Su an yasamakta oldugumuz ag güvenligi problemlerinin çogu TCP/IP protokolünün
güvenlik açiklarindan kaynaklanmaktadir. Önlemler alabilmek için öncelikle IP
protokolünü ve var olan sorunlari anlamak gereklidir.
TCP/IP Protokolü Nedir?
TCP/IP, her geçen gün degisen, gelisen ve içinde birçok aglararasi iletisim
(internetworking) protokolleri barindiran bir protokol yigitidir. Amerikan Savunma
Bakanligi tarafindan nükleer savas durumunda bile çalisabilecek bir sistem olarak
tasarlanmistir. Daha çok akademik ortamlarda gelistirilen bu protokol, firmalardan
bagimsiz oldugu için dünya çapinda farkli sistemler arasinda iletisim için (yani
Internet’te) en yaygin kullanilan protokoldür. TCP/IP, Internet’i yaratan protokoldür
dersek yanlis olmaz. TCP/IP Protokol yigiti, OSI modelin 7 katmanina karsilik gelen
4 katmandan olusmaktadir:
• Uygulama: OSI’nin son üç katmanlarina (5-6-7) karsilik gelir
• Transport: Güvenilirlik, akis (flow) kontrolü ve hata düzeltme gibi servis
kalitesini belirleyen parametrelerle ugrasir. Baglantili (TCP) ve baglantisiz (UDP)
servisleri içerir.
• Internet: Amaç izlenen yollardan ve aglardan bagimsiz olarak hedef cihaza veri
iletiminin saglanmasidir. Yol (path) belirleme ve veriyi o yola yönlendirmek
(routing) için paket anahtarlama bu seviyede yapilir. IP protokolü kullanilir.
• Network Access: OSI’nin ilk iki katmanina (1-2) karsilik gelir.
TCP/IP’de yaygin olarak kullanilan
protokoller yandaki protokol grafiginde
verilmistir. Uygulama seviyesinde bir ag
ortaminda sikça rastlayacagimiz protokoller
asagida belirtilmistir:
• FTP - File Transfer Protocol
• HTTP - Hypertext Transfer Protocol
• SMTP - Simple Mail Transfer Protocol
• DNS - Domain Name System
• TFTP - Trivial File Transfer Protocol
TCP/IP modelinin Internet’i yaratan bir standart olmasi ve birçok protokolü
bünyesinde bulundurmasi onu daha popüler yapmaktadir. OSI modelin özellikle ag
temellerinin egitiminde bir rehber oldugu unutulmamalidir.
IP Protokolü ve IP Adresleme
Internet Protokolü (IP) bir agda uçtan uca (end-to-end) veri yönlendirmesi için
kullanilir. IP tanimlamalari 1982 yilinda RFC 791’de yapilmistir. Bu tanimlamalar IP
adreslerinin yapisini da içerir. Su an dünyada yaygin olarak IPv4 (IP version - sürüm
4) kullanilmaktadir. Bu yapi Internet üzerindeki herhangi bir cihaza (makina veya
yönlendirici arayüzüne) 32 bit mantiksal adres saglar.
Avrupa Bölgesi (region) için IP adreslerinin düzenlemeleri RIPE NNC
(http://www.ripe.net) tarafindan saglanmaktadir. Azalan IP adresi araligi yüzünden
özel IP’lerin kullanimi artmakta ve IPv6’ya geçis planlari yapilmaktadir.
Özel adresler, Internet’e baglanmayan, NAT (Network Address Translation) veya
proxy sunucusu araciligi ile Internet’e baglanan cihazlarda kullanim için ayrilmistir.
Bu adresler (10.0.0.0/8, 172.16.0.0/16, 192.168.0.0 /16)dir.
IPsec
IPsec protokolü, hem IPv4 için hem de IPv6 için dogrulama (authentication),
bütünlük (integrity) ve gizlilik (confidentiality) servisleri saglamak için
tasarimlanmistir. Transport seviyesinde çalistigi için uygulamalarda ek bir ayarlama
yapmaya gerek yoktur (transparent). IPv4 aglarina IPSEC eklemek için bu görevi
üstlenecek bir ag cihazi (router, VPN concentrator ... vb) veya ag güvenlik duvari
kullanmak gerekmektedir. Kullanici da VPN client yazilimini makinasina kurmalidir.
IPSEC’de güvenlik 2 mekanizma ile saglanmaktadir:
• Authentication Header (AH): Veri dogrulama,veri bütünlügü saglamak için
• Encapsulated Security Payload (ESP): Veri gizliligi saglamak, sifreleme için
Bu iki mekanizma tek baslarina kullanilabilecekleri gibi birlikte de kullanilabilir.
Var olan TCP/IP Zayifliklari ve Çözümleri
Su an kullanilan IPv4 protokolü tasarlanirken güvenlik dikkate alinmamistir. Bunun
sonucunda yasanan zayifliklar ve çözümler olarak asagidakileri belirtmek
mümkündür:
Hedefe ulasan veri, IP paketlerinden olusmaktadir. Bu paketlerde:
• Gizlilik (Confidentiality): Paketin seyrettigi yol boyunca içerigi okunmus olabilir.
Önlem: _çerigin sifrelenmesi. – Uygulama: IPsec
• Paket Dogrulama (Authentication): Paketin kaynak adresi degistirilmis olabilir.
(Örn:spoof saldirilari) Önlem: Daha kuvvetli dogrulama yöntemlerinin
kullanilmasi. – Uygulama: IPsec- AH
• _çerik bütünlügü (integrity): Paketin içerigi degistirilmis olabilir. Önlem: Daha
gelismis data bütünlügü kontrollerinin yapilmasi. – Uygulama: IPsec - AH
IP protokolünün zayifliklari kullanilarak servislere yönelik saldirilar yapilabilir:
• Flood Saldirilari: Protokolde trafik önceliginin (priority) olmamasi yüzünden aga
yönelik sel (flood) saldirilari. Önlem: Servis kalitesi(QOS), aktif cihazlarda ve
güvenlik duvarlarinda önlemler almak.
• DOS-DDOS Saldirilari: Sistemleri ve servisleri devre disi birakmak için yapilan
saldirilar. Önlem: Güvenlik duvari kullanmak, sistemlerde gerekli güncellemeleri
düzenli olarak yapmak ve ilave güvenlik önlemleri almak, protokollerin yeni ve
daha güvenli versiyonlarini kullanmaya baslamak.
IPv6
IPv6’nin tanimlamalari da tamamlanmak üzeredir. IPv6, daha büyük bir adres uzayi
(128 bit adres), yönlendirme esnekligi, entegre servis kalitesi (QOS), otomatik
konfigürasyon, mobil computing, “data multicasting” ve gelismis güvenlik
özelliklerine sahiptir.
IPv6 ‘da IPSEC destegi bütünlesik olarak gelmektedir. Bu tür bir entegrasyon bu
servislerin daha sorunsuz ve etkin çalismasini saglayacaktir. Örnegin ag seviyesinde
dogrulama ile paketin belirtilen kaynak adresinden gelip gelmedigi tespit
edilebilmektedir.
