Network Staj Defteri
-
Upload
ozkanilitu -
Category
Documents
-
view
956 -
download
85
Transcript of Network Staj Defteri
1
Genel İzlenimler
Provus, 2001 yılında bankalara kart, işyeri ve ATM operasyonları konularında, ayrıca bankalar
yanında farklı sektörlerden fimalara baskı/zarflama ve kart kişiselleştirme hizmetleri konularında
dış kaynak kullanım hizmeti verme amacıyla kuruldu.
Provus, 1976 yılında kurulmuş ve Türkiye’ye ödeme sistemlerini getirerek bu sektörün
gelişmesinde birçok ilke imza atmış olan AKK’yı 2005 yılında satın alarak her iki şirketin
altyapı hizmet ve deneyimlerinin birleşiminden oluşan sinerjiyle hızla büyüyüp sektöründe
Türkiye’nin öncü ve lider kuruluşu oldu. Hızlı büyümesi ve büyümeye açık bir sektörde
yeralması nedeniyle birçok yatırımcının ilgi odağı olan Provus 2007 yılında Türkiye’nin en
başarılı özel girişim sermayesi kuruluşlarından olan Türkven tarafından %70 oranında satın
alınarak büyüme ve gelişmesine önemli bir ivme kazandırdı.
Günümüzde 6 ülkede faaliyet gösteren Provus, yurtdışında da büyümeyi hedefledi ve bu amaçla
ilk operasyon merkezini Romanya’da kurdu ve kısa zamanda bu ülkede de birçok bankaya
hizmet verir duruma geldi.
PROVUS bugün, 240 kişilik konusunda uzman ve deneyimli kadrosu, güvenliği uluslararası
kuruluşlarca onaylanmış altyapısı (PCI, Vendor Sertifikasyonu) ile yurtiçi ve yurtdışından 59
müşteriye hizmet vermekte ve 5.000.000 kart, 100.000 POS ve 5.500 ATM PROVUS
altyapısından hizmet almaktadır.
Faaliyet Alanlarımız ve Altyapımız;
Kredi Kartı Operasyonu
POS ve İşyeri Operasyonu
ATM Operasyonu
Müşteri Bağlılık Uygulamaları
Doküman Baskı ve Zarflama
Kart Kişiselleştirme
Staj Yapanın İmzası Staj Yetkilisinin İmzası
2
PROVUS faaliyet alanlarına giren konularda hizmet vermek için gerekli yetki ve onaylara
sahiptir ve güvenlik PROVUS için en önemli ve öncelikli konudur. PROVUS tarafından güvenli
hizmet vermek için gerekli sertifikasyonlar tamamlanmış olup, ek güvenlik önlemleri ile de
güvenlik katmanları arttırılmıştır.
Güvenlik
VISA Fiziksel Güvenlik Onayı
VISA Mantıksal Güvenlik Onayı
MasterCard Fiziksel Güvenlik Onayı
MasterCard Mantıksal Güvenlik Onayı
PCI (Payment Card Industry Data Security Standardı)
Yıllık ortalama 10 denetleme (Müşteri, Visa, MasterCard)
Periyodik personel risk araştırması ve güvenlik sözleşmesi
Onay ve Yetkiler
MasterCard Member Service Provider (MSP) Yetkisi
VISA net Processor Yetkisi
BKM Servis Sağlayan Kurum
MasterCard ve Visa Vendor Sertifikasyonu
EMV onaylı ATM, POS ve Kart Yönetim Altyapısı
PCI (Payment Card Industry Data Security Standardı)
JCB Card Acquirer Yetkisi
3D Secure Sanal POS Acquiring
Staj Yapanın İmzası Staj Yetkilisinin İmzası
3
Yapılan İş ve Özeti:
Stajımın bir bölümünde genel ağ yapıları, ağ teknolojileri , internet protokolleri, LAN
bağlantıları ve Cisco firmasının router ve switchleri ile ilgili teorik ve pratik çalışmalar
yaptım.
Network ( Ağ )
Network (Ağ), ses, video ve bilgisayar verilerinin iletişim için kablolu veya kablosuz
hatlar aracılığıyla aktarımını sağlayan sistemdir. Ağlar çok çeşitli boyutlarda olabilir. İki
bilgisayardan oluşan basit ağlardan milyonlarca aygıtı bağlayan ağlara kadar pek çok boyutta
ağ olabilir. İnternette bu bağlamda birbirine bağlı binlerce ağdan oluştuğu için “ağların ağı”
olarak ifade edilebilir. Ağı oluşturan bir çok bileşen vardır. 4 ana kategoride bunlar:
• İstemciler : Doğrudan ağ üzerinden ileti gönderip alan cihazlardır. (Defter içinde
konak bilgisayar olarakta geçer)
• Paylaşılan çevresel aygıtlar: Istemcilere bağlı paylaşılan cihazlar (yazıcı,webcam,
tarayıcı)
• Ağ iletişim cihazları: İstemcileri birbirine bağlar ve trafiği yönetir. (Switch,router,
vb.)
• Ağ iletişim ortamı: Bağlantı burdan sağlanır kablolu veya kablosuz ortamlar
vardır.
Kısaca Network Terimleri
Switch: Bilgisayarların ve diğer ağ öğelerinin birbirlerine bağımsız veri alışverişi yapmasına
olanak veren a ğ don a n ı ml a r ı nd a n bi ridir. OSI modelinin 2. Katmanında yer alır.
Router: İki ağın birbirine bağlanmasını sağlayan ağ donanımıdır.
Hub: İçerisinde tüm portları birbirine bağlayan kablolardan oluşmuş bir cihazdır ve
kablolardan taşınan bilgiyi anlama kapasitesine sahip değildir. Yalnızca bir porttan gelen
paketleri diğer bütün portlara yayın (boardcast) şeklinde iletir.
Sunucu: Nilgis a y a r a ğl a r ınd a , diğer ağ bil e ş e nl er inin ( kullanıcıların) erişebileceği,
kullanımına ve/veya paylaşımına açık k a y n a kl a r ı b arındıran bilgi s a y a r bi rimi.İstemci karşıtı.
Çerçeve (frame): Bir ses ya da görüntü d a t a sınd eki en küçük anlamlı parcaya verilen isim.
(Burda bahsedilen ethernet katındaki)
Staj Yapanın İmzası Staj Yetkilisinin İmzası
4
Broadcast : İstemcilerin birbirileri arasında gönderdikleri iletilere yayın denir. MAC
adresleri üzerinden gerçekleşir. Tek seferde bir tane hedef MAC adresi kullanılır. Eğer MAC
adres, FFFF.FFFF.FFFF şeklinde ise yayın bütün kullanıcılara ulaşır ve buna çoklu yayın
denir.
