Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU

Slides:



Advertisements
Benzer bir sunumlar
EBA BİLİŞİM AĞI TANITIMI VE KULLANIMI. EBA v2 EBAv2 : Eğitimde FATİH Projesinin içerik bileşeni olarak 2012 yılında yayın hayatına başlayan Eğitim Bilişim.
Advertisements

Mastarlar.
Algoritma.  Algoritma, belirli bir görevi yerine getiren sonlu sayıdaki işlemler dizisidir.  Başka bir deyişle; bir sorunu çözebilmek için gerekli olan.
Veri Tabanı Yönetim Sistemleri Hafta 1. 2 Temel Kavramlar Veri Olguların, kavramların, veya talimatların, insan tarafından veya otomatik yolla iletişim,
Ağ Donanımları Cihazlar
BULUT BİLİŞİM M. KÜRŞAT YILDIRIM İÇERİK  BULUT BİLİŞİM NEDİR?  BULUT BİLİŞİM ÖZELLİKLERİ  BULUT BİLİŞİM MİMARİ YAPISI  BULUT BİLİŞİM.
YEDEKLEME NEDIR? Gülşen Güler. YEDEKLEME NEDIR? Yedekleme, en genel anlamıyla, bir bilgisayar sistemini işlevsel kılan temel birimlerin, üzerinde çalışan.
SUNUCU İŞLETİM SİSTEMİ Öğr. Gör. Ümit ATİLA.  1980’li yıllardan günümüze geldikçe, bilgi toplumuna yönelişte teknolojik rota, telekomünikasyon ve iletişim.
Ağ Anahtarı (Switch) Çeşitleri
DONANIM VE YAZILIM.
TLS/SSL BILGI İŞLEM ORGANIZASYONU BERKE ÖMEROĞLU
İŞLETİM SİSTEMLERİ ISE 206 DR. TUĞRUL TAŞCI. Dersin Amacı Bilgisayar sistemlerinin temel organizasyonunu tanımak İşletim sistemlerinin ana bileşenlerini.
İÇİNDEKİLER GRID COMPUTING NEDİR? NASIL ÇALIŞIR? GRID COMPUTING YAPISI
BİLGİ ve VERİ GÜVENLİĞİ
Yazılım Mühendisliği1[ 3.hft ]. Yazılım Mühendisliği2 Yazılım İ sterlerinin Çözümlemesi Yazılım Yaşam Çevrimi “ Yazılım Yaşam çevrimin herhangi bir yazılım.
Sosyal Ağlar Tehditler, Yanlış Kullanım ve Doğru Kullanım Örnekleri.
IP PAKETİ. IP Paketi ● IP protokolü akış şeklinde çalışır. ● İletim katmanı mesajları alır 64K'lık datagramlara ayırır. ● Her datagram ağ üzerinden karşı.
YÖNLENDİRME. Yönlendirme ● Statik ● Dinamik ● Kaynakta yönlendirme ● Hop by hop yönlendirme.
PROXY SERVER Eren AKGÜL Proxy Server  Vekil sunucu veya yetkili sunucu, internete erişim sırasında kullanılan bir ara sunucudur. Adanmış.
NETWORK YÖNETIMI Ş. Bü ş ra Güngör NETWORK YÖNETIMI NEDIR? Network, sunucu, yazıcı, bilgisayar ve modem gibi veri ileti ş im araçlarının güncel.
IP Adresleme Mekanizması - Adres Sınıfları ve Altağlar Sistem Adresi ve Ağ Adresi Kaynaklar: Ilker Temir, Yrd.Doc.Dr. Sirin Karadeniz, Rize Univ. MYO.
E-YEDEKLEME.
E- İş.
Açlığını Gider Detaylı Kullanım Kılavuzu
İnternet'e Bağlanmak İçin Neler Gereklidir?
ROUTER NEDİR? Elif Melike DEMİR
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
IP Adresi Dönüşüm Protokolleri
PROGRAMLI ÖĞRETİM Tanımı:
LINK LAYER PROTOCOLS (ARP/INARP)
VPN (VİRTUAL PRİVATE NETWORK )
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
MUHASEBE YEDEKLEME.
Yapay Sinir Ağı Modeli (öğretmenli öğrenme) Çok Katmanlı Algılayıcı
MODEL YETERSİZLİKLERİNİ DÜZELTMEK İÇİN DÖNÜŞÜMLER VE AĞIRLIKLANDIRMA
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
HAZIRLAYAN SEDA KALKANDELEN
Güvenli İnternet Kullanımı
İnternet ve WEB Tanımları Html Temel Etiketleri
Ağ Nedir IP Adresi DNS Sunucu
Ağ İşletim Sistemleri Öğr. Gör. Arif DAŞ.
Ağ Topolojileri Öğr. Gör. Arif DAŞ.
Ağ Topolojileri.
BİLGİ GÜVENLİĞİ Güvenli Şifre Oluşturma Bilgi Gizliliği ve Güvenliği
Öğretim Görevlisi Emel ALTINTAŞ
Ağ Topolojileri.
AĞ DONANIMLARI BARIŞ BAYRAM :
STORAGE BÜŞRA KARADENİZ
Swİtch çeşİtlerİ – GÖKÇE TENEKECİ.
Bilgisayar Ağları ve Ağ Güvenliği
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Bilgi İşlem Organizasyonu
Temel Bilgisayar Bilgileri
Ağ Donanımları Cihazlar
İNTERNET VE BİLGİSAYAR AĞLARI
Evren-Örneklem, Örnekleme Yöntemleri 2
NİŞANTAŞI ÜNİVERSİTESİ
Tezin Olası Bölümleri.
İşlemciler.
İNTERNET VE BİLGİSAYAR AĞLARI
Bilgisayar Bilimi Programlama Yapısı.
Hata ayıklama da denilen programlama hatalarını bulma ve düzelme işlemine ne denir? a) Veri b) Yazılım c) Bug d) Debugging e) Donanım.
Siber Güvenlik Onur KASIM Bilgisayar mühendisi
Ölçmede Hata Kavramı ve Hata Türleri
AĞ TEMELLERİ (TCP/IP SUNUMU)
Bilgehan Arslan, Süreyya Gülnar
Bilimsel Araştırma Yöntemleri
Bilişim Güvenliği: Güvenli Hesaplama
Medİkal görüntülerde doktor – hasta bİlgİ gİzlİlİğİnİn sağlanmasI
Sunum transkripti:

Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU TCP/IP Ve NETFILTER TCP/IP, Ağ güvenliği ve NETFILTER kavramlarına bir giriş... Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU 11/19/2018

TCP/IP Ağ yapıları ve adresleme IP TCP Diğer protokoller Kullanım alanları 11/19/2018

Ağ Yapısı ve Adresleme Birden fazla cihazın haberleşmesini sağlayan yapılardır İhtiyaca göre çeşitli biçimlerde bulunurlar Aynı veya farklı tür cihazlar bulunabilir Her cihazın en az bir adresi vardır Aynı fiziksel yapıda birden fazla mantıksal ağ (ve adres) bulunabilir 11/19/2018

Ağ Yapıları Ring Star Bus Hızı yüksek, fakat hata bağımlılığı fazla Yerel ağlarda az kullanılıyor Genelde FDDI şeklinde kampus omurgalarında kullanılıyor Star Cihazlar merkezi bir “HUB” ile bağlı Bütün bilgiler cihazlarla “HUB” arasında gidip geliyor Cihaz ekleyip çıkarmak sorunsuz Genelde yerel ağlarda kullanılıyor. Bus Bütün cihazlar tek bir kabloya bağlı Geniş ağlarda kullanılıyor Sorun çıkma olasılığı yüksek 11/19/2018

Alt Ağlar Geniş ağlar, fiziksel veya mantıksal alt ağlara ayrılırlar İki ağ arasında fiziksel birlikteliği sağlayan “köprüler” bulunur İki ağ arasında mantıksal birlikteliği ağ protokolü sağlar 11/19/2018

