You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Bu derste, ağ bilişimiyle ilgili bazı temel kavramları öğrenecek ve bir bilgisayar ağının temel bileşenlerinden bazılarını tanıtacaksınız.
Ağ derken neyi kastediyorum? Basitçe ifade etmek gerekirse ağ, herhangi bir araçla birbirleriyle iletişim kurabilen bilgi işlem cihazlarının bir koleksiyonudur. Bilgisayarların ağa bağlanmasının temel nedenleri, kullanıcıların verileri kolay, hızlı ve verimli bir şekilde paylaşmalarına olanak sağlamasıdır. Ayrıca yazıcı gibi aksesuarlara erişimi de paylaşabilirler. Yüzlerce kullanıcıya hizmet veren bir ağ yazıcısına sahip olmak, bu kullanıcıların her birinin masasında kendi yazıcısının bulunmasından çok daha uygun maliyetlidir.
İki temel bilgisayar ağı türü vardır.
Yaygın olarak P2P ağı olarak adlandırılan Eşler Arası ağda, sunucu olmaktan hiçbir sağlayıcı tek başına sorumlu değildir. Her bilgisayar dosyaları saklar ve bir sunucu görevi görür. Her bilgisayar veri sağlama konusunda eşit sorumluluğa sahiptir.
İstemci-sunucu modeli, iki bilgisayar arasındaki ilişkidir; burada bir istemci, diğer bir sunucudan hizmet isteğinde bulunur.
İstemci-sunucu modelinin kilit noktası, istemcinin bilgiyi sağlamak ve yönetmek için sunucuya bağımlı olmasıdır. Örneğin, web siteleriweb sunucularında saklanır. Bir web tarayıcısı, sunucuya istekte bulunan istemcidir ve sunucu, web sayfası verilerini tarayıcıya geri gönderir.
Popüler web siteleri, hepsi aynı anda istekte bulunan binlerce veya milyonlarca müşteriye hizmet verebilmek için güçlü sunuculara ihtiyaç duyar. Bir web uygulamasının istemci tarafına genellikle ön uç denir. Sunucu tarafı arka uç olarak adlandırılır. Ayrıca kapsadıkları coğrafi alanlara bağlı olarak ağlar için sahip olabileceğimiz farklı ölçeklere de bakacağız.
P2P ağı
Bir P2P ağının kurulmasından elde edilecek çok sayıda avantaj vardır:
Kurulumu ve yapılandırması kolaydır
Özel bir sunucuya gerek yok
Kullanıcılar kendi paylaşılan kaynaklarını kontrol eder
Satın almaları ve işletmeleri ucuzdur
Ek ekipman veya yazılım gerektirmezler
Özel yöneticilere ihtiyaç duymazlar
Ve en iyi şekilde 10 veya daha az kullanıcıyla çalışır
Bu avantajların bir örneği, P2P'nin küçük bir kullanıcı grubu arasında dosya paylaşımı için ideal olmasıdır.
Tam tersine, bir takım dezavantajlar da vardır:
Güvenlik aynı anda tek bir kaynak için geçerlidir
Kullanıcıların birçok farklı şifresi olabilir
Sunucunun, verilerin kaybolmaya veya yok olmaya karşı korunmasını sağlamak için her makineyi ayrı ayrı yedeklemesi gerekir
Kaynakları paylaşan makinelerin performansı düşebilir
Verilere erişimin yerini belirlemek veya erişimi kontrol etmek için merkezi bir organizasyon şeması yoktur
Genellikle 10'dan fazla kullanıcıyla iyi çalışmaz
Bu dezavantajların bir örneği, bir sunucunun kaç biletin kaldığını takip etmesi gerektiğinden P2P'nin bilet rezervasyonu gibi bir hizmet için uygun olmayacağıdır.
Sunucu Tabanlı Mimari
Daha önce de belirtildiği gibi, sunucu tabanlı veya istemci/sunucu ağının günlük bir örneği İnternet'tir. Web sunucuları erişmek istediğimiz bilgileri tutar. Web sunucusuna bir istekte bulunmak için web tarayıcısı istemci programımızı kullanırız, bu sunucu daha sonra bu isteğe hizmet verebilir. Bir iş ortamında, bir şirketin verileri büyük olasılıkla bireysel son kullanıcı makinelerinde değil, merkezi bir sunucu kaynağında tutulacaktır. Bu, veriler üzerinde daha yüksek düzeyde kontrol sağlar; çünkü bir müşteri erişim talebinde bulunduğunda, yalnızca doğru izne sahip olanların bilgiye erişebilmesini sağlamak için veriler incelenebilir.
Sunucuların, birçok istemciden gelen istekleri aynı anda karşılayabilmek için yeterli bilgi işlem gücüne ve bağlantıya sahip olması gerekir. Sunucu tabanlı bir ağda, iş yükünü birden fazla sunucu arasında paylaşma olanağı vardır. Sunucular, sisteme oturum açma istekleri gibi belirli türdeki istemci isteklerini işlemek ve istenen verilere veya kaynaklara erişim izni vermek üzere atanabilir. Bu görev, kullanıcıların söyledikleri kişi olduklarını doğrulayacak ve onlara yalnızca görmelerine izin verilen verilere veya kaynaklara erişim izni verecek bir veya daha fazla sunucu tarafından gerçekleştirilebilir.
Sunucu tabanlı modelin bir takım avantajları vardır:
Ağ yönetimini basitleştirir
Kullanıcı hesaplarını, güvenliği ve erişim kontrollerini merkezileştirir
Daha güçlü ekipmanlara sahip
Ağ kaynaklarına daha verimli erişim sağlar
Ağda oturum açmak için yalnızca tek bir parola gerektirir
Ve 10 veya daha fazla kullanıcıya sahip ağlar veya yoğun olarak kullanılan kaynaklara sahip ağlar için en iyi seçimdir
Dezavantajları da var:
En kötü durumda, sunucu arızası ağı kullanılamaz hale getirir
Sunucu arızası ağ kaynaklarının kaybına neden olur
Daha Pahalı alt yapı ister
Karmaşık sunucu yazılımlarını yönetmek için uzman personel gerekir
Ayrıca özel donanım ve özel yazılım gerektirir
Artık İstemci-Sunucu paradigması olarak bilinen şeye ulaştık. İstemci-sunucu modeli, görevleri veya iş yüklerini, sunucu adı verilen bir kaynak veya hizmet sağlayıcıları ile istemci adı verilen hizmet talep edenler arasında bölüştüren dağıtılmış uygulama yapısıdır.
Genellikle istemciler ve sunucular bir bilgisayar ağı üzerinden iletişim kurar ve ayrı donanımlarda bulunur, ancak hem istemci hem de sunucu aynı sistemde bulunabilir.
Bir sunucu ana bilgisayarı, kaynaklarını istemcilerle paylaşan bir veya daha fazla sunucu programını çalıştırır. İstemci hiçbir kaynağını paylaşmaz ancak sunucunun içeriğini veya hizmet işlevini talep eder. Bu nedenle istemciler, gelen istekleri bekleyen sunucularla iletişim oturumları başlatır. İstemci-sunucu modelini kullanan bilgisayar uygulamalarına örnek olarak E-posta, ağdan yazdırma ve World Wide Web verilebilir.
Farklı ağ ölçekleri vardır. Birincisi Yerel Alan Ağı veya LAN'dır. Bunlar genellikle küçük bir coğrafi alanla sınırlıdır. Elektrik ve Elektronik Mühendisleri Enstitüsü (IEEE), bu alanın yarıçapının 6 mil veya daha az olduğunu belirtmektedir, ancak çoğunlukla LAN'larla bir bina veya site içinde karşılaşacaksınız.
Bilgisayarları daha uzak mesafelere bağlamak için Geniş Alan Ağı veya WAN kullanmanız gerekir. IEEE, bir WAN'ın içerdiği mesafelerin 60 milden fazla olacağını öne sürüyor.
Temelde WAN, uzaktan bir araya getirilen LAN'ların bir koleksiyonu olarak düşünülebilir.
LAN'ları daha büyük bir WAN'a bağlamak için gereken iki unsur,
sinyalleri bir LAN'dan diğerine taşıyabilen kablolar veya başka bir ortam olan iletim hatlarıdır;
ve yönlendiriciler olarak da bilinen anahtarlama elemanları.
Bunlar, iki veya daha fazla iletim hattını bağlayabilen ve verileri bunlar üzerinden bir LAN'dan diğerine doğru şekilde yönlendirebilen özel ağ oluşturma ekipmanıdır.
LAN üzerinden iletişim kuran iki bilgisayarı düşünelim ve bunları WAN aracılığıyla iletişim kuran iki bilgisayarla karşılaştıralım: Hangi çiftin daha hızlı veri alışverişi yapacağını, hangisinin en güvenli şekilde iletişim kuracağını belirlemek istiyorsunuz. Doğası gereği, bir WAN, verileri daha uzak bir mesafeye taşıyacak ve bu rota boyunca birçok ara istasyona yönlendirecektir. Bu bize, veriler veri sahibinin yerel kontrolü altında olmayan kablolar ve ara istasyonlar aracılığıyla taşınacağından WAN'ın muhtemelen hem daha yavaş hem de potansiyel olarak daha az güvenli olacağını söylüyor.
Ağ oluşturmanın dört temel ilkesine bakalım.
Bir ağın olabilmesi için öncelikle bilgisayarlar arasında bir bağlantının olması gerekir. Bir ağlar arası bağlantı oluşturmak için ayrı ağları ve bağlantıları bir araya getirebiliriz. Internetwork terimi, Internet teriminin köküdür. Eğer bir araya getirilmiş birden fazla ağımız varsa, iletişim verilerini öncelikle doğru ağa ve ardından doğru uç bilgisayara yönlendirmek için bazı araçlara ihtiyacımız vardır.
Bir ağ üzerinden iletişim kurması gereken uygulama ve programların, o ağ tarafından karşılanması gereken özel gereksinimleri olacaktır. Basit bir LAN'da, verilerinizin LAN içindeki bir noktadan amaçlanan hedefe iletilmesini sağlayacak bir yola ihtiyacınız vardır. Bunu bir anahtar kullanarak başarabilirsiniz.
Ağ bağlamında bir anahtar, gelen veri paketlerini alan ve bunları LAN üzerindeki hedeflerine yönlendiren yüksek hızlı bir cihazdır. Bir LAN anahtarı, OSI Modelinin veri bağlantı katmanında (Katman 2) veya ağ katmanında çalışır ve bu nedenle her türlü paket protokolünü destekleyebilir. Paket kavramını daha sonra bu derste tartışacağız.
Paket anahtarlama
Paket anahtarlamalı, paket adı verilen nispeten küçük veri birimlerinin, her paketin içerdiği hedef adrese dayalı olarak bir ağ üzerinden yönlendirildiği ağ türünü tanımlar.
İletişimi paketlere bölmek, aynı veri yolunun ağdaki birçok kullanıcı arasında paylaşılmasına veya bireysel paketlerin hedeflerine ulaşmak için ağdaki birçok rotadan birini seçmesine olanak tanır.
Devre Anahtarlama
İletim süresince özel bir kanalın (veya devrenin) kurulduğu bir iletişim türü. En yaygın devre anahtarlama ağı, her telefon görüşmesi için tek bir kesintisiz hat oluşturmak üzere kablo bölümlerini birbirine bağlayan telefon sistemidir.
Paket anahtarlamalı ağ (PSN), en yaygın kullanılan bilgisayar ağlarından biridir. Yerel ağlarda ve internette yaygın olarak uygulanmaktadır. Bir PSN genellikle İletim Kontrol Protokolü/İnternet Protokolü (TCP/IP) paketi üzerinde çalışır.
Verilerin bir ağ üzerinden iletilmesi için öncelikle verinin protokolüne ve genel boyutuna bağlı olarak küçük paketlere bölünür. Her paket, kaynak IP adresi, hedef IP adresi ve benzersiz veriler ve paket tanımlayıcıları gibi çeşitli ayrıntıları içerir.
Verilerin küçük paketlere ayrılması, verimli veri aktarımını ve ağ ortamının/kanalının daha iyi kullanılmasını sağlar.
Birden fazla kullanıcı, uygulama ve/veya düğüm, devre anahtarlamalı bir ağda olduğu gibi, temeldeki ortamı/kanalı kalıcı olarak korumadan sırayla veri gönderip alabilir.
Daha önce İnternet Protokolü veya IP adreslerinden bahsetmiştim. Bu adresler, iletişimlerinizi ağlar üzerinden yönlendirmenin yollarından biridir, ancak dikkate almanız gereken başka adres şemaları da vardır.
Bir ağa bağlanabilen her cihaz, bunu bir tür ağ arayüz kartı veya NIC aracılığıyla yapar. Dünyadaki her NIC'nin Medya Erişim Kontrolü veya MAC adresi olarak bilinen benzersiz bir tanımlayıcı adresi vardır. İletişimlerinizi doğru cihaza yönlendirmek için, kural olarak değişmeyen MAC adresini doğası gereği biraz dinamik olabilecek bir IP adresiyle birleştirmenin bazı araçlarına sahip olmanız gerekir.
Bunu başarmak için LAN'ınızda Adres Çözümleme Protokolü'nü veya ARP'yi kullanacaksınız.
Ağınızdaki cihazlar, herhangi bir zamanda hangi IP adresinin hangi MAC adresiyle ilişkili olduğunu gösteren listeler oluşturmak ve sürdürmek için ARP'yi kullanacaktır. ARP, Yayın adı verilen bir ağ özelliğine dayanır.
Ekranda, hangi MAC adresinin şu anda 128.2.11.43 IP adresiyle ilişkili olduğunu sormak için bir bilgisayardan LAN'a yayınlanan bir yayın mesajının sürecini görebilirsiniz. Yanıt bir bilgisayardan geliyor ve verilen MAC adresinin şu anda bu IP adresiyle ilişkili olduğunu belirtiyor. Kaynak bilgisayar, MAC-IP adresi eşlemelerinin listesini güncelleyerek bu bilgiyi yerel ARP tablosunda saklar.
Ağlarımızda farklı yayın çeşitleri mevcuttur.
Yayın iletimi (Broadcast) çoğu LAN'da desteklenir ve aynı mesajı LAN üzerindeki tüm bilgisayarlara göndermek için kullanılabilir.
Ağ katmanı protokolleri (IPv4 gibi) aynı paketin mantıki bir ağdaki her sisteme gönderilmesine izin veren bir yayın biçimini de destekler.
Çoklu yayın süreci (Multicast), istemci-sunucu sistemi gibi bağlantıya bağımlı olacak şekilde tasarlanan Sistemlerin aksine, tek bir göndericiyi ve birden çok alıcıyı içerir. Kullanıcı datagram protokolü (UDP), çoklu yayında kullanılan en yaygın protokoldür. E-posta, kullanıcının tam bir kişi listesi yerine birçok farklı adrese e-posta göndermeyi seçebildiği çok noktaya yayının en iyi örneğidir. Başka bir örnek, akışlı bir videonun tek bir sunucudan birçok kullanıcıya birden çok noktaya yayınlanmasıdır.
Tek noktaya yayın (Unicast), paketlerin belirli bir adrese sahip tek bir ağ hedefine gönderildiği ortak bir ağ modelidir. Tek noktaya yayının temel fikri, kullanıcı için oluşturulmuş belirli bir kanalın olmasıdır. Bu, içerik iletimi 'tek kiracılı' bir modele dayandığında, örneğin bir içerik veya hizmet sağlayıcının ferdi kullanıcılara şahsileştirilmiş ve doğru bilgiler göndermesi gerektiğinde faydalıdır.
Yönlendirme, bir ağdaki trafik için veya birden çok ağ arasında veya genelinde bir yol seçme işlemidir. Yönlendirme, kamu anahtarlamalı telefon ağı (PSTN) gibi devre anahtarlamalı ağlar, İnternet gibi bilgisayar ağlarının yanı sıra kamu ve özel ulaşımda kullanılan ağlar gibi birçok ağ türü için gerçekleştirilir. Milli altyapıda sokaklar, yollar ve otoyollar.
Paket anahtarlamalı ağlarda yönlendirme, ağ paketlerini kaynaktan alıp ara ağ düğümleri aracılığıyla belirli paket iletme mekanizmaları aracılığıyla hedeflerine yönlendiren üst düzey karar verme işlemidir.
Paket iletme, mantıki olarak adreslenmiş ağ paketlerinin bir ağ arayüzünden diğerine aktarılmasıdır.
Bir rotanın seçimini kolaylaştırmak için ağ cihazları, bir yönlendirme tablosunda keşfettikleri rotaların bir haritasını tutar. Bu yönlendirme tabloları ağ cihazları arasında paylaşılabilir ve aslında bu otomatik bilgi paylaşımı tüm ağların verimliliğinin temelini oluşturur. İnternetin orijinal versiyonları için yönlendirme tabloları elle tutuluyordu ve insan operatörler tarafından düzenli olarak güncelleniyordu. Günümüzün bağlantılı dünyasında bu imkansız bir görev olurdu!
Gelişmiş Araştırma Projeleri Ajansı Ağı (ARPANET), erken bir paket anahtarlama ağıydı ve TCP/IP protokol paketini uygulayan ilk ağdı. Her iki teknoloji de İnternet'in teknik temeli haline geldi.
TCP/IP'nin ana tasarım hedefi, heterojen fiziki ağlar üzerinden evrensel iletişim hizmetleri sağlayan, Ağlar Arası Çalışma veya İnternet olarak adlandırılan ağların ara bağlantısını oluşturmaktı.
Ağların çok çeşitli uygulama ve hizmetleri desteklemesi ve aynı zamanda birçok farklı fiziki altyapı türü üzerinde çalışması gerekir.
İnternet ve genel olarak ağlar geliştikçe, temel mimarilerin kullanıcı beklentilerini karşılamak için ele alması gereken dört temel özellik vardır: hata toleransı, ölçeklenebilirlik, hizmet kalitesi ve güvenlik.
Daha sonraki bir kursta TCP/IP hakkında daha fazla bilgi edineceksiniz.
