TCP/IP ve Güvenlik Duvarı
TCP/IP Şeması ve Protokol Bağlantıları
TCP/IP Protokol Ailesi
- 1982’de DOD tarafından standartlaştırıldı.
- Katmanlar
- Ağ Erişim Katmanı ( OSI 1 ve 2’ye karşılık gelmektedir)
- Internet Katmanı
- IP (X.X.X.X/Y – 10.0.0.0, 172.16-32.0.0, 192.168.0.0, 127.0.0.0)
- ICMP (Echo, Time Stamp, Redirect, Destination Unreachable )
- ARP (MAC/IP Çevrimi, Doğrulama Yapmaz)
- Ulaşım Katmanı
- TCP (Oturum Temelli, Sıra Numarası, Bayraklar)
- UDP (Sorgulama Temelli, Sorgu Numarası)
- Uygulama Katmanı
Uzak Alan Ağı ve Bileşenler
- Bölgeler ve uzak mesafelerde yer alan yerel ağları birbine bağlar
- Paket Anahtarlama
- 25 (Paket anahtarlama,Analog, Telefon Hatları, 56Kbps)
- Frame Relay (Sanal devre anahtarlama, PVC/SVC)
- ATM (Hücre anahtarlama, 53-Byte)
- VOIP (Paket anahtarlama, IP üzerinden ses)
- Devre Anahtarlama
- POTS (Analog, 6-56Kbps)
- ISDN (B(64K)/D(16K) Kanalları, BRI(128Kbps), PRI (1.544 M)
- T Taşıyıcıları (Kiralık Hatlar, T1 (24xDS0[64K]), T3 (672xDS0[K])
- xDSL (simetrik =IDSL, HDSL, SDSL, asimetrik = ADSL, VDSL)
- Kablo Modemler
Ağ Cihazları
- Hub
- Fiziksel Katman, Standart Bağlantı Bileşeni, Güvenlik Bulunmuyor
- Bridge
- Veri Bağı Katmanı, Uzak Mesafelerde Kullanılıyor
- Switch
- Veri Bağı Katmanı, Port Anahtarlama Yapıyor, Yönetilebilir, VLAN Oluşturulabilir
- Yönlendirici (Router)
- Ağ Katmanı, IP veya IPX Yönlendirmesi, RIP/OSPF/BGP
- Modem
- Fiziksel Katman, Farklı Bağlantı Türlerinde Kullanılabilir
Uzak Erişim
- PPP (Point to Point Protocol)
- 1994 IETF, her bağlantı türünde ve hızında çalışabilir.
- Doğrulama Protokolleri
- PAP (Düz Metin, Kullanıcı Adı / Şifre)
- CHAP (3 Yollu Doğrulama, MD5, MS-CHAP)
- EAP (Sertifika, OTP, MD5 )
- Merkezi Doğrulama (RADIUS, TACACS)
- Sanal Özel Ağlar
- Güvensiz ağlardan güvenli iletişim
- Ağlar arası veya istemciler arası yapılabilir
- PPTP, L2TP, IPSEC, SSL-VPN, MPLS
IPSEC Protokolü
- En sık kullanılan sanal özel ağ sistemidir
- Protokoller
- IKE/ISAKMP (TCP/500, Anahtar Değişimleri ve Doğrulama)
- ESP (İletişim İçeriğinin Filtrelenmesi)
- AH (Başlık Bilgilerinin Filtrelenmesi)
- Bağlantı Türleri
- Transport (İstemciler arası kullanım)
- Tunnel (Ağlar arası bağlantı, IPSEC sunucusu ağ geçidi olur)
- L2TP, IPSEC üzerinden tünellenebilir
- Standart olmasa da X509 v3 sertifikalarını çoğu IPSEC sunucusu destekler
Ağ Erişim Denetimi
- Güvenlik duvarı (Firewall), ağ iletişiminde erişim denetimi işlemi için kullanılan sistemlere verilen genel isimdir
- Yönlendirici
- Switch
- Güvenlik Duvarı
- Güvenlik Duvarı Mimarileri
- Statik Paket Filtreleme
- Dinamik Paket Filtreleme
- Proxy
- Uygulama Seviyesi Proxy
- Devre Seviyesi Proxy
- SOCKS Proxy
- Ağ Adres Çevrimleri
- NAT (Network Address Translation)
- PAT (Port Address Translation)
- DMZ (De-Militarized Zone)
Ağ Seviyesinde Erişim Denetimi
- Ağlar arası veya sistemler arası yapılacak olan erişimlerin denetlenmesi hedefelenmektedir
- Her OSI katmanı ayrı bir erişim denetim kriteri gerektirir
- Veri Bağı Katmanı -> MAC Adresi, ARP Sorgu Türü
- Ağ Katmanı -> IP Başlık Bilgileri
- Taşıma/Oturum/Sunum Katmanları -> Diğer Protokol Başlık Bilgileri (TCP/UDP/ ESP/AH/ICMP Protokol Türleri, Port Bilgisi, ISN/Sıra Numaraları)
- Uygulama Katmanı -> Pakette Bulunan Veri İçeriği
- Ağ üzerinde erişim denetimi yapan teknolojiler “Güvenlik Duvarı” olarak çağrılmaktadır, yeni nesil teknolojilerde ek özellikler ile bilinen tanımda farklılıklar oluşmakta ve tekil tehdit yönetimi kullanılmaktadır
- Yazılım veya Donanım olarak bulunabilir
- Cihaza/Yazılıma gömülü bir özellik olabilir (Yönlendirici, Switch, Güvenlik Duvarı, Saldırı Önleme Sistemi, Tehdit Yönetim Sistemi, Web Güvenlik Duvarı )
Güvenlik Duvarı
- Güvenlik duvarı (Firewall), ağ iletişiminde erişim denetimi işlemi için kullanılan sistemlere verilen genel isimdir
- Ağ temelli sistemlerde güvensiz ağlar ile güvenli ağlar/sistemler arasındaki iletişimi izole etmek ve belirli şartlar altında erişime izin vermek için kullanılırlar
- En temel güvenlik uygulamasıdır, irili ufaklı birçok kurumda farklı amaçlar için farklı güvenlik duvarı uygulamaları kullanılmaktadır
- Güvenlik Duvarı Türleri
- Statik Paket Filtreleme
- Dinamik Paket Filtreleme
- Proxy Tipinde Filtreleme
- Devre Tipi Filtreleme
- Uygulama Katmanında Filtreleme
- Ağ Adres Çevrimi (NAT, PAT?, Port Yönlendirme?)
- DeMilitarized Zone (DMZ)
Güvenlik Duvarı Yapılandırması
- Kullanım amacı doğrultusunda doğru mimari seçilmelidir
- Güvenlik duvarının sahip olduğu dahili servislerden gerekmeyenler kapatılmalı, erişim engellenmelidir
- Bölgeler arası veya ağ bölümleri güvenlik duvarı ile ayrıştırılmalıdır
- Ağ yapısına uygun NAT ve DMZ yapılandırması kullanılmalıdır
- En az düzeyde kural benimsenmeli, erişim politikaları belirlenerek işlemler politikalara/gruplara atanmalı, gerekmeyen erişimlere izin verilmemelidir
- Güvenilmeyen ağlardan gelen bozuk paketler engellenmelidir
- Kaynağı özel IP adresleri olan paketler (192.168., 127., 10. …)
- Bozuk TCP bayrakları olan paketler
- Bir oturumun devamı olmayan paketler
- Bozuk/Anlamsız/Geçersiz TCP/IP seçenekleri taşıyan paketler
- Diğer güvenlik teknolojileri ile bütünleşmenin “kararlı çalışma özelliği”ni kaybettirmemesi sağlanmalıdır
- Normal-Dışı ve Özel erişimler izlenmelidir
Kural ve yapılandırma yedekleri düzenli olarak alınmalıdır
https://www.bulentkaraman.com/tcpip-ve-guvenlik-duvari/https://www.bulentkaraman.com/wp-content/uploads/2016/05/TCPIPDOC.jpghttps://www.bulentkaraman.com/wp-content/uploads/2016/05/TCPIPDOC-100x100.jpgBilgi BankasıBilgisayar & DonanımBlogEğitim AkademisiTeknoloji HaberleriAğ Cihazları,Bridge,Firewall,Güvenlik Duvarı,Hub,Modem,Protokol,Proxy,Router,Switch,TcpTCP/IP Şeması ve Protokol Bağlantıları TCP/IP Protokol Ailesi 1982’de DOD tarafından standartlaştırıldı. Katmanlar Ağ Erişim Katmanı ( OSI 1 ve 2’ye karşılık gelmektedir) Internet Katmanı IP (X.X.X.X/Y - 10.0.0.0, 172.16-32.0.0, 192.168.0.0, 127.0.0.0) ICMP (Echo, Time Stamp, Redirect, Destination Unreachable ) ARP (MAC/IP Çevrimi, Doğrulama Yapmaz) Ulaşım Katmanı TCP (Oturum Temelli,...Bülent KaramanBülent Karamaninfo@bulentkaraman.comAdministratorWeb Tasarım | E-Ticaret | Dijital Pazarlama

Bir cevap yazın