Ağ Topolojileri
Birkaç bilgisayardan oluşan basit bir ağda, çeşitli bileşenlerin tamamının bağlanma
şeklini görselleştirmek kolaydır. Ağ büyüdükçe, her bileşenin konumunu ve ağa bağlanma
şeklini takip etmek daha da zorlaşır. Bunun için fiziksel ve mantıksal ağ haritaları
çıkarılır.Fiziksel harita istemciun bulunduğu yeri ve ağa bağlanma şeklini, kabloların
döşendiği yerleri ve ağ araçlarını gösterir. Mantıksal harita ise istemciları fiziksel konumlarını
dikkate almadan adlarını,IP adreslerini, kullandıkları ağları göz önüne alarak oluştrulur.
Fiziksel topolojide ağ bileşenlerinin birbirine bağlanma şekline göre 6 türdür. Bunlar: Bus,
Ring, Yıldız (star), Gelişmiş Yıldız( extended star), Mesh (ağ) ve Ağaç (Hierarchical Tree)
topolojisidir. Özellikle Provus gibi yüzlerce bilgisayarın bulunduğu şirketlerde topoloji
haritaları daha büyük önem kazanmaktadır. Fiziksel olarak Provus’ta Gelişmiş Yıldız
(Extended Star) ve Ağaç (Hierarchical Tree) benzeri bir topoloji kullanılmaktadır. Sistemin
merkezinde (veya başında) ana switch bulunmaktadır . Ana switch diğer daha küçük ağları
yöneten başka switchlere bağlıdır.
Tüm ağların amacı bilgiyi iletmek ve yöntem sağlamaktır. Bu yöntemin içinde 3
önemli öğesi vardır : Kaynak , kanal ve hedef. Bunlar modern ağ sistemlerinde ağ trafiği
yönetiminde kullanılan protokollerinde temel bileşenleridir. Protokoller bilgisayarların
Staj Yapanın İmzası Staj Yetkilisinin İmzası
5
haberleşmesi için bir dizi kural getirir ve iletinin iletilme ve teslim edilme şeklinin
ayrıntılarını tanımlar:
İleti biçimi, İleti boyutu, Zamanlama, Kapsülleme, Kodlama, Standart ileti düzeni
İlk zamanlarda satıcı kurumlar ağ cihazları için kendi protokollerini kullandı ancak bu
ağlar yaygınlaşmaya başlayınca iletişim sağlanamadı ve farklı satıcıların ağ ekipmanlarının
çalıştırılacağı kuralları tanımlayan standartlar geliştirildi. Standartlar ağ iletişimine birçok
şekilde yarar sağlar: Tasarımı kolaylaştırır, ürün gelişimini basitleştirir, rekabeti artırır, tutarlı
arabağlantılar sağlar, eğitimi kolaylaştırır, müşteriler için daha fazla satıcı seçeneği sunar. Son
olarak ise XEROX firmasının 1973 te geliştirdiği Ethernet teknolojisi standart olarak kabul
edilir ve geliştirilir.
Yerel ağların en yaygın protokol Ethernettir. Ethernet protokolü, yerel ağ üzerinde
iletişimin birçok yönünü tanımlar, bunlardan bazıları şunlardır: ileti biçimi, ileti boyutu,
zamanlama, kodlama ve ileti düzenleri.
Ethernet ağlarında kaynak ve hedef bilgisayarları tanımlamak için her bilgisayarın
ethernet arayüzüne üretim aşamasında fiziksel bir adres atanır : MAC adresi. MAC adres her
bilgisayar için eşsiz bir koda sahiptir.
Ethernette kanal olarak ise kablo kullanılır. Bu kablo çeşidi bakır ve fiber optik bir
kablo olabilir.
Ethernet ağında bir istemci iletişime geçtiğinde, hedefin ve kendisinin MAC adresini
içeren bir çerçeve (frame) gönderir. Hedef çerçevenin kodunu çözer ve hedef MAC adresini
okur. Hedef MAC adresi, NIC'de (Ağ Arayüz Kartı) yapılandırılmış adresle aynıysa, NIC
iletiyi işler ve gerekli uygulamanın kullanması için saklar, aynı değilse yok sayar.
Bilgisayarın MAC adresine Windows ortamında komut satırına ipconfig/all işletilerek
ulaşılabilir.
Ancak Ethernetin MAC adresleriyle iletişimi global olarak düşünüldüğünde yüz
milyonlarca istemcinin bulunduğu bir ağ için yetersiz hatta imkansız kalmaktadır. Bunun için
Staj Yapanın İmzası Staj Yetkilisinin İmzası
6
büyük ağları, küçük ve daha yönetilebilir bölümlere ayırmak daha iyidir. Büyük ağları
ayırmanın bir yolu, hiyerarşik tasarım modelini kullanmaktır. Hiyerarşik ve katmanlı tasarım,
verimliliğin artmasını, işlevin en iyi duruma getirilmesini ve hızın yükselmesini sağlar. Var
olan ağların başarımı etkilenmeden ek yerel ağlar eklenebildiği için, bu tasarım ağın gerektiği
şekilde ölçeklendirilmesini de sağlar. Hiyerarşik tasarımda üç temel katman bulunur:
• Erişim Katmanı : Yerel bir Ethernet ağında istemcilara bağlantı sağlar. Bu katmanda
istemci, hub, switch gibi ağ cihazları kullanılır. Kullanıcılar paylaşılan dosyalara,
yazıcılara bu katmandan erişebilir.
• Dağıtım Katmanı : Daha küçük yerel ağların birbirine bağlanmasını sağlar. Bu
katmanda daha güçlü switchler ve routerlar kullanılır
• Çekirdek Katmanı : Dağıtım katmanı cihazları arasında yüksek hızlı bağlantı sağlar.
Bu katmanda çok güçlü ve çok hızlı switch ve routerlar kullanılır.
Hiyerarşik tasarımda istemciun konumunu belirlemek için IP adreslemesi kullanılır.
IP Adresi
Bu adres, istemciun bulunduğu yer temel alınarak mantıksal olarak atandığından,
mantıksal adres olarakta bilinir. IP adresi veya ağ adresi, yerel ağ temel alınarak her bir konak
bilgisayara ağ yöneticisi tarafından atanır. İnternet'teki diğer cihazlarla iletişim kurmak için
bu adresin düzgün biçimde yapılandırılmış ve benzersiz olması gerekir.
IP adresi, bir konak bilgisayarın Ağ arayüzü bağlantısına atanır. Bu bağlantı genellikle
cihaza takılı bir ağ arayüz kartıdır (NIC). Ağ arayüzlerine sahip son kullanıcı cihazlarına
ilişkin örnekler arasında iş istasyonları, sunucular, ağ yazıcıları ve IP telefonları yer alır. Bazı
sunucularda birden çok NIC bulunabilir ve her NIC kendi IP adresine sahiptir. IP ağına
bağlantı sağlayan yönlendirici arayüzlerinin de bir IP adresi vardır.