Ağ oluşturmanın ilk günlerinde kodlandığı yollardan biri Açık Sistemler Ara Bağlantısı veya OSI modeliydi.
Bu model, bir ağ üzerinden veri iletişiminde yer alan yedi katmanı ayrıntılı olarak açıkladı:
Fiziki Katman - Bu katman, dijital veri bitlerinin gönderen veya kaynak cihazın Fiziki katmanından bir ağ iletişim ortamı üzerinden alıcı (veya hedef) cihazın Fiziki katmanına iletilmesinden sorumludur.
Veri Bağlantısı Katmanı - Fiziki katmandan veri alırken, Veri Bağlantısı katmanı fiziki iletim hatalarını kontrol eder ve bitleri veri 'çerçevelerine' paketler. Veri Bağlantısı katmanı aynı zamanda MAC adresleri gibi fiziki adresleme düzenlerini de yönetir.
Ağ Katmanı - Veri Bağlantısı katmanının üstüne yönlendirme konseptini ekler. Veri Ağ katmanına ulaştığında, her çerçevenin içinde bulunan kaynak ve hedef adresleri incelenerek verinin nihai varış noktasına ulaşıp ulaşmadığı belirlenir. Katman 3, verileri Aktarım katmanına iletilecek paketler halinde formatlar. Yönlendirmeyi desteklemek için Ağ katmanı, ağdaki aygıtların IP adresleri gibi mantıki adreslerini korur.
Ağ katmanı ayrıca bu mantıki adresler ile fiziki adresler arasındaki eşlemeyi de yönetir. IP ağında bu eşleme, Adres Çözümleme Protokolü (ARP) aracılığıyla gerçekleştirilir.
Taşıma Katmanı - verileri ağ bağlantıları üzerinden iletir. TCP, Katman 4 ağ protokolünün en yaygın örneğidir. Farklı aktarım protokolleri, hata kurtarma, akış kontrolü ve yeniden iletim desteği dahil olmak üzere bir dizi isteğe bağlı yeteneği destekleyebilir.
Oturum Katmanı - ağ bağlantılarını başlatan ve kesen olayların sırasını ve akışını yönetir. Katman 5'te, dinamik olarak oluşturulabilen ve ayrı ağlar üzerinde çalıştırılabilen birden fazla bağlantı türünü destekleyecek şekilde oluşturulmuştur.
Sunum Katmanı - üzerindeki Uygulama katmanını desteklemek için gereken format dönüştürmeleri ve şifreleme/şifre çözme gibi mesaj verilerinin sözdizimi işlemlerini gerçekleştirir.
Uygulama Katmanı - son kullanıcı uygulamalarına ağ hizmetleri sağlar. Ağ hizmetleri genellikle kullanıcının verileriyle çalışan protokollerdir. Örneğin, bir Web tarayıcısı uygulamasında, Uygulama katmanı protokolüHTTP, Web sayfası içeriğini göndermek ve almak için gereken verileri paketler.
Ağ iletişimiyle ilgili temel kavramları ve TCP/IP paketinin temellerini öğreneceksiniz.
Şunları ele alacaksınız:
TCP/IP'yi OSI 7 Katman Modeli ile karşılaştırın
Adres Türleri
Bağlantı Noktası Numaraları
DHCP
DNS ve NAT
TCP/IP veya İletim Kontrol Protokolü/İnternet Protokolü Suite, bilgisayar ağlarında kullanılan, uçtan uca veri iletişimi sağlayan bir modeldir. Tam olarak eşleşmese de ağ iletişimi için OSI'nin yedi katmanlı modeline benzer.
OSI 7 katman modeliyle doğrudan karşılaştırıldığında, OSI katmanlarından 5'inin TCP/IP paketinde (fiziki ve veri bağlantısı, ağ, aktarım ve uygulama katmanı) kapsandığını görebilirsiniz. TCP/IP protokol paketinin 4, bazen de 5 katmandan oluştuğunu duyabilirsiniz; ikisi de doğru.
TCP/IP'yi destekleyen temel kavram, IP adresinin ağa bağlı bir cihazın benzersiz mantıki tanımlayıcısı olmasıdır.
Bu diyagram, TCP/IP paketinin farklı katmanlarında bulunan protokollerin dökümünü gösterir. Diyagram, OSI modelinin 7 katmanının TCP/IP modelinde nasıl gruplandırıldığını gösterir. Gördüğünüz gibi Data Link ve Physical isimli OSI katmanları alt kısımda gruplandırılmış durumda. Üst kısımda Uygulama, Sunum ve Oturum adı verilen OSI katmanlarının hepsinin bir arada gruplandırılarak TCP/IP paketindeki Uygulama katmanını oluşturduğunu görebiliriz.
OSI modelinde olduğu gibi her katmanın farklı bir amacı vardır:
Bağlantı Katmanı = Veri Bağlantısı + Fiziki
Bağlantı Katmanı olarak da bilinen Veri Bağlantısı + Fiziki katman, paketteki en düşük bileşen katmanıdır. Veri paketlerini daha sonra aynı ağdaki iki farklı bilgisayar arasında taşımak için kullanılır.
Ağ (İnternet) Katmanı, veri paketlerini ağlar arasında göndermek için kullanılır.
Aktarım Katmanı, uygulamaların veri alışverişinde bulunmak için kullandığı veri kanallarını oluşturur.
Uygulama Katmanı, kullanıcı hizmetlerinin web siteleri ve e-postalar gibi uygulama verileri alışverişinde bulunmasına izin vermek için uygulamalar tarafından kullanılan protokolleri içerir.
Posta hizmetinin sokak adreslerini bilerek çalışması gibi, verilerin doğru adrese iletilmesini sağlamak için ağların da iletişim verilerinin göndericileri ve alıcılarının benzersiz şekilde tanımlanabileceği bir yönteme sahip olması gerekir.
MAC adresleri ve IP adresleri gibi bazılarına daha önce bakılmış olan çeşitli adresleme şemaları mevcuttur.
Belirli amaçlara hizmet eden başka adres şemaları da vardır. Bağlantı noktası adresleri uygulamalarla ilişkilidir ve iletişim verilerinin alıcı bilgisayardaki doğru uygulamaya yönlendirilmesine yardımcı olur. Alan Adı Sistemi veya DNS, insanların anlayabileceği sade dildeki web sitesi adreslerini sayısal ve bilgisayarlar tarafından anlaşılabilen IP adresleriyle eşlemenin bir yoludur.
Windows İnternet Adlandırma Hizmeti veya WINS, bir ağdaki ana bilgisayar adlarını ağ IP adresleriyle eşleştiren, Windows ağlarına yönelik bir ad çözümleme hizmetidir. Yine bu, bir adres türünün diğerine dönüştürülmesini içerir. WINS, LAN içindeki bilgisayarlara atanan benzersiz adlar (belirli adresler) olan NetBIOS adlarını LAN veya WAN üzerindeki IP adreslerine dönüştürür.
Bu şema, TCP/IP paketinin farklı katmanlarına hangi tür adres şemasının uygulanabileceğini gösterir.
Bağlantı katmanı fiziki adresi, ağ katmanı mantıki adresi, taşıma katmanı bağlantı noktası adresini ve uygulama belirli bir adresi kullanır.
Şimdi bu adres şemalarından bazılarını daha ayrıntılı olarak incelemeye geçeceğim.
Medya Erişim Kontrolü veya MAC adresi, bir cihazın Ağ Arayüzü Denetleyicisine (NIC) yönelik benzersiz bir tanımlayıcısıdır; 'Bağlantı adresi' olarak da bilinir. MAC adresi yerel adres olarak kullanılır; ancak, her NIC üreticisinin kendi mevcut adres havuzundan ürettikleri her NIC'ye benzersiz bir adres ataması gerektiğinden bunun küresel olarak benzersiz olduğu kabul edilir. Veri bağlantısı katmanı tarafından kullanılan çerçevenin içine dahil edilir ve Veri Bağlantısı ve Fiziki katmanlarda çalışan en düşük düzey adrestir. Kaynaktan hedef ana bilgisayarlara giden veri paketleri fiziki ağlar üzerinden geçer.
Bu fiziki düzeyde IP adresi kullanışlı değildir. Ancak gönderen veya alan bilgisayarlar ve aktarılan yönlendiriciler MAC adresleriyle tanınır.
Mantıki adres, farklı türdeki fiziki ağların dahil olabileceği evrensel iletişimi kolaylaştırmak için gereklidir. Temel fiziki ağdan bağımsız olarak her ana bilgisayarın benzersiz şekilde tanımlanabilmesi için evrensel bir adresleme sistemine ihtiyaç vardır. Mantıki adrese İnternet Protokolü veya IP adresi de denir. İnternet, yönlendiriciler gibi cihazlar aracılığıyla birbirine bağlanan birçok fiziki ağdan oluşur.
İnternet paketlenmiş, anahtarlamalı bir ağdır; bu, kaynak bilgisayardan gelen verilerin, üzerinde hedef adresi taşıyan küçük veri paketleri biçiminde gönderildiği anlamına gelir.
IPv4
Orijinal IP adresleme şeması IPv4, bir ağ cihazının adresini kaydetmek için 4 bayt olan 32 bitlik bilgi kullanır. Teorik olarak bu, 4 milyardan fazla cihazın benzersiz bir IP adresine sahip olmasını sağlar.
Başlangıcında bunun, var olabilecek tüm potansiyel ağa bağlı cihazlar için fazlasıyla yeterli bir sayı olduğuna inanılıyordu.
Bu, IP adresi aralıklarının tahsisinde bazı israf uygulamalarına yol açtı; bu, mevcut adreslerin gerçek sayısının 4 milyardan önemli ölçüde az olduğu anlamına geliyordu.
Son 20 yılda internete bağlı cihazların patlamasıyla birlikte, bu genişletilmiş ağ kullanımına izin vermek için güncellenmiş bir adresleme şeması zorunlu hale geldi.
IPv6
IPv6, ağ bağlantılı cihazlara adres sağlamak için 128 bit bilgi veya 16 bayt kullanır. İlk bakışta bu, kapasitede çok büyük bir artış gibi görünmeyebilir; 16 bayt yalnızca 4 çarpı 4 bayttır. Gerçekte, bu adresleme şeması potansiyel adreslerin sayısını katlanarak artırarak 340 undesilyon adrese iter - bu 3,4 çarpı 10'un 38'inci kuvveti veya 34'ün ardından 37 sıfırdır.
Yine bu adreslerin tahsis edilebilme biçiminde kısıtlamalar vardır, bu nedenle bu adreslerin tamamının tahsis edilmesi mümkün değildir. Ancak tahsis edilebilecek adreslerin sayısı o kadar fazla ki, bu gelecek için oldukça faydalı. Ancak bazıları bu kısıtlamaların IPv6 adreslerinin ilk düşünüldüğü kadar uzun süre dayanamayacağı anlamına gelebileceğini iddia ediyor.
Belirtildiği gibi IPv4 adresleri 32 bit veya 4 bayt depolama alanı kullanır. 32 bit IP adresi, noktalarla ayrılmış ve ondalık formatta temsil edilen 8 bit veya her seferinde 1 bayt halinde gruplandırılır. Bu noktalı ondalık gösterim olarak bilinir. Sekizlideki her bitin bir ikili ağırlığı vardır (128, 64, 32, 16, 8, 4, 2, 1). Bir sekizlinin minimum değeri 0, bir sekizlinin maksimum değeri 255'tir.
Teorik olarak bu bize 0.0.0.0 ila 255.255.255.255 arasında kullanılabilir bir IP adresi aralığı verir.
IPv6, bir adresi tanımlamak için 128 bit veya 16 baytlık depolama alanı kullanır.
Diyagram adresin nasıl bölündüğünü gösterir.
Adresin ilk 48 biti İnternet Tahsisli Adlar Otoritesi veya IANA tarafından belirlenir.
Sonraki 16 bit, bir alt ağı veya bir ağın daha küçük bölümünü tanımlayacak ve son 64 bit, o alt ağ içindeki ayrı ağ cihazlarına atanacaktır.
Üç farklı adres türü vardır:
Tek noktaya yayın (unicast): Tek noktaya yayın adresine gönderilen paket yalnızca o adres tarafından tanımlanan arayüze iletilir
Anycast: Anycast adresine gönderilen bir paket, o adres tarafından tanımlanan arayüzlerden birine (yönlendirme protokollerinin mesafe ölçüsüne göre 'en yakın' olana) iletilir.
Multicast: Çoklu yayın adresine gönderilen paket, o adres tarafından tanımlanan tüm arayüzlere iletilir.
Port adreslerinin belirli Uygulamalarla ilişkili olduğunu ve iletişim verilerinin doğru uygulamaya yönlendirilmesini sağlamak için kullanıldığını daha önce belirtmiştim.
IANA (İnternet Tahsisli Sayılar Otoritesi), kullanılabilir bağlantı noktalarının aralıklarını belirlemiştir ve bunlar 3 aralığa bölünmüştür:
0-1023 arasındaki bağlantı noktaları 'Sistem bağlantı noktaları' olarak adlandırılır, ancak en yaygın olarak 'tanınmış bağlantı noktaları' olarak da bilinir ve bu nedenle iyi bilinen hizmetler tarafından kullanılır;
1024 - 49.151 numaralı bağlantı noktaları 'Kullanıcı' veya kayıtlı bağlantı noktaları olarak bilinir. Talep eden kuruluşun başvurusu üzerine IANA tarafından belirli bir hizmet için atanırlar. Çoğu sistemde kullanıcı bağlantı noktaları sıradan kullanıcılar tarafından kullanılabilir.
Geri kalan bağlantı noktaları (49.152 -65.535), IANA'ya kaydedilemeyen dinamik veya özel bağlantı noktaları içerir.
Bu aralık, özel veya geçici amaçlarla ve geçici bağlantı noktalarının otomatik tahsisi için kullanılır. Geçici bağlantı noktası, istemci-sunucu iletişiminin istemci tarafı için, sunucudaki iyi bilinen bir bağlantı noktasına geçici bağlantı noktası atamasıdır.
Ağ cihazlarının ağ üzerinden iletişim kurmak istiyorlarsa mantıki (IP) adresin yanı sıra fiziki (MAC) bir adrese de sahip olmaları gerektiğini zaten belirledik. Bağlantı noktası adresi, bu gereksinimlere ek olarak, verilerin varışta doğru şekilde yönlendirilmesini ve birçok uygulamanın, verileri karışmadan ağ bağlantısını aynı anda kullanabilmesini sağlar.
Aşağıda yaygın olarak kullanılan bağlantı noktası numaralarından bazıları ve bunların ne için kullanıldığı verilmiştir:
Bağlantı Noktası 21: Dosya Aktarım Protokolü (FTP)
Bağlantı Noktası 22: Güvenli Kabuk (SSH)
Bağlantı Noktası 23: Telnet uzaktan oturum açma hizmeti
Bağlantı Noktası 25: Basit Posta Aktarım Protokolü (SMTP)
Bağlantı Noktası 53: Etki Alanı Adı Sistemi (DNS) hizmeti
Bağlantı Noktası 80: World Wide Web'de kullanılan Köprü Metni Aktarım Protokolü (HTTP)
Bazı uygulamaların, söz konusu adres için tasarlanmış kullanıcı dostu adresleri vardır.
URL
En tanıdık ağ adresi artık her yerde bulunan web sitesi adresidir; bu teknik olarak Tekdüzen veya Evrensel Kaynak Bulucu veya kısaca URL olarak bilinir.
Web sitelerini bulmak için URL'leri kullanmamızın nedeni, insanların bunları hatırlayabilmesidir; belirli IP adreslerini hatırlama konusunda pek iyi değiliz örneğin Google için.
Bir web tarayıcısına bir web adresi yazdığınızda doğrudan istediğiniz web sitesine yönlendirilirsiniz. Perde arkasında, bunun gerçekleşmesini sağlamak için bilgisayarınız tarafından, web sitesini görüntüleyebilmenizi sağlamak için gereken bağlantı noktası ve IP adresinin belirlenmesi de dahil olmak üzere pek çok çalışma yapılıyor. Bu süreç daha sonra incelenecektir.
Kolayca tanınabilen diğer ağ adresi ise e-posta adresidir. E-posta, Elektronik postanın kısaltmasıdır ve bu, onun ne yaptığını neredeyse mükemmel şekilde açıklar. Elektronik bir mektup yazarsınız, bunu göndermek istediğimiz kişiye gönderirsiniz ve onu sizin adınıza teslim etmesi için elektronik posta servisine taahhüt edersiniz.
Uygulamaların bir ağ üzerinden iletişim kurabilmesi için uygulamaların bunu tam olarak nasıl başarmak istediklerinin farkında olmaları gerekir.
Aktarmak istedikleri mesajların formatını bilmeleri, bu formatta hazırlayıp, katmanlar sisteminin altındaki protokoller aracılığıyla ağa göndermeleri gerekiyor; bu şekilde ağın fiziki kablolarına gönderilebilirler. Uygulama katmanı protokolü, mesajların ne tür bir mesaj olduğunu bilmek gibi mesajların neleri içereceğini tanımlar: Mesajın gönderilip gönderilmediği, mesajın nasıl yapılandırıldığı, bu yapı içindeki bilgilerin gerçekte ne anlama geldiği ve nasıl olduğunu tanımlayan bir dizi kural. ve mesajların ne zaman gönderilmesi veya yanıtlanması gerektiği.
Daha önce her ağ cihazının hem fiziki bir ağ adresine hem de mantıki bir IP adresine nasıl ihtiyaç duyduğu kavramı tartışılmıştı. IP adreslerinin nasıl yapılandırıldığını, aynı anda kaç tanesinin verilebileceğini ve değiştirilmedikçe manuel olarak statik olduklarını inceledim. IPv4 adreslerinin kullanılabilirliği sınırlı olabileceğinden, IP adreslerinin minimum düzeyde israf edilmesini sağlamak için IP adreslerinin tahsisinin yönetilebileceği bir yol olması gerekir; Yalnızca o anda gerçekten bir IP adresine ihtiyaç duyan makinelerin bir IP adresine sahip olduğundan emin olma ihtiyacı. Cevap Dinamik Ana Bilgisayar Yapılandırma Protokolünü veya DHCP'yi kullanmaktır. Bu protokol, IP adreslerinin yalnızca açık ve kullanımda olan makinelere verilmesine olanak tanır. IP adreslerinin dinamik atanması birkaç nedenden dolayı tercih edilmektedir: IP adresleri isteğe bağlı olarak atanır, manuel IP yapılandırmasını ortadan kaldırır ve özellikle uzaktan çalışmanın arttığı günümüzde dizüstü bilgisayarların mobilitesini destekler.