Internet Çok sayıda ağın birleşmesinden oluşur. Internet'e bağlı tüm cihazların bir adresi vardır ve bu adreslerle herhangi diğer bir cihaza erişebilir. 11/19/2018

IP (Internet Protocol) Internet'in temel ve vazgeçilmez protokolüdür ARPA NET için geliştirilmiş, genişleyebilme özelliği sayesinde, her yerde kullanılmaya başlanmıştır Yerel ve geniş ağlarda adresleme ve paket iletimini sağlar Çok sayıda üst ve alt protokol ile çalışır 11/19/2018

TCP İki nokta arasında güvenilir, bağlantı tabanlı veri transferini sağlar Adresleme ve yönlendirme ile ilgilenmez IP üzerinde çalışır Internet üzerindeki çoğu servis (FTP, WEB, POP3, NFS, X) TCP ile çalışır 11/19/2018

Diğer Protokoller UDP: Bir noktadan, güvenilir olmayan, “paket” transferini sağlar ICMP: IP tarafından hata ve bilgi mesajlarının taşınmasında kullanılır IGMP: Multicast (birden-çoğa) UDP transferi kontrolünde kullanılır ARP: IP adreslerinin donanım adreslerine çevrimini sağlar 11/19/2018

IP Adresleme Internet ve yerel TCP/IP ağlarına bağlı tüm cihazların bir “IP adresi” bulunur 11/19/2018

Yerel IP Adresleri Bir cihaz kendisi ile aynı yerel ağ üzerinde olan diğer cihazlara, direk olarak erişebilir 11/19/2018

Dış IP Adresleri Cihazlar kendi yerel ağlarında olmayan adreslere, önceden tanımlı bir “router” (yönlendirici) üzerinden erişirler. 11/19/2018

Geri Yönlendirme Bir router, iki farklı ağ arasında ileri ve geri taşıma yaptığı için, her iki ağda da tanımlı olmalıdır (her iki ağda da adresi olmalıdır). Router dahil tüm cihazların ayrı ağlardaki adresleri, birbirinden farklı olmalıdır. 11/19/2018

Ağ Maskesi Her cihaz kendi IP adresi ile beraber, bulunduğu ağ üzerindeki IP adreslerini de bilmelidir Bu amaçla IP adreslerinin ne kadarının ortak olduğunu belirten “Ağ Maskeleri” kullanılır. 11/19/2018

Özel Adresler Her ağın bir ağ adresi ve bir de “yayın” adresi bulunur Ağ adresi ağı tanımlamada, Yayın adresi ağdaki tüm makinalara aynı anda erişmede kullanılır Ağdaki ilk adres ağ adresi, Son adres yayın adresidir 11/19/2018

Tanımlı Ağlar A tipi: Geniş ağlarda kullanılır. 16 milyon adres içerirler [1 – 126 ile başlar] B tipi: Büyük ve orta büyüklüklü ağlarda kullanılır. 65 milyon adres içerirler [128 – 191 ile başlar] C tipi: Küçük ağlarda kullanılır. 256 adres içerirler [192 – 223 ile başlar] D ve E tipi: “multicast” ve ayrılmış ağlardır 11/19/2018

Serbest Adresler Ağlarda özel amaçlı kullanılması için bir kısım IP adresleri serbest bırakılmıştır. Bu adresler Internet üzerinde geçersizdir. 10. A sınıfı ağı (10.0.0.0/8) 172.16. B sınıfı ağı (172.16.0.0/16) 192.168.*. C sınıfı ağları (192.168.*.0/24) 11/19/2018

Yönlendirme Bir paketin iki adres arasında taşınmasında “yönlendirme tabloları” kullanılır. Normal bir aygıt için bu tablo, sadece yerel adresleri ARP kullanarak göndermesini, geri kalanları router’a yönlendirmesini söyler Fakat router’lar bağlı bulundukları ağ ile beraber, komşu router’ları ve bunların bağlı bulundukları ağların bilgisini içeren büyük tablolar tutarlar Bu tablolar sayesinde bir paket karıştırılmadan hedefine taşınır. Eğer bir paketin adresi tabloda tanımlı değilse, bunu farkeden router geri haber verir ve bu bilgi paketi ilk gönderene kadar taşınır 11/19/2018

