağandışı değildir. çünkü iyi-bilinen portlara sıklıkla ulaşım isteği vardır. Bu durumda, varış portu 25 SMTP`yi tanımlayacaktır. Kaynak port tanımlayıcıları bölgesel bir olay olduğundan Şekil’de gördüğümüz gibi B host`uda kaynak portunu 400 olarak seçmiştir.

Ek bir tanımlayıcı olmaksızın, A ve C host`ları arasındaki ve B ve C host`ları arasındaki bağlantılarda çakışma olacaktır çünkü her iki bağlantı da aynı varış ve kaynak port numaralarını kullanmaktadır. Bu gibi durumlarda, C host`u datagramların IP başlıklarındaki IP adreslerini kullanarak ayrımı kolayca başarır.  Bu durumda kaynak portları ikilenir ancak internet adresleri oturumları farklılaştırır.

TCP Protokolu Mesaj YapısıKaynak ve hedef portlar, servis noktalarının sağlanması içindir. İlk 1023 port no’su IANA

tarafında kullanılan standart port nolarıdır.Uygulamalar diğer port nolarını diledikleri gibi seçerler.

Sıra (dizi) no ve onay (Ack-Bilgi) no kısımları bağlantı güvenliği için kullanılan parça sıra no ve alıcı tarafından beklendiği bildirilen (alıcı tarafında) parça no kısımlarıdır.

Bayrak alanı ACK =1 bilgi numarasının geçerli olduğunu belirtir.SYN =1 Bu durum TCP bağlantısının kurulacağını belirtir.FIN =1 Bağlantının sonlanacağını bildirir.RST = 1 bağlantının fazla hatalı olduğu, sonlandırılacağı anlamındadır.PSH =1 TCP modülü aldığı veriyi acilen üst katmana gönderir.URG =1 alıcıya, aldığı dataları işlemeden band dışı veri gönderilmesine izin verir.

TCP bağlantıları,”üç adımda uzlaşma” Three Way handshaking yöntemiyle kurulur.

SYN=1 ve ACK=0 bağlantı açma isteğiSYN=1 ve SYN=1 bağlantı açma onayıSYN=0 ve ACK=1 Veri Paketi veya ACK paketi

Pencere (Window) Alanı: Bu alan alıcı tarafından kullanılır ve veri akışını kontrol eder. Bu alan gönderilmesi gereken

oktet miktarını belirler. Pencere alanı kullanılarak alınan paketler için tekbir bilgi paketi gönderilmesi sağlanır. Bu durum veri akışını hızlandırır.

Alıcı gelen verileri aldıktan sonra, karşı tarafa bilgi paketi ile beraber, kabul edebileceği büyüklükteki dizi numarasının da gönderir. Kabul edilebilir dizi numarası aralığına pencere denir. Pencere, alıcı tarafının onayı ile , göndericinin iletebileceği oktet sayısını belirler.

Böylece, gönderici verilerin alındığına dair bilgi messajı almadan belirtilen miktarda veri transferi yapabilir. Buda protokolun veri iletim hızını arttırır.

TCP protokolunda bağlantı açma (Three way handshake)TCP bağlantı başlatma yordamı iletişim noktaları arasında üç paket iletim gerektirdiğinden

genellikle üç-yollu el sıkışma denir. Başlatan bilgisayar (A), yeni bağlantı için bir rastgele başlangıç sıra numarası (ISN –İnital service no) seçer ve daha sonra SYN biti=1 ve ACK biti =0 olarak ayarlanmış ilk paket gönderir. Bu paket SYN denir

SYN alan B (yanıt veren), yeni bir bağlantı için bir ISN (Başlangıç dizi no- örn.550) seçer ve sonra SYN biti=1 ve ACK biti =1 olacak şekilde cevap gönderir. Bu paket SYN / ACK Onay paketidir. ACK no alanına ise A (oturumu başlatan)’ın SYN paketindeki SEQ’ no +1 yapar.

A bu SYN / ACK onay paketini aldıktan sonra; oturumun kabul edildiğini anlar. SYN bit=0 ve ACK biti= 1 yaparak, yeni segmenti B’ye gönderir. AN no’sunu 1 arttırır (551- Alıcının gönderdiği paketteki ISN No’sunu). Sıra Numarası (SN) alanına veri olmamasına rağmen, A’nın paketindeki ISN’yi bir arttırır. Bu ACK segmentinin tek amacı A ve B ’nin bu işle ilgili sayaçlarının senkronizasyonudur.Daha sonraki paketler veri taşır.

Bağlantının koparılması Gönderilen herbir veri parçasının (segmentin) ağ üzerinde kalabileceği bir belirli

yaşam süresi vardır. Buna MSL (maximum Segment Life) denir. TCP segmentleri alıcısına iletildiği zaman , datagramları gönderen bilgisayar pencere

alanını ilerletebilmek için , karşı tarafın bilgi paketi (ACK) göndermesini bekler. Bu bekleme süresine “zaman aşımı” (time –out interval)denir.

TCP bağlantısnın sonlandırılması isteği için FIN bayrağı =1 olan bir segmentler oluşturulup gönderilir.

Bağlantının koparılması için her ,ki uç noktanın da FIN bayrağını kullanması gerekir. Her iki ucun birlikte karar vererk bağlantının kesilmmesi işlemine; zarif kapanış (graceful

close) denir. Eğer taraflardan birisi diğerine haber vermeden bağlantıyı sonlandırırsa veri kaybı olabilir.

UDP (User Datagram Protocol)Gelişmiş bilgisayar ağlarında paket anahtarlamalı bilgisayar iletişiminde bir datagram

modu oluşturabilmek için UDP protokolü yazılmıştır. Bu protokol minimum protokol mekanizmasıyla bir uygulama programından diğerine mesaj göndermek için bir prosedür içerir.

UDP güvenilir olmayan bir aktarım protokolüdür. UDP protokolü ağ üzerinden paketi gönderir ve gidip gitmediğini takip etmez ve paketin yerine ulaşıp ulaşmayacağına onay verme yetkisi yoktur.

Geniş alan ağlarında (WAN) ses ve görüntü aktarımı gibi gerçek zamanlı veri aktarımlarında UDP kullanılır.

UDP bağlantı kurulum işlemlerini,akış kontrolü ve tekrar iletim işlemlerini yapmayarak veri iletim süresini en aza indirir.

UDP ve TCP aynı iletişim yolunu kullandıklarında UDP ile yapılan geçek zamanlı veri transferinin servis kalitesi TCP'nin oluşturduğu yüksek veri trafiği nedeniyle azalır.

UDP paket formatı kaynak port: Opsiyonel bir alandır. Gönderilen işlemin

portunu gösterir. Eğer gönderen host bir kaynak numarasına sahip değilse bu alan “0” ile doludur

hedef port: Hedef host içerisinde, işlemlere uygun ayrımları yapmak için kullanılır. Hedef port internet adresleri parçalarının genel durumunu içerir.

Uzunluk: UDP veri ve UDP başlığının bayt cinsinden toplam uzunluğudur.minimum 8 bayttır

Checksum: IP ve UDP başlığı ve verinin  bilgisini içeren yalancı başlıgın toplamı olan birbirinin tamamlayıcısı 16 bitten oluşur. Opsiyonel bir alandır. Hata kontrol mekanizması sağlar. Eğer hata kontrolü yapılmayacaksa bu alan “0” ile doludur.

Veri:Opsiyonel

UDP ile TCP 'nin farkları

TCP protokoluna yönelik saldırılar TCP protokolunun tasarım özelliklerinden dolayı iki önemli zayıf noktası vardır. Protokol, TCP bağlantısı kurma isteği “SYN Bombardımanı- SYN Flooding” karşısında

zayıf kalır : SYN flooding genellikle serverlara yapılan bir saldırı türüdür. Amacı çok sayıda “ Bağlantı istek Paketi” hazırlayıp sunucuya göndererek hizmetleri aksatmaktır . Protokol “TCP oturumu ele geçirme “ saldırıları karşısında zayıf kalır. “TCP oturumunu ele

geçirme”; iki bilgisayar arasında üç adımda sağlanan TCP bağlantısının birtakım yöntemlerle ele geçirilmesi veya veri akışına ; bağlantı içerisinde yer almaması gereken verileri eklemektir.

SYN FLOOD atakları SYN Flooding (SYN Bombardımanı) sunucunun başedemiyeceği kadar fazla “bağlantı kurma

isteği” paketlerinin ağ üzerine bırakılması ile gerçekleştirilir. Saldırganlar, sunucuya sadece 1. syn paketini gondererek gelen 2. pakete karsilik 3. syn

onay mesajini gondermeden araliksiz olarak 1. syn paketi (oturum acma istegi) gonderebilir.

Sunucunun kapasitesinde acilabilecek oturum sayisi rakamlarla ifade edilmis ise kisa sure icerisinde bu syn paketleri ile oturum acma istekleri tamamen rezerve hale getirilir.

Sunucu 3. syn paketini almadiğı sürece belirtilen zaman kadar bekleyerek oturum islemini rezerve eder ve belirtilen sure dolmadan bu oturum isteğini kapatamaz.

Yuzlerce hatta binlerce oturum acma istegi karsisinda sunucu kısa süre sonra yanit veremez hale gelir ve artik islevini yerine getiremez.

Bu saldırı türü, sunucunun mümkün olduğu kadar pasif çalışmasını hatta bağlantı isteklerine hiçbir şekilde cevap verermemesini amaçlar.

Bu bir DOS saldırısıdır. SYN flood saldırısı için spoof edilmiş (taklit edilmiş) IP datagramlar kullanılır. Yani bağlantı

kurma istek segmentini taşıyan paketlerin gönderici IP’sine spoof edilmiş veya yapay olarak yaratılmış adresler atanır.

Taklit edilmiş paketler için pasif bigisayar saldırıdı için, seçilen IP adresine, IP datagramların yönlendirilebilir olması fakat , bilgisayarın erişilebilir olmaması gerekir ( Sunucu onay segmentini gönderip oturumun senkronizasyonunu sağlayan üçüncü paketi bekleyecektir.)

Taklit edilmiş paketler için aktif bigisayar saldırılarında; Sunucunun gönderdiği SYN/ACK paketlerine, aktif bigisayar, RST =1 olan datagramlar gönderir. Bu paketi alan sunucu bağlantı isteğini sonlandırır. Hafızadaki yerini temizler.