Bir DHCP Ağında, kullanıcı bilgisayarını açıp ağa bağlanmak istediğinde, makine ile DHCP sunucusu arasında bir takım bilgi alışverişi gerçekleşir.
Makine önce DHCP sunucusuna bir Keşif isteği gönderir. Sunucu buna bir IP adresi teklifiyle yanıt verir. Makine, IP adresinin kendisine tahsis edilmesini talep ederek yanıt verir ve son olarak sunucu bu isteği kabul eder.
DHCP, Kullanıcı Datagram Protokolünü (UDP) kullanan bağlantısız bir hizmet modeli kullanır. UDP 1980 yılında tanıtıldı ve var olan en eski ağ protokollerinden biridir. İstemci/sunucu ağ uygulamaları için basit bir OSI aktarım katmanı protokolüdür. IP'ye dayanır ve TCP'nin ana alternatifidir.
DHCP, işlemleri için iki UDP bağlantı noktası numarasıyla uygulanır. 67 numaralı UDP bağlantı noktası, bir sunucunun hedef bağlantı noktasıdır; 68 numaralı UDP bağlantı noktası, istemci tarafından kullanılır.
NAT
Kullanılabilir IP adreslerinin potansiyel eksikliğine yönelik bir başka çözüm de Ağ Adresi Çevirisi veya NAT'ın kullanılmasıdır.
Diyagramda NAT'ın işleyişi gösterilmektedir. O nasıl çalışır?
Yönlendirici, İnternet üzerinden bir makineyle iletişim kurması gereken dahili bir makineden bir paket aldığında, yönlendirici, dahili IP adresini ve bağlantı noktası numarasını paketten çıkarır ve bunu kendi İnternet'e yönlendirilebilir IP adresi ve bağlantı noktası değerleriyle değiştirir. Bu veriler cihazın hafızasına (NAT tablosu) kaydedilir ve ardından paket İnternet üzerinden hedefine iletilir.
Veri geri döndüğünde yönlendirici, NAT tablosunu doğru Dahili IP adresi ve verinin gönderileceği bağlantı noktası için sorgular, IP ve bağlantı noktası verilerini tekrar dahili, eşlenmiş değerlerle değiştirir ve ana makineye iletir.
Bağlantı noktası adresi çevirisi (PAT), özel bir ağdaki birden fazla kullanıcının minimum sayıda IP adresinden yararlanmasına olanak tanıyan bir işlevdir. Temel işlevi, İnternet'i herkese açık olarak kullanması gereken birden fazla istemci arasında tek bir IP genel adresini paylaşmaktır. Ağ adresi çevirisinin (NAT) bir uzantısıdır.
Daha önce URL'lerden bahsederken Alan Adı Sisteminden (DNS) ve web sitelerine erişmek için IP adresleri yerine URL'leri kullanmamızın nedeninden bahsetmiştim.
DNS, insanlar tarafından okunabilen İnternet etki alanı ve ana bilgisayar adlarını IP adreslerine (veya tam tersi) çevirir. DNS, bir istemci/sunucu ağı iletişim sistemidir; DNS istemcileri, DNS sunucularına istek gönderir ve yanıtları alır. Bu istekler bir ad içerir ve sunucudan bir IP adresinin döndürülmesiyle sonuçlanır.
Bu tür isteklere DNS aramaları denir.
Bir IP adresi içeren ve bir ismin döndürülmesiyle sonuçlanan isteklere ters DNS l adı verilir.
DNS, İnternet'teki tüm genel ana bilgisayarların adlarını ve bilinen son adres bilgilerini depolamak için dağıtılmış bir veritabanı uygular.
DNS, World Wide Web'in temel yapı taşlarından biridir. Web'de DNS, Web tarayıcımızın adres çubuğuna yazdığımız adları otomatik olarak Web Sitelerinin IP adresine dönüştürür.
Daha büyük kuruluşlar da kendi intranetlerini yönetmek için DNS'yi kullanır. Ev ağları, İnternet'e erişirken DNS'yi kullanır, ancak bunu ev cihazlarının adlarını yönetmek için kullanmaz.
Ev geniş bant yönlendiricileri ve diğer ağ geçidi aygıtları, ağ için birincil, ikincil ve üçüncül DNS sunucusu IP adreslerini saklar ve bunları gerektiğinde istemci aygıtlara atar.
Yöneticiler adresleri manuel olarak girmeyi veya DHCP'den almayı seçebilir. Adresler ayrıca bir istemci cihazında işletim sistemi yapılandırma menüleri aracılığıyla da güncellenebilir.
Bu basit şema, bir DNS isteğinin nasıl yapıldığını ve hizmet verildiğini gösterir.
Bilgisayarın kullanıcısı yalnızca tanıdık web sitesi adresini (bu durumda google.com) kullanarak rahat eder. DNS sunucusu, söz konusu web sitesinin IP adresini tespit etme işini yapar ve bu bilgiyi kullanıcının bilgisayarına geri göndererek makinenin Google web sunucusuyla bağlantı kurmasına ve bilgi almasına olanak tanır.
Soket
Ağ iletişimini değerlendirirken tartışılması gereken son bir kavram da soket kavramıdır.
Ağ soketi, ağ üzerinde çalışan iki program arasındaki iletişim akışındaki bir uç noktadır.
Bir süreç, soketine mesaj gönderir ve alır.
Bir prizi kapı olarak düşünebilirsiniz. Gönderme işlemi, mesajı kapının dışına iter ve kapının diğer tarafında, mesajı alma işlemindeki sokete getirebilecek bir taşıma altyapısının bulunduğunu varsayar.
Cihazların bir ağa nasıl bağlandığını tartıştıktan sonra, istenmeyen cihazların ağlara bağlanmasının nasıl önlenebileceğine bakmak faydalı olacaktır.
Ağ Erişim Kontrolü veya NAC
Ağ Erişim Kontrolü veya NAC, beklenen standartları karşılamayan tüm makinelerin ağ erişimini reddeden bir bilgisayar ve ağ güvenliği yaklaşımıdır. NAC, uyumlu olmayan cihazların ağ erişimini reddedebilir, onları karantinaya alınmış bir alana yerleştirebilir veya onlara bilgi işlem kaynaklarına yalnızca sınırlı erişim vererek güvenli olmayan cihazların ağa erişmesini engelleyebilir.
NAC çözümleri, aşağıdaki yetenekler aracılığıyla kuruluşların ağlarına erişimi kontrol etmesine yardımcı olur:
Politika yaşam döngüsü yönetimi: NAC, ayrı ürünler veya ek modüller gerektirmeden tüm işletim senaryoları için politikaları uygular
Profil oluşturma ve görünürlük: NAC, kötü amaçlı kodların hasara yol açmasından önce kullanıcıları ve cihazlarını tanır ve profillerini oluşturur
Konuk ağı erişimi: NAC, konuk kaydını, konuk kimlik doğrulamasını, konuk sponsorluğunu ve konuk yönetimi portalını içeren özelleştirilebilir, self-servis bir portal aracılığıyla konukları yönetebilir
Güvenlik duruşu kontrolü: NAC, güvenlik politikası uyumluluğunu kullanıcı türüne, cihaz türüne ve işletim sistemine göre değerlendirir
Olay yanıtı: NAC, yöneticinin ilgisi olmadan uyumlu olmayan makineleri engelleyen, izole eden ve/veya onaran güvenlik politikalarını uygulayarak ağ tehditlerini azaltır
Çift yönlü entegrasyon: NAC, açık veya RESTful API aracılığıyla diğer güvenlik ve ağ çözümleriyle entegre olabilir
İnternetle ilgili bazı temel kavramları öğrenecek ve nasıl ve neden çalıştığını tartışacaksınız.
World Wide Web ve Internet terimlerini birbirinin yerine kullansak da aynı şey değildir.
İnternet, Web'in üzerinde çalıştığı altyapı olan küresel ağ ağıdır. World Wide Web'in kendisi ziyaret ettiğimiz web sitelerini ifade eder.
Web tarihinin ana noktalarını ekte belgelenmiş olarak bulabilirsiniz.
Kısacası, 1990'lı yılların başında Sir Tim Berners-Lee'nin çalışmalarıyla hayata başladı, ancak bu küçük başlangıçlardan itibaren çok hızlı bir şekilde genişledi.
Üstel büyümenin ardındaki ana itici güçlerden biri, ister kumar ister yetişkinlere yönelik medya içeriği olsun, yetişkinlere yönelik eğlence sektörüydü.
Web, müşterilerine anonimlik sunarken ürünlerini tanıtabilecekleri bir yol sunuyor gibi görünüyordu.
Web'in muazzam büyümesi, 90'ların sonlarında birçok web start-up'ının risk sermayesi kullanılarak kurulduğu, ancak olağanüstü bir şekilde başarısız olduğu sözde dot-com balonunun oluşmasına yol açtı.
Webin en büyük isimlerinden ikisi 90'lı yıllarda piyasaya sürüldü ve bugün hala güçlenmeye devam ediyor. Arama motoru devinin her yere yayılan doğası göz önüne alındığında, pek çok kişi Amazon'un Google'dan önce hayata başladığına inanmakta zorluk çekebilir. Google terimini fiil olarak bile kullanıyoruz!
Bu basit şema, İnternet'in, bir web isteğinin hedefine ulaşmadan önce geçmesi gereken birçok geçiş noktasıyla birlikte bir ağlar ağı olarak nasıl tanımlanabileceğini göstermektedir. Bu isteğe verilen yanıtın daha sonra kullanıcının bilgisayarına dönüş yolu üzerinde anlaşması gerekir. Ve bunların hepsi inanılmaz bir hızla gerçekleşiyor.
Etki Alanı Adı Sistemi/Sunucusu (DNS) Web'in temelini oluşturur. Alan adlarını kullanarak çalışır. Bir alan adı tanıdık 'www.somedomainname.com'dur.
Alan adının küresel İnternet'te nerede bulunduğunu belirlemek için genişletilmesi gerektiğinden tek başına bir alan adı pek kullanışlı değildir. Var olan tüm alan adlarının takip edilebilmesi için DNS adı verilen bir sistem kullanılmaktadır.
DNS, İnternet'teki tüm kayıtlı alan adlarını içeren küresel olarak dağıtılmış bir veritabanıdır ve ekranda görebileceğiniz gibi katı bir hiyerarşi izler.
Makineler sayısal IP adresleri aracılığıyla iletişim kurarken insanlar genellikle metni tercih eder. Bu nedenle Etki Alanı adı, bir ağ IP adresinin metinsel temsilidir.
Alan adlarının kullanımı ICANN - İnternet Tahsisli Adlar ve Sayılar Kurumu - tarafından yönetilmektedir - ICANN, DNS (Alan Adı Sistemi) olarak bilinen kayıtlı adların küresel veritabanını korur.
Bir Etki Alanının kaydedilmesi için bir talep alındığında, kayıt şirketi, bunun kullanılabilir olduğundan emin olmak için Etki Alanı Adı Sistemini sorgulayacak ve eğer mevcutsa, kaydın gerçekleşmesine izin verecektir.
DNS hiyerarşik bir sistemdir. Her şey sistemin Kökünden, yani kök ad sunucularından kaynaklanır. Kök adı sunucularının altında genel Üst Düzey Etki Alanlarını veya gTLD'leri (örneğin .com, .net ve .org) ve ülke kodu Üst Düzey Etki Alanları veya ccTLD'leri buluruz. Şu anda kabul edilen 253 ccTLD vardır, ancak bu değer zaman içinde ülke sınırları değiştikçe değişir.
Geçtiğimiz on yılda ICANN, kök altındaki gTLD'lerin aralığını genişletmeye yönelik bir programla meşguldü.
Bunların birçoğu belirli iş alanlarıyla veya sektörlerle ilgilidir; en kötü şöhretli olanlardan biri, yetişkinlere yönelik web siteleri için kullanılan .xxx alanıdır.
Ayrıca, yalnızca Latin karakter kümesini kullanmayan, Latince olmayan dillerin kullanımına da izin veren gTLD'lere sahip olma yeteneğini de eklediler.
Diyagram, DNS'nin hiyerarşik yapısını ve bir DNS isteğinin, istenen web sitesini bulmak için DNS yapısı boyunca nasıl ilerlediğini gösterir.
İkinci Düzey Etki Alanı, Üst Düzey Etki Alanının hemen altında yer alan alan adıdır ve genellikle alan adını bir alan adı kayıt kuruluşuna kaydeden kuruluşu ifade eder; bu nedenle özel alanlar olarak da bilinirler.
Örneğin, microsoft.com – burada Microsoft, SLD'dir. Bazı alan adı kayıtları, bir TLD'ye, onun altında bir SLD'yi kaydetmeyi amaçlayan kuruluşun türünü belirten ikinci düzey bir hiyerarşi sunar.
Örneğin, .uk ad alanında, bir kolej veya başka bir akademik kurum .ac.uk ad alanı altında kaydolurken şirketler .co.uk altında kaydolur. Örneğin, microsoft.co.uk – burada Microsoft yine SLD'dir, .co ikinci düzey hiyerarşidir ve .uk ccTLD'dir
DNS, gerekli etki alanı için Özel Etki Alanı denetleyicisini ayrıntılı olarak inceledikten sonra, www sitesi, haritalar sitesi veya haber sunucularının IP adresi gibi o etki alanı içinde gereken hizmete ilişkin ayrıntıları elde edecektir.
DNS sorgusunun temel işlemi işe yarasa da, bu çalışma yöntemi biraz verimsiz olabilir; sorgumuzu başlatmak için her seferinde köküne kadar gitmek zorunda kalırsak, bu çok fazla gereksiz trafiğe neden olabilir ve gecikmelere neden olabilir. cevaplarımızı alırken.
Bunu önlemek için DNS, DNS önbelleğe alma olarak bilinen bir sisteme izin verir.
Çoğu zaman, bir ana makine bir DNS arama isteğinde bulunduğunda, bir DNS önbellekleme hizmetinden bir yanıt arayacaktır.
DNS önbellekleri binlerce alan adına ait alan adı veya IP eşlemelerini tutar ve bu nedenle kısa sürede yanıt verebilir. Önbellekleme hizmeti bir yanıt sağlayamazsa, aramayı gerçekleştirir ve yanıtı aldıktan sonra döndürür. Bu yanıt gelecekteki istekler için önbelleğe eklenecektir.
Çoğu İnternet Servis Sağlayıcısı veya İSS, bir DNS önbellek hizmeti çalıştırır, ancak aynı zamanda halka açık bir dizi DNS önbelleği de vardır: Google'ın DNS'si - 8.8.8.8 veya 8.8.4.4 veya OpenDNS - 208.67.222.222 veya 208.67.220.220 .
Bu elbette büyük bir kolaylık olsa da sorunlar da olabiliyor. DNS önbelleğine yanlış veriler girilirse DNS sahteciliği veya zehirlenmesi meydana gelebilir. Zehirlenen yönlendirici, trafiği bilgisayar korsanının bilgisayarı olabilecek yanlış IP adresine yönlendirecektir.
Zehirlenen yönlendirici, İnternet yapısı içinde önemli ölçüde etkiliyse, yanlış IP adresini etrafındaki birçok yönlendiriciye ileterek zehirlenmeyi artırabilir, hatta bir web sitesinin dünya çapında kapanmasına neden olabilir.
Bu, 2008'de Pakistan Telekom ile YouTube'un başına geldi. Burada DNS'nin temel özelliklerini görebilirsiniz. En önemli özellik, alan adlarının IP adreslerine ve bunun tersinin temel olarak çevrilmesidir.
Sorabileceğiniz sorulardan biri şu olabilir: 'DNS'nin dağıtılmış doğasıyla neden uğraşmamız gerekiyor? Elbette bu herkesin daha fazla çalışmasını sağlar ve DNS önbelleklerini kurcalayıp sorunlara yol açmak da mümkündür.'
Bunların her ikisi de geçerli noktalardır, ancak World Wide Web'deki herkes için tek bir DNS kaynağı kullanırsak ortaya çıkabilecek sorunlarla karşılaştırıldığında, merkezi bir DNS'nin aslında çok daha fazla sorun olacağını hemen görebilirsiniz.
DNS sisteminin kalbinde DNS kayıtları bulunur. DNS kaydı, bir URL'yi bir IP adresine eşlemek için kullanılan bir veritabanı kaydıdır. DNS kayıtları DNS sunucularında saklanır ve kullanıcıların web sitelerini dış dünyaya bağlamasına yardımcı olmak için çalışır.
Tarayıcıya bir URL girilip arandığında, bu URL DNS sunucularına iletilir ve ardından belirli Web sunucusuna yönlendirilir. Bu Web sunucusu daha sonra URL'de belirtilen sorgulanan web sitesine hizmet verir veya kullanıcıyı gelen postayı yöneten bir e-posta sunucusuna yönlendirir.
En yaygın kayıt türleri
A (adres);
CNAME (kanonik ad);
MX (posta alışverişi);
NS (isim sunucusu);
PTR (işaretçi),
SOA (yetki başlangıcı);
ve TXT (metin kaydı).
Farklı DNS kayıtları türleri şunlardır: Ad Sunucusu (NS) Kaydı Etki alanı için, çeşitli bölgelerde DNS aramalarına izin veren bir ad sunucusunu açıklar. Her birincil ve ikincil ad sunucusunun bu kayıt aracılığıyla raporlanması gerekir.
Mail Exchange (MX) Kaydı, postaların etki alanında bulunan doğru posta sunucularına gönderilmesine izin verir. MX kayıtları, IP adreslerinin dışında tam nitelikli alan adlarını içerir.