İnternet üzerinden gönderilen her paket, bir kaynak ve bir hedef IP adresine sahiptir.
Ağ iletişim cihazları, bilginin hedefe ulaşmasını ve yanıtların kaynağa geri dönmesini
sağlamak için bu bilgilere gereksinim duyar.
IP adresleri iki bölümden oluşur. Bu bölümlerden biri yerel ağı tanımlar. IP adresinin
ağ bölümü, aynı yerel ağa bağlı tüm konak bilgisayarlarda aynıdır. IP adresinin ikinci bölümü
tek bir konak bilgisayarı tanımlar. Aynı yerel ağ içinde, IP adresinin konak bilgisayar bölümü
her bir konak bilgisayar için benzersizdir.
Staj Yapanın İmzası Staj Yetkilisinin İmzası
7
IP Adresinin Yapısı
IP adresi 2 tabanında 32 bitlik bir seridir. Genelde 10 tabanında 4 adet 8 bitlik bytelar
halinde gösterilir. Mesela;
11000000101010000000000100000101 = 192.168.1.5 ‘e tekabül eder.
32 bitlik bu bu IP adresi Ipv4 diye tanımlanır. 4 milyardan fazla IP adresi alınabilir.
Yaygın olan budur ancak artık yetersiz gelmeye başlamıştır. Bunun için Ipv6 kullanmaya
başlanmıştır.
IP Adresinin Bölümleri
Mantıksal 32 bit IP adresi hiyerarşik olup iki bölümden oluşur. İlk bölüm ağı, ikinci
bölüm ise ağdaki bilgisayarı tanımlar. IP adresinde her iki bölümün de bulunması gerekir.
Örneğin, bir konak bilgisayarın IP adresi 192.168.18.57 olduğunda, ilk üç sekizli
(192.168.18) adresin ağ bölümünü ve son sekizli (57) konak bilgisayarı tanımlar. Ağ bölümü
her bir benzersiz konak bilgisayar adresinin bulunduğu ağı gösterdiğinden, bu hiyerarşik
adresleme olarak bilinir. Yönlendiricilerin her bir konak bilgisayarın konumunu bilmek yerine,
yalnızca her bir ağa nasıl ulaşılacağını bilmeleri gerekir.
Bilgisayarların IP adresindeki hangi bölümün ağ, hangi bölümün konak bilgiayar
olduğunu anlaması için alt ağ maskesi (subnet mask) kullanılır. Alt ağ maskesinin her bir bit'i
soldan sağa IP adresinin bit'leriyle karşılaştırılır. Alt ağ maskesindeki 1'ler ağ bölümünü, 0'lar
konak bilgisayar bölümünü temsil eder. Yukarıdaki örnek için alt ağ maskesi 255.255.255.0
dır. Provus’ta ise benim oturduğum bilgisayar için alt ağ maskesi 255.255.254.0 dır. Yani
burdaki 254 ten anlayabiliriz ki 8 bitin ilk 7 si bir son bit ise 0 dır. Yine basit bir hesapla bağlı
olduğum switch en fazla 2*255-2 = 508 tane istemciye bağlanabilir. Çıkarılan 2 nin sebebi
switchin kendi IP adresi ve toplu yayın adresidir( bütün değerlerin 1 olması).
IP Adresi ve Varsayılan Alt Ağ Maskeleri
IP adresleri 5 sınıfa ayrılır: A, B, C, D, E.
A, B, C ticaridir. D sınıfı çoklu yayın ve E sınıfı ise deneysel amaçlı kullanılır.
C sınıfı küçük ağlar için kullanılır.Ağ kısmı üç sekizli,istemci kısmı bir sekizli bulunur.
1.sekizlinin aralığı 192 ile 223 arasındadır. Varsayılan alt ağ maskesi 255.255.255.0 dır.
B sınıfı orta büyüklükteki ağlar için kullanılır.Ağ bölümü iki ve istemci bölümü 2
sekizliden oluşur. 1.sekizlinin aralığı 128 ile 191 arasındadır. Varsayılan alt ağ maskesi
255.255.0.0 dır.
A sınıfı büyük ağlar için kullanılır.Ağ bölümü bir ve istemci bölümü üç sekizliden
oluşur. 1.sekizlinin aralığı 1 ile 127 arasındadır. Varsayılan alt ağ maskesi 255.0.0.0 dır.
Staj Yapanın İmzası Staj Yetkilisinin İmzası
8
Provus B sınıfı IP ye sahiptir. Varsayılan alt ağ maskesi 255.255.0.0 dır.
DHCP (Dynamic Host Configuration Protocol)
IP adresleri statik veya dinamik olarak atanabilir. Statik atamada, ağ yöneticisinin
konak bilgisayara ilişkin ağ bilgilerini manuel olarak yapılandırması gerekir. Bu yapılandırma
minimum ölçüde konak bilgisayar IP adresini, alt ağ maskesini ve varsayılan ağ geçidini içerir.
Dinamik atama: Yerel ağlarda, kullanıcı sayısının sık sık değiştiği görülür. Dizüstü
bilgisayarları olan yeni kullanıcılar gelir ve bağlantıya ihtiyaç duyarlar. Diğerlerinin ise
bağlanması gereken yeni iş istasyonları vardır. Ağ yöneticisinin her iş istasyonuna IP adresi
ataması yerine IP adreslerinin otomatik olarak atanması daha kolaydır. Bu, Dinamik Konak
Bilgisayar Yapılandırma Protokolü (DHCP) olarak bilinen bir protokol kullanılarak yapılır.
DHCP, IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve diğer yapılandırma bilgileri
gibi adresleme bilgilerini otomatik atama mekanizması sağlar.
Ağ destek personelinin iş yükünü hafifletip giriş hatalarını ortadan kaldırdığı için,
büyük ağlarda konak bilgisayarlara IP adresi atama konusunda tercih edilen yöntem genellikle
DHCP'dir.
DNS (Domain Name System)
İnternet'teki hizmet barındıran tüm sunucuların IP adreslerinin tamamını hatırlamak
mümkün değildir. Bunun yerine, bir adı IP adresiyle ilişkilendirerek sunucuları bulmak daha
kolaydır.
Etki Alanı Adlandırma Sistemi (DNS), konak bilgisayarların belirli bir sunucunun IP
adresini istemek için bu adı kullanmasını sağlar. DNS adları, İnternet'te belirli üst seviyeli
grup veya etki alanları içinde kayıtlı ve düzenlenmiş durumdadır. İnternet'teki en yaygın üst
seviyeli etki alanlarından bazıları .com, .edu ve .net'tir.