TCP Oturumunu ele geçirme saldırılarıSunucu –istemci arasında açılmış olan bir oturumu ele geçirmek için birkaç adımlı işlem

yapmak gerekir.

Sunucu-İstemci arasındaki var olan TCP bağlantısının belirlenmesi: Hangi kullanıcıların ne kadar süreyle nerelerle bağlantı kurduklarının bilinmesi için bilgi toplama çalışması yapılmalıdır. Sunucu/İstemci arasındaki bağlantı tespiti için; “NBTSTAT, Fingerprint, ve uzak sistemler için rpcinfo bu komutlardan bazılarıdır. komutlardır.

Sunucunun bağlantı sırasında datagramları için atadığı dizi numarasının tepit edilmeye çalışılması : TCP protokolu diğer bilgisayarlardan gelen doğru dizi numarasına sahip bütün paketleri “güvenilir” ve bağlantısı yapılmış bilgisayardan geliyor kabul eder. ISN no’sunun tahmin edilebilir olması, bağlantı içerisinde yer alan bilgisayarlara ait taklit edilen paketlerin oluşturulmasına sebep olabilir. Bazı işletim sistemlerinde ISN kodlarını yaratan algoritmalar bilindiğinden bu no’ların tespit edilmesi kolaylaşabilir.

“SYN Flooding” ile sunucunun susturulması ve oturumun ele geçirilmesi.

BÖLÜM – 8

Transport katmanında güvenlik Bilgisayar ağlarının en fazla kullanım sahası İnternet’tir. WEB mekanizaması iki-yollu bir

mekanizma olduğundan serverler herzaman için saldırılabilir hedeflerdir.

Çoğu organizasyonlar Web’i mağazalarının vitrini olarak kullanırlar. Dolayısıyla web siteleri atak yediği takdirde önemli parasal kayıpları sözkonusu olabilir.

Temeli oluşturan yazılım karmaşıktır, ve çok sayıda potansiyel güvenlik açıklarını gizlemek için kullanılabilirler.

Bir web serverin yıkılması, onun bulunduğu intranet’e girmenin en önemli basamağıdır.

Internet’in önemi artıkça yapısından kaynaklanan. Güvenlik problemleri de önem kazanmaktadır. Korunması gereken kişisel bilgilerin Internet üzerinden aktarılacağı durumlarda, bankacılık işlemleri ve para transferleri v.b, yeterli güvenliğin sağlanması elzemdir

WEB iletişimi için en önemli ve en alt seviye koruma taşıma katmanı koruma seviyesidir.

“Üç-katmanlı sistem” Web Güvenlik tehditleri – Bu tehditlerin IP ve TCP protokol açıklıklarından

kaynaklandığını daha önceden bahsetmiştik. NELERDİ ?????? Web Trafiği güvenlik yaklaşımı: Varsayalım ki protokol açıklıklarını giderdiniz. Fakat veri

güvenliği ( Veri bütünlüğün, gizliliğinin bozulması, Uçların Kimlik doğrulaması v.b) için tedbir alınmamış ise durum ne olacaktır? FELAKET

TCP/IP güvenlik süitinde, güvenlik birimlerinin lokasyonu.

Secure Socket Layer (SSL) ve Transport Layer Security (TLS) Verinin güvenliksiz bir ortam olan internette bir yerden bir yere taşınması sorununa bir

çözüm olması için SSL ve TLS protokolları ortaya atılmıştır. SSL/TLS, internet üzerinde iki nokta arasında iletilen verinin bütünlüğü, gizliliği ve iki uç

noktanın doğrulanması işlemlerini için bir çözüm yöntemidir.Bu iki protokolda TCP katmanı ve uygulama katmanı arasında çalışır.SSL 2.0 (Secure Socket Layer): 1994’de Netscape tarafından geliştirilmiştir. Daha sonra

IETF tarafından bir güvenlik standardı olarak kabul edilmiş ve Netscape’ten devralınmıştır. TLS (Transport Layer Socket) : İnternete özel olmayan geliştirilmiş bir standarttır (RFC

2246, 1999).TLS 1.0 : SSL 3.0’ın upgarde ‘i olarak bilinir. Bazen TLS’ye SSL3.1 denebilir.TLS 1.2, bazen SSL 3.3 versiyonu olarak ta isimlendirilir.

SSL (Secure Socket Layer)SSL, güvenli olmayan bir iletişim ortamında verinin göndericiden alıcıya güvenli bir

şekilde iletimini sağlamak amacı ile hem sayısal imza (digital signature) hem herkese açık bir anahtar (Public key) şifrelemesini hem de özel anahtar (privite key) şifrelemesini aynı anda kullanabilen bir yapıda tasarlanmıştır.

Bu şifrelemeler ;onay sağlayan birimler (Sertifika otoriteleri) yardımıyla çalışır. Bu birimler, ulaşılan ilgili sunucunun, ait olduğu iddia edilen şahıs veya şirketlere ait olduğuna dair onay verir.

En yaygın kullanım şekli, web ortamında, Sunucu ile tarayıcı (Internet Explorer gibi..) arasındaki iletişimin şifrelenmesi şeklindedir. Veriyi sunan Web Server, Sertifika otoritesi tarafından imzalanmış özel ve herkese açık bir anahtara sahiptir. Bu anahtar, alıcı tarafından sunucudan güvenli bir şekilde veri alınmasını sağlar.

SSL, e-posta göndermek, anlık ileti gönderip almak, İnternet üzerinde alışveriş yapmak gibi uygulamalarda güvenliği sağlamak için kullanılır

SSL fonksiyonları; Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar. Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder. İletilen dokümanların tarih ve zamanını doğrular.

Doküman arşivi oluşturulmasını kolaylaştırır. SSL teknolojisi, veri iletimi esnasında Hashing metodunu kullanır. Hashing metodolojisi ile

sunucu, veriden tek bir hash değeri yollar. İstemci bu veri paketini aldığında, aynı hash fonksiyonunu kullanarak, gelen bu paketten bir

hash değeri üretir. İstemci ile sunucu, aralarında bağlantı sağlarken, aynı hash fonksiyonunu kullanmak için

anlaşırlar. İstemcinin üretmiş olduğu bu hash değeri, sunucunun yolladığı hash değeri ile aynı olmak

zorundadır. Eğer aynı değilse veri değişmiştir.

Sertifikalar Sayısal imzaları kullanarak bir verinin gerçekten beklenen kişi tarafından gönderildiği ve

iletim esnasında değişikliğe uğramadığını anlayabiliriz. Peki, gönderilen verinin gerçekten beklediğimiz insana ulaştığından nasıl emin olabiliriz?

Yani açık anahtarını kullanarak verileri şifrelediğimiz kişi gerçekte düşündüğümüz kişi midir? Nasıl emin olabiliriz.

Burada sertifika tanımı ortaya çıkıyor. Sertifika, basitce kişinin açık anahtarının yetkili bir sertifika otoritesi tarafından imzalanmış halidir diyebiliriz.

Sertifikasyon Kurumu Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurumdur. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır.

Sertfikanın EdinilmesiSertifika otoritesi, bahsi geçen sertifikayı sunucu firmaya verirken, öncesinde bir kimlik

denetiminde bulunur. Güvenilir bir firma olduğuna kanaat getirdiğinde, sunucu firmaya sertifika verir. Sertifika

Otoritesinin vermiş olduğu bu sertifika, sunucu firmanın güvenilir ve onaylanmış bir firma olduğunu belgeler.

Sertifika otoriteleri, TurkTrust v.b gibi firmalardır. SSL teknolojisi, 40 bit, 56 bit ve 128 bit veriyi destekler. Ama daha güvenli olması için

tercih edilen 128 bitlik veri alışverişidir.

Sertfikanın Onaylanması Sunucuya İstemciden bir SSL isteği geldiğinde, İstemcinin web browserı, sunucu ile irtibata

geçer. Ve sunucu, İstemciye Sertifika Otoritesi tarafından kendisine verilmiş olan sertifikayı yollar.

Sonuçta, sertifika, bir dijital imzadan ibarettir. İstemci, sunucunun yollamış olduğu bu sertifikayı aldığında, bu sertifikadan sunucunun firma

kimlik bilgilerini ve herkese açık anahtar bilgisini okuyabilir. İstemci, sertifika otoritesinin herkese açık anahtarı ile sayısal imzayı çözer ve otoritenin

ürettiği hash değerini bulur. Daha sonra sertifika içinden kendisi de bir hash değeri üretir. Bu iki hash değerinin aynı

olması gerekmektedir. Eğer aynı ise, web sunucusu, Sertifika Otoritesi tarafından onaylanmıştır ve İstemcinin

gerçekten iletişime geçmek istediği bir firma demektir. Böylelikle sunucu ve İstemci arasında bir SSL “güvenli” bağlantı kurulumu gerçeklenmiş

olur ve bu bağlantı esnasında giden gelen paketler şifrelendiği için üçüncü kişiler, sunucu ile İstemci arasında gidip gelen veri paketlerini okuyamaz.

Eğer üçüncü şahıslar, veri okumaya başlayabilirse, bundan anında hem sunucunun hem de İstemcinin haberi olur ve bağlantı hemen kesilir.

SSL ile, hem sunucu İstemciye kendini tanıtır hem de İstemci sunucuya kendini tanıtır. Böylelikle iki taraflı bir güven ilişkisi kurulmuştur.

İstemci ile sunucu arasında iki taraflı bir el sıkışması yapılır (HandShake). Bu el sıkışma anlaşması, İstemci sunucuya ilk ulaştığı anda yapılır.

El Sıkışma Aşamaları 1. İstemci, sunucuya ilk ulaştığında el sıkışma başlar ve her iki taraf, güvenlik amacı ile

kullanılacak olan şifreleme fonksiyonu üzerinde anlaşır.2. İstemci, sunucunun kimliğini denetler.3. İstemci, sunucudan almış olduğu dijital imzadan bir anahtar oluşturur ve bunu sunucuya

yollar. 4. Sunucu bu anahtarı alıp, kontrol eder. 5. Eğer istenirse, sunucu da(istemciden) tarayıcıdan bir kimlik denetimi isteyebilir.

El sıkışma başladığında, İstemci sunucudan kimlik bilgilerini ister. Bunun üzerine sunucu, İstemciye sertifikasını yollar.

İstemci aldığı bu bilgiler eşliğinde simetrik bir anahtar oluşturur. Daha sonra sunucunun herkese açık anahtarı ile, bu bulduğu anahtarı şifreler. Ve bu değeri sunucuya yollar.

Kendi özel anahtarını kullanarak, sunucu, İstemcinin yolladığı bu şifrelenmiş anahtarı çözer.

SSL’de Kullanılan Şifreleme Sistemleri (Ciper suiti)a. Hash Tekniği:Veri trafiği esnasında, verinin değişmediğini ve bütünlüğünün korunduğunu

anlamak için kullanılan Hashing tekniğinde anlaşma.b. Anahtar Değişim Tekniği(RSA, Diffie-Helmann) ile Şifreleme: İstemci ve sunucunun, el

sıkışma sonrasında , veriyi şifrelemek amacı ile kullandıkları simetrik anahtarı birbirine nasıl ulaştıracağını belirlemek için.

c. Simetrik Veri Şifreleme: Veri şifrelenmesinde kullanılacak olan RC2, RC4 gibi bir veri şifreleme tekniğidir.

Client (İstemci- Web service requestor), Server’a ( Servis sağlayıcıya- Web service provider) ClientHello mesaj’ı ile bağlantı kurma isteğinde bulunur.

Bu mesajda, client’in kullandığı SSL sürümü no’su, desteklenen şifreleme algoritmaları (cipher paketleri) de

dahil olmak üzere, hizmet isteyicinin desteklediği özellikler ve SSL oturum ID’si ve rastgele bir numara (Şifrelemede kullanılan) vardır.

Servis sağlayıcı buna bir ServerHello mesaj ile yanıt verir. Servis sağlayıcı, SSL için seçtiği şifre paketini (Şifreleme algoritma tipini) ve bu bağlantıyı tanımlayan bir oturum kimliğini bu mesaj ile client’a bildirir.

CLİENT ve SERVER’in HELLO Mesaj yapısı

3- Sunucu istemciye kendi sertifikasını (varsa) gönderir. Bu sertifika, bir sertifika yetkilisi (Certificated authuarity CA) tarafından imzalanmış X.509 sertifikası olmalıdır. ( Öncelikle

Web sunucu, bir Sertifika Otoritesinin kendisine tahsis etmiş olduğu sertifikayı yüklemiş olması gerekmektedir. Böylelikle, Sertifika Otoritesi, sunucuyu onayladığını, istemcilere garanti etmiş olur). Bu sertifika, server’ın(Web provider) ortak anahtarını (public key- açık anahtar) içerir.

4- Sunucu serverHello-Done mesajı ile oturum oluşturma için kendi üzerine düşeni yapar.

6- İstemci, gelecekteki tüm mesajları göndermek için aktif oturum seçenekleri için Changecipherspec mesajı gönderir.

7-İstemci , kendi adına, el sıkışma (handshake) oturumun sonunu gösteren şifreli bir mesajı (MD5 veya SHA hasing v.b) sunucuya gönderir. Bu mesaj Finished mesajıdır. Mesaj aynı zamanda yeni aktiif edilmiş seçeneklerin kontrol edilmesini de sağlar. İstemci için El sıkışma aşaması biter.

6. Ve 7. adımlar server’dada aynı şekilde tekrarlanır (8.9. adım). Gerçek SSL oturumu başlar.

Istemci ve sunucu oturum anahtarını karşılıklı olarak kullanarak değiş-tokuş verilerinin bütünlüğünü doğrulamak, şifrelemek ve şifresini çözmek için kullanır.

Secure channel established

3. ServerKeyExchangeServer kendi public key’ini gönderir. Bu key certifika sağlayıcısından elde edilen certifakanın içindedir.

4.ServerHelloDoneServer tarafinda ilk uzlaşmanın tamamladığı bilgisidir.5.ClientKeyExchangeİstemci, ürettiği özel anahtarı ( kendisine gelen public key’e göre) server’ın public key’i ile

şifreleyerek sunucuya gönderir. Bu durumda sunucu, istemcinin bir özel anahtarı olduuğunu teyit edecek ve artık biribirleriyle şifreli görüşmelerde bu anahtarlar kullanılacaktır.

6.Change Cipher SpecÖn uzlaşmaların tamamlandığını istemci sunucu bildirir ve "Ben kararlaştırılan bir şifre

paketini kullanmaya başlamak istiyorum.“ bilgisini gönderir.6 ChangeCipherSpec"Güvenli iletişim için bu süreç çok kritiktir. Her iki tarafında biribirini doğrulması çok

önemlidir. SSL protokolunun en önemli süreçlerinden birisidir."SSL özellikleri bazı bilgilerin (özellikle, temel anahtar bilgilerinin) iletişimin her yönü için

farklı olacağını tanımlar.Diğer bir deyişle, bir dizi anahtarların, istemcinin sunucuya gönderdiği verileri garanti

altına alacak ve farklı bir anahtar seti ise sunucunun istemciye gönderdiği verileri güvenlik altına alacağı olacaktır. “

“SSL , belirli bir sistemin , istemci veya sunucu olup olmadığını,, write state ve read state ile tanımlar. Write state sistemin gönderdiği veriler için güvenlik bilgisini tanımlar. read state sistemin aldığı verile için güvenlik bilgisini tanımlar.

Pending (pnd) : karara bağlanmamış olan, pek yakında "message authentication codes" (MAC).

7 Finished"ChangeCipherSpec mesajları” gönderdikten hemen sonra, her bir sistem bir Finished

mesaj gönderir. Finished mesajları her iki sistemin uzlaşmada başarılı olduğunu ve bu güvenlik tehlikesi olmadığını doğrulamak içindir. Finished mesajı iki yönü bu güvenliğe katkıda bulunur.

“Finished mesajının içeriği ile SSL uyuşma sürecindeki güvenliği korumak için hizmet vermektedir. Her Finished mesajı, sadece bitmiş uzlaşma ile ilgili önemli bilgiler içerir (act. Bilgileri) . Bu iletişim, gerçek mesajlara hayali mesajları eklemek ya da çıkarmak için kullanılan saldırganlara karşı da önemli bir korumadır.

SSL ve TLS kısaca güvenli bir oturum açarak iki nokta arasında güvenli bir veri transferi yapar Bir oturum kurulur

- Kullanılacak algoritmalarda mutabık kalınan.- Gizliliğin paylaşıldığı.- Kimlik doğrulamasının yapıldığı.

Veri transferi yapılıro Haberleşme gizliliği olan.

Simetrik şifreleme uygulanarako Veri bütünlüğü olan.

Anahtarlanmış mesaj doğrulama kodu (HMAC ) ile.

SSL MimarisiSSL, TCP üzerinde uçtan uca (end-to end) güvenli bir bağlantı hizmeti sunulması için

tasarlanmıştır ve katmanlı bir yapıya sahiptir. SSL, TCP/443. port üzerinde çalışır. Bir SSL bağlantısı yapılacağı zaman genellikle tarayıcı program bir uyarıda bulunur,

bağlantı gerçekleştirildiğinde, örneğin IE’de bu (Sürüm 5.x) sağ köşede kapalı bir asma kilit sembolü ile belirtilir. Asma kilit sembolü üzerine kliklenerek detaylı bilgi alınabilir.

SSL bağlantısı kurulurken, kullanıcı ve sunucu arasında bir dizi uzlaşı işlemi gerçekleştirilir; uzlaşı başarısız olursa SSL oturumu kurulmaz, hiçbir bağlantı yapılmaz ve veri iletimi gerçekleşmez.

1. Bir oturumun kurulması Algoritmalar üzerinde anlaşmak Paylaşılmış güvenlik Kimlik doğrulamasını başarmak

2. Uygulama verisini transfer etmek Gizlilik ve bütünlüğü sağlayarak

Bağlantı ve oturum kavramlarıBağlantı (Connection) : Sunucu/Kullanıcı arasında uygun türde bir hizmeti sağlayan

mantıksal bir bağlantıdır (Bir web sayfasının indirilmesi gibi). SSL için bunlar uçtan uca ilişkilerdir. Bağlantılar geçicidir. Her bağlantı bir oturuma ilişkilendirilmiştir.

• Transport hizmetlerini kullanır.• TLS kriptolama ve bütünlüğü TLS sağlar.• TLS Record Protocol’unu kullanır.

Oturum (Session): Sunucu ve kullanıcı arasında bir ilişkilendirmedir. Oturumlar Uzlaşı Protokolü ile kurulurlar. Oturumlar, birden fazla bağlantı arasında kullanılabilen kriptografik güvenlik parametrelerini tanımlarlar. Oturumlar her bir yeni bağlantı için yeni güvenlik parametre uzlaşı işlemlerinin tekrarlanmasını engellerler.

- İstemci ile sunucu arasındaki ilişkiyi düzenler.Ortak kullanılan Doğrulama, güvenlik parametrelerini değiştirilmesi ile.- Birden fazla bağlantıyı (coneection) içerebilr.

Ağır çalışma şartlarında: Bir sefer başlatıldıktan sonra.- TLS Handshake Protocol’unu kullanır.- Bir oturum aşağıdaki parametreler ile ile tanımlanır

Session id, peer certificate, compression method, cipher spec, server/client write key, initialization vectors, sequence numbers…

Uygulama verisi iletildikten sonra TCP oturumu kapat›l r. Ancak TCP ve SSL arasında doğrudan bir bağlantı olmadığından SSL durumu sürdürülebilir. Sunucu ve kullanıcı arasında yapılacak takip eden iletimler üzerinden uzlaşılmış parametreler ile gerçekleştirilebilir. Http için bu durum kullanıcının aynı sunucundan bir bağlantıya klikleyerek başka bir dökümanı talep etmesiyle yaşanır. Böyle bir durumda sunucu ve kullanıcı güvenlik parametreleri için başka bir uzlaşı gerçekleştirmeyecek ve daha önceki parametreler kullanılarak iletim gerçekleştirilecektir. SSL tanımı bu bilgilerin 24 saatten daha kısa bir süre tutulmasını önerir. Eğer bu zaman zarfında yeni bağlantı yapılmaz ise tutulmakta olan bilgiler silinir.

Mimari SSL mimarisi, üç adet üst seviye protokolundan oluşmaktadır. Uzlaşı (Handshake) Protokolü,

CipherSpec Değişim (CipherSpec Exchange) Protokolü ve Uyarı- İkaz (Alert) Protokolü. Bir oturumun kurulması için Handshake Protokol’u kullanılır. (Kimlik doğrulama ve anahtar

değişimi işlemi ile) Bekleyen şifreleme sırasını etkinleştirmek için Cahange Cipher Spec protokolu kullanılır. Record Protokolu TLS ve uygulama verilerini transfer etmek içindir. Şifrelemede veya diğer verilerde hata varsa bildirimi için Alert protokolu kullanılır.

SSL /TLS’nin desteklediği uygulamalar

SSL Kayıt ProtokolüSSL Kayıt Protokolü SSL bağlantıları için iki hizmet sunar.-Uygulama katmanı verisinin kriptolanması ile güvenlik (Gizlilik), bir mesaj

doğrulama kodu (Message Authentication Code, MAC) kullanılarak doğruluk sağlanır. -Kayıt Protokolü, SSL’in bazı üst protokolleri tarafından kullanılabilen temel bir

protokoldür. Bunlardan biri, kriptolama ve doğrulama anahtarlarının alış verişi için kullanılan Uzlaşı (Handshake) Protokolüdür. Diğeri ise;

Yandaki şekilde SSL Kayıt Protokolünün nasıl çalıştığı gösterilmektedir. Protokol,

iletilecek uygulama mesajını alıp, yönetilebilir parçalara ayırdıktan sonra, seçime bağlı olarak sıkıştırır, bir MAC uygular, bir başlık ekler ve elde edilen paketi bir TCP yığını olarak gönderir.

Alınan veri, çözülür, doğrulanır, sıkıştırılmışsa açılır ve tarayıcı gibi uygulama programına ulaştırılır.

CipherSpec Değişimi Protokolü Bu protokol değeri 1 olan tek Byte’lık bir mesajdan oluşur. Bu mesajın tek amacı bekleyen

durumun (Pending) o anki durum üzerine kopyalanmasını sağlamaktır. Bu işaret bir koordinasyon işareti olarak kullanılır. Kullanıcı tarafından sunucuya ve sunucu

tarafından kullanıcıya gönderilmelidir. Karşılıklı olarak tarafların bu işareti almasından sonra takip eden tüm mesajlar üzerinde anlaşılan şifreleme ve anahtarlar (CipherSuite) ile alınıp verilirler.

Alarm (Alert) Protokolü Alarm Protokolü SSL ile ilgili alarmların uçlara taşınması için kullanılır. Bu protokolde her mesaj iki Byte’dan oluşur. İlk Byte, Uyarı - 1 (Warning) veya Ölümcül - 2

(Fatal) değerleri ile mesajın önceliğini belirtir. Eğer değer 2 ise, SSL bağlantıyı hemen keser. Aynı oturumda kurulmuş diğer bağlantılar devam edebilir ancak yenileri kurulmayabilir. İkinci Byte ise datayı belirten bir kod içerir.

Uzlaşı (Handshake) Protokolü SSL’in en karmaşık bölümü Uzlaşı Protokolüdür. Bu protokol, kullanıcı ve sunucunun

birbirlerini doğrulamalarını, SSL kaydı içinde gönderilecek verinin korunması için kullanılacak kriptolama, MAC algoritması ile kriptografik anahtarların belirlenmesini sağlar.

Uzlaşı Protokolü, herhangi bir uygulama veri iletilemeden önce kullanılır. Bu protokol sunucu ve kullanıcı arasında alıp verilen bir dizi mesajdan oluşur.

Bu protokol yapısı daha önce açık bir şekilde açıklanmıştır.

SSL Mesajlarının

örnekTarayıcı SSL kullanan site adresini girer. Örneğin

1. https://www.firma.com2. Tarayıcı ve sunucu aşağıdaki adımları içeren SSL el sıkışmayı gerçekler.

Tarayıcı ve sunucu hangi şifreleme setini kullanacakları üzerinde anlaşırlar. Sunucu sertifkasını tarayıcıya yollar. Tarayıcı sertifika üzerinden sunucunun kimlik

denetimini yapar, Sertifikada aynı zamanda sunucunun puplic key’ide vardır. Tarayıcı simetrik şifreleme anahtarını yaratır ve sunucuya yollar. Bu anahtar tarafların

birbirlerine gönderdikleri verileri şifrelemeleri için kullanılır. Client/server arasındaki bu bir seferlik anahtar değişimi için RSA veya Diffi-

Hellman algoritmaları kullanılır.

Yaratılan bu tek anahtarla şifreleme ve deşifreleme işlemi SİMETRİK ŞİFRELEME’dir. Simetrik Şifreleme basit olduğundan hızlı çalışır. Güvensiz bir ortamda seyahat eden verileri şifrelemek için kullanılır. Şekilde T A’ ya veri göndermek istiyor. A, T’ye Public anahtarını gönderiyor. T kendi özel anahtarı (Private Key) ile A’ nin kendisine gönderdiği Public anahtarı karıştırıp bir ortak anahtar elde ediyor (Shared Secret). T’ bu anahtarı, A’nın public key’i ile şifreleyip A’ya gönderir. A bunu

kendi privite anaharı ile açıp gönderilen bu anahtara sahip olur. Artık A ile T arasındaki şifreleşme bu ortak anahtarla olacaktır.

3. Sunucu , tarayıcıya istediği veriyi aşağıdaki aşamalardan geçerek yollar. Veri için hash değeri üretir Simetrik anahtar ile veriyi ve hash değerini şifreler Veriyi ve hash değerini tarayıcıya yollar.

4. Tarayıcı veriyi ve hash değerini alır ve aşağıdakileri yapar. Şifrelenmiş veriyi ve hash değerini çözer. Veri için hash değeri yaratır. İki hash değerini karşılaştırır ve aynı ise gelen veriyi gösterir.

SSL’ Ne Kadar Güvenlidir?1. Şifrenin Kırılması

SSL çeşitli şifreleme tekniklerini destekler. RSA genel anahtar şifrelemesiyle oturum anahtarının değiş tokuşu ve istemci ile sunucunun doğrulanmaları sağlanır.

Oturumun şifrelenmesi için kullanılan bir çok şifreleme algoritması vardır. Eğer bu kullanılan şifreleme yöntemlerine karşı başarılı bir saldırı mekanizması gerçekleştirilebilirse o zaman SSL in güvenliğinden bahsedilemez.

Böyle bir saldırı mekanizması ise sadece oturumunun tamamıyla kopyalanması ve bu kopya üzerinde oturum şifrelerinin çözülmesi için uğraşmakla gerçeklenebilir. Fakat SSL böyle bir saldırı sonucunda elde edilecek faydanın bu saldırı için harcanacak emeğe, zamana ve paraya değmemesi için çalışmaktadır.

2. Replay Replay saldırı şekli esasında çok basit bir yapıya sahiptir. İstemci ve sunucu arasında

gerçekleşen haberleşme oturumunun kopyalanarak daha sonra sunucuya bağlanıp oturum boyunca istemci tarafından gönderilen mesajların tekrar gönderilmesi esasına dayanır. SSL bu saldırı şeklini kullandığı bağlantı id’si ile karşı koyar. Bu bağlantı id’si kötü niyetli kişi tarafından bilinemediği için sunucuya gerekli cevapları veremez. Eğer geniş imkanlara sahip biri bu istemci ile sunucu arasında geçen birçok oturumu kopyalasa ve Server-Hello mesajında gönderilen bağlantı id’sini tahmin etmeye kalksa şansı gene çok azdır. Çünkü SSL bağlantı id’leri 128 bit büyüklüğündedir ve bu kötü niyetli kimse %50 şansının olabilmesi için en az 264 oturum kopyalaması gerekmektedir.

3. Man in the Middle The Man in the Middle saldırısı oturum boyunca üç kişinin (istemci, sunucu ve kötü niyetli

kişi) yer alması ile gerçekleşebilir. Kötü niyetli kimse bu oturumda istemci ve sunucunun arasında bulunur ve istemci ile sunucu arasındaki mesaj trafiğini karıştırır. Kendini istemciye gerçek sunucuymuş gibi gösterir. Fakat bu saldırı şeklinin de SSL bağlantısında gerçekleşmesi imkansızdır. Çünkü SSL bağlantılarında sunucunun sahip olduğu bir sertifikası vardır. SSL Handshake protokolü esnasında bu sertifika istemci tarafından doğrulanır ve oturum daha sonra kurulur.

ÖDEV VMware Workstation yazılımı GNS3/ Dynapsis Cısco aktif cihaz simülasyon yazılımı Wireshark (eski adıyla Ethereal) Geçerli bir CISCO IOS lisansı bulunacak (1700 serisi için)

yazılımları indirilecek.Aşağıdaki ağ yapıları sanal ortamda oluşturulup, ilgili aktif cihazlar en basit protokollara

göre konfigüre edilecek ve subnetler arasında paket alışverişleri sağlanacak. Bir hafta sonra sunulacak.

Bitmedi: Bu işlemlerden sonra esas işiniz başlayacak. Haftaya……

Tek numaralar Çift Numaralar

Simetrik ve asimetrik olmak üzere iki çesittir. Simetrik anahtarlı sifreleme algoritmalarında bir veriyi sifrelemek ve sifreli veriden orjinal veriyi elde etmek için aynı anahtar kullanılır. Burada bir anahtar degisim problemi vardır, ortak anahtar nasıl iki tarafa ulastırılacak?

Asimetrik (Açık anahtarlı sifreleme) AlgoritmalarBu tip algoritmalarda veriyi sifrelemek ve çözmek için iki anahtar kullanılır. Veriyi

sifrelemek için bir anahtar(public key), çözmek için diger anahtar(private) kullanılır. Benim public anahtarım kullanılarak sifrelenmis bir veri ancak benim private anahtarım kullanılarak çözülebilir. Bu yüzden asimetrik algoritmalarda açık anahtar(public key) dagıtılır, gizli anahtar(private key) saklanır. Bir de bunların haricinde mesaj özeti(message digest) olarak adlandırılan ve veri bütünlügünü koruma amaçlı kullanılan tek yönlü çalısan hash algoritmaları vardır, md5 , sha gibi.