Örnek Yönlendirme Tablosu Yukarıdaki tabloda, 127. ile başlayan adresler makinaya geri dönmekte 192.168.0 ile başlayan adresler ilk ethernet kartına 192.126.1 ile başlayan adresler ikinci ethernet kartına Geri kalan adresler modem ile bağlı olunan router’a gönderilmektedir 11/19/2018

Ağ Güvenliği Ağların korunması gerekir. Çünkü, Veri ve kaynaklarımızı paylaşmak istemeyiz Veri ve kaynaklarımızın dışarıya karşı güvenliğini sağlamak isteriz Ağımızdaki dış işlemleri sınırlandırmak isteyebiliriz. Bu amaçla, firewall kurulumunu da içeren bir dizi önlem alırız 11/19/2018

Kaynakların Gizliliği Gizli ve paylaşmak istemediğimiz kaynaklar vardır. Belgeler, Internet erişimi, disk alanı bunların içinde sayılabilir. Bunlar içerdekilerin kötü niyeti, kullanılan sistemin güvenlik ayarlarının yanlış yapılması veya güvenlik hataları bulunması sebebiyle, dışarıdan erişilebilirler. 11/19/2018

Kaynakların Güvenliği Ağımızdaki sistemlerin, dışarıdakiler tarafından zarar görmesini istemeyiz. Bu bizzat şahıslar tarafından yapılabilineceği gibi, virüs, kurtçuk (worm), vb. programlarla, büyük düzeyde de gerçekleşebilir. Bunlar sistemin bozulmasını veya yavaş ve sorunlu çalışmasını sağlayabilirler. 11/19/2018

Sınırlandırma Ağ içerisindeki dışarıya yönelik işlemleri sınırlandırmak isteyebiliriz. Mesela, Sınırlı olan bant genişliğinin, büyük dosya transferleri ile israf edilmesini, veya iş saatleri esnasında insanların oyun oynamasını veya şahsi mailleri ile ilgilenmelerini, veya, bir ilkokulda “uygunsuz” sitelere girilmesini, engellemek isteyebiliriz. 11/19/2018

Şifreleme Servislere erişim için şifre isteyebiliriz. Bu yöntem çoğu zaman etkili olsa da tek başına yeterli değildir. Özellikle program açıkları veya bilinçsiz kullanıcılar sorun oluşturur. 11/19/2018

IP Kısıtlaması Ek bir önlem olarak, verilen servisleri sadece belirli IP adresleri için geçerli olacak şekilde ayarlarız. Fakat program hataları veya saldırganların, IP adresleri konusunda yalan söylemesi, bu yöntemi de yetersiz kılar. 11/19/2018

“IP Spoofing” Saldırganlar, kendilerini yerel ağınızdaki bir adrese sahip gibi gösterebilirler Bu durumda IP adresi tabanlı güvenlik sistemleri faydalı olmaz 11/19/2018

Program Hataları Her programın bir hatası vardır. Ve bu hatalar, saldırganların sisteminizdeki diğer servislere de ulaşabilmesini sağlayabilir. Bir sistemin güvenliği o sistemdeki en zayıf program ile ölçülür. 11/19/2018

Firewall Bir ağı dış etkilerden koruma amaçlı cihazlardır Router üzerine veya router ile ağ arasına yerleştirilir Ciddi güvenlik isteyen ağlar için kaçınılmazdır 11/19/2018

Firewall Güvenlidir Çünkü; Bulunduğu konum itibariyle tüm ağ trafiğine hükmeder Üzerinde çalışan yazılımlar güvenlik öncelikli yazılmıştır Üzerinde gerekli olmayan, dolayısıyla güvenlik hatası olabilecek program çalışmamaktadır Standard kurulumda, güvenlik ayarları en sıkı seviyededir Kullanıcıların yaptıkları kötü seçimlerden bağımsızdır 11/19/2018