Ağ Adresi Çevirisi (NAT)
Provus’ın ana yönlendiricisi ISP'den(Vodafone.Net) genel bir adres alır ve bu adres
yönlendiricinin İnternet'te paket gönderip almasını sağlar. Bunun sonucunda da yerel ağ
istemcilerine özel adresler sağlar. İnternet'te özel adreslere izin verilmez, yerel istemcilerin
İnternet'te iletişim kurmasını sağlamak için, özel adreslerin benzersiz genel adreslere
çevrilmesi gerekir.
Özel adresleri İnternet'te yönlendirilebilir adreslere dönüştürme işlemine Ağ Adresi
Çevirisi (NAT) adı verilir. NAT işlemiyle, özel (yerel) bir kaynak IP adresi, genel (global) bir
Staj Yapanın İmzası Staj Yetkilisinin İmzası
9
adrese çevrilir. Gelen paketler için de işlemin tersi gerçekleşir. Yönlendirici, NAT işlemiyle
birçok dahili IP adresini aynı genel adrese çevirebilir.
Yalnızca başka ağları hedefleyen paketlerin çevrilmesi gerekir. Bu paketler,
yönlendiricinin, kaynak bilgisayarın özel IP adresini kendi genel IP adresiyle değiştirdiği ağ
geçidi üzerinden geçmelidir.
Dahili ağdaki her konak bilgisayarda atanmış benzersiz bir özel IP adresi olsa da,
konak bilgisayarların yönlendiriciye atanmış, İnternet'te yönlendirilebilir tek bir adresi
paylaşması gerekir.
Özel adresler yalnızca yerel ağda göründüğünden ve ağ dışındaki kişiler bu adreslere
doğrudan erişim kazanamadığından, özel adres kullanımı bir güvenlik önlemi sağlar.
Erişim Katmanı
Hub (Dağıtıcı): İçerisinde tüm portları birbirine bağlayan kablolardan oluşmuş bir
cihazdır ve kablolardan taşınan bilgiyi anlama kapasitesine sahip değildir. Yanlızca bir
porttan gelen paketleri diğer bütün portlara yayın (boardcast) şeklinde iletir. Bu yüzden
fiziksel katmana dahildir. Dağıtımlarda eşit paylaşım yapılır. Aynı anda iki ileti aldığında
bozuk mesaj yollar (çatışma). Aldığı mesajları yayın şeklinde (yani tüm kullanıcılara yollar)
ilettiği için bant genişliğini gereksiz yere çok tüketir ve bu nedenle tercih edilmez.
Switch (Anahtar): Hub gibi switchde birden çok konak bilgisayarı ağa bağlar. Ancak
hubdan farklı olarak çerçevelerin kodlarını çözer ve iletinin hedef MAC adresini okuyabilir.
Switchdeki bir tabloda (MAC adresi tablosu denir), tüm etkin bağlantı noktalarının bir listesi
ve bunlara bağlı istemci MAC adresleri bulunur. istemcilar arasında bir ileti gönderildiğinde,
anahtar, hedef MAC adresinin tabloda olup olmadığını kontrol eder. MAC adresi tablodaysa,
Staj Yapanın İmzası Staj Yetkilisinin İmzası
10
anahtar, kaynak ve hedef bağlantı noktaları arasında devre adı verilen geçici bir bağlantı
oluşturur. Bu yeni devre, iki istemciun üzerinde iletişim kurabileceği adanmış bir kanal sağlar.
Anahtara bağlı diğer istemci bu kanaldaki bant genişliğini paylaşmaz ve kendi adreslerine
yönelik olmayan iletileri almaz. Konak bilgisayarlar arasındaki her yeni iletişim için yeni bir
devre oluşturulur. Bu ayrı devreler, çatışma oluşmadan aynı anda birçok iletişimin
gerçekleşmesine izin verir. MAC tablosu kaynak adreslerinden gelen iletilere göre sürekli
güncellenir.
Gönderen kaynak istemcita ,hedef istemciun MAC adreside iletiye eklemesi gerekir.
Ancak sadece IP adresi bulunuyorsa hedef istemciun MAC adresi için ARP(Adres
Çözümleme Protokolu ) denilen IP protokolu kullanılır.
ARP’de bilinmeyen MAC adresi için üç adımlık şu yol izlenir:
1.Gönderen bilgisayar, yayın MAC adresine yönelik bir çerçeve oluşturup gönderir.
Çerçevenin içinde, amaçlanan hedef bilgisayarın IP adresinin bulunduğu bir ileti yer alır.
2. Ağdaki her bilgisayar yayın çerçevesini alır ve iletinin içindeki IP adresini kendi
yapılandırılmış IP adresiyle karşılaştırır. Aynı IP adresine sahip olan bilgisayar, MAC
adresini başlangıçtaki gönderen bilgisayara geri gönderir.
3. Gönderen bilgisayar iletiyi alır ve MAC adresi ile IP adresi bilgilerini ARP tablosu
adı verilen bir tabloda saklar.
Provus’ta Cisco firmasının Catalyst 4500 ve Catalyst 6500 modelleri kullanılmaktadır.
Dağıtım Katmanı
Ağlar büyüdükçe genellikle bir yerel ağın fiziksel konum, güvenlik ve uygulama
gereksinimleri gibi ölçütlere göre birden çok Erişim Katmanı ağına bölünmesi gerekir.
Dağıtım Katmanı, bu bağımsız yerel ağları bağlar ve aralarındaki trafiği denetler. Bu
katman, yerel ağda konak bilgisayarlar arasındaki trafiğin yerel kalmasını sağlamaktan
Staj Yapanın İmzası Staj Yetkilisinin İmzası
11
sorumludur. Yalnızca diğer ağları hedefleyen trafik iletilir. Dağıtım Katmanı, güvenlik ve
trafik yönetimi için gelen ve giden trafiği de filtreleyebilir.
Dağıtım Katmanını oluşturan ağ iletişim cihazları, tek tek bilgisayarları değil, ağları
birbirine bağlamak üzere tasarlanmıştır. Ayrı ayrı bilgisayarlar dağıtıcı ve anahtar gibi Erişim
Katmanı cihazları üzerinden ağa bağlanır. Erişim Katmanı cihazları da, yönlendirici(router)
gibi Dağıtım Katmanı cihazı üzerinden birbirine bağlanır. Provus’ta da müşteri
temsilcileri bilgisayarları bir switche , o switchte bir üst departmana bağlıdır. Bu şekilde
hiyerarşik bir düzende dağılmıştır.
Router (Yönlendirici)
Yönlendirici, yerel ağı başka yerel ağlara bağlayan bir ağ iletişim cihazıdır. Ağın
Dağıtım Katmanında yönlendiriciler trafiği yönlendirir ve ağ işleminin verimliliği açısından
kritik olan diğer işlevleri gerçekleştirir. Anahtarlar gibi yönlendiriciler de kendilerine
gönderilen iletilerin kodunu çözüp iletileri okuyabilir. Ancak yalnızca MAC adresi bilgilerini
içeren çerçevelerin kodunu çözen (kapsül açma işlemini gerçekleştiren) anahtarlardan farklı
olarak, yönlendiriciler çerçeve içinde kapsüllenmiş paketin kodunu çözer.
Paket biçiminde, hedef ve kaynak konak bilgisayarların IP adresleri ve bu konak
bilgisayarların arasında gönderilen iletilerin verileri bulunur. Yönlendirici, hedef IP adresinin
ağ bölümünü okur ve bağlı ağlardan hangisinin iletiyi hedefe yönlendirmek için en iyi yol
olduğunu bulmak üzere bu bölümü kullanır.
Kaynak ve hedef konak bilgisayarların IP adreslerinin ağ bölümü birbiriyle aynı
olmadığında, iletiyi iletmek için yönlendiricinin kullanılması gerekir. 1.1.1.0 ağında bulunan
bir konak bilgisayarın 5.5.5.0 ağındaki bir konak bilgisayara ileti göndermesi gerekirse, konak
bilgisayar iletiyi yönlendiriciye iletir. Yönlendirici iletiyi alır ve hedef IP adresini okumak
için iletiyi kapsül açma işlemini gerçekleştirir. Ardından iletiyi nereye ileteceğini belirler.
Paketi yeniden bir çerçeveye kapsüller ve çerçeveyi hedefine iletir.
Yönlendirici üzerindeki her bağlantı noktası veya arayüz farklı bir yerel ağa bağlanır.
Her yönlendiricide yerel olarak bağlı tüm ağların ve bu ağları bağlayan arayüzlerin bir tablosu
bulunur. Bu yönlendirme tablolarında, yönlendiricinin yerel olarak bağlı olmayan diğer uzak
ağlara ulaşmak için kullandığı rotalar veya yollar hakkında bilgiler de yer alabilir.
Yönlendirici bir çerçeve aldığında, hedef IP adresini içeren pakete ulaşmak için
çerçevenin kodunu çözer. Hedefin adresini, yönlendirme tablosunda bulunan ağların tümüne
eşleştirir. Hedef ağ adresi tabloda bulunuyorsa, yönlendirici paketi göndermek için yeni bir
Staj Yapanın İmzası Staj Yetkilisinin İmzası
12
çerçeveye kapsüller. Hedef ağa giden yolla ilişkilendirilmiş arayüzden yeni çerçeveyi iletir.
Paketleri hedef ağına iletme işlemine yönlendirme denir.
Hedef bilgisayar, yönlendiriciye yerel olarak ise, bu hedef MAC adresi, gerçek
bilgisayarın MAC adresidir. Yönlendiricinin paketi başka bir yönlendiriciye iletmesi gerekirse,
bu durumda yönlendirici bağlı yönlendiricinin MAC adresini kullanır. Yönlendiriciler bu
MAC adreslerini ARP tablolarından alır.
Yönlendirici arayüzleri, yayın MAC adresine yönelik iletileri iletmez. Bunun sonucu
olarak da, yerel ağ yayınları diğer yerel ağlara yönlendiriciler üzerinden gönderilmez.
Provus’ta router yerine router özelliğide olan switchler kullanılıyor.
Varsayılan Ağ Geçidi ( Default Gateway)
Gönderen bilgisayar iletiyi farklı bir ağdaki bilgisayara yollayacaksa router kullanması
gerekir. Bunun için pakete hedef bilgisayarın MAC adresini eklerken, çerçeveyi kapsüllerken
routerın MAC adresini ekler. Routerın IP adresi TCP/IP protokolünde kullanılan varsayılan ağ
geçidi adresidir. Gönderen bilgisayar ARP ile de routerın MAC adresini öğrenebilir.
Yerel Ağ (LAN)
Yerel ağ, bir yerel ağı ya da tek ve aynı yönetimsel denetim altında birbirine bağlı
yerek ağları ifade eder. Ethernet veya kablosuz protokolleri kullanılabilir.
İnternet
İnternet, yaygın standartları kullanarak bilgi alışverişi yapmak üzere işbirliği halinde
olan, dünya çapında bir bilgisayar ağları topluluğudur. İnternet kullanıcıları, telefon kabloları,
fiber optik kablolar, kablosuz iletimler ve uydu bağları aracılığıyla çeşitli biçimlerde bilgi
alışverişi yapabilir. İnternet, dünyanın her ülkesinden kullanıcıları birbirine bağlayan ağlardan
oluşan ağdır.
Staj Yapanın İmzası Staj Yetkilisinin İmzası
13
ISP (Internet Servis Sağlayıcıları)
İnternet'e bağlantı ve erişim desteği sağlayan bir şirkettir. internet erişimine sahip
olmak için mutlaka ISP gereklidir. Konak bilgisayar olmadan kimse İnternet'e erişemediği
gibi ISP olmadan da kimse İnternet'e erişemez. Callus için ISP desteği Vodafone.Net
tarafından sağlanmaktadır.
POP (Point of Presence)
Bilgisayar ve yerel ağların her biri, bir Bulunma Noktasına (POP) bağlanır. POP,
ISP'nin ağı ile POP'un hizmet verdiği belirli coğrafi bölge arasındaki bağlantı noktasıdır. ISP
içinde yüksek hızlı yönlendirici ve anahtarların oluşturduğu ağ, çeşitli POP'lar arasında veri
taşır. Bir bağ arızalandığında veya aşırı trafikle yüklenip tıkandığında, veriye alternatif rotalar
sağlamak için birden çok bağ POP'ları birbirine bağlar.
ISP'ler kendi ağlarının sınırları ötesine bilgi göndermek için başka ISP'lere bağlanır.
İnternet, ISP POP'larını ve ISP'leri birbirine bağlayan çok yüksek hızlı veri bağlarından
oluşmuştur. Bu arabağlantılar, İnternet Omurgası olarak bilinen çok büyük ve yüksek
kapasiteli ağın parçasıdır.
Bağlantı Çeşitleri
Çevirmeli Bağlantı kurmak için ISP nin çevirmeli olarak aramak üzere bir modem ve
kamu erişimine normal telefon hattını kullanan biçimdir.Günümüzde pek kullanılmaz.
DSL normal telefon hatları üzerinden kullanıcılara yüksek bant genişliği sağlayan bir
teknolojidir. Download upload hızının farklı olduğu hatlara Asimetrik DSL (ADSL),
download ve upload hızlarının aynı olduğu DSL hizmetine SDSL denir. Callus bir çağrı
Staj Yapanın İmzası Staj Yetkilisinin İmzası
14
merkezi olduğu için gelen ve giden bağlantılar eşit derecede önemlidir ve simetrik DSL
bağlantı bulunmaktadır.
IP (İnternet Protokolü)
Bilgisayarların İnternet'te iletişim kurması için İnternet Protokolü (IP) yazılımını
çalıştırıyor olmaları gerekir. IP protokolü, topluca TCP/IP (İletim Denetim Protokolü/İnternet
Protokolü) olarak ifade edilen protokol gruplarından biridir. İnternet Protokolü (IP), verileri
taşımak için paketleri kullanır. İster İnternet'te video oyunu oynayın, ister bir arkadaşınızla
sohbet edin, e-posta gönderin veya Web'de arama yapın, gönderdiğiniz ya da aldığınız bilgiler
IP paketleri biçiminde taşınır.
IP, kaynak ve hedef IP adreslerinin yapısını tanımlar. Paketlerin bir konak bilgisayar
veya ağdan diğerine yönlendirilmesinde bu adreslerin nasıl kullanıldığını tanımlar.
IP paketinin başında, kaynak ve hedef IP adreslerini içeren bir başlık bulunur. Bu
başlık, paketin üzerinden geçtiği yönlendirici gibi ağ aygıtlarına paketi açıklayan denetim
bilgilerini içerir ve paketin ağ üzerindeki davranışının denetlenmesine de yardımcı olur. IP
paketi bazen datagram olarak da ifade edilir.
İletiler İnternet'te gönderilmeden önce paketlere bölünür. Ethernet ağları için IP paket
boyutu 64 ile 1500 bayt arasındadır ve bu paketler çoğunlukla kullanıcı verilerini içerir. 1 MB
boyutundaki tek bir şarkının indirilmesi için 600'den fazla 1500 baytlık paket gerekir.
Paketlerin her birinde bir kaynak ve bir hedef IP adresi bulunmalıdır.
Bir paket İnternet üzerinden gönderildiğinde, ISP, paketin ISP ağında bulunan yerel
bir hizmeti mi yoksa farklı bir ağda bulunan uzak bir hizmeti mi hedeflediğini belirler.
Ping Komutu
Ping komutunu Windows komut satırında kullanırsak, kaynak ve hedef arasındaki
uçtan uca bağlantıyı sınar. Sınama paketlerinin kaynaktan hedefe doğru gerçekleşirdiği
döngünün süresini ölçer ve iletimin başarılı olup olmadığını belirler. Ancak paket hedefe
ulaşmadığında veya yol üzerinde gecikme yaşandığında, sorunun nerede olduğunu
belirlemenin bir yolu yoktur.
Staj Yapanın İmzası Staj Yetkilisinin İmzası
15
Tracert
Kaynaktan hedefe giden rotayı izler. Paketlerin üzerinden geçtiği her yönlendiriciye
sekme denir. Yoldaki üzerindeki her bir sekmeyi ve her sekmede geçen süreyi görüntüler.
Paketin yol aldığı süre ve rota, bir sorun oluştuğunda paketin kaybolduğu veya gecikmeye
uğradığı yerin belirlenmesine yardımcı olabilir.
TCP UDP Taşıma Protokolleri
Ağ üzerinden kullanılabilen her hizmetin sunucu ve istemci yazılımında uygulanan
kendi uygulama protokolleri vardır. Uygulama protokollerine ek olarak, kaynak ve hedef
konak bilgisayarlar arasında iletileri adreslemek ve yönlendirmek için yaygın İnternet
hizmetlerinin tümü İnternet Protokolü'nü (IP) kullanır.
IP, paketlerin yapısı, adreslenmesi ve yönlendirilmesiyle ilgilidir. IP, paketlerin
tesliminin veya taşınmasının nasıl gerçekleştiğini belirtmez. İletilerin konak bilgisayarlar
arasında nasıl taşınacağını taşıma protokolleri belirtir. En yaygın iki taşıma protokolü, İletim
Denetim Protokolü (TCP) ve Kullanıcı Datagram Protokolü'dür (UDP). IP protokolü, konak
Staj Yapanın İmzası Staj Yetkilisinin İmzası
16
bilgisayarların iletişim kurmasını ve veri aktarmasını sağlamak için bu taşıma protokollerini
kullanır.
TCP, iletiyi kesim olarak bilinen küçük parçalara ayırır. Kesimler sırayla
numaralandırılır ve paketler halinde birleştirilmek üzere IP işlemine geçer. TCP, belirli bir
uygulamadan belirli bir konak bilgisayara gönderilen kesimlerin sayısını takip eder. Gönderen
belirli bir süre içinde alındı bildirimi almazsa, kesimlerin kaybolduğunu varsayarak kesimleri
yeniden iletir. İletinin tamamı değil, yalnızca kaybolan kısmı yeniden gönderilir. Bu
bağlamda TCP protokolü taahhütlü posta servisine benzetilebilir.
Alıcı konak bilgisayarda TCP, ileti kesimlerinin yeniden birleştirilip uygulamaya
gönderilmesinden sorumludur.
Verinin teslim edilmesini sağlamak için TCP'nin kullandığı uygulamalara örnek olarak
FTP (Dosya Aktarım Protokolü) ve HTTP verilebilir. FTP için port 21 , HTTP için ise port 80
kullanılır.
Bazı durumlarda TCP alındı bildirimi protokolüne gerek duyulmaz ve bu protokol
aslında bilgi aktarımını da yavaşlatır. Bu tür durumlarda UDP daha uygun bir taşıma
protokolü olabilir.
UDP, alındı bildirimi gerektirmeyen 'en iyi girişim' teslim sistemidir. Bu, posta sistemi
aracılığıyla normal bir mektup göndermeye benzer. Mektubun teslim edileceği garanti
edilmez, ancak bu ihtimal yüksektir.
UDP, ses, video ve IP üzerinden ses(VoIP) akışı gibi uygulamalarda tercih edilir.
Alındı bildirimleri teslim işlemini yavaşlatır ve yeniden iletim pek de istenen bir durum
değildir.
OSI Modeli
ISO Uluslararası Standartlar Örgütü tarafından geliştirilmiştir. TCP/IP modelinden
farklı olarak, bu model belirli protokollerin etkileşimini belirtmez. Geliştiricilerin ağ
iletişimine yönelik protokoller tasarlarken izleyeceği mimari olarak oluşturulmuştur. Ağlar
arası iletişimle de ilişkilendirilmiş tüm işlevler veya görevler yer alır. Yalnızca dört katmanı
olan TCP/IP modeliyle karşılaştırıldığında, OSI modeli, görevi daha belirli yedi grupta
düzenler. Daha sonra yedi OSI katmanının her birine bir görev veya görevler grubu atanır.