BÖLÜM – 9

Uygulama katmanı güvenliği

Application Layer (Uygulama Katmanı):o PGP (Pretty Good Privacy )o S/MIME (Secure/Multipurpose Internet Mail Extension)o S-HTTP (Secure-HTTP)o HTTPS (Hypertext Transfer Protocol over Secure Socket Layer )o SET (Secure Electronic Transactions )o KERBEROS

Transport Layer (Transport Katmanı):o SSLo TLS

Network Layer (Netwok Katmanı): o IPSeco VPN

Data Link Layer (Veri Bağı Katmanı):o PPPo RADIUSo TACACS+

Pretty Good Privacy (PGP) E-iletişim biçimleri için şifreleme ; güvenlik, gizlilik için hayati önem taşımaktadır. PGP ise

e-mail gizliğini sağlayan en popüler protokoldur. Pretty Good Privacy (PGP), Phil Zimmermann tarafından geliştirilmiştir. public-key

kriptosistem temellidir. Kullanımı ücretsiz bir e-posta güvenlik yazılımıdır. PGP kullanıcıları arasında güven çemberi oluşturarak çalışır. İki kişi ile başlayan güvenlik,

her kullanıcı tarafından tutulan public key / isim çiftleri ile önemli bir halka oluştururlar. PGP ‘nin içerdiği güven mekanizmaları karmaşıkdır. Güvenli otorite kavramına karsı çıkan

bir yaklaşımın ürünü olduğu için, isteyen herkes açık anahtarları onaylayan bir otorite olabilir. Ancak kullanıcılar güvendiği kişileri kendileri seçerler.

Kullanıcıların açık anahtarları PGP açık anahtar sunucularında tutulur ve istem bazında bu sunucular tarafından dagıtılır. Bu sunucular aslında birer veritabanı sunucularıdır ve hiçbir sekilde güvenlik garantisi vermezler. Yani bir açık anahtarın bu sunucularda bulunması, söz konusu açık anahtarın bahsi geçen kisiye ait oldugunun kanıtı degildir. Ancak çogu kullanıcı

bu gerçegin farkında olmadan sunucudan indirdigi açık anahtarları dogruymus gibi kullanmaktadır.

PGP gönderici taraf

Pretty Good Privacy (PGP), bir e-posta gönderilirken 4 açıdan güvenlik sağlar (Kimlik Doğrulama +inkar edememe+ Bütünlük + Gizlilik).

PGP, dijital imzayı (karma ve açık anahtarlı şifreleme bir kombinasyonu) , mail bütünlüğünü, kimlik doğrulamayı ve tanıdık olmayanları belirlemek için kullanır.

Gizlilik sağlamak için gizli bir anahtar ve açık-anahtar şifreleme kombinasyonunu kullanır.

PGP alıcı taraf

Secure/Multipurpose Internet Mail Extension (S/MIME) S/MIME Internet'te güvenli mail yollamak için kullanilan bir protokoldür. S/MIME bir e-mail

içeriğinin nasıl düzenlenmesi gerektiğini belirleyen standart bir formattır. S/MIME bildiğimiz mail formatına sayısal imza ve şifreleme özelliklerini eklemiştir. Sertifikanızı kullanarak güvenli e-mail alıp yollayabilmeniz için kullandığınız e-mail yazılımının S/MIME protokolünü desteklemesi gerekir.

S/MIME, açık anahtarların sahiplerinin dogrulugunu garantileme mekanizması olarak güvenli sertifika otoritelerini (Certification Authority– CA) kullanmaktadır.

SSH, S/HTTP, HTTPS, KERBEROS

SSH--------Gündüz tek numaraS/http------Gündüz çift numaraHTTPS-------Gece teknoKERBEROS----------Gece çiftGeçen haftaki ödevin 2.kısmı

BÖLÜM – 10

Bilgisayar Sistemleri Güvenliği

SİSTEM GÜVENLİĞİ Günümüzde , değişik boyutlardaki bilgisayar sistemleri birçok saldırıya uğramaktadır. Maruz

kalınan saldırıların kaynağı ve şekli incelendiğinde, saldırıların basitleştiği, başarılı saldırılar için kullanılan bilginin yaygınlığının arttığı gözlemlenmektedir.

Birçok saldırı için ağ mimarisinde alınacak tedbirlerle başarılı saldırı sayısı azaltılabilmektedir. Bu sebeple birçok noktada ağın yapılandırmasında güvenlik, performansın da önüne geçebilmektedir.

Özellikle dış dünyaya verilen hizmetlerde, güvenli ağ tasarımının büyük önemi vardır. Çünkü bu tür bilgi paylaşımında bulunan bir ağın saldırganlar tarafından ele geçirilmesi, devre dışı bırakılması, ağdan bilgi çalınması veya ağın kaynaklarının kötüye kullanılması kurum ve/veya kuruluşlara para, itibar, iş ve zaman kaybı olarak yansıyacaktır.

Çok Sayıda Güvenlik Cihazı İçeren Bir Mimari Model

Bir bilgisayar ağ sisteminin güvenliğinden maksat, ağdaki aktif cihazların ve ağın bütnünün saldırılardan korunması anlamındadır.Bu güvenliğin sağlanabilmesi için

Güvenlik Duvarı(Firewall):Ag güvenlik duvarı , kurumun agı ile dıs aglar arasında bir geçit olarak görev yapan ve nternet baglantısında kurumun karsılasabilecegi sorunları çözmek üzere tasarlanan çözümlerdir.

Özel Sanal Aglar (Virtual Private Network-VPN): Ortak kullanıma açık veri agları üzerinden kurum agına baglantıların daha güvenilir olması için VPN kullanılmaktadır. letilen bilgilerin sifrelenerek gönderilmesi, Genel/Özel (Public/Private) anahtar kullanımı ile saglanır. VPN kullanan birimler arttıkça daha sıkı politika tanımları gerekli hale gelmektedir.

Nüfuz Tespit Sistemleri (Intrusion Detection Systems-IDS): Süpheli olayları, nüfuz ve saldırıları tespit etmeyi hedefleyen bir sistemdir. IDS, süpheli durumlarda e-posta veya çagrı cihazı gibi yöntemlerle sistem yöneticisini uyarabilmektedir.

Bu servislerin hepsinin konfigürasyonu ve kullanacakları kuralların belirlenmesi güvenlik politikasına uygun olarak yapılmalıdır. Proxy: Proxy bir baglantı uygulamasında araya giren ve baglantıyı istemci (client) için

kendisi gerçeklestiren bir hizmettir. Proxy’nin kullanımı, uygulama temelli (application-level) güvenlik duvarı olarak da adlandırılabilir. Bu tür bir uygulama aynı zamanda kimlerin bu hizmetleri kullanacagını belirlemek ve performans amaçlı olarak bant genisliginin daha etkin kullanılmasını saglamak için de kullanılır.

Anti-Virus Çözümleri: HTTP, FTP ve SMTP trafigini üzerinden geçirerek virüs taramasını yapmayı ve kullanıcıya gelmeden önce virüslerden temizlemeyi hedefleyen sistemlerdir.

İçerik Süzme (content filtering): Çesitli yazılımlarla ulasılmak istenen web sayfalarını, gelen e-posta’ları süzmeye yarayan sistemlerdir.

VLAN : Yerel ağların kendi içerisindeki performansı ve güvenliği arttırmak için, aynı switche bağlı bilgisayarların farklı şekilde guruplanmasıyla elde edilen sistemler.

Güvenlik Duvarları Firewall’ler bir tür erişim denetleyicidirler. Kendi özel ağınız ile publik ağ arasında çalışarak

iki yönlü bir şekilde trafiği denetlerler.Networke giriş bu nokta üzerinde yapılır. Temel olarak bir firewall, network üzerinde kendisine gelen paketleri, tanımlanan kurallar

dogrultusunda geçirip geçirmeyecegine karar verir. Hardware veya software olarak gerçekleştirilebilir. Örnek olarak Firewall konfigirasyonuna

izin verern Routerlar veya Pix veya ASA serisi kutu çözümleri donanımsal Firewallere örnek verilebilir.

ipfw, ipchains, pf gibi yazılımsal çözümler ise Unix, Windows XP and Mac OS gibi işletim sistemleri üzerine kurulabilir.

Güvenlik duvarı belirli bir makineyi denetlemek için o makine üzerine (host-based) kurulabileceği gibi, bir bilgisayar ağını denetlemek için de kurulabilir.

Yarı Güvenli Bölge Yapısı (DMZ): Eğer iç ağ farklı güvenlik seviyesine sahip bölgelere ayrılmışsa ve bu bölgeler arasında akan trafiğin güvenlik duvarı tarafından denetlenmesi isteniyorsa bu yapı kullanılmalıdır . DMZ’de genellikle işletmenin web, e-mail,ftp v.b dışa açık server’ları bulunur.

Güvenli bölge: Firewll’ın koruduğu ağ bölgesidir. Belirli politikalar dahilinde koruma sağlanan ağ bölgesidir. Örnek;İntranetKorumasız bölge: Firewall’ın önündeki ağdır. Örnek İnternet

Bir güvenlik duvarı çeşitli işlevleri yerine getirebilir Ağ trafiğini Filtre ve kontrol eder. Olayların kaydını tutar (trafik). içerik taramayı gerçekleştirebilir. (virüs tarama motorları, içerik engelleme, url filtreleme ,

Protokol uygunluk test) Adres değişimi (Network Address Translation NAT fonksiyonu gerçekleştirmek)

uygulayarak iç yapının dışarıdan gizlenmesini sağlar. Atakları belirlediğinde diğer güvenlik cihazlarına uyarılar gönderir. Bir sanal özel ağ (VPN) sunucusu olarak kullanılabilir. Yöneticilerin kimlik doğrulamasını yapar.

Firewall’ler değişik OSI katmanlarında trafiği kontrol edebilirlerAna güvenlik duvarı teknolojileri şunlardır:

Paket filtreleme: Paketleri sadece başlık bilgilerine göre değerlendirir.o Statik Paket Filtrelemeo Durum denetimli Paket Filtreleme (Stateful Inspection)

İçerik Filtreleme (Deep packet İnspection): Paketlerin uygulama içeriğinede bakıldığı teknolojidir.

Uygulama Seviyesi (Proxy özelliği): Bağlantıların sonlandırıldığı ve paketlerin içeriğinin denetlendiği teknolojidir.

Paket Filtreleme (Ağ Katmanı Firewalları)

IP paketlerinin başlık alanı içindeki bilgilere bakılarak istenmeyen paketler karşı tarafa geçirilmez. Bu amaçla bir kurallar tablosu oluşturulur. Bu tabloda belirtilen kurallara uymayan paketler karşı tarafa geçirilmeyip süzülür. Bu tür firewall oluşturmanın en kolay yolu konfigüre edilebilir bir yönlendirici (router) kullanmaktır.

IP başlığındaki kaynak adres, hedef adres ve port numarası bilgilerine bakılarak gelen veri analiz edilir ve ona göre geçirilir veya atılır; veya göndericiye bir mesaj gönderilir.

Filtre kurallarına bir örnek – Default Politika

• Hiçbir paketi reddetmeiptables –P INPUT ACCEPTiptables –P FORWARD ACCEPTiptables –P OUTPUT ACCEPT

• İzin verilmeyen herşeyi reddet.iptables –P INPUT DROPiptables –P FORWARD DROPiptables –P OUTPUT DROP

statik paket filtreleme teknolojisidir Bu mimari halen Linux IPChains gibi bazı Firewall sistemlerinde kullanılan eski bir

mimaridir. Gelen ve giden paketleri sadece geldiği yer ,erişmek istediği port numarası, protokolü gibi değerleri ile inceler ve bu değerlerden paketin erişimine izin olup olmadığının saptamasını yapar.

Örneğin bir http isteği geldiğinde, erişmek isteği portun 80, protokolün TCP ve geldiği yerin 1.2.3.4 IP'si olduğunu görür ve içerideki sunucuya ulaşmasına izin verilmişse, bu paketin içerideki sunucuya gitmesine izin verir. Basit bir mimaridir.

En büyük zayıflığı paketleri ilk gönderen sistemi yani oturumu ilk başlatan sistemi saptayamıyor olmasıdır. Bu durum ciddi riskler oluşturmaktadır, kaynak portu taramaları ve bağlantıları bu risklere örnektir.

Bir örnek olarak; ağdaki bir çalışanın FTP portundan iletişim kurabilmesi için izin verilmiştir. Oturumun işleyişi ise önce çalışanın 21/TCP portunu hedef port olarak belirleyerek bir sisteme dosya isteği göndermesi ile başlar. Hedef sistem, kaynak portu 20/TCP olan paketler ile çalışana dosya transferi yapar. Böyle bir durumda saldırgan ağa kaynak portu 20/TCP olan bir paket gönderdiğinde Firewall sistemi bu paketi görecek ve “içeriden bu pakete istek gelmeseydi bu paket gönderilmezdi” mantığına dayanacak ve paketin içeriye girmesine izin verecektir.

Şekilde statik paket filtrelemenin nasıl olduğu görülmektedir. PC, 1.2.3.4 IP'li dosya sunucusunun 21/TCP portuna bağlanırken Firewall izin veriyor.

Ancak 25/TCP portuna bağlanmak istediğinde Firewall izin vermiyor. Dosya sunucusu ise isterse kaynak portunu 20/TCP yaparak PC'ye istediği porttan

ulaşabilir. Çünkü Firewall PC'nin bir isteğinin karşılığında bu paketlerin gönderildiğini düşünür.

Bu son durum, saldırgana; kaynak portunu 20/TCP yaparak, içerideki herhangibir bilgisayarın herhangibir portuna erişme imkanı verir. Çünkü Firewall 20/TCP’nin ağdan gelmiş bir isteğe FTP sunucusunun cevabı olduğunu zannetmektedir.

Zaaf: statik paket filtreleme tekniğinin, oturumu ilk başlatan sistemi saptayamıyor olmasıdır.

Firewall'un paketin hedef portuna bakmaması sebebiyle saldırgan kaynak portu 20/TCP olan paketlerle içerideki herhangi bir sistemin örneğin 139/TCP portuna ulaşabilecektir. Böylece Firewall üzerindeki erişim kontrol listeleri etkisiz kalacaktır.

Dinamik paket filtreleme teknolojisidir (Stateful İnspection) Dinamik paket filtrelemeli Firewall'ların,klasik paket filtrelemenin yanısıra oturumu takip

etme özelliği de vardır. Checkpoint firmasının ürettiği bu teknoloji yine bu firmanın tescilli markası olan Stateful

Inspection ismiyle anılmaktadır. Günümüz Firewall sistemleri genelde bu sistem ile çalışmaktadırlar.

Temel olarak TCP oturumları bir başı , ortası ve sonu olan oturumlardır. Hiçbir oturum başından veya ortasından kurulamaz. Bu durumda Firewall'lar kuralları sadece SYN flag'ıyla gönderilen paketlere (nereden gönderildiği önemli değil) uygular ve geriye kalan paketler oturumun tutulduğu tabloya bakılarak takip edilir. Böylece örneğin FIN veya SYN/ACK flag'lı paketlerin bir oturumun devamı olmadığından geçişi engellenebilir. Oturumun SYN flag'lı paketler ile başlayacağını düşünerek tasarlanan bu sistemin kuralları bu paketlere uygulaması oldukça mantıklı ve güvenlidir. Ayrıca TCP için olan bu oturum izleme işlemi ICMP ve UDP paketlerine de uygulanabilir.

Ancak bu teknolojinin zayıflıkları da vardır, paketlerin içeriğini kontrol etmemeleri bu zayıflıklarının başlıca sebebidir, ayrıca FTP protokolünün proxy özelliğini desteklemesi ve bunun kötüye kullanım oranın oldukça fazla olması Stateful Firewall sistemlerinin en büyük dezavantajlarındandır.

şekilde ise dinamik paket filtreleme sisteminin nasıl işlediği görülmektedir. PC'nin isteklerinde sonuç değişmezken dosya sunucusunun kaynak portu 20/TCP olan paketi ise engellenmektedir.

Niye? Çünkü eğer server syn paketi ile oturum kurmaisteğinde bulunmamışsa 20/TCP Firewall tarafından engellenebilir.

• İzin verilmeyen herşeyi iptal et.iptables –P INPUT DROPiptables –P FORWARD DROPiptables –P OUTPUT DROP• Dişarıdan firewall’e ssh ile login olunmasına izin ver.iptables –A INPUT –i eth0 –p tcp -–dport ssh –j ACCEPTiptables –A OUTPUT –o eth0 –p tcp -–sport ssh –j ACCEPT• Bütün interface’lerden ping’e izin ver.iptables –A INPUT –p icmp –-icmp-type echo-request –j ACCEPTiptables –A OUTPUT –p icmp –-icmp-type echo-reply –j ACCEPT• Drop any traffic coming from host 80.63.5.7’iptables –I INPUT 1 –i eth0 –s 80.63.5.7 –j DROP

Uygulama Katmanı Firewalları Uygulama katmanı firewalları en sıkı koruma yapan firewall tekniğidir. Bu yöntemde ağın

güvenliği için arada vekil (proxy) sistem kullanılır ( Bu işlem, güçlü bir iş istasyonu üzerine yüklenen yazılımla gerçekleştirilebilir.)

Proxy mimarisini destekleyen Firewall'larda oturum başlatan ve hedef arasında gerçekleşmez. Oturum açmak isteyen taraf isteği Firewall'a gönderir ve Firewall bu paketi hedefe ulaştırır, hedeften cevap yine Firewall'a gelir ve Firewall tarafından oturumu açmak isteyen tarafa iletilir.

Oturum açıldıktan sonrada aynı şekilde devam eder. Böylece 2 sistem arası tamamen yalıtılır ve Firewall paketlerin gerek içeriklerine, gerek hedef ve kaynak portlarına gerekse de gönderenin IP adresine müdahale edebilir.

Paketlerin içeriğini kontrol edebilme Proxy Firewall'ların en büyük artılarındandır. Proxy, bir bağlantı uygulamasında araya giren ve bağlantıyı istemci (client) için kendisi

gerçekleştiren bir servistir. Böylece aynı istekler bir defaya indirgenerek bağlantı sayısı azaltılmış ve band genişliğinin daha etkin kullanılması sağlanmış olur.

Yetersiz olduğu noktalara gelince araya girmesi ve paketleri kendisinin iletmesinin doğal sonucu olan yavaşlık ortaya çıkmaktadır. Ciddi bir yavaşlık olmamasına rağmen artan bağlantı sayısı ve yoğun ağlardaki veri trafiği hızı olumsuz yönde etkilemektedir.

Ağ Katmanı ve Uygulama Katmanı Firewallarının Karşılaştırılması Ağ katmanı firewallarında kuralları aşmak uygulama katmanı firewallarına göre kuralları

aşmaktan kolaydır. Uygulama katmanı firewallarında; ağ katmanı firewallarına göre daha iyi kayıtlama (log) ve

etkinlik raporları tutmak mümkündür. Uygulama katmanı firewallarında sunucu makine işlemlerle ilgilendiği için saldırılara açık

haldedir. Ağ katmanı firewalları daha kolay konfigüre edilir. Uygulama katmanı firewallarında ise ağ

yöneticisine büyük bir sorumluluk düşer; gerekli olan konfigürasyonu kendisi yapmalıdır.

Şekilde, proxy mimarisinin işleyişi görülmektedir. PC'nin istekleri Firewall'a gelmekte ve Firewall üzerinden dosya sunucusuna ulaşmaktadır, cevaplar ise yine Firewall üzerinden PC'ye ulaşmaktadır.

Kaynak portu 20/TCP olan paketler için yine engelleme söz konusudur.

FİREWALL TOPOLOJİLERİ Bir firewall değişik yollar ile kurulabilmektedir. İhtiyaçlara bağlı olarak küçük bir network

yada kişisel bir bilgisayar için yeterli korumayı sağlayan basit bir firewall de kullanılabilir; yada daha fazla koruma ve güvenlik sağlayan daha komplike bir firewall seçilebilir.

Basit Dual-Homed Firewall Dual-homed firewall bir

firewall kullanmanın en basit ve en genel yoludur. Internet, direk dial-up modem yada ISDN gibi diğer bağlantı tipleri üzerinden firewall’e girer. Bu konfigürasyon tipinde DMZ (De-Militarized Zone) bulunamaz. Firewall, üzerinde bulundurduğu filtreleme kurallarıyla yerel ağ ile internet arasındaki paket geçişini kontrol eder.