Adres (A) Kaydı, bir ana bilgisayar adını bir IP adresine eşlemek için kullanılır. Genellikle kayıtlar IP adresleridir. Bir bilgisayar birden fazla IP adresinden, adaptör kartından veya her ikisinden oluşuyorsa birden fazla adres kaydına sahip olmalıdır.
Kurallı Ad (CNAME) Kaydı, ana bilgisayar adı için bir takma ad ayarlamak amacıyla kullanılabilir.
Metin (TXT) Kaydı: Bir DNS kaydına rastgele metin eklenmesine izin verir. Bu kayıtlar, Gönderen Politikası Çerçevesi kayıtlarını bir DNS kaydına ekleyerek hangi ana bilgisayarların e-posta trafiği göndermesine izin verildiğini gösterir.
Yaşam Süresi (TTL) Kaydı: Özyinelemeli bir DNS sunucusunun alan adı bilgilerini sorguladığı durumlarda ideal olan veri periyodunu ayarlar.
Yetki Başlangıcı (SOA) Kaydı: Bölge için en yetkili ana bilgisayarı bildirir. Her bölge dosyası, kullanıcı bir bölge eklediğinde otomatik olarak oluşturulan bir SOA kaydı içermelidir.
İşaretçi (PTR) Kaydı: Geriye doğru arama yapmak için bir IP adresini ana bilgisayar adıyla eşleştiren bir işaretçi oluşturur.
DNS'yi incelerken kimin tam olarak hangi işlevi yerine getirdiği oldukça kafa karıştırıcı olabilir.
'DNS'nin Üç R'sini' kullanarak DNS'nin ana işlevlerini listelemek yararlı olacaktır; Tescil, Tescil Ettiren ve Tescil Ettiren. Kolaylık sağlamak için, DNS sisteminin bir İnternet telefon rehberi benzetmesini kullanacağız.
Kayıt Grubu, ICANN'in (İnternet Tahsisli Sayılar ve İsimler Kurumu) sorumluluğu altında .com, .co.uk ve .info gibi gTLD'leri işleten grubun en tepesindeki gruptur. Bunlar ‘telefon rehberinin’ operatörü olarak düşünülebilir.
Örneğin Nominet, .uk TLD'nin kayıt defteridir.
Kayıt şirketleri, alan adlarını satan şirketlerdir ve WHOIS ve alan adı bilgilerinin doğruluğunu kontrol etmeleri gerekir.
Bu şirketler aynı zamanda ICANN aracılığıyla denetlenmektedir ve alan adlarını Kayıt Sahiplerine satan şirketlerdir.
'Telefon rehberini' düzenleyen varlık olarak düşünülebilirler. GoDaddy en büyük kayıt şirketlerinden biridir.
Kaydeden, kayıt şirketinden satın alınan alan adının yasal sahibidir ve genellikle ayrıntıları WHOIS veritabanına giren kişidir, ancak daha sonra tartışılacağı gibi, 'vazgeçebilir'. Bu 'telefon rehberine' bir giriş olarak düşünülebilir.
Ağların güvenliğini sağlamaya çalışırken karşılaşılabilecek bazı sorunlara bakacağız ve mümkün olan en güvenli ağı elde etmemize yardımcı olabilecek teknolojileri inceleyeceğiz.
Şunları ele alacağız:
Güvenlik Planlaması,
Aktif Dizin,
Grup ilkesi,
Güvenlik ve Ağ Katmanları, SSH ve
Güvenlik duvarları.
Öncelikle, güvenli bir ağa sahip olmanın sihirle ya da hayal ürünü bir düşünceyle gerçekleşebilecek bir şey olmadığını anlamak önemlidir. Politika oluşturma ve planlama konusunda sağlam ve düşünceli bir yaklaşım gerektirir ve her zaman devam eden bir faaliyet olacaktır. Bugün güvenli olan ağ yarın güvenli olmayabilir.
Geliştirilen güvenlik politikaları, ağda gerçekleştirilen faaliyetler için aşağıdakileri yaparak uygun güvenlik seviyelerini sağlamalıdır:
Neyin korunduğunu ve neden korunduğunu açıklığa kavuşturmak, neyin güvence altına alındığını ve onu güvence altına almanın neden önemli olduğunu bilmek.
Bu korumayı sağlama sorumluluğunun açıkça belirtilmesi; bir tür hesap verebilirlik zinciri olmadığı sürece geliştirilen herhangi bir politikanın hiçbir faydası olmayacaktır. Sonuçta sorumluluğu kim üstleniyor?
Kullanıcıların ne yapmasına izin verildiğini ve neleri yapmaları/yapmamaları gerektiğini açıkça ortaya koymak – eğer bir ağın kullanıcılarına ne tür davranışların kabul edilebilir olduğu tam olarak söylenmezse, onaylamadığımız şeyleri yapmaları durumunda şikayette bulunamayız.
Politikalardaki çatışmaların daha sonra nasıl yorumlanıp çözüleceğine dair zemin sağlayan siber güvenlik ortamı sürekli gelişiyor. Bugün iyi bir politika, yarın teknolojideki değişiklikler nedeniyle boşa çıkabilir. Politikalar sıklıkla diğerleriyle bağlantı kurabilir ve birindeki değişiklik diğerinde çatışmalara neden olabilir.
Active Directory
Kuruluşların çoğunda en yaygın güvenlik teknolojisi Microsoft'un Active Directory'sidir; bunun nedeni, büyük ölçüde kuruluşların çoğunluğunun iç ağlarını Microsoft sunucularını ve Microsoft Windows işletim sistemi çalıştıran son kullanıcı makinelerini kullanarak çalıştırmasıdır.
Active Directory veya AD, birbirine bağlı, karmaşık ve farklı ağ kaynaklarıyla birleşik bir şekilde çalışmayı kolaylaştıran bir Windows işletim sistemi dizin hizmetidir. Çeşitli ağ dizinlerine bağlı kaynaklarla ilgili bilgilerin düzenlenmesi ve sürdürülmesi için ortak bir arayüz sağlar.
Dizinler sistem tabanlı (Windows işletim sistemi gibi), uygulamaya özel veya yazıcılar gibi ağ kaynakları olabilir.
AD, tüm kullanıcılara hızlı veri erişimi için tek bir veri deposu görevi görür ve dizinin güvenlik politikasına göre kullanıcıların erişimini kontrol eder.
AD aşağıdaki ağ hizmetlerini sağlar:
Basit Dizin Erişim Protokolü veya LDAP – Diğer dizin hizmetlerine erişmek için kullanılan açık bir standart.
Güvenli Yuva Katmanı (SSL) ve Kerberos tabanlı kimlik doğrulama ilkelerini kullanan bir güvenlik hizmeti. Kerberos, istemci-sunucu uygulamalarının kimliğini doğrulamak için gizli anahtar şifrelemesini kullanan bir ağ protokolüdür. Kerberos, hizmetleri kullanmak için kimliği doğrulanmış bir sunucu dizisi aracılığıyla şifrelenmiş bir bilet ister. Protokol, adını Yunan mitolojisinde Hades'in kapılarını koruyan üç başlı köpekten (Kerberos veya Cerberus) almaktadır.
Bu diyagram AD'nin nasıl yapılandırıldığına dair basit bir görünüm sağlar.
Nesne, kuruluş birimi (OU), Etki Alanı, ağaç (tree) ve ormancılık (forest) terimleri, AD'nin dizin verilerini düzenleme biçimini tanımlamak için kullanılır.
Tüm dizinler gibi AD de aslında bir veritabanı yönetim sistemidir. AD veritabanı, dizin tarafından izlenen bireysel nesnelerin saklandığı yerdir. Öğeleri ağaç benzeri bir yapıda gruplandıran hiyerarşik bir veritabanı modeli kullanır. Ağaçtaki her düğüm bir nesne olarak adlandırılır ve kullanıcı veya hizmet gibi bir ağ kaynağıyla ilişkilendirilir.
Herhangi bir veritabanı şeması konsepti gibi, AD şeması da tanımlanmış bir AD nesnesinin niteliklerini ve türlerini belirtmek için kullanılır; bu, atanan niteliklere göre bağlı ağ kaynaklarının aranmasını kolaylaştırır.
Örneğin, bir kullanıcının renkli yazdırma özelliğine sahip bir yazıcı kullanması gerekiyorsa, nesne özniteliği 'Renkli Yazdırma' gibi uygun bir anahtar kelimeyle ayarlanabilir, böylece tüm ağda arama yapmak ve nesnenin konumunu temel olarak belirlemek daha kolay olur. bu anahtar kelime üzerinde.
Etki alanı, belirli bir güvenlik sınırında saklanan ve ağaç benzeri bir yapıyla birbirine bağlanan nesnelerden oluşur. Muhtemelen web sitelerinin alan adlarıyla ilgili olan alan adı terimiyle daha önce karşılaşmışsınızdır. İlgili kavramlar çok farklı değildir ancak burada terim ağın kapsamını ifade etmek için kullanılmıştır.
Tek bir etki alanı, her biri birden fazla nesneyi depolayabilen birden fazla sunucuya sahip olabilir.
Bu durumda, kurumsal veriler birden çok konumda depolanır; dolayısıyla bir etki alanı, tek bir etki alanı için birden fazla siteye sahip olabilir.
Her site, yedekleme ve ölçeklenebilirlik nedeniyle birden fazla etki alanı denetleyicisine sahip olabilir.
Ortak bir şema, konfigürasyon ve genel kataloğu (etki alanları arasında arama yapmak için kullanılır) paylaşan bir Etki Alanı Ağacı oluşturmak için birden fazla etki alanı bağlanabilir.
Bir Orman (forest), birden fazla ve güvenilir etki alanı ağaçlarından (tree) oluşur ve AD'nin en üst katmanını oluşturur.
Biraz düşünelim AD kurulumunun ana bileşenlerinden biridir. Veritabanı şeması, tüm veritabanının mantıksal görünümünü temsil eden iskelet yapısıdır. Verilerin nasıl organize edildiğini ve aralarındaki ilişkilerin nasıl ilişkilendirildiğini tanımlar. Verilere uygulanacak tüm kısıtlamaları formüle eder. AD'deki temel veri birimine Object adı verilir. AD birçok farklı nesne türü hakkında bilgi depolayabilir. En çok çalıştığınız nesneler kullanıcılar, gruplar, bilgisayarlar ve yazıcılardır.
Nitelikler, belirli bir Nesne ile ilişkili olan ve etki alanı sınırları içinde nasıl davranabileceğini veya kullanılabileceğini ayrıntılandıran özelliklerdir. Etki alanı, ağa ait olan her şeyi tutan büyük bir 'kapsayıcıdır' (container). Etki Alanı Denetleyicileri adı verilen bir veya daha fazla sunucu, etki alanını ve içindeki her nesneyi yönetmekten sorumludur.
Grup İlkesi (Group Policy)
Nesnelere nitelik verilebildiği görüldükten sonra, bu niteliklerin doğru nesnelere atanması için basit bir yönteme ihtiyaç duyulmaktadır. Bu ölçekte bunu başarabilmenin yolu Grup İlkesi kullanımından geçmektedir. Grup İlkesi, Microsoft Windows NT işletim sistemleri ailesinin, kullanıcı hesaplarının ve bilgisayar hesaplarının çalışma ortamını denetleyen bir özelliğidir. Active Directory ortamında işletim sistemlerinin, uygulamaların ve kullanıcı ayarlarının merkezi yönetimini ve yapılandırılmasını sağlar.
Grup İlkesi kısmen kullanıcıların bir bilgisayar sisteminde neler yapabileceğini ve yapamayacağını kontrol eder: örneğin:
Kullanıcıların aşırı basit bir parola seçmesini engelleyen bir parola karmaşıklığı ilkesini uygulamak.
Uzak bilgisayarlardan kimliği belirsiz kullanıcıların bir ağ paylaşımına bağlanmasına izin vermek veya engellemek;
Windows Görev Yöneticisine erişimi engellemek için; veya
Belirli veri depolama klasörlerine erişimi kısıtlamak için.
Grup İlkesi Nesnesi (Group Policy Object)
Bu tür yapılandırmalardan oluşan bir kümeye Grup İlkesi Nesnesi veya GPO adı verilir. GPO, yöneticinin bilgi işlem ortamının çeşitli yönlerini denetlemesine olanak tanıyan bir Grup İlkesi ayarları koleksiyonu için bir depolama yeridir. Tüm Grup İlkesi ayarları, AD deposundaki nesnelerle ilişkili özelliklerle birlikte bir GPO'da depolanır. Siteler, etki alanları ve kuruluş birimlerine ilişkin politika ayarları GPO'larda depolanır. Bir etki alanı veya kuruluş birimi için GPO oluşturmak için AD Kullanıcıları ve Bilgisayarları konsolunu ve Grup İlkesi Yönetim Konsolu'nu (GPMC) kullanın.
Bu ekran çıktısında Grup İlkeleri için yönetim konsolu gösterilmektedir. Grup İlkesi Kapsayıcı veya GPC, AD'de depolanan ve etki alanındaki her etki alanı denetleyicisinde bulunan GPO'nun kısmıdır.
GPC aşağıdakilerden sorumludur:
İstemci Tarafı Uzantılarına veya CSE'lere yapılan referansları tutmak;
Grup İlkesi Şablonlarının veya GPT'lerin yolu;
Yazılım kurulum paketlerine giden yollar; ve GPO'nun diğer referans yönleri.
GPC için Sistem kapsayıcısıyla ilgileniyoruz. Bu kapsayıcıyı genişlettiğinizde Politikalar adında bir alt kapsayıcı bulacaksınız.
İlkeler kapsayıcısının genişletilmesi, etki alanında bulunan tüm GPO'lara karşılık gelen Genel Benzersiz Tanımlayıcıların veya GUID'lerin bir listesini ortaya çıkaracaktır. GUID, konsoldaki ad etiketi altında gösterilen ve yazılım programları tarafından bir şeyi benzersiz şekilde tanımlamak için kullanılan 128 bitlik (16 bayt) bir sayıdır. GUID'ler genellikle 32 basamaktan oluşan ve tirelerle ayrılmış basamak gruplarından oluşan onaltılık gösterimle yazılır.
Grup İlkesi Şablonu (veya GPT), herhangi bir GPO'nun gerçek içeriğinin bulunabileceği yerdir.
Bir GPO'ya baktığımızda yönetim konsolunda gördüğümüz yalnızca bir işaretçidir; GPO'nun büyük kısmı GPT içerisinde tutulur. İkisi, ilgili Grup Benzersiz Tanımlayıcıları (GUID'ler) kullanılarak birbirine bağlanır.
Grup İlkesi Yönetim Şablonu ayarları yalnızca bir kez gönderilir.
Grup İlkesi Yönetim Şablonlarını temel alan bir ayar bir kez teslim edilip uygulandığında bir daha asla teslim edilmez.
Diyelim ki Sistem Geri Yüklemeyi kapatan bir bilgisayar politikası oluşturdunuz. Bu ayar daha sonra kayıt defterine iletilecek ve kullanıcıların bu özelliği kullanmasını engelleyecektir. Bilgisayar kaç kez açılırsa açılsın, bir daha asla o ayarı indirmez.
Grup İlkesi çoğu kullanıcı için ayarları uygulama konusunda iyi bir iş çıkarsa da, yerel yöneticilerin veya kayıt defteri konusunda bilgili kullanıcıların bunları atlatmasını engelleyemez.
Üstelik herhangi bir iyileştirme de yok.
Ağ Güvenliği ve Ağ Katmanları
Ağ güvenliğine yönelik bir yazılım çözümünü inceledikten sonra, şimdi fiziksel cihazların ağ güvenliğini sağlamak için nasıl kullanılabileceğini ele alalım. Diğer videolarda tartışıldığı gibi Ağlar, OSI'nin yedi katmanlı modeli kullanılarak açıklanabilir; bunların "en düşük" olanı fiziksel katmanlardır.
Fiziksel katmanı bu şekilde güvence altına alacak bir teknoloji mevcut değildir, ancak kablosuz bir ağın 'fiziksel' katmanını radyo sinyalinin gönderildiği hava olarak düşünürsek, o zaman güvenliği sağlayabileceğimiz bir yol düşünebiliriz. o – yayılı spektrum tekniklerini kullanarak.
Yayılı spektrum, radyo veya telekomünikasyon sinyallerini iletmek için kullanılan bir tekniktir. Terim, frekansı işgal etmek için iletilen sinyalin yayılması uygulamasını ifade eder.
iletim için uygun spektrum. Spektrum yayılımının avantajları arasında gürültü azaltma, güvenlik ve parazit ve müdahaleye karşı direnç yer alır. Yayılmış spektrumun uygulanmasının bir yolu, bir sinyalin kısa patlamalar halinde iletildiği, sözde rastgele bir dizide frekanslar arasında "atlama" yapıldığı bir teknik olan frekans atlamadır.
Hem gönderen cihaz hem de alıcı cihaz frekans dizisinden haberdar olmalıdır.
Modeldeki diğer katmanlara ilişkin güvenlik hususlarına bakalım.
Veri bağlantısı katmanı, herhangi bir protokolden bağımsız olarak o bağlantıdaki tüm trafiği kapsar.
DHCP Targeted Attacks: Veri Bağlantı Katmanına karşı gerçekleştirilebilecek DHCP'yi hedef alan saldırılardan bazıları, Cisco'nun DHCP Gözetleme gibi teknolojileri ile azaltılabilir.
ARP Poisoning: Bu katmanda Adres Çözümleme Protokolünü veya ARP'yi zehirlemek gibi başlatılabilecek başka saldırılar da vardır.
Port Stealing: Bağlantı noktası çalma saldırısı, saldırganların anahtarlar gibi ağ cihazlarını, bilgisayarlarının aslında ağdaki başka bir meşru cihaz olduğunu düşünmeleri için kandırdıklarında meydana gelebilir. Daha sonra o cihaza yönelik tüm trafiği çalabilirler.