Staj Yapanın İmzası Staj Yetkilisinin İmzası
17
OSI başvuru modeli, tüm ağ teknisyenleri ve mühendisleri için ortak bir dil sağlar.
Gerçekleşen işlevleri ve OSI modelinin her katmanında çalışan ağ iletişimi cihazlarını
anlamak önemlidir.
OSI modelinin üst katmanları (5-7), belirli uygulama işlevleriyle ilgilidir ve genellikle
yalnızca yazılımlarda uygulanır. Bu katmanlarda ortaya çıkarılan sorunlar genellikle istemci
ve sunuculardaki uç sistem yazılım yapılandırma hatalarından kaynaklanır.
OSI modelinin alt katmanları (1-4), veri taşıma sorunlarıyla ilgilidir.
Ağ Katmanı (3. Katman) ve Taşıma Katmanı (4. Katman) genellikle yalnızca
yazılımlarda uygulanır. Uç sistemlerdeki yazılım hatalarına ek olarak, yönlendirici ve
güvenlik duvarlarındaki yazılım yapılandırma hataları da bu katmanlarda ortaya çıkan birçok
sorunun nedenini oluşturur. IP adresleme ve yönlendirme hataları 3. Katman'da meydana gelir.
Fiziksel Katman (1. Katman) ve Veri Bağı Katmanı (2. Katman), hem donanımlarda
hem de yazılımlarda uygulanır. Fiziksel Katman, ağ kablolaması gibi fiziksel ortamlara en
yakın olan katmandır ve bilgiyi ortama yerleştirmekten sorumludur. 1. Katman ve 2. Katman
sorunlarının çoğunun nedeni, donanım sorunları ve uyumsuzluklarıdır.
Ağ Araçları Fiziksel Gereksinimler
ISP ve büyük kurumlarda ağ kurulumu ev ve küçük işletmelerdekinden çok farklıdır.
Trafik çok büyüktür. Sunucular, bunların bağlı olduğu swichler, kesintisiz güç kaynakları en
büyük farklardandır. Anlık bir kesinti çok büyük kayıplara yol açabilir. Bu yüzden kesintisiz
güç kaynakları büyük önem taşır. Bunların yanında ısı ve nemde ağ sistemlerinde hesaba
katılan önemli bir etkidir. Sunucularda ,switchlerde yüksek işlem gücüne sahip ve sürekli
Staj Yapanın İmzası Staj Yetkilisinin İmzası
18
çalışan cihazlardır. Isının kontrol edilmesi burada önem arz etmektedir. Provus’ta da sistem
odalarında büyüklüğüne göre klima ile sürekli soğutma yapılmaktadır. Bunların dışında
kablolamada da ağ kurulumu ve sonrasında genişletme durumları için iyi bir strateji izlenmesi
gerekir. Mesela Provus’ta bilgisayarlar ile switch arasında patch blok denilen bir metotla
sistem odalarındaki kablo karışıklığı önemli ölçüde giderilmiştir. Bu sayede hangi bilgisayar
hangi kabloyla switche gidiyor kolay bir şekilde tespit edilebiliyor.
Kablolar 4.4
İletişimdeki önemli öğelerden birisinin kanaldır yani verinin iletim ortamı. Bu iletim
ortamı şirket içinde genelde kablolar üzerinden oluyor. İki tür fiziksel kablo bulunur. Metal
kablolar genellikle bakır olur ve bilgi taşımaları için bu kablolara elektrik darbeleri uygulanır.
Fiber optik kablolar cam veya plastikten yapılır ve bilgi taşımak için ışık parıltılarını kullanır.
Kablolarından kendi içinde hızına,sağlamlığına göre çeşitleri vardır. Şirket içinde
önemine göre ,ihtiyacına göre farklı kablolar kullanılır. Bunlar arasında Kategori 3 (UTP) tipi
kablo santralde telefon hatlarında , Kategori 6 ve 7 tipi switchler arasında veya switch ile
bilgisayarlar arasında kullanılmakta. Ana switch ile diğer switchler arasında ise mesela fiber
optik kablolar kullanılır.
Switch(Anahtar ) Yapılandırması
Anahtarları istediğimiz şekilde çalışması için ayarlarız. Bu ayarlamalar arasında
VLAN oluşturma, IP adresi atama, anahtara şifre atama, interface yapılandırması ve daha
fazlası vardır. Defterde kullandığım ekran görüntüleri Provus'ta çalışmayan bir
switch üzerinde yaptığım konfigürasyonu ve Cisco firmasının network ile uğraşanlar için
sunduğu ağ simülasyon programı (Ciscp Packet Tracer) görüntülerini kapsıyor. Cisco
Packet Tracer ile program üzerinde sanki gerçek bir switch yapılandırılıyormuş gibi
denemeler yapılabilir. Provus'ta yapılandırdığım anahtara bilgisayarımdan seri bağlantı
çektim ve HyperTerminal programı üzerinden bağlantı sağladım.
Cisco araçlarında konfigürasyon oldukça kolay öğreniliyor. Bilinmeyen komutlar için
"?" kullanımında olası komut listesi önümüze seriliyor böylece komut ezberlemek zorunda
kalmıyoruz. Diğer bildiğimiz komutlar içinde bir kaç harfini yazıp TAB tuşuna basıldığında
Cisco komutu getiriyor. Bu da konfigürasyon işlemleri hızlandırıyor.
Cisco anahtar için Cisco Packet Tracer üzerinde yazdığım komutlar aşağıdaki resimde
görülebilir. Yapılandırmada sırasıyla;
Enable ile konfigürasyona başlamak için,
Staj Yapanın İmzası Staj Yetkilisinin İmzası
19
Configüre terminal ile interfacelere (portlara) girmek için,
Hostname S1 ile switche isim vermek için,
Banner motd ile güvenlik amaçlı kullanıcıya mesaj,uyarı vermek için,
Enable password ile şifre girmek için
Line con 0 ile line con 0 portu için konfigürasyona başlamak için,
Interface vlan 1 ile Virtual LAN 1. Portuna girdim
Ip address ile vlan 1 portuna ip adresi atamak için
No shutdown ile komut işletilir enale gibi çalışır,
Exit ile bir üst (config) menüye dönmek için,
Ip default-gateway ile anahtarın varsayılan ağ geçidi değiştirilir,
Interface fa0/3 ile fast ethernet 0. Modülünün 3. Portuna erişim sağladım,
Speed 10 ile hız gigabite ayarladım ve
Duplex half ile aynı anda sadece veri gönderimi veya veri alma için kullandım.
