TCP/IP Şeması ve Protokol Bağlantıları

TCP_IP

TCP/IP Protokol Ailesi

  • 1982’de DOD tarafından standartlaştırıldı.
  • Katmanlar
    • Ağ Erişim Katmanı ( OSI 1 ve 2’ye karşılık gelmektedir)
    • Internet Katmanı
    • IP (X.X.X.X/Y – 10.0.0.0, 172.16-32.0.0, 192.168.0.0, 127.0.0.0)
      • ICMP (Echo, Time Stamp, Redirect, Destination Unreachable )
      • ARP (MAC/IP Çevrimi, Doğrulama Yapmaz)
    • Ulaşım Katmanı
      • TCP (Oturum Temelli, Sıra Numarası, Bayraklar)
      • UDP (Sorgulama Temelli, Sorgu Numarası)
    • Uygulama Katmanı

Uzak Alan Ağı ve Bileşenler

  • Bölgeler ve uzak mesafelerde yer alan yerel ağları birbine bağlar
  • Paket Anahtarlama
    • 25 (Paket anahtarlama,Analog, Telefon Hatları, 56Kbps)
    • Frame Relay (Sanal devre anahtarlama, PVC/SVC)
    • ATM (Hücre anahtarlama, 53-Byte)
    • VOIP (Paket anahtarlama, IP üzerinden ses)
  • Devre Anahtarlama
    • POTS (Analog, 6-56Kbps)
    • ISDN (B(64K)/D(16K) Kanalları, BRI(128Kbps), PRI (1.544 M)
    • T Taşıyıcıları (Kiralık Hatlar, T1 (24xDS0[64K]), T3 (672xDS0[K])
    • xDSL (simetrik =IDSL, HDSL, SDSL, asimetrik = ADSL, VDSL)
    • Kablo Modemler

TCP_IP-2

Ağ Cihazları

  • Hub
    • Fiziksel Katman, Standart Bağlantı Bileşeni, Güvenlik Bulunmuyor
  • Bridge
    • Veri Bağı Katmanı, Uzak Mesafelerde Kullanılıyor
  • Switch
    • Veri Bağı Katmanı, Port Anahtarlama Yapıyor, Yönetilebilir, VLAN Oluşturulabilir
  • Yönlendirici (Router)
    • Ağ Katmanı, IP veya IPX Yönlendirmesi, RIP/OSPF/BGP
  • Modem
    • Fiziksel Katman, Farklı Bağlantı Türlerinde Kullanılabilir

Uzak Erişim

  • PPP (Point to Point Protocol)
    • 1994 IETF, her bağlantı türünde ve hızında çalışabilir.
  • Doğrulama Protokolleri
    • PAP (Düz Metin, Kullanıcı Adı / Şifre)
    • CHAP (3 Yollu Doğrulama, MD5, MS-CHAP)
    • EAP (Sertifika, OTP, MD5 )
    • Merkezi Doğrulama (RADIUS, TACACS)
  • Sanal Özel Ağlar
    • Güvensiz ağlardan güvenli iletişim
    • Ağlar arası veya istemciler arası yapılabilir
    • PPTP, L2TP, IPSEC, SSL-VPN, MPLS

IPSEC Protokolü

  • En sık kullanılan sanal özel ağ sistemidir
  • Protokoller
    • IKE/ISAKMP (TCP/500, Anahtar Değişimleri ve Doğrulama)
    • ESP (İletişim İçeriğinin Filtrelenmesi)
    • AH (Başlık Bilgilerinin Filtrelenmesi)
  • Bağlantı Türleri
    • Transport (İstemciler arası kullanım)
    • Tunnel (Ağlar arası bağlantı, IPSEC sunucusu ağ geçidi olur)
  • L2TP, IPSEC üzerinden tünellenebilir
  • Standart olmasa da X509 v3 sertifikalarını çoğu IPSEC sunucusu destekler

Ağ Erişim Denetimi

  • Güvenlik duvarı (Firewall), ağ iletişiminde erişim denetimi işlemi için kullanılan sistemlere verilen genel isimdir
    • Yönlendirici
    • Switch
    • Güvenlik Duvarı
  • Güvenlik Duvarı Mimarileri
    • Statik Paket Filtreleme
    • Dinamik Paket Filtreleme
    • Proxy
      • Uygulama Seviyesi Proxy
      • Devre Seviyesi Proxy
      • SOCKS Proxy
    • Ağ Adres Çevrimleri
      • NAT (Network Address Translation)
      • PAT (Port Address Translation)
    • DMZ (De-Militarized Zone)

Ağ Seviyesinde Erişim Denetimi

  • Ağlar arası veya sistemler arası yapılacak olan erişimlerin denetlenmesi hedefelenmektedir
  • Her OSI katmanı ayrı bir erişim denetim kriteri gerektirir
    • Veri Bağı Katmanı -> MAC Adresi, ARP Sorgu Türü
    • Ağ Katmanı -> IP Başlık Bilgileri
    • Taşıma/Oturum/Sunum Katmanları -> Diğer Protokol Başlık Bilgileri (TCP/UDP/ ESP/AH/ICMP Protokol Türleri, Port Bilgisi, ISN/Sıra Numaraları)
    • Uygulama Katmanı -> Pakette Bulunan Veri İçeriği
  • Ağ üzerinde erişim denetimi yapan teknolojiler “Güvenlik Duvarı” olarak çağrılmaktadır, yeni nesil teknolojilerde ek özellikler ile bilinen tanımda farklılıklar oluşmakta ve tekil tehdit yönetimi kullanılmaktadır
    • Yazılım veya Donanım olarak bulunabilir
    • Cihaza/Yazılıma gömülü bir özellik olabilir (Yönlendirici, Switch, Güvenlik Duvarı, Saldırı Önleme Sistemi, Tehdit Yönetim Sistemi, Web Güvenlik Duvarı )

Güvenlik Duvarı

  • Güvenlik duvarı (Firewall), ağ iletişiminde erişim denetimi işlemi için kullanılan sistemlere verilen genel isimdir
  • Ağ temelli sistemlerde güvensiz ağlar ile güvenli ağlar/sistemler arasındaki iletişimi izole etmek ve belirli şartlar altında erişime izin vermek için kullanılırlar
  • En temel güvenlik uygulamasıdır, irili ufaklı birçok kurumda farklı amaçlar için farklı güvenlik duvarı uygulamaları kullanılmaktadır
  • Güvenlik Duvarı Türleri
    • Statik Paket Filtreleme
    • Dinamik Paket Filtreleme
    • Proxy Tipinde Filtreleme
      • Devre Tipi Filtreleme
      • Uygulama Katmanında Filtreleme
    • Ağ Adres Çevrimi (NAT, PAT?, Port Yönlendirme?)
    • DeMilitarized Zone (DMZ)

Guvenlik-duvari

Guvenlik-duvari-isleyisi

Güvenlik Duvarı Yapılandırması

  • Kullanım amacı doğrultusunda doğru mimari seçilmelidir
  • Güvenlik duvarının sahip olduğu dahili servislerden gerekmeyenler kapatılmalı, erişim engellenmelidir
  • Bölgeler arası veya ağ bölümleri güvenlik duvarı ile ayrıştırılmalıdır
  • Ağ yapısına uygun NAT ve DMZ yapılandırması kullanılmalıdır
  • En az düzeyde kural benimsenmeli, erişim politikaları belirlenerek işlemler politikalara/gruplara atanmalı, gerekmeyen erişimlere izin verilmemelidir
  • Güvenilmeyen ağlardan gelen bozuk paketler engellenmelidir
    • Kaynağı özel IP adresleri olan paketler (192.168., 127., 10. …)
    • Bozuk TCP bayrakları olan paketler
    • Bir oturumun devamı olmayan paketler
    • Bozuk/Anlamsız/Geçersiz TCP/IP seçenekleri taşıyan paketler
  • Diğer güvenlik teknolojileri ile bütünleşmenin “kararlı çalışma özelliği”ni kaybettirmemesi sağlanmalıdır
  • Normal-Dışı ve Özel erişimler izlenmelidir

Kural ve yapılandırma yedekleri düzenli olarak alınmalıdır

 

http://www.bulentkaraman.com/wp-content/uploads/2016/05/TCPIPDOC.jpghttp://www.bulentkaraman.com/wp-content/uploads/2016/05/TCPIPDOC-100x100.jpgBülent KaramanBilgi BankasıBilgisayar & DonanımBlogEğitim AkademisiTeknoloji HaberleriAğ Cihazları,Bridge,Firewall,Güvenlik Duvarı,Hub,Modem,Protokol,Proxy,Router,Switch,TcpTCP/IP Şeması ve Protokol Bağlantıları TCP/IP Protokol Ailesi 1982’de DOD tarafından standartlaştırıldı. Katmanlar Ağ Erişim Katmanı ( OSI 1 ve 2’ye karşılık gelmektedir) Internet Katmanı IP (X.X.X.X/Y - 10.0.0.0, 172.16-32.0.0, 192.168.0.0, 127.0.0.0) ICMP (Echo, Time Stamp, Redirect, Destination Unreachable ) ARP (MAC/IP Çevrimi, Doğrulama Yapmaz) Ulaşım Katmanı TCP (Oturum Temelli,...Kurumsal Çözümler | Bülent Karaman