Bu saldırıların çoğuna yönelik azaltımlar, Katman 2 protokolleriyle en yoğun şekilde çalışan ağ ekipmanları olduğundan ağ anahtarları içinde uygulanır.
Ağ veya İnternet Katmanı
OSI modelinde bir sonraki adım Ağ veya İnternet Katmanıdır.
Bu katmanda taşınan trafik İnternet Protokolünü kullanır. Bu protokol durum bilgisizdir (stateless), yani herhangi bir bağlantının 'durumuna' ilişkin herhangi bir kayıt tutmaz.
Bu katman OSI modelinin Uygulama katmanından çıkarıldığından hem olumlu hem de olumsuz yanları vardır.
Olumlu Yanları
İlk olarak koruma, ilgili Uygulamadan bağımsız olarak uygulanabilir, dolayısıyla kimlik doğrulama veya güvenlik anahtarlarının değişimi için tek bir işlem noktası vardır.
Uygulama, bu katmandaki trafiği korumak için yapılan çalışmalar hakkında hiçbir şey bilmemektedir, dolayısıyla bununla ilgili herhangi bir işlevsellik içermesi gerekmez.
Olumsuz Yanları
Uygulamanın sağlanan güvenliğin yeterli olup olmadığı konusunda hiçbir fikri olmaması nedeniyle, Uygulamanın iletişimleri üzerinde kontrol eksikliği bir risk olarak kabul edilebilir.
OSI modelinin bu katmanı durum bilgisi olmayan bağlantılarla çalışır; bir bağlantının durumunu bilmemek, saldırganların ağ trafiğine müdahale etmesini kolaylaştırabilir.
Durum denetiminin olmayışı ayrıca IP'yi güvenilmez hale getirir; bu, bir bağlantı tüm verilerin teslim edilmesinin ve belirli bir sırayla teslim edilmesinin garanti edilmesini gerektiriyorsa yararlı olmayabilir.
İletim Katmanı (Transport Layer)
TCP, IP'nin üstünde bulunur ve bağlantı yönelimli bir protokoldür, yani tanımı gereği durum bilgisi vardır (stateful). Durum böyle olmasaydı TCP, TCP aracılığıyla gönderilen tüm baytların 'sıralı teslimini' garanti edemezdi.
TCP, bağlantı odaklı bir protokol örneğidir. Veri alışverişi yapılmadan önce iki süreç (process) arasında mantıki bir bağlantının kurulması gerekir. Bağlantı, iletişimin gerçekleştiği süre boyunca korunmalı, daha sonra bırakılmalıdır. Bu durum, sanal bir devrenin kurulduğu bir telefon görüşmesine benzer; mesajın iletilebilmesi için arayan kişinin, aranan kişiye ait telefon numarasını bilmesi ve telefonun yanıtlanması gerekir.
TCP, IP katmanı üzerinde kullanıldığı veya HTTP protokolünün TCP üzerine kurulduğu için değil, ne olduğundan dolayı durum bilgisi olan bir protokoldür.
TCP paketi içinde, durum bilgisi bir pencere boyutu (1 window size) biçiminde tutulur; uç noktalar birbirlerine ne kadar veri almaya hazır olduklarını söyler ve paket sıraları; uç noktaların, birbirlerinden bir paket aldıklarında birbirlerine onaylamaları (acknowledge) gerekir.
Diğer sistemin kaç bayt alabildiği ve son paketi alıp almadığı durumu, TCP'nin doğası gereği güvenilir olmayan protokoller üzerinde bile güvenilir olmasını sağlar.
Bu nedenle TCP durum bilgisi olan bir protokoldür çünkü kullanışlı olması için duruma ihtiyaç duyar.
Her uygulama, gerektiğinde bağlantı bazında bu katmanda güvenliğin uygulanıp uygulanmayacağına ilişkin kendi kararlarını verebilir. Bu, her uygulamanın iletişim için kullanılan gerçek protokole dikkat ederek bunu yapacak şekilde yapılandırılması gerektiği anlamına gelir.
Durum bilgisinin varlığı, durumun bilinmesine dayanan bazı güvenlik hizmetlerinin uygulanmasının daha kolay olduğu anlamına gelebilir.
Uygulama Katmanı (Application Layer)
OSI ve TCP/IP modellerinin en üstünde Uygulama katmanlarını buluyoruz.
Burada, ağ trafiğini güvence altına almanın çok sayıda yolu vardır; özellikle de her uygulamanın güvenliği ele alma konusunda kendi yaklaşımını benimseyebilmesi nedeniyle.
Uygulamaların güvenliğe yaklaşımı doğrudan o uygulamanın işlevselliğine ve gereksinimlerine göre uyarlanabilir.
Uygulama katmanına, inkar edilmeme gibi ekstra güvenlik gereksinimleri de ekleyebiliriz; bu da uygulamanın belirli kullanıcısının aslında bilgiyi gerçek gönderen kişi olduğunu kanıtlar.
Ancak güvenliğe yönelik bu bireyselci yaklaşım kendi sorunlarını da beraberinde getirebilir.
Uygulamaların güvenliğine yönelik standart bir yaklaşım olmadığında, her geliştirici kendi tasarımını uygulamakta özgürdür ve bu, herhangi bir uygulama grubu veya bilgisayar için genel güvenlik stratejisinde çatışmalara ve/veya hatalara yol açabilir.
İnternet Protokolü Güvenliği
İnternet Protokolü Güvenliği (IPsec) protokolü gizlilik, bütünlük ve yetkilendirme sunar.
TLS, Aktarım/Uygulama Katmanında çalışır ve dolayısıyla uygulamaya özeldir
IPsec, IP tabanlıdır ve bu nedenle Ağ Katmanında çalışır
Ancak Aktarım/Uygulama Katmanında çalışan ve dolayısıyla uygulamaya özel olan TLS'den farklı olarak IPsec, IP tabanlıdır ve bu nedenle Ağ Katmanında çalışır; bu, uygulamanın yarattığı trafikten bağımsız olarak tüm trafiğe uygulanabileceği anlamına gelir. Yani IP katmanında koştuğu için tüm trafiğe uygulanabilir.
Bir ağ üzerinden gönderilen veri paketlerinin kimliğini doğrular, şifreler. Yani bir oturumun başlangıcında karşılıklı kimlik doğrulamanın kurulmasına yönelik protokollerinin yanı sıra, oturum sırasında kullanılacak şifreleme anahtarlarının anlaşılmasına yönelik protokoller içerir.
IPsec iki farklı modda çalışacak şekilde yapılandırılabilir: Tünel (tunnel) ve Taşıma (transport) modu *. Her modun kullanımı IPSec gereksinimlerine ve uygulamasına bağlıdır.
Yukarıdaki şemada:
iki bilgisayar arasındaki IPsec bağlantısı ise aktarım modundadır.
iki gateway arasında kurulan IPsec bağlantısı tünel modunda,
Tünel modu varsayılan moddur. Tünel modunda orijinal IP paketinin tamamı IPsec tarafından korunur. Bu, IPsec'in AH veya ESP başlığı ile orijinal paketi sardığı, şifrelediği, yeni bir IP başlığı eklediği ve onu tünelin diğer tarafına, yani IPsec eşine gönderdiği anlamına gelir.
Taşıma Modu uçtan uca iletişim için kullanılır.
Bağlantılar için mevcut olan iki moda ek olarak, IPSec'in Kapsüllenen Güvenlik Yükünü (Encapsulated Security Payload) nasıl ele aldığına ilişkin iki yaklaşımı vardır.
ESP yalnızca şifreleme ve yalnızca kimlik doğrulama yapılandırmalarını destekler, ancak kimlik doğrulama olmadan şifrelemenin kullanılması güvenli olmadığından kesinlikle önerilmez. Kimlik Doğrulama Başlığı (Authentication Header) veya AH, IPsec'in bir parçasıdır; bir veri paketinin kaynak kaynağını doğrular ve paketin tamamı için kimlik doğrulama, bütünlük ve yeniden yürütülmesini önleme özellikleri sağlar.
AH, Gizlilik sağlamaz yani verileri şifrelemez. Veriler okunabilir ancak değiştirilmeye karşı korunur.
ESP, Taşıma modunda, IP paketinin tamamı için bütünlük ve kimlik doğrulama sağlamaz. Ancak, Tünel Modunda, orijinal IP başlığı da dahil olmak üzere orijinal IP paketinin tamamı, yeni bir paket başlığı eklenerek kapsüllenir.
IPSec Güvenlik İlişkileri (Security Association)
IPSec Güvenlik İlişkileri (SA), IPSec için temeldir. SA, iki veya daha fazla varlık arasındaki, varlıkların güvenli bir şekilde iletişim kurmak için güvenlik hizmetlerini nasıl kullanacaklarını açıklayan bir ilişkidir.
Her IPSec bağlantısı şifreleme, bütünlük, kimlik doğrulama veya üç hizmetin tümünü sağlayabilir.
IPSec'in ele almak üzere tasarlandığı bazı güvenlik sorunlarına bakalım.
Bunların çoğu, veri konuşmalarını dinlemek ve/veya içeriklerini değiştirmek ya da aslında öyle olmadıkları halde konuşmaya gerçek bir katılımcı gibi davranmak gibi iletişimlere müdahale ile ilgilidir. Pek çok uygulamanın, iletişimlerinin güvenliğini sağlamak için kendi çözümü vardır ve bu, başlı başına sorunlu hale gelebilir.
IPSec ağ katmanında güvenlik sağladığı için kaynak uygulamayı umursamaz ve güvenliğini tüm trafiğe uygular. Bu, güvenlik yaklaşımını standartlaştırırken kullanıcılara ve uygulamalara karşı şeffaftır.
IPSec, yeni nesil IP IPv6 için zorunludur, ancak mevcut nesil IPv4 için isteğe bağlıdır.
Aktarım Katmanı Güvenliği (TLS)
Aktarım Katmanı Güvenliği (TLS), öncelikle güvenli Web taramasına, uygulama erişimine, veri aktarımına ve çoğu İnternet tabanlı iletişime olanak tanır. İletilen/aktarılan verilerin dinlenmesini veya tahrif edilmesini önler ve Web tarayıcılarını, Web sunucularını, VPN'leri, veritabanı sunucularını ve daha fazlasını güvence altına almak için kullanılır.
TLS protokolü iki farklı alt protokol katmanından oluşur:
TLS El Sıkışma Protokolü: Veriyi göndermeden önce istemci ve sunucunun birbirinin kimliğini doğrulamasını ve bir şifreleme algoritması ile diğer parametreleri seçmesini sağlar.
TLS Kayıt Protokolü: Oluşturulan bağlantının güvenli ve güvenilir olmasını sağlamak için standart TCP protokolünün üzerinde çalışır. Ayrıca veri kapsülleme ve veri şifreleme hizmetleri de sağlar.
İki önemli TLS kavramı şunlardır:
Bağlantı: uygun türde bir hizmetin sağlanmasıyla ilişkili mantıksal bir istemci/sunucu bağlantısı; Ve
Oturum: istemci ile sunucu arasındaki, kullanılan algoritmalar ve oturum numarası gibi bir dizi güvenlik parametresini tanımlayan ilişki.
Oturumlar, her bağlantı için yeni parametrelerin müzakere edilmesini önlemek için kullanılır.
SSH (Secure Shell / Secure Socket Shell)
Secure Shell veya Secure Socket Shell olarak da bilinen SSH, yöneticilere uzak bir bilgisayara erişmeleri için güvenli bir yol sağlayan bir ağ protokolüdür.
Aynı zamanda protokolü uygulayan yardımcı program paketini de ifade eder. Açık SSH ve PuTTY bu yardımcı programlara örnektir.
SSH, Uygulama katmanında güvenlik uygular;
İnternet gibi güvenli olmayan bir ağ üzerinden bağlanan iki bilgisayar arasında güçlü kimlik doğrulama ve güvenli şifreli veri iletişimi sağlar.
SSH, ağ yöneticileri tarafından sistemleri ve uygulamaları uzaktan yönetmek, ağ üzerinden başka bir bilgisayarda oturum açmalarına, komutları yürütmelerine ve dosyaları bir bilgisayardan diğerine taşımalarına olanak sağlamak için yaygın olarak kullanılır.
Mevcut SSH protokolleri seti SSH-2'dir ve 2006 yılında standart olarak kabul edilmiştir. SSH-1 ile uyumlu değildir ve güvenliği artırmak için mesaj kimlik doğrulama kodlarını kullanan daha güçlü bir bütünlük kontrolünün yanı sıra Diffie-Hellman anahtar değişimini kullanır. SSH istemcileri ve sunucuları bir dizi şifreleme yöntemini kullanabilir; en yaygın kullanılanları Gelişmiş Şifreleme Standardı (AES) ve Blowfish'tir.
SSH, güvenliğini artırmak için özel olarak tasarlanmış bir dizi özelliğe sahiptir.
Bağlantının kimlik doğrulaması şu adreste gerçekleşir:
Authentication: Her bir tarafın söylediği kişi olduğundan emin olmak için konuşmanın başlangıcı. Bu kimlik doğrulama, parolalar, dijital sertifikalar veya dijital güvenlik belirteçleri gibi çeşitli yollarla gerçekleştirilebilir. Kimlik doğrulama işlemi, bağlantı oturumu boyunca tekrarlanarak, bir anahtar kümesinin güvenliği ihlal edilse bile bunun tüm oturumu etkilememesi sağlanır.
Integrity: SSH, paketlerin aktarım sırasında değiştirilmediğinden emin olmak için bir bütünlük kontrol mekanizması sağlar. Bir paketin değiştirildiği tespit edilirse ve bütünlük kontrolünden geçemezse bağlantı sonlandırılır.
Identification: SSH ayrıca herhangi bir paketi gönderenlerin kimliklerini doğrulamak için teknikler kullanır. Her pakete gönderenin kimliğini kanıtlayan bir imza damgalanmıştır.
Güvenlik Duvarları (Firewall)
Güvenlik duvarları, paketleri bir mantıksal ağ adres alanından diğerine ileten, ancak paketin iletilmesine mi yoksa bırakılmasına mı karar vermek için kuralları kullanan yönlendirme aygıtlarıdır.
Güvenlik duvarları bir ağ içerisinde çeşitli yerlerde bulunabilir.
En yaygın olanı dahili ağ ile daha geniş İnternet arasındadır.
Ayrıca tamamen ağın dahili olarak konuşlandırılabilirler ve son derece hassas verilere erişimi korumak için kullanılabilirler.
Bir güvenlik duvarı aynı zamanda son kullanıcıların bilgisayarına da kurularak ağ kaynaklarına erişimlerini kontrol edebilir ve makineyi dış tehditlere karşı koruyabilir.
Donanım güvenlik duvarları, basit bir işletim sistemine sahip özel güvenlik duvarı cihazlarıdır ve yalnızca güvenlik duvarı olarak kullanılmak üzere tasarlanmıştır.
Yazılım güvenlik duvarları genellikle sunucular veya uç nokta bilgisayarları gibi çok amaçlı cihazlara kurulur ve bu nedenle tek kullanımlık cihazlar değildir.
Güvenlik duvarının ana işlevi, farklı IP ağ adreslerine sahip ve farklı güven düzeylerine sahip ağları (örneğin kurumsal ağ ve İnternet) birbirine bağlamaktır.
Güvenlik duvarı yöneticileri, belirli türdeki trafiğin güvenlik duvarını geçmesine izin verecek ve geri kalanını engelleyecek bir dizi kural oluşturur.
Kural setinin genel içeriği kuruluşun güvenlik politikası tarafından tanımlanacaktır. Güvenli bir güvenlik duvarının varsayılan kuralı, güvenlik duvarı üzerinden gelen tüm trafiği reddetmek ve istisnaların daha yüksek güvenilen ağa girmesine veya ayrılmasına izin vermek olmalıdır.
Güvenlik duvarları, cihaza giren paketleri inceleyerek çalışır. Yıllar içinde gelişen paketleri incelemek için kullanılan çeşitli yöntemler vardır.
Genel anlamda beş farklı türde güvenlik duvarı mimarisi vardır:
Paket filtreleme güvenlik duvarları
Durum bilgisi olan denetim güvenlik duvarları
Devre düzeyinde ağ geçitleri
Proxy güvenlik duvarları olarak da bilinen uygulama düzeyinde ağ geçitleri
Yeni nesil güvenlik duvarları
Güvenlik duvarı, potansiyel olarak savunmasız hizmetlerin ağa girmesini veya çıkmasını yasaklar ve çeşitli IP yanıltma ve yönlendirme saldırılarına karşı koruma sağlar. Güvenlik duvarı sistemine uygulanabilecek güvenlikle ilgili olayların, denetimlerin ve alarmların izlenmesi için bir konum sağlar. Bir güvenlik duvarı, tüneli kullanan IPSec için platform görevi görebilir.
Güvenlik duvarı, güvenlik duvarını aşan saldırılara karşı koruma sağlayamaz.
Dahili sistemler bir ISP'ye bağlanmak için dışarı arama özelliğine sahip olabilir. Dahili bir LAN, seyahat eden çalışanlar ve evden çalışanlar için arama özelliği sağlayan bir modem havuzunu destekleyebilir.
Güvenlik duvarı, bir çalışanın kasıtlı veya kasıtsız olarak harici bir saldırganla işbirliği yapması gibi iç tehditlere karşı koruma sağlamaz.
Güvenlik duvarı, virüs bulaşmış programların veya dosyaların aktarımına karşı koruma sağlayamaz.
Paket filtreleme
Paket filtreleme, paketleri bir ağ arayüzünde geçirme veya engelleme işlemidir.
Bu, kaynak ve hedef adreslerine, bağlantı noktalarına veya protokollere dayanır.
Paket filtreleme genellikle yerel ağı istenmeyen izinsiz girişlerden korumaya yönelik bir güvenlik duvarı programının bir parçasıdır.
Paket filtrelemeye paket bazında karar verilir, ancak paketin etrafındaki bağlam veya durum dikkate alınmaz.
Yani, gelen bir paketin bilinen bir giden pakete yanıt olup olmadığını kontrol etmez.