Burada firewall’in bir yüzü ile yerel ağın dışına, bir yüzü ile de yerel ağın içine bağlanıldığı için dual-homed olarak isimlendirilmiştir.

Bu yöntemin kolaylık avantajı bulunmaktadır. Eğer internet bağlantısı bir modem üzerinden ise ve sadece bir IP adresi varsa bu yöntem kullanılabilir.

Bütünüyle Serbest Olan DMZ İçeren İki-bacaklı Network Daha avantajlı olan bu konfigürasyonda, dışarıya çıkmayı sağlayan router dışarıda bir hub

veya switch’e bağlıdır. Firewall ile filtrelenmeden dış dünyaya direk ulaşmak isteyen makineler bu hub’a bağlanır. Ayrıca firewall’in dışa açılan yüzü bu hub’a bağlıdır. Firewall’in diğer yüzü ise iç ağda bulunan hub’a bağlıdır.Firewall tarafından korunma

ihtiyacı duyan makineler iç ağdaki hub’a bağlanırlar. İç ağdaki hub yerine switch kullanmak ek güvenlik ve hız avantajı getirir.

Bir önceki şekildeki gibi; DMZ bölgesi korumasız olarak internete açık durumdadır. Bu durum firewall’in konfigürasyonunu kolaylaştırmaktadır.

Eğer DMZ bölgesi için de sınırlı bir koruma sağlamak gerekirse iç ağı koruyan firewall’den tamamen ayrılmış olarak bir filtreleme gerçekleştirilebilir. DMZ bölgesi için sınırlı bir koruma, harici bir router ve çoklu IP adresleri kavramlarına bağlı olarak gerçekleştirilir.

DMZ bölgesi için sınırlı koruma sağlamak üzere iki çözüm mevcuttur. o Birinci çözüm; ikinci bir router/firewall kurmak.

Eğer PPP üzerinden bağlanılıyorsa bu faydalıdır.

Burada bir makine dış router/firewall (Firewall No.1) dır. Bu makine PPP bağlantısını oluşturmak ve DMZ bölgesine olan ulaşımları kontrol etmekten sorumludur.

Diğer firewall (Firewall No.2) standart dual-homed firewall’dir ve görevi iç ağı korumaktır.

ÜÇ BACAKLI FİREWALL

DMZ bölgesi için sınırlı koruma sağlamak üzere ikinci çözüm üç-bacaklı bir firewall oluşturmaktır. Bu, firewall kutusunda DMZ için ek bir ağ bağdaştırıcısına gerek duyulması anlamına gelir. Firewall, dış dünya ile DMZ arasındaki paket yönlendirmeyi;dış dünya ile iç ağ arasındakinden farklı yapacak şekilde konfigüre edilir.

Üç-bacaklı firewall’un dezavantajı ek olarak gelen karmaşıklıktır. DMZ bölgesine olan giriş/çıkış ve iç ağa olan giriş/çıkış tek bir geniş kurallar kümesi tarafından kontrol edilir. Dikkatli olunmazsa bu kurallar yanlış oluşturulabilir.

DMZ BÖLGESİ DMZ, firewall tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir.

Firewall’a üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinelerin(DNS, mail relaying, FTP gibi WEB servisleri) buraya konulması ile oluşturulur. Örneğin DMZ'deki makinelere NAT uygulanmayabilir, tahsisli IP numaralarına sahip olabilirler.

NAT(Network Adress Translation) NAT, RFC 1613 ile tanımlanıp, hemen hemen bütün işletim sistemleri, firewall cihazları ve

uygulamalarca desteklenen güncel ağlarda çok popüler bir uygulamadır. NAT hızla tükenen gerçek IP adreslerine bir çözüm olarak doğmuştur. Başka bir deyişle

gerçek IP adresiyle sadece internete çıkmak için geliştirilmiştir. NAT internete bağlı bir cihaz üzerinde çalışır ve, iç ağdaki IP adreslerini dış ağdan

gizleyerek , ağınızı herkese açık olan ağdan (internetten) gizler. NAT ağınızı şeffaflaştırır; yani dahili ağınızdaki cihazların tümünü internet bağlantısı için

konfigüre etmeniz gerekmez. Gateway konumundaki NAT cihazının bunları tanıması ve izin vermesi yeterlidir.

4 bilgisayar ve bir routerdan oluşan bu ağ internete bağlanmıştır. Ağdaki bütün hostlar C sınıfı özel bir IP adresine sahiptir.

Router da ‘özel ağ’ arayüzünde 192.168.0.1, internete bağlandığı ‘açık ağ’ arayüzünde ise 203.31.220.134 gerçek IP adresine sahiptir.

NAT NASIL ÇALIŞIR NAT’ın çalışması için 3 farklı yol vardır, ancak temel prensip her üçünde de aynıdır. Bunu bir örnek üzerinde anlatalım; router (firewall veya normal bir PC) NAT desteğiyle direk

internete bağlı olsun. Bütün hostlar internete router yoluyla bilgi göndereceklerdir. Router NAT aracılığıyla bu paketleri işleyip hedef adreslerine gönderir. Her paket routerın ‘özel ağ’ arabiriminden alındığında router ağ katmanında o paketin kaynak

IP adresini (192.168.0.10) çıkarır ve yerine gerçek IP adresini (203.31.220.134) yerleştirir ve o paketi yeni haliyle internete gönderir.

Router içerisindeki NAT operasyonuna bakarsak; orjial paketlerin kaynak adresleri değiştiriliyor ve bu bilgi router içerisindeki (NAT tablosu olarak bilinen) hafızanın belirli adreslerine yazılıyor. Bu tablo sayesinde bir cevap paketi alınırsa, router ağ içerisinde hangi hostun bu paketi beklediğini anlar ve ona gönderir.

NAT TABLOSU NAT Tabloları, routerlar tarafından (veya başka NAT destekli cihazların) paketlerin alınıp,

kendi arabirimlerine iletim işlevinde en önemli birimlerdir. Dahili ağdan harici ağa olan her türlü iletişim (veya ters yönü) izlenir ve tüm arabirimlerdeki

paketlerin ne yapılacağı konusunda yardımcı olacak özel bir tablo oluşturulur. NAT tablosunun çok büyük olması (daha fazla hafıza gerektirdiği anlamına da gelir) çok daha

fazla çift yönlü iletişimin izlenebilmesini sağlar. Büyük NAT tablosuna sahip NAT destekli cihazdan kasıt; dahili ağdaki daha fazla sayıda

istemciye hizmet edebilmesi demektir.

Burada, özel ağdaki 192.168.0.5 ve 192.168.0.21’in istekleri NAT destekli routerın ‘özel ağ’ arabiriminden alınır. Bu paketler; üzerlerinde küçük bir değişiklik yapılana kadar router üzerinde özel bir alanda geçici olarak tutulurlar. Bu örnekte yapılan değişiklik, kaynak IP adresleri yerine gerçek IP adresinin (203.31.220.134) yazılmasıdır.

Router paketleri salmadan önce, NAT tablosunda her paket girişi için bir kayıt tutar. Bu kayıtlar, internetten cevap geldiği zaman routerın ne yapacağı konusunda uygun hareketin seçilmesini sağlar.

Cevap alındığı zaman router NAT tablosuna bakar, uygun kaydı bulur ve yapması gereken diğer değişiklikleri yapar. Yani internetten gelen paketlerin hedef adreslerini 203.31.220.134’ten 192.168.0.5 ve 192.168.0.21 olarak değiştirir ve paketleri bu hostlara gönderip, NAT tabosundaki ilgili kaydı siler.

Bir çok NAT cihazında NAT oturum limiti, mevcut hafıza boyutu ile sınırlıdır. Her bir dönüşüm cihaz hafızasında 160 byte’lık yer harcar. Sonuçta 10000 dönüşüm için 1.6 MB hafıza alanı gereklidir. Bunun için yönlendirme platformları daha fazla sayıda dönüşüme cevap verebilmek için yüksek hafızaya sahip olmalıdır. Ancak pratikte durum farklıdır.

Küçük Cisco routerlar (700,800,1600 serisi gibi) NAT destekli IOS’lere sahiptirler. NAT oturum sayıları 2000 civarındadır. Fakat 3000-4000 oturum açılmak istendiği zaman çok büyük hafıza gereksinimi yanında CPU yönetimi problemi de ortaya çıkar. Bu durumda mesela ping cevapları çok uzun süre bekleyebilir ve ergeç paket ölümlerinde de exponansiyel bir artış olur.

Gateway ve firewall özelliği ile beraber çok büyük router modelleri eş zamanlı olarak (8000-25000) oturum açabilir ve çok büyük şirketlerde ihtiyaçları gidermede kullanılır.

STATİK NAT Bir özel ağdaki tüm bilgisayarların internete kendi gerçek IP’si ile çıkmak istemesi

durumudur. Çok küçük ağlarda bu durum görülebilir.

Bu diyagramda bizim özel ağımızın statik NAT modundaki router ile internet bağlantısı görülüyor

Bu modd’a her bir host kendisiyle eşleşecek bir IP adresine sahiptir. Mesela 192.168.0.1 IP adresine sahip host 203.31.218.208 gerçek IP adresiyle eşleşir. Artık bu hosttan gelecek her bir paket direk kendine özgü gerçek IP adresiyle değiştirilecektir.

Herkesin ağ ihtiyaçları farklı olup, bu tip bir bağlantıyı kullanmak; internetten özel ağının görünmesini ve erişimin kolay olmasını isteyen bazı şirketler için ihtiyaç olabilir.

1. örnek

Bu örnekte 192.168.0.20 adresine sahip bir geliştirme serverı bulunmaktadır. Bu serverın çok fazla güvenlik ihtiyacı olmakla beraber bazı emin müşteriler tarafından değişik servislerine erişmek için kullanılmaktadır. Aynı zamanda ana file serverımızda (192.168.0.10) müşterilerimizin erişebileceği özel bir veritabanı bulunmaktadır.

Bu seçenekte statik NAT’ın ancak kompleks filtreler ile tek bir IP adresi üzerinden güvenliği sağlanmıştır.