NetFilter / IPTables NetFilter nedir? Geçmiş uygulamalar NetFilter mimarisi Temel kullanımı Masquerading ve NAT 11/19/2018

NetFilter Nedir? NetFilter, Linux 2.4 serisi için hazırlanmış, esnek, güvenilir ve gelişmiş bir IP filtremele / firewall paketidir Esnek kural dizileri yazılmasına izin verir Modüller ile her parçası geliştirilebilir Kullanıcı programları ile ortak çalışma imkanına sahiptir Geniş bir paket tanıma ve işlem yapma kütüphanesi vardır Gerçek NAT destekler 11/19/2018

Geçmiş Uygulamalar NetFilter ortaya çıkmadan, Linux 2 öncesinde BSD’den çevrilen ipf Linux 2.0 serisinde ipfwadm Linux 2.2 serisinde ipchains kullanılmıştır 11/19/2018

NetFilter Mimarisi Makinaya gelen, makinadan çıkan veya makina üzerinden yönlendirilecek paketler hazırlanan tablolara göre işlenir Her tablo bir kısım önceden tanımlı zincirler içerir. Ayrıca kullanıcı tanımlı zincirler bulunabilir Her zincir bir kısım kuraldan oluşmuştur Bu işlemlerin sonucuna göre paketler “hedeflere” ulaşırlar 11/19/2018

NetFilter Kavramları PAKET: Bir makinaya gelen veya ondan çıkan en küçük ağ veri birimi TABLO: Yapılacak işe göre paketlerin işlenmesini sağlayan bağımsız yapılar ZİNCİR: Paketlerin kaderlerine karar verilmesi için geçecekleri kural dizisi KURAL: Belli özellikteki paketler için karar verilmesini sağlayan ifadeler HEDEF: Paketlerin hakkında olası verilebilinecek kararlar 11/19/2018

Tanımlı Tablolar filter: Varsayılan tablo. INPUT FORWARD ve OUTPUT zincirlerini içerir nat: Yeni bağlantı açan paketler için. PREROUTING, OUTPUT ve POSTROUTING zincirlerini içerir mangle: Özel paket “kurcalama” amaçlıdır. PREROUTING ve OUTPUT zincirlerini içerir 11/19/2018

Temel Hedefler ACCEPT: Paketin kabul edilmesini sağlar REJECT: Paketin reddedilip, geri bilgi verilmesini sağlar DROP: Paketin işlenmeyip, gözardı edilmesini sağlar REDIRECT: Paketin makinadaki bir servise gönderilmesini sağlar (sadece NAT için geçerli, “saydam proxy” amaçlı) 11/19/2018

Diğer Hedefler LOG: Paketin sistem günlüğüne kaydedilmesini sağlar ULOG: Paketin kullanıcı programına aktarılmasını sağlar RETURN: Paketin bir önceki zincire geri dönmesini sağlar (fonksiyon dönüşü) MARK: Paketi daha fazla işleme tabi tutulması için işaretler (blok yapısı gibi) MIRROR: Paketi geri gönderir 11/19/2018

Hedef Zincir ve Tablolar Zincir ve tablolar da hedef olarak kullanılabilir. Bunun kullanımı en sık NAT tablosu içindir. Ayrıca aynı tablo içindeki ek zincirler “alt fonksiyon” gibi kullanılabilir. 11/19/2018

Zincirler Zincirler sistem yöneticisi tarafından hazırlanan kural dizileridir Her zincirin “varsayılan” bir hedefi vardır. Bu başlangıçta ACCEPT’tir Sistemde önceden, INPUT: Gelen paketler OUTPUT: Çıkan paketler FORWARD: İletilen paketler zincirleri tanımlıdır 11/19/2018

Kurallar Her zincir 0 veya daha fazla kural içerir Kurallar, belirli kriterlere göre paketleri yakalarlar Yakalanan paketler, istenilen hedeflere gönderirlir. Bu hedeflerin bir kısmı paketin zincirden çıkmasını sağlar 11/19/2018