Bunun yerine, filtreleme, her paketin başlığını belirli bir kurallar dizisine göre inceleyerek ve bu temelde, DROP olarak adlandırılan, geçmesini engellemeye karar vererek veya KABUL olarak adlandırılan, geçmesine izin vererek yapılır.
Filtreleme kuralları kümesi tanımlandıktan sonra paket filtresinin yapılandırılabileceği üç yol vardır:
İlk yöntemde filtre yalnızca güvenli olduğundan emin olduğu paketleri kabul eder, diğerlerini bırakır. Bu en güvenli moddur ancak yasal paketlerin yanlışlıkla düşürülmesi durumunda rahatsızlığa neden olabilir.
İkinci yöntemde ise filtre yalnızca güvensiz olduğundan emin olduğu paketleri bırakır, diğerlerini kabul eder. Bu mod en az güvenli olanıdır ancak özellikle gündelik Web taramalarında daha az rahatsızlığa neden olur.
Üçüncü yöntemde ise filtre, kurallarının talimat vermediği bir paketle karşılaşırsa, o paket karantinaya alınabilir veya kullanıcıya bu paketle ne yapılması gerektiği özel olarak sorgulanabilir.
Örneğin Web'de gezinme sırasında çok sayıda iletişim kutusunun görünmesine neden oluyorsa sakıncalıdır.
Dinamik paket filtreleme olarak da bilinen durum bilgisi olan inceleme güvenlik duvarları, etkin bağlantıların durumunu izleyen ve bu bilgileri, güvenlik duvarı üzerinden hangi ağ paketlerine izin verileceğini belirlemek için kullanan bir güvenlik duvarı teknolojisidir.
Statik paket filtrelemede, paketlerin yalnızca başlıkları kontrol edilir; bu, bir saldırganın bazen yalnızca başlıkta "yanıt" ifadesini belirterek güvenlik duvarı aracılığıyla bilgi alabileceği anlamına gelir.
Durum denetimi ise paketleri uygulama katmanına kadar analiz eder. Dinamik paket filtresi, IP adresleri ve bağlantı noktası numaraları gibi oturum bilgilerini kaydederek, statik paket filtresinin sağlayabileceğinden çok daha sıkı bir güvenlik duruşu uygulayabilir.
Belirli bir süre boyunca iletişim paketlerini izler ve hem gelen hem de giden paketleri inceler.
Belirli türde gelen paketler talep eden giden paketler izlenir ve yalnızca uygun yanıt oluşturan gelen paketlere güvenlik duvarı üzerinden izin verilir.
Durum denetimi kullanan bir güvenlik duvarında ağ yöneticisi, parametreleri belirli ihtiyaçları karşılayacak şekilde ayarlayabilir.
Tipik bir ağda, gelen bir paket belirli bir bağlantı noktasına bağlantı talep etmedikçe bağlantı noktaları kapatılır ve yalnızca o bağlantı noktası açılır. Bu uygulama port taramasını engeller.
Bu şema, durum bilgisi olan bir denetim güvenlik duvarının bir ağ içinde nasıl uygulanabileceğinin basit bir grafiksel gösterimini sağlar.
Bir tarafta kuruluşu internete bağlayan, diğer tarafta ise Askerden Arındırılmış Bölge (DMZ) bulunan, dışarıya bakan bir güvenlik duvarını gösteriyor.
Dahili ağı DMZ'ye bağlayan dahili bir güvenlik duvarı bulunmaktadır.
Bir uygulama ağ geçidi veya uygulama düzeyi ağ geçidi veya ALG, ağ güvenliği sağlayan bir güvenlik duvarı proxy'sidir. Gelen trafiği belirli spesifikasyonlara göre filtreler; bu, yalnızca izin verilen uygulamalardan gelen verilerin geçebileceği anlamına gelir. Bu tür ağ uygulamaları arasında Dosya Aktarım Protokolü veya FTP; Telnet; Gerçek Zamanlı Akış Protokolü veya RTSP; ve BitTorrent.
Uygulama ağ geçitleri
Uygulama ağ geçitleri, yüksek düzeyde güvenli ağ sistemi iletişimi sağlar.
Örneğin, bir istemci dosyalar, Web sayfaları ve veritabanları gibi sunucu kaynaklarına erişim istediğinde, istemci önce proxy sunucusuna bağlanır ve daha sonra ana sunucuyla bağlantı kurar.
Proxy sunucusu iletişimin iki ucu arasında aracı görevi görür; bu da aslında hiçbirinin diğerinden haberdar olmadığı anlamına gelir.
Yalnızca belirli uygulamalardan gelen trafiğin akışına izin verildiği için ALG'ler, her türlü trafikle başa çıkmak zorunda olan paket filtrelerinden daha güvenli olabilir.
Dezavantajlardan biri, bu tür ağ güvenliğinin her bağlantıya ek bir işlem yükü getirmesidir.
Devre düzeyinde ağ geçidi
Devre düzeyinde ağ geçidi, UDP ve TCP bağlantı güvenliğini sağlayan ve OSI modelinin oturum katmanında çalışan bir güvenlik duvarıdır.
Uygulama ağ geçitlerinden farklı olarak, devre düzeyindeki ağ geçitleri, TCP veri paketi el sıkışmasını ve güvenlik duvarı kurallarının ve politikalarının oturumun yerine getirilmesini izler. Örneğin, bir kullanıcının Web sayfası erişim isteği devre ağ geçidinden geçtiğinde, IP adresi gibi temel dahili kullanıcı bilgileri, uygun geri bildirimle takas edilir.
Proxy sunucusu daha sonra isteği Web sunucusuna iletir. İsteği aldıktan sonra harici sunucu, proxy sunucunun IP adresini görür ancak herhangi bir dahili kullanıcı bilgisi almaz.
Web sunucusu, proxy sunucusuna uygun bir yanıt gönderir ve bu yanıt, devre düzeyindeki ağ geçidi aracılığıyla istemciye veya son kullanıcıya iletilir.
Bir ağı daha güvenli hale getirmenin basit bir yolu, o ağdaki tüm dahili makinelerin doğrudan bağlanamamasını ve dolayısıyla kendilerini daha geniş İnternet'e açık hale getirmemesini sağlamaktır.
IP adresleme şeması, yalnızca dahili bir ağ içinde kullanılması amaçlanan IP adres aralıklarını bir kenara bırakır. Yani internette yönlendirilemezler.
Dahili IP adresinizi dış dünyadan gizleyebiliyorsanız, bu durum harici saldırganların size saldırmasını açıkça zorlaştırır.
Bunu başarmanın en yaygın yolu Ağ Adresi Çevirisi veya NAT kullanmaktır. NAT dağıtıldığında, dahili makineler internete bağlantılarını bir NAT cihazı aracılığıyla yapar. Trafiği daha sonra NAT cihazının harici IP adresinin üzerine damgalanmasıyla İnternet'e gönderilir. İnternetten gelen yanıtlar NAT cihazına geri döner; bu aygıt, bu yanıtları doğru dahili IP adresine yönlendirecek kadar akıllıdır.
IP, trafiğin amaçlanan hedefe ulaşmak için izlemesi gereken rotaların reklamını yaparak çalışır. Dahili ana bilgisayarlara giden yollar daha geniş İnternet'e duyurulursa, saldırganlar kendilerini gerekli hedefe giden daha kısa bir yol olarak göstererek ve dolayısıyla ağı ele geçirerek yönlendirme sürecine müdahale edebilirler.
onlara gönderilen trafik.
IP sahteciliği, sahte bir IP adresi aracılığıyla bağlantının ele geçirilmesi anlamına gelir.
IP sahteciliği, bir bilgisayarın IP adresini gerçekmiş gibi görünecek şekilde maskeleme eylemidir. Bu maskeleme işlemi sırasında sahte IP adresi, orijinal ve güvenilir görünen bir IP adresiyle birlikte kötü niyetli gibi görünen bir mesaj gönderir.
IP sahtekarlığında, IP başlıkları, sahtekarların IP adreslerinin yanı sıra kaynak ve hedef bilgileri gibi IP başlığında bulunan hayati bilgileri keşfedip daha sonra değiştirdikleri bir TCP biçimi aracılığıyla maskelenir.
IP sahteciliğiyle ilgili yaygın bir yanılgı, bilgisayarlara yetkisiz erişime izin verilmesidir; durum bu değil. Aslında IP sahtekarlığı, kurbanı trafikle bunaltmayı amaçlayan hizmet reddi saldırıları yoluyla bilgisayar oturumlarını ele geçirmeyi amaçlamaktadır.
Bir ara belleğe tutabileceğinden daha fazla veri yazıldığında arabellek taşması meydana gelir. Tampon, işlenen veriler için küçük bir depolama alanıdır.
Fazla veri, bilgisayarın belleğinde bitişik bir alana yazılarak o konumun içeriğinin üzerine yazılır ve programda öngörülemeyen sonuçlara neden olur.
Verilerin uygun şekilde doğrulanmaması durumunda arabellek taşmaları meydana gelir. Yazılımdaki bir hata veya zayıflık olarak kabul edilir.
Arabellek taşmaları, bir saldırganın yararlanabileceği en kötü hatalardan biridir çünkü bunların bulunması ve düzeltilmesi çok zordur, özellikle de yazılım milyonlarca satır koddan oluşuyorsa.
Bu hataların düzeltmeleri bile oldukça karmaşık ve hataya açık. Bu nedenle bu tür hataların tamamen ortadan kaldırılması gerçekten neredeyse imkansızdır.
Son olarak, güvenlik duvarları gibi ağ korumaları, teknoloji tabanlı tehditlerle mücadelede oldukça etkili olabilse de, içeriden gelen tehditler gibi insan kaynaklı saldırılara karşı çok etkili değildir.
Erişim Kontrol Listeleri veya ACL'ler, bir bilgi işlem kaynağına erişimi kontrol etme gereksiniminin olduğu birçok bilgi işlem alanında uygulanabilen bir kavramdır.
Bu örnekte, bir bilgisayar ağına giren veya çıkan trafiği kısıtlamak için ACL'leri kullanmaktan bahsediyoruz.
Liste, bir IP paketindeki verilerde potansiyel olarak bulunabilecek bir dizi modeli içerir. Her paketin içeriği listedeki kalıplarla karşılaştırılıyor ve bir eşleşme bulunursa pakete ne olacağı konusunda bir karar veriliyor. 'Kötü' bir kalıpla eşleşiyorsa bloklanabilir ve bırakılabilir. 'İyi' bir eşleşmenin yoluna devam etmesine izin verilecek.
Bu kitapta bilgisayar ağları üzerinden iletişim kurmanın yeni yollarından bazılarını öğreneceksiniz. Özellikle Geniş alan mobil bağlantısı, VoIP, IP telefonu, WLAN, 802.11, Nesnelerin İnterneti (IoT), 5G, WhatsApp ve FaceTime hakkında bilgi edineceksiniz.
İletişim şeklimizdeki en büyük değişikliklerden biri mobil bağlantı, kısaca cep telefonunun yükselişi yoluyla gerçekleşti.
İlk hücresel ağlar, cep telefonlarına ve cep telefonlarından ses verilerini oldukça sakin ancak bir konuşmayı mümkün kılmaya yetecek hızlarda taşıyabiliyordu.
Zamanla hücresel altyapı gelişti ve daha yüksek veri aktarım hızları sağlandı. Aynı zamanda, hareket halindeyken bağlantı kurma isteğimiz de arttı ve genellikle ağın mevcut kapasitesi doldu.
Mobil cihazlar artık İnternet'e, evimizdeki geniş banta bağlı dizüstü bilgisayarlarımıza benzer, hatta daha iyi hızlarda (5G durumunda) erişebiliyor.
Önceki bir videoda, bilgisayarlara yapılan girişlerin, girişi işleyebilmeleri için dijitalleştirildiği fikrini öğrenmiştiniz. Cep telefonuyla telefon görüşmesi yaptığımızda konuşmamızda da benzer bir şey olur, dolayısıyla bu kavramı interneti kullanarak telefon görüşmesi yapmaya kadar genişletmek doğaldır.
İnternet Üzerinden Ses Protokolü veya VoIP bunun olmasına izin veren şeydir.
Tüketiciler artık telekomünikasyonu hem ürün hem de hizmet açısından düşünüyor.
Örneğin, müşteriye ait olan ve müşteri tarafından kurulan bir Wi-Fi yerel alan ağı, bir VoIP hizmetini destekleyen ilk erişim bağlantısı olabilir ve bir tüketici, bir VoIP yazılım paketi satın alabilir ve bunu, kendisine bağlanan ve kişisel olarak sahip olduğu ve işlettiği bilgisayarlara kurabilir. İnternet servis sağlayıcısı aracılığıyla İnternet.
VoIP bazen IP Telefonu olarak da tanımlanır ancak VoIP'in IP Telefonunun bir unsuru olduğunu söylemek daha doğru olur.
IP Telefonu, ses veya ses verilerinin bir IP ağı üzerinden iletilmesine ve ayrıca görüntü ve video gibi diğer medyaların iletilmesine odaklanan bir dizi yetenekten oluşur.
IP Telefonunun bir örneği, coğrafi olarak uzaktaki katılımcıların, beyaz tahtaları veya belgeleri paylaşmaya kadar, bir toplantıya tam olarak aynı odadaymış gibi katılmalarını sağlayan Web tabanlı konferanstır.
Burada hatırlanması gereken önemli nokta, söz konusu ağ bağlantılarına bağlı olarak bu etkileşimlerin gerçek zamanlı ve doğal konuşma hızında gerçekleşmesidir.
Yukarıdaki şema VoIP'nin nasıl çalıştığına dair basit bir açıklama sunmaktadır.
Ekipmanın ana parçası Medya Ağ Geçidi'dir; bu, bilgileri bir durumdan diğerine dönüştürür. Bu ister sesimizi dijitalleştirmek olsun, ister sesimizi dijital formundan yeniden yaratmak olsun.
Kamu Anahtarlamalı Telefon Ağı (PSTN) veya Küresel Mobil İletişim Sistemi (GSM) gibi farklı ağ türleri arasında IP ağına köprü görevi görür.
Bilgi IP ağına yerleştirildikten sonra diğer verilerle aynı şekilde işlenir; paketlere bölünür ve hedefine gönderilir.
VoIP'te yer alan diğer bileşenlerden bazılarına göz atalım.
Tüketicilerin en sık kullandığı ekipman elbette ahizedir; konuştuğumuz ve dinlediğimiz şey de bu olacaktır. Ahizenin sesimizi IP'ye dönüştürme özelliği ile donatılması veya bu özelliğe sahip bir cihaza bağlanması gerekiyor.
İnternetteki her şeyde olduğu gibi, VoIP verilerimizi işlemek için tasarlanmış sinyalleşme protokolleri vardır.
Oturum kontrol protokolü (SCP), tek bir TCP (İletim Kontrol Protokolü) bağlantısından birden fazla hafif görev bağlantısı oluşturma yöntemidir.
Birkaç benzer hafif bağlantı aynı anda etkin olabilir.
SCP, Açık Sistemler Ara Bağlantısı (OSI) modelinde bir oturum katmanı protokolüdür.
H323, Uluslararası Telekomünikasyon Birliği (ITU) tarafından 1996 yılında onaylanan bir standarttır. IP ağları üzerinden video konferans aktarımlarında uyumluluğu teşvik etmek üzere tasarlanmıştır.
H323, başlangıçta LAN'ın garantili hizmet kalitesi (QoS) sağlamaması durumunda ses, video ve veri paketi aktarımlarında tutarlılık sağlamanın bir yolu olarak tanıtıldı.
Oturum katmanında (yedi katmanlı modelde beşinci katman), oturum katmanı protokolleri, yerel ve uzak uygulamalar arasındaki iletişimi koordine etmenin yanı sıra bağlantıları kurma, yönetme ve sonlandırma hizmetleri sağlar.
Ağ Geçidi Kontrol Protokolü (Megaco, H.248), birleşik bir İnternet bağlantısı üzerinden telekomünikasyon hizmetleri sağlamaya yönelik medya ağ geçidi kontrol protokolü mimarisinin bir uygulamasıdır.
Bu ağ, geleneksel kamu anahtarlamalı telefon ağı (PSTN) ve İnternet gibi modern paket ağlarından oluşur.
Medya Ağ Geçidi Kontrol Protokolü (MGCP), VoIP telekomünikasyon sistemlerinde kullanılan bir sinyalleşme ve çağrı kontrolü iletişim protokolüdür. IP ağlarına bağlı medya ağ geçitlerini kontrol etmek için medya ağ geçidi kontrol protokolü mimarisini uygular.
PSTN'ye d.
IP Telefonuna bakışımızı tamamlamak için bu tür bir sistemi kullanmanın bazı avantaj ve dezavantajlarını ele alalım.
Konuşma bir ağ bağlantısı üzerinden yürütüldüğünden, VoIP'den VoIP'e aramaların maliyetinin çok düşük olması yaygındır.
VoIP etkinliğimiz bir bilgisayarda gerçekleşiyorsa, VoIP yazılımı genellikle ücretsiz olarak mevcuttur; bu, kullanıcının kullanmak için yalnızca bir ahize veya kulaklık satın alması gerektiği anlamına gelir. Normalde her dizüstü bilgisayarda yerleşik olarak bulunan mikrofonu ve hoparlörleri de kullanabilirsiniz.
Kullandığınız cihaz gerekli özelliklere sahip olduğu sürece cep telefonunun kullanıldığı her yerde VoIP kullanabilirsiniz. VoIP'i kablosuz geniş bant bağlantısına bağlanabileceğiniz her yerde de kullanabilirsiniz.
Ancak VoIP bağlantısının kalitesi büyük ölçüde ağ bağlantınızın kalitesine bağlı olacaktır. Zayıf bir bağlantı size kötü bir VoIP deneyimi yaşatacaktır.
Son olarak, VoIP hizmetlerinin çoğunluğu iletişimlerinizi şifreleme özelliğine sahip değildir.
Kablosuz ağlardan bahsettikten sonra şimdi bunlara biraz daha detaylı bakalım.
Kablosuz LAN (WLAN), verileri son kullanıcılara yaymak için radyo dalgalarına dayanan yerel bir ağdır. WLAN genellikle bir ağın son parçasıdır ve kullanıcıların fiziki olarak bağlanmak zorunda kalmadan bağlanmalarına olanak tanır. Veriler kablosuz ağdan çıktıktan sonra genellikle fiziki kablolar üzerinden taşınır.
WLAN'lar iletim için farklı bir ortam kullansa da, yine de OSI yedi katmanlı modelinin birçok katmanında aynı protokolleri kullanarak fiziki ağlarla aynı şekilde çalışırlar.
WLAN'lar OSI modelindeki kablolu ağlarla aynı protokollerin çoğunu kullanırken, en alt katmanlarda özel protokoller kullanırlar. Bu mantıklıdır, çünkü kablolu ve kablosuz ağlar arasındaki büyük farkı, yani kabloları veya kabloların yokluğunu bu katmanlarda görüyoruz.
IEEE 802 11, WLAN ağı için bir dizi standarttır.
Kablolu ağ ile kablosuz ağ arasında farklı sınırlarla ayrılan nokta anlamına gelen sınır noktasına Erişim Noktası veya AP denir. Kurumsal bir ortamda, genellikle tesisin çevresinde noktalı bir dizi AP bulunur ve bu da kullanıcıların hareket halindeyken ağa bağlı kalmasına olanak tanır.
Akılda tutulması gereken bir nokta, WLAN'ın kablolu bir ağdan çok daha açık olmasıdır. Bir WLAN'ın çalışması için, cihazların onu bulup bağlanabilmesini sağlayacak şekilde varlığını bir şekilde yayınlaması gerekir. Bu bize ekstra güvenlik hususları sağlıyor; WLAN'ın kullanıma açık olmasına ihtiyacımız var, ancak herkesin kullanımına açık olması gerekmiyor.
Herhangi bir ağa bağlanabilmemiz için bir NIC'ye ihtiyacımız var. WLAN için de durum farklı değil; yalnızca radyo vericisi/alıcısı olan bir NIC kullanmamız gerekiyor.
Son olarak, herhangi bir ağ bağlantısı yalnızca en yavaş bağlantının en iyi hızında çalışacaktır. Kablosuz bağlantı genellikle kablolu ağda ulaşılabilen hızlardan daha yavaştır.
IEEE 802.11, 2,4, 3,6 ve 5 GHz frekans bantlarında kablosuz yerel alan ağı (WLAN) bilgisayar iletişimini gerçekleştirmek için kullanılan bir dizi standarttır.
IEEE LAN/MAN Standartları Komitesi (IEEE 802) tarafından uygulanırlar.
Wi-Fi, Kablosuz LAN teknolojisini destekleyen ve ürünlerin belirli birlikte çalışabilirlik standartlarına uygun olup olmadığını onaylayan bir ticaret birliği olan Wi-Fi Alliance'ın ticari markasıdır; ana standartlar IEEE 802.11 ve ilgili alt kümelerdir.
Sonuç olarak, Wi-Fi terimi IEEE 802.11 ağıyla eşanlamlı hale geldi.
Wi-Fi Alliance, ekipmanların 802.11 WLAN standartlarıyla kullanılmasını test eden ve onaylayan bir ticari kuruluştur. Yıllar geçtikçe, veri bağlantı hızlarını ve verimi artıran, aynı zamanda kablosuz iletişimin güvenlik sorunlarını da ele alan yeni standartlar uygulamaya konuldu:
802.11 orijinal spesifikasyondu ve 2.4Ghz bandında 1-2Mbps hızlarda çalışıyordu. Bu spesifikasyon artık geçerliliğini yitirmiştir
802.11a, 54 Mb/sn maksimum net veri hızı ve ayrıca 20 Mb/sn'nin ortasında gerçekçi net ulaşılabilir verim sağlayan hata düzeltme koduyla 5 GHz bandında çalışır
5Ghz bandı, 2,4Ghz bandından daha az sıkışıktır ve bu nedenle daha iyi veri çıkışı sunar, ancak bu bant katı nesneler tarafından daha kolay emilir ve dolayısıyla daha küçük bir kullanılabilir mesafeye sahiptir.
802.11b'nin maksimum veri hızı 11 Mbps'dir. Verimdeki bu çarpıcı artış, 2000'li yılların başında 802.11b'nin kesin kablosuz LAN teknolojisi olarak hızla kabul edilmesine yol açtı.
Ancak 802.11b cihazları, 2,4 GHz bandında çalışan diğer ürünlerden kaynaklanan parazitlerden etkilenir; buna mikrodalga fırınlar, Bluetooth cihazları, bebek telsizleri, kablosuz telefonlar ve bazı amatör radyo ekipmanları dahildir.
802.11g, 2,4 GHz bandında çalışır ve ileri hata düzeltme kodları hariç maksimum 54 Mbps bit hızı veya yaklaşık 22 Mbps ortalama verim sunar
WLAN'ların, OSI modelinin alt katmanları dışında, kablolu ağlarla aynı protokollerin çoğunu kullandığından daha önce bahsetmiştim.
Çerçevelerin kullanımı arasındaki farklardan biridir.iki.
Yukarıda görebileceğiniz gibi üç ana çerçeve türü vardır:
Veri çerçeveleri tam olarak ismin söylediği şeyi yapar. Verilerin bir konumdan diğerine kapsüllenmesinden ve taşınmasından sorumludurlar.
Kontrol çerçeveleri istasyonlar arasında veri çerçevelerinin alışverişini kolaylaştırır
Yönetim çerçeveleri iletişimin sürdürülmesine veya kesilmesine izin verir
Artık bir tür bilgisayar olduğunu düşünmeyeceğimiz cihazları İnternet'e veya ağlarımıza bağlamaya başlamamız şaşırtıcı değil. Aslında ev aletlerimizin çoğu aslında sınırlı bir bilgi işlem gücü içeriyor. Örneğin çamaşır makinesi. Sahip olduğu farklı yıkama programlarından herhangi birinin nasıl uygulanacağını nasıl biliyor?
Bu programların ayrıntıları cihazın içindeki devre kartında saklanır ve bunları çok sınırlı bir işletim sistemi çalıştırır.
Artık çamaşır makinelerimizin bile bir nevi bilgisayar olduğu göz önüne alındığında, onu bir ağa bağlama adımı o kadar da saçma görünmüyor!
Nesnelerin İnterneti (IoT), genellikle İnternet'in, son kullanıcı cihazlarını ve bilgilerini bağlayan bir ağlar ağından, aynı zamanda birçok farklı cihaz türünü birbirine bağlayan bir ağlar ağına dönüşümü olarak tanımlanır.
Gerçekte Nesnelerin İnterneti bundan çok daha fazlasıdır; çünkü bu 'şeyler' tarafından üretilen veriler, daha sonra kararlar almak ve eylemleri yönlendirmek için kullanılabilecek içgörüler oluşturmak için kullanılabilir.
IoT, bazılarının gelecekte çok karmaşık hale gelmesi muhtemel olan geniş bir kullanım senaryosu yelpazesinden oluşur.
IoT'nin önümüzdeki yıllarda iletişim hizmetlerinin yanı sıra işletmeler için de önemli bir iş sürücüsü olacağına inanılıyor.
Son zamanlarda endüstri, birçok cihaz ve makinenin (potansiyel olarak on milyarlarca) düzenli olarak bağlanmasına atıfta bulunan Massive IoT veya MIoT terimini yarattı.
Alternatif olarak yüksek kullanılabilirlik, kapsama alanı ve düşük gecikme gerektiren diğer IoT uygulamaları da Kritik IoT kapsamında sınıflandırılabilir; bu uygulamalar 5G ile etkinleştirilebilir.
Üçüncü bir gruba 'kurumsal uygulamalar' adı verilebilir; bunlar orta düzeyde bir bit hızı ve mobilite desteği gerektirir. Bu Kurumsal uygulamalar genellikle temel bağlantılı sensörlerden daha akıllı cihazlar kullanır.
M2M'nin IoT'ye evrimiyle birlikte farklı bağlantı türleri devreye girdi.
Daha fazla cihaz veya makineyi bağlamanın yanı sıra, örneğin büyük veri analitiği yoluyla üretilen verilerle yeni değer yaratılıyor.
Peki bir şey nasıl IoT'nin bir parçası haline gelir?
IoT'nin uçtan uca resmini anlamak için bir IoT hizmeti oluşturmak için kullanılan unsurları dikkate almaya değer.
Tanımlanan ve ele alınan bir şeyle başlar. Nesneler fiziki dünyada var olduğundan onları dijital bir varlığa dönüştürmek için bir sensöre ihtiyacımız var.
Daha sonra, o şeyle ilgili bilgiyi, bu bilgiyi kullanacak başka bir cihaza veya hizmete nasıl aktaracağınızı düşünmeniz gerekir.
İnternet üzerinden iletişim kurmanın çeşitli yolları vardır, ancak birçok cihaz sınırlıdır. Bu, sınırlı işlemci gücüne ve sınırlı belleğe sahip oldukları anlamına gelir.
IoT, cihazların ağlara bağlanması için yeni yollar gerektirir ve bu da yeni bir Alan Ağı türünün ortaya çıkmasına neden olur.
PAN, kişisel alan ağı anlamına gelir. Çok küçük bir alanı, genellikle küçük bir odayı kapsayan bir ağdır. En iyi bilinen kablosuz PAN ağ teknolojisi Bluetooth'tur.
IoT cihazları, Wi-Fi kullanarak LAN teknolojisinden iyi bir şekilde yararlanabilir.
Metropolitan Alan Ağı veya MAN, metropol alanlar (kasabalar veya şehirler) üzerinden cihazların veya ağların birbirine bağlanmasına olanak tanır. Teknolojinin mesafeye uygun olması gerekiyor; örneğin WiMAX veya GSM.
Artık Vücut Bölgesi Ağları da mevcuttur. Bunlar genellikle insan vücuduna takılan veya yerleştirilen tıbbi cihazlardır. Pek çok üretici, zekanın daha birçok şeye yerleştirilmesine olanak tanıyan düşük güçlü ağlara bakıyor.
5G, mobil ağlar için büyük bir ileriye doğru atılım olduğundan, onu daha ayrıntılı olarak anlamaya değer.
Uluslararası Mobil Telekomünikasyon veya IMT ile ilgili çalışmalar, Uluslararası Telekomünikasyon Birliği veya ITU'da otuz yılı aşkın bir süredir yürütülmektedir.
3G ve 4G mobil geniş bant sistemleri, ITU'nun IMT standartlarına dayanmaktadır ve giderek iletişim, bilgi ve eğlenceye erişimde birincil araç haline gelmektedir.
IMT2000 (3G) için ayrıntılı spesifikasyonlar 2000 yılından bu yana yürürlüktedir ve IMTAdvanced (4G/LTE) spesifikasyonları, ITU Radyokomünikasyon Sektörü (ITU-R) Radyokomünikasyon Meclisi tarafından 2012'de (RA12) onaylanmıştır.
Beşinci nesil 'IMT-2020' teknolojisi (5G), IMT'ye çok daha hızlı veri hızları, güvenilir bağlantı ve düşük gecikme süresi getiriyor; bunların tümü, ultra hızlı geniş bant aracılığıyla büyük miktarda veri gönderen bağlı cihazlardan oluşan yeni küresel iletişim ekosistemimiz için gerekli.
Ön-önceki gecikmenin onda birinden daha azına eşit, ultra düşük gecikme süresiyle ağ bağlantısı sağlar iletişim sistemleri gönderdik.
Ayrıca, yüzbinlerce cihazın aynı anda bir hücreye bağlanabilmesini sağlayacak kadar büyük bir bağlantıyı mümkün kılıyor.
Bu, geleneksel mobil iletişim bantlarından 6GHz'in üzerindeki bölgede ortaya çıkan ve 'milimetre dalga' olarak adlandırılan radyo bantlarına kadar geniş bir yelpazedeki radyo spektrumları üzerinde yeni, daha verimli ve etkili radyo iletişim teknikleri ve sistem mimarilerinin benimsenmesiyle elde edilir.
5G sadece mobil hizmetleri yeniden tanımlamakla kalmıyor, aynı zamanda telekomünikasyon endüstrisini dönüştüren açık teknolojiler çağını da başlatıyor.
Yazılım tanımlı ağ iletişimi (SDN) ve Ağ İşlevleri sanallaştırması (NFV), benzeri görülmemiş bir çeviklik, zeka ve açıklık sunmak için altyapıyı ve hizmetleri sanallaştırarak telekomünikasyonda geleceği temsil eder.
Son beş yıldır SDN ve NFV, yeni teknolojilerin nasıl benimseneceğini yeniden şekillendiren standart kuruluşları ve açık kaynak toplulukları arasındaki benzersiz işbirliği sayesinde ilerleme kaydediyor.
WhatsApp, cep telefonları arasında bir mesajlaşma servisidir ve normal SMS metin mesajlarının yerini alabilir. Dünya çapında 900 milyondan fazla kullanıcı WhatsApp hizmetini kullanıyor. WhatsApp, telefonlar arasındaki İnternet bağlantısını kullanır. Hizmet iPhone, Blackberry, Android ve Nokia Symbian60 telefonlarında mevcuttur.
Normal SMS metin mesajları ile WhatsApp kısa mesajları arasındaki en büyük fark, WhatsApp'ın ücretsiz olmasıdır: Telefonunuzdaki İnternet bağlantısını kullanırsınız (aboneliğe veya ön ödemeli türe bağlı olarak Wi-Fi veya mobil veri paketinizin bir kısmı). WhatsApp sadece kısa mesaj göndermekle sınırlı değildir; resim, video, sesli mesaj, iletişim bilgileri de gönderebilir ve mevcut konumunuzu paylaşabilirsiniz.
Ocak 2015'te WhatsApp sesli arama özelliğini tanıttı; bu, WhatsApp'ın kullanıcı popülasyonunun tamamen farklı bir bölümünü çekmesine yardımcı oldu. 14 Kasım 2016'da WhatsApp, Android, iPhone ve Windows Phone cihazlarındaki kullanıcılar için bir görüntülü arama özelliği ekledi.
Multimedya mesajları, görüntünün, sesin veya videonun bir HTTP sunucusuna yüklenip ardından içeriğe bir bağlantı gönderilerek gönderilir.
WhatsApp, iki kullanıcı arasında mesaj alışverişi için bir 'sakla ve ilet' mekanizmasını izler. Bir kullanıcı bir mesaj gönderdiğinde, mesaj ilk olarak mesajın saklandığı WhatsApp sunucusuna gider. Daha sonra sunucu, alıcının mesajı aldığını teyit etmesini tekrar tekrar talep eder. Mesaj onaylanır onaylanmaz sunucu mesajı bırakır; artık sunucunun veritabanında mevcut değil. WhatsApp sunucusu, mesaj teslim edilmediğinde 30 gün boyunca veritabanında tutar (alıcı 30 gün boyunca WhatsApp'ta aktif değilse mesajı atar).
FaceTime, iOS ve Mac OS X 10.6.6 ve sonraki sürümleri çalıştıran Macintosh bilgisayarlarda çalışan desteklenen mobil cihazlarda kullanılabilir.
FaceTime'ın video sürümü, öne bakan bir kameraya sahip tüm iOS aygıtlarını ve daha önce iSight Kamera olarak bilinen FaceTime Kamera ile donatılmış tüm Macintosh bilgisayarları destekler.
FaceTime, herhangi bir iPhone 4, dördüncü nesil iPod Touch, iPad 2 veya OS X yüklü bir bilgisayarı desteklenen başka bir cihaza bağlayarak çalışır; Bu cihazların daha sonraki sürümleri de FaceTime'ı çalıştırabilir.
FaceTime şu anda Apple dışındaki cihazlarla veya diğer görüntülü arama hizmetleriyle uyumlu değildir.
2011'de piyasaya sürülen Mac modelleri, her iki uçta da FaceTime HD kamera bulunduğunda cihazların otomatik olarak kullandığı yüksek çözünürlüklü video FaceTime'ı tanıttı.
Çok kişili bir görüntülü sohbet uygulaması olan Skype'tan farklı olarak FaceTime, bire bir video konusunda uzmanlaşmıştır.
Örneğin, mesajları, e-postaları veya diğer bildirimleri alıp okuduğunuzda Facetime duraklayacaktır.
İOS 6'nın piyasaya sürülmesine kadar FaceTime'ın çalışması için bir Wi-Fi bağlantısı gerekiyordu. iOS 6'dan itibaren, iPhone ve iPad için FaceTime, operatörün etkinleştirmesi koşuluyla hücresel ağlar (3G veya LTE) üzerinden FaceTime çağrılarını desteklemektedir; 2013 ortası itibarıyla dünya çapında neredeyse tüm operatörler buna izin vermiştir.
FaceTime Audio, her beş dakikalık konuşma için yaklaşık üç megabayt veri kullanırken, FaceTime Video ise çok daha fazlasını kullanıyor.
Sesli aramadan FaceTime aramasına geçiş yapıldıktan sonra hücresel konuşma süresi veya dakikalar kullanılmaz.
FaceTime aramaları, desteklenen cihazlardan FaceTime servisine kayıtlı herhangi bir telefon numarasına veya e-posta adresine yapılabilir.
Tek bir e-posta adresi birden fazla cihaza kaydedilebilir ve bu adrese yapılan bir çağrı tüm cihazları aynı anda çaldırır.
Bu iki terimle ne kastettiğimizi ve bunların güvenlik hususları açısından sizin için ne anlama geldiğini öğreneceksiniz. Özellikle Sanallaştırma, Konteynerler, Bulut bilişim, Bulut hizmetleri, Güvenlik hususları, Gizlilikle ilgili konular ve Denetim hakkında bilgi edineceksiniz.
Bu diyagramda fiziksel makine ile sanal makine arasındaki temel farklar gösterilmektedir.
Fiziksel bir makinede, CPU veya bellek gibi donanımlarla doğrudan konuşan tek bir işletim sistemi ve bu işletim sisteminin üzerinde çalışan bir uygulama vardır.
Bir sanal makinede hala aynı temel donanıma sahibiz, ancak artık işletim sistemi ile donanım arasında birden fazla işletim sistemine izin veren bir sanallaştırma katmanımız var. Her işletim sistemi, sanallaştırma katmanının temel donanım kaynaklarının bir kısmını yalnızca o işletim sistemi tarafından kullanılmak üzere devretmesini talep edecektir.
Sanal makine mimarisine ulaşmanın birkaç yolu vardır. Bu şemada sanallaştırmanın uygulanmasına ilişkin iki farklı yaklaşımı görebilirsiniz. Sağ tarafta daha önce tartıştığımız kurulumun aynısını görebilirsiniz.
Çıplak donanım ortamı, sanallaştırma hipervizörünün doğrudan donanımdan kurulduğu ve çalıştırıldığı bir tür sanallaştırma ortamıdır. Sanal makineye özgü işlemleri gerçekleştirmek için temel donanımla doğrudan arayüz oluşturarak ana bilgisayar işletim sistemine olan ihtiyacı ortadan kaldırır.
Çıplak donanım ortamı aynı zamanda katman 1 ortamı olarak da adlandırılır. Sol tarafta bilgisayarın standart bir şekilde kurulduğunu, donanımın üzerinde bir işletim sisteminin bulunduğunu görebilirsiniz.
Buradaki en büyük fark, sanallaştırma katmanını ana veya ana bilgisayar işletim sisteminin üstüne yerleştirmiş olmamızdır. Burada birden fazla sanal makineniz olabilir ve tümü sanallaştırma katmanı aracılığıyla donanım kaynaklarına erişim talep edebilir.
Dayanıklılık açısından bakıldığında ikisi arasında açık bir fark vardır. Sol tarafta, eğer ana bilgisayar işletim sistemi herhangi bir feci arızaya maruz kalırsa, üzerinde bulunan sanal makinelerden herhangi birini de devre dışı bırakacaktır.
Sağ tarafta, bir VM'nin arızalanmasının, etrafındaki diğer VM'ler üzerinde hiçbir etkisi olmayacaktır. Sanal makineler tam bir işletim sisteminin kullanılmasına dayanır, ancak Konteynerler çok daha hafiftir ve yalnızca tek bir uygulamayı sunmaya yetecek kadar işlevsellik kullanır.
Konteynerler ve konteyner platformları geleneksel sanallaştırmaya göre birçok avantaj sağlar. Yalıtım, konuk işletim sistemine gerek kalmadan çekirdek düzeyinde yapıldığından konteynerler çok daha verimli, hızlı ve hafiftir.
Uygulamaların bağımsız ortamlarda kapsüllenmesine izin vermek, daha hızlı devreye alma, ölçeklenebilirlik ve geliştirme ortamları arasında daha yakın eşitlik gibi birçok avantajı beraberinde getirir.
Docker şu anda en popüler konteyner platformudur. Ortamları izole etme fikri oldukça eskilere dayanmasına ve geçmişte başka konteyner yazılımları olmasına rağmen, Docker piyasaya doğru zamanda çıktı ve başından beri açık kaynaktı, bu da muhtemelen mevcut pazar hakimiyetine yol açtı.
Docker, bir çalışma zamanı olan ve konteynerler oluşturup çalıştırmanıza olanak tanıyan Docker Engine'e sahiptir ve görüntüleri depolamak ve paylaşmak için bir hizmet olan Docker Hub'ı içerir.
Docker gibi konteynerlerde konuk işletim sistemine birden fazla konteyner kurulur ve her konteyner tek bir uygulamayı çalıştırır.
Bu şemada VM ile Container arasındaki farklar gösterilmektedir.
Geleneksel bir sanal makine, üzerine birden fazla uygulamanın yüklendiği bir konuk işletim sisteminden oluşur.
Docker gibi konteynerlerde konuk işletim sistemine birden fazla konteyner kurulur ve her konteyner tek bir uygulamayı çalıştırır.
Kap, uygulamaya işletim sisteminin bir görünümünü sunar.
Her konteynerli uygulama, diğer uygulamaların otomatik olarak keşfedilmesi, otomatik ölçeklendirme, yükseltme ve kurtarma kolaylığı ile otomatik bir şekilde hızla geliştirilebilir ve dağıtılabilir.
Kubernetes gibi araçlar, konteyner dağıtımlarını düzenlemek için kullanılır ve konteynerin güvenliğinin güçlendirilmesinde önemli bir rol oynar.
Konteyner teknolojisinin konuşlandırılması bir dizi güvenlik endişesini beraberinde getiriyor.
Bu endişelerin çoğu, ağa bağlı diğer cihazlarla tamamen aynıdır, ancak konteynerlerin doğasından dolayı hafifletme biraz farklı olabilir.
Kötü amaçlı konteynerler, cep telefonunuza yanlışlıkla yükleyebileceğiniz kötü amaçlı uygulamalara benzer. Her zaman güvenilir kaynaklardan veya kayıt defterlerinden kapsayıcılar kullanmalısınız.
Docker İçerik Güveni - Bir yayıncı, bir görüntüyü uzak bir kayıt defterine göndermeden önce Docker Engine, görüntüyü yayıncının özel anahtarıyla yerel olarak imzalar.
Bu görüntüyü aldığınızda Docker Engine, çalıştırmak üzere olduğunuz görüntünün tam olarak yayınlanan görüntü olduğunu doğrulamak için yayıncının ortak anahtarını kullanır.
Son on yılın en sıcak teknolojilerinden biri Bulut Bilişim olmuştur.
Görünüşe göre tüm dünya 'bulutta' bir şey uygulamak için bir neden bulma konusunda çaresiz durumda, peki o nedir?
Bulut bilişim, NIST tanımında ayrıntılı olarak belirtildiği gibi, barındırılan hizmetlerin internet üzerinden sunulması için kullanılan genel bir terimdir.
Bulut bilişim, şirketlerin bilgisayar kaynaklarını, gaz, elektrik veya su gibi evdeki bir hizmeti kullandığınız şekilde tüketmesine olanak tanır. Bu bilgisayar kaynaklarına sanal makine (VM), depolama çözümleri veya uygulama gibi internet üzerinden erişilir. Bu kaynaklar, yerinde bilgi işlem altyapıları oluşturmak ve sürdürmek zorunda kalmak yerine kullanılır.
Diğer yeni teknolojilerde olduğu gibi bulut bilişim de birçok yeni kısaltma ve kavramla birlikte gelir.
Bulut hizmeti sağlayıcıları veya CSP'ler, bulut hizmetlerini çeşitli şekillerde sağlayabilir; her model, müşteriye verileri ve bulut deneyimi üzerinde farklı düzeyde kontrol sağlar.
Temel düzeyde, Hizmet Olarak Altyapı, CSP'nin yalnızca donanımı ve müşterinin kendi işletim sistemini ve yazılımını kurmasını sağlayacak araçları sağlaması anlamına gelir.
Bundan yola çıkarak Hizmet Olarak Platform, donanım ve işletim sistemini sağlayarak müşterinin kendi uygulamasını kurmasına ve yönetmesine olanak tanır.
Son olarak, Hizmet Olarak Yazılım, donanım, işletim sistemi ve uygulamayı sağlayarak müşterinin uygulamayı kullanmasına ancak hiçbir şekilde bakımını yapmasına izin vermez.
Eğer bu kafa karıştırıcı görünüyorsa, bu modeller için İnternette Hizmet Olarak Pizza ve Hizmet Olarak Araba gibi çeşitli modelleri daha ilişkilendirilebilir konular kullanarak açıklamakta harika bir iş çıkaran çeşitli analojiler mevcuttur.
Bulut modeli matrisi, bir bulut çözümünün devreye alınabileceği dört yöntemin ayrıntılarını verir:
Genel olarak herkesin erişebileceği bir Genel bulut mevcuttur. Kendi ağınızın içinde ve güvenlik duvarınızın arkasında değil, CSP'nin tesislerinde dağıtılır.
Kendi ağınızda ve tesislerinizde özel bir bulut kurulacaktır. Güvenlik duvarlarınız onu koruyacaktır.
Topluluk bulutu, tamamı bulut bilişim için ortak gereksinimlere sahip olan özel müşterilerden oluşan bir topluluk arasında paylaşılması dışında Özel buluta benzer.
Hibrit bulut, Genel bulut ile Özel/Topluluk bulutunun bir karışımıdır.
Birazdan bu modellerle ilgili, sağladıkları hizmet türüyle ilişkili risklere bakacağız.
Bir kuruluşun CEO'sunun BT departmanına 'bulutta bir şeyler yapmamız gerektiğini' söylemesi çok kolay olsa da, çok önemli birkaç husus vardır.
Bulut, gerekli ekipman için güç ve soğutma maliyetlerinin yanı sıra bu kitin tedariki ve bakımı da dahil olmak üzere, bazı büyük ölçek ekonomilerine olanak tanıyor.
Bir CSP, ekipmanı her zaman bir kuruluşun kendi başına yapabileceğinden daha ucuza tedarik edip çalıştırabilecektir. Ancak hizmet, bulut hizmeti tedarikini satın alan kuruluşun müşterileri için uygun olacak mı?
Taleplere zamanında yanıt verecek mi? Hem günlük operasyonda hem de hizmetle bağlantıda güvenilir olacak mı? Veriler bulutta tutuluyorsa ne kadar güvenlidir ve bu güvenlikten kim sorumludur? Bulut hizmet sağlayıcımızın, çalışanlarını bizimle aynı standartta inceleyeceğine güvenebilir miyiz?
Verilerin tek bir yerde toplanması siber tehdit aktörleri için doğal bir hedeftir, peki CSP ekstra güvenlik önlemleri alıyor mu?
Bu diyagram, hizmet modelleri ile dağıtım modelleri arasındaki kesişme noktalarında oluşturulan risk düzeylerini gösterir.
Biz ve CSP arasında mevcut bir güven ilişkisine güveniyoruz, hatta belki de iç ağımızı doğrudan bulut altyapısına bağlıyoruz. Müşterinin dahili ağlarına erişmek ve bilgi çalmak amacıyla CSP'ler ile müşterileri arasındaki güven ilişkisini kötüye kullanan son derece gelişmiş siber tehdit aktörlerinin örnekleri olmuştur.
Kendi özel bulutumuzu işletiyor olsak bile, yine de dikkate almamız gereken olağan ağ güvenliği sorunları var.
Bu riskin bir kısmını azaltmak amacıyla Birleşik Krallık hükümet kuruluşu olan Ulusal Siber Güvenlik Merkezi (NCSC), bulut güvenliğine yönelik 14 ilke yayınladı.
Bunlar:
Aktarım halindeki verilerin korunması: Ağlar arasında taşınan kullanıcı verileri mümkün olduğunca korunmalıdır.
Varlık koruması ve esneklik: Kullanıcı verileri ve bunları saklayan veya işleyen bilgisayar, her türlü saldırı veya hasara karşı korunmalıdır.
Kullanıcılar arasında ayırma: Kötü niyetli veya güvenliği ihlal edilmiş kullanıcılar, diğer kullanıcılara erişememeli veya onları etkilememelidir.
Yönetişim çerçevesi: Güvenliğin yönetişim düzeyinde ele alınması gerekir.
Operasyonel güvenlik: Hizmetin güvenli bir şekilde çalıştırılması gerekir.
Personel güvenliği: Hizmet sağlayıcı personelin güvenilir olması gerekir.
Güvenli geliştirme: Başlangıçtan itibaren Hizmetler güvenli olacak şekilde tasarlanmalıdır.
Tedarik zinciri güvenliği: Hizmet sağlayıcı, tedarik zincirinin güvenli olduğundan emin olmalıdır.
Güvenli kullanıcı yönetimi: Hizmet sağlayıcılar, müşterilere kendi kullanıcılarını yönetme yetkisi vermelidir.
Kimlik ve kimlik doğrulama: Yalnızca kimliği doğrulanmış ve yetkili kullanıcıların hizmete erişimi olmalıdır.
Harici arayüz koruması: Herhangi bir harici arayüz uygun şekilde tanımlanmalı ve savunulmalıdır.
Güvenli hizmet yönetimi: Hizmete ayrıcalıklı erişime sahip oldukları için yönetim hizmetlerinin çok güvenli olması gerekir.
Kullanıcılar için denetim bilgileri: Hizmet, hizmetinize erişimi izlemek için ihtiyaç duyduğunuz denetim kayıtlarını sağlamalıdır.
Hizmetin güvenli kullanımı: Hizmetin kötü kullanımı güvenliğini tehlikeye atabileceğinden, hizmeti güvenli kullanma sorumluluğunu üstlenin.
Bulutla ilgili güvenlik sorunlarını göz önünde bulundurduktan sonra gelin tam olarak neden bu güvenlik endişelerine sahip olduğumuza bakalım. Meselenin özü, verilerimizin gizliliğini korumaktır; ancak bunların genellikle "bizim" verilerimiz olmadığını kabul etmemiz gerekir. Müşterilerimize veya tedarikçilerimize ait verilerdir. Genel Veri Koruma Düzenlemeleri'nin veya GDPR'nin ve 2018 Veri Koruma Yasası'nın yürürlüğe girmesi, veri gizliliğinin artık tüm kuruluşlar için merkezi bir öncelik olduğu anlamına geliyor.
Yasal kaygıların ötesinde başka sorunlarımız da var. Yüklenen verilerin sahibi kim? Verilerin yüklenmesinde herhangi bir hak kaybı var mı? Facebook'un yüklediğiniz herhangi bir fotoğrafın sahibi olduğu konusunda internette düzenli olarak söylentiler dolaşıyor. Bu söylentiler, yazarların amaçladığı anlamda doğru değildir, ancak Facebook'un hüküm ve koşullarının hızlı bir şekilde okunması, Facebook'un (ve diğer benzer web sitelerinin) fotoğraflarınızı ve diğer fikri mülkiyetinizi uygun gördükleri şekilde kullanabileceğini gösterir.
Hizmet sağlayıcı, yüklenen içeriğin mülkiyetini talep edebilir veya pazarlama amacıyla veya başka amaçlarla kullanabilir mi? Sağlayıcının müşteri verilerine erişme konusunda hangi hakları vardır ve bu erişimi hangi kurallar yönetir? Sağlayıcı, müşterinin hizmeti kötüye kullanmadığından veya yasaları ihlal etmediğinden emin olmalı mı? Sağlayıcı araştırma, hizmet iyileştirme, müşteri takibi veya pazarlama amacıyla müşteri verileriyle ne yapabilir? Hangi kanun geçerlidir? Bir Birleşik Krallık şirketi, Alman vatandaşlarına ilişkin verileri ABD merkezli bir bulut sağlayıcısında Hindistan'daki bir veri merkezinde saklıyorsa, bu verilere kim ve hangi yasalar kapsamında erişebilir? Sağlayıcı bir siber olay durumunda ne yapacak? Müşterilerini bilgilendirecekler mi, eğer öyleyse hangi zaman diliminde? Müşteri kendi olay yönetimi ve soruşturma sürecini başlatabilecek mi?
Tahmin edebileceğiniz gibi önceki slaytta ele alınan büyük sorular hükümetler ve endüstri üzerinde baskı oluşturuyor. Birleşik Krallık hükümeti, sektörle birlikte NCSC'yi bu büyük endişeleri gidermeye yönelik planlar hazırlaması için görevlendirdi. Bulut endüstrisinden hizmetlerinin güvenli, emniyetli ve güvenilir olduğuna dair güvence sağlaması isteniyor.
Bir bulut hizmetinin güvenli, emniyetli ve güvenilir kalmasını sağlamaya yönelik yaklaşımlardan biri, Bulut Sürekli Uyumluluk Çerçevesini uygulamaktır. Etkili bir Sürekli Uyum Çerçevesinin, her üç alanda veya ilgili alanlarda kontrolleri içermesi gerekir:
Önleme: Bulutunuzu en başından itibaren güvenli hale getirin. Geliştirme sürecinizle ilgili sağlam politikalar oluşturun ve geliştirme zaman çizelgenize Sürekli Entegrasyon/Teslimat veya CI/CD testlerini dahil edin. Bu tür testler, kodun dünyaya sunulmadan önce sıkı bir değerlendirmeye tabi olduğu anlamına gelir.
Tespit – Bulut altyapınızı düzenli olarak izleyin ve verilerinizin gerçekte nerede depolandığını kontrol edin.
Düzeltme – Sunucusuz işlevleri veya kapsayıcıları dağıttığınız yerlerde, bunlarla ilgili oluşabilecek sorunları nasıl düzelteceğinizi öğrenin.
Herhangi bir sorunu hafifletmeye yönelik bir prosedüre sahip olduğunuzdan emin olmanın bir yolu, bunu herhangi bir soruna yanıt vermesi gereken herkesin takip edebileceği bir runbook'a yazmaktır.
Bulutunuzun güvenliğinin sağlanmasına yardımcı olacak dahili politikalara ve prosedürlere sahip olmak iyi bir uygulama olsa da, bazı harici doğrulamalar almanız gerekebilecek zamanlar da vardır. Bazı durumlarda, bu yasal veya düzenleyici bir gereklilik olabilir.
Bulut güvenliği denetimi, politikalar ve prosedürler gibi mevcut tüm yazılım korumalarının yanı sıra güvenlik duvarları veya hesap güvenliği gibi daha teknik korumaları da inceleyecek harici bir üçüncü taraf tarafından gerçekleştirilecektir.
Bunu başarmaya yönelik yöntemler farklılık gösterebilir ancak bulut verilerine erişmek için kullanılan yöntemlerin veya bulut uygulamasının gerçekten çalışmasını sağlayan kodun araştırılmasını içerebilir.
Üçüncü taraf, doğru yetki olmadan kendisinin veya başkasının erişimine açık olmaması gereken verilere erişip erişemeyeceğini görmek için uygulamaya karşı bir sızma testi gerçekleştirebilir.
Bunun gibi herhangi bir test genellikle bulut hizmeti sağlayıcının kendisine karşı gerçekleştirilmez; altyapılarının güvenliğini doğrulamak için kendi sızma testlerini düzenleyeceklerdir.