Eğer sadece bir servis (sadece http gibi) kullandırmak amacıyla benzer bir kurulum arıyorsanız, bundan daha güvenli ve daha kısıtlayıcı olması yönünden mutlaka farklı NAT modlarını kullanmalısınız.

2. örnek

Statik NAT için diğer bir örnek DMZ alanlarının kullanılmasıdır. DMZ alanları; bazı gerekli makinelar (webserver, e-mail server gibi) internete direk erişebilip, aynı zamanda bütün datanın saklanması ve özel ağın internet bağlantısına da engel olmaması gereken alanlardır.

Bu diyagramda 1.firewall’a 3 ağ bağlıdır; a) internet (203.31.218.X), b) DMZ alanı (192.168.100.X)c) iki firewall arasındaki küçük özel ağ (192.168.200.X).

1.Firewall 3 farklı host için statik NAT olarak konfigure edilebilir, bunlardan ikisi DMZ’deki serverlar, diğeri ise 2. firewall. Firewall’deki her bir arabirim, aralarında yönlendirme yapılabilmesi için farklı ağların bir

parçası olmalıdır. Bu sebeple diyagram IP adresleri yönünden karışık görünmekte fakat bunlar gerekli olmaktadır.

NAT adres dönüşümü nasıl meydana gelir? Statik NAT dönüşümü işlemi bunu destekleyen tüm cihazlarda aynıdır, değişmez. Yani bir

router veya firewall kullanırsak her ikiside statik NAT’ın kullanılmasında aynı özelliklere sahip olacaktır.

Burada hosttan gelen paketin routerda nasıl değiştiği görülüyor. Sadece 192.168.0.3 olan kaynak IP adresi 203.31.220.135 gerçek IP adresi ile değiştiriliyor. Hedef IP adresi, kaynak portu veya hedef portu değiştirilmiyor.

Paketin, gönderildiği hedef tarafından alındığını ve cevap gönderildiğini farzedelim; alınan cevap veya bu hotsa gelen diğer paketler bu modifikasyonda aynı sıraya girerek alınmalı ve ilgili host’a teslim edilmelidir.

Bu diyagram gelen paketlerin router içerisinde uğradığı değişikliği gösteriyor.

DİNAMİK NAT Dinamik NAT ile özel IP adreslerimizi gerçek IP adreslerine –statik olmayan bir yolla

dönüştürürüz. Yani dahili hostların internet ile iletişim kurduğu her bir oturum için, onların gerçek IP adresleri aynı kalsa da (muhtemelen değişebilir) Bu IP adresleri ISS tarafından bizim özel ağımıza tahsis edilmiş olan IP havuzundan çekilirler.

Dinamik NAT’ta, router IP dönüşümü için gerekli trafik bilgisini almadan NAT tablosu üzerinde dönüşüm gerçekleşmez.

Dinamik dönüşümler NAT tablosundan silindikten sonra ağdaki diğer hostlar tarafından kullanılmak için bir timeout periyodu tutarlar.

Bu örnekte, bizim router ile dahili hostları ayarlayabilmemiz için ISS’den 4 gerçek IP adresi isteğimiz vardır(203.31.218.210’dan 203.31.218.213’ kadar).

192.168.0.1 özel IP adresine sahip host, internete bir istek gönderirken kurulan küçük oturumda, bu host’a 203.31.218.210 gerçek IP adresi tahsis ediliyor ve bu tahsis oturum sonlandırılana kadar devam ediyor.

Linux Netfilter ile NAT örnekleri• Maskeleme (dynamic IP addresses)iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 \-j MASQUERADE• Source NAT (static IP addresses)iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 \-j SNAT --to 1.2.3.4-1.2.3.6• Destination NAT (with static IP addresses)iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \-j DNAT --to 10.1.0.7:8080

Port Yönlendirme Statik ağ adres çevriminin özelleşmiş bir halidir. Dış dünyadan iç ağdaki web, ftp, e-posta

gibi sunuculara erişim sağlanması amacıyla kullanılır. Port yönlendirmede erişim sağlanmak istenen sunucuya ilişkin gerçek IP adresi, güvenlik

duvarının dış dünyaya açılan IP adresi olarak belirlenir. Dış dünyadaki herhangi bir kullanıcı söz konusu sunucuya ulaşmak için aslında güvenlik

duvarının gerçek IP adresine erişim sağlar. Daha sonra güvenlik duvarı gelen bağlantı isteğini inceleyip kendisi için olup olmadığına

bakar. Sonuç olarak bağlantı isteği eğer güvenlik duvarı için değilse ilgili sunucuya yönlendirilir.

Böylelikle iç ağdaki sunucuya dış ağdan erişim sağlanmış olur. Bu tür erişimler için statik ağ adres çevrimi yerine port yönlendirmenin kullanılması daha güvenli olmaktadır.

SALDIRI ÖNLEME MEKANİZMASI Son zamanlarda saldırı önleme özelliği güvenlik duvarlarında da bir özellik haline gelmeye

başlamıştır.

Normalde saldırı tespit ve engelleme sistemlerine ait olan bu güvenlik özelliği, güvenlik duvarlarına da kısıtlı olarak entegre edilmeye başlanmıştır.

Bu özellik genellikle uygulama tabanlı güvenlik duvarlarında bulunmaktadır. Bu tip güvenlik duvarları gelen paketlerin içeriğini kontrol edebilmektedir. Böylelikle zararlı içerik taşıyan paketler tespit edilip engellenebilmektedir.

Ayrıca tespit edilip engellenen saldırılara ilişkin kayıtlar tutulabilmektedir. Daha sonradan bu kayıtlar incelenip saldırıların niteliği hakkında fikir edinilebilir.

Örneğin saldırıyı yapan bilgisayarın IP adresi tespit edilip bu IP adresinden bundan sonra gelen bütün paketlerin bloklanması sağlanabilir. TCP – SYN seli gibi birçok servis dışı bırakma saldırısı engellenebilir.

Ancak güvelik duvarlarındaki bu özellik sınırlıdır ve sadece saldırı imzaları dâhilindeki saldırılar tespit edilip durdurulabilmektedir. Bu nedenle iç ağa gelen saldırıların tespit edilmesi ve engellenmesi için sadece bu amaç için özelleşmiş olan saldırı tespit ve engelleme sistemleri kullanılmalıdır.

Güvenlik duvarının saldırı önleme mekanizmasına ilişkin aşağıdaki adımlar gerçekleştirilmelidir:

En son çıkan güvenlik tehditlerine karşı koruma sağlanabilmesi açısından saldırı imzaları periyodik olarak güncellenmelidir.

Hem güvenlik duvarının yükünü hafifletmek hem de yanlış alarmların (false positive) sayısını azaltmak amacıyla gerek duyulmayan imzalar pasif hale getirilmelidir.

Denetlenebilirliğin arttırılması amacıyla kritik saldırılara ilişkin kayıtların tutulması sağlanmalıdır.

VIRTUAL PRIVATE NETWORKS (VPN)Geleneksel Bağlantı

VPN nedir? VPN(Virtual Private Network/Sanal Özel Ag) internet üzerinden sifreli ve güvenli veri

iletisimi saglamak için düsünülmüs bir teknolojidir.

Kamusal bir iletişim ağı üzerinde, Kiralık hatlar(Lease-line) gibi daha güvenli, saglam çözümlerin yerine VPN kullanilmasinin temel nedeni, maliyet ve kolay yapılandırmadır.

Tüm VPN çözümlerinde İnternet erişimi üzerinden kurulan güvenli tüneller söz konusudur. Güvenli tüneller, kriptolama teknikleri ile sağlanır.

Gartner Group; VPN'i, herkese açık bir iletişim altyapısı üzerinden, iki veya daha fazla doğrulanmış/onaylanmış taraflar arasında güvenli veri iletişimi sağlamak üzere oluşturulmuş sanal ağlar olarak tanımlar.

Virtual Private NetworksTemelde iki tip VPN teknolojisi vardır. Amacımıza gore bu iki VPNteknolojisinden birini

seçebiliriz. Bu teknolojiler1- Remote Access VPN (Uzak erişim VPN -)2-Site-to-site VPN

VPN 4 kritik Fonksiyonu yerine getirir Authentication – Veriyi gönderen, alanın doğru kişi olduğunu bilir. Access control – Yetkisiz kişiler VPN’i kullanamaz. Confidentiality – Veri gizliği garanti edilir. Data Integrity – Veri bütünlüğü garanti edilir.

TunellemeBir genel ağ üzerinde sanal bir point-to point bağlantı oluşturmaktır. Tünel tekniğini 2

fazda anlatabiliriz:Faz1: İstemci VPN isteğini gönderir ve HA (Home Agent) sistemi bu istemcinin kimlik

sorgulamasını yapar.Faz2: Tünel içinden veri transferi başlatılır.

Data kapsülleme

Paketlerin VPN kapsüllenmesi

Tünelleme protokolleri üç kategoride sınıflandırılabilir:

1. Taşıyıcı protokoller: Tünellenmiş paketlerin Internet üzerinden iletimini sağlamak için bu paketleri yönlendirir. Tünellenmiş paketler bu protokolün paketleri içine enkapsüle edilir.

2. Enkapsüle protokolleri: Pay-load paketin enkapsüle edilmesini sağlar. Bu protokol ile tünel kurulur ve sonlandırılır. Günümüzde en yaygın olan enkapsüle protokolleri PPTP, L2TP, ve IPSEC’dir.

3. İletim protokolleri: Tünel içinden iletilmesi amacıyla enkapsüle edilmesi gereken orijinal veriler için bu protokol devreye girer. En yaygın olan iletim protokolleri PPP ve SLIP (serial line internet protocol) protokolleridir.

Virtual Private Networks (VPN) Basic Architecture

VPN gerçekleştirme tipleri3 tipHardwareFirewallSoftware

Device Types: HardwareGenellikle VPN desteği olan Routerlardır.

Device Types: FirewallHem Firewall, hem VPN? Oldukça pahalı bir çözüm.

Device Tipi: SoftwareAynı organizasyonun iki son noktası arasında kullanımı için uygundur.

En çok kullanılan yazılımlarPPTP Çözümü : PoptopIpsec Çözümü : Linux OpenSWAN, OpenBSD IpsecSSL VPN Çözümü : SSLExplore, OpenVPNL2TP Çözümü : OpenL2tpGerçek bir VPN Çözümü Olarak OpenVPN