Ağ ve Ağ Güvenliği Hakkında Her şey..

Posted on

Bir ağın nasıl korunacağını anlatmaya başlamadan önce ağ’ın ne olduğunu anlatmak daha doğru olacaktır kanaatindeyim. Bu yazıyı okuyan birçoğunuz için bu bölüm bir inceleme yazısı olacağı gibi bazılarınız içinse yeni bir bilgi olacaktır. Genel olarak bu bölüm ağ aygıtlarının kısa bir tanıtımı mahiyetinde olacaktır.

Ağ (Network) dediğimiz şey basitçe makinaların ya da bilgisayarların birbirleri ile haberleşmesidir.

Fiziksel düzeyde, bağlamak istediğiniz tüm makinelerden ve bunları bağlamak için kullandığınız cihazlardan oluşur. Ayrı makineler, fiziksel bir bağlantıyla (Cat5/6/7 bir diğer deyişle ethernet kablosu veya Fiberoptik kablo ile) veya kablosuz olarak bağlanır.

Aşağıdaki resimde de görüleceği gibi birden çok makineyi birbirine bağlamak için, her makinenin bir hub veya switch’e (anahtar) bağlanması ve ardından bu hub’lar / anahtarlar (switchler) birbirine bağlanmalıdır. Daha büyük ağlarda, her alt ağ bir yönlendirici (router) ile diğerlerine bağlanır.

BASİT AĞ YAPISI :

Ev/Ofis ağınız ile dış dünya (internet) arasında birtakım bağlantı noktaları bulunmalıdır. Bu da genellikle güvenlik duvarı (firewall) dediğimiz cihazdır. Bu cihaz internet dünyasından gelecek tehditlere karşı sizi koruyan bir bariyer vazifesi görür. Günümüzde canlı örneğini acı tecrübe ettiğimiz bir salgın gibi eğer dış dünya ile irtibatınız varsa zarar görme olasılığınız da vardır.
Ağınızı nasıl koruyacağınızı öğrenmenin ilk yolu bilgisayarların/makinelerin bir ağ aracılığı ile nasıl iletişim kurduğunu tüm detayları ile anlamaktan geçer. Ethernet kartları, switch’ler, router’lar wireless access point’ler ve firewal’lar bir ağın temel temel parçalarıdır. Bağlantı tipleri ve iletişim için kullandıkları protokoller ise ağ mimarisidir.

VERİ PAKETLERİ

İster kablolu olsun isterseniz de kablosuz olarak ağ ile bir bağlantı kurulduktan sonra veri almanız ya da göndermeniz gerekir. ilk olarak veriyi nereye göndermeniz gerektiğini belirlemelisiniz. Ağ’da bulunan tüm cihazlar 0 ile 255 arasında değişen, noktalarla (.) ayrılmış dört bölümden oluşan 192.168.1.1 gibi bir adrese sahiptir. Bu adrese IP (Internet Protocol) adresi denir.

İkincil olarak verilerinizi aktarım için biçimlendirmenizdir. Ağlardaki tüm veriler ikili (binary) biçimdedir. Yani 1’ler ve 0’lardan oluşur. Gönderdiğiniz tüm ikili veriler tamamı yaklaşık 65.000 byte’ı geçmeyecek bir pakete konur. Bu paketin ilk birkaç byte’ı başlıktır. Paketin başlığı tıpkı gönderdiğiniz bir kargo paketi veya mektupta olduğu gibi paketin nereden geldiğini, nereye gittiğini ve devamında daha kaç paket olduğunu gösterir. Detayına inecek olursak aslında birden fazla başlık vardır, fakat biz şimdilik sadece tek bir anlamda başlığı ele alacağız. Bazı ağ saldırıları (Örn: IP spoofing) paketlerin başlığını değiştirmeye çalışır. Diğer saldırı yöntemleri ise basitçe söylemek gerekirse paketleri durdurmaya ve/veya içeriğini okumaya çalışır. Bu da verilerinizin güvenliğini tehlikeye sokar.

Bir veri paketinin birden fazla başlığı olabilir. Aslına bakacak olursanız çoğu paketin en az 3 başlığı vardır.
IP Başlığı : Paketin gönderen ve alıcısının IP adresinin yanısıra içerdiği protokolü gösterir.
TCP Başlığı : Bağlantı noktası (Port) numarasını içerir.
Ethernet Başlığı : Paketin gönderen ve alıcısının MAC adres bilgilerini içerir. 
Ek olarak da paket eğer “Taşıma Katmanı Güvenlği” (TLS) ile şifrelenmişse, TLS başlığı içerir.

IP ADRESİ :

Paketleri doğru hedeflerine ulaştırmak önemlidir. Bulunduğunuz noktadan gönderdiğiniz herhangi bir paket ya da zarf dünyanın diğer ucundaki bir alıcıya eğer doğru adres bilgileri girilmişse sorunsuz bir şekilde ulaşmaktadır. Ağdaki bir paketi de doğru alıcıya ulaştırmak bunun gibidir.

Gerek yerel ağınızdaki (LAN) birkaç bilgisayardan birine gerekse Internet dünyasındaki milyonlarca bilgisayardan birine ulaşmak için kullanılan adresleme biçimlerinden şuan için en yaygın olarak kullanılan IPv4’e değineceğim.