Aşağıda show interfaces komutu çalıştırdıktan sonra aldığım ekran görüntüsü;
Staj Yapanın İmzası Staj Yetkilisinin İmzası
21
Bilgi Güvenliği
Staj süresince network ağlarının, sunucuların, yazılımların güvenlik açıkları ve
alınabilecek önlemler ile ilgili ve çalışanların bilgi kaçağını engellemesi için alması gereken
tedbirler ile ilgili araştırmalar yaptım ve dokümanlar hazırladım. Şirketteki bu dokümanlar
ISO 27001 bilgi güvenliği sertifikası almak için hazırlanıyor. Defterde bunlardan kısaca
örnekler vereceğim.
Router/Switch
Ilk olarak routerlarda (yada switch) fabrikadan çıkışta enable olarak gelen bazı
özellikler, modlar vardır. Bunların kullanılmayanları veya güvenlik tehditi oluşturanları
disable edilmelidir. Bunlardan bazılarını örnek vermek gerekirse;
� Router da DNS lookup yapılabiliyor mu? Kapalı mı?
Default açıktır birçok Router’da gerek duyulmamaktadır.
DNS (Domain Name System) servisi isim ve IP dönüşümü yapmaktadır. Yönlendirici
üzerinde istendiğinde isimle iletişim kurulmak isteniyorsa DNS tanımlanarak isim çözümleme
işlemi gerçekleştirilebilir.
Artık gerek yok çünkü DNS nin kendisi var� TCP small servers ve UDP small servers service disable mı?
Router(config)#no service udp-small-servers
TCP small servers
• Echo: telnet x.x.x.x echo bu komutla ne yazılırsa geri döndürür.• Chargen: telnet x.x.x.x chargen komutuyla ASCII verisi oluşturulur.• Discard: telnet x.x.x.x discard komutuyla ne yazılırsa yok sayılır.
x.x.x.x routerın IP adresi ile değiştirilir. Çoğu Cisco router small server bulundurur.
The UDP small servers :
• Echo: Gönderilen datagramı yükler.• Discard: Gönderilen datagramı yoksayar.
Bu servisler hedef sistem hakkında bilgi toplamak için kullanılabilir veya direk olarak UDPecho kullanılarak fraggle attack gerçekleştirilebilir.
Peki sadece IP adresi öğrenilerek nasıl bir atak yapılabilir?
Kandırıcı (Spoofer)
Kandırıcılar, saldırganın IP adreslerinin sahtelerini üretmek (IP kandırma, IP spoofing) amacıyla kullanılır Şirinler (Smurf, çizgi film) ve Fraggle (Muppet şov’daki yaratıklara verilen ad) saldırı. Saldırılmak istenen hedef makinenin adresi, paketi gönderen adres olarak
Staj Yapanın İmzası Staj Yetkilisinin İmzası
22
yazıldığı bir sahte paketin, bir yayın (broadcast) adresine gönderilmesi ile bu saldırı-lar başlatılır. Yayın bölgesinde var olan bütün makineler hedef makineye cevap paketlerini gönderir. Bu da hedef makinenin İnternet bağlantısına aşırı yük bindirir. IP kandırıcı dışında, başka isimle e-posta mesajı göndermeye yarayan e-posta kandırıcı ve bir web sitesinin sahtesinin yayınlanmasıyla yapılan web kandırıcı yöntemleri de bulunmaktadır
� Router da Cisco Discovery Protocol disable mı?
CDP komşu Cisco cihazların ip address, platform türü hakkında bilgi toplar.Eğer herhangibir
uygulama tarafından kullanılmıyorsa kapatılmalıdır.
Router(config)# no cdp run
Router(config-if)# no cdp enable
CDP ikinci katmanda çalışan ve Cisco cihazlarının birbirlerini tanımalarını sağlayan bir
protokoldür. CDP çerçevelerinin (frame) içerisinde cihazın adı (hostname), IP adresi, cihazın
modeli, cihazın işletim sistemi versiyonu gibi bilgiler yer almaktadır. Bu bilgiler ağ üzerinde
açık olarak, şifresiz bir şekilde gönderilmektedir. Cihazlara ait bilgilerin ağ üzerinden şifresiz
bir şekilde gönderilmesi sakıncalıdır. Cihazın markası ve modeli öğrenilmek suretiyle; o
marka ve modele has açıklıklar kullanılarak cihaza saldırı(lar) gerçekleştirilebilir. Cihazlardan
öğrenilmiş olan IP bilgileri kullanılarak da ağın topolojisi tespit edilebilir.
� Bootp server disable mı?
Router(config)#no ip bootp server
Default olarak router’lar başka routerlar için bootp server görevindedirler,bu diğer Routerların
o Routerdan boot edilmesini sağlar. Bu da o router üzerinde üzerindeki işletim sistemini (IOS)
kopyalayabileceğimiz anlamına gelir. Kötü niyetli bir kişi Router’ın üzeriden IOS’unu
kopyalayabilir. IOS verisyonunun açıklarından yararlanarak saldırmaya çalışabilir.
� Router da IP source routing disable mı?
Router(config)#no ip source-route
IP source routing, network paketlerinin hangi yoldan gideceğini belirten bir özelliktir.
Hacker’lar ip source özelliğini kullanarak paketlerin Firewall, IDS (Intrusion Detection
System) gibi güvenlik uygulamalarından bypass edilerek geçmesini sağlayabilirler.
Kaynak Yönlendirme (Source Routing) IP’nin bir özelliğidir. Bu özellik etkinleştirilirse paket
kendi yolunu belirleyebilir. Bu da birçok atak yapılmasına sebep olabilir. Yönlendiriciler
genellikle kaynak yönlendirmeyi desteklerler. Eğer paketler QoS (Quality of Service) gibi
özel bir amaçlar için belirli yollardan gönderilmiyorsa bu servis kapatılmalıdır.
Staj Yapanın İmzası Staj Yetkilisinin İmzası
23
Bu şekilde kapatılabilecek servislerin listesi
TCP Small Servers R0(config)#no service tcp-small- servers
UDP Small Servers R0(config)#no service udp-small- servers
Finger R0(config)#no service finger
Bootp R0(config)#no ip bootp server
NTP R0(config)#no ntp
DNS R0(config)#no ip dns server
CDP R0(config)#no cdp run
Telnet
SSH
R0(config)#line vty 0 903
R0(config-line)#transport input none
HTTP R0(config)#no ip http server
HTTPS R0(config)#no ip http secure- server
SNMP R0(config)#no snmp-server
Staj Yapanın İmzası Staj Yetkilisinin İmzası