NetFilter Kurulumu Linux Çekirdeğinde CONFIG_FILTER CONFIG_NETFILTER CONFIG_IP_NF_IPTABLES ve istenilen ek moduller açılır http://netfilter.samba.org netfilter tablolarını düzenlemekte kullanılan “iptables” programı bulunmaktadır 11/19/2018

Temel Kullanımı iptables programı -P ile zincirin varsayılan hedefini seçer -A ile zincire bir kural ekler -D ile zincirden bir kural siler -N ile yeni bir zincir oluşturur -X ile bir zincir siler -L ile seçilen zincirdeki kuralları listeler 11/19/2018

Masquerading Birden çok makinanın aynı IP adresini kullanmasını sağlar Aşağıda basit bir Masquerading konfigürasyonu gösterilmiştir 11/19/2018

NAT NAT, Masquerading yönteminin genel ve çift yönlü halidir Ağ üzerinde kullanılan özel IP adresleri ve ağa ait bir miktar “gerçek” IP adresi vardır Ağ içerisindeki cihazlardan biri dışarıya erişeceği zaman, boş bir “gerçek” IP adresi ile eşlenir Kullanım bitince “gerçek” IP adresi tekrar kullanılmak üzere “boş” durumuna döner 11/19/2018

Yük Dengeleme NAT kullanımının içeriye yönelik olanıdır Aynı servisi veren birden çok sunucu için tek bir “gerçek” IP adresi bulunur NAT hizmet isteği geldikçe, hedef adresi bu sunuculardan birine yöneltir Böylelikle tek bir sunucu ile karşılanamayak yük karşılanır 11/19/2018

Gelecek VLAN (IPSec, Tunnelling) IPv6 11/19/2018

IP Güvensizdir IP, verileri “açık” olarak iletir. Güvenlik için aradaki taşıyıcılara güvenir Dışarıdan birisi, firewall kuralları sağlamsa, trafiği izleyemez veya değştiremez Fakat, bir yerel ağa veya routera erişimi olan herkes verileri izleyip, onları değiştirebilir 11/19/2018

Tunneling Bu amaçla kritik uygulamalarda iki nokta arasında tünel denilen güvenli bağlantılar kurulur Bu bağlantılar HTTP gibi protokolleri taşırlar Fakat IP üzerine ek bir katman olarak gelen bu tüneller veriyi gizler ve karşı tarafı tanır 11/19/2018

VLAN Eğer bu tüneller bir servis için değil, fakat iki ağı bağlamak için ise VLAN adını alır VLAN içindeki makinalar bir yerel ağa bağlı gibi çalışırlar VLAN’ın fiziksel parçaları arasındaki trafik, güvensiz IP katmanı üzerine kurulan, tüneller vasıtasıyla taşınır 11/19/2018

Adres Yetersizliği Özellikle B tipi adresler yüzünden olası 4 milyarlık adres alanı israf edilmiştir ve adres sıkıntısı çekilmektedir Şu anda geçici çözümler oluşturulmuş olsa da, bunlar genellikle çok büyük yönlendirme tabloları gibi sorunlara yol açmaktadır 11/19/2018

IPv6 IPv6, Internet protokolünün altıncı sürümüdür En önemli özelliği 128 bit adres alanına sahip olmasıdır Dolayısıyla dünyadaki herkes, şu an Internete bağlı tüm cihazların sayısı kadar adres alsa yeterli olacaktır 11/19/2018

Diğer IPv6 Özellikleri IPv6 IPSec katmanını içermektedir. IPv6 paketleri, sabit uzunlukta ve kolay işlenebilir başlıklara sahiptir IPv6 Gigabit ethernet gibi yüksek hızdaki teknolojilerden en iyi faydalanacak şekilde hazırlanmıştır IPv6 sorunsuz şekilde IPv4’den geçisi sağlar. Sistemlerin bir geçiş sürecinde kapalı kalması gerekmez 11/19/2018

Katılımcılarımıza Teşekkür Ederiz... TCP/IP Ve NETFILTER Katılımcılarımıza Teşekkür Ederiz... 11/19/2018