IPv4 noktalarla ayrılmış dört üç basamaklı sayı dizisidir. (192.168.2.1 gibi) Bu üç basamaklı sayılardan her biri 0 ile 255 arasında olmalıdır. 192.168.257.3 gibi bir IP adresi olamaz. Bunun nedeni ise bu sayıların dört binary (ikili) sayıdan oluşmasıdır. Bilgisayarlar daha anlaşılabilir ve akılda kalıcı olması için bize bu sayıları ondalık (desimal) olarak gösterir.

1 bayt’ın 8 bit  olduğunu ve ondalık biçime dönüştürülen 8 bitlik bir ikili (binary) sayının 0 ile 255 arasında olacağını hatırlayın. Toplam 32 bit, yaklaşık 4,2 milyar olası IPv4 adresinin mevcut olduğu anlamına gelir.

Bir bilgisayarın IP adresi size o bilgisayar hakkında çok şey anlatır. Örneğin ilk byte yani ilk ondalık sayı (buna oktet de denir), o bilgisayarın hangi ağ sınıfına ait olduğunu gösterir. Aşağıdaki tabloda 5 IP sınıfı gösterilmiştir.

Dikkat ettiyseniz eğer yukarıdaki tabloda 127 adresi yok. Bunun nedeni 127.0.0.1 bulunduğunuz makineye atanan IP adresinden bağımsız olarak o makinenin kendisini temsil eder. Buna loopback (geri döngü) adresi denir. Makinanın ağ kartını test etmek amaçlı kullanılır.

Bu 5 sınıf adresin hangi bölümünün ağı, hangi bölümünün atandığı cihazı temsil ettiğini gösterdiği için önemlidir. Örneğin A sınıfı bir IP’de ilk sekizli (yani ilk oktet) ağı temsil ederken, geri kalan üç sekizli (3 oktet) node’u temsil eder. B sınıfı bir adreste ise ilk iki oktet ağı temsil ederken diğer iki oktet node’u temsil eder. Son olarak da C sınıfı bir adreste ilk 3 oktet ağı temsil ederken kalan son oktet node’u temsil eder.

Bunların dışında bilinmesi gereken özel IP adresleri ve IP adres aralıkları da vardır. Bunların ilki yukarıda da bahsettiğimiz 127.0.0.1’dir. Yerel ağımızda kullanmamız için belirlenen birtakım IP adres aralıkları vardır. Bu IP’ler Internet dünyasında kullanılamaz sadece ev/ofis ağı içerisindeki bilgisayarların haberleşebilmesi için kullanılan IP’lerdir. Bu adresler şu şekildedir.

10.0.0.0 ile 10.255.255.255 aralığı
172.16.0.1 ile 172.31.255.255 aralığı
192.168.0.0 ile 192.168.255.255 aralığıdır.

Bu IP ler yukarıda da bahsettiğim gibi Internet dünyasında kullanılmazlar sadece ev/ofis ağı içerisindeki cihazların birbirleri ile haberleşebilmesi için kullanılırlar.

Bu durum yeni başlayanlar için biraz kafa karıştırıcı gelebilir. Örnekleyecek olursak; her bina içerisinde aynı daire numarasından bir tane vardır. Aynı bina içerisinde daire no 10 birden fazla olamaz. Aynı bina içerisinde gideceğiniz yeri bu şekilde bulursunuz. Fakat başka binalarda 10 numaralı daire mutlaka vardır. İşte bu bahsettiğimiz yerel ağ IP leri de sadece kendi binanız (kendi ağınız) içerisinde kullanabileceğiniz adresleridir. Fakat başka bir binaya paket göndermeniz için tam posta adresini bilmeniz gerekir. 

Anlaşılabilir bir örnek olması açısından şöyle düşünebilirsiniz; bir şirkette çalışıyorsunuz ve işiniz postaları alıp göndermek. Muhasebe ofisinden gelen bir postayı Insan Kaynakları ofisine götürürken adres bellidir ve yerelde gitmesi gereken bir paket olduğu için doğrudan alıcısının nerde olduğunu bilirsiniz. Çünkü aynı bina içerisindesinizdir. Fakat yine muhasebe ofisinden verilen bir paketi başka binada bulunan başka bir şirketin Insan Kaynakları ofisine götürebilmek için dış kapı adresini bilmeniz gerekir ve Paketin üstüne kendi dış kapı adresinizi de yazarak gönderirsiniz. Ağlarda da Yerel IP adresinizi Internet dünyasında da kullanılabilen public IP adreslerine çeviren ağ geçidi yönlendiricisi (gateway router) vardır. 

Ağ geçidi yönlendiricisinin (gateway router)’ın görevlerinden biri de Ağ Adresi Çeviricisi (Network Adress Translation – NAT) olmasıdır. NAT kullanarak, bir yönlendirici giden paketlerdeki yerel IP adresini alır ve bunu ağ geçidi yönlendiricisinin genel IP adresiyle değiştirir, böylece paket İnternet üzerinden yönlendirilebilir.
Bir Sonraki bölümde görüşmek üzere…

M. Birdal

Leave a comment

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir